Note di rilascio per Programma di installazione del pacchetto SuperDAT Version 1.8.0 (c) 1992-2004 Networks Associates Technology, Inc. Tutti i diritti riservati =============================================== Grazie per aver scelto il programma di installazione del pacchetto SuperDAT. Questo file contiene importanti informazioni relative alla presente versione. Si consiglia di leggere attentamente l'intero documento. Per poter eseguire il download degli aggiornamenti e degli upgrade dei prodotti, inclusi anche quelli dei motori e dei file DAT, è necessario avere un contratto di licenza PrimeSupport. Scaricando uno qualsiasi dei file allegati, si viene a sapere di disporre di un contratto di licenza PrimeSupport con Network Associates valido. _______________________________________________ CONTENUTO DEL FILE - Definizione di file DAT - Il programma di installazione del pacchetto SuperDAT - Definizione di un file XDAT - Quando utilizzare il programma di installazione del pacchetto SuperDAT - Prodotti McAfee supportati - Nuove funzionalità del motore - Utilizzo del programma di installazione del pacchetto SuperDAT per aggiornamenti e upgrade - Informazioni sul programma di installazione del pacchetto - Installazione dei file DAT e dei file del motore - Esecuzione del programma di installazione del pacchetto SuperDAT - Opzioni della riga di comando - Distribuzione dei file SuperDAT mediante il software di gestione di rete - Modifica del pacchetto SuperDAT per l'utilizzo con la funzionalità di Upgrade automatico - File inclusi nel pacchetto SuperDAT - Test dell'installazione - Problemi noti - Indicazioni sui nomi dei virus - Prefissi - Prefisso per classi trojan - Infissi - Suffissi - Rilevamenti generici - Rilevamenti euristici - Rilevamenti di applicazioni - Documentazione - Come contattare McAfee Security e Network Associates - Attribuzioni del Copyright e del marchio registrato - Marchi registrati - Contratto di licenza _______________________________________________ DEFINIZIONE DEI FILE DAT I file di definizione dei virus, o DAT, contengono le firme aggiornate dei virus e altre informazioni utilizzate nei prodotti antivirus per proteggere il sistema contro le migliaia di virus e gli altri software a potenziale dannoso in circolazione. Ogni mese vengono scoperte centinaia di nuove minacce. Ogni settimana, vengono rilasciati nuovi file DAT. Vengono rilasciati nuovi file DAT anche quando ogni minaccia viene associata da AVERT a un rischio medio o alto. Per assicurarsi che il software antivirus sia in grado di proteggere il sistema o la rete contro le ultime minacce da virus in circolazione, scaricare e installare gli ultimi file .DAT. Per il percorso, vedere "COME CONTATTARE MCAFEE SECURITY E NETWORK ASSOCIATES" _______________________________________________ DEFINIZIONE DEL PROGRAMMA DI INSTALLAZIONE DEL PACCHETTO SUPERDAT La presenza di virus nuovi e complessi può richiedere che Network Associates esegua l'upgrade del motore di scansione del software antivirus per prevenire adeguatamente le infezioni. Spesso ciò richiede una versione completa del prodotto. Con il programma di installazione del pacchetto SuperDAT, McAfee fornisce all'utenza un'applicazione completa che installa il motore di scansione e i file DAT utilizzati dal programma antivirus per rilevare e pulire i file infettati da virus. Il programma di installazione del pacchetto SuperDAT riduce la necessità di distribuire software complessi ogni volta che si ricevono componenti di aggiornamento. Garantisce l'arresto dei processi di scansione antivirus attivi, dei servizi o di altri componenti software residenti in memoria che potrebbero interferire con gli aggiornamenti. Quindi, i nuovi file vengono copiati nelle posizioni appropriate consentendo al software di utilizzarli immediatamente. Il file include i file DAT più un programma che li installa. Può anche includere un nuovo motore di scansione virus e altri componenti di programmi. Il nome del file è in formato SDATxxxx.EXE, in cui xxxx rappresenta il numero di quattro cifre della versione dei DAT, ad esempio 4321. _______________________________________________ DEFINIZIONE DI UN FILE XDAT Il nome del file è in formato xxxxXDAT.EXE, in cui xxxx rappresenta il numero di quattro cifre della versione dei DAT, ad esempio 4321. Questo pacchetto installa i file DAT aggiornati per i prodotti antivirus in uso. In maniera simile al programma di installazione del pacchetto SuperDAT arresta i processi di scansione antivirus attivi, dei servizi o di altri componenti software residenti in memoria che potrebbero interferire con gli aggiornamenti. Quindi, i nuovi file vengono copiati nelle posizioni appropriate consentendo al software antivirus di utilizzarli immediatamente. Tuttavia, il pacchetto XDAT aggiorna SOLO i file DAT. Pertanto, è possibile effettuare il download di questo pacchetto, se già si dispone di un motore di scansione virus corrente e si desidera risparmiare tempo e larghezza di banda. Questo programma di installazione supporta le stesse piattaforme e i prodotti del programma di installazione del pacchetto SuperDAT. _______________________________________________ QUANDO UTILIZZARE IL PROGRAMMA DI INSTALLAZIONE DEL PACCHETTO SUPERDAT Si consiglia di utilizzare il programma di installazione del pacchetto SuperDAT per l'aggiornamento e l'upgrade di tutte le versioni del software antivirus supportate. È possibile continuare a utilizzare altri metodi di aggiornamento o upgrade, ma il programma di installazione del pacchetto SuperDAT rappresenta quello più semplice ed efficace. Se si desidera aggiornare solo i file DAT e scaricare un pacchetto di dimensioni inferiori, utilizzare il file XDAT invece. _______________________________________________ PRODOTTI