Vai al contenuto
Attenti alla mail dell’avvocato Gentiloni

Attenti alla mail dell’avvocato Gentiloni

Tentativo d’infezione mascherato da notifica d’avvocato

Questo articolo vi arriva grazie alle gentili donazioni di “lanfranco.ci****” e “abattaini”. Grazie anche a “sm” e “luca” per la segnalazione.

Circola da pochi giorni (grosso modo dal 20 gennaio) un “avviso di insoluto” che arriva via mail e sembra provenire da un certo “avv. Gentiloni”. L’indirizzo del mittente è gentiloni.g@avvocati-ass.com, e l’argomento è “Avviso di insoluto su Fattura”.

Ecco il testo del messaggio:

Gentile Cliente,
Da un nostro controllo contabile non ci risulta a tutt’oggi il pagamento della fattura P.N. 335624-1 dell’importo di Euro 4.329,50.
Se la fattura risulta gia saldata o se ritiene possa sussistere un errore cotabile la invito a prendere visione del conto da pagare attraverso il nostro:
www.avvocati-ass.com/Fatturazione_CEF/FTR-335624.html ( clicca per collegarti )

In difetto, provvederò ad agire nelle sedi opportune, senza ulteriore preavviso.

Distinti saluti.

Dott.Avv. Giancarlo Gentiloni

L’ansia creata dall’apparente autorevolezza del messaggio e dal suo argomento (un debito di oltre quattromila euro, e per di più chiesto da un avvocato) farà probabilmente passare in secondo piano il fatto che il testo contiene un paio di errori di battitura (gia senza accento, cotabile) e un elemento stranamente informale (quel “clicca per collegarti”). Molti non si chiederanno neanche come mai un avvocato invii una notifica via mail anziché secondo i canali cartacei legalmente riconosciuti.

Il messaggio è congegnato appositamente per ingenerare quest’ansia: infatti il link cliccabile, nell’originale, porta a un sito-trappola (la versione del link presentata qui sopra è stata resa teneramente innocua) che contiene un’immagine ridotta della fantomatica fattura, come si può vedere nella schermata qui sopra.

Se il sito viene visitato con Internet Explorer e si clicca sull’immagine della fattura per ingrandirla, IE scarica un “componente aggiuntivo” eseguibile. E questo è chiaramente male.

Secondo alcuni resoconti pubblicati in Rete, eseguendo questo “componente” vengono modificati i preferiti di IE e la pagina iniziale di Internet Explorer: si finisce sul falso motore di ricerca Katasearch.com, che tenta di installare un trojan horse per Windows. Gli utenti di altri sistemi operativi non sono vulnerabili a questa minaccia specifica.

Purtroppo il sito Avvocati-ass.com è registrato e situato fuori dall’Italia, per cui le probabilità di farlo sequestrare o chiudere sono ridottissime. Un buon antivirus dovrebbe riconoscere questo sito-trappola e bloccarlo; la barra anti-phishing di Netcraft lo fa già.

La raccomandazione è sempre la solita: prudenza, vigilanza, nervi saldi. Abituatevi a riconoscere i sintomi tipici di un messaggio che vuole convincervi a fare qualcosa giocando sulle vostre emozioni, e la vostra navigazione in Rete sarà molto più sicura e piacevole.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Attenti alla truffa del risarcimento per privacy violata

Nuova carognata degli untori informatici

Questo articolo vi arriva grazie alle gentili donazioni di “pierbelli_rebo” e “info”.

Fate molta attenzione alla nuova tattica di ingegneria sociale che fa leva sulla voglia di rivalsa dei cittadini verso le istituzioni: sta circolando un e-mail che si spaccia per un avviso di un fantomatico studio legale romano e annuncia un risarcimento di 1000 euro per l’errata pubblicazione online delle dichiarazioni dei redditi. Ecco il testo:

Da: Studio Legale No Profit [mailto:g.dimatteo@fratellidimatteo.com]
Inviato: martedì 10 giugno 2008 23.56
A: [omissis]
Oggetto: Studio Legale – Rimborsi per i Cittadini Italiani

ROMA li 10/06/2008

Alla cortese attenzione dei Cittadini Italiani,

Dopo la decisione del Garante per la Privacy sulla vicenda dell’elenco dei contribuenti pubblicato sul sito dell’Agenzia delle Entrate, abbiamo il piacere di informarvi che abbiamo vinto la battaglia.

Alla luce del provvedimento del Garante, milioni di Cittadini Italiani i cui dati sensibili sono stati violati, possono finalmente ottenere il risarcimento dei danni subiti.

