E voi? Usate un antivirus o vi piace il rischio/emozione di formattare tutte le settimane?

Inoltre hanno fatto un quiz dove vengono fatti vedere tutti gli antivirus falsi, quelli che ti illudono che ci sia un virus, per poi spillarti i soldi per "pulirti" il computer (anche se non c'era un bel nulla installato)

Riuscireste a passarlo? (Per chi non mastica bene l'inglese, real = reale; rogue = falso)

Oggi, dopo la quinta volta consecutiva che AVG mi interrompeva mentre giocavo a GTA IV per segnalarmi finti virus come SafeXP, il keygen di Office 2010 ed altri falsi positivi, ho deciso di sostituirlo con Avast.

Uhm, ottimo, non mi pare male, mi dico.

Vado su dandandin a scrivere il risultato e...

Mi viene un colpo! Il mio server infettato??? Poi, faccio 2+2 e capisco che Avast vede come virus qualsiasi pagina internet che contenga Førmat c: /autotest /q /u!!!!!!!!!

SCANDALOSO!!!!!!!!!!!!!!!!!!!!!!!111!!!!!1111!1!1!1

Questa la mia reazione:

In effetti ha trovato un virus e l'ha cancellato senza chiedere.
Incuriosito sono andato a ripescarlo dalla quarantena per investigare.
Si trattava di HackerNovello.htm , un file vecchio di dodici anni di una vecchia ezine che avevo trovato su IRC: New Bies:

                 @-,”ì'ì”,.,”ì'ì”,.,”ì'ì”,.,”ì'ì”,.,”ì'ì”,-@
                 |   _   _               ____  _           |
                 |  | \ | | _____      _| __ )(_) ___ ___  |
                -+- |  \| |/ _ \ \ /\ / /  _ \| |/ _ Y __|-+-
                 :  | |\  |  __/\ V  V /| |_) | |  __|__ \ :
                 |  |_| \_|\___| \_/\_/ |____/|_|\___|___/ |
                 @-,”ì'ì”,.,”ì'ì”,.,”ì'ì”,.,”ì'ì”,.,”ì'ì”,-@

                       NEW BIES (num 2) (data 07/03/99)

                     [ powered By ZeroCool and N0bodY88 ]

Il passaggio che AVG rileva come virus è:

Pensate che una volta ne ho creato uno che quando veniva avviato si bloccava e dava un errore ma in realta sostituiva un'altro file all'autoexec.bat. Quando il poveretto riavviava il computer si vedeva prima una bella scritta di insulti e trovava l'hard disk formattato. Ma come, quando si scrive format dopo non bisogna dare la conferma? Si è vero ma nonna Microsoft ha incluso l'opzione /autotest che formatta l'hard disk senza chiedere la conferma. Bello eh? Dunque usai il comando: Førmat c: /autotest /q /u che equivale a una formattazione incondizionata ed anche veloce.

Basta scrivere førmat c: in un qualsiasi file e automaticamente diventa un virus da cancellare senza chiedere????

E poi vede come virus i trainer per i videogames, praticamente tutti i keygen, perfino i programmi scherzo (stile: inverti lo schermo) e rompe le scatole se Chrome usa più di 300 mega di RAM quando ne ho più di 6 giga liberi...
Mah... quando ho tempo disinstallo AVG...

Aggiornamento: ho dovuto sostituire la o con ø perché Avast è così furbo da segnalare come sito infetto qualsiasi pagina che contenga la stringa!!!!

In effetti l'avevo già detto l'anno scorso che Microsoft Security Essentials fa più danni di un virus! 

Se l'anno scorso suggerivo Avast per utilizzi domestici e F-Prot per utilizzi commerciali, quest'anno suggerisco AVG per utilizzi domestici: Avast nel frattempo è stato "migliorato" ed è diventato troppo invadente (es: ad ogni avvio una voce dice: "il database è stato aggiornato".. bene, chi se ne frega?!? Oppure insiste a farmi comprare la versione a pagamento)

(Nota: anche AVG non è esente da difetti - dovete ricordarvi durante l'installazione di NON installare l'inutile linkscanner e l'ancor più inutile bing toolbar, e poi è obbligatorio fare una scansione completa di sistema altrimenti vi scasserà le scatole ogni 10 minuti: "Ehi, quando vuoi fare la scansione completa? Ora, subito o tra 10 minuti?")

