Quando i virus si prendevano via e-mail

Il tempo dei virus che infettavano i pc tramite le e-mail con i mitici allegati infetti truffaldini è finito, o se non proprio finito è comunque piuttosto passato di moda. Adesso stanno prendendo piede i virus che infettano i pc tramite i telefonini o i loro accessori. La cronaca ci ha offerto un paio di esempi proprio in questi giorni.

Il primo lo racconta il sempre attento Attivissimo in questo articolo. In pratica sarebbe in circolazione un caricabatterie USB della Energizer con installato al suo interno un software, per Windows e Mac, che, tra le altre funzioni, permette di controllare il livello di carica della batteria del telefonino. Peccato che questo software, nella sua versione per Windows, contenga al suo interno un trojan che una volta installato nel pc raccoglie tutto quello che si digita sulla tastiera.

Il secondo caso, invece, lo racconta Punto Informatico. Questa volta non si tratta di un caricabatterie, ma di alcune migliaia di smartphone, i famosi telefonini "intelligenti" di ultima generazione. Secondo PI ce ne sarebbero in circolazione alcune migliaia, venduti da Vodafone ed equipaggiati con Android, che avrebbero la memory card infetta. Collegando uno di questi al computer si ottiene il medesimo risultato dei caricabatterie della Energizer.

Se non altro, adesso, i famosi "utonti", quelli abituati ad aprire tranquillamente qualsiasi allegato, non potranno essere incolpati di niente.

"La vulnerabilita puo consentire l'esecuzione di codice in modalita remota..."

Come probabilmente vi sarete accorti se usate qualcuno dei vari Windows, è stata rilasciata l'altro ieri una patch straordinaria da parte di Microsoft per correggere una grave falla di Internet Explorer; falla che potrebbe essere stata utilizzata dal governo cinese anche nei famosi cyber attacchi di cui tanto si è parlato nei giorni scorsi.

Naturalmente, come spesso accade in questi casi, c'è chi ne ha approfittato, cavalcando questo allarme nella speranza di infettare il computer di quelli che cliccano allegramente su ogni allegato che piove nella loro casella di posta. Ecco quindi il testo dell'e-mail, apparentemente inviata da Microsoft, così come è arrivato anche a me.

> La vulnerabilita puo consentire l'esecuzione di codice in modalita remota se un utente apre un contenuto reso con carattere EOT (Embedded OpenType) appositamente predisposto in applicazioni client che eseguono il rendering dei caratteri EOT, come Microsoft Internet Explorer, Microsoft Office PowerPoint o Microsoft Office Word.
> Sfruttando questa vulnerabilita, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato.
> Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.
> Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
> Questo aggiornamento per la protezione e considerato di livello critico per Microsoft Windows 2000 , Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2.

Il mittente del messaggio è teamus@microsoft.com (indirizzo peraltro non più attivo) e l'oggetto Bollettino Microsoft sulla sicurezza. Naturalmente si tratta di un falso, perché Microsoft distribuisce i suoi aggiornamenti solo ed esclusivamente attraverso il servizio Windows Update e non certo attraverso misteriosi files allegati a messaggi di posta elettronica. Il file in questione, tra l'altro (out.scr), è piuttosto subdolo a causa della sua estensione. Molti infatti sanno che l'estensione degli eseguibili Windows è .exe, e potrebbero non insospettirsi più di tanto di fronte a un .scr - è invece sempre un eseguibile per DOS/Windows.

Inutile dire che l'allegato è infetto (report qui), e aprirlo può riservare qualche sorpresina poco simpatica. Occhi aperti.

Non sono i soliti auguri

No, non è il tradizionale post degli auguri - quello verrà dopo -. Si tratta solo di una segnalazione. Il titolo che vedete qui sopra non è nient'altro che l'oggetto di un paio di e-mail che mi sono piovute tra ieri e oggi nella webmail. E' quindi abbastanza probabile che anche alcuni tra i miei lettori le abbiano ricevute.


Il testo è molto breve e molto "invitante", e recita:

Quest'anno auguri diversi:
http://www.cartoline-natale.com/start.html

Cliccando sul link, si viene reindirizzati al relativo sito, che si presenta così:


Cliccando sul tasto "play" ecco che compare il seguente messaggio, che chiede di scaricare un plugin per poter visualizzare correttamente il video di auguri.


Il plugin (truffaldino) è un eseguibile windows (plugin.exe), che ho provveduto a scaricare e salvare sul desktop in quanto, usando Linux, è per me praticamente inoffensivo. Una veloce analisi con un antivirus online - ho usato virustotal - ed ecco il risultato:


Insomma, come tutti gli anni in questo periodo, l'accoppiata auguri/malware non poteva mancare. Occhi aperti.

Il virus Berlusconi

Potevano i criminali informatici farsi scappare l'occasione di utilizzare le recenti vicende del presidente del Consiglio per i loro loschi scopi? Certo che no. Ecco infatti fare capolino una e-mail truffaldina, apparentemente inviata da YouTube, che è già in circolazione da qualche giorno (nella mia casella di posta è arrivata il 25 giugno).

Ecco il testo:

Hai visto cosa combina il nostro presidente del consiglio Silvio Berlusconi ? Hai seguito la sua vicenda sulle escort ?

Grazie ad un giornalista di LEGGO, abbiamo l'opportunita di vedere il nostro premier mentre gira insieme alla escort

uscita da poco sui giornali..se vuoi vederli, il link e questo : http://youtorube.com/watchv=W3k9pMtrccQ.html

PER VISUALIZZARE IL VIDEO, E' NECESSARIO INSTALLARE IL SEGUENTE CODEC

Ovviamente YouTube non c'entra un bel niente in tutto questo, e pure il sito youtorube.com (notate la sottile differenza con youtube.com) al momento risulta irragiungibile.

