Stop Dialer
Una persona scopre che il proprio computer è stato infettato da un dialer o un hijacker quando riscontra la presenza di nuove icone sul Desktop, profili di connessione a Internet mai visti, una pagina iniziale in Internet Explorer diversa dal solito che non può essere modificata, una barra di navigazione indesiderata o degli strani risultati nelle ricerche on-line… oppure perché la bolletta telefonica presenta un conto astronomico. Per fortuna tutti questi sintomi non sempre si presentano contemporaneamente, e ne basta solo uno per entrare in allerta ed essere obbligati a correre ai ripari per limitare i danni.
Nella migliore delle ipotesi vi ricorderete quando avete tenuto un comportamento sospetto: stavate cercando calendari sexy? Software pirata? Oppure avete scaricato un programma per le suonerie dei cellulari che poi si è rivelato non funzionante? Questi sono alcuni dei casi in cui si scaricano dialer e spyware: ricostruire la provenienza del malware, quando lo avete contratto e su quale sito permette di procedere in modo mirato alla sua eliminazione. Ma noi amiamo le imprese complicate, quindi presupponiamo che il computer non l’abbiate infettato voi, ma vostro figlio che continua a negare qualsiasi coinvolgimento nell’”affaire”… cosa dovete fare per far uscire dai guai il PC?
Non è facile spiegare come rimuovere spyware e dialer soprattutto perché ciascun malware “attecchisce” in modo diverso nel computer. Non vi possiamo quindi indicare un procedimento univoco, bensì possiamo darvi dei consigli di massima che richiedono un po’ di attenzione e di scaltrezza. Spesso e volentieri i software antivirus o antispyware non sono in grado di curare in modo completo e autonomo l’infezione, rendendo necessario un coinvolgimento più diretto dell’utente per eliminare file, cancellare voci dal file di registro, individuare i processi attivi nel computer che sono da considerarsi pericolosi. Questa situazione rende quindi più complicato e meno automatizzato il lavoro di pulizia da parte dell’utente e aumenta il rischio che si scoraggi presto, e che, per paura di ritrovarsi col PC fuori uso, lasci nel computer parte del malware.
Fermarsi e… pensare
Anche se sembra un controsenso macroscopico, appena avete il sospetto che il vostro computer sia stato vittima di un dialer, uno spyware o un hijacker, chiudete la connessione a Internet, scollegate il modem dalla rete telefonica, spegnete il PC e pensate con tranquillità a un “piano di attacco”: la fretta non è mai buona consigliera e siate consapevoli che cercare di curare il computer vi porterà via un sacco di tempo. La situazione ideale è quella di avere a disposizione un altro computer da connettere in Internet per scaricare i programmi necessari ed effettuare ricerche mirate; nel caso non abbiate la possibilità di servirvi di un PC di supporto, connettetevi alla Rete con quello infetto, installando o attivando un antivirus e un firewall: i messaggi di quest’ultimo dovrebbero avvisarvi se c’è del traffico dati sospetto. Limitate comunque il più possibile la vostra permanenza sulla Rete perlomeno finché non avrete debellato l’infezione.
Il dialer e i suoi “compagni di merende”
Sono rari (e fortunati) i casi in cui il computer viene attaccato solo dal dialer. Di solito “i guai non arrivano mai da soli” e i dialer non fanno eccezione, visto che i siti che ne forzano l’installazione automatica sono prodighi nell’infettare i PC con i trojan, ossia software in grado di veicolare altro malware (hijacker, spyware, backdoor e così via).
Le conseguenze dirette del dialer non sono gravi, soprattutto se avete un abbonamento ADSL o in fibra ottica. In questo caso non correte rischio che il modem si connetta per conto proprio a un numero a pagamento. Gli utenti con connessione analogica (sono ancora tanti, nonostante la diffusione dell’ADSL) dovranno prestare attenzione a controllare che non vengano composti, a vostra insaputa, numeri di telefono a pagamento: per accorgersene, il modo migliore è alzare il volume dell’altoparlante del modem, in modo tale che se lo sentite comporre un numero potete spegnerlo all’istante (se si tratta di un modem esterno) oppure staccare il cavo telefonico, se il modem è interno. Per alzare il volume dell’altoparlante fate un clic con il tasto destro sull’icona Risorse del computer e selezionate la voce Proprietà; fate clic sulla scheda Hardware e poi su pulsante “Gestione periferiche”; nella lista fate doppio clic sul nome del vostro modem (si trova sotto la voce Modem), e si aprirà una finestra di gestione delle impostazioni della periferica. Fate clic sulla scheda Modem e impostate al massimo l’indicatore in corrispondenza di “Volume dell’altoparlante” e premete poi su “OK”. Non è finita: dovete visualizzare l’elenco delle vostre connessioni a Internet facendo clic su Start/Impostazioni/Connessioni di rete. Fate un clic con il tasto destro sull’icona della connessione del dialer e selezionate “Proprietà”. Nella scheda Generale fate clic su “Configura” (comando relativo al modem) e nella finestra successiva attivate la spunta accanto alla voce “Attiva altoparlante modem”. Fate clic su “OK” e così avete concluso questa operazione che vi farà sentire più al sicuro nei confronti di una connessione a pagamento di cui non conoscete le modalità di funzionamento. Vale la pena anche verificare il numero telefonico della vostra connessione via modem predefinita, quella che avete sempre utilizzato per collegarvi a Internet: i dialer più subdoli sostituiscono il numero telefonico con uno a pagamento.
