Hardware & Software > Sistemi Operativi, Sicurezza & Connettività
[INFO] Spybot Search & Destroy
clic:
Spybot Search & Destroy è uno dei più noti antispyware gratuiti a disposizione degli internauti le cui potenzialità si esprimono al meglio una volta configurato nei dettagli ed è il giusto complemento di un buon antivirus. La maggior parte degli utenti lo installa e lo usa out-of-the-box mantenendo le impostazioni di default che per una protezione adeguata sono insufficienti.
La guida che segue non ha la pretesa di essere completa di tutti gli aspetti che riguardano questo prodotto, ma può essere di ausilio per un discreto fine tuning.
Innanzi tutto scaricatevi l'ultima release dal sito ufficiale www.spybot.info
Prestate la massima attenzione a non cadere in qualche trappola con siti che per assonanza o aspetto somiglino a quello ufficiale, è un prodotto che da fastidio e molti cracker cercano di rifilarvi bidoni ricorrendo al typo squatting o trucchi similari.
Iniziamo:
una volta lanciato il setup, nella prima finestra di dialogo di installazione comparirà un menu a discesa nel quale sceglierete la lingua di vostro gradimento. Una volta selezionata si preme il pulsante OK e si seguono le indicazioni del setup sino alla "Selezione processi addizionali": l'ultima opzione rende operativa la protezione in tempo reale contro modifiche non autorizzate o apparentemente tali, del sistema operativo. Non ho notizie di conflitti con antivirus ma tenete conto che è una funzione che in caso di noie potrete disattivare in un secondo tempo.
Dopo l'installazione della nuova versione 1.5.2.20 il programma richiede il riavvio del computer. Dopo il riavvio del computer, al successivo avvio del programma ci viene suggerito, come primo di quattro passaggi, di fare un backup completo del registro di configurazione: vi confesso che l'ho sempre ignorato quindi fate voi la scelta che ritenete giusta.
Premendo il pulsante "Successivo" vi troverete nella pagina 2/4 dalla quale scaricare eventuali aggiornamenti e naturalmente dovrete premere il relativo pulsante. Comparirà una seconda finestra dalla quale selezionare il server (in genere faccio scegliere al programma lasciando inalterata la selezione) degli aggiornamenti e nella quale premerete il pulsante "Continua".
Come noterete i componenti in italiano sono riferiti ai file di help ed alle descrizioni, tradotte dall'inglese, del database delle voci di avvio automatico (è una delle sezioni di cui parleremo in seguito).
A scanso di equivoci vi consiglio di scaricare tutto poiché non si ha la garanzia che le descrizioni siano tutte debitamente tradotte: meglio una descrizione in inglese difficile da capire piuttosto che un campo vuoto.
Non dimenticate in ogni caso di scaricare il file "Immunization database", altrimenti non avrete il programma debitamente aggiornato.
Una volta premuto il pulsante "Scarica" e tutti i componenti saranno contrassegnati dal segno di spunta verde, potrete proseguire premendo "Esci".
Siete ora tornati alla finestra di dialogo 2/4 e potrete premere il pulsante "Successivo" e quindi alla pagina successiva (3/4) farete clic su "Immunizza il sistema".
Alla pagina 4/4 potrete avviare il mini corso oppure iniziare ad usare il programma.
Ora viene la parte di customizzazione che vi permetterà di impostare secondo le vostre esigenze le funzionalità del programma e di conoscerne in parte la logica di funzionamento.
Prima di tutto vi consiglio di passare alla modalità avanzata: nel menu selezionate "Modalità" e fate clic su "Modalità avanzata": un messaggio dai toni terroristici vi invita a riflettere sulla scelta che state per fare, se non avete paura di sperimentare premete "Si" (lasciate ogni speranza voi ch'entrate ^_^)
Qui ora si apre tutto un mondo di opzioni alcune delle quali molto interessanti.
Nel menu a scorrimento verticale di sinistra fate clic sull'etichetta "Impostazioni" e poi di nuovo su Impostazioni. Troverete anche altre voci (Lingua, Moduli di ricerca, Interfacce ecc.) ma vi consiglio di lasciare quelle di default ed intervenire solamente su Impostazioni e Cartelle.
Come dicevo, la sezione Impostazioni è molto nutrita e vi ci vorrà un po per valutarne tutti gli aspetti e decidere quali opzioni attivare\disattivare.
