======== it.comp.sicurezza.virus ======================= Questo documento e` la FAQ del gruppo it.comp.sicurezza.virus. Qui saranno raccolte risposte alle domande apparse piu` frequentemente nel gruppo, in modo da evitare che vengano continuamente ripresentate dai nuovi utenti. Il fatto che un argomento sia trattato in questa FAQ non significa che in i.c.s.v. l'argomento e` da considerarsi esaurito e non bisognera` piu` discuterne: chiunque pensi di avere qualcosa di significativo da aggiungere si senta libero di scrivere. Se vi sembra che un argomento sia trattato in maniera troppo sintetica, o cercate informazioni su un argomento non presente, fatemelo sapere. L'autore di questa FAQ e` Marco d'Itri , ma sicuramente non sarebbe cosi` bella :-) senza i suggerimenti di chi frequenta il gruppo. Questa FAQ non e` sicuramente completa. Chi sente di avere qualcosa da aggiungere, o qualche correzione da fare (anche sulla grammatica :-) ) scriva al manutentore presso L.Serni@agora.stm.it | Le parti aggiunte dal posting precedente sono indicate dal simbolo | a fianco; molti newsreaders formattano le sezioni cosi' marcate in | modo particolare, cosi' da renderle subito riconoscibili. ================================================================= Indice: 1) Il manifesto del gruppo 2) Dove posso trovare questa FAQ? 3) Antivirus 3.1) Dove posso trovare i piu` noti antivirus? 3.2) Qual'e` il migliore antivirus? 4) Virus 4.1) Perche` la gente scrive e diffonde i virus? 4.2) La legge italiana e i virus 4.3) I pericoli di Internet: quali sono e come difendersi 4.3.1) Nukers e affini 4.3.1.1) Antidoti: dove trovarli 4.3.2) Surfing 4.3.3) IRC e mIRC |4.4) Trojans 5) Posting e Netiquette 5.1) Il posting di virus in i.c.s.v. 5.2) Il posting di binari in i.c.s.v. 5.3) Come chiedere aiuto in i.c.s.v. 5.4) Suggerimenti utili ai novizi 6) Cosa fare se... 6.1) ...credo di avere un virus che non e` riconosciuto da nessun antivirus? 6.2) ...sono stato infettato da un virus? 6.3) ...l'antivirus mi ha detto che il mio computer e` infetto: formattare l'hard disk? 6.4) ...Windows 95 si blocca molto spesso, ma gli antivirus dicono che sono pulito? 7) Come faccio a... 7.1) ...formattare a basso livello il mio hard disk? 7.2) ...inviare un virus al gruppo per l'esame? 7.3) ...inviare un virus all'autore dell'antivirus? 7.4) ...scrivere un virus? 8) Vorrei sapere... 8.1) ...se un virus puo` danneggiare l'hardware 8.2) ...cosa sono i virus stealth 8.3) ...come trovare informazioni dettagliate sui virus 8.4) ...dove posso scaricare dei virus 8.4.1) ... e come posso conservarli 8.5) ...a cosa serve eseguire il comando "FDISK /mbr" 8.6) ...cosa sono i macro virus 8.7) ...se mi puo` arrivare un virus tramite email 8.7.1) Ho eseguito l'allegato di Good Times! E ora? 8.8) ...cosa sono questi Good Times, Deeyenda, Join The Crew, | PENPAL GREETINGS, WIN A HOLIDAY 8.9) ...se un virus puo` nascondersi dentro un gif o un jpeg 8.9.1) ...o dentro a un file di testo 8.10) ...se e` possibile infettarsi con un "dir" | 8.11) ...se e' possibile infettarsi con un "pkunzip", senza | eseguire alcuno dei files appena dezippati 9) Hanno collaborato... ================================================================= _--------------------------------------------- 1) IL MANIFESTO DEL GRUPPO _--------------------------------------------- Il gruppo e` stato creato nella prima meta` del 1996 a partire da una RFD di Fabio Bolognesi . Questo e` il testo: E' risaputo quanto sia importante la sicurezza in ambito informatico, quindi prendendo spunto dai vari gruppi alt.security, sci.crypt, ... proponente ritiene oppurtuno creare dei gruppi ``italiani'' simili, di discussione sull'argomento. Piu` precisamente it.comp.sicurezza.virus sara` un gruppo in cui si parlera' dei virus, antivirus in generale per le varie architetture. _--------------------------------------------- 2) DOVE TROVARE LA FAQ _--------------------------------------------- Innanzitutto nei gruppi it.comp.sicurezza.virus ed it.faq, dove viene postata periodicamente, e poi nella home ftp directory di Marco d'Itri presso ftp://ftp.linux.it/pub/ILS/People/md/icsv-faq.txt che e` un sito molto bello (dice lui) che tutti dovrebbero visitare :). In alternativa potete prenderla con il vostro browser preferito presso: http://www.polito.it/~bertola/faq/icsv-faq.txt oppure tramite ftp presso: ftp://ftp.polito.it/pub/people/bertola/faq/icsv-faq.zip Altrimenti, mandate un messaggio con nel subject il testo esatto "send file ~/icsv-faq.txt", e il corpo del messaggio | vuoto, all'indirizzo "lserni@linuxvalley.com". Ogni articolo contenente la FAQ e` firmato con la mia chiave pubblica di PGP, che potete ricevere mandandomi un messaggio con nel Subject il testo esatto "send file ~/pgp-pub.key", e | il corpo vuoto. Potete trovare l'ultima versione di pgp presso: http://www.ifi.uio.no/pgp/, ftp://ftp.ifi.uio.no/pub/pgp/ o nel mirror italiano ftp://ftp.dsi.unimi.it/pub/security/crypt/PGP/. La versione internazionale e' reperibile su www.pgpi.com _--------------------------------------------- 3) ANTIVIRUS _--------------------------------------------- 3.1) Dove posso trovare i piu` noti