MCAFEE SUPPORTATI 1. Soluzioni per nodi finali - VirusScan per Microsoft Windows 95/98 4.5 e versione successiva - VirusScan per Microsoft Windows NT/2000 4.5 e versione successiva - VirusScan TC per Microsoft Windows 95/98/NT/2000 6.0 e versione successiva - NetShield per Microsoft Windows NT/2000 4.5 e successiva - VirusScan TC 6.0 e 6.1 - VirusScan Enterprise 7.0 - VirusScan Retail e VirusScan Professional 6.0, 6.01, 6.02 e versione successiva 2. Soluzioni per gateway - GroupShield 4.x per Microsoft Exchange 5.5 - GroupShield 4.x per Microsoft Exchange 2000 - GroupShield 5.x per Microsoft Exchange 5.5 - GroupShield 5.x per Microsoft Exchange 2000 - GroupShield 5.x per Lotus Domino-Intel - WebShield SMTP 4.5 MR1a - WebShield SMTP e50 versione 1.0 _______________________________________________ NUOVE FUNZIONALITÀ DEL MOTORE - Supporto per documenti Microsoft Office 2003 XML - Supporto migliorato per formati RAR - Supporto aggiornato per i formati file ZIP più recenti - Supporto migliorato per i file ZIP danneggiati _______________________________________________ UTILIZZO DEL PROGRAMMA DI INSTALLAZIONE DEL PACCHETTO SUPERDAT PER AGGIORNAMENTI E UPGRADE INFORMAZIONI SUL PROGRAMMA DI INSTALLAZIONE DEL PACCHETTO Il programma di installazione del pacchetto SuperDAT è un'applicazione standard che si può avviare da Microsoft Windows con un doppio clic. Le versioni di Windows 95, Windows 98, Windows ME, Windows NT e Windows 2000 del programma di installazione includono una 'procedura guidata'. Seguire le istruzioni visualizzate nei pannelli per aggiornare i file. IMPORTANTE: per effettuare l'upgrade del motore di scansione del software antivirus di NetShield per Windows NT e di VirusScan per Windows NT, È NECESSARIO accedere al computer di destinazione con diritti di amministratore. Se si accede al sistema di destinazione con i diritti utente, il programma di installazione del pacchetto SuperDAT NON eseguirà l'upgrade del motore. Se non è possibile accedere al computer di destinazione direttamente come amministratore, si può in alternativa utilizzare la funzione di Upgrade automatico inclusa in questi prodotti software, per pianificare un'operazione di upgrade. La funzione di upgrade automatico utilizza i diritti di amministratore quando esegue un'operazione di aggiornamento pianificata, ma non utilizzerà i diritti di amministratore se si fa clic sul pulsante Aggiorna ora. Per ulteriori informazioni, consultare la sezione "Modifica del pacchetto SuperDAT per l'utilizzo con la funzionalità di Upgrade automatico" riportata in questo documento. INSTALLAZIONE DEI FILE DAT E DEI FILE DEL MOTORE Gli aggiornamenti dei file DAT e dei file del motore vengono distribuiti in un formato compresso per ridurre i tempi di trasmissione. Con il programma di installazione del pacchetto SuperDAT, tali aggiornamenti sono inclusi in un solo file eseguibile. Il nome del file è in formato SDATxxxx.EXE, in cui xxxx rappresenta il numero di quattro cifre della versione dei DAT, ad esempio 4321. Per preparare il programma di installazione per l'aggiornamento o l'upgrade, creare una directory temporanea sul disco fisso e quindi scaricare il file SDAT dal sito di Network Associates salvandolo in questa directory. Non è necessario decomprimere il file o eseguire ulteriori azioni per preparare il file all'esecuzione. ESECUZIONE DEL PROGRAMMA DI INSTALLAZIONE DEL PACCHETTO SUPERDAT Individuare l'icona del programma di installazione del pacchetto SuperDAT, quindi fare doppio clic su di essa per avviare l'installazione guidata. Seguire le istruzioni visualizzate per aggiornare il software antivirus. NOTA: al termine dell'esecuzione del programma di installazione del pacchetto SuperDAT, è possibile eliminare il programma dal disco rigido, a meno che non si desideri conservarne una copia per operazioni di aggiornamento o upgrade. È possibile eseguire il programma di installazione anche dal prompt della riga di comando con diverse opzioni. Per ulteriori informazioni sulle diverse opzioni, consultare la sezione "Opzioni della riga di comando" più avanti in questo documento. Per eseguire il programma di installazione del pacchetto SuperDAT da una finestra del prompt dei comandi: 1. Fare clic sul pulsante Start sulla barra delle applicazioni di Microsoft Windows e scegliere Esegui. 2. Digitare X:\SDATxxxx.EXE nella finestra di dialogo Esegui, insieme alle altre opzioni che di desidera utilizzare. Qui, X: indica l'unità e il percorso di memorizzazione del file del pacchetto SuperDAT, xxxx rappresenta il numero di quattro cifre della versione DAT, ad esempio 4321. 3. Scegliere OK. 4. Il programma di installazione verrà eseguito con le opzioni specificate. NOTA: alcune delle opzioni non intervengono sull'esecuzione del programma di installazione, bensì forniscono informazioni sul pacchetto o estraggono i file del pacchetto. Consultare "Opzioni della riga di comando" per ulteriori dettagli a riguardo. OPZIONI DELLA RIGA DI COMANDO Il programma di installazione del pacchetto SuperDAT fornisce diverse opzioni che possono essere utilizzate per specificare i diversi metodi di aggiornamento oppure per ottenere delle informazioni. /logfile Questa opzione indica al programma di installazione di salvare un file di registro utilizzando il nome file e il percorso specificati. Per impostazione predefinita, il programma di installazione crea un file di registrazione nella directory di lavoro corrente. Utilizzare questa opzione per creare un file registro in un'altra posizione sul disco rigido. /prompt Questa opzione fa in modo che il programma di installazione visualizzi la finestra di dialogo di chiusura di Windows dopo che il software è stato aggiornato. Utilizzare questa opzione con /silent. /silent Questa opzione consente di