Vai al contenuto
Aggiornamento di McAfee crasha PC

Aggiornamento di McAfee crasha PC

McAfee, quando l’antivirus fa più male del virus

Questo articolo vi arriva grazie alle gentili donazioni di “claudio.con*” e “giuliasp*”.

L’aggiornamento dei prodotti antivirus di McAfee, denominato DAT 5958 e distribuito mercoledì scorso, aveva un difettuccio: credeva che uno dei file vitali di Windows fosse un virus e quindi lo bloccava, rendendo inservibile il computer.

McAfee è già corsa ai ripari, ma ormai il danno, anche in termini d’immagine, è fatto: molte aziende e università e vari dipartimenti di polizia e ospedali, soprattutto statunitensi, sono andati in tilt per colpa dell’antivirus bacato. Anche alcuni computer presso la Intel hanno subito la stessa sorte. Negli ospedali, l’avaria informatica ha obbligato al blocco delle terapie e al rinvio degli interventi chirurgici. Sono stati colpite alcune risorse dell’esercito statunitense e il 10% dei registratori di cassa della più grande catena australiana di supermercati è collassato, obbligando alla chiusura dei punti di vendita. Il numero di computer colpiti nel mondo è nell’ordine delle centinaia di migliaia.

L’aggiornamento, infatti, riteneva che il file svchost.exe di Windows XP (solo la versione Service Pack 3, la più recente di XP) fosse il virus Wecorl-A e quindi ha isolato in quarantena il file del sistema operativo. I computer colpiti da quest’eccesso di zelo hanno quindi iniziato a riavviarsi in continuazione, e le operazioni di ripristino sono state rese più difficili dal fatto che l’aggiornamento dell’antivirus disabilitava l’accesso di rete.

Il problema riguarda i prodotti VirusScan Enterprise, VirusScan Plus, Internet Security Suite e Total Protection di McAfee; l’azienda ha ritirato e sostituito l’aggiornamento difettoso e pubblicato istruzioni (per clienti aziendali  e privati) su come riparare i computer danneggiati dall’errore. Le scuse ufficiali e gli indirizzi da contattare per avere assistenza sono qui sul blog di McAfee, insieme alle colorite proteste degli utenti colpiti dal disastro.

Fonti: Punto Informatico, ZDNet, Slashdot, ZDNet, Gizmodo, The Register.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Radio: estensioni Firefox, antivirus mangiaposta, messaggi subliminali

Disinformatico radio stamattina: Firefox mostra i muscoli, antivirus Microsoft mangia la posta di Outlook, studio scientifico “conferma” il subliminale

L’edizione radio del Disinformatico di oggi toccherà questi temi:

  • Firefox: come installare le “estensioni” che permettono di potenziare questo programma di navigazione libero e gratuito, e le estensioni più gettonate che consentono di navigare in Internet meglio e più veloci.
  • Niente pezze di sicurezza per Microsoft questo mese, ma in compenso c’è l’antivirus di Microsoft che si mangia la vostra posta. Come rimediare e perché succede.
  • Esiste la pubblicità subliminale, e funziona? Un nuovo studio scientifico getta nuova benzina sul fuoco, perché sembra dimostrare che il cervello registra immagini anche se la persona non è consapevole di vederle.

Potete seguire il Disinformatico in diretta sulla Rete Tre della Radio Svizzera di lingua italiana, ricevibile anche in streaming in tempo reale (Real Audio, http://retetre.rtsi.ch) e in differita come podcast (http://www.rtsi.ch/podcast).

Come consueto, a fine trasmissione troverete in questo blog i dettagli e i link dei temi trattati. Buon ascolto.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Antivirus Microsoft mangia la posta di Outlook

L’antivirus di Microsoft fa sparire tutta la posta di Outlook se vi trova un virus

Questo articolo vi arriva grazie alle gentili donazioni di “fabrizio.balestr****” e “fabiotechnologies”. L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Mentre gli utenti Windows si godono una inconsueta pausa nel ciclo degli aggiornamenti mensili di sicurezza, probabilmente dovuta alla concomitanza di un aggiornamento che gestisce il nuovo calendario dell’ora legale statunitense, giunge la notizia che l’antivirus di Microsoft, Windows Live OneCare (50 euro/anno per tre computer, comprensivo di firewall, backup e altre funzioni di sicurezza), ogni tanto si “mangia” la posta di Outlook.

