Vai al contenuto
Mac, occhio ai trojan nel software piratato

Mac, occhio ai trojan nel software piratato

Mac infettabile, se piratate i programmi

Molti utenti Mac credono di essere invulnerabili, ma non è così, soprattutto quando si adottano comportamenti a rischio che scavalcano le difese naturali del sistema.

La società di sicurezza informatica Intego avvisa che le copie pirata di iWork 09, recente aggiornamento di una suite di programmi molto popolari e desiderati per il mondo Mac, circolano in una versione infettata da un trojan horse denominato OSX.Trojan.iServices.A.

E’ un vero e proprio cavallo di Troia, perché quello che viene offerto nei circuiti del software pirata è effettivamente iWork 09, ma al suo interno c’è una sorpresa infettante chiamata iWorkServices.pkg, che viene installata anch’essa quando si installa la copia pirata di iWork 09.

L’installazione del trojan horse richiede che l’utente digiti la propria password di amministratore, ma dato che l’utente sta intenzionalmente installando del software, è normale che la digiti quando gli viene chiesta. Il software ostile viene installato in modo che si avvii automaticamente ogni volta che si avvia Mac OS X ed ha i permessi di root in lettura, scrittura ed esecuzione: in altre parole, può fare quello che gli pare, perché l’utente gli ha dato le chiavi.

Il trojan si collega via Internet a un server remoto, il cui proprietario potrà prendere il controllo del Mac infetto, per esempio installandovi altri programmi ostili di qualsiasi genere. Secondo Intego sono già 20.000 le vittime informatiche di questa trappola.

La soluzione più semplice è la prevenzione: evitate di scaricare e installare programmi piratati e usate un buon antivirus.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Conficker, 9 milioni di infetti?

Conficker, 9 milioni di infetti?

Siamo tornati ai vecchi tempi delle grandi epidemie virali

Il worm Conficker avrebbe, secondo F-Secure, raggiunto quota 9 milioni di macchine infette. F-Secure spiega qui la sua metodologia. C’è un po’ di controversia a proposito di questi dati, ed è comprensibile, visto che provengono da una parte interessata (un produttore di soluzioni antivirali).

The Register segnala che Microsoft, con l’aggiornamento di gennaio, ha aggiunto al proprio tool di rimozione di software ostile delle routine per rimuovere Conficker dalle macchine infette, e che secondo Qualys il 30% delle macchine Windows non ha ancora installato la patch di Microsoft che tura la falla e che risale a ottobre 2008.

La BBC intervista Sophos e Kaspersky, che sottolineano l’irresponsabilità delle tante aziende che non hanno ancora installato la patch Microsoft di ottobre scorso e ricordano i rischi derivati dall’uso di password deboli (che Conficker sa indovinare) e dallo scambio di dati tramite penne USB.

Al di là delle cifre precise in gioco, questo è un attacco tecnicamente sofisticato e su scala inusitata, che richiama le grandi crisi virali di Happy99, Iloveyou, Blaster, SQLHell, Mydoom e compagnia bella degli anni passati. Gli utenti Linux e Mac, intanto, restano immuni al problema e vanno avanti a lavorare.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Strani allegati PDF

Strani allegati PDF

Ondata di allegati PDF, spam o virus?

Da qualche giorno stanno circolando dei messaggi di e-mail contenenti allegati abbastanza insoliti in formato PDF. Arrivano dagli indirizzi più disparati, non contengono testo nel corpo del messaggio, e il nome dell’allegato a volte contiene il nome utente del destinatario. Il titolo del messaggio ha in genere a che fare con la finanza.

Aprendo i PDF, vi si trova dentro un consiglio d’investimento in azioni, seguito da una serie priva di senso di lettere e numeri che può insospettire.

A quanto risulta fin qui, però, non c’è pericolo virale: si tratta di un nuovo approccio allo spam. I filtri antispam stanno imparando a riconoscere o eliminare direttamente lo spam di testo e quello grafico (nel quale il messaggio è visualizzato come immagine), e così gli spammer stanno tentando un’altra tattica. Siccome gli utenti, e specialmente le aziende, hanno un notevole traffico di allegati in formato PDF (Acrobat), di norma i file PDF non sono inclusi nei file bloccati dai filtri antispam e vengono quindi recapitati senza problemi al destinatario.

