www.MegaLab.it

Quando si parla di virus informatici, come ben si sa, la miglior difesa è la prevenzione. Antivirus, antispyware e suite complete di sicurezza quindi, promettono una sufficiente protezione contro le minacce informatiche.

Ma quello che vi presento ora, non è né una guida su un antivirus, né un tool di rimozione specifico, ma un trucco per vaccinare il proprio PC al fine di prevenire completamente l'infezione da uno specifico malware.

Questa procedura non richiede software aggiuntivi: si fa tutto con gli strumenti messi a disposizione da Windows.

Per attuare il vaccino è però opportuno avere il campione del virus o il relativo hash (vedremo in seguito come ottenerlo), questo per far "riconoscere" al sistema ciò che deve bloccare.

In questo esempio utilizzerò uno dei tanti Trojan.Crypt: ecco il nostro virus:

Facendo moltissima attenzione a non aprire il virus, clicchiamo su Start, andiamo su Esegui e lanciamo secpol.msc: uello che si apre è il pannello di configurazione delle policy di sicurezza.

Ciò che interessa a noi è la parte dedicata alle restrizioni software, più precisamente le Regole Aggiuntive:

In questa zona possiamo decidere di bloccare l'esecuzione di determinati programmi, selezionandoli in base al loro nome, o al loro hash.

Se scegliessimo di bloccare un eseguibile in base al suo nome, basterebbe rinominarlo o spostarlo, e la restrizione verrebbe bypassata.

Scegliendo invece l'identificazione tramite hash, il programma verrà sempre riconosciuto dalla sua "impronta digitale"; dobbiamo quindi optare per questa seconda opzione.

Dopo aver cliccato con il pulsante destro del mouse su un punto vuoto a destra e scelto Nuova regola hash, comparirà la seguente finestra:

Clicchiamo su Sfoglia e selezioniamo il virus da cui vaccinarsi, assicuriamoci che Livello di protezione sia impostato su Vietate e diamo OK.

Ecco la nostra nuova regola creata che bloccherà a priori l'esecuzione del virus:

Quindi come cercheremo di aprire il virus...

Il sistema ci bloccherà.

Identificazione direttamente tramite Hash

Non è sempre necessario avere il campione del virus per applicare la regola di restrizione. Una volta visto l'hash del file, è sufficiente copiarlo e quindi utilizzarlo sugli altri PC per vaccinare anche loro.

Note e considerazioni importanti

• Questo trucco ovviamente non si sostituisce ai normali standard di protezione, ma rimane una interessante alternativa soprattutto in caso di infezioni recidive.

• È opportuno precisare che il vaccino (la regola imposta) copre una sola variante di virus per volta.

• Tale trucco va applicato assolutamente prima dell'infezione, e mai ad infezione avvenuta (come per i virus biologici).
• I campioni dei virus si possono prendere qui, oppure possono essere calcolati per un qualsiasi file eseguibile seguendo le indicazioni riportate nell'articolo "Due programmi per controllare l'hash di un file"
• Non è garantita la protezione contro virus poliformici e metamorfici.