antivirus? In molti posti, ma per essere sicuri che quello che prendete sia proprio un antivirus e non qualcosa hackerato da un virus writer, la cosa migliore e` prenderli direttamente dal sito ftp del produttore, oppure da un mirror da lui autorizzato e menzionato nella documentazione. Alcuni di questi siti sono: F-Prot: ftp://complex.is/ AVP: ftp://volftp.tin.it/pub2/avp TBAV: ftp://ftp.thunderbyte.com/ Dr.Solomon's AVTK: ftp://ftp.drsolomon.com/ ITAV: ftp://ftp.systems.it/software/itav/ Norton Antivirus: ftp://ftp.symantec.com/ Scan McAfee: ftp://ftp.mcafee.com/ Sweep: ftp://ftp.sophos.com/ Pc-Cillin: ftp://ftp.trendmicro.com [altri? Aspetto gli url. Per ftp, non per il web] 3.2) Qual'e` il migliore antivirus? Non e` possibile trovare una risposta unica e condivisibile da tutti a questa domanda, visto che nel valutare un antivirus possono entrare in gioco molti parametri che possono avere un'importanza diversa per ogni utente. Ogni antivirus ha i suoi pregi e difetti, e la cosa migliore e` usarne piu` di uno insieme. In alcuni casi la scelta di un antivirus anziche' un altro e` un fatto religioso, ma in altri casi (per esempio MSAV) ci sono prodotti di qualita` oggettivamente cosi` bassa che nessuna persona competente puo` consigliarne l'uso in buona fede. Un buon punto di partenza per valutare un antivirus e` leggere attentamente un test comparativo preparato da un ricercatore di cui avete fiducia e di cui condividete i metodi. Tenete presente che molte riviste di informatica accolgono assai volentieri le "marchette", come sono chiamati gli articoli preparati con la... "consulenza" di uno dei commerciali della ditta sotto esame; consulenza che spesso si spinge a fornire alla rivista il testo dell'articolo "alla firma", magari unito a un sostanzioso contratto per acquisto di pubblicita'. Puo' capitarvi per esempio di leggere articoli che ripetono frasi e concetti uguali a quelli che vi ritrovate, sei pagine oltre... in un riquadro pubblicitario. Un pessimo punto di partenza invece e` criticarne la difficolta` d'uso, la interfaccia utente, o limitarsi a software funzionante solo sotto il proprio sistema operativo. Tests del VTC : http://agn-www.informatik.uni-hamburg.de/vtc/eng.htm Virus Bulletin: http://www.virusbtn.com _--------------------------------------------- 4) VIRUS _--------------------------------------------- 4.1) Perche` la gente scrive e diffonde i virus? Probabilmente non esiste una ragione univoca. I primi esperimenti nel campo dei virus nacquero da ricercatori informatici; man mano che le tecniche venivano scoperte, o riscoperte, o diffuse, il fenomeno si e' allargato ad un campo talmente vasto che oggi include le persone (e di conseguenza, i moventi) piu' vari. Abbiamo la volonta' di mettersi alla prova, di "vedere se se ne e' capaci"; il desiderio di danneggiare il prossimo, o di sfidare il mondo; lo sfizio di fare uno scherzo; infine, l'oggettiva presenza di messaggi rivolti ad esponenti del gentil sesso (es. virus Roberta), spesso in un contesto tale da far supporre un amore non corrisposto (es. virus Form, virus Invisible Man), ha indotto alcuni a teorizzare che la frustrazione sessuale possa avere un certo ruolo. Come e' ovvio, questa non e' un'analisi in alcun modo esaustiva o definitiva, vuole solo tentare di essere una prima risposta. 4.2) La legge italiana e i virus La legge italiana stabilisce che e` reato /distribuire/ un virus a terzi, mentre e` perfettamente legale /scrivere/ un virus, e poi tenerselo per se`, quindi attenzione a non confondere le due cose. Ci sono pero` due interpretazioni contrastanti della legge, la prima che giudica reato *tutti* i trasferimenti di virus tra persone, e la seconda (che personalmente giudico piu` attendibile, ma e` solo la mia opinione, visto che per ora non ci sono sentenze che possano costituire un precedente) che sostiene che perche` ci sia il reato deve esserci l'intenzione di commettere un dolo, quindi esclude l'invio di virus dagli utenti ai ricercatori. Il testo completo della legge si puo` trovare presso http://www.ikx.org/~fogazzid/virus/viruses/law.htm 4.3) I pericoli di Internet: quali sono e come difendersi Internet, di per se', e' una interconnessione di sistemi di computers. Come in tutte le famiglie, ci sono le pecore nere e quelli che gli anglosassoni con il loro spirito chiamano "pranksters" o "practical jokers" (la definizione che io do' di solito e' un po' piu' colorita). E, benche' la connessione Internet sia stata studiata per essere resistente ai tentativi di sovvertirla, alcune implementazioni sono buone e altre meno. Quindi nonostante siano false le storie pubblicate da alcuni giornali (il sig. X si e' connesso ad Internet ed una minorenne nuda e' uscita dal modem, subito seguita da dieci poliziotti angeleni infuriati, che lo hanno picchiato a sangue, urlando 'brutto pedofilo!'; il sig. Y ha acceso il computer e gli e' sparita la carta di credito; ecc) e' bene tenere a mente alcune norme. a) Ci sono cosi' tanti standards e implementazioni diverse che installare, sul proprio PC, i novemila plugins per la realta' virtuale in Dolby surround e' un invito a tutti i bugs della Terra per