Agnitum Tauscan
Tauscan è un Trojan scanner prodotto dalla Agnitum software (già nota per Jammer e Outpost Firewall )
Su questo sito normalmente sono citati programmi gratuiti ma incuriosito dalle prestazioni di Outpost ho deciso di provare
la versione Trial 30 giorni di questo prodotto.
Premetto che di questi tempi un antivirus efficace è essenziale come il volante su un automobile (almeno su Win :-D ) e che
Tauscan non sostituisce un antivirus ma può essere un valido complemento a esso.
Questo programma infatti non rileva virus o worm ma solo trojan e udite udite i famigerati Keylogger.
Per chi è alle prime armi un trojan è un programma (di solito ben camuffato all'interno di un altro file) che permette
(se il trojan è stato eseguito) a altre persone di accedere al vostro computer mentre siete connessi a Internet.
Se vi domandate se un antivirus rileva i trojan la risposta è sì purché chiaramente sia aggiornato.
Un Keylogger invece è un piccolo programma che registra tutti i tasti premuti sulla tastiera, in genere salva i dati "spiati" in un
piccolo file ben nascosto (spesso criptato) che poi viene in seguito recuperato.
I keylogger più evoluti possono addirittura spedire i dati sottratti a una email preimpostata o a indirizzi ICQ
Una volta era roba da spionaggio industriale o militare oggi questi software sono abbastanza diffusi e di facile reperibilità sul
mercato commerciale, basta inserire Keylogger in un motore di ricerca per rendersene conto
E' possibile acquistare dei Keylogger molto sofisticati semplicemente estraendo la carta di credito e ne esistono di Free
Inutile dire che un simile programma (se qualcuno ha fisicamente la possibilità di mettercelo) è più pericoloso e temibile di un
trojan, infatti gli antivirus generalmente non riconoscono i keylogger in quanto non sono inseriti nel loro database, può
sottrarre tutte le password di questo mondo e vanificare anche i programmi che crittografano i documenti.
E' anche possibile che in qualche azienda vengano anche usati per monitorare quello che fanno i dipendenti.
Chi usa il pc in casa non ha nulla da temere* ma chi lavora ($$$) con il pc o è un professionista potrebbe voler avere la
certezza che il proprio pc è esente da tali rischi.
* (il recente e diffusissimo Worm Badtrans conteneva un cavallo di troia capace di monitorare tasti e sottrarre informazioni,
leggete a tale proposito l'analisi in italiano a cura del noto Paolo Monti della società Futur Time )
La registrazione di Tauscan costa 29.95 $ il programma se lo volete provare in versione Trial lo potete scaricare da
www.agnitum.com se volete in seguito acquistarlo e non avete carta di credito trovate sul sito altre informazioni
Vediamo di seguito qualche schermata di Tauscan Trialware, il programma ha come unica limitazione la durata di 30 giorni.
Il programma gira su piattaforma Windows ( XP compreso)
L'installazione di questo programma è semplicissima e alla portata di tutti, basta seguire le istruzioni a video.
Premete sempre Next e andate avanti
Al momento di lanciare il programma appare l'avviso che si tratta di una versione di prova del prodotto, premendo Continue
andate avanti con il Trial (avete comunque in seguito la possibilità di inserire il seriale e rendere la copia registrata)
Se lo avete già acquistato potete inserire subito in Enter code code il complicatissimo seriale (somiglia alle chiavi di PGP)
Chiaramente come tutti i programmi del suo genere la prima cosa da fare è aggiornarlo visto che ogni giorno vengono
scoperti numerosi nuovi trojan, l'aggiornamento parte automaticamente senza alcuna operazione da parte vostra
Qui vi sarebbe la possibilità di scegliere il server per scaricare gli aggiornamenti ma al momento quello che vedete è l'unico
disponibile quindi premete Avanti e scaricate l'aggiornamento.
L'immagine sotto non si riferisce a Tauscan ma a un avviso di Outpost se sul vostro pc c'è un Firewall dovete consentire o
creare una regola per permettere a Tauscan di collegarsi e aggiornarsi.
Le dimensioni dell'aggiornamento sono contenute e la cosa si conclude nel giro di un minuto circa, non chiede riavvio.
Al termine una finestra vi conferma che l'aggiornamento è installato con successo, vi si ricorda di aggiornarlo almeno una
volta a settimana - premendo Fine vediamo ora la schermata principale di Tauscan
Ecco la schermata principale del programma, notare sulla sinistra che le unità disco rigido sono tutte già spuntate (in rosso)
Il programma dopo l'aggiornamento è già pronto per la scansione dovete solo premere il tasto Scan sulla sinistra e
augurarvi che il programma non trovi nulla....
Nella parte Actions potete decidere cosa deve fare Tauscan quando trova un Trojan o Keylogger, quella che vedete è
l'opzione di default cioè chiedi prima di eliminare ed è quella raccomandata.
E' possibile spostare gli elementi infetti in un apposita cartella (Infected) proprio come gli antivirus hanno la Quarantena
Nella parte Log potete decidere se tracciare o meno l'attività del programma e potete anche scegliere il formato del file di log
Nella parte Analiser potete settare la "sensibilità " di Tauscan durante la ricerca dei Trojan, in pratica una specie di Euristica
come nei tradizionali Antivirus, chiaramente spostando il cursore su Higher aumenta la possibilità di qualche falso positivo.
Nella parte Sound è possibile abilitare e scegliere un suono che Tauscan emetterà nell' ipotesi che trovi qualcosa..
Premendo invece il tasto Database vediamo tutti i trojan divisi per categorie, basta cliccare sul segno + per espandere la lista
Notare che è presente anche la lista dei Keylogger rilevati da Tauscan
Quello che vedete sotto è l'elenco espanso dei Keylogger riconosciuto da Tauscan al momento di questa prova
Selezionandone uno appaiono sulla destra delle informazioni dettagliate tra cui le chiavi di registro che va a modificare
Tauscan aggiunge una voce anche nel menù contestuale del mouse Check with Tauscan e vi è il simbolo di una lente
Per fare una scansione è possibile selezionare un singolo file (o anche una unità disco) e poi premere Check with Tauscan
Oppure usare la finestra principale del programma dove potete selezionare l'unità da esaminare.
In alternativa è anche possibile usare un Wizard che vi guida nella creazione di una scansione, vi è un apposito tasto o potete
accedere al Wizard anche tramite il menù Tools
Vediamo qualche immagine del Wizard
Selezionate le unità fisse o rimovibili da scansionare è sufficiente premere Avanti per lanciare l'analisi dei file.
Io per testare Tauscan mi sono avvalso del solito floppy contenente un pò di Trojan, non dubitavo che li avrebbe rilevati ma è
interessante vedere che tipi di avvisi mostra il programma in questi frangenti.
Vedete nella schermata sopra i file infetti scovati da Tauscan nel Floppy Disk, facendo invece una scansione di un singolo file
con la voce contestuale del menù destro appare al termine una finestra con un avviso di infezione e il nome del Trojan.
Rispondendo Sì il file infetto verrà cancellato
Invece nel caso venga trovato un file infetto e si decida di non effettuare alcun intervento compare un ulteriore avviso.
Anche testando Tauscan con una minaccia più recente come il Phoenix non sono stato deluso dal risultato.
Naturalmente nel caso venga trovato un trojan o un keylogger dopo averlo rimosso cambiate subito le vostre password !
Passiamo ora a vedere un altra possibilità offerta da questo trojanscanner, la funzione Monitor (non attiva di default)
In pratica attivandola (menù Tools) Tauscan monitora in tempo reale i file in esecuzione esattamente come fa l'autoprotect di
un antivirus, quando la funzione Monitor è attiva noterete l'icona (lente di ingrandimento) in basso a destra vicino l'orologio
Facendo un doppio clic su questa icona è possibile anche vedere cosa è in esecuzione sul sistema.
Chiaramente il monitor attivo comporta un ulteriore dispendio di memoria, da riportare il fatto che non ho avuto nessun
problema a livello di confilitti software, sul pc dove è stato provato Tauscan erano presenti ben due Antivirus di cui uno
(Norton) era con l'autoprotezione attiva !
Concludo la pagina raccomandandovi di eseguire settimanalmente un Update per aggiornare il database di Tauscan
Se non volete usare l'autoupdate sul sito è possibile anche scaricare manualmente i file .DAT con gli aggiornamenti.
Sul sito della Agnitum potete trovare il classico manuale PDF disponibile in tre lingue (Inglese, Tedesco, Russo) o leggere
le TauscanFAQ (solo in inglese) inoltre vi è anche la possibilità di inviare file sospetti da far esaminare