Alexander Frolov, Grigorij Frolov

alexandre @frolov.pp.ru; http://www.frolov.pp.ru, http://www.datarecovery.ru

Nel precedente articolo sulla protezione antivirus abbiamo esaminato i principali tipi di virus e il modo in cui si diffondono. Ora, sulla base di questa conoscenza, ci occuperemo della protezione contro virus, trojan e altri programmi dannosi. Parleremo di software, hardware, soluzioni amministrative e tecnologiche e misure necessarie per ridurre il rischio di infezione virale e ridurre i danni se tale infezione si è già verificata.

Metodi software e hardware per il rilevamento dei virus

I programmi antivirus sono stati e rimangono il mezzo principale per combattere i virus. È possibile utilizzare programmi antivirus (antivirus) senza avere idea di come funzionino. Tuttavia, senza comprendere i principi del software antivirus, conoscere i tipi di virus e il modo in cui si diffondono, è impossibile organizzare una protezione affidabile del computer. Di conseguenza, il computer potrebbe essere infetto anche se su di esso è installato un software antivirus.

Oggi vengono utilizzate diverse tecniche fondamentali per il rilevamento e la protezione dai virus:

· scansione;

· analisi euristica;

· utilizzo di monitor antivirus;

· rilevamento delle modifiche;

· utilizzo di antivirus integrati nel BIOS del computer.

Inoltre, quasi tutti i programmi antivirus forniscono il ripristino automatico dei programmi e dei settori di avvio infetti. Naturalmente, se possibile.

Scansione

Il metodo più semplice per cercare virus è che il programma antivirus analizzi in sequenza i file scansionati alla ricerca di firme di virus conosciuti. Una firma è una sequenza univoca di byte che appartiene a un virus e non si trova in altri programmi.

I programmi di scansione antivirus sono in grado di trovare solo virus già conosciuti e studiati per i quali è stata definita una firma. L'uso di semplici programmi di scansione non protegge il computer dalla penetrazione di nuovi virus.

Per i virus crittografici e polimorfici che possono modificare completamente il proprio codice quando infettano un nuovo programma o settore di avvio, è impossibile identificare una firma. Pertanto, i semplici programmi di scansione antivirus non sono in grado di rilevare i virus polimorfici.

Analisi euristica

L'analisi euristica consente di rilevare virus precedentemente sconosciuti e per questo non è necessario raccogliere prima dati sul file system, come richiesto, ad esempio, dal metodo di rilevamento delle modifiche discusso di seguito.

I programmi antivirus che implementano il metodo di analisi euristica scansionano programmi e settori di avvio di dischi e floppy disk, cercando di rilevare il codice caratteristico dei virus in essi contenuti. Un analizzatore euristico può rilevare, ad esempio, che il programma da testare installa un modulo residente in memoria o scrive dati nel file eseguibile del programma.

Quasi tutti i moderni programmi antivirus implementano i propri metodi di analisi euristica. Nella fig. 1 abbiamo mostrato uno di questi programmi: lo scanner McAffee VirusScan, lanciato manualmente per scansionare il disco alla ricerca di antivirus.

Riso. 1. McAffee VirusScan controlla il disco

Quando un antivirus rileva un file infetto, di solito visualizza un messaggio sullo schermo del monitor e inserisce una voce nel proprio registro o nel registro di sistema. A seconda delle impostazioni, l'antivirus può anche inviare un messaggio all'amministratore di rete sul virus rilevato.

Se possibile, l'antivirus disinfetta il file, ripristinandone il contenuto. Altrimenti, l'unica opzione offerta è eliminare il file infetto e quindi ripristinarlo da una copia di backup (se, ovviamente, ne hai una).

Monitor antivirus

Esiste anche un'intera classe di programmi antivirus che risiedono permanentemente nella memoria del computer e monitorano tutte le azioni sospette eseguite da altri programmi. Tali programmi sono chiamati monitor antivirus o watchmen.

Il monitor controlla automaticamente tutti i programmi avviati, i documenti creati, aperti e salvati, i file di programmi e documenti ricevuti tramite Internet o copiati sul disco rigido da un floppy disk o CD. Il monitor antivirus avviserà l'utente se un programma tenta di eseguire un'azione potenzialmente pericolosa.

Il kit di uno degli scanner Doctor Web più avanzati (Fig. 2), sviluppato da Igor Danilov (http://www.drweb.ru), include una guardia Spider Guard, che svolge le funzioni di un monitor antivirus.

Riso. 2. Scanner Doctor Web

Rilevamento modifiche

Quando un virus infetta un computer, modifica il contenuto del disco rigido, ad esempio aggiunge il proprio codice a un programma o a un file di documento, aggiunge una chiamata al programma antivirus al file AUTOEXEC.BAT, modifica il settore di avvio e crea un file satellite. Tali modifiche, tuttavia, non vengono apportate da virus “incorporei” che non vivono sul disco, ma nella memoria dei processi del sistema operativo.

I programmi antivirus, chiamati controllori del disco, non eseguono la scansione dei virus in base alla firma. Innanzitutto ricordano le caratteristiche di tutte le aree del disco attaccate dal virus, quindi le controllano periodicamente (da cui il nome del programma di controllo). L'esaminatore può trovare modifiche apportate da un virus noto o sconosciuto.

Esempi di ispettori del disco includono il programma Advanced Diskinfoscope (ADinf) sviluppato da DialogNauka CJSC (http://www.dials.ru, http://www.adinf.ru) e l'auditor AVP Inspector prodotto da Kaspersky Lab CJSC "(http /www.kaspersky.ru).

Insieme ad ADinf viene utilizzato il modulo di guarigione ADinf Cure Module (ADinfExt), che utilizza le informazioni precedentemente raccolte sui file per ripristinarli dopo l'infezione da virus sconosciuti. AVP Inspector include anche un modulo di guarigione in grado di rimuovere i virus.

Protezione integrata nel BIOS del computer

Gli strumenti di protezione antivirus più semplici sono integrati anche nelle schede madri dei computer. Questi strumenti consentono di monitorare tutti gli accessi al record di avvio principale dei dischi rigidi, nonché ai settori di avvio di dischi e floppy disk. Se un programma tenta di modificare il contenuto dei settori di avvio, viene attivata la protezione e l'utente riceve un avviso corrispondente.

Tuttavia, questa protezione non è molto affidabile. Esistono virus (ad esempio Tchechen.1912 e 1914) che tentano di disattivare il controllo antivirus del BIOS modificando alcune celle nella memoria non volatile (memoria CMOS) del computer.

Funzionalità di protezione della intranet aziendale

Una intranet aziendale può essere composta da centinaia e migliaia di computer che fungono da workstation e server. Questa rete è solitamente connessa a Internet e contiene server di posta, server di sistemi di automazione dei documenti come Microsoft Exchange e Lotus Notes e sistemi informativi non standard.

