L'anti-virus è l'utility essenziale per Windows, le altre vengono dopo. I migliori AV sul mercato sono McAfee VirusScan, Norton Antivirus e AVP, a cui si aggiungo ottimi nuovi arrivi come NOD32 o Sophos. Dovreste avere almeno uno di questi installati. Bisogna ricordare però che poi vanno costantemente aggiornati con nuovi file con le definizioni di nuovi virus. Un anti-virus non aggiornato è una falsa sicurezza.
Per chi volesse anti-virus gratuiti, esiste il buon AntiVir PE, e il sempre valido F-PROT per DOS della Frisk Soft.
Potete anche fare un scansione gratuita del sistema con un anti-virus on-line, ad esempio sul sito di Trendmicro o Symantec, vi verrà chiesto di attivare ActiveX da Internet Explorer o di installare direttamente il motore del virus scanner.

Per maggiori informazioni sui virus e sulla sicurezza vi segnalo la securFAQ in italiano che trovate su http://www.securfaq.usenet.eu.org/ e i newsgroup it.comp.sicurezza.virus e it.comp.sicurezza.windows

Virus Worm

Siccome da quando ho realizzato questo sito, ricevo molti virus worm al mio indirizzo di posta elettronica, ho pensato bene di creare un piccolo prontuario contro i più diffusi virus worm che si diffondo tramite posta elettronica, con la speranza che i visitatori di questo sito che sono infettati se ne rendano conto.

Partiamo dalla prima considerazione: quando ricevete file allegati tramite posta elettronica, siate sempre diffidenti. In particolare evitate assolutamente di aprire allegati eseguibili (estensione: exe, com, bat, pif, scr), documenti contenenti macro (estensione: doc, dot, xls) o script (estensioni: vbs, js) senza prima averli controllati con un anti-virus aggiornato. Se gli allegati provengono da un mittente anonimo o a voi sconosciuto, non apriteli, nemmeno se l'anti-virus vi dice che sono puliti, non potete mai sapere cosa possono contenere, e non c'è bisogno di un virus per creare danni al vostro sistema, basta un programma maligno, magari creato apposta per voi da qualcuno che vi odia o che è in vena di scherzi di pessimo gusto.
Se un allegato proviene da un vostro amico di cui vi fidate, assicuratevi di aver capito: perché ve l'ha mandato e cosa dovrebbe contenere l'allegato. Se ciò non è chiaro, chiedetegli informazioni e aspettate ad aprire qualsiasi file. E' possibile infatti che il vostro amico si sia infettato da un virus worm e che il virus si sia autospedito all'insaputa del vostro amico a tutti gli indirizzi della sua rubrica. Se il vostro amico conferma di non avervi spedito nulla, è probabile che si sia infettato con un virus.

Ecco infine il prontuario contro i più diffusi virus worm attualmente in Italia:

1) Ricevete una e-mail anonima (mittente e destinatario in bianco), contenente solo un allegato eseguibile di 23 kb, il nome del file è di otto lettere dell'alfabeto casuali e maiuscole, di cui le prime due e le ultime due lettere sono uguali (esempio: EHGJTYEH.EXE).

Si tratta del virus Hybris, uno dei più diffusi in italia. Eliminate il messaggio. Non è possibile risalire all'email di chi vi ha spedito il virus, l'unica possibilità è che si tratti di un contatto che conoscete, per accertarvene, guardate tra le proprietà del messaggio (Alt+Invio con Outlook, finestra "Dettagli") e controllate l'ultimo "Received: from", lì si trova il nome del computer e l'indirizzo IP. Confrontateli ora con quelli dei messaggi che ricevete dai vostri amici, se nome computer coincide e l'indirizzo IP è simile, allora probabilmente il vostro amico è infetto. Ad esempio se trovate:

"Received: from pinco (151.25.35.123)"

Sapete che il virus proviene dal computer di nome "pinco" e l'indirizzo IP di Libero (gli IP di Libero cominciano tutti per 151.*) Se le prime cifre dell'indirizzo IP corrispondono, è probabile che si tratti della stessa persona. Non vi resta che avvertire il vostro amico.

ATTENZIONE: esiste una variante del virus Hybris, la riconoscete dal messaggio perché proviene da: Hahaha "hahaha@sexyfun.net", il messaggio è in francese, spagnolo o inglese e parla dei sette nani e biancaneve ("Snowhite and the Seven Dwarfs") contiene un allegato dall'estensione exe o scr.

2) Ricevete una e-mail con un oggetto dal contenuto strano, insensato o vuoto. Il corpo del messaggio contiene anch'esso caratteri strani, contenuto bislacco o incomprensibile. In allegato c'è un file eseguibile con estensione exe o scr minore (o poco superiore) di 132 kb. Il file sembra essere un file di sistema di Windows (provate a salvarlo e guardare tra le proprietà cliccando col tasto destro), è possibile inoltre che ci sia un'altro allegato di testo o Word (estensioni: txt o doc) che appartiene alla persona infettata.

Si tratta del virus Magistr, un virus molto pericoloso. Eliminate il messaggio e avvertite il mittente che è infetto. Attenzione però: Magistr può cambiare una lettera dell'indirizzo e-mail del mittente incrementandola o decrementandola di una posizione nell'alfabeto, quindi se la mail vi torna indietro cercate di ricostruire l'indirizzo giusto provando a cambiare la lettera che vi sembra errata.