Lo segnala per esempio Appscout.com, che fornisce anche la spiegazione di questo bizzarro comportamento dell’antivirus Microsoft: se ricevete con Outlook un e-mail infetto, OneCare si accorge che il file contenente tutti i messaggi contiene del codice virale e quindi va messo in quarantena, come si fa con qualsiasi altro file infetto. A modo suo, il comportamento è logico, anche se inatteso e decisamente poco gradito per esempio dai partecipanti al forum di OneCare.

La buona notizia, insomma, è che la posta non viene cancellata, ma soltanto spostata: l’importante è ovviamente saperlo e quindi non disperarsi. Non è un debutto molto felice per l’antivirus Microsoft: speriamo sia soltanto un problema di dentizione.

Aggiornamento: come potete leggere nei commenti, Microsoft ha rilasciato un aggiornamento di OneCare per risolvere la magagna. Il commento include anche le istruzioni per ripristinare i file di posta messi erroneamente in quarantena.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Radio: Attenti al DHMO, ICE nei telefonini, Google Docs, pezza antivirus Microsoft

Disinformatico radio: i temi di oggi

La puntata di stamattina del Disinformatico radiofonico (Rete Tre della Radio svizzera di lingua italiana, con diretta alle 11 in streaming e in podcast) tornerà su alcune storie toccate la settimana scorsa e ne presenterà altre nuove:

  • zio Bill ha sistemato la magagna del suo antivirus che si mangiava tutta la posta di Outlook;
  • tutti i dettagli sull’appello che propone di memorizzare sotto la sigla ICE nel telefonino i numeri che i soccorritori dovranno chiamare in caso di emergenza;
  • i fatti alla base dell’allarme per il grave pericolo rappresentato dal DHMO o diidrogeno monossido: una sostanza utilizzata nei processi industriali che viene impiegata dagli atleti per potenziare le proprie prestazioni ed è da tempo presente praticamente in tutti gli alimenti, nell’aria delle città e trovata persino nei neonati;
  • prova su strada di Google Docs and Spreadsheets, il sistema che permette di scrivere testi e fogli di calcolo senza installare alcun programma apposito;
  • un promemoria riguardante l’appello a donare sangue del gruppo B+ per un bambino leucemico che sta impazzando via SMS;
  • Bush junior è il presidente USA meno intelligente della storia: lo scrive il Corriere, ma quello a corto d’intelligenza, stavolta, non è l’attuale inquilino della Casa Bianca.

Per quanto riguarda i podcast, purtroppo la loro preparazione e pubblicazione non dipende da me: se volete sollecitarla (la puntata della settimana scorsa non c’è ancora, lo so), non scrivete a me, ma a retetre chiocciola rtsi.ch.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Antivirus Microsoft, sistemata la magagna mangiaposta

OneCare, l’antivirus Microsoft non mangia più la posta

Microsoft ha sistemato il problema del suo antivirus Windows Live OneCare che metteva in quarantena l’archivio di Outlook se conteneva un virus, dando l’impressione che fosse stata cancellata tutta la posta. Ricevo da Microsoft e giro queste istruzioni per risolvere l’intoppo.

Domenica 11 Marzo, il team di Windows Live OneCare ha rilasciato un
aggiornamento del modulo anti-malware atto a risolvere la problematica relativa
al comportamento di OneCare che faceva si che alcuni file di Outlook (.pst) o
Outlook Express (.dbx) contenenti file infetti, venissero erroneamente messi in
quarantena.

Gli utenti di Windows Live OneCare che dispongono di una connessione ad
Internet hanno ricevuto (o riceveranno alla prima connessione) l’aggiornamento
automaticamente. Ci scusiamo per ogni inconveniente che questo problema possa
aver causato.

Grazie alla sua funzionalità di aggiornamento automatico, non solo della
definizione Virus e Spyware, ma anche dei moduli che compongono il client
stesso, Windows Live OneCare si aggiorna automaticamente e non è richiesta
alcuna azione all’utente.