Per proteggere in modo affidabile una intranet aziendale, è necessario installare un software antivirus su tutte le postazioni di lavoro e i server. In questo caso, è necessario utilizzare uno speciale software antivirus basato su server su file server, server di posta elettronica e server del sistema di gestione dei documenti. Per quanto riguarda le postazioni di lavoro, possono essere protette con scanner e monitor antivirus convenzionali.

Sono stati sviluppati speciali server proxy e firewall antivirus che scansionano il traffico che li attraversa e rimuovono da esso i componenti software dannosi. Questi antivirus vengono spesso utilizzati per proteggere i server di posta e i server dei sistemi di gestione dei documenti.

Protezione del file server

I file server dovrebbero essere protetti utilizzando monitor antivirus in grado di scansionare automaticamente tutti i file del server a cui si accede tramite la rete. Gli antivirus progettati per proteggere i file server sono prodotti da tutte le società di antivirus, quindi hai un'ampia scelta.

Protezione del server di posta

I monitor antivirus non sono efficaci nel rilevare i virus nei messaggi di posta elettronica. Ciò richiede antivirus speciali in grado di filtrare il traffico SMTP, POP3 e IMAP, impedendo ai messaggi infetti di raggiungere le postazioni di lavoro degli utenti.

Per proteggere i server di posta, puoi acquistare antivirus appositamente progettati per scansionare il traffico di posta o collegare normali antivirus che possono funzionare in modalità riga di comando al tuo server di posta.

Il demone antivirus Doctor Web può essere integrato con tutti i server e sistemi di posta più conosciuti, come Doctor ComminiGatePro, Sendmail, Postfix, Exim, QMail e Zmailer. Strumenti simili sono forniti da Kaspersky Lab come parte di Kaspersky Corporate Suite.

Il server di posta MERAK Mail Server consente la connessione di antivirus esterni di vario tipo che dispongono di un'interfaccia a riga di comando. Alcuni server di posta (come Eserv) sono dotati di antivirus integrato.

Puoi anche scansionare ulteriormente il traffico POP 3 sulle workstation degli utenti. Ciò può essere fatto, ad esempio, dal server proxy antivirus SpIDer Mail per il protocollo POP 3, che può essere acquistato insieme all'antivirus Doctor Web.

Protezione dei server del sistema di gestione dei documenti

I server del sistema di gestione dei documenti, come Microsoft Exchange e Lotus Notes, archiviano i documenti in database del proprio formato. Pertanto, l'utilizzo di scanner di file convenzionali per la scansione antivirus dei documenti non darà alcun risultato.

Esistono numerosi programmi antivirus progettati specificamente per la protezione antivirus di tali sistemi. Questi sono Trend Micro ScanMail per Lotus Notes, McAfee GroupScan e McAfee GroupShield, Norton Antivirus per Lotus Notes, Kaspersky Business Optimal antivirus per MS Exchange Server e alcuni altri.

Questi programmi scansionano e-mail e file allegati, rimuovendo tutto il malware in tempo reale, rilevando virus macro e trojan in moduli e macro, file di script e oggetti OLE. La verifica viene eseguita in tempo reale e anche su richiesta.

Protezione dei sistemi informativi non standard

Per la protezione antivirus di sistemi informativi non standard che memorizzano i dati nei propri formati, è necessario creare un kernel antivirus nel sistema o collegare uno scanner esterno che funzioni in modalità riga di comando.

Ad esempio, il core antivirus Doctor Web è stato utilizzato dalla FSUE NPO Mashinostroeniya per proteggere il sistema di gestione dei documenti creato sulla base della tecnologia Sapiens (http://www.npomit.ru). Tutte le informazioni memorizzate da questo sistema nel database vengono controllate dal motore antivirus Doctor Web.

In qualità di sviluppatore di sistemi informativi per un uso responsabile, NPO Mashinostroyenia ha fornito protezione antivirus per i suoi sviluppi come la registrazione e il controllo dell'esecuzione dei documenti Sapiens, il monitoraggio delle risorse informatiche Sapiens, l'archivio elettronico della documentazione di progettazione Sapiens.

Centro di controllo antivirus di rete

Se l'Intranet ha centinaia e migliaia di computer, è necessaria la gestione remota centralizzata dei programmi antivirus e il controllo del loro funzionamento. L'esecuzione di operazioni "manuali", come il monitoraggio degli aggiornamenti del database antivirus e del caricamento dei moduli dei programmi antivirus, il monitoraggio dell'efficacia del rilevamento dei virus su workstation e server, ecc., è inefficace se è presente un gran numero di utenti sul sistema. rete o se la rete è costituita da segmenti geograficamente distanti tra loro.

Se non si garantisce l'attuazione tempestiva ed efficace delle operazioni di cui sopra, la tecnologia di protezione antivirus della rete aziendale verrà sicuramente compromessa, portando prima o poi all'infezione da virus. Ad esempio, gli utenti potrebbero configurare in modo errato gli aggiornamenti automatici del database antivirus o semplicemente spegnere i propri computer mentre tali aggiornamenti sono in corso. Di conseguenza, l'aggiornamento automatico non verrà eseguito e sussiste il rischio potenziale di infezione da nuovi virus.

I moderni sistemi antivirus implementano le seguenti funzioni di gestione e controllo remoto:

· installazione e aggiornamento di programmi antivirus, nonché database antivirus;

· installazione e configurazione remota centralizzata di antivirus;

· rilevamento automatico di nuove postazioni connesse alla rete aziendale, seguito dall'installazione automatica di programmi antivirus su tali postazioni;

· pianificazione delle attività per l'avvio immediato o ritardato (come l'aggiornamento dei programmi, il database antivirus, la scansione dei file, ecc.) su qualsiasi computer della rete;

· visualizzazione in tempo reale del processo di funzionamento dell'antivirus su postazioni di lavoro e server di rete.

Tutte le funzioni di cui sopra o molte di esse sono implementate nei centri di controllo di rete dei principali prodotti antivirus aziendali creati da Sophos (http://www.sophos.com), Symantec (http://www.symante с.ru) , Network Associates (http://www.nai.com) e Kaspersky Lab.

I centri di controllo di rete ti consentono di gestire la protezione antivirus dell'intera rete da una workstation dell'amministratore di sistema. Allo stesso tempo, per accelerare il processo di installazione degli antivirus nelle reti remote collegate alla rete principale tramite canali di comunicazione lenti, queste reti creano le proprie directory di distribuzione locale.

Quando si utilizza un'architettura client-server, la base del centro di controllo della rete è un server antivirus installato su uno dei server della rete aziendale. L'interazione avviene da un lato con i programmi agente installati insieme ai programmi antivirus sulle postazioni di rete e dall'altro con la console di controllo dell'amministratore della protezione antivirus (figura 3).

