sabato 19 settembre 2009

Errori di Windows o virus?

Qualsiasi virus occupa spazio su disco e molti sono in grado di rimanere all’interno della memoria del computer assumendo il controllo di alcune funzioni. Alcuni virus, mal programmati, possono bloccare il computer o danneggiare dei file. Molti virus rendono instabile il pc o causano malfunzionamenti di altri programmi. I virus possono provocare varie stranezze o anomalie, come rallentamento del computer, riavvi continui, diminuzione della memoria, il lampeggiamento del LED dell'hard disk senza alcuna ragione apparente, popup insoliti, homepage del browser modificata, crash continui...
Tuttavia anche i programmi “legittimi” e lo stesso Windows possono provocare fenomeni di questo genere. È importante quindi non presumere che un computer sia infetto soltanto perché notiamo quelli che pur sono sintomi tipici di un'infezione da virus.
In questo post analizzerò alcuni sintomi tipici da infezione virale e spiegherò come capire se il responsabile è un virus o Windows stesso.

Sintomo 1: continui blocchi del pc

Errori di sistema più o meno gravi, crash di sistema o riavvii continui del pc , messaggi di notifica su file inesistenti o danneggiati, possono essere causati da un malware mal programmato che provoca conflitti nel file system, ma anche da programmi del tutto leciti ma mal programmati oppure da problemi hardware (ad esempio surriscaldamento di processore o schede video, difetti di banchi di memoria).

Errori di Windows o virus?

Prima di fasciarvi la testa, verificate di esservela rotta davvero. Non precipitatevi a pensare di aver preso un virus. Escludete dapprima la possibilità che il vostro pc abbia problemi hardware. Per eliminare i malfunzionamenti hardware:

- Pulite l'interno del pc dalla polvere accumulatisi nel corso del tempo;

- Controllate se tutti i connettori sono inseriti bene e se le ventole girano senza intoppi;

- Da Gestione periferiche di Windows verificate se il sistema operativo segnala conflitti hardware: in caso positivo, ricordatevi che questi sono solitamente eliminabili con una nuova installazione dei driver del dispositivo

- Esistono appositi tool (come SiSoft Sandra) che permettono di sapere se ad esempio un componente si è surriscaldato. Utilizzate questi tool di analisi per effettuare un controllo completo del sistema.

- Fate mente locale e cercate di ricordare se il problema si è presentato dopo che avete installato qualche nuovo programma: in caso positivo, disinstallatelo! Spesso comunque una semplice disinstallazione non è sufficiente perché restano tracce di file o chiavi modificate nel registro di sistema. Molto utili in questi casi l'utilizzo di tool di pulizia come CCleaner o ripristini di sistema per riportare il pc al momento precedente l’installazione del programma in questione.

Sintomo 2: traffico di rete anomalo o insolito

Continui messaggi di allerta da parte del firewall, anche quando non si sta navigando, oppure insolito traffico di dati ricevuti durante la connessione a internet (visualizzabili nella scheda Rete del Task Manager di Windows) possono essere casuati dalla presenza di malware nel pc.

A differenza di quanto comunemente si crede infatti scopo principale del malware non è quello di danneggiare il sistema infettato, bensì piuttosto di inviare dati sensibili dell’utente (ad esempio password) ai creatori dei virus, scaricare sul pc infetto altri software maligni da Internet o inviare mail di spam. Tuttavia a volte anche programmi innocui o lo stesso Windows sono responsabili del traffico di rete, ad esempio quando, durante un aggiornamento, vengono scaricate in background versioni aggiornate dei programmi e delle librerie di sistema.


VIRUS O WINDOWS?
Se pensate che un programma stia utilizzando la connessione internet a vostra insaputa, o volete capire il motivo di un traffico anomalo potete utilizzare il tool CurrPorts. Questo programma elenca tutti i processi che utilizzano la connessione di rete, anche se si tratta di processi nascosti.



Con la combinazione di tasti Ctrl+F6 tutti i servizi di sistema di Windows vengono nascosti. Se tra i processi rimasti c'è qualche programma sconosciuto, potrebbe trattarsi di una spia. In Remote Address sono indicati gli indirizzi IP remoti a cui il programma è collegato;



In internet esistono tanti servizi online (ad esempio http://network-tools.com oppure http://centralops.net/co/) che permettono di risalire all’autore del tentativo di spionaggio conoscendo il suo indirizzo IP.

Sintomo 3: lentezza del computer

Ogni malware attivo necessita di risorse e quindi sovraccarica il sistema provocandone il rallentamento. Tuttavia il rallentamento di Windows può essere provocato semplicemete dall'...età: come un uomo nel corso degli anni accumula acciacchi che ne rallentano l'attività e i movimenti, così Windows nel corso degli anni accumula programmi che rallentano il computer, intasano il registro di sistema, frammentano l’hard disk, con la conseguenza - ben nota a tutti gli utilizzatori dei sistemi operativi Microsoft - che le fasi di avvio diventano lente come lumache e quando Windows è in funzione gli servono comunque molto più tempo per caricare i programmi ed elaborare i dati

VIRUS O WINDOWS?
Quando si notano rallentamenti eccessivi del sistema o visitatori indesiderati nel Task Manager, utilizzate il programma System Explorer. Nella scheda Autoruns/Startups sono elencati tutti i programmi caricati all’avvio del sistema operativo

Nella scheda Monitoring/Processes sono elencati tutti i servizi attivi con l'indicazione del relativo livello di sicurezza.