Per chi volesse verificare manualmente l’avvenuto aggiornamento è possibile
farlo seguendo la procedura qui indicata:

  1. Fare clic su “Modifica impostazioni di Windows Live OneCare” nella colonna
    di sinistra della schermata principale di OneCare
  2. Fare clic sulla scheda “Registro Eventi” in alto a destra
  3. Fare clic su “Crea registro di supporto”
  4. Scorrere “Protezione da Virus e Spyware” e verificare la versione del
    “Modulo di gestione AM”. Se il numero che compare è pari o superiore a “2306” (dopo 1.1 – come ad esempio: Modulo di gestione AM:(1.1.2306.0) – il modulo è stato già aggiornato. In caso contrario il modulo necessita di essere
    aggiornato. Per effettuare l’aggiornamento, verificare che il computer sia
    connesso a Internet, fare clic su “Controlla aggiornamenti” nella sezione
    Protezione avanzata della schermata principale di Windows Live OneCare. OneCare scaricherà ed installerà gli aggiornamenti.

Raccomandiamo agli utenti ai quali i file .pst di Outlook o .dbx di Outlook Express dovessero essere stati messi in quarantena, prima che l’aggiornamento fosse stato distribuito, di procedere al ripristino delle proprie e-mail seguendo i passi sotto elencati:

  1. Chiudere Outlook o Outlook Express
  2. Fare clic su “Modifica impostazioni di Windows Live OneCare” nella colonna
    di sinistra della schermata principale di OneCare
  3. Fare clic sulla scheda “Virus e spyware” in alto
  4. Fare clic su quarantena in basso a sinistra. Selezionare il file .pst o .dbx e fare clic su Ripristina.

Le info in inglese sono qui.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Trappola virale per Skype

Trappola virale per Skype

Attenzione ai file che arrivano tramite Skype

Questo articolo vi arriva grazie alle gentili donazioni di “stellamarina7” e “prometeus”.

Skype, il popolarissimo programma di comunicazione vocale via Internet, è stato preso di mira da un virus, o più precisamente da un trojan. Non si tratta di una falla di Skype, ma di un file ostile che si sta diffondendo tramite la rete di Skype, come riferiscono Websense e F-Secure.

Il file ostile, denominato Warezov/Stration, non si diffonde automaticamente: tuttavia, quando viene eseguito dalla vittima, tutte le persone presenti nella rubrica di Skype della vittima ricevono un messaggio (generato dal file ostile) che dice “Check up this” (“Dai un’occhiata a questo”) e propone un link.

Se chi ha ricevuto questo messaggio clicca sul link, viene portato a un sito che ospita un file di nome file_01.exe e invitato ad eseguirlo. Se lo fa, vengono scaricati ed eseguiti numerosi altri file, che aprono backdoor (accessi nascosti) nel computer della vittima. Il software ostile funziona soltanto sotto Windows.

La raccomandazione è sempre la solita, ma è comunque opportuno rifarla, anche perché molti utenti non si aspettano che Skype possa essere un vettore d’infezione: mai aprire file, di qualunque provenienza (amici compresi), senza controllarli prima con un antivirus aggiornato; nel dubbio, non aprirli affatto.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Appello UNICEF, trappola virale mascherata (aggiornato)

Attenzione all’appello UNICEF falso: rimanda a un virus

Questo articolo vi arriva grazie alle gentili donazioni di “pozzo.ricc****” e “pioj”. L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Giornata intensa per gli untori della Rete: come se non bastasse l’attacco virale che si spaccia per un messaggio della Polizia di Stato, arriva anche un appello che sembra provenire dall’UNICEF. L’appello rimanda a un file di nome a_friend.exe situato presso Cinesrenoir.com (che forse è estraneo all’attacco).

Sono di corsa, per cui non ho tempo di pubblicare subito i dettagli, ma il concetto importante è non aprire e non scaricare allegati da messaggi di questo genere.

A dopo!

