Come proteggere Windows XP da spyware / trojan / malware

arkanefactors

Come proteggere Windows XP da spyware / trojan / malware

Allora, il problema è questo: succede che mio padre ogni tanto navigando si becca qualche schifezza, e periodicamente gli devo ripulire il notebook.

Notare che il mio papi:

• ha Windows XP SP2 aggiornato con Windows Update;

• usa solo Firefox come browser (Explorer gli ho proibito di usarlo, e per sicurezza gli ho anche rimosso i collegamenti dal desktop e dal menù Start);

• ha Norton AntiVirus 2006 installato e aggiornato con LiveUpdate, e ogni settimana fa la sua bella scansioncina;

• usa una connessione ADSL wireless dietro un NAT router + firewall.

• non usa client di instant messaging o file sharing (il mulo per lui è ancora un quadrupede);

• è stato opportunamente istruito e messo in guardia sui rischi che si corrono nell'uso della Rete (ad esempio, sa che non deve cliccare e installare tutto quello che gli càpita a tiro).

Ora, io mi domando: com'è possibile che stamattina mentre navigava (con Firefox, sul sito del Corriere della Sera!) gli sia apparso un warning di Microsoft Antispyware Beta (glie l'avevo installato io) che diceva che un oggetto browser helper chiamato "LinkOptimizer" (o qualcosa del genere) chiedeva il permesso di installarsi? E che un certo oyna.exe voleva registrarsi fra le applicazioni da caricare all'avvio??

Più tardi (dopo che mi aveva consegnato il portatile per il "tagliando" periodico) ho provato ad aprire Explorer e fare una ricerca su Google ("Windows Defender"), e mentre ero ancora sulla SERP è apparso un pop-up che m'invitava a cliccare per avere "King's Results for Windows Defender".

Ho aperto Task Manager e ho trovato un processo chiamato oyna1.exe che ho prontamente killato.

Dopodiché:

• Ho disinstallato MS Antispyware (che evidentemente non serve a un cacchio) e gli ho installato [url=http://www.microsoft.com/athome/security/spyware/software/default.mspx]Windows Defender Beta 2.

• Ho fatto una scansione con quest'ultimo, che non ha trovato una cippa (forse se avessi tenuto il processo in esecuzione me l'avrebbe trovato? moh): niente minacce, né porte aperte.

• Sono andato (con IE) su [url=http://safety.live.com/]Windows Live Safety (Beta) e ho fatto una scansione di sicurezza, che ovviamente non ha rilevato nulla di sospetto.

Mentre ero ancora sul sito di Live Safety, mi appare questo fantastico pop-up:

Bello, vero?

E' lo stesso tipo di pop-up che era apparso mentre ero sulla SERP di Google.

Alcune info:

• Il sorgente del pop-up è C:\Documents and Settings\NomeUtente\Impostazioni locali\Temporary Internet Files\SC\console.htm

• I link nel pop-up puntano ad http:// wscrew .com/gg.php?ht=[segue una stringa URLencodata lunga qualche centinaio di byte...]

Qualcuno ha idea di che roba sia, come sia entrata, come fare per rimuoverla, e (soprattutto) come impedire che possano entrare simili schifezze in futuro?

Proverò a fare uno scan con NAV e [url=http://www.safer-networking.org/it/index.html]Spybot Search&Destroy, sperando che almeno uno dei due lo becchi.

In caso contrario, che faccio? Piallo tutto e gli installo Linux?

Please help.

claudioweb

@claudioweb said:

1. Eseguire gli aggiornamenti con regolare frequenza
2. Usare Firefox al posto di Internet Explorer
3. Usare un buon antivirus e aggiornarlo spesso
4. Usare un buon firewall
   (personalmente mi trovo bene con l'accoppiata Kaspersky Anti-Virus + Kaspersky Anti-Hacker)
5. Controllare la posta da web, usando una casella protetta da spam e virus
6. Ogni tanto effettuare una scansione col sempre ottimo Ad-Aware
7. (Cosa più difficile) Acquisire conoscenze su quali nuovi rischi si va in contro, e una certa consapevolezza di quello che si sta facendo prima di confermare una qualunque operazione
   Tratto da http://www.giorgiotave.it/forum/viewtopic.php?t=8978&start=0

Posso dirti che tempo fa ero in cerca di una soluzione per ovviare al blocco popup di Explorer e della Google Toolbar, trovai alcuni javascript molto complessi che sfruttavano i bug di Norton Internet Security per riuscire ad aprire finestrelle raggirando gli altri controlli...

Insomma non è di certo una cassaforte...
Quindi ti consiglio di passare ad un altro antivirus

arkanefactors

@claudioweb said:

1. Eseguire gli aggiornamenti con regolare frequenza - OK
2. Usare Firefox al posto di Internet Explorer - OK
3. Usare un buon antivirus e aggiornarlo spesso - OK
4. Usare un buon firewall - OK
5. Controllare la posta da web, usando una casella protetta da spam e virus - OK (mio padre praticamente non usa la posta elettronica, anzi tolgo il "praticamente": ho appena aperto Outlook e ha la casella "Posta in arrivo" vuota)
6. Ogni tanto effettuare una scansione col sempre ottimo Ad-Aware
   Ho fatto un full scan (mentre il processo era in esecuzione) con:* Spybot-Search&Destroy: nessuna minaccia rilevata

• Ad-Aware SE Personal: nessuna minaccia rilevata
  Lo scan con NAV 2006 è in corso... vediamo se lui almeno becca qualcosa.