Riso. 3. Interazione tra la console di amministrazione, gli agenti e il server antivirus

Il server antivirus esegue azioni di controllo e coordinamento. Memorizza un registro generale degli eventi relativi alla protezione antivirus e che si verificano su tutti i computer della rete, un elenco e un programma per l'esecuzione delle attività. Il server antivirus ha il compito di ricevere messaggi dagli agenti e di trasmettere all'amministratore della protezione antivirus il verificarsi di determinati eventi sulla rete, controllando periodicamente la configurazione della rete per rilevare nuove postazioni o postazioni con una configurazione modificata dell'antivirus -strumenti antivirus, ecc.

Oltre agli agenti, su ogni postazione di lavoro e server della rete aziendale è installato un antivirus che scansiona i file e controlla i file quando vengono aperti (funzioni di scanner e monitor antivirus). I risultati dell'operazione antivirus vengono trasmessi tramite agenti al server antivirus, che li analizza e li registra nel registro eventi.

La console di controllo può essere un'applicazione standard di Microsoft Windows con un'interfaccia a finestra o un applet (snap-in) della console di controllo del Pannello di controllo del sistema operativo Microsoft Windows. Il primo approccio è implementato, ad esempio, nel sistema di gestione antivirus Sophos e il secondo nel sistema di gestione Norton AntiVirus.

L'interfaccia utente della console di gestione permette di visualizzare la struttura ad albero della rete aziendale, accedendo, se necessario, ai singoli computer di determinati gruppi di utenti o domini.

Sistemi multilivello con interfaccia Web

L'architettura dei sistemi multilivello con interfaccia Web prevede l'utilizzo di un server Web come nucleo del sistema. Il compito di questo kernel è, da un lato, organizzare l'interazione interattiva con l'utente e, dall'altro, con i moduli software di un particolare sistema.

I vantaggi di questo approccio sono l'unificazione dei metodi per la gestione di vari sistemi di rete, nonché l'assenza della necessità di installare programmi di controllo o console sulla workstation dell'amministratore. L'amministrazione può essere eseguita da qualsiasi computer della rete e, se la rete è connessa a Internet, da qualsiasi parte del mondo in cui sia disponibile Internet e un computer con un browser.

Per proteggere le informazioni di controllo quando vengono trasmesse su Internet o sull'intranet aziendale, vengono utilizzati protocolli SSH o altri mezzi simili (ad esempio, modifiche proprietarie sicure del protocollo HTTP).

Nella fig. 4-5 abbiamo mostrato uno schema a blocchi di un sistema di protezione antivirus con interfaccia Web Trend Virus Control System. Questo sistema consente di gestire e controllare completamente il funzionamento di un sistema di protezione antivirus aziendale da una postazione di lavoro tramite un browser, anche se singole parti della rete si trovano in paesi diversi o in continenti diversi.

Riso. 4. Sistema antivirus con interfaccia Web

Questo circuito è simile al circuito mostrato in Fig. 4-1, tuttavia, l'amministratore dell'antivirus gestisce il proprio funzionamento tramite un browser e non tramite un'applicazione console.

Sulle postazioni di lavoro è installato un antivirus (PC-cillin, Server Protect, InterScan VirusWall, ScanMail, ecc.). Questo antivirus è controllato da un server antivirus tramite un agente.

Sul computer è installato il server Web Microsoft IIS che svolge il ruolo di server antivirus. Una speciale applicazione Web in esecuzione su questo server controlla il server antivirus. Fornisce inoltre all'amministratore un'interfaccia utente per gestire il sistema di protezione antivirus.

Per garantire la massima indipendenza dalle piattaforme informatiche, Trend VCS Server e l'applicazione client sono scritti nel linguaggio di programmazione Java e in altri linguaggi utilizzati per sviluppare applicazioni Internet.

Per quanto riguarda le notifiche sul verificarsi di eventi nel sistema di protezione antivirus aziendale, queste vengono trasmesse dai programmi agente al Trend VCS Server e inviate via e-mail, tramite reti di cercapersone, tramite sistemi SMS, ecc.

Metodi amministrativi e tecnologici di protezione

Affinché i programmi antivirus possano svolgere efficacemente le proprie funzioni, è necessario seguire scrupolosamente le raccomandazioni per il loro utilizzo descritte nella documentazione. Particolare attenzione dovrebbe essere prestata alla necessità di aggiornare regolarmente i database dei virus e i componenti del software antivirus. I moderni antivirus possono scaricare file di aggiornamento tramite Internet o tramite una rete locale. Tuttavia, per fare ciò devono essere configurati di conseguenza.

Tuttavia, anche senza utilizzare programmi antivirus, puoi provare a impedire ai virus di entrare nel tuo computer e ridurre i danni che causeranno se infetti. Ecco cosa dovresti fare prima:

· bloccare possibili canali di penetrazione dei virus: non collegare il computer a Internet e alla rete locale aziendale se non strettamente necessario, scollegare i dispositivi di memoria esterni, come unità floppy e dispositivi CD-ROM;

Prevenire la modifica del software del contenuto della memoria non volatile del BIOS;

· creare un floppy disk di avvio del sistema, registrando antivirus e altre utilità di sistema per lavorare con il disco su di esso, nonché un disco di ripristino di emergenza di Microsoft Windows;

· scansionare tutti i programmi e i file di documenti registrati sul computer, nonché i floppy disk utilizzando le ultime versioni dei programmi antivirus;

· installare il software solo da CD con licenza;

· installare la protezione da scrittura su tutti i floppy disk e rimuoverla solo se necessario;

· limitare lo scambio di programmi e floppy disk;

· Eseguire regolarmente il backup dei dati;

· impostare i diritti di accesso minimi richiesti alle directory dei file server, proteggere da scrittura le directory dei kit di distribuzione e dei file di programma;

· redigere istruzioni per gli utenti sulla protezione antivirus, descrivendo in esse le regole per l'utilizzo degli antivirus, le regole per lavorare con file ed e-mail e descrivere anche le azioni da intraprendere quando vengono rilevati virus.

Problema del computer di casa

Spesso i dipendenti dell'azienda lavorano non solo in ufficio, ma anche a casa, scambiando file tra il computer di casa e la postazione di lavoro dell'ufficio. Un amministratore di sistema aziendale non è in grado di proteggere dai virus i computer di casa di tutti i dipendenti. I virus possono entrare nel tuo computer di casa da Internet, nonché attraverso lo scambio di programmi di gioco. Ciò accade spesso se altri membri della famiglia e bambini hanno accesso al computer di casa.

Tutti i file che i dipendenti portano da casa al lavoro dovrebbero essere considerati potenzialmente pericolosi. In casi critici, tale scambio dovrebbe essere completamente vietato o severamente limitato. I file "home" potenzialmente pericolosi devono essere scansionati prima di essere aperti con programmi antivirus.

Installazione di firewall personali

Una rete aziendale connessa a Internet deve essere protetta dagli attacchi degli hacker tramite un firewall. Oltre a ciò, però, è possibile proteggere ulteriormente le postazioni di lavoro e i server di rete installando su di essi dei firewall personali, come ad esempio AtGuard (Fig. 5).