materializzarsi e prodursi in quel sapiente mix di anomalie e perdite di dati cui Microsoft ci ha abituato, ma i cui risultati sono distinguibili da quelli d'un virus solo da un esperto. Chi naviga leggero naviga sano e non s'inchioda poco lontano. b) Dare nome, email e numero di carta di credito solo ai siti sicuri (https:// e non http://) e con parsimonia; navigare con Java e Javascript disattivati a meno che non sia proprio indispensabile. E la password, quella non datela a nessuno, neanche se vi arriva una e-mail estremamente convincente (e' successo ad alcuni utenti di TIN, che a quanto pare hanno mandato la propria password a telecom_italia@geocities.com, senza notare che un PROVIDER ITALIANO con una email su GEOCITIES e' un'assurdita'). c) Non scaricare automaticamente alcun plugin; regolare su CONFERMA MANUALE il regolabile. Ehi, voi fareste entrare in casa un uomo sconosciuto? E allora, perche' un plugin sul disco fisso invece si'? d) Gli utenti di Windows 95 verifichino che la "condivisione di file" su TCPIP sotto "Risorse di Rete/Proprieta'" sia disattivata. Entrare in un PC dov'e' installato Windows 95 non e' impossibile, ma almeno non rendetelo facile... e) Quando vi collegate ad Internet, NON SALVATE LA PASSWORD e non la mettete in uno script di collegamento automatico. Se e' sul disco salvata, qualcuno ve la puo' fregare. Come? Vedi alla voce mIRC. f) Gli utenti di Netscape Communicator 4.x dovrebbero installare (o reinstallare) il proprio profilo utente, cambiando il nome della directory - il mio per es. e' ...\Users\LSerni - in una sequenza casuale, per es. ...\Users\ah2874ip. Questo perche' e' possibile usare JavaScript per leggere alcune cosucce (password di mail ad esempio) dal file delle preferenze, purche' se ne sappia il nome ...e il nome e' MAIL_UTENTE\nomefile. Quindi, e' molto meglio se invece di MAIL_UTENTE ci mettete qualcosa di non indovinabile. Internet Explorer combina sfracelli se gli viene inviato un indirizzo "res:" o "mk:" e non "http:", lungo piu' di un tot. Rimedi non ce ne sono (beh, usare Netscape); disattivare la chiave "MKEnabled" con REGEDIT pare aiutare, ma non sempre. Comunque c'e' un altro errore relativo alla tag HTML , segnalato da G. Guninski (home: http://www.geocities.com/ResearchTriangle/1711) di piu' difficile pulizia. Occorre pero' convincere il proprietario di IE a scaricare una pagina contenente codici maliziosi. Mi dicono che Explorer non ama neanche certi settaggi di FRAME | nested, che producono errori di sistema casuali. Non ho verificato. | Ulteriori bugs si scoprono di ora in ora, l'ultimo nato (12/11/1998) | riguarda un controllo ActiveX. Se possibile, disattivate anche | quelli. 4.3.1) Nukers e affini Vari sistemi operativi (e relative imitazioni economiche) hanno "buchi", nella sicurezza interna; come un robot, che guardi una porta, e che lasci passare un ladro dalla finestra perche' non gli e' stato ordinato di sorvegliare quella. Esistono cosi' dei programmi configurati per produrre situazioni o dati capaci di presentare una "situazione anomala" che i progettisti del sistema non hanno preso in considerazione (o hanno ritenuto troppo improbabile da valere la pena di farci qualcosa) e sfruttare la risposta del sistema. I due generi piu' famosi sono WinNuke e i vari Ping of Death: il primo invia dati con uno speciale protocollo che Windows riconosce, ma non sa gestire, cosicche' si pianta lamentando un errore di sistema; oppure inviano pacchetti "frammentati", cosa permessa, ma frammentati in modo illegale (per esempio, mandano due meta' grosse ciascuna tre quarti), e tale da mandare "nei pazzi" il TCP-IP ricevente. Il secondo genera pacchetti di dimensioni eccessive, e la macchina ricevente si pianta cercando di gestirli. Contro WinNuke esistono vari rimedi: dal patch ufficiale Microsoft (che pero', ahime', contiene un altro bug) al file PINGFIX.ZIP che si trova su Internet, a un programma che si chiama "plisten" e non solo para il colpo, ma vi dice pure chi l'ha inviato. | Oltre a PLISTEN esiste anche Nuke Nabber, di funzionalita' simili. | E naturalmente esistono anche dei nukes che riescono a bypassare | sia plisten che nukenabber... o che addirittura li sfruttano per | funzionare. | Non essendo di pertinenza virologica, un po' di FAQ assortite su | questo sono su http://www.linuxvalley.com/~lserni/glossary.cgi Alcuni fessacchiotti si divertono con questi trucchi in IRC, perche' e' facile trovare l'indirizzo del bersaglio; e altri, come routine, "bombano" tutti i PC collegati al proprio stesso POP, cosi' da avere piu' banda a disposizione (che poi la banda piu' di quel tot non possa essere, pare che non conti). 4.3.1.1) Antidoti: dove trovarli Versioni aggiornate, su www.AltaVista.digital.com cercando il nome della utility. I nomi che potete cercare sono i nomi delle patches ufficiali (wsockupd, vipupd, wrdrupd), quelle artigianali (pingfix), i localizzatori di imbecilli nuker (plisten, NukeNabber), eccetera. | Un altro sito "buono" e' http://ftpsearch.ntnu.no (mi raccomando | l'"http", perche' dato che il nome inizia per "ftp", alcuni fra | i browsers piu' stupidi pensano che sia un sito ftp... e non vi | ci connettereste mai). 