Non cedete alla tentazione di cancellare l’icona del dialer dalla finestra delle Connessioni di rete: difficilmente ve ne sarete sbarazzati in modo definitivo, perché spesso il dialer fa capo ad altri software installati nel computer che ripristineranno l’icona dopo il riavvio del PC. In alcuni casi può anche accadere di imbattersi in dialer che possono essere disinstallati dalla finestra “Installazione applicazioni” del Pannello di controllo, però si tratta di evenienze abbastanza isolate.
La cosa migliore da fare quando vi accorgete che il vostro PC ospita un dialer è fare una o più scansioni al computer con l’antivirus: le versioni recenti dei più diffusi (quelli prodotti da Symantec, Mcafee, Panda, Kaspersky, Trend Micro, G Data) includono moduli per l’individuazione dei dialer e ormai riescono quasi sempre a disattivarli con successo. Le istruzioni che seguono sono utili sia per i dialer sia per gli hijacker.
La scansione in modalità provvisoria
Il fatto che il vostro PC sia stato contaminato facilmente fa presupporre che in precedenza non abbiate installato un software di protezione, per esempio un antivirus o un antispyware: se invece eravate stati previdenti e avevate provveduto a proteggervi, può essere che al momento dell’infezione il programma non fosse aggiornato (può accadere non solo per una vostra mancanza, ma anche per scarsa tempestività del produttore del software). Il danno è comunque fatto e quindi dovete scaricare da Internet gli aggiornamenti del vostro software ed effettuare una scansione approfondita per riconoscere il malware che vi ha attaccato.
È importante svolgere qualsiasi scansione con il computer disconnesso da Internet (per precauzione scollegate il cavo telefonico dal modem se avete una connessione analogica) e con il sistema operativo eseguito in modalità provvisoria. Questo forse è uno dei primi scogli in cui si imbattono gli utenti meno esperti, in quanto la modalità provvisoria non è molto conosciuta. Si tratta di un’esecuzione “alleggerita” del sistema operativo che, all’avvio, carica solo i driver per l’hardware e i processi più essenziali. Per avviare Windows in modalità provvisoria dovete riavviare il PC e, nei primi momenti di caricamento delle informazioni del sistema (subito dopo il conteggio della memoria RAM), premere a tastiera il pulsante F8. Nel menu successivo, muovendo la selezione con i tasti freccia, scegliete “Modalità provvisoria” tra le opzioni disponibili. A questo punto si avvierà il sistema operativo.
Anche in questo caso non è detto che, una volta eseguita la scansione, venga rilevato qualcosa e che l’antivirus sia in grado di “igienizzare” il PC al 100%. Se il software non ha rilevato nulla oppure non è riuscito a eliminare l’infezione, dovrete ricorrere ad altri programmi (vedi paragrafo successivo e riquadro “I software che possono fare la differenza”) e, nella peggiore delle ipotesi, procedere alla rimozione manuale dell’infezione. Prestate comunque attenzione ai messaggi informativi dell’antivirus o dell’antispyware: se vi comunicano il nome del malware, annotatelo e cercate informazioni in Internet. Per le infezioni più diffuse esistono dei piccoli programmi gratuiti che sono in grado di individuare e cancellare il malware. Questi software di solito sono chiamati “remover” oppure “removal utility”: utilizzate questi termini assieme al nome del virus per le vostre ricerche sul Web. Per esempio, per eliminare il pernicioso hijacker CoolWebSearch è stato da tempo creato il kit CWShredder.
Di programma in programma
Le istruzioni appena date (aggiornamento delle definizioni, esecuzione in modalità provvisoria) devono essere osservate sempre, ogni volta che installate un nuovo software di sicurezza. tenete presente che due antivirus non possono convivere tra loro, così come due antispyware. Prima di procedere all’installazione di un altro programma dovrete disinstallare il precedente, riavviando sempre il computer al termine delle operazioni. Ve lo abbiamo detto che poteva servire molto tempo!
Quando il file è in uso
La pulizia del sistema con antivirus e antispyware può non andare a buon fine perché spesso i file infetti e i processi collegati al malware sono attivi. Infatti qualsiasi file (non solo uno nocivo) non può essere cancellato o spostato se è in uso, aperto, “funzionante”. Quindi se il malware è attivo, l’antispyware può fallire nell’azione di pulizia. Questo è il motivo per cui è preferibile effettuare le scansioni in modalità provvisoria (la quantità di processi eseguiti è ridotta al minimo, quindi diminuisce anche la probabilità che i file da cancellare siano in uso). Tuttavia se il malware è davvero pernicioso, è facile che anche in modalità provvisoria alcuni file non possano essere cancellati perché “in uso” (di solito i processi dei vari malware si avviano all’accensione del computer).