eseguire l'aggiornamento in modalità invisibile all'utente. Non viene visualizzata alcuna finestra di dialogo. /reboot Qualora si utilizzasse questa opzione in combinazione con l'opzione /silent, il programma di installazione riavvierà il computer di destinazione soltanto se ciò sarà necessario per completare tutte le sostituzioni dei file. Se non si utilizza questa opzione dalla riga di comando o non si specifica un comando analogo nello script di aggiornamento, il computer NON verrà riavviato. NOTA: Per iniziare a utilizzare immediatamente nuovi file di aggiornamento, alcune applicazioni antivirus McAfee richiedono il riavvio del computer di destinazione, al contrario di altre. L'effettivo riavvio del sistema quando si usa questa opzione dipenderà: - dal tipo di software antivirus installato, dalla piattaforma e dal sistema operativo. - dai componenti di programma che sono in esecuzione quando si avvia il programma di installazione. - dal motore già installato. Se il programma di installazione non richiede il riavvio del computer per l'uso immediato dei nuovi file, questa operazione non verrà eseguita. /e Questa opzione consente di estrarre nella directory specificata in i file archiviati nel pacchetto SuperDAT. Utilizzare l'opzione per convalidare i file estratti dal pacchetto. Questa opzione NON consente di eseguire il programma di installazione o di aggiornare il software. Se non si specifica alcun , il contenuto di SuperDAT verrà estratto nella directory di lavoro corrente. /v Questa opzione consente di visualizzare informazioni di convalida per il programma di installazione nei sistemi Windows 95, Windows 98, Windows ME, Windows NT e Windows 2000. Tali informazioni includono la versione dei file, l'indicazione di data e ora tratta dai file stessi e i codici di convalida CRC (Cyclical Redundancy Check). È possibile paragonare tali dati con quelli contenuti nel file SDATPACK.LST fornito con il pacchetto SuperDAT. Questa opzione NON consente di eseguire il programma di installazione o di aggiornare il software. /f Questa opzione indica al programma di installazione di utilizzare i file forniti con il pacchetto corrente per l'aggiornamento e l'upgrade del software, indipendentemente dalla versione del file già installata. Utilizzare questa opzione per forzare l'aggiornamento alle versioni correnti dei file in modo da sovrascrivere i file danneggiati o rispettare i criteri di protezione antivirus. /? Questa opzione consente di visualizzare una descrizione in linea delle opzioni della riga di comando disponibili per il programma di installazione. Questa opzione NON consente di eseguire il programma di installazione o di aggiornare il software. DISTRIBUZIONE DEI FILE SUPERDAT TRAMITE IL SOFTWARE DI GESTIONE DI RETE Se si utilizza l'utility di Upgrade automatico o il programma McAfee Management Server (SMS) per distribuire gli aggiornamenti e gli upgrade, i file con le informazioni sul pacchetto o i file di script necessari per la distribuzione dell'aggiornamento o dell'upgrade del pacchetto sono disponibili sul sito Web. Su questo sito sono presenti file di archivio diversi per ogni tipo di utility di distribuzione: SMS.ZIP File di definizione del pacchetto (.PDF) da utilizzare con System Management Server. AUTOUPG.ZIPFile di descrizione pacchetto da utilizzare con l'utilità di upgrade automatico. MODIFICA DEL PACCHETTO SUPERDAT PER L'UTILIZZO CON LA FUNZIONALITÀ DI UPGRADE AUTOMATICO A questo punto il pacchetto SuperDAT deve essere modificato per poterlo utilizzare con il componente Upgrade automatico che viene fornito con il software antivirus. 1. Rinominare il file SDATxxxx.EXE (ad esempio SDAT4321.EXE) in SETUP.EXE. 2. Effettuare il download del file AUTOUPG.ZIP dal sito Web di Network Associates. NOTA: AUTOUPG.ZIP contiene il file PKGDESC.INI. Estrarre PKGDESC.INI dall' archivio .ZIP e copiare il file estratto e il file SETUP.EXE sul server dal quale anche altri computer sulla rete possono scaricare i file copiati. È necessario che entrambi i file PKGDESC.INI e SETUP.EXE siano presenti perché l'Upgrade automatico possa scaricare correttamente i file di aggiornamento. Se nel server da utilizzare per l'upgrade è installato UNIX o un altro sistema operativo sensibile alla distinzione tra maiuscole e minuscole, verificare che il file PKGDESC.INI sia stato denominato correttamente. La versione dell'utility Aggiornamento automatico inclusa con il programma antivirus VirusScan per Windows 95, Windows 98, Windows ME, Windows NT Workstation versione 4.0 e Windows 2000 Professional riconosce i nomi di file in lettere minuscole, come pkgdesc.ini: Un nome file in lettere maiuscole, PKGDESC.INI è atteso da NetShield e la versione 4.0.3 del software anti-virus VirusScan per Microsoft Windows NT. 3. Creare e copiare il file SETUP.ISS nella directory da cui l'utility di Upgrade automatico dovrà scaricare i nuovi file. SETUP.ISS è un semplice file di testo che gestisce l'operazione di upgrade del software tramite l'utility di Upgrade automatico. È possibile utilizzare qualsiasi editor di testo standard per creare e salvare questo file. Se non si desidera specificare alcuna opzione di configurazione, si può creare semplicemente un file SETUP.ISS di dimensioni pari a zero byte. IMPORTANTE: le versioni dell'utility di Upgrade automatico incluse nei prodotti antivirus versione 4.0.3 richiedono l'esecuzione di un file SETUP.ISS, anche se il file non contiene alcuna opzione di configurazione. Le versioni dell'utility di Upgrade automatico che sono incluse nelle serie di prodotti versione 4.5 (ad eccezione di NetShield 4.5) non richiedono l'esecuzione del file SETUP.ISS. Per specificare le opzioni di configurazione nel file SETUP.ISS, utilizzare l'esempio riportato di seguito in modo da