|
Realizzato da Shoutshark Esperto Sicurezza in Esclusiva per TiempoLibreSite.com
 |
Versione attuale: 1.6.3;
Licenza: Freeware (stand-alone, avvio anche da usb);
Piattaforma: Sistemi WIndows (per versioni 2000 e successive);
Lingua: Inglese (ma facilmente comprensibile);
Dimensione file d'installazione: 1,58 Mb;
Sviluppatore: Runscanner.net
Sito Ufficiale: www.runscanner.net |
In breve: utility che permette il controllo del nostro sistema, al fine di identificare l'eventuale presenza di spyware, adware, driver e servizi estranei, ed Hijack (dirottatori browser). Si basa sostanzialmente sulla sua capacità auto diagnostica, derivante dalla comparazione delle applicazioni rilevate sul nostro sistema, con i dati contenuti in vari database caricati su server e messi online. Tale comparazione viene effettuata attraverso l'operazione di hashing MD5.
In dettaglio:
Software sviluppato per la scansione dei sistemi operativi di casa Microsoft al fine di identificarne l'eventuale manipolazione ad opera di malware, attraverso un controllo completo su 'applicazioni, driver e servizi in avvio automatico, identificazione eventuali Hijack, permettendo inoltre una manutenzione del registro di sistema, evidenziandone eventuali errori o valori errati, derivanti da procedure di disinstallazione incomplete o pulizie antivirali che abbiano lasciato tracce.
Questo software, viene definito da alcuni, come un'evoluzione del famosissimo Hijackthis, ma rispetto al quale, offre molte funzioni in più (anche se l'Hijackthis ne costituisce la base di sviluppo), che lo rendono apprezzabile da quasi tutta la totalità dell'utenza IT.
Passando in dettaglio le funzionalità, del software in questione, troviamo:
- Rimozione vari impostazioni di origine maligna;
- Creazione di file .run risultanti dalla scansione del sistema;
- Confronto (attraverso firma digitale) dei file .run con i database malware on line;
- Upload dei file .run su vari siti di malware analist o su forum di esperti (analisi remota);
- Applicazione vari filtri di scansione;
- Gestione (terminazione, rinomina ed eliminazione) dei processi (software in esecuzione) attraverso funzione "Kill process";
- Hashing MD5 dei file, per eventuale analisi remota;
- Verifica ed identificazione dei software digitalmente firmati;
- Gestione file Host;
- Ricerca on line di informazioni relativi ai vari files;
- Confronto on line dei vari files su database del isto Runscanner.net;
- Esplorazione del registro attraverso le seguenti aree di sistema: (elencate in dettaglio nella modalità expert).
Presentazione
Dopo aver scaricato il software come file .zip dal sito ufficiale, ora secondo le nostre scelte, possiamo trascinare l'eseguibile sul Desktop ed usarlo come una semplice icona di avvio applicazione, così quando avremo bisogno di scansionare il sistema, basterà clickarci sopra.
Avviandolo, Runscanner si presenta così:
Nota Bene i testi originali sono in lingua inglese, tuttavia in questa immagine sono stati tradotti da me per l'occasione
Questa finestra ci permette di scegliere con quale modalità (Beginner, Classic e Expert), preferiamo che venga lanciato il programma. Descrivendoci anche verso chi sono rivolte le tre opzioni (testo tradotto);
Un'altrà funzionalità, posta in alto a destra della finestra di dialogo, ci fornisce il link per eventuali aggiornamenti (nella figura, "Check for updates).
Poichè si tratta di un software, che basa il suo funzionamento di autodiagnosi su confronto con database on line, è importantissimo controllare la presenza di eventuali updates, in modo da esseri sicuri che i dati vengano confrontati con database aggiornati.
Beginner Mode
Spuntando quindi la modalità per non esperti ...
nota tradotta: "Runscanner memorizza le informazioni sui file e la banca dati on-line. Queste informazioni possono essere valutate da professionisti di sicurezza per determinare se una voce sia "buona" o "cattiva". Avrete un rapporto completo di tutti gli elementi noti e sconosciuti nella nostra banca dati .
La relazione sarà visibile sul sito web, ma tutte le informazioni private (come nomecomputer) non verranno visualizzate".
In questa nuova finestra le cose interessanti sono già evidenziate in figura; sostanzialmente troviamo lo Start della scansione, e le varie opzioni selezionabili, quali, la creazione di un file .log
per un'eventuale analisi su un forum di nostra fiducia, la creazione di un file .run, e infine la possibilità di procedere direttamente con l'analisi on line.
Alla base della finestra, (in figura evidenziata in giallo) è sistemata una clasica barra di progressione della scansione.