Occhio ai processi
Se la cancellazione di un file contaminato è impossibile, bisogna bloccare il processo che lo sta utilizzando. Anche questo, come la modalità provvisoria, può essere un ostacolo per molti utenti “fai da te”. Bisogna in primo luogo visualizzare la lista dei processi in esecuzione automatica all’avvio del computer: fate clic su Start/Esegui e all’interno della stringa digitate “msconfig”. Nella finestra Esegui fate clic sulla scheda Avvio e avrete la lista dei processi di avvio (colonna di sinistra). nella colonna Comando, invece, visualizzate il file eseguibile collegato. Esistono dei siti Web (per esempio questo www.castlecops.com/StartupList.html) che forniscono una lista di processi sospetti e non (il sito è in inglese, però la lista è davvero chiara nell’evidenziare in rosso o con sottolineatura gli elementi sospetti). Dopo un controllo incrociato tra la vostra lista dei file di Avvio e quella del sito Web, potete disabilitare l’esecuzione all’avvio dei processi pericolosi selezionandoli e deselezionandoli dalla lista (attenzione: in questo passaggio non cancellate nulla, state solo disabilitando l’esecuzione di un file per permettere all’antivirus di agire). Riavviate il computer e, una volta tornati al Desktop, una finestra vi avviserà che avete attivato una modalità di avvio selettiva (in effetti avete selezionato cosa eseguire e cosa no). A questo punto fate ripartire la scansione del programma di sicurezza.
Trattamento d’urto
Quando tutti i software antivirus non hanno portato a buoni risultati, n eppure con l’eliminazione dei processi in avvio, bisogna usare la forza: il programma più diffuso per questo tipo di trattamento è HijackThis 1.99.1. Potete trovare dei link per il download di questo software gratuito alla pagina www.majorgeeks.com/download3155.html. (scaricherete un file ZIP contenente un file EXE: è il programma, e non necessita di installazione: basta fare doppio clic sull’eseguibile.
Si tratta di un’applicazione che controlla tutte le voci del file di registro di sistema e verifica le sue funzioni sulla base di un elenco di funzioni lecite o meno. Il funzionamento del programma è semplice: semmai è difficile capire se una voce del registro indicata come “dubbia” da HijackThis sia legata o meno all’attività di un malware. Per questo motivo effettuate prima di tutto una scansione facendo clic sul comando “Do a system scan only”. I risultati della scansione non sono incoraggianti: è una serie di voci di registro, ma non sono tutte da cancellare, anzi! Quasi tutte sono legate a programmi che voi volete mantenere in funzione. Potete selezionare ogni singola voce e premere il pulsante “Info on selected item” per avere informazioni approfondite. In linea di massima concentrate la vostra attenzione e le ricerche sulle chiavi di registro che al loro interno contengono indirizzi IP (il loro formato quello di quattro gruppi di numeri con al massimo tre cifre, per esempio “212.34.221.2”. In caso di dialer ricercate il nome della connessione o il numero telefonico). Solo quando siete sicuri che si tratta di una voce collegata al malware potete selezionarla e premere il pulsante “Fix checked”. Anche in questo caso effettuate sempre delle ricerche mirate in Internet: la letteratura relativa al malware è vasta, e troverete sicuramente risposte chiare se avete il dubbi di eliminare una voce legata a un software gradito (per esempio un programma di file sharing, o un plug-in del browser).
Dopo la tempesta…
Di solito la pulizia con HijackThis è l’ultima spiaggia cui si approda per rimuovere il malware: molti di voi non ne avranno neanche bisogno. In tanti casi l’antivirus risolve subito il problema e, in caso negativo, ci pensa l’antispyware. Ricordate di fare riferimento alle sempre istruttive enciclopedie dei virus che tutti i più importanti produttori tengono aggiornate con le istruzioni di rimozione manuale, spesso associandole a piccoli software gratuiti di rimozione … e ci permettiamo un consiglio: la prossima volta che frequentate siti ad alto rischio di infezione (software pirata, pornografia, suonerie, sfondi del Desktop, materiale che viene promesso come gratuito ma che secondo il buon senso difficilmente viene regalato) corazzate il vostro computer con un software di Internet Security e un antispyware da tenere rigorosamente attivi.
I software che fanno la differenza
Antivirus
Antivir PersonalEdition Classic (http://www.free-av.com/ antivirus gratuito che individua e rimuove anche dialer)
Kaspersky Antivirus 6.0 (http://www.kaspersky.com/, versione completa in prova gratutia)
Scansioni antivirus on-line
Kaspersky Anti-Virus: Free Online Virus Scanner www.kaspersky.com/virusscanner
Trend Micro Housecall http://housecall.trendmicro.com/
Antispyware
Webroot Spy Sweeper (www.webroot.it , è possibile scaricare una versione completa in prova gratuita per 30 giorni)
Spybot-S&D (www.safer-networking.org/it, gratuito)
Ewido (www.ewido.net/en/download, versione completa in prova gratuita per 30 giorni)
Fonte notizia: www.computer-idea.it
