Manuale. L’acchiappavirus

L’acchiappavirus. Piccolo manuale di sicurezza informatica per chi odia la sicurezza informatica. Apogeo, Milano, 2004


di Paolo Attivissimo, giornalista informatico. Le istruzioni che seguono sono tratte dal capitolo 3 del →manuale, che si può scaricare gratuitamente dal sito di Paolo Attivissimo, cliccando qui


Trucchi ostili con le estensioni
I creatori di virus e gli intrusi informatici sfruttano spessissimo truc­chetti basati sulle estensioni. Molti virus assegnano ai file infettanti una doppia estensione (per esempio megangale.jpg.exe).
In questo modo, un utente poco attento che usa un Windows non “raddrizzato” non vede la seconda estensione (exe) che rivela il pericolo, ma soltanto la prima (jpg). Così, se ha familiarità con le estensioni, pensa che Windows le stia visualizzando correttamen­te, crede che il file sia un’immagine, lo apre con un doppio clic e si infetta.
Prendete l’abitudine di cancellare subito e senza esi­tazioni qualsiasi file che trovate con una doppia estensione. È quasi sicuramente un file ostile.
Attivare la visualizzazione delle estensioni, insomma, aiuta a met­tervi al riparo anche da questo classico espediente. Non è comun­que una soluzione perfetta, come vedremo tra un attimo.
Un altro trucco molto diffuso fra gli aggressori è separare le due estensioni mettendo molti spazi nel nome del file, in modo da portare “fuori inquadratura” la vera estensione del file infettante. Per esempio, un virus può chiamarsi
“megangale.jpg .exe”
Nonostante le apparenze, questo è un unico nome di file. Gli spazi fra “jpg” e “.exe” non devono trarre in inganno: fanno parte del nome. Se la finestra in cui visualizzate il nome del file è stretta, la seconda estensione sarà invisibile e verrete indotti a pensare che ci sia un’unica estensione, per di più una di quelle considerate poco pericolose (jpg), quando in realtà ce n’è un’altra quasi sicura­mente ostile (exe).
Ovviamente, qualsiasi file che abbia queste caratteri­stiche è da considerarsi ostile e va cancellato subito.Un altro trucchetto in voga fra vandali e aggressori è approfittare dell’ambiguità fra .com come estensione di un file e .com come nome di sito. Per esempio, vi arriva un e-mail che contiene una frase del tipo “Visita magacesira.com!!!”. Sembra l’invito a visitare un sito e sembra che se cliccate sul nome del “sito” verrete portati al sito reclamizzato: in realtà la cliccata lancerà il programma ma­gacesira.com allegato al messaggio, che infetterà il PC.15