4.3.2) Surfing Vedi punti a-c del paragrafo 4.3 4.3.3) IRC e mIRC E' possibile, con le vecchie releases del mIRC, che vi inviino un file "SCRIPT.INI", che prende il controllo del vostro mIRC e consente cosi' ad un malintenzionato di richiedere, al vostro mIRC "schiavizzato", di spedirgli per es. il file C:\WINDOWS\SYSTEM.DAT. E dentro il SYSTEM.DAT ci sono: a) I codici di registrazione dei vostri programmi, che possono cosi' essere copiati illegalmente dando la colpa a VOI; b) Le vostre passwords di Internet, che possono essere usate per fare scherzi e mandare mail bombs, dando la colpa a VOI (*); c) Le vostre passwords di accesso alla rete, che possono essere usate per connettersi al provider SCROCCANDO L'ABBONAMENTO A VOI. Se per caso avete un abbonamento flat, vabbe'. Ma se avete 120 ore annue, siete disposti a regalarne 90 a chicchessia (*)? (*) Nota; le passwords non sono semplicemente in SYSTEM.DAT, e sono cifrate. Ma gli altri files dove sono si possono prendere allo stesso modo, e la cifratura Win e' tutt'altro che inviolabile, per cui il problema c'e' sempre. | 4.4) Trojans | Non essendo di pertinenza virologica, un po' di FAQ assortite su | questo sono su http://www.linuxvalley.com/~lserni/glossary.cgi _--------------------------------------------- 5) POSTING E NETIQUETTE _--------------------------------------------- 5.1) Il posting di virus in i.c.s.v. Questo e` un gruppo dedicato alla lotta ai virus, quindi se qualcuno vuole rendere partecipe il mondo della sua ultima creazione virale e` meglio se lo fa da un'altra parte, visto che alcune persone potrebbero sentirsi fortemente offese da un comportamento simile e rispondere in maniera anche molto scortese, nonostante il fatto che, mancando l'intenzione di commettere un danno, non e` detto che sia stato compiuto un reato (vedi 4.2). Se invece qualcuno vuole impestare la rete con la sua ultima creazione, allora questo decisamente *non* e` il posto adatto per farlo, poiche`, essendo un reato, molte persone si arrabbierebbero e cercherebbero di scoprire l'indirizzo del qualcuno, minimo per fargli revocare l'accesso da chi gli fornisce la connessione, massimo per denunciarlo alle autorita` competenti. Non e` neppure una buona idea postare nel gruppo dei file che si sospettano essere infetti, sempre per i motivi di cui sopra. 5.2) Il posting di binari in i.c.s.v. Questo gruppo non e` dedicato allo scambio di programmi eseguibili, per questo esiste un gruppo it.binari.files che ha questo scopo. Se invece credete di potere postare un programma pensando che chi non e` interessato possa *non* scaricare l'articolo, visto che il ***vostro*** news reader permette di farlo, allora e` meglio se iniziate a studiare un po` come funziona usenet, a partire dalla FAQ dei gruppi news-it, che trovate in it.faq. Brevemente, il secondo *peggior* modo di usare Internet e` farlo con l'egocentrica convinzione che tutti abbiano lo stesso hardware e lo stesso software proprio. Il modo peggiore in assoluto ovviamente e` fare come sopra, ma con in piu` la convinzione di essere nel giusto; questo provoca flame wars, lamentele e polemiche a non finire, ed e` quindi Altamente Sconsigliato. 5.3) Come chiedere aiuto in i.c.s.v. Tenere sempre presente che chi eventualmente vi dovesse rispondere lo fa, con ogni probabilita', per cortesia, e sicuramente non perche' e' pagato per farlo. Quindi, e' del tutto fuori luogo credere ciecamente in quel che dicono le riviste e pensare che tutti si precipitino ad aiutarvi; se non succede non c'e' molto da fare, e se succede e' buona norma ringraziare (mi scuso se questo toglie qualcosa al fascino di Internet...). Cio' detto, e' probabile che qualcuno vi aiuti e che qualcun altro prenda in giro perche' la risposta "e' ovvia" (per lui/lei). Il buonsenso dovrebbe suggerire di facilitare le cose al primo, e di ignorare il secondo; infatti con molta probabilita' non siete i primi ad essere presi in giro e, se non si e' zittito/a finora, e' improbabile che riusciate a zittirlo/a proprio voi. Tornando al problema di aiutare chi vi vuole aiutare: * leggetevi prima un po' di headers di messaggi. Magari ne troverete uno o due di persone con il vostro stesso problema, o di gente che invia le soluzioni. * non tentate interventi a casaccio: magari ce la fate (e in quel caso, non sarebbe male inviare un messaggio con le istruzioni). Ma magari no, e anzi potreste peggiorare i danni. * fornite informazioni. Dire soltanto "Ho il virus tal dei tali" non serve molto; meglio sarebbe descrivere il vostro PC (beh, magari non anche la marca del monitor multimediale, quello no, ma sistema operativo, RAM, tipo del disco fisso...) e le circostanze nelle quali vi siete accorti di qualcosa che non andava; * siate pazienti. Nulla induce di meno a rispondere che una serie di tre messaggi in fila, distanziati di 15 minuti, che ripetono la stessa domanda magari in toni sempre piu' frenetici. Tenete conto che molti leggono i NG off-line, magari la sera, e magari solo al week-end. * se riuscite a risolvere il problema, inviate un messaggio con i dettagli. Sarete utili a chi avesse il vostro stesso problema e farete piacere a chi vi avesse aiutato. 