1. Ci sono così tanti standards e implementazioni diverse che installare, sul proprio PC, i novemila plugins per la realtà virtuale in Dolby surround è un invito a tutti i bugs della Terra per materializzarsi e prodursi in quel sapiente mix di anomalie e perdite di dati cui Microsoft ci ha abituato, ma i cui risultati sono distinguibili da quelli d'un virus solo da un esperto.
   Chi naviga leggero naviga sano e non s'inchioda poco lontano.

2. Dare nome, email e numero di carta di credito solo ai siti sicuri (https:// e non http://) e con parsimonia; navigare con Java e Javascript disattivati a meno che non sia proprio indispensabile.
   E la password, quella non datela a nessuno, neanche se vi arriva una e-mail estremamente convincente (è successo ad alcuni utenti di TIN, che a quanto pare hanno mandato la propria password a telecom_italia@geocities.com, senza notare che un PROVIDER ITALIANO con una email su GEOCITIES è un'assurdità).
   
   Il fatto qui sopra risale al 1997. Sfortunatamente il caso si è ripetuto, mutatis mutandis, nel 2001, sia nella variante della pass dell'abbonamento, sia sotto forma di falsa offerta per una 'flat' e poi per una ADSL. In questi ultimi due casi, il sito "pirata" dava ad intendere che con pochi soldi si poteva ottenere un collegamento di qualità, e in una apposita connessione "sicura" invitava a dare i dati completi della carta di credito.

3. Non scaricare automaticamente alcun plugin; regolare su CONFERMA MANUALE il regolabile. Ehi, voi fareste entrare in casa un uomo sconosciuto? E allora, perchè un plugin sul disco fisso invece sì? Questo è particolarmente valido per i casi di "dialers" che, senza carta di credito e senza password, garantiscono l'accesso a siti di señorite desnude. Non fornite la password, non date il numero di CC, ma il dialer vi cambia la connessione ad Internet collegandovi ad un provider nelle Antille. La bolletta successiva, spartita a metà fra Telecom Italia e il gestore del sito, vi farà capire come si possano permettere di "regalare" l'accesso a così tanto porno di qualità.

4. Gli utenti di Windows 95/98 verifichino che la "condivisione di file" su TCPIP sotto "Risorse di Rete/Proprietà" sia disattivata.
   Entrare in un PC dov'è installato Windows 95/98 non è impossibile, ma almeno non rendetelo facile...

5. Quando vi collegate ad Internet, NON SALVATE LA PASSWORD e non la mettete in uno script di collegamento automatico. Se è sul disco salvata, qualcuno ve la può fregare, in mille e un modo.

6. Gli utenti di Netscape Communicator 4.x dovrebbero installare (o reinstallare) il proprio profilo utente, cambiando il nome della directory - il mio per es. è ...\Users\LSerni - in una sequenza casuale, per es. ...\Users\ah2874ip. Questo perchè è possibile usare JavaScript per leggere alcune cosucce (password di mail ad esempio) dal file delle preferenze, purchè se ne sappia il nome ... e il nome è MAIL_UTENTE\nomefile. Quindi, è molto meglio se invece di MAIL_UTENTE ci mettete qualcosa di non indovinabile.

• leggetevi prima un po' di headers di messaggi. Magari ne troverete uno o due di persone con il vostro stesso problema, o di gente che invia le soluzioni.

• non tentate interventi a casaccio: magari ce la fate (e in quel caso, non sarebbe male inviare un messaggio con le istruzioni). Ma magari no, e anzi potreste peggiorare i danni.

• fornite informazioni. Dire soltanto "Ho il virus tal dei tali" non serve molto; meglio sarebbe descrivere il vostro PC (beh, magari non anche la marca del monitor multimediale, quello no, ma sistema operativo, RAM, tipo del disco fisso...) e le circostanze nelle quali vi siete accorti di qualcosa che non andava;

• siate pazienti. Nulla induce di meno a rispondere che una serie di tre messaggi in fila, distanziati di 15 minuti, che ripetono la stessa domanda magari in toni sempre più frenetici. Tenete conto che molti leggono i NG off-line, magari la sera, e magari solo al week-end.