Riso. 5. Configurazione del firewall personale AtGuard

Oltre a filtrare il traffico indesiderato, alcuni firewall personali possono proteggere il computer dagli applet Trojan Java e dai controlli ActiveX. Tali componenti possono essere incorporati nei messaggi di posta elettronica HTML e nelle pagine dei siti Web di Troia.

I firewall personali in modalità cosiddetta di apprendimento possono aiutare a rilevare il traffico proveniente da trojan, bombe logiche e altri componenti dannosi indesiderati. Quando un componente di questo tipo tenta di comunicare con il computer di un hacker, il firewall visualizzerà un messaggio di avviso sullo schermo.

Va notato che nelle impostazioni del browser è anche possibile disabilitare la possibilità di utilizzare componenti attivi come applet Java e controlli ActiveX. Tuttavia, i firewall personali sono più universali e consentono di bloccare l'utilizzo di tali componenti da parte di qualsiasi programma, ad esempio i client di posta elettronica

PROGRAMMI DI MONITORAGGIO (MONITOR ANTIVIRUS)

infezione da virus informatici complessi

Programmi residenti. L'essenza di questo metodo è che la RAM contiene un virus persistente in una fase iniziale. Svantaggi: esistono soluzioni alternative e la maggior parte dei falsi positivi, come la scrittura diretta sulle porte operative del disco.

INTEGRAZIONE DI ANTIVIRUS NEL BIOS DEL TUO COMPUTER

Gli strumenti di protezione antivirus più semplici sono integrati anche nelle schede madri dei computer. Questi strumenti consentono di monitorare tutti gli accessi al record di avvio principale dei dischi rigidi, nonché ai settori di avvio di dischi e floppy disk. Se un programma tenta di modificare il contenuto dei settori di avvio, viene attivata la protezione e l'utente riceve un modulo antivirus che monitora le azioni sospette eseguite da altri programmi nel sistema. Questi programmi intercettano le situazioni pericolose per i virus e segnalano il loro verificarsi. Situazioni come una chiamata all'apertura, la scrittura nel settore di avvio di un disco, il tentativo di un programma di rimanere residente in memoria.

I vantaggi includono la capacità di bloccare e rilevare l'avviso corrispondente.

Sistemi software antivirus. Di solito, un complesso moderno comprende un monitor, uno scanner, un revisore dei conti e uno scheduler. Lo scheduler viene utilizzato per coordinare il lavoro.

La protezione antivirus è la misura più comune per garantire la sicurezza delle informazioni dell'infrastruttura IT nel settore aziendale. Tuttavia, secondo uno studio condotto da Kaspersky Lab insieme alla società di analisi B2B International (autunno 2013), solo il 74% delle aziende russe utilizza soluzioni antivirus per la protezione.

Il rapporto afferma inoltre che, in un contesto di crescita esplosiva delle minacce informatiche, dalle quali le aziende sono protette da semplici antivirus, le aziende russe stanno cominciando a utilizzare sempre più strumenti di protezione complessi. Soprattutto per questo motivo, l’utilizzo di strumenti di crittografia dei dati su supporti rimovibili è aumentato del 7% (24%). Inoltre, le aziende sono diventate più disposte a differenziare le politiche di sicurezza per i dispositivi rimovibili. Aumenta anche la differenziazione del livello di accesso alle diverse sezioni dell'infrastruttura informatica (49%). Allo stesso tempo, le piccole e medie imprese prestano maggiore attenzione al monitoraggio dei dispositivi rimovibili (35%) e al monitoraggio delle applicazioni (31%).

I ricercatori hanno anche scoperto che, nonostante la scoperta costante di nuove vulnerabilità del software, le aziende russe non prestano ancora abbastanza attenzione ai regolari aggiornamenti del software. Inoltre, il numero di organizzazioni coinvolte nell’applicazione delle patch è sceso rispetto allo scorso anno ad appena il 59%.

I moderni programmi antivirus sono in grado di rilevare efficacemente oggetti dannosi all'interno di file di programma e documenti. In alcuni casi, un antivirus può rimuovere il corpo di un oggetto dannoso da un file infetto, ripristinando il file stesso. Nella maggior parte dei casi, un antivirus è in grado di rimuovere un oggetto software dannoso non solo da un file di programma, ma anche da un file di documenti di Office, senza violarne l'integrità. L'utilizzo di programmi antivirus non richiede qualifiche elevate ed è disponibile per quasi tutti gli utenti di computer.

La maggior parte dei programmi antivirus combina la protezione in tempo reale (monitor antivirus) e la protezione su richiesta (scanner antivirus).

Valutazione antivirus

2019: Due terzi degli antivirus per Android si sono rivelati inutili

Nel marzo 2019 il laboratorio austriaco AV-Comparatives, specializzato nei test di software antivirus, ha pubblicato i risultati di uno studio che ha dimostrato l'inutilità della maggior parte di questi programmi per Android.

Solo 23 antivirus presenti nel catalogo ufficiale di Google Play Store identificano accuratamente il malware nel 100% dei casi. Il resto del software non risponde alle minacce mobili oppure scambia per esse applicazioni assolutamente sicure.

Gli esperti hanno studiato 250 antivirus e hanno riferito che solo l'80% di essi è in grado di rilevare più del 30% dei malware. Pertanto, 170 domande non hanno superato il test. I prodotti che hanno superato il test includevano principalmente soluzioni dei principali produttori, tra cui Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro e Trustwave.

Nell'ambito dell'esperimento, i ricercatori hanno installato ciascuna applicazione antivirus su un dispositivo separato (senza emulatore) e hanno automatizzato i dispositivi per avviare il browser, scaricare e quindi installare malware. Ogni dispositivo è stato testato contro 2mila dei virus Android più comuni nel 2018.

Secondo i calcoli di AV-Comparatives, la maggior parte delle soluzioni antivirus Android sono false. Decine di applicazioni hanno un'interfaccia quasi identica e i loro creatori sono chiaramente più interessati a visualizzare pubblicità che a scrivere uno scanner antivirus funzionante.

Alcuni antivirus “vedono” una minaccia in qualsiasi applicazione non inclusa nella loro “lista bianca”. Per questo motivo, in una serie di casi molto aneddotici, hanno lanciato l'allarme sui propri file, poiché gli sviluppatori si sono dimenticati di menzionarli nella “lista bianca”.

2017: Microsoft Security Essentials viene riconosciuto come uno dei peggiori antivirus

Nell'ottobre 2017 il laboratorio antivirus tedesco AV-Test ha pubblicato i risultati di test antivirus approfonditi. Secondo lo studio, il software proprietario di Microsoft, progettato per proteggere da attività dannose, è quasi il peggiore nel svolgere il proprio lavoro.

Sulla base dei risultati dei test condotti nel periodo luglio-agosto 2017, gli esperti di AV-Test hanno nominato Kaspersky Internet Security il miglior antivirus per Windows 7, che ha ricevuto 18 punti nella valutazione del livello di protezione, prestazioni e facilità d'uso.

