|
Come scoprire rapidamente un Trojan Spy in Windows?
|
Da qualche tempo i software Trojan
Spy per PC Windows (detti anche 'spyware')
risultano in crescita. I Trojan Spy
consentono di controllare con
discrezione ogni attività svolta su
PC. Siti internet visitati,
digitazione di testi, documenti,
chat, mail, username, password,
attività finanziarie, apertura di
foto e video, ecc. Tutto viene
trasmesso via internet a chi svolge
il controllo in
modo discreto e insospettabile.
Ma nell'ambiente Windows c'è un
collo di bottiglia che rende i
Trojan Spy individuabili con
relativa facilità.
Di cosa si tratta?
Parliamo degli antivirus.
Gli antivirus per Windows
sono evoluti e potenti. Quasi tutti
sono dotati di capacità
'euristiche', cioè
analizzano i codici dei software
attivi nei PC per individuare
eventuali potenzialità malevole.
Quindi non è indispensabile che un
Trojan Spy sia già conosciuto
all'antivirus, perchè può essere individuato
anche in base
al potenziale malevolo del suo
codice. Gli antivirus per Windows
offrono inoltre la protezione in
tempo reale, che è una sorta di
intelligenza artificiale capace di
osservare le attività dei software
per individuare e bloccare comportamenti
sospetti.
Ad oggi non sono noti dei Trojan
Spy per PC Windows realmente
immuni agli antivirus. Anche i
super professionali Trojan polimorfici,
cioè basati su codici che cambiano
continuamente per adattarsi
all'ecosistema informatico,
sono potenzialmente rilevabili.
Dopo l'installazione del Trojan
può passare un secondo, un'ora o
un giorno, ma le possibilità che
l'antivirus lo individui e lo
blocchi sono molto vicine al 100%
C'è però un rimedio molto semplice: è
un'operazione
nell'antivirus detta 'Exclusion'. In
pratica chi installa il Trojan
lo aggiunge ad una particolare
lista presente in tutti
gli antivirus. Una volta
immesso in questa lista, anche
il trojan più invasivo è autorizzato ad
agire senza essere
soggetto a controlli da parte
dell'antivirus. In
alcuni casi un'operazione
analoga viene svolta anche nel
firewall del PC.
La lista
esclusioni
dell'antivirus è quindi
un collo di bottiglia
dal quale i Trojan Spy
per Windows devono
necessariamente passare.
E' in questa
lista che si può
scoprire rapidamente se
c'è qualcosa che non va.
|
E' una verifica alla
portata di tutti. Non
sono necessarie
specifiche conoscenze, analisi sui servizi in
background, ricerche sulle cartelle
nascoste. Non è
necessario verificare
uno ad uno i
software installati,
i software avviati
automaticamente
all'avvio del PC, gli
alberi dei processi
secondari, le DLL
richiamate, i software
autorizzati dal firewall
a connettersi ad
internet, ecc. |
Ma perchè esiste una lista
del genere negli antivirus,
ai quali affidiamo la
sicurezza e la riservatezza
dei dati informatici?
|
La possibilità di escludere
un software dal controllo
dell'antivirus esiste
perchè gli antivirus a volte
rilevano dei falsi positivi. In
termini pratici anche gli
antivirus possono
sbagliarsi. E'
il caso ad es. di alcuni
software creati in piccole
serie per uso interno
aziendale. A volte questi
software hanno funzioni che
possono allertare gli
antivirus perchè alcune
parti del loro codice e/o
alcune loro attività assomigliano
al comportamento di virus
noti. Parliamo soprattutto
della lettura e della
trasmissione in
background di alcune
tipologie di dati.
L'unico modo per usare
questi software è
aggiungerli alla lista delle
esclusioni dell'antivirus.
Per approfondire vedere
ad es. questo articolo di
Microsoft sull'antivirus
Microsoft Defender:
vedi... |
In molti casi nella lista
esclusioni di un antivirus
non deve esserci nulla. La
presenza di esclusioni è da
approfondire.
|
|
La prima operazione
da fare è cercare in
Google il nome del
software o
dell'eseguibile
oggetto di
esclusione. Poi
conviene
aprire la relativa
cartella e
controllare cosa
contiene, verificare
come viene gestito
quel software dal
firewall del PC e
verificare se c'è un
servizio attivo in
background che fa
capo a quel
software.
Un'altra possibilità
è caricare
l'eseguibile del
software sospetto (spesso, ma
non sempre, è un
file con estensione
.exe) nel sito virustotal.com per
sottoporlo ad una
verifica simultanea
da parte di decine
di antivirus. N.B. Nel
sistema operativo
potrebbe
esserci un servizio
attivo in background che
fa capo a quel file.
Quindi spesso
bisogna arrestare il
servizio
nella
schermata 'Servizi' di
Windows. Dopodichè
si può caricare il
file in
Virustotal.com per
la verifica. Ma
visto che quel file
era già libero di
agire indisturbato
nel PC, è
possibile
anche rimuoverlo
dalla lista
esclusioni dell'antivirus e
lanciare una
scansione rapida per
verificare se viene
rilevato.
|
| |
Tutti gli antivirus
e molti firewall
hanno una lista
esclusioni, che
spesso si trova nel
menù impostazioni o
impostazioni
avanzate. Anche il
semplice antivirus
Microsoft Windows
Defender ce l'ha. In
caso di difficoltà
nel trovarla digitare
in Google il nome
dell'antivirus o del
firewall seguiti
dalle parole 'lista
eccezioni' o 'exceptions' o 'exclusion'.
|
Molti antivirus offrono
anche la possibilità di
impostare una password per
impedire l'aggiunta di
software indesiderato nella
lista esclusioni. Ma pochi
conoscono questa possibilità
e pochissimi la usano.
|
|
Ad
oggi non è noto
nessun Trojan
capace di
auto-aggiungersi
alla lista
esclusioni dei
principali
antivirus. Quindi,
se c'è un software
spy in questa
lista, qualcuno lo
ha volutamente e
materialmente inserito. In
casi simili ha
davvero poco
senso dare colpe ai
soliti 'hacker
russi'. |
Servizi
tecnici, informatici, difesa
elettronica. Vedi...
|
Altre pagine
connesse
all'argomento:
Il nostro blog.
Vedi...
Vera Crypt e
Portable Apps. Un
semplice trucco per difendere
la privacy dei dati
informatici.
Vedi...
Trojan di Stato o
captatori
informatici
installati a
distanza. Come
funzionano?
Vedi...
Trucco spy di
WhatsApp Web.
Vedi...
Signal per telefonare in modo sicuro.
Vedi...
Due basilari trucchi
basati sul WiFi per verificare la presenza
di una persona.
Vedi...
|
|
|
