Punto informatico Network

Canali
20080829212903

Proteggere il registro di sistema

29/10/2004
- A cura di
Sicurezza - Controlliamo in tempo reale le modifiche potenzialmente pericolose che avvengono in alcune zone chiave del registro di configurazione.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

Valutazione

  •  
Voto complessivo 5 calcolato su 176 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Scopriamo come tenere sotto controllo due aree molto delicate del registro di configurazione.

La zona dei BHO e la sezione HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

I Bho, dall'inglese Browser Helper Object sono delle funzionalità aggiunte ad Internet explorer, a volte buone, come alcune toolbar, ma molte volte questa zona viene infettata da spyware di tutti i generi che reindirizzano la nostra navigazione o visualizzano messaggi pubblicitari.

La sezione Run invece contiene tutti quei programmi che vengono caricati ad ogni avvio del PC.

Qui invece vanno ad inserirsi tutti i virus e dialer che tante volte attaccano il nostro PC.

Spywareguard e Registry protector rimangono caricati in memoria, controllano e segnalano a video ogni cambiamento dovessero registrare.

Tenete conto che molti programmi (come antivirus, firewall ed altri) al momento della loro installazione, vanno a inserire delle voci in queste sezioni, e quindi vi potranno apparire dei messaggi a cui dovrete rispondere di Si .

Un problema molto diverso è quando state navigando in Internet, e vi appare uno di questi messaggi, dove vi dice che il file Dialer1.exe (o un exe qualsiasi) si vuole inserire in esecuzione automatica.

A quel punto, segnatevi il nome del file, negategli il permesso premendo su No e avviate un controllo sull'eventuale presenza di virus e spyware perché potreste avere un problema.

Spywareguard 2.2

SpywareGuard 2.2 è un altro programma dello stesso ideatore di Spywareblaster: una volta installato troverete una SG rossa nella systray in basso a destra dello schermo.

Cliccando sull'icona si apre questa schermata

Sg1.gif

Le segnalazioni che vedrete apparire sono come quelle che vi indico qui sotto e che troverete riassunte nel Reports .

NEW BHO DETECTION ALERT --Questa è l'installazione di Acrobat, la modifica è stata mantenuta

On 12.34.19 07/04/2004 a new BHO installation attempt was detected.

BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

ProgramID: AcroIEHelper.AcroIEHlprObj.1

File Location: C: ProgrammiAdobeReaderActiveXAcroIEHelper.dll

User Action Taken: KEEP BHO

--------------------------------------------------------------------------------

NEW BHO DETECTION ALERT --Questa è l'installazione di Flashget, la modifica è stata mantenuta

On 14.19.32 07/04/2004 a new BHO installation attempt was detected.

BHO: {A5366673-E8CA-11D3-9CD9-0090271D075B}

ProgramID: Jccatch.IeCatch2.1

File Location: C: PROGRA~1InternetFlashGetjccatch.dll

User Action Taken: KEEP BHO

--------------------------------------------------------------------------------

BROWSER HIJACK ALERT - BROWSER PAGE CHANGED --Cambio pagina iniziale rifiutato

On 16.28.07 07/04/2004 a browser page change was detected.

Registry Location: HKCUSoftwareMicrosoftInternet ExplorerMain

Value Name: Start Page

Old Value: about: blank

New Value: http://www.microsoft.com/isapi/redir.dll? prd= {SUB_PRD} &clcid= {SUB_CLSID} &pver= {SUB_PVER} &ar=home

User Action Taken: RESTORE OLD VALUE

--------------------------------------------------------------------------------

NEW BHO DETECTION ALERT --Questo è un virus Trojan che ha tentato di installarsi

On 11.30.01 07/22/2004 a new BHO installation attempt was detected.

BHO: {00000EF1-0786-4633-87C6-1AA7A44296DA}

ProgramID: F1.Organizer.1

File Location: C: WINDOWSSystem32ATPART~1.DLL

User Action Taken: REMOVE BHO

Anche la modifica della pagina iniziale di Internet viene visto come un cambiamento pericoloso.

In questo caso ho modificato la pagina iniziale di Internet e vi appare questo messaggio e potrete decidere se tenere il nuovo valore (Keep new value), o ripristinare il vecchio (Restore old value).

Sg2.gif

Ricordatevi di abilitare tutti i settaggi General Protections Options e in Download protections e poi premere Save Settings .

Sg3.gif

Gli aggiornamenti si possono ottenere utilizando la funzione Live Update ma non sono molto frequenti.

Registry protector

Per prima cosa avviate il file Rpadmin.exe, cliccate su Start e Install per abilitare le protezioni del registro e lanciare il programma ad ogni avvio di Windows.

Regprot1.gif

Ogni volta che un programma tenterà di modificare la sezione dei programmi in esecuzione automatica di Windows, apparirà un messaggio simile a questo

Regprot2.gif

Selezionando No potremmo così bloccare ogni modifica sospetta.

I due software sono stati provati su PC con Windows 98, 2000 e XP, occupano poca memoria RAM e non sino ad ora non hanno eviidenziato incompatibilità con altri programmi.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.12 sec.
    •  | Utenti conn.: 123
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0