Personalmente sono solito attivare le seguenti opzioni lasciando le restanti di default:
nella sezione "Automazione"
- Immunizza all'avvio del programma se il programma è stato aggiornato
nella sezione "Aggiornamenti dal Web"
- Cerca sul web nuove versioni ad ogni avvio del programma
- Scarica i file di definizione aggiornati se disponibili online
- Ricordami di controllare gli aggiornamenti all'avvio del programma
nella sezione "Impostazioni avanzate"
- Mostra i pulsanti avanzati nella pagina dei risultati
- Mostra i pulsanti avanzati nella pagina di ripristino
La voce Cartelle è intuitiva e non dovrete fare altro che trascinarvi (o fare clic con il destro per accedere al menu contestuale) le cartelle nelle quali siete soliti salvare i file che scaricate.
UTILITA'
Passiamo ora con un clic alla voce Utilità che si trova in basso, nel menu a scorrimento di sinistra.
Nel pannello centrale avrete una serie di opzioni alcune delle quali disattivate e che dovrete attivare.
Quelle di maggior interesse sono ActiveX, BHO, File Hosts ed Esecuzione Automatica. Ciò non significa che le altre non siano utili, anzi...
ActiveX
La voce "ActiveX" vi mostra i componenti installati e dei quali potete verificare l'origine di installazione. Le voci conosciute vengono contrassegnate con la spunta verde.
BHO
La voce "BHO" vi mostra i Browser Helper Objects, la cosa più inutile IMHO introdotta da IE e che è all'origine di molte delle infezioni che affliggono i personal computer con Windows. Per intenderci le barre di Yahoo o di Google che compaiono nel menu di Internet Explorer sono BHO e anche se in alcuni casi si dimostrano utili, nei restanti sono una vera iattura e veicolo di problemi.
Anche qui, come nella voce ActiveX, è possibile verificarne l'origine selezionando la singola voce: è importante che controlliate bene il link al quale fanno riferimento e la directory in cui sono installati e vi assicuro che ne vedrete delle belle...
Pagine del Browser
Qui potete verificare se qualche modifica è stata apportata alle pagine di ricerca e di avvio predefinite di Internet Explorer. Quando si viene infettati queste voci del registro di configurazione potrebbero venire modificate affinché ad ogni avvio del browser questo punti ai siti degli "untori" e rientra nelle techniche di hijacking
Regolazioni di IE
Delle tre opzioni consiglio la spunta delle prime due: attivando anche la terza (il blocco del pannello di controllo) si impedisce che modifiche importanti vengano fatte in caso di infezione. In quel caso è necessario ricordarsene altrimenti se si presenta la necessità di applicare modifiche al browser non riuscirete perché bloccati da questa impostazione.
File Hosts
Windows consulta questo file ogniqualvolta viene richiesta una risorsa esterna che richiederebbe la risoluzione della risorsa stessa.
Se per esempio chiediamo www.emuleitalia.net tramite il browser, la richiesta viene passata allo strato dei servizi di rete che prima cercano nel file hosts e nel caso non trovino nulla passano la richiesta al DNS impostato nella scheda di accesso remoto o nella scheda di rete che usate per connettervi all'esterno. Il DNS interrogato, se trova tale risorsa restituisce al client l'indirizzo IP di emuleitalia e da quel momento inizia la transazione con lo scambio di dati che portano alla visualizzazione della pagina. Cosa accade se nel file hosts (che è un file di testo senza alcuna estensione) immettiamo questa riga?
127.0.0.1 www.emuleitalia.net
Ve lo dico io, il browser vi da una bella pagina di errore, come se il sito fosse irraggiungibile. é con questo stratagemma che Spybot, manipolando il file hosts, vi mette al sicuro da una serie di siti noti per trasmettere virus e malware di vario genere. Questa lista fa parte anch'essa degli aggiornamenti che scaricate e poiché non sono certo che avvenga in automatico, consiglio di applicarla per precauzione ogni volta che avviate il programma.
Disdette
Come potete leggere nella descrizione, si usa nel caso si riceva spam da qualche azienda ma come potete constatare voi stessi, ne sconsiglia l'uso
Elenco processi
E' una versione molto più evoluta dell'elenco dei processi del taskmanager di Windows. Per ogni processo è possibile, oltre all'arresto dello stesso, visualizzare info dettagliate come moduli caricati e porte in uso con origine e destinazione, protocollo usato (TCP,UDP) e stato della connessione.
Facendo clic con il tasto destro sul processo attivo è si nota la presenza del comando "Visualizza file con Esplora risorse" molto utile per individuare la posizione del file e controllarne autore e versione se presenti. Tuttavia queste sono informazioni che troverete solo nel caso di file legittimi, il malware non fornisce di certo info sul suo autore ^_^
Voci di registro
Questro strumento appartiene a quella categoria di tool di riparazione di cui mi fido relativamente. Tempo fa mi sono messo a controllare manualmente alcune voci segnalate come errate ed effetivamente la rilevazione dell'errore era giusta ma... mi fido poco dei tool automatici in generale quindi a voi la scelta se ricorrervi o meno.
Esecuzione Automatica
Anche qui, come per le altre voci, trovate in alto la descrizione delle funzionalità offerte.
Nell'elenco potete vedere la chiave di registro relativa alla voce, il valore che poi è una sorta di etichetta ed infine il percorso del file. Le differenti colorazioni indicano con il verde la affidabilità, con il giallo la presenza facoltativa della voce, con il bianco la mancanza di descrizioni precise sulla stessa. Se sono presenti voci in rosso verificate immediatamente poiché potrebbe trattarsi di un ospite sgradito.
Per ogni voce che selezionate singolarmente potete visualizzarne la descrizione facendo scorrere da destra verso sinistra il curioso pulsante con due frecce blu che si trova a metà schermata.
Le chiavi di registro riguardano sia i valori globali (che valgono per tutti gli utenti) che quelle specifiche per ogni user e caratterizzate dalla presenza del SID (identificatore unico per ogni utente) che inizia con S-1-5-xxxxx. Ai fini pratici sono info che forse possono interessare i piu smanettoni e in linea di massima tutto ciò che troverete inutile potrete disabilitarlo per step successivi fino a trovare la soluzione che non provochi problemi ai programmi che usate quotidianamente.
Sempre per i più curiosi alcune di queste voci (per intenderci quelle che valgono per la macchina) vengono ricavate dalla chiave HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run dove trovate l'elenco di startup delle applicazioni. Eliminando le voci da questo ramo del registry, la modifica vale per tutti gli utenti.
Con Spybot però è più comodo operare poiché visualizza anche quelle chiavi che per noi non sarebbero interpretabili ed i cui valori sono espressi in esadecimale. Spesso il malware usa proprio questo stratagemma (valori esadecimali in rami del registro in cui nessuno cercherebbe) per nascondersi ai nostri occhi e per quanto si cerchi non troviamo nulla di intellegibile nel registro che possa ricondurre ad eventuali programmi che si avviano autonomamente.
Una nota particolare va al file ctfmon.exe onnipresente nei sistemi windows che microsoft contrassegna come legittimo componente necessario per il funzionamento di Office (nel mio computer di casa non ho Office ma ctfmon si trovava nelle voci di avvio automatico). Spybot invece è di tutt'altro parere e lo segnala come ospite non gradito. Se volete disattivarlo provate pure verificando però che non soffriate anomalie con i vostri sistemi.
Info di disinstallazione
Si può rcorrere a questo strumento nel caso una applicazione dopo la disintallazione compaia ancora nell'elenco dei programmi attivi. Personalmente non l'ho mai usato.
LSP del Winsock
E' una sezione per gli addetti ai lavori e di nessuna utilità per la maggior parte degli utenti.
Vincent Vega:
Grazie clic :)!!
Bel lavoro!!
--- Citazione ---(lasciate ogni speranza voi ch'entrate ^_^)
--- Termina citazione ---
Ecco appunto!! D'oh!!
Ciao :)!!
P.s. Mi chiede d'immunizzare anche i Cookies!
Immunizzo?
Avrei dovuto fare prima una pulizia del S.O.?
Grazie :)!!
Lucarella:
grazie clic
mi metto subito al lavoro -_-
Vincent Vega:
Perché Spybot Search & Destroy perderebbe le sue note pontezialità una volta impostato a dovere?
Ciao :)!!
--- Citazione ---P.s. Mi chiede d'immunizzare anche i Cookies!
Immunizzo?
Avrei dovuto fare prima una pulizia del S.O.?
Grazie :)!!
--- Termina citazione ---
P.s. Per ora ho immunizzato, se ci dovessero essere dei problemi avvertitemi che cerco di correggere l'eventuale errore!!
clic:
--- Citazione da: Vincent Vega - 11 Febbraio 2008, 20:07:00 ---Perché Spybot Search & Destroy perderebbe le sue note pontezialità una volta impostato a dovere?
--- Termina citazione ---
Hai ragione... avendo scritto di getto, la sintassi non era il massimo ma ora spero sia più chiaro
Navigazione
[0] Indice dei post
Vai alla versione completa