Per tale motivo abbiamo predisposto il modulo in allegato che tutti i cittadini Italiani devono scaricare, compilare, e inviare per ricevere l’immediato risarcimento di 1.000 Euro

per ciascun familiare per la grave violazione della privacy subita.

Distinti Saluti.

Avv. Claudio Corbetta

Studio Legale No Profit
Viale Matteotti 145
00195 Roma
Tel. 06 7158031
Fax. 06 7175323

Il “modulo allegato” è in realtà un file ZIP contenente un virus, Trojan-Downloader.Win32.Agent.lyg, concepito per Windows. Non apritelo: cancellate direttamente il messaggio e controllate che il vostro antivirus sia aggiornato.

La fonte apparente del messaggio, fratellidimatteo.com, è un’azienda ortofrutticola di Latina che probabilmente non c’entra nulla e si starà chiedendo il perché del boom di accessi al proprio sito. Daniele Minotti mi segnala inoltre che il sedicente avvocato Claudio Corbetta “non risulta inserito nell’albo nazionale (pubblicato su http://www.cassaforense.it)” e che i numeri telefonici sono inesistenti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Virus: Conficker si sveglia, vuole soldi

Virus: Conficker si sveglia, vuole soldi

Conficker rivela il suo piano: ricattare le vittime

L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Se vi compare sullo schermo un avviso di SpywareProtect 2009 come quello qui accanto (tratto da Kaspersky.com), probabilmente siete fra le vittime di Conficker, il virus/worm che i media avevano annunciato come un pericolo su vasta scala per il primo d’aprile senza che in realtà succedesse granché.

Adesso che molti hanno abbassato la guardia, Conficker s’è svegliato sul serio, come riferiscono PCworld.com, TrendMicro.com e Kaspersky.com. Veicola varie porcherie virali, una delle quali si spaccia per un antivirus che dice di aver trovato dei pericoli sul computer della vittima e chiede una cinquantina di dollari per “eliminarli”.

E’ la moda del momento fra i criminali informatici: si chiama scareware, ossia “software che gioca sullo spavento”. Circolano vari programmi che dicono di essere antivirus ma in realtà sono programmi ostili che sfruttano la paura degli utenti per convincerli a scaricarli e installarli (e spesso oltretutto pagarli, aggiungendo danno al danno).

Un’altra particolarità di questa nuova evoluzione di Conficker è che i computer che vengono infettati vengono poi dati in affitto agli spammer, che li usano per disseminare la loro posta-spazzatura. L’origine di questo attacco sembra essere l’Est europeo, specificamente l’Ucraina, a giudicare dal fatto che la prima versione del worm controllava il layout di tastiera ed evitava specificamente di infettare il PC se rilevava il layout ucraino, come spiega Microsoft Technet.

La raccomandazione classica è la solita: procuratevi preventivamente un buon antivirus da una fonte fidata (chiedete ad amici e colleghi) invece di accettare le offerte provenienti da sconosciuti; non agitatevi quando compare un messaggio d’allarme sullo schermo, ma riflettete prima di cliccare e chiedete un consulto ad esperto di cui vi fidate.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Tsunami, sciacalli anche online

Tsunami, sciacalli anche online

Fabbricanti di virus sfruttano terremoti e tsunami per infettare

Nuova puntata di una delle forme più squallide di criminalità online. Netguide e McAfee segnalano un nuovo cavallo di Troia per Windows che specula sulle terribili notizie che arrivano dalle aree colpite dal terremoto nell’isola indonesiana di Sumatra e dallo tsunami che ha devastato le isole Samoa.

Chi cerca tramite Google informazioni su questi disastri rischia di imbattersi in siti nei quali compaiono finestre pop-up che avvisano l’utente che il suo computer è infetto. Se l’utente abbocca alla trappola, viene invitato a scaricare e installare Windows PC Defender, che sembra un antivirus ma è in realtà un falso programma che fa comparire avvisi d’infezione e dice che solo la versione a pagamento di Windows PC Defender può eliminare l’infezione.

Anche quest’ultimo avviso è fasullo: è solo una truffa per spillare soldi a chi non ha preso precauzioni adeguate, e c’è il rischio aggiuntivo di trovarsi il computer più infetto di prima e con a bordo del software spia (date un’occhiata a quante modifiche apporta a Windows quest’ennesima porcheria). Evitate di fidarvi degli avvisi che compaioni nei siti che visitate, e procuratevi un buon antivirus. Uno vero: chiedete ai vostri amici quale usano loro. I principali antivirus riconoscono già questa nuova minaccia.