5.4) Come rispondere in i.c.s.v. Questa sezione non vuol essere una regola draconiana incisa nel granito, al piu' tenta di fornire qualche spunto di riflessione. Sono aperto alla maggior parte dei suggerimenti, ed ho gia' messo in conto che questa FAQ apra un lungo, doloroso thread ;-) Ricordarsi, se ci si fa (e io stesso spesso non ce la faccio) che * non tutti hanno lo stesso sistema operativo, e non tutti hanno la voglia, o l'oggettiva possibilita', di cambiarlo. * 'nessuno nasce imparato' e anzi si scrive in i.c.s.v. proprio per farsi un po' le ossa sull'argomento; questo finche' non sara' votato it.comp.sicurezza.virus.espertoni (volontari? Anyone?). * si spende meno a fornire una risposta dettagliata che a fornirne una scarna... con le successive prevedibili dieci richieste di dettagli; 5.4) Suggerimenti utili ai novizi Prima di inviare un messaggio, perdete una mezz'oretta a leggervi gli headers. Esiste una buona probabilita', statisticamente parlando, che troviate qualcosa di interessante, e magari proprio la risposta a una domanda che volevate fare, o una precisazione che vi risparmia una figuraccia (classico il caso di quelli che domandano o forniscono info su virus "che si propagano in Internet tramite la posta elettronica"). Se spedite un messaggio alla cieca, la risposta vi arriva dopo 12-24 ore, e se vi va bene. Se invece leggete gli headers POTRESTE avere la risposta subito. A me pare che non ci siano dubbi su cosa vi convenga. _--------------------------------------------- 6) COSA FARE SE... _--------------------------------------------- 6.1) ...credo di avere un virus che non e` riconosciuto da nessun antivirus? La cosa migliore e` mandare un campione del virus (un file infetto oppure l'MBR o il boot sector infetti) agli autori degli antivirus che si usano (le istruzioni per farlo sono contenute nella documentazione) e/o a un ricercatore di propria fiducia. E` meglio conservare il floppy infetto se servissero ulteriori dati. Loro sapranno sicuramente identificare il virus e fare in modo sia riconosciuto dalla successiva release dell'antivirus. Inviare un file infetto al gruppo non e` considerato un buon modo per cercare aiuto (v. 5.1) Potete estrarre il boot sector del floppy in a: dando al programma debug questi comandi: C:\> DEBUG -L100 0 0 1 -Nc:\nomefile.bin -RCX :200 -W -Q Il file C:\NOMEFILE.BIN e` ora pronto per essere spedito. 6.2) ...sono stato infettato da un virus? Se scoprite di avere un virus sulla vostra macchina e non riuscite a toglierlo con il software che avete, allora e` il caso di chiedere aiuto nel gruppo. Ricordate sempre di specificare nell'articolo: * nome del virus * antivirus usato (diversi programmi possono dare al virus nomi diversi), specificando versione del "motore" ed eventuali aggiornamenti successivi ai files * eventuali effetti manifestati * tentativi fatti per rimuoverlo * sistema operativo usato specificando -se possibile- la release ed il tipo di file system utilizzato (per es., Windows usa due diversi file systems, FAT e FAT32). 6.3) ...il mio computer e` infetto? Formattare l'hard disk? *NO*. Formattare l'hard disk e` un provvedimento quasi sempre esagerato, e in alcuni casi (infezione dell'mbr) anche inutile. Se si scopre di avere un virus che nessun antivirus puo` disinfettare, la cosa migliore e` cancellare i files infetti e reinstallare i programmi danneggiati dai dischi originali. E` inoltre utile ricordare che il comando format non cancella l'MBR, quindi un virus puo` comunque sopravvivere alla formattazione. 6.4) ...Windows 95 si blocca molto spesso, ma gli antivirus dicono che sono pulito? Se un controllo con piu` antivirus non ha trovato nulla di sospetto allora probabilmente non c'e` nulla di cui preoccuparsi, visto che bloccarsi quando uno meno se lo aspetta e` il comportamento normale di Windows 95 (o almeno molti la pensano cosi`, YMMV), soprattutto se si sono fatti parecchi esperimenti con drivers multimediali, plug&play, giochi in 4D e chi piu' ne ha piu' ne metta. Vedi par. 4.3 punto a). Mi riferiscono che e` possibile ripristinare i file danneggiati a partire dai dischi di installazione, ma se avete un problema di questo genere allora questo decisamente non e` il gruppo adatto, andate in it.comp.win95. Tutti gli utenti Windows 95 dovrebbero avere pronte piu' copie dei backups del sistema, ottenibili con l'utility ERU downloadabile liberamente presso Microsoft. Un backup sta su un dischetto, e andrebbe fatto prima di OGNI e qualsiasi installazione di programmi od altro in Windows 95, perche' anche le utilities di disinstallazione non sempre sono in grado di invertire con successo l'installazione di un programma catrame. _--------------------------------------------- 7) COME FACCIO A... _--------------------------------------------- 7.1) ...formattare a basso livello il mio hard disk? Semplice: non si puo`, a meno di non avere un controller speciale e un programma specifico per il proprio disco. Quando si usa un programma per formattare a basso livello un disco IDE, questo risponde come se la formattazione avvenisse, ma in realta` non fa niente di diverso da una formattazione