martedì 27 marzo 2007

Non scaricate DriveCleaner, aria di truffa

DriveCleaner promette la rimozione delle tracce dei siti visitati, ma in realtà si tratta di un worm

Ieri sera, mentre bazzicavo tranquillamente nei meandri della grande rete, si è inaspettatamente aperta una finestra del mio fido Firefox, e insieme a questa un popup del quale ho catturato al volo la schermata (purtroppo poco chiara) che vedete qui sotto:



In pratica, questo messaggio mi avvisava del fatto che sul mio pc rimangono tracce dei siti visitati (ma va?) che possono essere visualizzate dagli altri utenti del computer mettendo a rischio la mia privacy, e mi suggeriva di scaricare il programmino installdrivecleanerstart_it.exe per risolvere il problema.

Naturalmente non ho installato un bel niente (anche perché, notoriamente, gli eseguibili MS/Dos difficilmente girano su Linux) e ho invece dato un'occhiata al sito dal quale si è aperta la finestra popup. Dunque, il sito si trova all'indirizzo http://it.drivecleaner.com/ (non l'ho inserito linkabile perché, nonostante Symantec assicuri che è necessaria l'azione dell'utente, su alcuni forum ho letto che ci sono stati casi in cui su sistemi Windows è partita in automatico l'installazione del programma. In questo momento non ho sottomano un Windows aggiornato da dare in pasto a internet e non ho perciò potuto verificare personalmente).

Comunque sia, la schermata dell'home page del sito è questa:



Una veloce ricerca whois mi dice che il sito in questione fa riferimento a una società di Singapore (si deduce la provenienza estera anche dal fatto che il testo presenta molte imperfezioni sintattiche, segno che è stato tradotto tramite software), e da una veloce googlata scopro che il programmino in questione è già noto da tempo alle cronache (truffaldine). Ne parla tra gli altri, come dicevo prima, Symantec in questa pagina, dalla quale apprendiamo che il programma, una volta installato (funziona solo con Windows, Linux e Mac sono immuni), fa alcune simpatiche cosette:
  • genera un elevato numero di file con estensione .dat in un'apposita sottocartella inserita in genere dentro a "Programmi"
  • crea una trentina di nuove sottochiavi all'interno del registro di Windows
  • modifica la chiave HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run in modo che il worm venga lanciato a ogni avvio di Windows
Si tratta insomma di un programma truffaldino che finge di analizzare il pc restituendo un falso report. Secondo questo report, volutamente esagerato per tentare di spaventare l'utente, il pc in questione sarebbe a forte rischio privacy, e come rimedio è - ovviamente - consigliato l'acquisto della versione registrata del programma (al modico prezzo di 34,95 euro).

Insomma, come al solito, occhi aperti: vale sempre la regola di non farsi suggestionare dai messaggi che ci vengono proposti (che siano e-mail o finestre popup non importa) e di non cliccare disinvoltamente su qualsiasi cosa capiti a tiro.

21 commenti:

Anonimo ha detto...

Grazie per la tua cortesia,
in effetti chi naviga "di fretta", chi su pc di lavoro che non conosce, chi ha poca dimestichezza può confondersi con qualche msg del firewall o dell'antivirus e fare danni. Ogni giorno che passa mi sto sempre più convincendo di sostituire il mio fido pc con un Mac!
Saluti. Bigfab.

Andrea Sacchini ha detto...

> Ogni giorno che passa mi sto sempre più convincendo di sostituire il mio fido pc con un Mac!

Beh, nell'attesa potresti provare con Linux: sicurissimo e gratuito. :)

Ciao Bigfab.

Anonimo ha detto...

Guarda, ho dato una "scorsa" veloce al tuo libro e devo dire che mi ha molto incuriosito (a proposito, grazie che hai avuto la voglia e la "generosiità" di condividere la tua esperienza su Linux con altri). Ho pertanto preso in edicola una distro live da cd di Mandriva One 2007 "Metisse". Per carità, mi sono incaponito di farlo partire ieri sera verso le 23, con la lucidità tipica dopo una giornata di lavoro: praticamente il mio notebook non l'ha digerito molto bene, il puntatore scattava, i menu si aprivano e chiudevano immediatamente, è anche logico aspettarsi problemi di questo tipo con un boot da cd. Devo dire che mi ha stupito il riconoscimento del pennino bluetooth immediatamente. Cmq il mio notebook è abbastanza alla frutta: la "i" o non appare, o ne escono 34 di fila, la ventola (pur tenuta pulita) gira in continuo, dopo 1 ora tenere le mani sulla tastiera o metterle su un tostapane sono la stessa cosa; dulcis in fundo, la stampante sta cedendo, è più l'inchiostro che spreco per le pulizie che quello che uso per i miei documenti. Sinceramente stavo pensando ad un iMac, con circa 1000 euro mi porto via un bel pc, non devo "smadonnare" per installare alcunchè, è già bello pronto, ecc. Devo solamente trovare il tempo per andare da qualche rivenditore per farmi spiegare alcune cosine, visto che ho messo le manine su un iMac da Mediaworld e non sono riuscito a "gustarlo" come avrei voluto. Ma non ho ancora preso alcuna decisione definitiva.