Tra i primi tre troviamo Trend Micro Internet Security e Bitdefender Internet Security, che hanno ottenuto 17,5 punti ciascuno. Puoi conoscere lo stato dei prodotti di altre società antivirus incluse nello studio dalle illustrazioni seguenti:

Molti scanner utilizzano anche algoritmi di scansione euristici, ad es. analizzare la sequenza di comandi nell'oggetto da controllare, raccogliere alcune statistiche e prendere una decisione per ciascun oggetto da controllare.

Gli scanner possono anche essere suddivisi in due categorie: universali e specializzati. Gli scanner universali sono progettati per rilevare e neutralizzare tutti i tipi di virus, indipendentemente dal sistema operativo su cui lo scanner è progettato per funzionare. Gli scanner specializzati sono progettati per neutralizzare un numero limitato di virus o solo una classe di virus, ad esempio i virus macro.

Gli scanner si dividono inoltre in residenti (monitor), che scansionano al volo, e non residenti, che scansionano il sistema solo su richiesta. Di norma, gli scanner residenti forniscono una protezione del sistema più affidabile, poiché reagiscono immediatamente alla comparsa di un virus, mentre uno scanner non residente è in grado di identificare il virus solo al successivo avvio.

scanner CRC

Il principio di funzionamento degli scanner CRC si basa sul calcolo delle somme CRC (checksum) per i file/settori di sistema presenti sul disco. Queste somme CRC vengono quindi archiviate nel database dell'antivirus, insieme ad alcune altre informazioni: lunghezza dei file, data dell'ultima modifica, ecc. Al successivo avvio, gli scanner CRC confrontano i dati contenuti nel database con i valori effettivamente calcolati. Se le informazioni sul file registrate nel database non corrispondono ai valori reali, gli scanner CRC segnalano che il file è stato modificato o infetto da un virus.

Gli scanner CRC non sono in grado di rilevare un virus nel momento in cui appare nel sistema, ma lo fanno solo qualche tempo dopo, dopo che il virus si è diffuso nel computer. Gli scanner CRC non sono in grado di rilevare un virus nei nuovi file (nelle e-mail, sui floppy disk, nei file ripristinati da un backup o quando si decomprimono i file da un archivio), perché i loro database non contengono informazioni su questi file. Inoltre, periodicamente compaiono virus che sfruttano questa debolezza degli scanner CRC, infettando solo i file appena creati e rimanendo così invisibili ai loro occhi.

Bloccanti

I bloccanti antivirus sono programmi residenti che intercettano situazioni pericolose di virus e ne informano l'utente. Quelli pericolosi per i virus includono chiamate ad aprire per scrivere su file eseguibili, scrivere su settori di avvio di dischi o sull'MBR di un disco rigido, tentativi di programmi di rimanere residenti, ecc., cioè chiamate tipiche dei virus durante la riproduzione.

I vantaggi dei bloccanti includono la loro capacità di rilevare e fermare un virus nelle prime fasi della sua riproduzione. Gli svantaggi includono l'esistenza di modi per aggirare la protezione bloccante e un gran numero di falsi positivi.

Immunizzatori

Gli immunizzatori si dividono in due tipologie: immunizzatori che segnalano l’infezione e immunizzatori che bloccano l’infezione. I primi vengono solitamente scritti alla fine dei file (secondo il principio dei file virus) e ogni volta che il file viene avviato controllano eventuali modifiche. Tali immunizzatori hanno un solo inconveniente, ma è letale: l’assoluta incapacità di segnalare l’infezione da un virus invisibile. Pertanto, attualmente tali immunizzatori, come i bloccanti, non vengono praticamente utilizzati.

Il secondo tipo di immunizzazione protegge il sistema dall'infezione da parte di un tipo specifico di virus. I file sui dischi vengono modificati in modo tale che il virus li percepisca come già infetti. Per proteggersi da un virus residente, nella memoria del computer viene inserito un programma che simula una copia del virus. Una volta avviato, il virus lo incontra e ritiene che il sistema sia già infetto.

Questo tipo di immunizzazione non può essere universale, poiché è impossibile immunizzare i file contro tutti i virus conosciuti.

Classificazione degli antivirus in base alla variabilità nel tempo

Secondo Valery Konyavsky, gli strumenti antivirus possono essere divisi in due grandi gruppi: quelli che analizzano i dati e quelli che analizzano i processi.

Analisi dei dati

L'analisi dei dati include auditor e polifagi. I revisori analizzano le conseguenze dei virus informatici e di altri programmi dannosi. Le conseguenze si manifestano nel modificare dati che non dovrebbero essere modificati. Dal punto di vista del revisore, il fatto che i dati siano cambiati è un segno di attività malware. In altre parole, i revisori monitorano l'integrità dei dati e, in base al fatto della violazione dell'integrità, prendono una decisione sulla presenza di programmi dannosi nell'ambiente informatico.

I polifagi agiscono diversamente. Sulla base dell'analisi dei dati, identificano frammenti di codice dannoso (ad esempio, tramite la sua firma) e su questa base traggono una conclusione sulla presenza di programmi dannosi. La rimozione o il trattamento dei dati infetti da virus consente di prevenire le conseguenze negative dell'esecuzione di programmi dannosi. In questo modo, sulla base dell'analisi statica, si evitano le conseguenze che si verificano nella dinamica.

Lo schema di lavoro sia degli auditor che dei polifagi è quasi lo stesso: confrontare i dati (o il loro checksum) con uno o più campioni di riferimento. I dati vengono confrontati con i dati. Pertanto, per trovare un virus nel tuo computer, è necessario che abbia già funzionato affinché si manifestino le conseguenze della sua attività. Questo metodo può trovare solo virus conosciuti per i quali frammenti di codice o firme sono stati descritti in anticipo. Tale protezione difficilmente può essere definita affidabile.

Analisi del processo

Gli strumenti antivirus basati sull'analisi dei processi funzionano in modo leggermente diverso. Gli analizzatori euristici, come quelli descritti sopra, analizzano i dati (su disco, in un canale, in memoria, ecc.). La differenza fondamentale è che l'analisi viene effettuata partendo dal presupposto che il codice analizzato non è dati, ma comandi (nei computer con architettura von Neumann, dati e comandi sono indistinguibili, e quindi durante l'analisi bisogna fare l'una o l'altra ipotesi .)

L'analizzatore euristico identifica una sequenza di operazioni, assegna a ciascuna di esse un determinato grado di pericolo e, in base alla totalità del pericolo, decide se questa sequenza di operazioni fa parte di codice dannoso. Il codice stesso non viene eseguito.

Un altro tipo di strumenti antivirus basati sull'analisi dei processi sono i bloccanti comportamentali. In questo caso, il codice sospetto viene eseguito passo dopo passo finché l’insieme di azioni avviate dal codice non viene valutato come comportamento pericoloso (o sicuro). In questo caso il codice viene eseguito parzialmente, poiché la realizzazione del codice dannoso può essere rilevata con metodi più semplici di analisi dei dati.