Questo programma agisce da filtro verso tutte le applicazioni, apparirà una finestra dove vi chiederà se autorizzare l'azione oppure no.

Le azioni da filtrare sono: telefonate a numeri a pagamento, invio di sms, accesso ai contatti, accesso alla rete, invio del proprio numero di serie o numero di cellulare, invio della posizione gps.

Sembra quasi inutile, ma invece aiuta moltissimo a trovare applicazioni malevole!

Prendiamo per esempio Blob Blast, un malware che ho trovato per caso.

Prima di tutto spieghiamo come l'ho trovato: cliccando su una pubblicità a pagamento dentro un'altra applicazione non correlata.

Per quale motivo il suo programmatore dovrebbe spendere soldi per pubblicizzare una applicazione gratuita che non mostra nemmeno banner pubblicitari al suo interno?

Quando clicchiamo su un banner pubblicitario, dobbiamo sempre considerare il fatto che per ogni clic, vengono pagati in media 30 centesimi. Se ci cliccano 1000 persone, vengono pagati 300 euro. Vuol dire che il programmatore prevede di guadagnare molto ma molto di più di 300 euro. Ma come fa a guadagnare se l'applicazione non solo è gratuita, ma non mostra neanche banner pubblicitari?

Con il malware.

Vediamo le autorizzazioni che Blob Blast richiede durante l'installazione:

• Servizi che prevedono un costo:
  invio SMS
  Consente all'applicazione di inviare messaggi SMS. Le applicazioni dannose potrebbero inviare messaggi a tua insaputa facendoti sostenere dei costi.
• Comunicazione di rete:
  accesso completo a Internet
• I tuoi dati personali:
  lettura dati di contatto
  Consente la lettura da parte di un'applicazione di tutti i dati di contatto (indirizzi) memorizzati sul dispositivo. Le applicazioni dannose possono sfruttare questa possibilità per inviare i dati ad altre persone.
• Telefonate:
  lettura stato e identità del telefono
  Consente l'accesso dell'applicazione alle funzioni telefoniche del dispositivo. Un'applicazione con questa autorizzazione può determinare il numero del telefono in uso e il suo numero di serie, se una chiamata è attiva o meno, il numero a cui è collegata la chiamata e simili.
• Spazio di archiviazione:
  modifica/eliminazione dei contenuti della scheda SD
• I tuoi account:
  rilevamento account noti
  Consente a un'applicazione di recuperare l'elenco di account memorizzati sul telefono.

Per quale motivo un gioco semplice come questo, ha i permessi di inviare sms, leggere tutti i numeri e le mail della rubrica, andare su internet e cancellare file sulla scheda sd, quando in teoria non avrebbe alcun bisogno di farlo????

La risposta ci viene incontro con LBE Privacy Guard: quando apriamo il gioco, veniamo subito avvertiti che la prima cosa che fa il gioco è accedere alla rubrica per tentare di mandarla via internet.

Vogliamo la riprova? Se disabilitiamo l'accesso a internet al gioco, non tenta l'invio della rubrica! Vuol dire che il gioco tenta di accedere ad internet, e, solo nel caso in cui ci riesca, tenta di inviare l'intera rubrica!!!

Probabilmente vogliono rivendere i dati degli utenti a spammer, oppure, se il telefono si trova in un paese specifico, inviare qualche decina di sms a numeri speciali per far guadagnare illegalmente il programmatore. Per esempio un'applicazione maligna potrebbe abbonarvi inconsapevolmente a qualche inutile servizio di loghi e suonerie da decine di euro a settimana!

E così tutte le applicazioni della Wee Cat Games! Forgotten Blocks, Tracy Says, Color Crash, sono tutti malware! (I loro dati di contatto sono pure fasulli)

Ecco la pubblicità incriminata:

Ho già segnalato il problema a Google, sperando in una veloce soluzione. Nel frattempo, rootate il telefono e installate LBE Privacy Guard, è gratuito, e state più attenti quando installate le app: non è un caso che tutte le volte chieda la conferma per le autorizzazioni

Dopo quello che mi è accaduto oggi, però, devo assolutamente sconsigliarlo a tutti, e suggerirvi di rimuoverlo al più presto.