Più in generale, conviene prendere l’abitudine di non girare a caso per Internet: se vi servono notizie, andate direttamente ai siti delle principali testate giornalistiche. Se poi usate un sistema operativo diverso da Windows, questi cavalli di Troia non saranno eseguibili sul vostro computer e vi accorgerete subito del tentativo d’infezione, perché le finestre pop-up simulano le finestre di Windows anziché quelle del vostro Linux o Mac OS X.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Allarme per il virus Ramnit

Ramnit ruba 45.000 password di Facebook: cosa fare per difendersi

Sta cominciando a diffondersi in Rete e negli altri media un certo panico intorno a Ramnit, definito “l’ultimo virus terrore degli utenti di Facebook” in un allarme (probabilmente copiaincollato da questo articolo di Leggo.it) che sta circolando su Facebook e altrove.

Prima di tutto ci sono alcune cose da tenere presente prima di lasciarsi andare al panico:

  • 45.000 password rubate sono niente in confronto ai 600.000 login violati ogni giorno su Facebook (dichiarati da Facebook stessa). 
  • La maggior parte delle password rubate riguardano utenti britannici e francesi, secondo Seculert.
  • Circa la metà delle password erano obsolete, secondo Facebook (The Inquirer).
  • Ramnit si propaga tramite file eseguibili per Windows, file di Microsoft Office e file HTML contenenti VBScript, secondo Microsoft. Su Facebook compaiono link-esca che portano a questi file.
  • Ramnit non ha infettato Facebook; ha infettato i computer degli utenti.
  • Ramnit si propaga pubblicando messaggi-esca nei profili Facebook degli utenti di cui ha rubato la password.

Da queste informazioni di base si può scegliere una strategia di difesa, che vale per molti attacchi simili:

  • I principali antivirus rilevano Ramnit. Usateli e teneteli aggiornati.
  • Non si devono mai eseguire programmi o file ricevuti via Internet senza un controllo antivirus e senza un’ottima ragione per farlo (no, giocare al videogame craccato non è un’ottima ragione).
  • Non permettete mai al vostro computer di eseguire automaticamente i VBScript ricevuti via Internet. Usare sistemi operativi diversi da Windows risolve questo problema alla radice.
  • Se vedete che un vostro amico di Facebook ha pubblicato in bacheca qualcosa che non fa parte del suo normale stile di pubblicazione, non cliccatevi sopra ciecamente. Probabilmente è un’esca.
  • Non usate la stessa password per più di un sito: Ramnit ruba le password di Facebook non perché gli interessano i fatti vostri nel social network, ma perché usa Facebook per infettare altri utenti e sa che probabilmente la password che usate su Facebook è la stessa che usate per mail, blog o servizi bancari e aziendali (che sono quelli che interessano ai suoi creatori).

In sintesi, non c’è motivo di preoccuparsi per Ramnit più di quanto ci si debba preoccupare normalmente. L’allarme mediatico sembra del tutto ingiustificato dal punto di vista tecnico, ma è comunque un’occasione per ripassare e diffondere alcuni concetti di base sulla sicurezza informatica. Fatelo.

Maggiori informazioni su Ramnit sono presso ZDnet, The Inquirer, Ars Technica, The Register, Physorg.

Questo articolo vi arriva grazie alla gentile donazione di “lucanikk”.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Il punto su Conficker

Il punto su Conficker

Conficker, tanto rumore per nulla? Fate l’esame della vista per sapere se siete infetti

La fatidica data del primo d’aprile, alla quale il virus/worm Conficker avrebbe dovuto devastare Internet secondo alcune fonti (ne trovate qui su Sophos.com una bella compilation), è passata e non è successo nulla di significativo. È soltanto clamore inventato dai media per aumentare gli ascolti o c’è sotto qualcosa di concreto?

Sicuramente i titoli incentrati sulle catastrofi informatiche del primo d’aprile sono stati esagerati. Quello che è concreto è che in quella data Conficker doveva cambiare l’algoritmo che gli dice quali siti contattare per ricevere istruzioni dai suoi padroni, adottandone una versione molto più difficile da contrastare.

Ma il fatto che questa data sia passata senza novità vistose non significa che si può abbassare la guardia: ci sono tuttora alcuni milioni di computer infetti, in giro per il mondo (le stime variano da 2 a 15 milioni), che sono a tutti gli effetti agli ordini dei padroni di Conficker.