7. (Cosa più difficile) Acquisire conoscenze su quali nuovi rischi si va in contro, e una certa consapevolezza di quello che si sta facendo prima di confermare una qualunque operazione - faccio del mio meglio per tenerlo informato/aggiornato (è il mio papi...)

Quindi ti consiglio di passare ad un altro antivirus

Tu pensi che se non me lo beccano Spybot-S&D, AdAware e NAV 2006, Kaspersky me lo becca??

Comunque dev'essere una schifezza piuttosto recente: ho cercato "oyna.exe" e "oyna1.exe" su google e yahoo, e non ho trovato nulla... :bho:

arkanefactors

Finito lo scan con NAV 2006: anche per lui è tutto regolare.

Nel frattempo ho aperto msconfig, e ho trovato questo:

...che sembra essere il nostro uomo.

A questo punto, che cosa mi consigliate di fare? (Boot selettivo, e poi sego manualmente il file? Oppure?)

E come faccio a sapere se la schifezza ha registrato qualche servizio che gira in background, o roba simile? Ho controllato l'elenco dei componenti aggiuntivi di Internet Explorer (Pannello di controllo > Opzioni Internet > Programmi > Gestione componenti aggiuntivi) e non figura nella lista dei plug-in...

Se vi posto un log di [url=http://home.datacomm.ch/winzozz/hijackthis.htm]HijackThis qualcuno mi ci dà un'occhiata?

Altri suggerimenti??

S.O.S.!

arkanefactors

Non so se c'entri qualcosa con OYNA o se sia una schifezza a sé stante... Fatto sta che controllando la lista dei servizi in esecuzione, ho trovato questo:

VJfq "\?\C:\Programmi\aux.exe"

Ho disabilitato il servizio, ma non riesco a cancellare [url=http://www.google.it/search?sourceid=navclient-ff&ie=UTF-8&rls=GGGL,GGGL:2006-10,GGGL:it&q=aux.exe]aux.exe dalla directory... (da shell non vedo nemmeno il file)...

lupomannaro

io non mi preoccuperei troppo se Nav non ha individuato nulla . comunque i sintomi da te descritti spotrebbero essere quelli prodotti da un cavallo di troia

controlla qua:

http://www.symantec.com/avcenter/venc/data/backdoor.zins.html

arkanefactors

@lupomannaro said:

io non mi preoccuperei troppo se Nav non ha individuato nulla .
Perché? Lo spyware/trojan (o come lo vogliamo chiamare) c'è, lo so perché lo vedo in azione. C'è anche un servizio installato che non so cosa fa. Il fatto che NAV non abbia individuato nulla di anomalo non mi fa certo stare tranquillo.

comunque i sintomi da te descritti spotrebbero essere quelli prodotti da un cavallo di troia

controlla qua:

http://www.symantec.com/avcenter/venc/data/backdoor.zins.html
Sì, quella pagina è fra i primissimi risultati su google per la ricerca "aux.exe" che ho linkato sopra. Il problema è che NAV non mi individua alcun trojan con quel nome. Proverò a disabilitare il ripristino della configurazione di sistema e rimuovere manualmente il file e le eventuali entry nel registro di configurazione.

arkanefactors

Ho appena trovato anche questo (con HijackThis):

C:\Programmi\LinkOptimizer\LinkOptimizer.dll

Sigh.

arkanefactors

OK, dovrei aver rimosso tutto (con regedit, sigh).

Certo che non si sta mai tranquilli. Pensavo che certe schifezze NAV 2006 le beccasse, e invece...

arkanefactors

...E visto che la sicurezza non è mai troppa, ho installato questa fantastica estensione sul Firefox del papi: [url=http://www.siteadvisor.com/]McAfee SiteAdvisor (disponibile anche per IE).

arkanefactors

@ArkaneFactors said:

@claudioweb said:
Quindi ti consiglio di passare ad un altro antivirus

Tu pensi che se non me lo beccano Spybot-S&D, AdAware e NAV 2006, Kaspersky me lo becca??
Ho fatto una [url=http://www.kaspersky.com/service?chapter=161739400]scansione online con Kaspersky e mi ha trovato questo:

[url=http://www.viruslist.com/en/viruses/encyclopedia?virusid=37918]Trojan.Win32.Pakes

Ti ringrazio per il consiglio: avevi proprio ragione.

Mi sa che cambierò antivirus, sigh.

claudioweb

Se installi Kaspersky ti consiglio di abilitare l'update da database esteso. Lo trovi tra le opzioni dell'updater. Così ti trova proprio tutto... anche i dialer.

Io mi trovo benone, di solito credo rilascino un aggiornamento ogni 3 ore...

Accopiato all'Anti-Hacker che blocca eventuali pacchetti pericolosi, non ho mai avuto problemi.

Unico avvertimento per tuo padre, il suono dell'antivirus quando becca qualcosa fa pauraaa ma paura pauraaaa

arkanefactors

Grazie Claudio, ti sono debitore.

Ho disinstallato quella ciofeca pachidermica (e -a quanto pare- inutile) di NAV 2006 e ho installato la trial di Kaspersky, che al primo scan mi ha beccato i seguenti:

deleted: Trojan program Trojan.Win32.Pakes    File: C:\WINDOWS\system32\ayaa.dll
deleted: Trojan program Trojan-Dropper.Win32.Small.apk    File: C:\Programmi\aux.exe

Grazie per il consiglio sull'update da database esteso.

Ah, il suonino (eeek!) mi sa che K. lo emette solo se attivi le opzioni per utenti esperti (sul notebook di mio padre ho scelto la modalità-niubbo, e non ha fatto l'urletto quando ha trovato i viri).