Tecnologie di rilevamento dei virus

Le tecnologie utilizzate negli antivirus possono essere divise in due gruppi:

• Tecnologie di analisi delle firme
• Tecnologie di analisi probabilistica

Tecnologie di analisi delle firme

L'analisi delle firme è un metodo di rilevamento dei virus che prevede la verifica della presenza di firme dei virus nei file. L'analisi delle firme è il metodo più noto per rilevare i virus e viene utilizzato in quasi tutti gli antivirus moderni. Per eseguire una scansione, l'antivirus necessita di una serie di firme dei virus, che vengono archiviate nel database dell'antivirus.

Poiché l'analisi delle firme implica il controllo dei file per la presenza di firme dei virus, il database antivirus deve essere aggiornato periodicamente per mantenere aggiornato l'antivirus. Il principio stesso di funzionamento dell'analisi delle firme determina anche i limiti della sua funzionalità - la capacità di rilevare solo virus già noti - uno scanner di firme è impotente contro i nuovi virus.

D'altro canto, la presenza di firme virali suggerisce la possibilità di trattare i file infetti rilevati mediante l'analisi delle firme. Tuttavia, il trattamento non è possibile per tutti i virus: i trojan e la maggior parte dei worm non possono essere curati a causa delle loro caratteristiche costruttive, poiché sono moduli solidi creati per causare danni.

La corretta implementazione di una firma antivirus consente di rilevare virus noti con una probabilità del 100%.

Tecnologie di analisi probabilistica

Le tecnologie di analisi probabilistica, a loro volta, si dividono in tre categorie:

• Analisi euristica
• Analisi comportamentale
• Analisi del checksum

Analisi euristica

L'analisi euristica è una tecnologia basata su algoritmi probabilistici, il cui risultato è l'identificazione di oggetti sospetti. Durante il processo di analisi euristica viene verificata la struttura dei file e la sua conformità ai modelli di virus. La tecnologia euristica più popolare consiste nel controllare il contenuto di un file per verificare la presenza di modifiche delle firme dei virus già note e delle loro combinazioni. Ciò aiuta a rilevare ibridi e nuove versioni di virus precedentemente conosciuti senza ulteriore aggiornamento del database antivirus.

L'analisi euristica viene utilizzata per rilevare virus sconosciuti e, di conseguenza, non comporta il trattamento. Questa tecnologia non è in grado di determinare al 100% se ha di fronte un virus oppure no, e come ogni algoritmo probabilistico soffre di falsi positivi.

Analisi comportamentale

L'analisi comportamentale è una tecnologia in cui la decisione sulla natura dell'oggetto da testare viene presa sulla base dell'analisi delle operazioni eseguite. L'analisi comportamentale è applicabile in pratica in modo molto restrittivo, poiché la maggior parte delle azioni caratteristiche dei virus possono essere eseguite dalle normali applicazioni. I più famosi sono gli analizzatori comportamentali di script e macro, poiché i virus corrispondenti eseguono quasi sempre una serie di azioni simili.

Le misure di sicurezza integrate nel BIOS possono anche essere classificate come analizzatori comportamentali. Quando si tenta di apportare modifiche all'MBR del computer, l'analizzatore blocca l'azione e visualizza una notifica corrispondente all'utente.

Inoltre, gli analizzatori comportamentali possono monitorare i tentativi di accesso diretto ai file, le modifiche al record di avvio dei floppy disk, la formattazione dei dischi rigidi, ecc.

Gli analizzatori comportamentali non utilizzano oggetti aggiuntivi simili ai database dei virus per funzionare e, di conseguenza, non sono in grado di distinguere tra virus noti e sconosciuti: tutti i programmi sospetti sono considerati a priori virus sconosciuti. Allo stesso modo, le caratteristiche operative degli strumenti che implementano tecnologie di analisi comportamentale non implicano alcun trattamento.

Analisi del checksum

L'analisi del checksum è un modo per tenere traccia delle modifiche agli oggetti del sistema informatico. Dall'analisi della natura delle modifiche (simultaneità, frequenza di massa, modifiche identiche nella lunghezza dei file) possiamo concludere che il sistema è infetto. Gli analizzatori di checksum (chiamati anche auditor delle modifiche), come gli analizzatori comportamentali, non utilizzano oggetti aggiuntivi nel loro lavoro ed emettono un verdetto sulla presenza di un virus nel sistema esclusivamente mediante valutazione di esperti. Tecnologie simili vengono utilizzate negli scanner all'accesso: durante la prima scansione, il checksum viene rimosso dal file e inserito nella cache, prima della scansione successiva dello stesso file, il checksum viene nuovamente rimosso, confrontato e, se non presente,; modifiche, il file viene considerato non infetto.

Complessi antivirus

Complesso antivirus: un insieme di antivirus che utilizzano lo stesso kernel o kernel antivirus, progettati per risolvere problemi pratici nel garantire la sicurezza antivirus dei sistemi informatici. Il complesso antivirus include necessariamente anche strumenti per l'aggiornamento dei database antivirus.

Inoltre, il complesso antivirus può includere anche analizzatori comportamentali e revisori dei cambiamenti che non utilizzano il nucleo antivirus.

Si distinguono i seguenti tipi di complessi antivirus:

• Complesso antivirus per la protezione delle postazioni di lavoro
• Complesso antivirus per la protezione dei file server
• Complesso antivirus per la protezione dei sistemi di posta
• Complesso antivirus per la protezione dei gateway.

Antivirus desktop cloud e tradizionali: cosa scegliere?

(Basato su materiali di Webroot.com)

Il moderno mercato dei prodotti antivirus è costituito principalmente da soluzioni tradizionali per sistemi desktop, i cui meccanismi di protezione sono basati su metodi di firma. Un metodo alternativo di protezione antivirus è l'uso dell'analisi euristica.

Problemi con i software antivirus tradizionali

Recentemente, le tecnologie antivirus tradizionali sono diventate sempre meno efficaci e stanno rapidamente diventando obsolete, a causa di una serie di fattori. Il numero di minacce virali riconosciute dalle firme è già così elevato che garantire un tempestivo aggiornamento al 100% dei database delle firme sui computer degli utenti è spesso un compito irrealistico. Gli hacker e i criminali informatici utilizzano sempre più botnet e altre tecnologie che accelerano la diffusione delle minacce virali zero-day. Inoltre, quando vengono effettuati attacchi mirati, non vengono create le firme dei virus corrispondenti. Infine, vengono utilizzate nuove tecnologie per contrastare il rilevamento antivirus: crittografia del malware, creazione di virus polimorfici lato server, test preliminari della qualità di un attacco virale.

La protezione antivirus tradizionale è spesso integrata in un'architettura "thick client". Ciò significa che sul computer del cliente è installata una grande quantità di codice software. Con il suo aiuto, i dati in arrivo vengono scansionati e viene rilevata la presenza di minacce di virus.