normale. E comunque e` un'operazione che non e` mai desiderabile, sia perche` e` una misura che non fornisce nessuna protezione in piu` rispetto alla formattazione del disco e alla reinizializzazione dell'mbr fatta con il comando FDISK /mbr, sia perche' puo' dare problemi. I problemi sono software - vedi punto 8.5 - ma anche hardware. I dischi E/IDE infatti memorizzano alcune informazioni speciali sulla geometria del disco su un "piatto" a parte dell'hard disk, oppure, con una tecnica particolare, "frammischiandole" alle informazioni dei normali dati e programmi. Queste informazioni, dette "embedded servo", servono per pilotare l'allineamento della testina del disco fisso. Ora, mentre la lettura e' semplice, la scrittura delle embedded servo e' complicata e normalmente inutile, per cui l'hardware di calibrazione (per risparmiare) non e' montato sul disco fisso. Le informazioni possono quindi essere cancellate, ma poi non si recuperano piu', e il disco e' da buttare. Alcuni HD dispongono di speciali "trucchi" per riscrivere economicamente le embedded servo, ma il mio consiglio e': NON RISCHIATE. In aggiunta, molti portatili dispongono di una partizione speciale nascosta dove il portatile stesso immagazzina la propria memoria e i dati quando viene spento tramite "Suspend" in modo che possa poi ripartire piu' rapidamente. La partizione e' grande normalmente quanto la memoria installata e va configurata con una apposita utility (es. ASTDK per i portatili Acer 7xx, che pero' usano cluster nascosti e non la partizione; il concetto pero' e' quello). Formattando il disco, la configurazione di questa partizione speciale andrebbe perduta e il PC non avrebbe piu' accesso alla funzione "Suspend". 7.2) ...inviare un virus al gruppo per l'esame? Vedi 6.1, 6.2, 5.1 7.3) ...inviare un virus all'autore dell'antivirus? Vedi 6.1 7.4) ...scrivere un virus? Un errore comune dell'apprendista virus-writer e' pensare che basti volerlo, avere un PC, ed aver letto "Neuromante" o "Cuckoo's Nest". Non e` cosi`; una carriera di virus writer non s'improvvisa, va costruita con pazienza, studio ed indefessa abnegazione. Il primo passo consiste nel procurarsi una robusta documentazione... per es. impararsi a memoria la Ralf Brown Interrupt List Guide. Un vero v/w dovrebbe saperla recitare al contrario, interrupt per interrupt. Cio' fatto, il prossimo passo consiste nello scriversi un assemblatore ed un compilatore (nonche' un linker) per realizzare il virus; ci sono testi sugli argomenti quasi ovunque in Internet, e newsgroups appositi. Una volta che si padroneggia l'argomento, e si hanno gli strumenti adeguati, si dovra' costruire un PC per le prove. Una conoscenza hardware approfondita e' infatti indispensabile all'autore d'un virus veramente efficiente, che di conseguenza disdegnera` facili scorciatoie come i floppy drive precostruiti, le motherboards preconfezionate o le CPU gia` annegate nel package ceramico. In alt.hackers per esempio si discute su come costruire una piattina IDE con un filo wire-wrap fittamente ripiegato e incollato. L'ultimo passo, cioe' ottenere la familiarita' col software, si realizza, di solito, scrivendo un sistema operativo. E` bene iniziare da un S.O. semplice e lineare, tipo CP/M; si potra' poi proseguire con un clone di Solaris prima di cimentarsi con sistemi piu' complessi, ma di maggior soddisfazione (parlo naturalmente di Windows 95). Si puo` affermare - e con ampia facolta` di prova - che al termine di questo cursus studiorum si sara` in posizione tale da potere realizzare un virus di qualita`, virtualmente inarrestabile ed inindividuabile. _--------------------------------------------- 8) VORREI SAPERE SE... _--------------------------------------------- 8.1) ...un virus puo` danneggiare l'hardware No. O comunque praticamente mai nel real world. Un virus potrebbe (ma per ora non esiste nessun virus simile) cancellare il bios della scheda madre dalla EEPROM (una memoria riscrivibile elettricamente via software), sempre se la EEPROM non e` protetta dalla scrittura (tali EEPROM hanno un apposito interruttorino o "jumper" con due posizioni, PERMETTI CANCELLAZIONE e IMPEDISCI CANCELLAZIONE. Quale delle due mantenere e` lasciato al buon senso dell'utente). In caso di cancellazione, e` quasi sempre possibile ripristinare la EEPROM con un disco di boot apposito, che e` buona norma avere pronto. Alcune schede madri non permettono la possibilita` di fare questo ripristino di emergenza, o non hanno il "jumper" (che e` quindi, sempre, in posizione di PERMETTI CANCELLAZIONE) e sono un ottimo esempio di prodotto che non dovrebbe essere mai comperato. Nel caso avvenga il danneggiamento per sovrascrittura della EEPROM del BIOS, e' quasi sempre possibile ottenerne una nuova dal produttore/importatore/distributore della scheda madre, o molto semplicemente farsi riprogrammare la eeprom stessa (se avete un amico/conoscente con l'identico BIOS o avete accesso ai files con le immagini delle EEPROM). 8.2) Cosa sono i virus stealth? Sono virus che in grado di nascondersi (piu` o meno bene) agli utenti e agli antivirus, per esempio disinfettando temporaneamente i files che vengono controllati dagli antivirus. Per questo e` sempre una buona abitudine fare scansioni periodiche dell'hard disk dopo avere caricato il DOS da un disco di boot sicuramente pulito e protetto da scrittura, altrimenti alcuni virus potrebbero sfuggire al controllo. 8.3) Dove posso trovare informazioni dettagliate sui virus? Intanto in AVP e nelle versioni registrate di tbav e f-prot (la versione gratuita di questo non ha le descrizioni aggiornate), e poi: IBM: gopher://index.almaden.ibm.com:70/1virus/menus/virdesc.70 F-Prot Virus Encyclopedia: http://www.datafellows.fi/vir-desc.htm AVP Virus Encyclopedia: http://www.metro.ch/avpve/ Dr. Solomon's IBM/PC Virus Encyclopedia: http://www.drsolomon.com/vircen/enc/ McAfee: Mcafee Virus Descriptions: http://www.mcafee.com/support/techdocs/ 8.4) Dove posso scaricare dei virus (per, sia chiaro, il piu' nobile dei motivi)? La risposta standard e` "Se devi chiederlo allora non ne hai veramente bisogno". A questa domanda dovrai rispondere da solo, e se non riesci a trovare dei virus sulla rete probabilmente potresti solo correre il rischio di infettare il tuo computer e quello di altre persone per errore. 8.4.1) Ho messo le mani su alcuni virus, ora come li conservo? La cosa migliore da fare e' toglierli - e subito - di torno. Comunque la prima avvertenza da avere con i file infetti, se sono eseguibili, e' di cambiare loro l'estensione: INFETTO.COM puo' diventare INFETTO.COX e VIRUS.EXE diventare VIRUS.EXX. Cosi' si evitera' almeno di lanciarli per sbaglio, visto che alcuni sistemi operativi (o presunti tali) permettono di lanciare dei programmi con _un_ solo click. Inoltre sarebbe bene comprimere (con utilita' tipo PkZIP, ARJ, RAR, ecc.) questi file di test ed archiviarli su disco rimuovibile. 8.5) A cosa serve eseguire il comando "FDISK /mbr"? Questo comando riscrive il codice contenuto nell'mbr (il primo settore dell'hard disk di boot), quello che solitamente carica il sistema operativo in memoria con il loader standard del dos. Il comando e` presente a partire dal DOS 5 e non e` documentato nei manuali. In molti casi puo` essere usato per eliminare un virus, ma se usato per combattere alcune infezioni puo` essere letale per i propri dati: certi virus crittografano la tavola delle partizioni (sempre contenuta nel primo settore del disco) e la decriptano al volo quando un programma cerca di leggere il settore. Se si cancella il virus quindi si cancella anche il codice per decriptarla e ci si ritrova con un hard disk inservibile, a meno di essere capaci a ricostruirla. Inoltre puo` causare problemi nel caso che siano stati installati boot manager come DiskManager, OnTrack e lilo, oppure particolari software di protezione del disco dagli accessi non consentiti. Notate che questo comando *non* cancella le informazioni di partizionamento (che stanno nella tavola delle partizioni, che costituisce l'ultima parte del primo settore dell'hard disk) o i dati contenuti nel disco, ma riscrive solo il codice che carica il DOS (l'MBR, che e` situato prima della tavola delle partizioni) con quello standard. 8.6) Ho letto che mi puo` arrivare un virus tramite email, e` vero? No, no e poi ancora no. Ogni tanto viene postato in usenet un messaggio che mette in guardia da particolari virus che si trasmetterebbero attraverso la lettura di messaggi di email infetti. Questi virus non esistono e non possono esistere, visto che Internet e' un sistema inter-piattaforme, e quello che per Windows 95 e' un virus, per Unix e' solo un'accozzaglia di bytes senza nessuna possibilita` di essere mai eseguito. Ovviamente e` sempre possibile che un messaggio contenga, uuencodato o codificato con MIME, un documento di WinWord contenente un macro virus. Oppure un file eseguibile, sempre in allegato, corredato di ampie spiegazioni sul perche' voi dobbiate eseguirlo. Beh, NON FATELO. Se pure dicesse che e' un antivirus, che e' un driver che scatena tutta la potenza della CPU, decuplica le prestazioni, guarisce il cancro e porta la pace nel mondo, NON, NON, NON ESEGUITELO. Stesso discorso per le news, non e` possibile essere infettati semplicemente leggendo un newsgroup, a meno che il vostro newsreader non decodifichi ed esegua automaticamente i programmi codificati con MIME che incontra (che e` l'equivalente di una porta blindata che si apra automaticamente all'avvicinarsi di CHIUNQUE, sia voi che un ladro). Se il vostro software procede cosi`, allora /meritate/ di essere infettati, per il semplice motivo di usare un programma che fa una cosa cosi` stupida. (Quindi mai fidarsi dei programmi che trovate in giro, sopratutto dalle parti di alt.binaries.warez.* ...) 8.7) Good Times! Ogni tanto esce qualcuno che spedisce un messaggio che avverte di un possibile virus chiamato Good Times che si trasmetterebbe via email. Bene, questo virus non esiste, e se cercate bene troverete anche una faq che spiega perche` e` un falso. Ora, pero', la situazione e' cambiata. Dopo tre anni in cui tutti si sono convinti che il Good Times e' una burla, e' uscito un VERO virus che attacca i sistemi Windows. Si chiama Win.RedTeam. Il virus invia una email CON ALLEGATO. Per nessun motivo eseguire questo allegato, neanche se vi promette di essere un antivirus potentissimo che trasforma il PC in una fortezza ed il gatto di casa in Claudia Schiffer. 8.7.1) Ho eseguito l'allegato di Good Times e ho Windows 95! Bravi polli! Se NON avete ancora resettato il computer, siete ancora al sicuro. Andate su Avvio\Trova File e cercate EXTRACT.EXE. Segnatevi la directory dove si trova; e' C:\WIN95 o C:\WINDOWS\OPTIONS\CABS. Andate su Avvio e riavviate il computer IN MODALITA' MS-DOS, dopo esservi stampati o annotati questa pagina Date il comando CD C:\WIN95 (oppure CD C:\WINDOWS\OPTIONS\CABS) e poi il tasto INVIO Date il comando extract /A WIN95_02.CAB KRNL386.EXE e poi il tasto INVIO Date il comando COPY KRNL386.EXE C:\WINDOWS\SYSTEM e poi il tasto INVIO Okay. Per questa volta ce l'avete fatta. 8.7.2) Ho eseguito l'allegato; non ho Windows 95, oppure ce l'ho ma ho riavviato la macchina, oppure l'ho spenta ieri sera e poi solo oggi ho letto le FAQ... Spiacenti. Vi serve un antivirus efficace, oppure dovete formattare il disco e reinstallare tutto. Vedi alla voce "Quali Antivirus". Molte volte viene distribuito insieme anche un avviso di un virus chiamato PKZIP300.ZIP, che invece e` un vero trojan, visto che per ora l'ultimo PkZip uscito e` il 2.04g. Per saperne di piu` visitate http://ciac.llnl.gov/ciac/bulletins/h-05.shtml 8.8) Cosa sono i macro virus? Sono virus scritti con i comandi macro di un'applicazione (per esempio WinWord o Excel) e contenuti in documenti che non sono di per se` files eseguibili. A volte un macro virus puo` immettere nel sistema e attivare un normale virus. 8.9) Un virus puo` nascondersi dentro un gif o un jpeg? Si, si puo` mettere un virus dentro al file di un'immagine come si puo` metterlo dentro a qualsiasi file di dati, pero` non sara` mai eseguito, visto che le immagini sono dati da visualizzare e non codice che deve essere eseguito dalla CPU. Possono esistere GIF o JPEG "malicious", capaci di bloccare il sistema quando li si apre, ma e` sufficiente cancellarli; non sono in grado di riprodursi. Secondo voci non confermate, una particolare (e difettosa) gestione della dimensione di una memoria temporanea consentirebbe ad un file GIF di prendere il controllo della macchina sotto Windows 95 con la versione 4.xx di Internet Explorer. Questo tipo di "scherzi", detti "buffer overruns", esiste in vari programmi... ma sfruttarli e' una cosa estremamente difficile, perche', *di solito*, non esistono due macchine che reagiscano nello stesso identico modo. Puo' essere, forse, - ma non garantisco - una buona idea installare un programma chiamato "Norton CrashGuard", che rende Win 95 un poco piu' stabile e "para" alcuni buffer overruns. 8.9.1) E dentro a un file di testo? Dentro un file ascii potrebbe nascondersi una bomba ANSI (una sequenza di controllo che rimappa alcuni tasti della tastiera in modo che compiano operazioni dannose, tipo formattare l'hard disk) che si attiverebbe mentre viene visualizzato sullo schermo. Il miglior modo per tutelarsi e` usare al posto dell'ANSI.SYS distribuito con il DOS un driver che non permetta la ridefinizione dei tasti (se ne trovano sui siti FTP dedicati ai programmi dos e sulle BBS). Per sapere se avete l'ANSI installato, aprite il file C:\CONFIG.SYS con un editor (EDIT, NOTEPAD, ecc.); se vedete una linea che inizia con DEVICE=... e finisce con ...ANSI.SYS allora si', avete l'ANSI installato. Se no, no (esistono ANSI residenti, non devices, ma di solito non implementano la ridefinizione dei tasti). 8.10) E` possibile infettarsi con un "dir"? In *NESSUN* modo un virus puo` /installarsi/ in memoria semplicemente eseguendo dir, e tantomeno infettare altri programmi. Invece succede che se si fa il dir di un disco, il suo bootsector viene letto dal DOS e messo in un buffer all'interno della sua area dati (ma *NON* viene eseguito, in nessun caso), e se quindi nel disco c'e` un virus di boot il suo codice sara` trovato in memoria (ma non certo sull'hard disk) da un antivirus eseguito subito dopo; ma questo non significa che il PC sia stato infettato. |8.11) E' possibile infettarsi SOLO aprendo un file .ZIP? |No. Pero' se uno dei files e' infetto, e hai abbastanza buffers |aperti, e' possibile (perche' vengono usati in rotazione) che i |codici del virus rimangano, per un po' di tempo, intatti in uno |di questi buffers. |I buffers non sono mai eseguiti e quindi il rischio e' zero, ma |un antivirus non puo' sapere a cosa serve la memoria che sta in |quel punto. Percio', quando fa l'analisi della memoria, vede un |rimasuglio di codice virale e da' l'allarme. |E' un fenomeno simile a quello per cui dare DIR di un dischetto |infetto puo' far sembrare che ci sia un boot virus attivo nella |memoria centrale (v. 8.10). |Qualsiasi operazione che riempia o svuoti tutti i buffers (come |il dezippaggio di un file piu' grosso, o uno scandisk) dovrebbe |magicamente far cessare l'allarme. 9) Hanno collaborato... Molte persone, che pero' a memoria non ricordo con precisione. Chi vuole essere citato, mi mandi una email (questo vale anche per chi ricordo benissimo, ma non ho interpellato sulla volonta' o meno di comparire qui). ".signature": bad command or file name