La tecnica psicologica utilizzata dagli spammer non è nuova, e fa leva sulla curiosità indotta dal presunto video che riprenderebbe il premier Berlusconi a spasso con la famosa escort, quella che pare gli abbia tenuto compagnia a Palazzo Grazioli.

Ovviamente, cliccando sul link indicato nella mail non si scarica certo il famoso codec, ma si viene reindirizzati al sito truffaldino "youtorube" (ora non più accessibile) dove, tramite un ulteriore link, era possibile installare nel pc un bel worm.

La cosa singolare, è che non si tratta della prima volta che l'attuale premier viene "utilizzato" dagli spammer. Già nel 2006, infatti, circolava un'e-mail secondo la quale, pensate un po', Berlusconi era stato ucciso.

Non c'è che dire, questi spammer hanno una bella fantasia.

Virus e paura

Ieri, causa problemi alla linea adsl, fortunatamente risolti in serata, sono rimasto offline per tutto il pomeriggio. Verso le 21,30, al ripristino della linea da parte di Telecom, ho dato un'occhiata alle prime pegine dei maggiori quotidiani online e mi sono accorto che l'argomento principe, come d'altra parte era logico aspettarsi, era l'aggravarsi della situazione sul fronte della diffusione dell'influenza dei suini.

Tuttavia, dalle immagini che vedete qui sopra, che ho raccolto da alcuni dei maggiori quotidiani online, non sembra che i media in generale siano incanalati verso un approccio razionale ed equilibrato alla situazione. Ovviamente non dico che si debba nascondere la gravità di quanto sta succedendo, questo mai, ma, probabilmente, un approccio più "tranquillo" alla vicenda potrebbe fare la differenza tra una eventuale diffusione ingiustificata del panico anziché no.

E mi pare che questo aspetto sia stato colto molto bene dal professor Veronesi, che in un bellissimo articolo pubblicato ieri da Repubblica, del quale vi riporto qui sotto un breve estratto, ha sottolineato proprio questo aspetto della vicenda.

Questo "sistema di salvataggio" rischia di incepparsi, però, se la popolazione non segue razionalmente le raccomandazioni di comportamento, perdendosi nelle sue ansie. E qui arriviamo al secondo pericolo. Tutti capiamo bene che i media per loro natura sono alla ricerca della notizia e vivono sull'onda emotiva che questa inevitabilmente scatena. Nel caso però di un allarme di malattia, l'emotività può creare fragilità nelle strutture sanitarie e indurle ad adottare misure sproporzionate, con l'obiettivo di debellare più la paura che il virus. Ad esempio per l'influenza aviaria son stati investiti milioni di euro in farmaci che non sono mai stati utilizzati. Era forte la pressione della popolazione spaventata e a questa forza certo hanno contribuito le immagini di migliaia di polli arsi vivi che rimbalzavano da una tv all'altra. Ho vissuto in prima persona, quando ero ministro della Sanità, l'odissea dell'encefalite bovina da prione (mucca pazza) che mise il mio ministero e l'intero Paese in serie difficoltà. L'impegno maggiore per noi fu di controllare e bonificare gli allevamenti bovini, ma lo sforzo più duro fu quello di rassicurare gli italiani, sapendo che il rischio di ammalarsi risultò per loro inferiore a quello di aspirare una boccata di fumo di sigaretta o percorrere 700 metri in auto.

Insomma, allo stato attuale, del virus da noi non c'è traccia. Se andiamo avanti così, invece, il panico non tarderà ad arrivare.

Il 1° aprile si attiva Conficker, e non è uno scherzo

Manca ancora qualche giorno al primo di aprile, e ho pensato di scrivere questo breve articolo per segnalare, a chi ancora non ne fosse al corrente, che proprio in quel giorno si sveglierà dal sonno il temibile Conficker, il worm che a febbraio aveva infettato qualcosa come 10 milioni di pc.

Sembra uno scherzo, ma non lo è. Il creatore (o i creatori) del worm, sul quale Microsoft ha recentemente posto una taglia di 250.000 $, ha programmato la sua creatura in modo che si attivi appunto il primo aprile. Il problema vero è che, nonostante gli sforzi delle società che si occupano di sicurezza informatica, sui possibili effetti ci sono per ora solo ipotesi. Scrive webnews.it:

All'interno del codice, infatti, è stato scoperta una procedura che dovrebbe determinare nella data indicata [1 aprile, nda] una improvvisa attivazione delle cellule dormienti infettate da Conficker. Nell'occasione il worm dovrebbe generare una lunga lista di domini che verranno contattati dai pc infetti (fino a 50000 nuovi indirizzi al giorno) per scaricare nuove componenti maligne oppure per inviare dati a server specifici. L'accesso ad altri siti Web sarebbe inoltre inibito, il che potrebbe determinare l'impossibilità di accesso a software antivirus o servizi informativi a protezione dello stato di infezione conquistato (bloccato, in particolare, ogni processo ricollegato a stringhe di testo quali "ms08-06", "hotfix", "kb958", eccetera): tale istinto difensivo risultava inesistente nelle versioni precedenti di Conficker, il che delinea una certa maturazione internamente ad un codice maligno già di per sé letale.

Altre ipotesi interessanti sono state elaborate da Gizmodo, e tra queste spiccano un gigantesco attacco basato sul Denial of Service, una gigantesca ondata di spam con conseguenze imprevedibili sulla tenuta di molti server sparsi per il pianeta e altre cosucce dal sapore vagamente apocalittico.