• se riuscite a risolvere il problema, inviate un messaggio con i dettagli. Sarete utili a chi avesse il vostro stesso problema e farete piacere a chi vi avesse aiutato.

• Lasciate perdere. Se chi vi offende è un troll, rispondergli non gli fa che piacere. Se ha ragione lui, vedervi replicare lo farà vieppiù imbufalire.

• ASSOLUTAMENTE non iniziate threads difensivi od offensivi così a casaccio. Le probabilità di scatenare *CONTRO* di voi la maggior parte dei presenti *NON* controbilancia il piacere di vederne tre o quattro annuire dicendo "Hai proprio ragione!".

• Rispondete in email, se proprio dovete. E se non potete, lasciate perdere... Mettete chi vi ha offeso nel "kill file" di coloro che non leggerete più, e mettetevi il cuore in pace.

• non tutti hanno lo stesso sistema operativo, e non tutti hanno la voglia, o l'oggettiva possibilità, di cambiarlo.

• "nessuno nasce imparato" e anzi si scrive in i.c.s.v. proprio per farsi un po' le ossa sull'argomento; questo finchè non sarà votato it.comp.sicurezza.virus.espertoni (volontari? Anyone?).

• si spende meno a fornire una risposta dettagliata che a fornirne una scarna... con le successive prevedibili dieci richieste di dettagli;

5.5) Suggerimenti utili ai novizi

Prima di inviare un messaggio, perdete una mezz'oretta a leggervi gli headers di tutti gli altri messaggi, o spulciando gli archivi di

http://groups.google.com/advanced_group_search

Esiste una buona probabilità, statisticamente parlando, che troviate qualcosa di interessante, e magari proprio la risposta a una domanda che volevate fare, o una precisazione che vi risparmia una figuraccia (classico il caso di quelli che domandano o forniscono info su virus "che si propagano in Internet tramite la posta elettronica").
Se spedite un messaggio alla cieca, la risposta vi arriva dopo 12-24 ore... se vi va bene. Se invece leggete gli headers POTRESTE avere la risposta subito. A me pare che non ci siano dubbi su cosa vi convenga.

---------------------------------------------
6) COSA FARE SE...
---------------------------------------------

6.1) ...credo di avere un virus che non è riconosciuto da nessun antivirus?

La cosa migliore è mandare un campione del virus (un file infetto oppure l'MBR o il boot sector infetti) agli autori degli antivirus che si usano (le istruzioni per farlo sono contenute nella documentazione) e/o a un ricercatore di propria fiducia. È meglio conservare il floppy infetto se servissero ulteriori dati.

Loro sapranno sicuramente identificare il virus e fare in modo sia riconosciuto dalla successiva release dell'antivirus.

Inviare un file infetto al gruppo non è considerato un buon modo per cercare aiuto (v. 5.1)

Potete estrarre il boot sector del floppy in a: dando al programma debug del DOS questi comandi:

C:\> DEBUG
 -L100 0 0 1
 -Nc:\nomefile.bin
 -RCX
 :200
 -W
 -Q

Il file C:\NOMEFILE.BIN è ora pronto per essere spedito.

6.2) ...sono stato infettato da un virus?

Se scoprite di avere un virus sulla vostra macchina e non riuscite a toglierlo con il software che avete, allora è il caso di chiedere aiuto nel gruppo. Ricordate sempre di specificare nell'articolo:

• nome del virus
• antivirus usato (diversi programmi possono dare al virus nomi diversi), specificando versione del "motore" ed eventuali aggiornamenti successivi ai files
• eventuali effetti manifestati
• tentativi fatti per rimuoverlo
• sistema operativo usato specificando -se possibile- la release ed il tipo di file system utilizzato (per es., Windows usa due diversi file systems, FAT e FAT32).

6.3) ...il mio computer è infetto? Formattare l'hard disk?