Il virus (più propriamente worm) è riuscito a infettare le reti informatiche della Camera dei Comuni nel Regno Unito e delle forze militari di Francia, Germania e Regno Unito. Quest’orda di computer può essere usata in qualsiasi momento per qualunque scopo. Si presume che lo scopo sia, in un modo o nell’altro, il lucro illecito.

Alcuni mesi fa è stato creato il Conficker Working Group, un consorzio di società di sicurezza informatica, che ha recentemente scoperto una sorta di “impronta digitale” di Conficker che ne facilita enormemente l’identificazione. Questo consorzio segnala che Conficker si sta evolvendo: le versioni A e B del virus annidate nei computer infetti in giro per il mondo sono state aggiornate dai suoi padroni alla versione più recente, etichettata Conficker.C, Conficker.D o Downadup.C, che ha cambiato comportamento: non cerca più nuove vittime tramite le connessioni di rete e le penne USB, e invece di aggiornarsi contattando una vastissima serie di siti che cambia continuamente, come ha fatto finora, cerca gli aggiornamenti con un metodo peer-to-peer, contattando altre macchine infette.

Il CWC è riuscito a sabotare buona parte dei tentativi di aggiornamento di Conficker, ma persiste uno zoccolo duro di macchine infette e aggiornate. La difesa si articola su alcuni punti principali:

  • Conficker agisce soltanto su computer Windows: gli utenti Mac e Linux sono immuni ma potrebbero subire gli effetti collaterali di eventuali azioni su vasta scala da parte del virus (se Conficker intasa Internet o devasta un sito, la risorsa diventa inaccessibile per tutti i computer, di qualunque tipo).
  • Ogni file ricevuto, da qualunque fonte, va controllato con un antivirus aggiornato.
  • Tutti i principali antivirus sono in grado di riconoscere Conficker nelle sue varianti.
  • Dato che molte macchine sono ancora infette con la vecchia variante di Conficker, bisogna continuare a fare attenzione nel condividere penne USB e connessioni di rete.
  • Usate password non banali: Conficker è in grado di decifrare quelle più comuni.
  • Uno dei sintomi d’infezione è che i siti dei produttori di antivirus diventano inaccessibili, e per questo è stato creato un “esame della vista” anti-Conficker, disponibile qui, che si basa sul principio di mostrarvi i loghi delle principali società antivirali, tratti direttamente dai loro siti: se li vedete, vuol dire che siete in grado di accere a questi siti e quindi è improbabile che siate infetti da Conficker.
  • Come sempre, gli aggiornamenti di sicurezza di Microsoft, già disponibili da tempo, devono essere installati per turare la vulnerabilità che aveva permesso la propagazione iniziale di Conficker; in particolare deve essere installato l’aggiornamento MS08-67.

Se scoprite di essere già infettati da Conficker, niente paura: contattate un tecnico esperto oppure, se sapete come funziona il vostro PC, scaricate e adoperate uno dei vari strumenti di rimozione gratuiti (Sophos; Symantec; F-secure; McAfee).

Qui sotto trovate una mappa non molto rassicurante delle infezioni di Conficker, tratta dal sito del Conficker Working Group.

Fonti: Conficker Working Group, BBC, BBC (cronologia), BBC, Internet Storm Center.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Bucato il sito di Paul McCartney

Hack in the USSR

L’articolo è stato aggiornato dopo la pubblicazione iniziale.

PaulMcCartney.com, il sito del popolarissimo ex Beatle dato per morto quarant’anni fa da una celebre leggenda metropolitana, è stato violato pochi giorni fa iniettandovi LuckySploit, un programma ostile che fra le altre cortesie sfrutta le vulnerabilità dei browser degli utenti e una falla del software Adobe per la gestione dei file PDF per tentare di installare un rootkit nei computer dei visitatori del sito che non si sono protetti adeguatamente e che non hanno installato gli aggiornamenti già resi disponibili da Adobe.

L’attacco è stato mirato e calcolato per coincidere con il concerto di beneficenza che ha visto insieme a New York Paul McCartney e Ringo Starr. La società di sicurezza Scansafe segnala che l’attacco è stato rilevato il 5 di aprile scorso e subito bloccato, ma secondo Infosecurity il sito è rimasto infetto per tre giorni. La violazione sembra aver avuto come obiettivo l’infezione dei computer degli utenti allo scopo di rubare le loro password di accesso a servizi bancari e simili. Erano a rischio gli utenti Windows; gli utenti di altri sistemi operativi non erano nel mirino degli aggressori.