Gli spammer stanno approfittando di questa situazione e stanno quindi generando messaggi che contengono un allegato PDF nel quale c’è il testo dello spam. Questo permette appunto di eludere i filtri.

In termini antivirali, i messaggi sembrano innocui: inviandoli al controllo online di Kaspersky non hanno rivelato codice ostile. Tuttavia rappresentano comunque una perdita di tempo (superiore a quella normalmente comportata dallo spam testuale, perché qui bisogna prendersi la briga di aprire l’allegato) e un carico per la Rete e per chi paga Internet a consumo.

Il consiglio è semplicemente evitare di aprire, e se possibile filtrare a monte, qualsiasi allegato che non provenga da mittenti noti e il cui messaggio non contenga chiari riferimenti al destinatario che lo distinguano da un invio di massa. L’importante è non farsi prendere dal panico e naturalmente non seguire i consigli d’investimento così disinteressati che arrivano dagli spammer, che fanno parte di una truffa pump-and-dump.

In questo tipo di raggiro, lo spammer acquista un titolo di pochissimo valore appena prima di inviare la propria campagna di spam. Questo fa lievitare artificialmente il valore del titolo, così gli investitori ingenui che abboccano allo spam vedono che in effetti il titolo è salito e vi investono, facendo lievitare ulteriormente il valore; poi il titolo viene venduto dai truffatori (a un valore molto superiore a quello al quale l’avevano acquistato) e viene lasciato a precipitare al suo valore reale. I truffatori si arricchiscono, gli investitori ingenui restano spennati. Prudenza.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Nuove frontiere dello spam: la terza dimensione

Nuove frontiere dello spam: la terza dimensione

Spam tridimensionale

La lotta allo spam è una continua innovazione tecnologica: gli spammer si dannano per eludere i filtri antispam sempre più sofisticati che tengono questa pubblicità-spazzatura fuori dalle nostre caselle di posta.

Da qualche tempo gli spammer hanno iniziato a usare immagini grafiche contenenti il testo pubblicitario disegnato, ma i filtri antispam se ne sono accorti e si sono adattati. Così gli spammer hanno iniziato a usare lettere distorte ma leggibili, per confondere i sistemi di lettura automatica adoperati dai filtri.

Ma i filtri si sono adattati ancora, bloccando anche questa tecnica. Il passo successivo degli spammer è stato l’uso della terza dimensione: come racconta F-Secure, i messaggi pubblicitari ora vengono generati come immagini deformate in prospettiva tridimensionale, sempre per confondere i filtri.

La chicca, però, è che l’elusione dei filtri lavora anche su un altro livello: gli spammer generano i messaggi singolarmente per ogni destinatario o per piccoli gruppi di destinatari, in modo che i filtri non possano riconoscerli perché già visti e segnalati, e lo fanno utilizzando la potenza di calcolo dei computer di altri utenti, infettati appositamente dagli spammer.

E’ insomma chiaro che la lotta allo spam sarebbe molto più facile, e vista la disperazione delle attuali tecniche spammatorie sarebbe forse già vinta, se gli utenti non fossero così incauti da farsi infettare in massa e non accorgersi del fatto che i loro computer vengono sfruttati dai venditori di spazzatura.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Attenti a Toolsicuro.com

Attenti a Toolsicuro.com

Toolsicuro.com, l’unica cosa sicura è la fregatura

Mi sono arrivate numerose segnalazioni di un allarme per un sito e per la relativa pubblicità che compare visitando anche siti normalmente innocui, come la Webmail di Yahoo.it: si tratta di Toolsicuro.com, reclamizzato in vari banner e in messaggi pop-up dall’italiano piuttosto stentato, come questo che mi ha inviato ausnick.

Grazie ai forum di Zeus News abbiamo la conferma che si tratta di tutt’altro che un tool di sicurezza: è in realtà un programma ostile che va evitato a tutti i costi.