Un elemento nuovo, lo si trova nella parte alta delle finestra, cioè il Link che ci porta sulla pagina web del sito ufficiale, dove vengolo elencati e catalogati per lingua, i vari forum specializzati per analisi di malware. (per dare un'occhiata sui forum consigliati ecco il link , purtoppo non vengono consigliati forum made in Italy ma possiamo provarci nel Nostro Forum Sicurezza Informatica)
Ed ecco il risultato della scansione in modalità Beginner:
Un file con estensione .run eseguibile dall'omonima applicazione; la visualizzazzione tuttavia verrà effettuata in modalità Classic.
Classic Mode
Passando dalla modalità base a questa nuova interfaccia, si troveranno molte funzioni e simboli nuovi, che per una maggiore comprensione, è utile dare un'occhiata alla legenda dei simboli pubblicata da sito ufficiale, qui riportata:
ed ecco ora la nuova interfaccia con cui si presenta questa modalità:
In questa prima immagine vengono focalizzate le funzioni presenti sula prima riga del pannello di controllo di tale modalità, come è possibile notare, questa interfacia è facilmente intuibile, caratteristica che verrà riscontrata in tutte le modalità e funzioni del software.
Un elemento molto gradito, specie dall'utenza non esperta del settore, è rappresentata dall' Online malware analysis, che avviata dopo aver effettuato la scansione, e seleziondando di visualizzare il rapporto attraverso "Show report", come da figura.
.... proietta il nostro browser sulla pagina web, che elenca tutti i nostri files analizzati evidenziando le eventuali voci maligne e/o superflue; come piccola dimostrazione, ecco l'immagine seguente:
ecc. ecc.
A riguardo delle funzioni poste sulla seconda riga, verranno di seguito descritte in dettaglio, bisogna comunque notare che la modalità classica si avvia automaticamente in Hijackitems.
Tra le funzioni presenti, quindi nella seconda riga, il software mette a disposizione le segunenti:
Process Killer
Evoluzione del classico Task Manager di Windows, che ci permette di gestire vi vari processi in esecuzione nel nostro sistema; Presenta sostanzialmente le stesse funzionalità dell'utility integrata nei sistemi Microsoft, inoltre offre il Riavvio dell'explore.exe.
Nella parte inferiore ci viene la lista dei processi avviati, con tutte le relative informazioni;
Host file editor
Questa scheda ci permette di gestire il nostro File Host, quest'ultimo è rappresentato da un file .txt dove vengono elencati siti e indirizzi identificati come "scorretti", siti cioè che verranno bloccati e pertanto il nostro computer non potrà accedervi.
History/Backups
quest'ultima scheda della modalità classica, elenca tutti i punti in cui il software ha salvato dati di backup, con la possibiltà di ripristiare il sistema nella configurazione originale, trovata nel momento in cui, abbiamo iniziato ad usare il software.
Expert Mode
Modalità, per esperti; per completezza includo nella guida anche un accenno su questa modalità, senza però entrare nel dettaglio, in quanto, tale modalità ha libero accesso a tutto il registro e quindi a tutte le impostazioni di sistema a cui fa riferimento l'intero pacchetto software, installato sul nostro pc, questo fattore rende questa modalità disastrosa se non usata da menti esperte, inoltre appunto perchè è mirata a personale specializzato, non ha bisogno di descrizione, tuttavia anche in questa versione continua a mantenere la semplicità costantemente evidenziata in Runscanner.
Approssimiamo che rispetto al "Classic Mode" presenta in aggiunta le seguenti schede:
Autorun/Hijack:
Item fixer:
Load Modules:
Aggiungiamo anche una nuova leggenda di simboli riscontrabili nell'analoga modalità:
ecco quindi come si presenta:
Questa modalità presenta come scheda di default la "Autorun/Hijack items", inizialmente vuota, ma come da figura, se avviata e conclusa la scansione. Le voci nel pannello inferiore sono raggruppati nelle seguenti sezioni:
General info:
001 Running processes
002 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
003 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
004 C:\Documents and Settings\<CurrentUser>\Start Menu\Programs\Startup
005 C:\Documents and Settings\<AllUsers>\Start Menu\Programs\Startup
006 %ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Startup
007 %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
010 Windows services
011 Windows drivers
030 HKLM\SOFTWARE\Classes\PROTOCOLS\Filter
031 HKLM\SOFTWARE\Classes\PROTOCOLS\Handler
032 HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
033 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
034 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
035 HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
036 HKCU\Software\Microsoft\Internet Explorer\Desktop\Components
037 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
038 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
040 HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
041 HKCU\Software\Microsoft\Internet Explorer\Toolbar
041 HKCU\Software\Microsoft\Internet Explorer\Toolbar
042 HKLM\Software\Microsoft\Internet Explorer\Extensions
043 HKCU\Software\Microsoft\Internet Explorer\Extensions
044 HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
045 HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
050 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
051 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
052 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
060 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
061 HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
062 HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
063 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute
064 HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
065 HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options (Debugger)
066 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
067 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
068 HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\ (Current_Protocol_Catalog)
107 HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\ (Current_NameSpace_Catalog)
069 HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitor
070 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
071 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
072 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
073 %windir%\Tasks
074 %windir%\System32\Tasks
100 Internet Explorer settings Start Page HKCU
100 Internet Explorer settings Start Page HKLM
100 Internet Explorer settings Search Page HKCU
100 Internet Explorer settings Search Page HKLM
100 Internet Explorer settings Default_Page_URL HKCU
100 Internet Explorer settings Default_Page_URL HKLM
100 Internet Explorer settings Default_Search_URL HKCU
100 Internet Explorer settings Default_Search_URL HKLM
100 Internet Explorer settings SearchAssistant HKCU
100 Internet Explorer settings SearchAssistant HKLM
100 Internet Explorer settings CustomizeSearch HKCU
100 Internet Explorer settings CustomizeSearch HKLM
100 Internet Explorer settings ProxyServer HKCU
100 Internet Explorer settings ProxyServer HKLM
100 Internet Explorer settings ProxyOverride HKCU
100 Internet Explorer settings ProxyOverride HKLM
100 Internet Explorer settings SearchUrl HKCU
100 Internet Explorer settings SearchUrl HKLM
100 Internet Explorer settings ShellNext HKCU
100 Internet Explorer settings ShellNext HKLM
102 HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars
102 HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars
104 HKLM\Software\Microsoft\Code Store Database\Distribution Units (activeX xontrols)
106 HKLM\Software\Microsoft\Windows\CurrentVersion\URL (Default url handlers)
120 Domain/DNS hijacking SYSTEM\CurrentControlSet\Services\VXD\MSTCP : Domain
120 Domain/DNS hijacking SYSTEM\CurrentControlSet\Services\VXD\MSTCP : NameServer
120 Domain/DNS hijacking SYSTEM\CurrentControlSet\Services\Tcpip\Parameters : Domain
120 Domain/DNS hijacking SYSTEM\CurrentControlSet\Services\Tcpip\Parameters : NameServer
120 Domain/DNS hijacking SYSTEM\CurrentControlSet\Services\Tcpip\Parameters : SearchList
120 Domain/DNS hijacking SOFTWARE\Microsoft\Windows\CurrentVersion\Telephony : DomainName
120 Domain/DNS hijacking SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces (Nameserver, Domain)
121 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
122 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
135 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce (+subkeys)
136 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce (+subkeys)
137 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx (+subkeys)
138 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx (+subkeys)
139 HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows :Load
140 HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows :Run
145 HKLM\System\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters
146 HKLM\System\CurrentControlSet\Control\SafeBoot : AlternateShell
147 HKLM\System\CurrentControlSet\Control\SecurityProviders :SecurityProviders
148 HKLM\System\CurrentControlSet\Control\WOW :cmdline
149 HKLM\System\CurrentControlSet\Control\WOW :wowcmdline
150 HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
151 HKLM\Software\Microsoft\Command Processor :Autorun
152 HKCU\Software\Microsoft\Command Processor :Autorun
160 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
161 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System
166 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run (+subkeys)
167 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run (+subkeys)
170 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
171 HKCU\Control Panel\Desktop : SCRNSAVE.EXE
172 HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order
173 HKCR\*\shellex\ContextMenuHandlers
180 FileType Hijacking
Quest'ultime, possono essere interpetate in maniera più consona ad un'utenza non del tutto esperta nel seguente modo (incompleto):
000: informazioni generali;
001: processi attivi in contemporanea alla scansione;
da 002 a 009: impostazioni di esecuzione automatica;
010: dettaglio servizi;
052: BHO;
067: processi interagenti con winlogon (processo di sistema);
073: elenco file .job contenuti in %Windir%\Tasks; (peculitarità non riscontabile in Hijackthis)
100: elenco home page impostate come pagine predefinite all'avvio del browser;
ecc.ecc.ecc
Vuoi commentare questa notizia? Fallo subito sulla discussione ufficiale: Anti-Spyware
Realizzato da Shoutshark Esperto Sicurezza per TiempoLibreSite.com |
Le Rubriche di TL 