Questo approccio presenta una serie di svantaggi. Innanzitutto, la scansione alla ricerca di malware e il confronto delle firme richiedono un carico di calcolo significativo, che distoglie l'utente. Di conseguenza, la produttività del computer diminuisce e il funzionamento dell'antivirus talvolta interferisce con le attività parallele delle applicazioni. A volte il carico sul sistema dell'utente è così evidente che gli utenti disattivano i programmi antivirus, rimuovendo così la barriera contro un potenziale attacco di virus.

In secondo luogo, ogni aggiornamento sul computer dell'utente richiede l'invio di migliaia di nuove firme. La quantità di dati trasferiti è solitamente di circa 5 MB al giorno per macchina. Il trasferimento dei dati rallenta la rete, consuma risorse di sistema aggiuntive e richiede il coinvolgimento degli amministratori di sistema per controllare il traffico.

In terzo luogo, gli utenti in roaming o lontani da una postazione di lavoro fissa sono indifesi contro gli attacchi zero-day. Per ricevere una parte aggiornata delle firme, devono connettersi a una rete VPN a loro inaccessibile da remoto.

Protezione antivirus dal cloud

Quando si passa alla protezione antivirus dal cloud, l'architettura della soluzione cambia in modo significativo. Sul computer dell'utente viene installato un client “leggero”, la cui funzione principale è cercare nuovi file, calcolare i valori hash e inviare dati al server cloud. Nel cloud viene effettuato un confronto su vasta scala, eseguito su un ampio database di firme raccolte. Questo database viene aggiornato costantemente e tempestivamente utilizzando i dati trasmessi dalle società antivirus. Il cliente riceve un rapporto con i risultati dell'ispezione.

Pertanto, l'architettura cloud della protezione antivirus presenta numerosi vantaggi:

• la quantità di calcolo sul computer dell'utente risulta trascurabile rispetto a un Thick Client, pertanto la produttività dell'utente non diminuisce;
• non vi è alcun impatto catastrofico del traffico antivirus sul throughput della rete: è necessario trasferire un dato compatto contenente solo poche decine di valori hash, il volume medio del traffico giornaliero non supera i 120 KB;
• l'archiviazione nel cloud contiene enormi matrici di firme, molto più grandi di quelle archiviate sui computer degli utenti;
• gli algoritmi di confronto delle firme utilizzati nel cloud sono significativamente più intelligenti rispetto ai modelli semplificati utilizzati a livello delle stazioni locali e, grazie alle prestazioni più elevate, il confronto dei dati richiede meno tempo;
• i servizi antivirus cloud funzionano con dati reali ricevuti da laboratori antivirus, sviluppatori di sicurezza, utenti aziendali e privati; Le minacce zero-day vengono bloccate contestualmente al loro riconoscimento, senza il ritardo causato dalla necessità di accedere ai computer degli utenti;
• gli utenti in roaming o senza accesso alle loro postazioni di lavoro principali ricevono protezione dagli attacchi zero-day contemporaneamente all'accesso a Internet;
• Il carico di lavoro degli amministratori di sistema è ridotto: non devono dedicare tempo all'installazione di software antivirus sui computer degli utenti, né all'aggiornamento dei database delle firme.

Perché gli antivirus tradizionali falliscono

Il codice dannoso moderno può:

• Evita le trappole antivirus creando uno speciale virus bersaglio per l'azienda
• Prima che l'antivirus crei una firma, eviterà utilizzando il polimorfismo, la transcodifica, utilizzando DNS dinamici e URL

• Creazione mirata per un'azienda
• Polimorfismo
• Codice ancora sconosciuto a nessuno: nessuna firma

Difficile da difendere

Antivirus veloci del 2011

Il centro indipendente russo di informazione e analisi Anti-Malware.ru ha pubblicato nel maggio 2011 i risultati di un altro test comparativo dei 20 antivirus più popolari sulle prestazioni e sul consumo delle risorse di sistema.

Lo scopo di questo test è mostrare quali antivirus personali hanno il minor impatto sulle operazioni tipiche dell'utente su un computer, ne rallentano meno il funzionamento e consumano la quantità minima di risorse di sistema.

Tra i monitor antivirus (scanner in tempo reale), un intero gruppo di prodotti ha dimostrato una velocità operativa molto elevata, tra cui: Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro e Dr.Web. Con questi antivirus a bordo, il rallentamento nella copia della raccolta di test è stato inferiore al 20% rispetto allo standard. Anche i monitor antivirus BitDefender, PC Tools, Outpost, F-Secure, Norton ed Emsisoft hanno mostrato risultati ad alte prestazioni, rientrando nell'intervallo del 30-50%. Anche i monitor antivirus BitDefender, PC Tools, Outpost, F-Secure, Norton ed Emsisoft hanno mostrato risultati ad alte prestazioni, rientrando nell'intervallo del 30-50%.

Allo stesso tempo, Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost e PC Tools in condizioni reali possono essere molto più veloci grazie all'ottimizzazione dei controlli successivi.

L'antivirus Avira ha mostrato la migliore velocità di scansione su richiesta. Era leggermente inferiore a Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus e Outpost. In termini di velocità della prima scansione, questi antivirus sono solo leggermente inferiori al leader, allo stesso tempo hanno tutti nel loro arsenale potenti tecnologie per ottimizzare le scansioni ripetute.

Un'altra caratteristica importante della velocità di un antivirus è la sua influenza sul funzionamento dei programmi applicativi con cui spesso lavora l'utente. Per il test ne sono stati selezionati cinque: Internet Explorer, Microsoft Office Word, Microsoft Outlook, Adobe Acrobat Reader e Adobe Photoshop. Il minor rallentamento nel lancio di questi programmi per ufficio è stato dimostrato dagli antivirus Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost e G Data.

Monitor antivirus

Esiste anche un'intera classe di programmi antivirus che risiedono permanentemente nella memoria del computer e monitorano tutte le azioni sospette eseguite da altri programmi. Tali programmi sono chiamati monitor antivirus o watchmen.

Il monitor controlla automaticamente tutti i programmi avviati, i documenti creati, aperti e salvati, i file di programmi e documenti ricevuti tramite Internet o copiati sul disco rigido da un floppy disk o CD. Il monitor antivirus avviserà l'utente se un programma tenta di eseguire un'azione potenzialmente pericolosa.

Il kit di uno degli scanner Doctor Web più avanzati sviluppato da Igor Danilov (http: // www. drweb. ru) include una guardia Spider Guard, che svolge le funzioni di un monitor antivirus.

Rilevamento modifiche

Quando un virus infetta un computer, modifica il contenuto del disco rigido, ad esempio aggiunge il proprio codice a un programma o a un file di documento oppure aggiunge una chiamata al programma antivirus al file AUTOEXEC. BAT, modifica il settore di avvio, crea un file satellite. Tali modifiche, tuttavia, non vengono apportate da virus “incorporei” che non vivono sul disco, ma nella memoria dei processi del sistema operativo.