determinare le opzioni da utilizzare. È possibile tagliare e incollare questo esempio direttamente in un file di testo, quindi modificare e salvare il file con il nome SETUP.ISS. [SuperDATOptions] bReboot=1 bPrompt=1 szLogFile=C:\temp\mylog.txt Di seguito è riportata una descrizione di ciascuna istruzione presente nel file: - bReboot=1 Questo comando ordina al programma di installazione del pacchetto SuperDAT di riavviare il computer, se necessario per ultimare l'aggiornamento o l'upgrade del software antivirus. Se non si desidera riavviare il computer di destinazione dopo l'aggiornamento dei file, impostare il valore di bReboot= su zero oppure rimuovere l'istruzione da SETUP.ISS. NOTA: se non si specifica alcun comando per il riavvio del computer di destinazione, digitando questa istruzione nel file SETUP.ISS, dalla riga di comando o in uno script di aggiornamento, questa operazione NON verrà eseguita. Per iniziare a utilizzare immediatamente nuovi file di aggiornamento, alcune applicazioni antivirus McAfee richiedono il riavvio del computer di destinazione, al contrario di altre. Quando si include questa istruzione nel file SETUP.ISS, l'effettivo riavvio del computer da parte del programma di installazione del pacchetto SuperDAT dipenderà: - dal tipo di software antivirus installato, dalla piattaforma e dal sistema operativo. - dai componenti di programma che sono in esecuzione quando si avvia il programma di installazione. - dalla versione del file DAT e del motore già installata. Se il programma di installazione non richiede il riavvio del computer per l'uso immediato dei nuovi file, questa operazione non verrà eseguita indipendentemente dalla presenza dell'istruzione nel file. - bPrompt=1 Questo comando fa in modo che il programma di installazione visualizzi la finestra di dialogo di chiusura di Windows dopo che il software è stato aggiornato. - szLogFile= Questa opzione ordina al programma di installazione di salvare un file di registrazione con il nome e nel punto specificato dall'utente. Per impostazione predefinita, il programma di installazione crea un file di registrazione nella directory di lavoro corrente. FILE INCLUSI NEL PACCHETTO SUPERDAT COMPONENTI DEL PROGRAMMA DI INSTALLAZIONE DEL SUPERDAT GLOBALS.NSG File di definizione delle variabili globali NAISCRIP.NSC File di script SDATPACK.LSTElenco del contenuto e dei codici da utilizzare con VALIDATE.EXE GSDSUPER.DLLFile di supporto per GroupShield per Lotus Domino FILE DAT SCAN.DATFile di dati per la scansione dei virus. NAMES.DAT File di dati per i nomi dei virus. CLEAN.DAT File di dati per la pulizia dei virus. INTERNET.DAT File di dati per il rilevamento di oggetti Java/ActiveX pericolosi. COMPONENTI GENERALI DEL MOTORE MCSCAN32.DLL Motore di scansione virus SIGNLIC.TXTInformazioni sulla licenza di terze parti MCTOOL.EXE File di supporto utilizzato per conservare le date di ultimo accesso ai volumi dei server Novell NetWare AVPARAM.DLLFile di VirusScan di supporto per ambienti a 32 bit/16 bit PSAPI.DLL Libreria di supporto Microsoft Windows NT FILE PER SOFTWARE ANTIVIRUS VIRUSSCAN PER MICROSOFT WINDOWS 95 E WINDOWS 98 MCSCAN32.VXD Motore di scansione virus VSHIELD.VXDFunzione di scansione VShield eseguita in background RWABS16.DLLFile di supporto a 16 bit di VirusScan RWABS32.DLLFile di supporto a 32 bit di VirusScan FILE PER IL SOFTWARE ANTIVIRUS DELLA RIGA DI COMANDO VIRUSSCAN LICENSE.DATInformazioni sulla licenza d'uso di VirusScan MESSAGES.DAT File del contenuto dei messaggi BOOTSCAN.EXE Funzione di scansione della riga di comando per il disco di ripristino. SCAN.EXEScansione della riga di comando di VirusScan per ambienti a 32 bit SCANPM.EXE Funzione di scansione della riga di comando di VirusScan per ambienti in modalità protetta SCAN86.EXE Funzione di scansione della riga di comando di VirusScan per ambienti in modalità reale (versione 4.1.40) _______________________________________________ VERIFICA DELL'INSTALLAZIONE È possibile verificare il funzionamento del software eseguendo il file di verifica EICAR Standard Antivirus in qualsiasi computer in cui è stato installato il software. Il file di verifica EICAR Standard Antivirus è il risultato della collaborazione dei fornitori di applicazioni antivirus di tutto il mondo per offrire uno standard che consenta ai clienti di verificare l'installazione di tali prodotti. Per verificare l'installazione: 1. Copiare la seguente riga in un file e salvarlo con il nome EICAR.COM. X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* La dimensione del file è di 68 o 70 byte. 2. Avviare il software antivirus e consentirgli di eseguire la scansione della directory che contiene EICAR.COM. Quando il software esegue la scansione di questo file, rileverà il file di verifica EICAR. 3. Per evitare di allarmare utenti che non siano al corrente di tali procedure, eliminare il file EICAR al termine della verifica dell'installazione. IMPORTANTE: NON si tratta di UN VIRUS. ____________________________________________ PROBLEMI NOTI 1. Il file di registro di SuperDAT è limitato attualmente a una dimensione massima di 64 KB. Superato questo limite, l'utility SuperDAT continuerà a registrare gli eventi ma troncherà il file. 2. Se si esegue il programma di installazione del pacchetto SuperDAT per effettuare l'aggiornamento e l'upgrade di una versione esistente di VirusScan per Windows 95 e Windows 98, ad esempio la versione 4.0.3, e si installa una versione successiva dello stesso prodotto, ad esempio la versione 4.5.1, sarà necessario eseguire di nuovo il programma di installazione del pacchetto SuperDAT per assicurarsi di disporre dei file del motore più recenti. 3. Il programma di installazione non supporta il simbolo @ utilizzato nello script di accesso di Novell NetWare. McAfee non crea, fornisce o supporta script di accesso per ambienti individuali. 4. Il programma di installazione del pacchetto SuperDAT funziona all'interno delle strutture di protezione esistenti. Per i sistemi Microsoft Windows NT questo significa generalmente che l'utente deve possedere specifici diritti di amministratore per eseguire l'upgrade del motore di scansione del programma antivirus, in quanto tali diritti consentono di avviare o interrompere i servizi di sistema. L'accesso al sistema con la stessa identità utilizzata per l'installazione del software antivirus dovrebbe garantire diritti sufficienti. 5. Il motore di scansione antivirus comprende funzionalità di rilevamento dei programmi trojan che consentono di bloccare processi dannosi originati da questi file e di rimuovere le tracce di software dannoso dal computer. Per attivare il supporto per questa funzione nei sistemi Windows NT, è necessario avere due file .DLL (Dynamic Link Library) separati, PSAPI.DLL e VDMDBG.DLL, installati nella cartella \WINNT\System32 del sistema. VDMDBG.DLL dovrebbe essere già presente nel sistema. Tuttavia, in alcune installazioni di NT 4.0 è anche possibile che PSAPI.DLL non esista. Se PSAPI.DLL non si trova nella cartella \WINNT\System32, è necessario richiedere una copia a Microsoft. NOTA: il file PSAPI.DLL non deve mai essere copiato in un sistema in cui è già stato installato. _______________________________________________ DESCRIZIONE DEI NOMI DI VIRUS Il software antivirus è generalmente conforme alle convenzioni di denominazione standard per l'identificazione dei virus da rilevare e rimuovere. Tuttavia, alcuni nomi di virus sono talvolta diversi dagli standard industriali. Al primo virus con un gruppo di caratteristiche che lo contraddistinguono come nuova entità viene assegnato un nome di "famiglia". I ricercatori di virus fanno derivare il nome della famiglia da alcuni elementi identificativi o da annotazioni nel virus, ad esempio una stringa di testo o un effetto di carico utile. Il nome della famiglia può anche includere una stringa numerica indicante la dimensione in byte del virus. I ricercatori utilizzano tali nomi come utili segni stenografici per distinguere tra varianti di virus molto simili. I nomi assegnati alle varianti di virus all'interno di una stessa famiglia sono composti dal nome della famiglia e da un suffisso, ad esempio BadVirus.a. Il suffisso continua in ordine alfabetico finché raggiunge la z. Quindi, inizia di nuovo da aa e continua fino a az. Le varianti più recenti hanno il suffisso da ba a bz e così via, fino a zz. Se dopo tale suffisso viene rilevata un'altra variante, le verrà assegnato il suffisso aaa. Di pari passo all'identificazione di nuovi tipi di virus, le convenzioni di denominazione industriali si stanno evolvendo in modo da poter contenere più informazioni. Alcuni nomi, ad esempio, comprendono elementi che identificano la piattaforma su cui il virus può essere eseguito. Tra i fornitori di prodotti antivirus, i nomi di virus possono includere un prefisso, un infisso e un suffisso. PREFISSI Il prefisso indica il tipo di file che può essere infettato dal virus o la piattaforma su cui un software potenzialmente dannoso può essere eseguito. I virus che infettano gli eseguibili DOS non sono dotati di alcun prefisso. La nostra convenzione di denominazione include i seguenti prefissi: A97M/ Virus delle macro che infetta i file di Microsoft Access 97. APM/ Virus delle macro o programma trojan che infetta i documenti e i file dei modelli Ami Pro. Bat/ Virus dei file batch o programma trojan. Questi virus in genere vengono eseguiti come file batch o di script in un determinato programma che interpreta i comandi script o batch in essi inclusi. Si diffondono con estrema facilità e possono infettare qualsiasi piattaforma in grado di eseguire file batch o di script. Spesso tali file hanno l'estensione BAT. CSC/ Virus Corel Script o programma trojan che infetta i file dei documenti, dei modelli e gli script di Corel Draw. IRC/ Virus di script Internet Relay Chat. Questo tipo di virus può utilizzare le prime versioni del software client mIRC per distribuire un virus o un carico utile. JS/ Virus di script o programma trojan scritto in linguaggio JavaScript. JV/ Applicazione o applet Java potenzialmente dannosa. Linux Virus o programma trojan compilato per il sistema operativo Linux in formato ELF. LWP/ Software potenzialmente dannoso per Lotus WordPro. MacHC/ Virus di script o programma trojan per linguaggio di script Apple Macintosh HyperCard. MacOS/ Virus o programma trojan per il sistema operativo Apple Macintosh versioni 6-9. MSIL/ Applicazione scritta con l'utilizzo del framework Microsoft Intermediate Language, nota anche come .NET. P98M/ Virus delle macro o programma trojan che infetta i documenti e i modelli di Microsoft Project. PalmOS/ Virus o programma trojan per un Palm Pilot. PDF/ Virus dei file Adobe PDF. Perl/ Virus di script o programma trojan scritto in linguaggio Perl. PHP/ Virus di script o programma trojan scritto in linguaggio PHP. PP97M/ Virus delle macro. Infetta i file di Microsoft PowerPoint 97. SunOS/ Software potenzialmente dannoso per Sun Solaris. SWF/ Software potenzialmente dannoso per Shockwave. Unix/ Programma o script shell per una versione di UNIX. V5M/ Virus delle macro o di script o programma trojan che infetta macro o script Visio VBA (Visual Basic for Applications). VBS/ Virus di script o programma trojan scritto in linguaggio Visual Basic Script. W16/ Virus di file eseguito in ambienti Microsoft Windows (Windows 3.1x)a 16 bit. W2K/ Software potenzialmente dannoso per ambienti Microsoft Windows a 32 bit, in particolare per Windows NT, 2000 o XP. W32/ Virus di file o del settore di avvio eseguito in ambienti Windows a 32 bit (Windows 95, Windows 98 o Windows NT). W95/ Virus di file eseguito in ambienti Microsoft Windows 95, Windows 98 e Windows ME. W97M/ Virus delle macro che infetta i file Microsoft Word 97. WHLP/ Software potenzialmente dannoso per ambienti Microsoft Windows a 32 bit che colpisce i file HPL. WM/ Virus delle macro che infetta i file Microsoft Word 95. X97M/ Virus delle macro che infetta i file Microsoft Excel 97. XF/ Virus delle macro che infetta Microsoft Excel 95 o 97 tramite formule Excel. XM/ Virus delle macro che infetta i file Microsoft Excel 95. PREFISSO PER CLASSI TROJAN Un nome come "BackDoor-" indica un software potenzialmente dannoso che appartiene a una classe di programmi simili ai trojan. Il nome della classe è seguito da altri caratteri che ne indicano la famiglia (ad esempio BackDoor-JZ) oppure da un nome (ad esempio BackDoor-Sub7). AdClicker Accede ripetutamente ai siti Web basati sulla pubblicità. Adware- Installa il software per la pubblicità ma non richiede l'autorizzazione. BackDoor- Fornisce l'accesso remoto o il controllo mediante Internet o la rete. Dialer- Compone un numero di telefono senza chiedere l'autorizzazione. DDoS- Opera come un componente DDoS (Distributed Denial of Service). Del- Elimina i file. Downloader-Scarica software da Internet, di solito per inviare backdoor, programmi che si appropriano delle password e a volte virus. Exploit-Utilizza una vulnerabilità o un difetto del software. FDoS- Indica un componente FDoS (Flooding Denial of Service) KeyLog- Registra il testo da tastiera per una trasmissione immediata o futura a chi sta attaccando. Kit- Indica un programma progettato per la creazione di un virus o un programma trojan. MultiDropper- Rilascia diversi programmi trojan o virus (spesso diversi 'backdoor'). Nuke- Sfrutta difetti nel software su un computer remoto per disattivarlo. ProcKill- Termina i processi dei prodotti antivirus e di protezione. Può anche eliminare i file associati a tali applicazioni. PWS- Ruba password. Reboot- Riavvia il computer. Reg- Modifica il registro in modo indesiderato senza fare domande. Ad esempio, riduce le impostazioni di protezione o crea associazioni o gruppi insoliti. Spam- Funge da strumento di spamming. Spyware-Monitora le abitudini dei browser o altri comportamenti e invia all'esterno le informazioni, spesso per la pubblicità non desiderata. Uploader- Invia file o altri dati presenti sul computer. Vtool- Indica un programma che i creatori di virus o i pirati informatici utilizzano per sviluppare software. Zap- Cancella tutto o parte di un disco rigido. INFISSI Queste designazioni si trovano in genere al centro del nome del virus. AVERT assegna tali designazioni che sono diverse dalle convenzioni industriali. .cmp. File compagno che il virus aggiunge ad un file eseguibile esistente. Il software antivirus elimina tale file per impedire future infezioni. .mp. Virus multipartito di tipo legacy per DOS. .ow. Virus di sovrascrittura. Identifica un virus che sovrascrive i dati di un file, danneggiandolo in modo irreparabile. È necessario eliminare tale file. SUFFISSI Queste designazioni si trovano in genere nella parte finale del nome del virus. Il nome di un virus può contenere più di un suffisso. Alcuni suffissi possono indicare le varianti, altri fornire ulteriori informazioni sul virus. @M Slow mailer. Questo virus utilizza il sistema di posta elettronica per la diffusione. Di solito risponde una sola volta a un messaggio in entrata, si allega automaticamente a un messaggio in uscita oppure lo invia a un solo indirizzo di posta elettronica. @MM Distribuzione mass mailing. Questo virus potrebbe utilizzare tecniche standard per propagarsi ma anche,sfruttare un sistema di posta elettronica. .a -.zzzVarianti di virus. Secondo la convenzione di denominazione CARO (Computer Anti-virus Research Organization), i suffissi specifici per i produttori possono essere preceduti da un carattere "!". Il nostro software utilizza i seguenti suffissi: apd Virus accodati. Un virus che accoda il proprio codice al file infettato ma non riesce a replicarsi correttamente. bat Componente software in linguaggio BAT. cav Virus di cavity. Questo suffisso indica un virus che copia se stesso nelle "cavity" (ad esempio, aree di tutti zeri) in un file di programma. cfg Componente di configurazione di un programma trojan di Internet (spesso di un 'BackDoor-'). cli Componente lato client di un programma trojan di Internet (spesso di un 'BackDoor-'). dam File danneggiato. Un file danneggiato o corrotto da un'infezione. demo Programma che dimostra l'azione potenzialmente dannosa, ad esempio come funziona lo sfruttamento di una vulnerabilità. dr File dropper. Questo file introduce il virus nel programma host. gen Rilevamento generico. Le routine del software McAfee sono in grado di rilevare tale virus senza dover utilizzare stringhe di codice specifiche. ini Uno script mIRC o pIRCH, se componente di un altro virus. intd Virus "presunto". Un virus avente le caratteristiche della maggior parte dei virus più comuni, ma non in grado di replicarsi correttamente. irc Componente IRC di un software potenzialmente dannoso. js Componente software potenzialmente dannoso in JavaScript. kit Virus o programma trojan creato da un 'kit di costruzione virus'. p2p Software potenzialmente dannoso che utilizza comunicazioni peer-to-peer per funzionare. Ad esempio, Gnutella e Kazaa. sfx Utility autoestraente per programmi trojan. src Codice sorgente virale. Generalmente questo codice non è in grado di replicarsi o di infettare i file, ma può essere aggiunto all'interno dei file come parte di un ciclo di infezione da alcuni dropper di virus. I prodotti McAfee contrassegnano in genere questi file con codice supplementare per