Il sito Toolsicuro.com, inoltre, ha tutte le caratteristiche della buggeratura: non viene indicato un indirizzo fisico o un numero di telefono, ma con molta disinvoltura vi viene chiesto di pagare per questo fantomatico “tool di sicurezza” usando la carta di credito. Non cascateci, e rivolgetevi a una persona di fiducia per i vostri problemi di sicurezza invece di fidarvi di quello che chissà chi fa comparire sul vostro schermo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Il Disinformatico messo in lista nera da McAfee

Il Disinformatico messo in lista nera da McAfee

McAfee SiteAdvisor segnala pericoli nel Disinformatico!

Numerosi lettori mi hanno segnalato con allarme la presenza di “adware, spyware o programmi non desiderati” in questo blog. Almeno così dice il servizio SiteAdvisor di McAfee, come potete vedere nella schermata qui sotto, mandatami da Guidotha:

Niente panico! Non ho venduto l’anima ai demoni dello spam e dello spyware, né sono stato infettato. Si tratta semplicemente di un eccesso di zelo di McAfee, combinato con una certa lentezza del servizio SiteAdvisor nell’aggiornare i propri risultati.

Tutta la faccenda è dovuta al fatto che in un articolo di aprile 2006 avevo incluso un link all’eseguibile del programma Eurobarre, che McAfee considera un “generic trojan” nonché adware o spyware. Ho tolto il link da diversi giorni (il 3 luglio scorso), ma McAfee insiste a classificare il Disinformatico come sito pericoloso.

Fra l’altro, vedo che non sono il solo a essere finito per errore nell’elenco dei cattivi: The Register segnala che il sito di recensioni software Tech-pro.net ha avuto lo stesso problema per ben due settimane.

Se volete darmi una mano a convincere McAfee a darsi una svegliata e togliermi dalla lista nera, andate alla pagina apposita di McAfee e segnalate l’errore (dovete essere utenti registrati di SiteAdvisor), come hanno già fatto alcuni amici. Forse il fatto che le segnalazioni siano state immesse in italiano sta rallentando l’aggiornamento: provate con “This site has been updated and no longer links to the reported threat”. Grazie!

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
AVG si scusa, ci ricasca?

AVG si scusa, ci ricasca?

AVG: scusate se vi abbiamo distrutto Windows… attenti, il vostro Adobe Flash è infetto!

Questo articolo vi arriva grazie alle gentili donazioni di “emi” e “avvfrancofa****”.

Grisoft, la società che produce l’antivirus AVG, si scusa profondamente per il disastro combinato dall’aggiornamento che diagnosticava erroneamente come infetto un file vitale di Windows, user32.dll.

Il comunicato stampa del distributore italiano di AVG dice che “AVG Technologies offrirà compensazioni agli utenti che hanno subito disagi”: a partire dal 24 novembre offrirà “a tutti gli utenti che hanno subito disagi una licenza gratuita o un’estensione della licenza esistente”, come segue:

— Per utenti di versioni commerciali di prodotti AVG 7.5, una licenza di 12 mesi per un prodotto AVG 8.0 equivalente
— Per utenti di versioni commerciali di prodotti AVG 8.0, una estensione gratuita di 12 mesi per la licenza esistente
— Per utenti di AVG Free, una licenza gratuita di AVG Anti-Virus 8.0

A partire dal giorno 24 Novembre 2008, AVG Technologies contatterà gli utenti che hanno subito disagi e fornirà informazioni su come entrare in possesso delle licenze o delle estensioni gratuite.

AVG Technologies rinnova le proprie più profonde scuse per gli inconvenienti causati agli utenti e desidera assicurare che la società sta predisponendo nuove procedure interne per evitare il ripetersi di situazioni analoghe.

Per ulteriori aggiornamenti, Vi consigliamo di consultare regolarmente il sito http://www.avg.it. Precisiamo che sarà direttamente il produttore, AVG Technologies, a fornire le compensazioni di cui sopra.