I programmi antivirus, chiamati controllori del disco, non eseguono la scansione dei virus in base alla firma. Innanzitutto ricordano le caratteristiche di tutte le aree del disco attaccate dal virus, quindi le controllano periodicamente (da cui il nome del programma di controllo). L'esaminatore può trovare modifiche apportate da un virus noto o sconosciuto.

Esempi di auditor del disco includono il programma Advanced Diskinfoscope (ADinf) sviluppato presso DialogNauka CJSC (http: // www. dials. ru, http: // www. adinf. ru) e l'auditor AVP Inspector prodotto da Kaspersky Lab CJSC "(http /www.kaspersky.ru).

Insieme ad ADinf viene utilizzato il modulo di guarigione ADinf Cure Module (ADinfExt), che utilizza le informazioni precedentemente raccolte sui file per ripristinarli dopo l'infezione da virus sconosciuti. AVP Inspector include anche un modulo di guarigione in grado di rimuovere i virus.

Protezione integrata nel BIOS del computer

Gli strumenti di protezione antivirus più semplici sono integrati anche nelle schede madri dei computer. Questi strumenti consentono di monitorare tutti gli accessi al record di avvio principale dei dischi rigidi, nonché ai settori di avvio di dischi e floppy disk. Se un programma tenta di modificare il contenuto dei settori di avvio, viene attivata la protezione e l'utente riceve un avviso corrispondente.

Tuttavia, questa protezione non è molto affidabile. Esistono virus (ad esempio Tchechen. 1912 e 1914) che tentano di disattivare il controllo antivirus del BIOS modificando alcune celle nella memoria non volatile (memoria CMOS) del computer.

Si tratta di un programma dannoso che appartiene alla classe dei falsi programmi anti-spyware, poiché rileva file infetti e trojan inesistenti sul computer, visualizza un gran numero di avvisi diversi e, inoltre, rende difficile lavorare normalmente con il computer, bloccando l'avvio della maggior parte dei programmi. Antivirus Monitor è un aggiornamento di un malware precedente chiamato AntiMalware GO e si infiltra nel tuo computer principalmente tramite trojan. Questi trojan infettano il tuo computer attraverso diverse vulnerabilità nei programmi già installati (Internet Explorer, Adobe Acrobar Reader, Adobe Flash Player, ecc.). Inoltre, Antivirus Monitor può entrare nel tuo computer sotto le mentite spoglie di altri programmi. Quindi fai attenzione a cosa scarichi da Internet e poi esegui sul tuo computer!

Avviso spyware
Impossibile eseguire l'applicazione. Il file rundll32.exe è
infetto.
Vuoi attivare adesso il tuo software antivirus?

Avviso di sicurezza di Windows
Windows segnala che il computer è infetto. Programma antivirus
aiuta a proteggere il computer da virus e altri
minacce alla sicurezza. Clicca qui per eseguire la scansione del tuo computer. Tuo
il sistema potrebbe essere a rischio ora.

Inoltre, Antivirus Monitor può bloccare l'avvio di qualsiasi programma, segnalando che il file avviato è infetto da un virus o trojan pericoloso. Di seguito è riportato un esempio di tale messaggio:

Impossibile eseguire l'applicazione. Il file (nome del programma) è infetto.
Vuoi attivare il tuo software antivirus adesso.

Ma non è tutto, questo programma dannoso modifica anche le impostazioni dei browser installati (impostazioni del server proxy), per cui l'accesso a qualsiasi sito può essere bloccato. Verrà invece visualizzata una pagina con un messaggio che informa che il sito che stai visitando non è sicuro e può danneggiare il tuo computer. Ricorda, tutti questi messaggi e avvisi sono falsi e dovrebbero essere ignorati come risultati della scansione!

R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:(set di numeri casuali)
O4 – HKLM\..\Esegui: [(set di lettere casuali)] %Temp%\(set di lettere casuali)\(set di lettere casuali).exe
O4 – HKCU\..\Esegui: [(set di lettere casuali)] %Temp%\(set di lettere casuali)\(set di lettere casuali).exe

Istruzioni per la rimozione di Antivirus Monitor

Riavvia il tuo computer. Dopo che il computer emette un breve segnale acustico, premi F8. Vedrai il menu di avvio di Windows come mostrato di seguito.

Seleziona Modalità provvisoria con rete – seconda riga e premi Invio. Puoi leggere ulteriori informazioni sul lavoro in modalità provvisoria nell'articolo -.

Passaggio 2. Ripristino della funzionalità del browser Internet Explorer

Avvia Internet Explorer. Fare clic su Strumenti e selezionare Opzioni Internet come mostrato di seguito:

Vedrai una finestra come mostrato nell'immagine qui sotto:

Qui, apri la scheda Connessioni e fai clic sul pulsante “Impostazioni LAN”. Ti verranno mostrate le impostazioni LAN attuali.

Deseleziona la casella accanto a "Utilizza un server proxy per le connessioni LAN". Fare clic su OK per salvare le impostazioni e nuovamente su OK per chiudere la finestra delle impostazioni di Internet Explorer.

Passaggio 3. Rimozione di Antivirus Monitor dall'esecuzione automatica

Dal momento che hai trovato Antivirus Monitor sul tuo computer, questo è un motivo per pensare se va tutto bene con la tua protezione antivirus e antispyware, se i programmi sono stati aggiornati alle versioni più recenti. Innanzitutto fai attenzione al fatto che hai gli aggiornamenti automatici di Windows abilitati e che tutti gli aggiornamenti disponibili sono già installati. Se non sei sicuro, devi visitare il sito Web di Windows Update, dove ti diranno come e cosa deve essere aggiornato in Windows. Inoltre, assicurati di avere installata la versione più recente dei seguenti programmi: Java JRE, Adobe Acrobat Reader, Adobe Flash Player. Se questo non è il caso, assicurati di aggiornarli. Inoltre, ti consiglio di acquistare la versione completa del programma Malwarebytes Anti-malware, che ti aiuterà a proteggere il tuo computer da possibili infezioni future. La differenza principale tra la versione completa e quella gratuita è la presenza di un modulo di protezione del computer in tempo reale. Per acquistarlo, segui il seguente link: Versione completa di Malwarebytes Anti-malware.

Chiavi di registro associate a Antivirus Monitor

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter | “Abilitato” = “0″
Impostazioni HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet | “ProxyOverride” = “”
Impostazioni HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet | “ServerProxy” = “http=127.0.0.1:11415″
Impostazioni HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet | “Abilita proxy” = “1″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Esegui | (un insieme di lettere casuali)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Esegui | (un insieme di lettere casuali)

File e directory associati a Antivirus Monitor

%Temp%\(set di lettere casuali)\
%Temp%\(set di lettere casuali)\(set di lettere casuali).exe