Ma la cosa che in maniera maggiore dà da pensare quando si verificano disastri informatici di questo genere, è che una parte non trascurabile di responsabilità ce l'hanno gli utenti. Per la serie "diamo a Cesare quel che è di Cesare", infatti, va ricordato che la patch che rattoppava la falla su cui si sviluppa il worm è stata rilasciata da Microsoft pochissimi giorni dopo la scoperta del bug, addirittura in via straordinaria all'infuori del normale ciclo mensile con cui vengono rilasciate le normali correzioni.

Nonostante questo, a fine gennaio risultava ad esempio che più del 30% dei pc sparsi per il mondo non erano stati patchati, e le conseguenze non hanno infatti tardato a farsi vedere. Se a questo si aggiunge che il worm è da molto tempo perfettamente riconoscibile dai normali antivirus correttamente aggiornati, un po' di tristezza e rassegnazione sono perfettamente giustificati.

Insomma, se Windows e l'antivirus sono correttamente aggiornati (la patch Microsoft specifica è questa) non dovrebbero esserci problemi di sorta, indipendentemente dal fatto che si tratti alla fine del classico pesce d'aprile o meno. Visto però che al Conficker-day mancano ancora alcuni giorni, vale la pena segnalare che l'installazione di Linux su un normale pc richiede poco più di un'oretta.

(fonte immagine: media.macworld.co.uk)

Conficker è arrivato a quota 10.000.000

E' da un po' di tempo che non si sente più parlare di stragi informatiche di un certo rilievo. Insomma, i celebri Sobig, Blaster, Sasser e compagnia bella sono ormai appunto soltanto ricordi.

Anzi, meglio, erano soltanto ricordi, perché è di questi giorni la notizia che Conficker, in circolazione in questo periodo, è arrivato a quota 10.000.000 di pc infettati. In pratica una gigantesca e silenziosa aggregazione di pc - in gergo tecnico una botnet - che in perfetta sincronia vengono utilizzati da remoto, all'insaputa dei proprietari, ai comandi dei creatori del worm in questione. Da notare che a dicembre, appena due mesi fa quindi, secondo il New Youk Times i pc infettati erano 9 milioni.

Tecnicamente Conficker è appunto un worm, in pratica un malware in grado di replicarsi senza bisogno di legarsi ad altri eseguibili. L'espansione, ormai difficilmente controllabile, ha indotto addirittura Microsoft, una settimana fa, a mettere una taglia di 250.000 $ sui creatori del virus/worm. I sintomi che si accompagnano all'infezione sono principalmente quattro:

• È impossibile fare aggiornamenti di Windows.
• Windows Defender è disattivato.
• La rete è congestionata: è impossibile caricare anche delle semplici pagine web.
• Gli accessi ai siti relativi agli antivirus sono bloccati. (fonte)
  

Come è ormai prassi consolidata, il worm funziona solo su piattaforma Windows, quindi chi utilizza altri sistemi operativi non ha niente da temere. A tal proposito va segnalato che l'infezione è in costante espansione pur essendo il worm già tempo riconoscibilissimo dagli antivirus. Per contenerla, quindi, non sono richiesti chissà quali accorgimenti o competenze informatiche, sarebbe sufficiente utilizzare correttamente un antivirus tenendolo aggiornato.

Purtroppo, come dimostra tutta la vicenda, la quota di utenti che (spesso in maniera irresponsabile) non si cura di conoscere e mettere in pratica le basilari regole di sicurezza informatica, è tutt'altro che trascurabile.

Obama rifiuta la carica di presidente? E' un malware

Come è sempre avvenuto in occasione di grandi avvenimenti che calamitano l'attenzione di foltissime schiere di utenti, e soprattutto di navigatori internet, anche l'imminente cerimonia di insediamento di Barack Obama non poteva lasciare indifferenti i criminali del web.

The Register, infatti, riporta in queste ore la notizia che sarebbe già in circolazione un'e-mail truffaldina che sfrutta la falsa notizia che Obama avrebbe deciso di rifiutare la carica di presidente. Il messaggio che arriva nelle caselle di posta, recante per oggetto la dicitura "Amazing News", contiene al suo interno un link che reindirizza verso siti internet in cui appare la notizia che Obama avrebbe appunto deciso all'ultimo momento di rifiutare la prestigiosa carica.

Visitando uno di questi siti, e tentando di leggere la notizia, compare un messaggio in una finestra di dialogo che invita a scaricare un file (barakspeech.exe o simili) per poter leggere la stessa. Una volta dato l'assenso la frittata è fatta, e utilizzando pc Windows non opportunamente blindati si viene infettati - scrive ZeusNews - da un malware denominato W32/Waledac.gen.b. e da altri files che zombificano il pc e lo preparano a essere controllato da remoto dai simpatici signori che hanno organizzato il tutto.

L'insediamento, invece, nonostante i cyber-criminali, ci sarà eccome. E a tal proposito vi segnalo questa bellissima galleria di immagini in alta risoluzione, pubblicata da The Big Picture, sui preparativi in atto in queste ore. Qui potete cliccare tranquillamente, non si prende nessun virus. :-)

pete_ivan@hotmail.com e varianti, gli ultimi bufalovirus in circolazione

Un mio caro amico mi ha segnalato un paio di e-mail "allarmanti" che ha ricevuto in questi giorni. Siccome è probabile che altri, magari anche tra quelli che leggono questo blog, le abbiano ricevute e si siano (in)comprensibilmente un pochino allarmati, faccio il copia/incolla qui sotto delle due e-mail così come mi sono state inoltrate.


E-mail n.1:

LEGGETE....E' IMPORTANTE !!!!
Di a tutti i tuoi contatti della tua lista, di non accettare ne il
contatto pete_ivan@hotmail.com ne un video di Bush.
E' un hacker, formatta il computer, ti cancella i contatti e ti toglie la password alla posta elettronica.
ATTENZIONE, se i tuoi contatti lo accettano, pure tu lo prenderai, così invia il messaggio urgentemente a tutti.
URGENTISIMOOOOOOOOOOOO !!!
PER FAVORE, FAI CIRCOLARE QUESTO AVVISO AI TUOI AMICI, FAMILIARI,
CONTATTI!!!
Nei prossimi giorni devi stare attento: Non aprire nessun messaggio con
un allegato chiamato:
Invito
indipendentemente da chi te lo invia.
E' un virus che BRUCIA tutto l' hard disk del computer.
Questo virus verrà da una persona conosciuta che ti aveva nei contatti. E' per questo che devi inviare questo
messaggio ai tuoi contatti.
E' preferibile ricevere questo messaggio 25 volte che ricevere il virus e aprirlo.
Se ricevi il messaggio chiamato "Invito", anche se è inviato da un amico, non aprirlo e spegni subito il
computer.
E' il peggior virus annunciato dalla CNN.
Un nuovo virus è stato scoperto recentemente ed è stato classificato da Microsoft come il
virus più distruttivo che sia esistito.
Questo virus è stato scoperto ieri pomeriggio dalla Mc Afee e non c'è rimedio contro questa classe di
Virus: il virus distrugge semplicemente il Settore Zero del Hard Disk, dove le informazioni vitali della sua funzione vengono conservate.

E-mail n.2:

Sta circolando in
internet una nuova frode....
Rubano la tua mail di Hotmail, cambiano la password ed attraverso messenger
e via mail contattano tutti i tuoi amici, ovviamente spacciandosi per te,
dicendo che hai grossi problemi economici e che hai urgente bisogno che
ti facciano un prestito depositando dei soldi su uno specifico conto corrente
oppure
chiedono o un numero di carta di credito o cose simili
(RIPETO sempre spacciandosi per te ).
Cambiando La password tu non hai modo
di entrare nella mail ed avvisare i tuoi contatti.
Fai circolare questa mail per evitare che qualche tuo amico caschi in
questa truffa!
E' URGENTE!!!!!
Di a tutti
i tuoi amici che non accettino come contatto Sonia_cabrilis di Hotmail perchè
è un virus che formatta il tuo computer e se qualche tuo contatto lo accetta
automaticamente vieni infettato anche tu!
Copia e
incolla questa mail ed inviala a tutti i tuoi contatti!
BISOGNA FARE MOOOOOLTA ATTENZIONE!!!

Come se non bastasse, potresti ricevere una mail in
presentazione Power point chiamato 'la vita es bella' ('la vita è bella')
che apparentemente è inoffensiva ma se lo ricevi
NON APRIRLO ASSOLUTAMENTE E CANCELLALO IMMEDIATAMENTE!!!!
Se questo file venisse
aperto, sul monitor ti comparirà un messaggio che dice
'ora è troppo tardi, la vita non è più bella !'.
Subito dopo perderai tutto ciò che
hai nel PC ed il mittente del messaggio
avrà accesso al tuo computer al
posto tuo, accesso alla mail e a tutto
quanto!
Questo è un nuovo virus
che ha iniziato a circolare nella rete.
Dobbiamo fare
di tutto per bloccare questo nuovo virus!
La UOL ha già confermato la
sua pericolosità ed i software antivirus non possono fermarlo.
Il virus è stato creato da un hacker che si autodefinisce
'il padrone della vita' ed il suo obbiettivo è di distruggere i PC domestici
per lottare contro la Microsoft. per questo usa l'estensione .pps

COPIA ED
INCOLLA
QUESTA MAIL ED INVIALA A TUTTI I
TUOI CONTATTI COSI CI
AIUTEREMO TUTTI
A VICENDA!!!

I due messaggi sono entrambi delle bufale. Il primo dei due, quello che menziona il contatto pete_ivan@hotmail.com è relativamente recente (ha fatto la sua comparsa il mese scorso), mentre il secondo (Sonia_cabrilis di Hotmail) risale a luglio dell'anno scorso.

Sono delle bufale per il semplice motivo che non è sulla base del nome del messaggio o del suo mittente che ci si difende dai virus. Tutte le e-mail che si ricevono sono infatti potenzialmente a rischio, indipendentemente da chi ce le spedisce, e la difesa principale è costituita da una serie di precauzioni che si basano sulla prudenza, sul buon senso e alcuni accorgimenti "tecnici" (antivirus costantemente aggiornato, massima attenzione e controllo preventivo degli allegati, ecc...).

Insomma, se ricevete e-mail di questo tenore, evitate di incrementare la catena di S. Antonio inoltrandola ai vostri contatti ma, eventualmente, segnalate a chi ve l'ha spedita che si tratta di una bufala. Altre informazioni dettagliate, assieme all'elenco dei contatti e degli indirizzi "a rischio" attualmente in circolazione, le trovate qui.

Approfitto per segnalare la variante in (pseudo)italiano dello spam di Elena (questa l'ho ricevuta io), la finta ragazza-madre russa che ha freddo, vuole la stufa e bla bla bla di cui avevo già parlato in un precedente articolo. Vi riporto il testo qui sotto. Se la ricevete sapete cosa fare.

