www.MegaLab.it

In questa pagina vedremo gli avvisi più pericolosi, di solito distinguibili in base a colori diversi. Questa categoria comprende un numero abbastanza ridotto di comportamenti.

Modifica di impostazioni o file vitali del sistema operativo

Questi avvisi sono relativi alla modifica di impostazioni (solitamente memorizzate nel registro di sistema) e file che sono necessari per il corretto avvio e/o funzionamento del sistema operativo.

Tra questi figurano tutti i principali file di sistema come boot.ini, ntoskrnl.exe, shell32.dll ecc... e le chiavi di registro relative all'elenco dei file di sistema da caricare all'avvio (winlogon.exe, userinit.exe, explorer.exe ecc...)

Difficilmente un software lecito necessita di modificare queste impostazioni e ancor più raramente i file. Ciò accade solitamente durante l'aggiornamento del sistema operativo e l'installazione di software che si integrano pesantemente con il sistema (software di sicurezza, driver di periferiche ecc...).

Invece spesso i malware, specie quelli con un certo livello di sofisticatezza, sono causa di questi avvisi, in quanto necessitano di integrarsi in profondità col sistema, solitamente per nascondere la loro presenza (rootkit) e/o garantirsi il massimo controllo sul computer in uso.

Livello di rischio potenziale: Molto Alto

Consiglio: Bloccare sempre queste operazioni tranne nei casi visti sopra.

Modifica delle impostazioni del software HIPS stesso

Questa categoria di avvisi comprende quelli relativi alla modifica di impostazioni e file propri del software HIPS, che potrebbero causare la disattivazione, più o meno completa, della protezione offerta. è bene notare che non tutti gli HIPS visualizzano questi avvisi o li visualizzano solo come informazioni, impedendo questi comportamenti automaticamente (self-protection o auto-difesa).

Avvisi di questo tipo sono piuttosto rari, in quanto solitamente solo l'HIPS stesso necessita di modificare i propri file/impostazioni, quindi prendete la visualizzazione di un avviso di questo tipo come potenziale sintomo di presenza di malware in esecuzione nel sistema che stia cercando di disattivare il sistema di protezione. Per ottenere assistenza la sezione Sicurezza del MegaForum è a vostra disposizione.

Livello di rischio potenziale: Molto Alto

Consiglio: Bloccare sempre queste operazioni tranne nel caso in cui si stia aggiornando il software HIPS.

Caricamento/modifica/scaricamento/connessione di driver/servizi

Prima di affrontare questa categoria di avvisi è necessaria una piccola spiegazione su driver e servizi.

I driver sono, semplificando al massimo, dei software che hanno pieno accesso a tutte le risorse del computer, sia hardware che software, e che vengono eseguiti ad ogni avvio del sistema. I driver hanno accesso al livello più basso del sistema operativo, poiché si integrano con il kernel.

I servizi sono invece programmi che vengono eseguiti ad ogni avvio del sistema ed hanno solitamente un livello di accesso al sistema paragonabile a quello dell'utente SYSTEM. Operano tuttavia ad un livello più alto di quello utilizzato dai driver.

N.B. Tratteremo insieme queste due categorie in quanto all'interno di Windows la loro gestione è simile e molti HIPS non fanno differenza nei loro avvisi.

Appare evidente che se un malware riesce ad installare un driver o un servizio sarà molto più difficile rimuoverlo, in quanto ha un livello di privilegio molto elevato. Per questo motivo molti software HIPS monitorano installazione/modifica/rimozione di driver e servizi.

Avvisi di questo tipo sono generalmente poco frequenti, ma a differenza di quanto visto precedentemente, non sono sempre legati alla presenza di malware. Infatti un certo numero di software necessita di installare e utilizzare attivamente driver e servizi.

Tra questi troviamo programmi di sicurezza, di backup, di deframmentazione, di masterizzazione, di virtualizzazione ecc... Inoltre l'installazione di una qualsiasi nuova periferica hardware prevede il caricamento da parte di Windows di un driver per gestirla adeguatamente.

Numerosi malware installano driver e servizi per nascondere la loro presenza, ottenere massimo controllo sul computer ecc...

Livello di rischio potenziale: Molto Alto

Consiglio: In questo caso dare un suggerimento di massima è piuttosto difficile. Consiglio di regolarsi sulla base di ciò che si sta facendo (se state installando un software/hardware di quelli visti sopra permettete l'operazione) e del nome/società/firma digitale del software che richiede di eseguire l'operazione sospetta (se è noto permettete, altrimenti bloccate per verificare successivamente su un motore di ricerca l'attendibilità del programma in questione). Tenete inoltre presente che una volta caricato un driver un malware ha pieno accesso al computer e la sua rimozione diviene molto più complicata.

Accesso diretto alla memoria di massa

Questa categoria di avvisi include quelli relativi l'accesso diretto alla memoria di massa (hard disk e unità ottiche). Infatti in Windows ogni programma regolare dovrebbe accedere al disco solo tramite il sistema di gestione dei file messo a disposizione dal filesystem, mentre l'accesso diretto dovrebbe riservato ai driver.

È però possibile per un software "normale" accedere direttamente al disco (per esempio è quello che fanno molti programmi di deframmentazione del disco rigido e alcuni sistemi antipirateria per videogiochi) tramite apposite funzioni messe a disposizione dalle API del sistema operativo.

Accedendo direttamente alla memoria un qualunque software può superare tutti i sistemi di protezione messi in atto dal filesystem e anche essere causa di problemi di stabilità, se non programmato correttamente.

Questi avvisi non sono molto frequenti, ma non implicano direttamente la presenza di software nocivo nel sistema, in quanto un discreto numero di software comuni possono causarne la visualizzazione.

Livello di rischio potenziale: Alto

Consiglio: Anche in questo caso il consiglio è bloccare sempre l'accesso agli hard disk tranne nel caso in cui si stiano utilizzando software di deframmentazione o backup, mentre permettere nel caso in cui l'accesso sia ad una unità ottica (un eventuale malware non può comunque modificarne il contenuto).