venerdì 11 gennaio 2008

Senzaerrori.com, un virus che vuole "aiutarti"

Forse qualcuno di voi ricorderà il mitico Drivecleaner, il tentativo di infezione del pc che faceva leva sulla paura che qualcuno venisse a sbirciare i "residui" dei siti visitati mettendo così a rischio la nostra privacy. In quel caso bastava scaricare un piccolo programmino per evitare questo rischio beccarsi un bel virus.

Pare stia circolando con una certa insistenza (me ne sono accorto googlando un po') una specie di clone (o comunque qualcosa di molto simile) che ieri sera ci ha provato anche con me. Ho catturato al volo le varie schermate e ve le riporto qui sotto, così se doveste incapparci anche voi sapete cosa dovete fare.

La finestra si apre all'improvviso mentre state tranquillamente navigando, complice, probabilmente, una gestione "leggera" delle impostazioni avanzate dei javascript del browser. Tali impostazioni, se usate Firefox, in condizioni di sicurezza dovrebbero essere impostate nel modo che vedete qui sotto (non ho al momento sul mio pc un sistema Windows e quindi non conosco la relativa procedura per Internet Explorer: se qualcuno la conosce e la vuole riportare nei commenti si può accomodare tranquillamente):




Il meccanismo di infezione, come dicevo, è analogo a Drivecleaner. All'apertura della nuova finestra il browser viene automaticamente reindirizzato a un sito che si chiama http://senzaerrori.com., che si presenta con questa schermata:




Se avete installato il componente aggiuntivo McAfee SiteAdvisor (se non l'avete potete scaricarlo da qui) potete vedere dalla relativa icona di color rosso, in basso a destra, che ci si trova in presenza di un sito che dovrebbe mettere sul chi va là, come ci conferma il rapporto dettagliato che si ottiene cliccando sull'icona stessa (qui).

Se, oltre a questo, avete installato il plugin per Firefox ShowIp, potete vedere direttamente visualizzato (la serie di numerini affiancati all'icona di MSA) l'indirizzo ip del sito e da lì effettuare una veloce ricerca whois.

Terminato il caricamento del sito truffaldino, si aprono un paio di finestre in sequenza. Questa:




E questa:




Ovviamente, cliccando su "Ripara il servizio adesso!", non si ripara in realtà un bel niente, anzi, la "riparazione" la dovrete eventualmente fare dopo proprio per eliminare il virus che si installa nel pc:




Visto che, come vedete qui sopra, si tratta di un eseguibile Windows (che ovviamente non può girare su Linux), mi scarico il file sul desktop, apro uno dei tanti analizzatori di file online e glielo dò in pasto. Ecco, come volevasi dimostrare, il responso:



Mi pare ci sia a questo punto ben poco da aggiungere. La tecnica usata è come al solito subdola, nel più classico dei metodi "come ti convinco ad infettarti da solo", e fa leva sulle gravi minacce che sarebbero contenute all'interno del pc.

Minacce che ovviamente non esistono, se non nelle intenzioni di chi ci vuole infettare.

2 commenti:

  1. io sono affetto da questo virus... pero nulla me lo rintraccia... come lo elimino? help :(

    RispondiElimina
  2. A parte provare a fare una scansione in modalità provvisoria con un antivirus aggiornato, non saprei che dirti.

    L'unica è googlare un po'.

    RispondiElimina

Il post sentenza

La sbornia post sentenza OpenArms ha dato la stura a dichiarazioni giubilanti che a tratti sembrano leggermente fuori dalla realtà. Cominci...