Hi

Il mio nome e` Elena, ho 32 anni e vivo in provincia russa. Io lavoro in una biblioteca e dopo il mio lavoro mi ha permesso di utilizzare computer quando e` possibile.
Ho trovato il vostro indirizzo in internet e ho deciso di scrivere questa lettera.

Ho 7 anni figlia di Angelina, suo padre abbandonato noi e vivere con mia madre.

A causa della crisi nel nostro paese di mia madre perso posti di lavoro e la nostra situazione e` diventata molto difficile.

Il prezzo per il riscaldamento o per la nostra casa e` molto elevato e non possiamo permetterci piu`.

L'inverno sta arrivando e meteorologiche diventano ogni giorno piu` freddo. Siamo preoccupati se la temperatura sara` molto freddo nella nostra casa, non sappiamo come sopravvivere.

Abbiamo bisogno di stufa portatile che danno calore dal legno che brucia. Abbiamo molti legno nella nostra regione, ma non siamo in grado di acquistare la stufa nel mercato locale, perche' i costi equivalente di 192 euro e molto costosa per noi.
Se avete qualche vecchio portatile stufa a legna, io prego che potete donare a noi e organizzare il trasporto di questa stufa al nostro indirizzo. Viviamo 200 km da Mosca.
Questi forni sono diversi, di solito hanno fatto da ghisa e peso circa 100kg.

Ho scaricato la nostra immagine per sito web gratuito e si puo` vedere a
http://elegala.nextmail.ru/ourpic.jpg

Ho tradotto questa lettera alla lingua italiana con computer-traduttore e vorrei apprezzare se si puo` rispondere alla mia lettera in lingua inglese, perche' non so di lingua italiana.

Mi auguro di sentire presto da voi e vi auguro un Buon Natale.

Elena.

Aggiornamento eccezionale di Internet Explorer, fossi in voi lo installerei

Questo articolo è stato aggiornato dopo la pubblicazione iniziale.

Microsoft ha pubblicato ieri un avviso tramite il quale dichiara che nella serata di oggi verrà rilasciato un aggiornamento eccezionale per quanto riguarda il browser Internet Explorer.

Succede molto raramente che l'azienda di zio Bill (anzi, adesso zio Steve) rilasci aggiornamenti al di fuori del tradizionale ciclo mensile normalmente previsto (l'ultimo dei quali è stato tra l'altro piuttosto corposo), e ciò è dovuto alla presenza di quelle che in gergo si chiamano falle "zero-day", che altro non sono che dei bugs e/o delle vulnerabilità non ancora coperte e risolte dalle patch.

Il problema che affligge attualmente il browser di Windows può essere sfruttato - secondo Trend Micro - da quasi 10.000 siti appositamente modificati, messi online col preciso scopo di sfruttare il bug (in parole più semplici è sufficiente visitare uno di questi siti con un Internet Explorer non patchato per infettarsi).

La patch, come detto, dovrebbe essere messa online tra circa un'oretta, verso le 19. Se proprio non riusciamo a sbarazzarci non dico di Windows, ma almeno di Internet Explorer, direi che è il caso di installarla.


Aggiornamento 21,50.

ZeusNews segnala che la patch rilasciata da Microsoft ha avuto una "gestazione" di soli otto giorni. Si tratta della patch che ha battuto tutti i record di velocità - riferiti a quello che è lo standard Microsoft - tra la scoperta di una vulnerabilità e la pubblicazione del rimedio.

AVG si scusa offrendo un anno di licenza gratuita

Qualche giorno fa - forse qualcuno ne avrà sentito parlare - il noto antivirus AVG ha mandato in palla qualche milionata di pc, con a bordo Windows Xp, a causa della distribuzione di un errato aggiornamento del suo software antivirus. In pratica, dopo questo update, AVG riconosceva come trojan due file di sistema vitali per il funzionamento di Windows, e cioè user32.dll e winsrv.dll, consigliandone la rimozione. Ovviamente tutti quelli che hanno rimosso i due files in questione, si sono poi ritrovati col pc buono giusto come soprammobile. In breve tempo, anche se ormai il danno era fatto, è stato pubblicato il rimedio per cercare di rimettere le cose a posto, rimedio a cui sono seguite le scuse pubbliche della software house per l'errore commesso.

Alcune testate specializzate (qui prnewswire.de e qui hwupgrade.com) segnalano oggi che, oltre alle scuse ufficiali, è intenzione dell'azienda regalare ai clienti vittime dell'aggiornamento difettoso un anno di licenza gratuita del proprio software. Gli interessati verranno contattati direttamente dalla casa, a partire dal 24 novembre prossimo, per concordare le modalità dell'operazione. Il gesto dell'azienda mi pare meritevole, ma non posso esimermi dal fare una breve considerazione.

A mio parere, in generale, spendere soldi per acquistare un antivirus è una cosa totalmente priva di senso (almeno per i normali utenti casalinghi); non solo perché in circolazione esistono antivirus gratuiti più che validi, ma perché spendere soldi per tenere a bada le magagne dei vari Windows mi fa un effetto strano. Ci pensi Microsoft! E' come se io avessi una macchina di una certa marca che ha il difetto di perdere ogni tanto una ruota e dovessi pagare per montare sulla suddetta macchina un dispositivo che risolve tale difetto: ci pensi la casa costruttrice.