Aggiornamento (2007/05/17)

Ecco il testo tipico del messaggio (ho tolto il link che includeva l’immagine del logo Unicef, tratto dal sito Unicef.it):

From: Unicef@UNICEF.it
Date: May 16, 2007 1:35 PM
Subject: L’UNICEF è la principale organizzazione mondiale per i diritti dell’infanzia

Per ogni bambino

Salute, Scuola, Uguaglianza, Protezione

L’UNICEF è la principale organizzazione mondiale per la difesa dei diritti e delle condizioni di vita dell’infanzia e dell’adolescenza in tutto il mondo.

2000 Bambini hanno bisogno del vostro aiuto per aiutarli bisogna cliccare ACCETTO

Il vostro voto aiuta i 2000 bambini con delle medicine abbiamo bisogno del vostro voto

ACCETTO[la parola era linkata al file a_friend.exe presso Cinesrenoir.com]

Qualunque cosa tu scelga di fare, i bambini di tutto il mondo e l’UNICEF te ne saranno grati!

Grazie per aver aiutato questi bambini

http://www.unicef.it

Comitato Italiano per l’UNICEF Onlus – Via Palestro, 68 – 00185 Roma – Numero Verde 800-745.111 – Codice Fiscale 015 619 205 86

I bambini vi regalano un disegno

Il file ostile, al momento in cui scrivo quest’aggiornamento, è stato rimosso dal sito che lo ospitava, probabilmente in modo inconsapevole (Cinesrenoir.com è il sito di una catena spagnola di cinema). Non so quale fosse lo scopo di questo file ostile: se qualcuno ne sa qualcosa, mi scriva. Essendo un file exe, si tratta chiaramente di un programma eseguibile per Windows, che come tale non ha alcun effetto sui sistemi operativi alternativi. Linux e Mac OS X, ancora una volta, si rivelano una buona forma di sicurezza, se non altro perché non vengono presi di mira così assiduamente come Windows.

La lezione è sempre la stessa: gli aggressori giocheranno in ogni modo possibile con i vostri sentimenti (positivi o negativi), e ricorreranno a qualsiasi bassezza, pur di scavalcare le vostre difese razionali ancor prima di quelle tecnologiche. Mai, mai, mai aprire un allegato sotto l’influsso dell’emozione. Rischiate di ricavarne un’emozione ancora più forte.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Aggiornamenti di Windows usati come canale d’infezione

Aggiornamenti di Windows usati come canale d’infezione

Jowspry, il virus che sfrutta Windows Update

Questo articolo vi arriva grazie alle gentili donazioni di “maurizio.p****” e “avvfrancofa****”.

La CA e altre società informatiche segnalano la circolazione, per ora limitata, di un virus innovativo, battezzato Jowspry, che utilizza un nuovo canale d’infezione: l’aggiornamento di Windows.

Jowspry dovrebbe essere già riconosciuto dagli antivirus aggiornati, ma vale la pena di parlarne per la sua originalità. Come descritto da CA, Jowspry è più propriamente un trojan, ossia un programma che sembra avere una funzione innocua ma in realtà agisce dietro le quinte: nel caso specifico, scarica da Internet del software ostile.

La novità sta nel fatto che lo scaricamento avviene utilizzando il servizio BITS (Background Intelligent Transfer Service) di Windows: quello che si occupa dello scaricamento degli aggiornamenti. Poiché fa parte del sistema operativo, è considerato fidato da Windows ed è quindi in grado di scavalcare eventuali firewall locali. Inoltre l’uso di questo programma non fa scattare nessuno dei normali allarmi, perché la sua azione fa parte delle funzioni normalmente previste.

I dettagli tecnici sono pubblicati anche da Symantec e da Frank Boldewin su Reconstructer.org, insieme a del codice dimostrativo (proof of concept). La tecnica in sé non è una novità assoluta, nota Symantec, ma è Jowspry è il primo esemplare trovato in circolazione. Al momento non esistono contromisure a parte la prevenzione: infatti Jowspry deve prima infettare la vittima Windows convincendo l’utente a farsi eseguire, usando le tecniche tradizionali, e soltanto dopo utilizza BITS per scaricare altro codice ostile.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
L’antivirus di zio Ballmer

L’antivirus di zio Ballmer

Debutta Security Essentials, il nuovo antivirus di Microsoft

Dal 29 settembre scorso, gli utenti di Windows XP, Vista e 7 possono scaricare gratuitamente dal sito apposito di Microsoft un programma, chiamato Security Essentials, che oltre alla protezione contro i virus informatici veri e propri offre anche tutela contro altri tipi di minaccia informatica, come i trojan horse, i rootkit e lo spyware.