*NO*. Formattare l'hard disk è un provvedimento quasi sempre esagerato, e in alcuni casi (infezione dell'mbr) anche inutile. Se si scopre di avere un virus che nessun antivirus può disinfettare, la cosa migliore è cancellare i files infetti e reinstallare i programmi danneggiati dai dischi originali.
È inoltre utile ricordare che il comando format non cancella l'MBR, quindi un virus può comunque sopravvivere alla formattazione.

6.4) ...Windows si blocca molto spesso, ma gli antivirus dicono che sono pulito?

Se un controllo con più antivirus non ha trovato nulla di sospetto allora probabilmente non c'è nulla di cui preoccuparsi, visto che bloccarsi quando uno meno se lo aspetta è il comportamento normale di Windows (o almeno molti la pensano così, YMMV), soprattutto se si sono fatti parecchi esperimenti con drivers multimediali, plug&play, giochi in 4D e chi più ne ha più ne metta. Vedi par. 4.3 punto a).

Mi riferiscono che è possibile ripristinare i file danneggiati a partire dai dischi di installazione, ma se avete un problema di questo genere allora questo decisamente non è il gruppo adatto, andate in it.comp.os.win9x.

Tutti gli utenti Windows dovrebbero avere pronte più copie dei backups del sistema, ottenibili con l'utility ERU downloadabile liberamente presso Microsoft. Un backup sta su un dischetto, e andrebbe fatto prima di OGNI e qualsiasi installazione di programmi od altro in Windows, perchè anche le utilities di disinstallazione non sempre sono in grado di invertire con successo l'installazione di un programma catrame.

6.5) ...mi arriva una mail contenente un allegato eseguibile?

*NON*, *NON*, *NON* cliccateci sopra. Se il mittente non è conosciuto non passateci neanche sopra con il mouse, in quanto alcuni lettori di posta (solo Outlook) possono già così attivare il virus.

6.6) ...mi arriva un "allarme virus" in email?

Al 99.99% si tratta di una bufala. Cercate parole "strane" nel testo, per esempio "ciclo binario", "SULFNBK", eccetera, e usatele come termini di ricerca su www.google.com. Troverete informazioni che vi confermano la bufala. Se NON le trovate, SOLO ALLORA postate su i.c.s.v., dicendo appunto quali ricerche avete fatto e come. Così, chi vi risponde come minimo non penserà che siete degli sfaticati che non vogliono fare la fatica di pensare (VOI non lo siete, e sapete di non esserlo, ma di tipi così ce n'è, e il vostro interlocutore NON LO SA che non lo siete...)

---------------------------------------------
7) COME FACCIO A...
---------------------------------------------

7.1) ...formattare a basso livello il mio hard disk?

Semplice: non si può, a meno di non avere un controller speciale e un programma specifico per il proprio disco.
Quando si usa un programma per formattare a basso livello un disco IDE, questo risponde come se la formattazione avvenisse, ma in realtà non fa niente di diverso da una formattazione normale.
E comunque è un'operazione che non è mai desiderabile, sia perchè è una misura che non fornisce nessuna protezione in più rispetto alla formattazione del disco e alla reinizializzazione dell'mbr fatta con il comando FDISK /mbr, sia perchè può dare problemi.
I problemi sono software - vedi punto 8.5 - ma anche hardware. I dischi E/IDE infatti memorizzano alcune informazioni speciali sulla geometria del disco su un "piatto" a parte dell'hard disk, oppure, con una tecnica particolare, "frammischiandole" alle informazioni dei normali dati e programmi. Queste informazioni, dette "embedded", servono per pilotare l'allineamento della testina del disco fisso.
Ora, mentre la lettura è semplice, la scrittura delle embedded servo è complicata e normalmente inutile, per cui l'hardware di calibrazione (per risparmiare) non è montato sul disco fisso.
Le informazioni possono quindi essere cancellate, ma poi non si recuperano più, e il disco è da buttare. Alcuni HD dispongono di speciali "trucchi" per riscrivere economicamente le embedded servo, ma il mio consiglio è: NON RISCHIATE.

In aggiunta, molti portatili dispongono di una partizione speciale nascosta dove il portatile stesso immagazzina la propria memoria e i dati quando viene spento tramite "Suspend" in modo che possa poi ripartire più rapidamente.
La partizione è grande normalmente quanto la memoria installata e va configurata con una apposita utility (es. ASTDK per i portatili Acer 7xx, che però usano cluster nascosti e non la partizione; il concetto però è quello). Formattando il disco, la configurazione di questa partizione speciale andrebbe perduta e il PC non avrebbe più accesso alla funzione "Suspend".

7.2) ...inviare un virus al gruppo per l'esame?

Vedi 6.1, 6.2, 5.1

7.3) ...inviare un virus all'autore dell'antivirus?

Vedi 6.1

7.4) ...sapere chi mi ha inviato un virus per posta?

Quasi sempre lui NON SA di averlo fatto, in quanto il virus si spedisce da solo all'insaputa dell'infettato.
La possibilità di individuare l'untore varia da virus a virus. Spesso, non è possibile individuarlo affatto (se non dall'Autorità Giudiziaria).

---------------------------------------------
8) VORREI SAPERE SE...
---------------------------------------------

8.1) ...un virus può danneggiare l'hardware

No. O comunque praticamente mai nel real world. Un virus potrebbe (ma per ora non esiste nessun virus simile) cancellare il bios della scheda madre dalla EEPROM (una memoria riscrivibile elettricamente via software), sempre se la EEPROM non è protetta dalla scrittura (tali EEPROM hanno un apposito interruttorino o "jumper" con due posizioni, PERMETTI CANCELLAZIONE e IMPEDISCI CANCELLAZIONE. Quale delle due mantenere è lasciato al buon senso dell'utente).

In caso di cancellazione, è quasi sempre possibile ripristinare la EEPROM con un disco di boot apposito, che è buona norma avere pronto. Alcune schede madri non permettono la possibilità di fare questo ripristino di emergenza, o non hanno il "jumper" (che è quindi, sempre, in posizione di PERMETTI CANCELLAZIONE) e sono un ottimo esempio di prodotto che non dovrebbe essere mai comperato.

Nel caso avvenga il danneggiamento per sovrascrittura della EEPROM del BIOS, è quasi sempre possibile ottenerne una nuova dal produttore/importatore/distributore della scheda madre, o molto semplicemente farsi riprogrammare la eeprom stessa (se avete un amico/conoscente con l'identico BIOS o avete accesso ai files con le immagini delle EEPROM).

8.2) Cosa sono i virus stealth?

Sono virus che in grado di nascondersi (più o meno bene) agli utenti e agli antivirus, per esempio disinfettando temporaneamente i files che vengono controllati dagli antivirus. Per questo è sempre una buona abitudine fare scansioni periodiche dell'hard disk dopo avere caricato il DOS da un disco di boot sicuramente pulito e protetto da scrittura, altrimenti alcuni virus potrebbero sfuggire al controllo.

La maggior parte degli antivirus dispongono di una modalità "DOS" che ha anche il vantaggio di operare aggirando tutti i vari virus che, per esistere, dipendono dal sistema Windows.

8.3) Dove posso trovare informazioni dettagliate sui virus?

(in preparazione)

8.4) Dove posso scaricare dei virus (per, sia chiaro, il più nobile dei motivi)?

La risposta standard è "Se devi chiederlo allora non ne hai veramente bisogno". A questa domanda dovrai rispondere da solo, e se non riesci a trovare dei virus sulla rete probabilmente potresti solo correre il rischio di infettare il tuo computer e quello di altre persone per errore.

8.4.1) Ho messo le mani su alcuni virus, ora come li conservo?

La cosa migliore da fare è toglierli - e subito - di torno. Comunque la prima avvertenza da avere con i file infetti, se sono eseguibili, è di cambiare loro l'estensione: INFETTO.COM può diventare INFETTO.COX e VIRUS.EXE diventare VIRUS.EXX. Così si eviterà almeno di lanciarli per sbaglio, visto che alcuni sistemi operativi (o presunti tali) permettono di lanciare dei programmi con _un_ solo click.
Inoltre sarebbe bene comprimere (con utilità tipo PkZIP, ARJ, RAR, ecc.) questi file di test ed archiviarli su disco rimuovibile.

