|
Articolo
publicato
su CONPUTER
FACILE Anno
V - n. 7-8
- luglio/agosto
2002 |
SECURITY
ZONE |
Quali
sono e dove si nascondono
La prima
comparsa delle librerie
"Dll"
spia furono quelle
installate dai pirati
informatici per
mezzo dei Trojan
Horse (WinDLL.dll
per
Back Orefice, KeyHook.dll
per
NetBus 1.7)
il quale compito
era quello di loggare
le password digitate;
oggi invece vengono
installate da software
freeware
sponsored
(o Adware)
Questi file, che
all'apparenza sembrerebbero
delle comuni librerie
del tipo DLL
o OCX
e archivi EXE,
funzionano come
dei Trojan Horse
prelevando informazioni
sull'utente e trasmetterli,
via internet, al
suo mandate.
La lista dei file
spia è abbastanza
nutrita ad esempio:
adimage.dll,
advert.dll, amcis.dll,
amicis2.dll, anadsc.ocx,
anadscb.ocx, ecc.,
e vengono installati
sia nella cartella
principale di Windows
(C:\Windows)
oppure in quella
di sistema (C:\Windows\System).
Si presentare anche
sotto forma di sottocartelle
sia nella directory
di Windows (esempio:
C:\windows\avvio\programmi\Radiate,
C:\windows\avvio\programmi\Radiate\Advertising,
C:\windows\system\ADVERT.DLL
“ADVERT.DLL
inteso come dir”,
C:\windows\htmdeng.exe,
ecc.) oppure come
sottocartelle nella
cartella Programmi
o Program
Files
(C:\Programmi\gator.com,
C:\Program Files\onflow,
ecc.);
Spyware
gator.com nella
cartella Programmi
 |
Zoom
|
nella
loro installazione
sono incluse anche
delle modifiche
al registro di sistema
di Windows
HKEY_CLASSES_ROOT\Software\Aureate
HKEY_CURRENT_USERS\Software\Aureate
HKEY_LOCAL_MACHINES\Software\Aureate
Identificazione
della sottochiave
Aureate nel registro
di Windows
 |
|
Zoom
|
Aspetti
tecnici
Lo
spyware è
un programma indipendente
che installato nel
S.O. usufruisce
di tutti i privilegi
dell’utente
come: leggere, scrivere
e cancellare archivi,
scaricare e installare
altro software,
interrogare altri
dispositivi collegati
al sistema o cambiare
la home page del
browser.
Alcuni moduli spyware
installandosi compromettono
la sicurezza del
sistema e la sua
stabilità;
difatti l'esperto
di sicurezza Steve
Gibson ha rilevato
che ADVERT.DLL provocherebbe
dei rallentamenti
del sistema e incompatibilità
con i principali
browser fino al
blocco della navigazione
e del sistema stesso,
esempio:
-
Con Netscape si
possono verificarsi
dei crash causati
da che advert.dll
perché
in esecuzione
- Con
Internet Explorer
si ottengono dei
page faults causali
che bloccano completamente
il browser costringendo
al riavvio del
sistema.
Errore
di procedura del
programma
 |
|
Zoom
|
Un
altro segnale è
rappresentato da
un leggero rallentamento
della connessione
ad Internet; difatti
lo spyware, per
trasmettere i dati
raccolti, utilizza
i protocolli di
comunicazione TCP/IP
ed una parte molto
piccola della velocità
di connessione del
modem che è
la banda di
trasferimento dati
(le porte utilizzate
generalmente sono
la tcp/1975
e la tcp/1749
ma potrebbero essere
utilizzate anche
altre porte meno
sospette e conosciute).
Un altro aspetto
tecnico abbastanza
grave, come fa notare
Steve Gibson,
è quello
della sicurezza;
il quale asserisce
che questi moduli
DLL creerebbero
delle brecce nella
sicurezza del sistema
dando così
la possibilità
al qualche pirata
informatico di poterle
sostituire con delle
più evolute
e distruttrici.
Segnala errore sito
Articoli & Guide