Anonimo ha detto...

P.S. Non ho firmato il messaggio precedente, sono sempre Bigfab.

Andrea Sacchini ha detto...

Mah, guarda, lo strano fenomeno del mouse che si impunta cona la Matisse è capitato anche a me, anche se non me lo so spiegare.

Purtroppo le distro live hanno il difetto di essere un pò lente nella risposta ai comandi, specialmente se, come me, non si ha una macchina abbastanza performante. L'ideale sarebbe creare una piccola partizione sull'hard disk e installarcelo (con mandriva la cosa è - come ho anche spiegato nel mio libro - piuttosto semplice).

Il riconoscimento di quasi tutto l'hardware in circolazione non è più un tabù per Linux, come un tempo. Ti dico solo che la mandriva 2007 installata sul mio pc riconosce perfettamente la fotocamera e il telefonino - acquistato un mesetto fa - semplicemente inserendo l'usb.

Sul Mac non ti posso dire niente perché non ho mai avuto modo di provarlo. Quello che so è che quelli che chi l'ha fatto racconta meraviglie.

Andrea Sacchini ha detto...

Già, sarebbe effettivamente il caso.

Anonimo ha detto...

Ciao,
io aprendo la posta elettronica mi sono trovato una mail da tagged (che è tipo msn) con la foto di una gnoccona che mi mandava un messaggio privato. Siccome non mi fidavo per niente sono andato ad aprire il messaggio direttamente dal sito tagged dal mio account e mi sono trovato una schermata che mi consigliava di installare il driveCleaner poichè la mia cronologia è piena di siti per adulti ed ero a rischio ad un eventuale controllo della polizia postale. (premetto: questo è un pc che usiamo al lavoro e quindi quì di questa schifezza non ne gira).
Io ho scelto di non installare ma cmq mi si è aperta lo stesso una schermata che a velocità supersonica mi ha mostrato un fila di roba (che in verità non ho capito neppure io cosa fosse, se siti o files con a fianco di tutti la scritta GRAVE)il brutto è che dopo, questa finestra è scomparsa, ed è rimasta una pagina di internet uguale identica a quando dal desktop apro le risorse del computer. Io tengo sempre i pop up e i download bloccati, infatti mi voleva installare qualcosa sulla google tool bar e non ce l'ha fatta. Spero non sia successo niente, dalla cronologia non risulta nulla. Se qualcuno sa darmi info o gli è capitata la stessa cosa sappiatemi dire.
Saluti.
Sam - Boooooo

Andrea Sacchini ha detto...

Non conosco la questione specifica che hai segnalato.

Comunque, come linea di principio generale, bisogna sempre rifiutare l'installazione di qualsiasi cosa che ci viene proposta e di cui non si conosce la natura.

Ciao.

Anonimo ha detto...

Grazie Andrea, sei un amico, e tanti ti vorranno sicuramente bene in Internet, perchè tu fai del bene così.
Non importa se sono anonimo, sono sicuramente la voce di tanti...

Andrea Sacchini ha detto...

Beh, che dire? Grazie, lusingato...

alessio ha detto...

ciao anche io non ho istallato questo programmino ma questo diceva che i siti che ho visitato, anche se ho cancellato la cronologgia, saranno visibili è vero?
poi ti vorrei fare un' altra domanda quando mi è comparsa quella finestra per scricare quel programma l'ha scaricato in 3 secondi ma subito si è aperta una finestra di norton che mi ha consigliato di cancellare quel programma che cercavo di istallare allora io subito ho cancellato, e norton mi ha detto di aver rilevato e cancellato quel rischio.
posso stare sicuro??? per favore rispondi e grazie in anticipo

Andrea Sacchini ha detto...

> anche io non ho istallato questo programmino ma questo diceva che i siti che ho visitato, anche se ho cancellato la cronologgia, saranno visibili è vero?

Tutte balle. Drivecleaner installa nel pc un worm e basta. Questo è il motivo per cui è stato creato.

I siti che hai visitato sono visibili comunque anche se cancelli la cronologia: è sufficiente aprire col blocco note il file index.dat che mi pare si trovi nella cartella cookie di Windows (non sono sicuro, sto andando a memoria, in questo momento sono su Linux).

> e norton mi ha detto di aver rilevato e cancellato quel rischio.
posso stare sicuro???


Penso di sì. In ogni caso per sicurezza fai una ulteriore scansione col Norton (naturalmente aggiornato) e se non ti trova niente dovresti essere a posto.