Estensioni maledette
Purtroppo i difetti di progettazione di Windows non si esauriscono qui. Anche dopo aver chiesto esplicitamente a Windows di visua­lizzare le estensioni dei nomi dei file, il sistema continua a nascon­derne alcune.
Questo, a casa mia, si chiama fare i dispetti. A dire il vero si chia­ma in un altro modo, ma questo è un libro per tutta la famiglia e mi devo trattenere.
Non ci credete? Provateci. Vi propongo una dimostrazione pratica da mostrare agli amici: creerete un “virus” (innocuo, non temete) che sfrutta questi difetti di Windows per travestirsi e ingannarvi no­nostante tutto.
• In Esplora Risorse, andate nella cartella di Windows (di solito è C:\WINDOWS) e nella sottocartella system32 e cercate un file di nome calc.exe, facilmente riconoscibile dall’icona che rap­presenta una calcolatrice. È il programma Calcolatrice di Win­dows: un programmino assolutamente inoffensivo, che useremo come cavia non distruttiva.
• Copiatelo nella cartella Documenti: cliccate sul file usando il pulsante destro del mouse, scegliete Copia, cliccate sulla car­tella Documenti in Esplora Risorse e scegliete il menu Modifica e la voce Incolla. Nella cartella Documenti avete ora una copia della Calcolatrice da sottoporre ai vostri esperimenti.
• Ora che avete attivato la visualizzazione delle estensioni e che sapete che il file calc.exe è un file eseguibile perché ha l’esten­sione exe, se lo riceveste o scaricaste da Internet, lo trattereste con cautela, giusto? Ma sareste meno cauti se avesse l’esten­sione doc, perché pensereste che si tratti di un documento di Word.
Adesso scatta l’infelice magia:
• Cliccate una sola volta sul file calc.exe e premete F2: questo vi consente di cambiare nome al file. Chiamatelo calc.doc.pif, os­sia usate il trucchetto della doppia estensione usato da certi vi­rus e descritto nelle pagine precedenti. Windows vi chiede di confermare il cambio di nome: fatelo.
• Zac, l’estensione pif non c’è più, anche se avevate detto a Win­dows di farvele vedere tutte. Sullo schermo avete il nome calc.doc: quello di un normale documento Word. Soltanto l’ico­na inconsueta vi può far venire qualche dubbio, ma il nome vi­sualizzato no (e gli aggressori sanno come alterare anche l’icona). Se fate doppio clic su un file mascherato in questo modo, il file viene eseguito invece di essere aperto da Word. Visto che carognata?
Varianti dello stesso tranello si possono ripetere con altre esten­sioni, come cnf, lnk, shb, url, scf e shs. Queste estensioni non sono direttamente eseguibili (cliccandovi sopra, il file non viene eseguito), ma possono contenere per esempio l’istruzione di acce­dere automaticamente a un sito Web ostile che tenta di infettarvi o di comporre un numero telefonico a pagamento.
Come vedete, non siete voi che siete imbranati con il computer: è Windows che vi tende le trappole.
A dire il vero, Windows ha in parte ragione. Alcune di queste estensioni dovrebbero in effetti restare nascoste, perché sono usate da Windows dietro le quinte (ad esempio, nelle voci del menu Start). Purtroppo bisogna fare delle scelte: finché stanno dietro le quinte, queste estensioni possono essere sfruttate da un virus; se le rendete visibili, sono decisamente bruttine. Prendere o lasciare.

Bloccati dal Blocco Note
C’è un trucchetto che vale la pena di usare per rendere meno peri­colose certe estensioni comunemente usate dai virus: associarle al Blocco Note. In questo modo, se per caso fate doppio clic su un file che ha un’estensione nascosta, non verrà eseguito, ma semplicemente aperto (in modo innocuo) dal Blocco Note. Ecco come procedere:
1. Aprite Esplora Risorse e scegliete Strumenti > Opzioni cartella e da lì la scheda Tipi di file.
2. Sfogliate l’elenco dei tipi di file registrati e cercate l’estensione JS.
3. Cliccate su Cambia e scegliete il Blocco Note come program­ma da utilizzare per aprire tutti i file con quest’estensione. Clic­cate su OK per confermare.
4. Ripetete i passi 2 e 3 per le seguenti estensioni: jse, otf, reg, sct, shb, shs, vbe, vbs, wsc, wsf e wsh.
Esiste anche un altro modo per convincere Windows a essere più onesto e non nascondervi nulla, ma comporta della chirurgia di precisione che potreste non sentirvi di fare: se vi interessa, è nella sezione del mio sito www.attivissimo.net dedicata a questo libro, in un capitolo supplementare intitolato Per veri smanettoni.

Non siete obbligati: è a questo che servono gli antivirus, che sono infatti in grado di riconoscere un virus anche se Windows gliene nasconde l’estensione. Se però volete togliervi la soddisfazione di addomesticare Windows, siete i benvenuti.


Guida alla lettura

  • Questo brano presenta le forme espressive tipiche di un testo prescrittivo.
    L’autore si rivolge ad “voi”, cioè ad un interlocutore generale con cui instaura un rapporto di amicizia. (“Vi propongo una dimostrazione pratica da mostrare agli amici”; “Come vedete, non siete voi che siete imbranati”; se vi interessa, è nella sezione del mio sito www.attivissimo.net dedicata a questo libro; etc).
  • L’uso dell’imperativo (“Prendete l’abitudine di cancellare subito”; “Non ci credete? Provateci”; “andate nella cartella di Windows”; “Copiatelo nella cartella Documenti”; e così via…).
  • Ci sono espressioni tipiche del linguaggio parlato: “Zac, l’estensione pif non c’è più”. E anche: “Questo, a casa mia, si chiama fare i dispetti. A dire il vero si chia­ma in un altro modo, ma questo è un libro per tutta la famiglia e mi devo trattenere.” E anche: “Non è comun­que una soluzione perfetta, come vedremo tra un attimo.”

2116total visits,3visits today