Barack Obama, il relativo malware è già in circolazione

Non hanno evidentemente perso tempo gli untori della rete. Appena 12 ore dopo la proclamazione della vittoria di Obama, e relativo discorso, erano già in circolazione più e-mail truffaldine che, fingendo di comunicare ai destinatari i dati precisi sui risultati delle elezioni, in realtà installavano nel pc degli ignari utenti un trojan, che The Register identifica come Trojan-PSW:W32/Papras.CL.

Il trucchetto utilizzato è molto semplice, e si avvale dell'invio a ignari utenti di un messaggio tipo questo:

(fonte immagine: xenicom.net)

Il mittente (falso anche quello, ovviamente) può essere quello dell BBC, della CNN o anche di una fonte governativa americana. Sempre secondo quanto riporta The Register, cliccando sul link si viene reindirizzati verso una pagina web in cui è presente un video di Obama, per vedere il quale, però, è richiesto il download di un file .exe che apparentemente dovrebbe essere un aggiornamento di Adobe Flash Player, indispensabile per poter visualizzare correttamente il filmato.

Ovviamente il file infetto si nasconde proprio nel finto aggiornamento, che una volta scaricato e aperto installa nel pc il trojan che accennavo sopra.

Non ho notizie, per ora, della diffusione di questa e-mail in Italia, ma tenere gli occhi aperti - specialmente se si usa Windows - evitando accuratamente di cliccare su qualsiasi link che ci piove nella casella di posta, non fa mai male.

Ad Angelina Jolie non si resiste (e ci si infetta)

Arstechnica, in un suo articolo di una ventina di giorni fa, riportava come la maggior parte delle e-mail spazzatura e veicola-virus attualmente in circolazione utilizzino il trucchetto trito e ritrito di promettere la visione di spezzoni di filmati, rigorosamente senza veli (altrimenti chi ci casca?), di bellone famose (e formose) e star internazionali.

In questo periodo pare che vada per la maggiore la bella e avvenente moglie di Brad Pitt: Angelina Jolie (foto).

In pratica, l'e-mail che piove nelle caselle di posta degli utenti contiene un allegato dal nome tipo video-nude-anjelina.avi.exe o simili, che stando a quanto riportato nella stessa e-mail dovrebbe essere il famoso video di Angelina senza veli, ma che una volta aperto dall'allegra orda di allupati maschietti, frementi all'idea di vedere la gentil donzella in tenuta discinta, installa invece nel loro pc un bel trojan chiamato Trojan.Agent.AGGZ.

Curioso a questo proposito notare come nel 2008 venga ancora utilizzato e sfruttato il vecchio, ma evidentemente sempre efficace, trucchetto della doppia estensione del file (in questo caso .avi seguito da .exe), che su un sistema Windows configurato per nascondere l'estensione dei files conosciuti (impostazione in genere attiva di default) può contribuire a giocare dei brutti scherzi in presenza di e-mail di questo tipo.

Ma la cosa ancora più curiosa, e per certi versi inquietante, è che queste e-mail si ripresentano ciclicamente (generalmente a cadenza annuale), ogni volta mietendo lo stesso numero di vittime, se non più elevato. L'e-mail di Angelina Jolie, ad esempio, non è una novità di quest'anno, ma ha già fatto la sua comparsa e i suoi danni (seppur con modalità tecniche differenti) anche nel 2007, mentre Repubblica parlava già di questa piaga in un suo articolo addirittura del 2005. Verrebbe da dire che l'esperienza non insegna niente.

Da qualche anno - come ben sanno i miei lettori più affezionati - mi interesso, tra le altre cose, di quello che accade nel mondo di internet, della sua evoluzione, e ancora oggi mi stupisco di fronte alla potenza del social engineering. Di come sia capace, se opportunamente sfruttato, di sgretolare tutti i muri che si costruiscono basandosi sull'esperienza e sul buon senso (che in rete è un requisito fondamentale per quanto concerne la sicurezza).

Se basta la promessa di 20 secondi di filmato "hard" per far cadere tutto questo, direi che agli spammer e criminali informatici vari difficilmente si riuscirà a mettere i bastoni tra le ruote.

L'e-mail di Ennio Zibris sui rimborsi di Trenitalia è una truffa

Mi sono arrivate da un paio di lettori le segnalazioni di una e-mail apparentemente spedita da Trenitalia. Ecco il testo:

Oggetto: I: xxxxxxxxxx@alice.it U: xx L: xx T: x N: panda Trenitalia - Notifica Rimborsi Ritardi

Gentile Viaggiatore,

Ferrovie dello Stato è lieta di informarla che dal 1° Maggio 2008 è possibile richiedere il rimborso sui ritardi effettuati su tutte le tratte nazionali.

A seguito di ciò, la informiamo che da un nostro controllo contabile, le spetta un rimborso di Euro 324,00.

La invitiamo a visualizzare il modulo in allegato, e seguire le istruzioni per farci pervenire tale modulo.

N.B.
Il rimborso avverrà mediante bonifico bancario entro e non oltre 5 giorni lavorativi dalla ricezione.


-------------------------------------------------------------------------------------------------------

Certi di averle fatto cosa gradita
Porgiamo Distinti Saluti

Ennio Zibris
Responsabile Rimborsi
Trenitalia S.p.a.

Come dichiarato dalla stessa Trenitalia sul suo sito ufficiale, questa e-mail è una truffa. Aprendo infatti l'allegato al messaggio si viene reindirizzati a un sito chiamato rimborsi-online.com (attualmente irraggiungibile) dal quale - secondo quanto riportato da voceditalia.it - si scarica un modulo chiamato A3345/08.

Tale modulo, apparentemente innocuo, installa in realtà nel pc un'applicazione, probabilmente un keylogger, tramite la quale è possibile carpire dati personali sensibili dell'utente quando questi li digita sulla tastiera.