Naturalmente gli elementi indicati come sicuri sono per la maggior parte servizi Windows. Ma attenzione: alcuni malware si camuffano da servizi Windows, usandone ad esempio la stessa denominazione. Quando vi trovate davanti a un processo sconosciuto o sospetto, selezionatelo: la finestra di System Explorer mostrerà la cartella in cui questo processo risiede.

Facendo un clic destro sull'elemento sospetto e scegliendo dal menu contestuale l’opzione File check->VirusTotal.com sarà possibile effettuare verifichr al volo.

Sintomo 4: comportamento anomalo del browser

L'apertura improvvisa di una homepage diversa da quella da noi scelta, la comparsa sulla barra degli strumenti di toolbar o l'apertura continua di banner pubblicitari possono essere il sintomo della presenza di un malware nel pc. Tuttavia molte toolbar possono venire installate come componenti opzionali di altri software, di per sé completamente innocui. Basta un pizzico di disattenzione durante l’installazione di questi software o un segno di spunta messo con poca cura accanto alla toolbar ed ecco che ci si ritroverà con questi fastidiosi - e pericolosi - componenti installati nella barra degli strumenti del browser.

VIRUS O WINDOWS?
La reimpostazione manuale della homepage nelle Opzioni Internet spesso è inutile perché gli hijacker sovrascrivono continuamente queste informazioni. Molto utile risulta il tool HijackThis che rintraccia attacchi simili. Attraverso questo tool è possibile con un semplice click rilevare tutte le impostazioni e i settaggi del registro di sistema, dell'esecuzione automatica e dei programmi nascosti, il tutto viene poi salvato in un file di log, che- a dire la verità -è difficile da interpretate per chi non è davvero esperto ma non preoccupatevi: nel forum del sito (www.hijackthis.de) è possibile ottenere il supporto di esperti per l’interpretazione dei dati, in modo da verificare se è presente un virus sul pc e cosa è necessario rimuovere.

Sintomo 5: strane attività dell’hard disk

Strani rumori emessi dal pc o il lampeggio del led dell’hard disk sebbene non si stia facendo nulla e nessun programma sia in funzione possono essere il sintomo dell'azione di un virus che sta analizzando l’hard disk a caccia di dati sensibili come account e password, oppure che un hacker sta scaricando dati o installando altri malware. Tuttavia nella maggior parte dei casi la causa di questi strani rumori del pc o del lampeggio del led dell'hdd nonostante la fase di stand-by del computer è dovuta all'attività di Windows o di altri programmi che sfruttano proprio le fasi di stand-by del pc per svolgere operazioni automatiche di sistema (come ad esempio l’indicizzazione dei file, la deframmentazione del disco, la creazione di backup automatici o l’installazione di aggiornamenti). Potrebbe essere anche l’antivirus che sta eseguendo un controllo del sistema.

VIRUS O WINDOWS?
Per prima cosa verificate se sia effettivamente l'antivirus che sta eseguendo un controllo del sistema. In secondo luogo verificate se è attivo qualche servizio Windows aprendo l'utilità di Pianificazione di Windows. Per aprire l’utilità di pianificazione fare Start > Tutti i programmi > Accessori > Utilità di sistema > Utilità di pianificazione. Pochi sanno che da qui è possibile vedere tutte le attività in esecuzione, anche quelle nascoste, quindi anche quando entrano in funzione i servizi di manutenzione.

Aggiornamenti automatici di altri programmi vengono elencati dal tool System Explorer nella scheda Autoruns/Startup.

Sintomo 6: scansioni antivirus errate o impossibili

In molti casi i virus sono in grado di agire sui meccanismi di protezione dell'antivirus, rallentando o facendone fallire la scansione oppure impedendo all'antivirus di accedere ai server di aggiornamento. Alcuni virus poi riescono addirittura a riconoscere le ricerche fatte dall'utente su Google, quando per esempio s’inseriscono voci come virus o antivirus, e a bloccare o manipolare i risultati della ricerca. Tuttavia il malfunzionamento o la cessazione del funzionamento dell'antivirus oppure la sua incapacità di eseguire l'update possono essere causati anche da errori durante l'aggiornamento o da semplici malfunzionamenti e sovraccarichi del server di aggiornamento.

VIRUS O WINDOWS?
- Innanzitutto cercare di eseguire manualmente l’aggiornamento dell'antivirus. Questa funzione si trova in tutti gli antivirus, basta cercare tra le opzioni una voce del tipo Update oppure Aggiornamenti.
- Dedicate cinque minuti alla lettura della pagina di supporto online del vostro antivirus. Generalmente i produttori rendono noti eventuali guasti e i problemi del server sui siti di supporto.
- Il mancato aggiornamento dell'antivirus aumenta le probabilità che il vostro pc sia infetto: analizzate il pc con un antivirus online.

Sintomo 7: interfaccia utente modificata

Non tutti i virus sono progettati per distruggere o spiare, alcuni vogliono semplicemente innervosire, beffeggiare o creare panico nell'utente inviandogli falsi messaggi di errore, modificando le icone sul desktop, visualizzando sul monitor simboli astrusi. Il virus Blusod ad esempio genera falsi bluescreen per spaventare gli utenti.

VIRUS O WINDOWS?
Se vi compaiono falsi messaggi di errore, le icone del computer sono modificate, sul monitor compaiono simboli astrusi, allora sì molto probabilmente avete preso un virus. Ma state tranquilli (si fa per dire): generalmente i virus che fanno questo genere di cose non sono davvero pericolosi: i virus realmente pericolosi rimangono nascosti il più a lungo possibile. Per rimuovere questi virus fastidiosi spesso basta una scansione online o con un antivirus aggiornato.