3) Ricevete una e-mail con questo messaggio:

Hi! How are you?

I send you this file in order to have your advice

See you later. Thanks

la seconda riga può essere diversa o il testo in spagnolo. Il messaggio contiene un allegato con doppia estensione, ad esempio: file.doc.pif, file.xls.lnk o file.zip.com. Ricordate che è l'ultima estensione quella giusta che determina il tipo del file, la prima è solo fittizia (in questo caso sono tre eseguibili). L'oggetto della mail ha lo stesso nome del file allegato.

Si tratta del virus Sircam, questo virus usa il seguente trucco per diffondersi: prende un file a caso tra i vostri documenti del computer (file doc, xls, zip), cambia l'estenzione del file in una eseguibile e appende il codice virale all'inizio del file, quindi si spedisce ai contatti della rubrica. Un volta che cliccate sull'allegato questo infetta il sistema e vi mostra il documento che avevate aperto. Anche in questo caso eliminate l'email, prima però avvertite il mittente che ha un virus.

Siete per caso curiosi? volete leggere il documento che vi è arrivato però non volete correre il rischio di infettarvi? Ecco come fare:
Salvate l'allegato in una cartella del vostro computer, e aprite il file usando un Editor esadecimale (ad esempio: UltraEdit, Hex Workshop, Hex Edit o Hacker view), a questo punto dovete ricercare la stringa iniziale che contraddistingue il documento, ad esempio se ricevete file.doc.exe o file.xls.pif dovete ricercare la stringa iniziale che contraddistingue i file di Microsoft Office, che nel caso dei file doc e xls è "ÐÏà" (non credo che il browser visualizzi questi caratteri correttamente). Se vi capitano altri tipi di file fate in questo modo: cercate sul vostro computer un file che ha l'estensione uguale alla prima estensione del virus allegato, aprite il vostro file con l'editor esadecimale e copiate negli appunti i primi tre o quattro caratteri ASCII del documento, poi aprite il file infettato sempre con l'editor esadecimale e ricercate nel file la stringa ASCII che avete negli appunti, usando un comando Trova, Find, Search o simili (dipende dal vostro editor). A questo punto selezionate tutta la parte del file precedente alla stringa trovata, fino ad arrivare all'inizio del file; eliminate quindi tutta la parte selezionata premendo il tasto Canc o coi comandi Delete, Cut o simili (dipende dal vostro editor).
A questo punto avete eliminato il virus dal file, non vi resta che salvare il file su disco usando la prima estensione del file originale e poi potete tranquillamente aprirlo per vedere cosa c'è dentro (curiosoni ).

4) Si stanno diffondendo anche in italia i virus Nimda e Badtrans.B, che hanno la caratteritica di infettare un computer visitando una pagina web contaminata o semplicemente visualizzando una e-mail con l'anteprima di Outlook. Questi virus usano diversi bug di Internet Explorer e Outlook nella gestione del codice html e degli allegati, in particolare è possibile camuffare negli header dell'email un'eseguibile facendolo passare per un file sonoro, l'email poi viene letta automaticamente da IE perché apre automaticamente i file *.eml nelle finestre web, mentre per le mail di Outlook viene lanciato un frame speciale "IFRAME". Il risultato è che il virus viene eseguito senza che ve ne accorgiate. Per correre ai ripari bisogna aggiornare sia IE che OE con questa patch. Ne trovate altre su gli aggiornamenti critici o Windows Update (le patch però vengono tradotte in italiano molto tempo dopo, spesso troppo tardi!)
Come precauzione potete disabilitare l'anteprima di Outlook (Visualizza-->Layout-->"Riquadro anteprima").

L'email infetta si presenta col mittente reale (infetto) o fasullo, l'Oggetto è di solito vuoto o "Re: ", o preso da un Subject di una e-mail del computer infetto, il corpo del messaggio è vuoto. Gli allegati hanno la solita doppia estensione truffaldina, che finisce in scr o pif, e il nome del file: DOCS, CARD, New_Napster, You_are_FAT!, eccetera. Se selezionate l'email infettata con Outlook Express non patchato farete appena in tempo a vedere un piccolo flash grigio, segno che il virus è stato eseguito!

5) Un altro worm che sfrutta le stesse caratterstiche di distribuzione e infezione di Badtrans si sta diffondendo anche in Italia, si tratta di Klez, se usate Outlook Express aggiornatelo subito alla versione 6 (o 5.5 SP2 se avete Windows 95), Klez ha anche la brutta abitudine di spedire a volte le mail infette con un indirizzo del mittente (nel campo "Form:") di un altra persona che avete in rubrica o con un indirizzo trovato nelle pagine web che avete visitato, col risultato che una persona non infetta può ricevere reclami da utenti che hanno ricevuto il virus apparentemente dall'indirizzo dell'innocente o che quella persona riceve email di ritorno di mancata consegna che non ha mai spedito (magari con allegato il virus non arrivato a destinazione). Comunque la persona innocente non corre alcun pericolo di reclami perché nelle proprità del messaggio è sempre ben visibile il server mail e il numero IP della persona veramente infetta.

Un documento utile per la sicurezza: