Lezione di virus n.1

L'emergenza è ormai passata da alcuni giorni. Cosa abbiamo imparato?

1. Molti computers erano vulnerabili perché gli utenti erano in vacanza ed al ritorno il processo d'installazione delle patch puó durare molte ore o piú di un giorno con le normali policies. In tal caso la finestra di vulnerabilità per molti computer è troppo grande. Serve un modo per identificare i computers "in ferie" al logon e far scattare una procedura di aggiornamento immediata e prioritaria.

2. Per virus minori, ovvero di diffusione non eccezionale (nella scala di Symantec diciamo fino al livello 2), non vengono rilasciati tool di rimozione. In questo caso bisogna provvedere da soli. Quindi appena identificato il processo virale infettante, bisogna procedere ad acquisire il maggior numero di informazioni possibile, al fine di

• conoscere i cambiamenti provocati dall'installazione del virus alla configurazione del sistema operativo
• mettere a punto una procedura di rimozione efficace
• possibilmente realizzare un tool di rimozione automatica

3. Puó essere utile mettere a punto un framework o una libreria di funzioni per creare i tool di rimozione. Prima di tutto è opportuno stabilire quali sono le modifiche piú frequenti fatte dai virus. A questo argomento dedicherò un nuovo post.