8.5) A cosa serve eseguire il comando "FDISK /mbr"?

Questo comando riscrive il codice contenuto nell'mbr (il primo settore dell'hard disk di boot), quello che solitamente carica il sistema operativo in memoria con il loader standard del dos. Il comando è presente a partire dal DOS 5 e non è documentato nei manuali.

In molti casi può essere usato per eliminare un virus, ma se usato per combattere alcune infezioni può essere letale per i propri dati: certi virus crittografano la tavola delle partizioni (sempre contenuta nel primo settore del disco) e la decriptano al volo quando un programma cerca di leggere il settore. Se si cancella il virus quindi si cancella anche il codice per decriptarla e ci si ritrova con un hard disk inservibile, a meno di essere capaci a ricostruirla.

Inoltre può causare problemi nel caso che siano stati installati boot manager come DiskManager, OnTrack e lilo, oppure particolari software di protezione del disco dagli accessi non consentiti.

Notate che questo comando *non* cancella le informazioni di partizionamento (che stanno nella tavola delle partizioni, che
costituisce l'ultima parte del primo settore dell'hard disk) o i dati contenuti nel disco, ma riscrive solo il codice che carica il DOS (l'MBR, che è situato prima della tavola delle partizioni) con quello standard.

8.6) Ho letto che mi può arrivare un virus tramite email, è vero?

Diciamo che, tramite una email "pura" (solo testo), è impossibile.
Ma ormai nessuno manda più emails in solo testo; come minimo viene usato l'HTML... e l'HTML è un linguaggio con il quale è possibile una sia pur minima "programmazione". Nell'HTML poi è possibile che sia incluso del JavaScript o del VBScript, e QUESTO consente dunque l'esistenza di un virus.

Oltre alla email propriamente detta, è possibile inviare allegati, eventualmente camuffandoli in modo che un "vanessa.jpg.exe" sembri, ad un occhio non attento, essere una immagine JPG anzichè, come è in realtà, un eseguibile capace di prendere il controllo del PC.

8.6.1) Ho eseguito un allegato "strano"!

Bravi polli! Adesso vi serve un antivirus, DI CORSA!

8.7) Cosa sono i macro virus?

Sono virus scritti con i comandi macro di un'applicazione (per esempio WinWord o Excel) e contenuti in documenti che non sono di per sé files eseguibili. A volte un macro virus può immettere nel sistema e attivare un normale virus.

8.8) Un virus può nascondersi dentro un file di dati?

Sì, si può mettere un virus dentro a un qualsiasi file di dati, però non sarà mai eseguito, visto che si tratta appunto di DATI e non di CODICE che deve essere eseguito dalla CPU.

In alcune circostanze però è possibile "ingannare" la CPU e passargli dei DATI, che essa interpreterà come CODICE.

8.9) È possibile infettarsi con un "dir"?

In *NESSUN* modo un virus può /installarsi/ in memoria semplicemente eseguendo dir, e tantomeno infettare altri programmi.
Invece succede che se si fa il dir di un disco, il suo bootsector viene letto dal DOS e messo in un buffer all'interno della sua area dati (ma *NON* viene eseguito, in nessun caso), e se quindi nel disco c'è un virus di boot il suo codice sarà trovato in memoria (ma non certo sull'hard disk) da un antivirus eseguito subito dopo; ma questo non significa che il PC sia stato infettato.

8.10) Come usare due antivirus contemporaneamente?

Per ovvie ragioni di prestazioni, è bene che UNO SOLO effettui la scansione in memoria e/o la protezione permanente. L'altro si potrà attivare su richiesta dopo aver temporaneaente disattivato il primo.

Questo per evitare che uno dei due antivirus "sniffi" le foto segnaletiche virali che l'altro ha in testa, e pensi di aver trovato un virus.