Il codice ostile portava i computer delle vittime a un singolo indirizzo IP di Amsterdam, che è stato bloccato. I sintomi e la sofisticazione dell’attacco (Iframe nascosto, Javascript offuscato, encoding non standard dei caratteri, certificato SSL per cifrare il proprio carico di istruzioni ostili) puntano a un’operazione molto professionale. I tempi dei vandali virali sono proprio finiti.

Fonti: SC Magazine, Scansafe.com, Infosecurity.com.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Che fine ha fatto Conficker?

Che fine ha fatto Conficker?

Non ci sono più i virus di una volta? Ci sono, ma stanno dormendo e prima o poi si sveglieranno

Dove sono finiti i grandi virus? Il decennio che si sta chiudendo era partito con grandi infezioni di massa, come Iloveyou, che nel 2000 infettò circa 50 milioni di computer, Code Red nel 2001, Slammer nel 2003, e così via. Ma ormai sono anni che non capita più una grande infezione devastante. Oggi le regole del gioco sono diverse: si infettano ancora i computer, ma senza dare nell’occhio, per usarli per altri scopi.

C’è un caso, in particolare, che sta mettendo in agitazione da tempo gli addetti ai lavori. Nei primi mesi del 2009 c’è stato infatti un notevole allarme per Conficker, che sembrava destinato a ripetere gli exploit da prima pagina degli illustri (o infami) predecessori succitati, avendo infettato con successo per esempio le reti informatiche della Camera dei Comuni e di vari ospedali nel Regno Unito e delle forze militari francesi, tedesche e britanniche. Poi più nulla. Il primo d’aprile, data prevista di attivazione del virus (più propriamente worm), doveva esserci la catastrofe, ma non c’è stata. Cos’è successo?

Conficker non è stato debellato: è ancora là fuori, in letargo, e gli esperti si stanno chiedendo quando si sveglierà e che cosa combinerà. Secondo le ricerche del Conficker Working Group, il team di specialisti formatosi proprio per gestire questa specifica minaccia dormiente, il worm ha infettato sproporzionatamente i sistemi informatici in Africa, in America Latina e nei paesi in via di sviluppo, e al momento è presente in tutto il mondo dentro circa sei-sette milioni di PC Windows. Secondo il CWG, non c’è mai stata un’infezione così pervasiva e persistente.

Un successo senza precedenti dal punto di vista dei misteriosi gestori di questo software ostile, ma un successo che forse li ha spiazzati: si trovano fra le mani un potenziale enorme, probabilmente maggiore del previsto, e non sanno come sfruttarlo senza bruciarlo e attirare troppa attenzione. Conficker è come una bomba atomica: troppo potente per poterla usare, se non in situazioni estreme, e con il rischio di scatenare una reazione violentissima dell’avversario.

Il CWG mette a disposizione i link agli antivirus che da tempo riconoscono ed eliminano Conficker, ma l’infezione persiste. I dati per la Svizzera, per esempio, indicano quasi 2200 indirizzi IP infetti (quindi, grosso modo, altrettanti computer); quelli per l’Italia segnalano circa 150.000 indirizzi IP dai quali fa capolino Conficker. Le statistiche del CWG fanno nomi e cognomi dei provider che ospitano gli appestati, e ce n’è per tutti.

Siamo insomma seduti su un vulcano. È quindi il caso di fare qualche controllo antivirale in più, specialmente sulle penne USB e sui dischi rigidi scambiati con amici e colleghi, prima che i padroni di questo worm si sveglino e decidano di usare il loro strumento (e magari il vostro computer) per scopi sicuramente non confortanti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
iPhone, primo worm ostile

iPhone, primo worm ostile

Rick Astley, fatti da parte: arrivano i professionisti dei virus

Sono passate solo un paio di settimane dall’annuncio del primo worm per iPhone, una burla sostanzialmente innocua che faceva comparire Rick Astley come sfondo del telefonino, ed è già arrivato il primo worm ostile che sfrutta la medesima tecnica per replicarsi e infettare il cellulare di Apple.

Il provider olandese XS4ALL ha infatti scoperto che alcuni suoi clienti dotati di iPhone sono infettati da un programma che tenta attivamente di intrufolarsi negli iPhone altrui, saccheggiando i loro archivi di SMS alla ricerca di messaggini usati per autenticare le transazioni bancarie.