Anche l'importo del fantomatico rimborso può variare da messaggio a messaggio. Su alcuni siti è riportata la cifra di € 780,00, mentre nell'e-mail in alto, che mi è stata segnalata dai lettori, è di € 324,00. La sostanza truffaldina del messaggio comunque non cambia.

Le raccomandazioni sono ovviamente quelle di sempre: mai cliccare sugli allegati inattesi e dubitare di qualsiasi messaggio che chiede di inserire dati sensibili personali, oppure che rimanda a siti terzi con le stesse finalità.

Attenzione a RaceForTibet.exe, si tratta di un virus

Ultimamente - complici le recenti elezioni politiche - avrete notato che i temi di cui parlo sono generalmente a senso unico: politica, politica e ancora politica. Non che mi dispiaccia parlare di questo, per carità (e dalle statistiche degli accessi al blog pare non dispiaccia neppure a voi), ma ogni tanto mi viene voglia anche di cambiare argomento e parlare d'altro.

Per la precisione oggi voglio tornare, come ai "vecchi" tempi, a parlare di virus informatici, per segnalare che già da un paio di giorni ce n'è in circolazione, tra i tanti, uno che tenta di installarsi nel pc tramite un'e-mail che sfrutta come cassa di risonanza le olimpiadi in Cina.

La notizia è partita dalla società di sicurezza informatica McAfee, ed è stata poi ripresa da vari altri siti compreso TheRegister. Il metodo di infezione è a suo modo curioso, anche se, tutto sommato, non troppo originale. Si riceve in pratica un'e-mail, allegata alla quale si trova un file chiamato appunto racefortibet.exe. Facendoci doppio clic sopra si avvia un breve cartone animato in flash che mostra un ginnasta cinese alle prese con alcuni esercizi. Seguono poi alcune immagini pro-Tibet, tipo questa:

(fonte immagine: PI)

Mentre voi vi guardate il bel filmatino, si installa quatto quatto nel pc, nascosto da un rootkit, un keylogger, uno di quei simpatici programmini che catturano tutto ciò che si digita sulla tastiera e lo inviano al loro "padrone".

In questo caso, per la verità, accorgersi della trappola è abbastanza semplice, in quanto l'allegato non risulta neppure mimetizzato col classico trucchetto della doppia estensione. Ma occorre comunque fare molta attenzione, perché, come è noto, spesso alla curiosità non si comanda.

Il trojan in questione, com'è ormai prassi consolidata, colpisce esclusivamente i sistemi operativi Windows, e quindi gli altri possono stare tranquilli, anche se, ovviamente, la prudenza e il buon senso vanno usati sempre, a prescindere dal tipo di sistema operativo che si utilizza.

Attenzione all'e-mail con mittente Carlo Montorsini: è un virus

Sta da qualche ora circolando con una certa insistenza una nuova e-mail truffaldina. Ecco il testo:


Gentile Cliente, stiamo eseguendo i dovuti accertamenti sul suo sistema informatico, il suo indirizzo email ci è stato segnalato da terzi come fruitore di materiale P2P scaricato illegalmente dalla rete. La sua posta elettronica è sotto controllo già da 10gg, la preghiamo pertanto di voler seguire il seguente link www.i-verify***** dove troverà il modulo per dichiarare la sua estraneità alla detenzione di materiale indebitaménte contraffatto.
Certi di una sua volontaria collaborazione porgiamo Distinti Saluti Carlo Montorsini - Assessments Director Internet VerifyCenter s.p.a 2002-2008


In altre varianti dello stesso messaggio non è presente il link che conduce al fantomatico sito, ma è necessario aprire un apparentemente innocuo allegato con estensione fittizia .zip., all'interno del quale ci sarebbe la fantomatica lista degli indagati per condivisione tramite p2p di materiale protetto da copyright.

Comunque sia, in entrambi i casi si tratta dell'ennesimo tentativo di infezione che fa leva sul timore generato dal fatto di essere stati scoperti a commettere qualcosa di illecito.

Inutile dire che, come tutte le altre volte, l'email non va aperta ma cestinata all'istante.

Basta "grande fratello" sul traffico p2p e nuova ondata di siti web infetti

Sul fronte tecnologico/informatico/legislativo, sono accaduti in questi giorni un paio di fatti piuttosto interessanti che ho pensato di segnalare in un unico post per evitare di essere troppo dispersivo.


La pronuncia del Garante della Privacy

Il primo di questi riguarda - probabilmente alcuni di voi ne saranno già al corrente - la recente pronuncia del Garante della Privacy in merito al noto caso Peppermint, la casa discografica che a maggio dell'anno scorso si è avvalsa di sua iniziativa della consulenza di una società informatica specializzata per monitorare il traffico p2p e risalire così alle generalità degli utenti. Vicenda che ha sollevato, com'era prevedibile, non poche polemiche. In pratica il garante, a conclusione dell'istruttoria avviata sulla suddetta vicenda, ha sentenziato che le richieste della casa discografica sono illegittime.

Si legge infatti su Zeus News:

[...] Il Garante inoltre ha confermato la decisione dei giudici del Tribunale di Roma, confermando che "i fornitori di servizi di comunicazione elettronica, allo stato della legislazione vigente, non possono comunicare i nominativi degli interessati ritenuti responsabili di violazioni del diritto d'autore".

I dati in possesso dei provider, insomma, devono essere consegnati solo in caso di "indagini penali o di tutela della pubblica sicurezza e della difesa nazionale", conformemente a quanto stabilito dalla Corte di giustizia europea chiamata a pronunciarsi su una questione simile. [...]