Stavo lavorando al computer quando il simpatico antivirus della Microsoft mi avverte: ho trovato un Trojan, Win32/Agent.BE in c:\windows\svchost.exe

Sono rimasto stupito, io, che prendo un virus, possibile? E per di più in un file vitale di sistema? Boh, penso, svchost.exe è un file vitale per Windows, tutti i servizi dipendono da lui, al limite, lo copierò da un altro computer. Dico di eliminarlo, e ottengo subito un bell'errore generale di sistema che mi obbliga a riavviare. Ecco, ho pensato, avevo ragione io, era un file fondamentale.

Mentre mi preparo a copiare svchost da un'altro computer vedo qualcosa di strano sul computer: si è riavviato in un tempo record, meno della metà del tempo normale, possibile?

Vedo subito che qualcosa non va, il sistema non carica i temi, non ha fatto il suono di avvio, ed è costellato da messaggi di errore. Andando a vedere nel log di MSE, scopro che... il simpaticone non solo ha eliminato svchost.exe, ma ha anche DEREGISTRATO qualsiasi servizio da lui dipendente!!!!

Purtroppo non posso copiare il messaggio di errore, dato che non mi funziona nemmeno il copia/incolla

Ecco però uno screenshot fatto con un programma (modificato per fare il testo in due righe - è più leggibile)

Come potete vedere, questo "antivirus" mi ha TOLTO (non disattivato!!!) decine di servizi fondamentali, che in pratica mi obbligano a riformattare!!!

Come riformattare? Pensate che un ripristino automatico di sistema non possa correggere il problema? Beh, non può il fantastico antivirus Microsoft mi ha DISATTIVATO ANCHE IL RIPRISTINO DI SISTEMA 

Grazie mille Microsoft, bel lavoro!

Come antivirus adesso suggerisco Avast nel caso che lo usiate a casa (è gratis solo per usi domestici), e F-prot nel caso che lo usiate a lavoro: è un ottimo antivirus, e soprattutto, costa 40 euro per 10 licenze commerciali (10 volte meno della concorrenza!)

Infatti, negli ultimi tempi, i virus per penne usb si sono diffusi in una maniera impressionante:

La Microsoft nel 2001 era stata previdente; non aveva abilitato l'autorun degli eseguibili sulle penne usb come per i cd, sarebbe stato troppo pericoloso. Sfortunatamente, troppi furbetti hanno avuto un'idea: Fare un file che si chiama "Apri la cartella con esplora risorse", mettendo l'icona di una cartella. Come qua:

Cliccando sulla prima icona, saremmo infettati dal virus; solo la seconda icona è quella veritiera

Per questa "leggerezza" commessa da Microsoft nel 2001, L'esplosione dei virus per penne usb è micidiale, sui computer pubblici ce ne sono a dozzine, rendendo obbligatoria la disabilitazione completa dell'autorun, come spiegato sul sito Microsoft.

Finalmente, con una mossa un po' tardiva, è stato rimosso il supporto all'autorun per i file salvati sulla penna usb!! Evviva, era l'ora! La comoda finestra apparirà sempre, ma nella lista potranno essere contenuti solo programmi già installati sul disco fisso

Ottimo

Conficker è un virus che si installa da solo se non si è installato la patch MS08-067, sapere se si è infettati è un po' difficile, perché il virus prova in tutti i modi a nascondersi.

Per fortuna, quelli del Conficker Working Group, hanno trovato un sistema geniale e semplicissimo per sapere se si è stati infettati.

Infatti, il virus blocca tutte le connessioni verso i siti internet delle società antivirus. Andando a questa pagina, possiamo vedere una tabella, che contiene immagini ospitate su siti "generici", e siti ospitati da società antivirus:

• Se vediamo tutte e sei le immagini: non siamo stati infettati
• Se non vediamo le prime tre immagini: abbiamo Conficker C (o versione successiva)
• Se non vediamo i loghi di F-secure e Trend-micro: abbiamo Conficker A o B
• Se non vediamo nulla.... il browser è impostato per non visualizzare le immagini

Secondo tutti gli esperti del settore, il virus è progettato per attivarsi proprio oggi 1 aprile 2009!

Chissà cosa succederà?

1. Perdita di dati?
2. Invio massiccio di spam?
3. Attacco massiccio ad altri computer?
4. Invio di dati sensibili a un server maligno? (es: password, carte di credito)
5. Pesce d'Aprile

Secondo me l'opzione 2... speriamo in un pesce d'Aprile!

Aggiornamento: ecco come vedere se si è infettati da conficker