questo tipo di eliminazione. sub Virus di sostituzione. Il virus si sostituisce al file host, in modo che tutti gli host infetti siano delle stesse dimensioni e diventino un virus vero e proprio. Si tratta, in realtà, di una sottoclasse dei virus di sovrascrittura. svr Componente lato server di un programma trojan di Internet (spesso di un 'BackDoor-'). vbs Componente software potenzialmente dannoso scritto in linguaggio Visual Basic Script. worm Un virus non parassita che si replica o si propaga attraverso la rete replicandosi nei computer remoti o inviandosi attraverso qualsiasi mezzo di trasmissione file quali condivisioni remote, peer-to-peer, messaggistica istantanea, trasferimenti di file IRC, FTP e SMTP. RILEVAMENTI GENERICI Il nostro software è in grado di rilevare una grande quantità di software potenzialmente dannosi in maniera preventiva e generica. Nella maggior parte dei casi, tali oggetti riescono a essere puliti anche senza che AVERT abbia ne ricevuto un esempio. Tale rilevamento è indicato da "Generic" nel nome o da un suffisso "gen". Per inoltrare un esempio a AVERT, visitare la home page di AVERT. Consultare "COME CONTATTARE MCAFEE SECURITY E NETWORK ASSOCIATES". RILEVAMENTI EURISTICI Il nostro software è in grado di rilevare una grande quantità di software potenzialmente dannosi in maniera euristica. Tale rilevamento viene indicato mediante il prefisso "New" al nome (ad esempio "New Worm" e "New Win32"). Per inoltrare un esempio rilevato euristicamente, visitare la home page di AVERT. Consultare "COME CONTATTARE MCAFEE SECURITY E NETWORK ASSOCIATES". RILEVAMENTI DI APPLICAZIONI Il nostro software è in grado di rilevare le applicazioni potenzialmente indesiderate che non è possibile classificare come virus o programmi trojan. Tra queste sono inclusi alcuni software di accesso remoto Adware, Spyware, Dialers, in grado di nascondersi e altre applicazioni simili che molti utenti non desiderano sui computer. Le applicazioni indesiderate includono anche i 'joke' ma questi possono essere esclusi dal rilevamento mediante le opzioni di scansione. Per ulteriori informazioni, consultare la home page di AVERT: Consultare "COME CONTATTARE MCAFEE SECURITY E NETWORK ASSOCIATES". _______________________________________________ DOCUMENTAZIONE Questo prodotto include la seguente documentazione: - Il presente file README. - Un file per i contatti. Informazioni per contattare i servizi e le risorse di McAfee Security e Network Associates: Assistenza tecnica, servizio clienti, AVERT (Anti-Virus Emergency Response Team), programmi beta e corsi di formazione. Fornisce inoltre un elenco di numeri di telefono, indirizzi, indirizzi Web, indirizzi di posta elettronica e numeri di fax degli uffici di Network Associates negli Stati Uniti e nel mondo. ____________________________________________________ ______ COME CONTATTARE MCAFEE SECURITY E NETWORK ASSOCIATES Assistenza tecnica Home Page http://www.networkassociates.com/us/support/ Ricerca KnowledgeBase https://knowledgemap.nai.com/phpclient/homepage.aspx PrimeSupport Service Portal http://mysupport.nai.com Credenziali richieste per l'accesso. Programmi beta di McAfee Security Sito Web Beta http://www.networkassociates.com/us/downloads/beta/ Posta elettronica avbeta@nai.com QG della sicurezza -- AVERT (Anti-Virus Emergency Response Team) Home Page http://www.networkassociates.com/us/security/home.asp Libreria di informazioni virus http://vil.nai.com Invio di un esempio di virus - AVERT WebImmune https://www.webimmune.net/default.asp Servizio di notifica DAT di AVERT http://vil.nai.com/vil/join-DAT-list.asp Sito di download Home Page http://www.networkassociates.com/us/downloads/ Aggiornamenti di file DAT e motori http://www.networkassociates.com/us/downloads/updates/ ftp://ftp.nai.com/pub/antivirus/datfiles/4.x Upgrade dei prodotti https://secure.nai.com/us/forms/downloads/upgrades/login.asp È richiesto un numero di licenza valido. Contattare il servizio clienti Network Associates Formazione McAfee Security University http://www.networkassociates.com/us/services/education/mcafee/university.htm Servizio clienti Network Associates Numero verde per Stati Uniti, Canada e America Latina: Phone: (Tel.) +1-888-VIRUS NO o +1-888-847-8766 Lunedì - venerdì, 8 - 20, fuso orario Stati Uniti centrali Indirizzo di posta elettronica: services_corporate_division@nai.com Sito Web: http://www.nai.com/us/index.asp http://www.networkassociates.com/us/ index.asp Per ulteriori informazioni sulle modalità per contattare Network Associates e McAfee Security, compresi i numeri verdi delle altre aree geografiche, consultare il file CONTACT fornito con la versione originale del prodotto. ____________________________________________________ ______ COPYRIGHT E MARCHI REGISTRATI Copyright (C) 2004 Networks Associates Technology, Inc. Tutti i diritti riservati. Nessuna parte della presente pubblicazione può essere in alcuna forma o con alcun mezzo riprodotta, trasmessa, trascritta, memorizzata in un sistema di archiviazione o tradotta in altre lingue senza il permesso scritto di Networks Associates Technology, Inc. o dei suoi fornitori o partner. Per richiedere l'autorizzazione, scrivere all'attenzione del reparto legale di Network Associates all'indirizzo: 5000 Headquarters Drive, Plano, Texas 75024, oppure chiamare il +1-972-963-8000. MARCHI REGISTRATI Active Firewall, Active Security, Active Security (in katakana), ActiveHelp, ActiveShield, AntiVirus Anyware and design, Appera, AVERT, Bomb Shelter, Certified Network Expert, Clean-Up, CleanUp Wizard, ClickNet, CNX, CNX Certification Certified Network Expert and design, Covert, Design (N stilizzata), Disk Minder, Distributed Sniffer System, Distributed Sniffer System (in katakana), Dr Solomon’s, Dr Solomon’s label, E and Design, Entercept, Enterprise SecureCast, Enterprise SecureCast (in katakana), ePolicy Orchestrator, Event Orchestrator (in katakana), EZ SetUp, First Aid, ForceField, GMT, GroupShield, GroupShield (in katakana), Guard Dog, HelpDesk, HelpDesk IQ, HomeGuard, Hunter, Impermia, InfiniStream, Intrusion Prevention Through Innovation, IntruShield, IntruVert Networks, LANGuru, LANGuru (in katakana), M and design, Magic Solutions, Magic Solutions (in katakana), Magic University, MagicSpy, MagicTree, McAfee, McAfee (in katakana), McAfee and design, McAfee.com, MultiMedia Cloaking, NA Network Associates, Net Tools, Net Tools (in katakana), NetAsyst, NetCrypto, NetOctopus, NetScan, NetShield, NetStalker, Network Associates, Network Performance Orchestrator, NetXray, NotesGuard, nPO, Nuts & Bolts, Oil Change, PC Medic, PCNotary, PortalShield, Powered by SpamAssassin, PrimeSupport, Recoverkey, Recoverkey – International, Registry Wizard, Remote Desktop, ReportMagic, RingFence, Router PM, Safe & Sound, SalesMagic, SecureCast, SecureSelect, SecurityShield, Service Level Manager, ServiceMagic, SmartDesk, Sniffer, Sniffer (in hangul), SpamKiller, SpamAssassin, Stalker, SupportMagic, ThreatScan, TIS, TMEG, Total Network Security, Total Network Visibility, Total Network Visibility (in katakana), Total Service Desk, Total Virus Defense, Trusted Mail, UnInstaller, VIDS, Virex, Virus Forum, ViruScan, VirusScan, WebScan, WebShield, WebShield (in katakana), WebSniffer, WebStalker, WebWall, What's The State Of Your IDS?, Who’s Watching Your Network, WinGauge, Your E-Business Defender, ZAC 2000, Zip Manager sono marchi o marchi registrati di Network Associates, Inc. e e/o consociati negli USA e/o in altri paesi. I prodotti a marchio Sniffer(R) sono creati solo da Network Associates Inc. Tutti gli altri marchi registrati e non registrati citati nel presente documento sono marchi dei rispettivi proprietari. INFORMAZIONI SULLA LICENZA Contratto di licenza AVVISO AGLI UTENTI: LEGGERE ATTENTAMENTE L'ACCORDO LEGALE PER LA LICENZA DEL SOFTWARE ACQUISTATO, CHE DEFINISCE I TERMINI E LE CONDIZIONI GENERALI PER L'USO DEL SOFTWARE. PER DETERMINARE QUALE TIPO DI LICENZA SI POSSIEDE, CONSULTARE IL SERVIZIO VENDITE E ALTRE CONCESSIONI DI LICENZA ACQUISTATE OPPURE LA DOCUMENTAZIONE RELATIVA ALL'ORDINE DI ACQUISTO CHE ACCOMPAGNA IL SOFTWARE O CHE È STATA FORNITA SEPARATAMENTE NELL'AMBITO DELL'ACQUISTO (SOTTO FORMA DI OPUSCOLO, DI FILE SUL CD DEL PRODOTTO O DI FILE DISPONIBILE SUL SITO WEB DAL QUALE È STATO SCARICATO IL SOFTWARE). QUALORA L'UTENTE NON ACCETTI TUTTI I TERMINI DEL PRESENTE CONTRATTO, NON POTRÀ INSTALLARE IL SOFTWARE. L'UTENTE POTRÀ EVENTUALMENTE RESTITUIRE IL PRODOTTO A NETWORK ASSOCIATES, INC O AL RIVENDITORE E OTTENERE IL RIMBORSO COMPLETO DEL PREZZO DI ACQUISTO. Riconoscimenti Questo prodotto include o può includere: - Software sviluppato da OpenSSL Project da utilizzare nel Toolkit OpenSSL (http://www.openssl.org/). - Software di criptazione scritto da Eric Young e software scritto da Tim J. Hudson. - Alcuni programmi software forniti in licenza (o in sublicenza) all'utente in base allo GNU General Public License (GPL) o ad altre licenze software gratuite che, tra gli altri diritti, consentono la copia, la modifica e la ridistribuzione di alcuni programmi o parti di essi e concedono l'accesso al codice sorgente. Secondo quanto prescritto dal GPL, gli utenti di un software coperto dal GPL e distribuito in formato binario eseguibile, dovranno poter disporre anche del codice sorgente. Il codice sorgente di tali programmi software coperti da GPL è disponibile su questo CD. Nel caso in cui la licenza software gratuita necessiti la concessione da parte di Network Associates di diritti all'uso, alla copia o alla modifica di un programma che siano più ampi di quelli sanciti in questo accordo, tali diritti avranno la precedenza sui diritti e le restrizioni sanciti in questo documento. - Software originariamente scritto da Henry Spencer, Copyright 1992, 1993, 1994, 1997 Henry Spencer. - Software originariamente scritto da Robert Nordier, Copyright (C) 1996-7 Robert Nordier. Tutti i diritti riservati. - Software scritto da Douglas W. Sauder. - Software sviluppato da Apache Software Foundation (http://www.apache.org/). - International Components for Unicode ("ICU") Copyright (C) 1995-2002 International Business Machines Corporation e altri. Tutti i diritti riservati. - Software sviluppato dalla CrystalClear Software, Inc., Copyright (C) 2000 CrystalClear Software, Inc. - Teconologia FEAD(R) Optimizer(R), Copyright Netopsystems AG, Berlino, Germania. - Outside In(R) Viewer Technology (C) 1992-2001 Stellent Chicago, Inc. e/o Outside In(R) HTML Export, (C) 2001 Stellent Chicago, Inc. - Software con copyright di Thai Open Source Software Center Ltd. e Clark Cooper, (C) 1998, 1999, 2000. - Software con copyright di Expat maintainers. - Software con copyright di The Regents of the University of California, (C) 1989. - Software con copyright di Gunnar Ritter. - Software con copyright di Sun Microsystems(C), Inc. - Software con copyright di Gisle Aas. Tutti i diritti riservati, (C) 1995-2003. - Software con copyright di Michael A. Chase, (C) 1999-2000. - Software con copyright di Neil Winton, (C) 1995-1996. - Software con copyright di RSA Data Security, Inc., (C) 1990-1992. - Software con copyright di Sean M. Burke, (C) 1999, 2000. - Software con copyright di Martijn Koster, (C) 1995. - Software con copyright di Brad Appleton, (C) 1996-1999. - Software con copyright di Michael G. Schwern, (C) 2001. - Software con copyright di Graham Barr, (C) 1998. - Software con copyright di Larry Wall e Clark Cooper, (C) 1998-2000. - Software con copyright di Frodo Looijaard, (C) 1997. DBN 001-IT Deriv. V2.3.1