| Articolo
publicato su CONPUTER FACILE
Anno V - n. 7-8 - luglio/agosto
2002 |
SECURITY
ZONE |
| di
Giuseppe D'Agrusa
|
Lo
SPYware |
Riservatezza
e sicurezza |
Quali
sono e dove si nascondono
La
prima comparsa delle librerie
"Dll" spia
furono quelle installate dai pirati
informatici per mezzo dei Trojan
Horse (WinDLL.dll
per
Back Orefice, KeyHook.dll per
NetBus 1.7) il quale
compito era quello di loggare
le password digitate; oggi invece
vengono installate da software
freeware sponsored
(o Adware)
Questi file, che all'apparenza
sembrerebbero delle comuni librerie
del tipo DLL
o OCX
e archivi EXE,
funzionano come dei Trojan
Horse prelevando informazioni
sull'utente e trasmetterli, via
internet, al suo mandate.
La lista dei file spia è
abbastanza nutrita ad esempio:
adimage.dll, advert.dll, amcis.dll,
amicis2.dll, anadsc.ocx, anadscb.ocx,
ecc., e vengono installati
sia nella cartella principale
di Windows (C:\Windows)
oppure in quella di sistema (C:\Windows\System).
Si presentare anche sotto forma
di sottocartelle sia nella directory
di Windows (esempio: C:\windows\avvio\programmi\Radiate,
C:\windows\avvio\programmi\Radiate\Advertising,
C:\windows\system\ADVERT.DLL
“ADVERT.DLL inteso come
dir”, C:\windows\htmdeng.exe,
ecc.) oppure come sottocartelle
nella cartella Programmi
o Program Files
(C:\Programmi\gator.com, C:\Program
Files\onflow, ecc.);
Spyware
gator.com nella cartella Programmi
 |
Zoom |
nella
loro installazione sono incluse
anche delle modifiche al registro
di sistema di Windows
HKEY_CLASSES_ROOT\Software\Aureate
HKEY_CURRENT_USERS\Software\Aureate
HKEY_LOCAL_MACHINES\Software\Aureate
Identificazione
della sottochiave Aureate nel
registro di Windows
 |
Zoom |
Aspetti
tecnici
Lo spyware è un programma
indipendente che installato nel
S.O. usufruisce di tutti i privilegi
dell’utente come: leggere,
scrivere e cancellare archivi,
scaricare e installare altro software,
interrogare altri dispositivi
collegati al sistema o cambiare
la home page del browser.
Alcuni moduli spyware installandosi
compromettono la sicurezza del
sistema e la sua stabilità;
difatti l'esperto di sicurezza
Steve Gibson ha rilevato che ADVERT.DLL
provocherebbe dei rallentamenti
del sistema e incompatibilità
con i principali browser fino
al blocco della navigazione e
del sistema stesso, esempio:
-
Con Netscape si possono verificarsi
dei crash causati da che advert.dll
perché in esecuzione
- Con
Internet Explorer si ottengono
dei page faults causali che
bloccano completamente il browser
costringendo al riavvio del
sistema.
Errore
di procedura del programma
 |
Zoom |
Un
altro segnale è rappresentato
da un leggero rallentamento della
connessione ad Internet; difatti
lo spyware, per trasmettere i
dati raccolti, utilizza i protocolli
di comunicazione TCP/IP ed una
parte molto piccola della velocità
di connessione del modem che è
la banda di trasferimento
dati (le porte utilizzate
generalmente sono la tcp/1975
e la tcp/1749
ma potrebbero essere utilizzate
anche altre porte meno sospette
e conosciute).
Un altro aspetto tecnico abbastanza
grave, come fa notare Steve
Gibson, è quello della
sicurezza; il quale asserisce
che questi moduli DLL creerebbero
delle brecce nella sicurezza del
sistema dando così la possibilità
al qualche pirata informatico
di poterle sostituire con delle
più evolute e distruttrici.
|
Articoli & Guide 