Ciao.

alessio ha detto...

ok grazie mille sei davvero un grande ti ringrazio infinitamente
oh fatto come mi consigliavi la scansione e non mi ha rilevato nessun virus
ciao e ancora grazie

Anonimo ha detto...

m sembrava un po' strano quel messaggio......6 un grande cmq...grazie!! Luke

Anonimo ha detto...

Ciao Andrea, sono capitato per caso sul tuo blog, in effetti lavoro con computer e cassetti HD rimovibili, ero con XP per cercare un amico su Msn e mi e` venuta la finestra in questione, spento subito, sono passato con Linux(ubuntu) e sono andato a cercare qualcuno a conoscenza di Drivecleaner e ho trovato il tuo..... mi puzza di imbroglio, si grazie e per tutti..... andate con linux , usate win proprio nei casi dove non se ne puo` fare a meno. Grazie dell`attenzione. Pierluigi

Massimiliano Fattorini ha detto...

Hai ragione, secondo me puzza abbastanza come sito e come software ...

grazie per la segnalazione, finirà dritto dritto in blacklist.

max
http://lapiccolacasa.blogspot.com

Anonimo ha detto...

a me è capitato navigando con Macbook e safari sulle notizie di alice, mi capita 1 volta a settimana...il bello è che anche se clicco su no mi apre la pagina, e dice:
Indirizzo IP: 213.186.xxx.xx Elementi pornografici:
Nazione: Ukraine - File temporanei
Sistema Operativo: Windows XP
- Cronologia della chat
Pornografia: 72 file rilevati - Download
Spazio disponibile sul disco: Poco spazio libero! E-mail


e poi mi chiede di fare 1 scansione di alcune cartelle...tra cui c:\windows\desktop...programmi...documenti...
peccato che nn ho xp ma mac, e nn ho nessuna di queste cartelle...

quello che voglio capire è se questo worm risiede su alice (lo becco sempre e solo lì) o se trattasi di caso di worm su mac (cosa che ritenevo improbabile al 99%)

Andrea Sacchini ha detto...

Probabilmente si tratta di una coincidenza. Quando l'ho incontrato io non ero su Alice, anche se non ricordo di preciso in quale sito mi trovassi.

Si tratta comunque di un eseguibile windows; non funziona né su Mac né su Linux.

Anonimo ha detto...

GRAZIE ANDREA,
NAVIGANDO SU VIRGILIO ALL'APERTURA DELLA MIA POSTA ELETTRONICA MI SPUNTA UN MESSAGGIO CHE "DEVO" E SOTTOLINEO DEVO SCARICARE DRIVECLEANER PER ELIMINARE TUTTI I FILE TEMPORANEI E LA CRONOLOGIA FACENDO PERNO A PROBLEMI FAMILIARI O LAVORATIVI CHE POTREBBERO NASCERE ALLA SCOPERTA DI SITI VISITATI PORNO HARD. AVENDO FORMATTATO DA POCO IL COMPUTER LA COSA MI HA PUZZATO UN PO' HO CERCATO DI CHIUDERER LA FINESTRA MA SE NE APRIVA UN'ALTRA CHE MI INCITAVA A SCARICARE IL PROGRAMMA.
LA COSA MI HA PUZZATO TANTO E COSI' HO TROVATO IL TUO BLOG HO DOVUTO CHIUDERE INTERNET EXPLORER PER CHIUDERE L'ODISSEA.
GRAZIE PER IL TUO BLOG

Anonimo ha detto...

Ciao Andrea Mi chiamo Daniele ed ho letto con interesse il tuo commento sul programma drive cleaner 2006, per questo ti ringrazio molto,ero in procinto di scaricarlo,perchè è da qualche tempo che lo spyboot mi trova nel cpu un drive cleaner 2006 e non so proprioquale programma installare per rimuoverlo, lo cancella , ma ogni avvio scansione si ripresenta.Siccome sono entrato nel tuo blog e ho letto del drive cleaner, penso che tu ne sappia più di me se puoi dammi una mano.ti lascio la chiave di registro che ripetutamente mi trova:(SBI$7E4FBD6E)ID DI CLASSE HEY_CLASSES_ROOT\CLASID\INPROCSERV32 Grazie ancora Daniele

Andrea Sacchini ha detto...

Non saprei, sinceramente. E' da molto tempo ormai che ho abbandonato i sistemi operativi Windows (adesso uso Linux), e quindi dovrei mettermi a cercare in rete per poterti aiutare. Il problema è che mi manca il tempo, quindi ti posso solo suggerire di googlare un po' o consultare qualche forum, tipo questo ad esempio.

La querela

Luciano Canfora querelato da Giorgia Meloni. Un gigante del pensiero e un intellettuale dalla cultura sconfinata, conosciuto in ...