Security Essentials non fa parte degli aggiornamenti automatici di Windows: non ha data di scadenza o periodi di prova. L’unica limitazione è che il software verifica che il Windows sul quale viene installato abbia una regolare licenza d’uso. Se avete già installato altri prodotti antivirus, Security Essentials può andarvi in conflitto e quindi occorre rimuoverli seguendo le apposite istruzioni fornite da Microsoft.

L’uso di Security Essentials non sostituisce il firewall, non offre protezione contro il phishing. Naturalmente occorre continuare ad installare gli aggiornamenti di sicurezza del sistema operativo e del browser man mano che si rendono disponibili e a comportarsi in modo informaticamente prudente. L’aggiornamento di Security Essentials per riconoscere nuove minacce è automatico, come avviene con qualunque antivirus, ed è gratuito.

Security Essentials è il secondo tentativo di Microsoft di entrare nel mercato degli antivirus: il primo, Windows Live OneCare, era a pagamento ed è stato ritirato a giugno 2009 senza aver raggiunto quote di mercato significative. Non è l’unico gratuito: ci sono alternative come AVG, Avast, Avira, che oltretutto non fanno domande sulla licenza d’uso di Windows.

Il prodotto di Microsoft ha suscitato recensioni positive: nei primi test effettuati dal laboratorio indipendente AV-Test.org si è dimostrato leggero, snello e capace quanto i principali antivirus gratuiti, soprattutto nell’evitare i falsi positivi, che sono uno dei problemi più seri in questo campo, perché se l’antivirus identifica erroneamente come infetto un file di sistema e lo mette in quarantena, il sistema operativo può smettere di funzionare.

Le critiche principali riguardano il fatto che l’antivirus di Microsoft non riattiva il firewall di Windows dopo che è stato disattivato da alcuni programmi ostili e che è risultato carente nel rilevamento delle minacce informatiche basato sul comportamento (behavior-based detection), che è una delle tendenze moderne degli antivirus ma è assente anche in molti altri antivirus gratuiti. Invece di identificare i virus e le minacce in base alla loro “impronta digitale” e dipendere quindi da un archivio di “impronte” già schedate che giocoforza è sempre in ritardo, questa tecnica si propone di identificare i software ostili in base a quello che fanno: connessioni anomale, cancellazioni o scritture in aree sensibili del sistema operativo, e così via sono sintomi di un potenziale virus.

Naturalmente le società che producono antivirus temono parecchio la discesa in campo del colosso Microsoft, ma qui in realtà c’è in gioco più che un mercato competitivo. Sono moltissimi gli utenti Windows che navigano senza alcuna protezione e finiscono vittima di virus e falsi antivirus truffaldini, e l’introduzione di un antivirus gratuito targato Microsoft, e soprattutto pubblicizzato massicciamente a differenza dei concorrenti, potrebbe avere lo stesso effetto benefico per l’ecosistema di tutta Internet che ebbe qualche tempo fa l’introduzione del firewall di Windows, grazie alla quale il problema diffusissimo dei worm fu praticamente eliminato. L’importante, insomma, è che gli utenti prendano l’abitudine di proteggersi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Kaspersky inciampa in Google Adsense

Kaspersky inciampa in Google Adsense

Google Adsense infetto? No, un errore di Kaspersky

Se usate i prodotti di sicurezza di Kaspersky come antivirus e avete ricevuto segnalazioni che il Disinformatico o altri siti contengono minacce virali, niente panico.

The Register segnala che si tratta di un errore: un falso positivo di Kaspersky che ritiene a rischio l’URL di Google Adsense (quello che inserisce nei blog e nei siti le pubblicità di Google). L’errore verrà corretto con il prossimo aggiornamento.

La discussione sul sito di Kaspersky è qui.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.