Un gesto onorevole. Comunque qualcuno all’ufficio stampa si sta sicuramente compiacendo di essere stato previdente scrivendo quell’ultima frase, perché secondo The Register AVG ci è ricascata segnalando erroneamente Adobe Flash (flashUtil10a.exe) come infetto, e un mesetto fa aveva segnalato Zone Alarm come se fosse un pericoloso trojan horse. Mah.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
AVG fallato devasta Windows

AVG fallato devasta Windows

Attenti ad AVG, l’antivirus che ammazza Windows

Questo articolo vi arriva grazie alla donazione straordinaria di “piero.fas****”.

Ho sempre consigliato AVG come un buon antivirus gratuito, ma stavolta il consiglio è risultato nefasto.

Un recente aggiornamento di AVG 7.5 e 8.0 uscito nel corso di questo fine settimana, infatti, s’è messo in testa di segnalare che il file user32.dll è un trojan horse, ossia è infetto (schermata di allerta), e di consigliarne dunque la cancellazione. Soltanto che user32.dll è uno dei file vitali di Windows, per cui chi si è fidato del consiglio s’è trovato con Windows inutilizzabile, morto, kaputt.

Questo è indubbiamente un metodo efficacissimo per evitare che Windows s’infetti, ma ad alcuni potrà sembrare forse un po’ drastico. I produttori di AVG hanno corretto l’errore e pubblicato una spiegazione di come rimediare e istruzioni per ripristinare il file di Windows disintegrato. I successivi aggiornamenti di AVG (270.9.0/1778 in poi) rimediano inoltre alla falsa diagnosi. Ma la figuraccia è ormai fatta e il danno agli utenti non verrà dimenticato facilmente.

Punto Informatico fornisce dettagli e spiegazioni sul pasticcio.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
McAfee Site Advisor continua a blacklistarmi

McAfee Site Advisor continua a blacklistarmi

McAfee Site Advisor: le luci sono accese, ma non c’è nessuno in casa

E’ almeno da luglio scorso che il servizio (o disservizio, a questo punto) Site Advisor di McAfee continua a mettere il Disinformatico nella lista nera dei siti pericolosi, come ho raccontato qui. Ho rimosso il 3 luglio scorso il link che presumibilmente faceva scattare Site Advisor (era in questo articolo).

Sono passati i mesi, ho mandato un reclamo, sono fioccate le proteste, anche grazie a voi (ce ne sono tre pagine), e non è servito assolutamente a nulla.

Se questa è la prontezza con la quale aggiornano le loro diagnosi sbagliate, quanto saranno aggiornate quelle giuste?

Dannazione: dovrei contestare a McAfee i danni (visitatori che ho perso, reputazione guastata) dovuti alla loro falsa segnalazione di pericolo. Chissà se la sede italiana di McAfee Srl sarà più svelta: le ho appena scritto presso Info_Italia@mcafee.com. Se anche questo fallisce, proverò con una telefonatina in diretta radio. Staremo a vedere.

2008/10/30 15:30

L’ufficio stampa italiano di McAfee mi ha contattato via mail alle 12.30 circa, confermando che (cito con il permesso del mittente) “il test di rivalutazione del sito è già in corso […]. Siamo inoltre in contatto diretto con il SiteAdvisor Support Center e sarà nostra premura tenerla aggiornato sull’andamento e sul riscontro dei laboratori per correggere tempestivamente la valutazione.”

L’ufficio stampa precisa inoltre che “Il tempo di rivalutazione di un sito può variare e dipende da una grande varietà di fattori che possono avere determinato l’assegnazione di una valutazione come sito pericoloso con icona rossa. Ad esempio, possono essere necessarie alcune settimane di verifica perché il sistema possa controllare che effettivamente il sito malevolo non abbia rimosso solo temporaneamente le minacce riscontrate.”

E’ già un passo avanti: i colleghi italiani sono decisamente più pronti di quelli oltreoceano. Al momento, Site Advisor dice che il problema riguarda “Eurobarre (ebsetup.exe)”, che non è più linkato nell’articolo da mesi. Alcuni lettori ipotizzano che la colpa della diagnosi sia qualcosa nei commenti: ho chiesto chiarimenti a McAfee.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.