L’attacco funziona soltanto sugli iPhone che sono stati sbloccati dagli utenti usando i vari sistemi di jailbreaking disponibili in Rete per potervi installare software (in particolare SSH) senza dover passare dalle autorizzazioni (e dalle casse) di Apple, e soltanto se l’utente è stato così malaccorto da non cambiare la password di root standard del telefonino.

Le vittime si trovano il cellulare comandato da ordini che arrivano dalla Lituania: il worm provvede inoltre a cambiare la password di root dell’iPhone, in modo che il legittimo proprietario non possa riprenderne facilmente il controllo, e assegna un identificativo unico a ciascun iPhone infetto.

Il rimedio consigliato, in caso d’infezione, è un reset del telefonino usando l’apposita funzione di iTunes, che naturalmente annulla anche lo sblocco effettuato intenzionalmente dall’utente. Maggiori dettagli sul worm sono disponibili presso Sophos.com e F-secure.

E intanto, ironia della sorte, il creatore del primo worm per iPhone, il ventunenne Ashley Towns, trova impiego: è stato assunto da una società australiana che sviluppa software per il cellulare con il logo della mela morsicata.

Fonti: The Register, Sophos.com, BBC.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Energizer, il virus arriva dal caricabatterie [UPD 2010/03/22]

Energizer, il virus arriva dal caricabatterie [UPD 2010/03/22]

Il software per caricabatterie della Energizer contiene conteneva un virus

Questo articolo vi arriva grazie alle gentili donazioni di “marianone” e “pot” ed è stato aggiornato dopo la pubblicazione iniziale.

Da FreakingNews.

Siamo al ridicolo. Adesso si può infettare un PC anche usando un caricabatterie. E di marca, fra l’altro: per la precisione, della Energizer.

La Energizer, infatti, vende in Europa un caricabatterie USB, denominato semplicemente USB Charger, che permette appunto di ricaricare le batterie AA e AAA collegandolo a una porta USB di un computer. C’è anche una versione americana di questo prodotto, chiamata Duo Charger.

Un caricabatterie USB è un’idea astuta, visto che permette di ricaricare le batterie anche lontano dalle prese di corrente, utilizzando la carica della batteria del laptop (non è il massimo dell’efficienza, ma in emergenza non si va per il sottile), e consente di avere un dispositivo particolarmente compatto perché non ha la spina elettrica che sporge.

Idea meno astuta, invece, quella di fornire maldestramente un programma per PC e Mac che permette di monitorare lo stato di carica delle batterie, di sapere il tempo necessario per completare la ricarica e di rilevare eventuali batterie difettose. Maldestramente perché il programma, nella versione per PC Windows, ha una funzione supplementare non proprio desiderata dagli utenti: contiene un trojan che Microsoft identifica come Win32/Arurizer.A. Questo simpatico virus consente di accedere da remoto al computer infetto e di controllarlo, per esempio caricando, scaricando, cancellando o eseguendo dei file a piacere.

Sono ormai due settimane che la Energizer è al corrente del problema, con tanto di comunicato stampa in cui avvisa che il link fornito nelle istruzioni del caricabatterie, http://www.energizer.com/usbcharger, portava a del software infetto per Windows (maggiori dettagli tecnici sono disponibili presso il CERT). Quel link è stato disattivato, ma quello europeo funziona ancora. Ho verificato adesso.

Andando a http://www.energizerrecharge.eu/it/range/chargers/usb, infatti, si trova questa schermata:

In fondo alla pagina c’è il link che porta al software per PC e Mac. La versione Mac non ha problemi, ma quella per PC, che si chiama UsbCharger_setup_V1_1_1.exe, risulta tuttora infetta, secondo il controllo che ho effettuato con l’antivirus di Kaspersky per Mac. Secondo i test di The Register, il virus distribuito dalla Energizer è riconosciuto da quasi tutti i principali antivirus.

È francamente scandaloso che un’azienda di questo calibro, di cui gli utenti tendono a fidarsi, abbia procedure di gestione talmente scadenti da disseminare virus attraverso i propri siti. Virus che si devono essere insediati anche altrove nella rete aziendale, visto che sono riusciti a infettare il software che Energizer distribuisce. Ed è ancora più scandaloso che questo software infetto sia ancora lì da scaricare dopo due settimane.

2010/03/22

Come segnalato dai commenti a questo articolo, il sito europeo della Energizer è stato aggiornato e ora la pagina citata sopra non contiene più il link al software infetto. Al suo posto ci sono un link a un comunicato stampa tradotto in italiano alla buona che spiega il problema e un link alle istruzioni per rimuovere il software ostile.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.