Siccome pronunciamenti tipo questo hanno solitamente il potere di allentare in molti utenti certi freni inibitori e nel contempo generare strane idee, tipo quella che si sia automaticamente autorizzati a scaricare allegramente a destra e a manca di tutto e di più, vale sempre la pena ricordare che scaricare o condividere file protetti da diritto d'autore è illegale, e può comportare conseguenze anche piuttosto spiacevoli.


Ennesima ondata di siti web infetti

La notizia ha fatto capolino ieri dal blog di McAfee, una delle maggiori aziende specializzate in sicurezza informatica. Secondo questa, alcuni aggressori informatici sarebbero riusciti a mettere in circolazione uno script dannoso che avrebbe infettato almeno 10.000 pagine web.

Brevemente, uno script è generalmente un programma piuttosto semplice e privo di una propria interfaccia grafica. Nel caso in questione è composto da alcune linee di codice che vengono arbitrariamente inserite nell'html di una pagina web, le quali hanno lo scopo di reindirizzare il browser verso siti malevoli appositamente progettati per infettare il pc (Windows) una volta visualizzata la pagina, come riporta anche PI:

"Le pagine Web sono state modificate con un codice che reindirizza in automatico i visitatori a un altro sito web contenente un cocktail di malware che tenta di entrare nel PC dell'utente. I redirect e i tentativi di violazione del PC avvengono senza che il navigatore possa rendersene conto". (...) "Le pagine Web manomesse includono siti comuni, come quelli di viaggi, istituzionali o dedicati al tempo libero. A seguito di questo attacco è importante richiamare l'attenzione di tutti sul fatto che persino i siti web affidabili possono risultare poco sicuri e celare malware".

Ovviamente attacchi di questo tipo non sono una novità. Non si tratta del primo e non sarà certo l'ultimo. Ma questo è interessante per un motivo in particolare, e cioè per il fatto che la vulnerabilità che sfrutta lo script in questione è stata corretta da Microsoft addirittura ad aprile 2006 (MS06-014). Questo dimostra, una volta di più, una cosa risaputa: molti utenti hanno di meglio da fare che tenere aggiornato il proprio sistema operativo. E, come dicevo, questo è già noto da tempo.

I motivi possono essere più di uno: si sono ad esempio verificati casi in cui l'installazione di una patch ha creato più problemi di quelli che doveva risolvere, altri in cui si è resa responsabile di inspiegabili rallentamenti del pc. Molti utenti temono anche una sorta di effetto "grande fratello", immaginando che queste patch vengano utilizzate da Microsoft per intrufolarsi nei pc degli utenti, ignari che invece a zio Bill del contenuto del pc di un utente medio non può fregare di meno.

E così, spesso (troppo spesso), il povero Windows Update se ne sta lì inutilizzato, dando carta bianca ad attacchi informatici come quello di cui sopra che potrebbero essere tranquillamente evitati con un minimo sforzo e un po' più di buon senso. Ma questa è storia nota.

L'e-mail "Sei indagato", con mittente Mauro Biffi, è un trojan

Un lettore, Marco M. (che ringrazio), mi ha segnalato di aver ricevuto questa mattina un'e-mail con questo testo:

Sei indagato. Cerca di nascondere subito tutto, e fai veloce!!! Il tuo nome è comparso questa mattina sul sito del Caff di Roma. Controlla tu stesso sei nella lista di gennaio e indica un indirizzo internet cui collegarsi per una personale verifica. Nel post scriptum si legge 'in ogni caso io non esisto, mi raccomando, non fare mail il mio nome!!!?

Avendo ricevuto solo una segnalazione, lì per lì non ci ho dato molto peso. Poi ho notate che qualcuno cominciava a parlarne e che su Google cominciavano ad apparire i primi risultati, e quindi ho messo da parte la mia filosofica calma e ho fatto qualche piccola indagine.

Il mittente del messaggio (ovviamente falso) è un certo Mauro Biffi, e cliccando sul link presente all'interno si viene reindirizzati a un sito chiamato

http://www.mail-certificata.com/caff/

che, da una rapida ricerca whois, risulta hostato su un server dell'Illinois. Ecco come si presenta:




Il sito che vedete e i vari loghi rappresentati al suo interno sono completamente falsi, e cliccando sul link "Click here to view list" si scarica un eseguibile chiamato pdf-01-2008.exe (notate l'astuzia nel nominare il file facendolo iniziare con un rassicurante "pdf"):




Una rapida analisi online consente di smascherare il tentativo di infezione: si tratta infatti di un trojan (report qui). Da notare che (almeno al momento in cui scrivo) non tutte le aziende produttrici di antivirus hanno rilasciato le definizioni aggiornate per questo file, tanto è vero che ad esempio kapersky e alcuni altri non lo riconoscono come infetto (come potete vedere nel report che ho linkato).

Quindi, se state utilizzando un sistema operativo Windows, evitate assolutamente di scaricare il file: l'antivirus che avete installato potrebbe essere tra quelli che ancora non fiutano il pericolo.

Sul metodo di infezione niente di nuovo da dire. Il meccanismo è di quelli già visti altre volte in precedenza e fa leva sulla paura generata dal fatto di essere stati beccati in flagrante a combinare qualcosa di poco lecito. Il testo non specifica nulla al riguardo, ma l'ignaro utente potrebbe di primo acchito pensare di essere stato identificato e inserito in un elenco di nomi di persone beccate ad esempio a scaricare materiale illecito da qualche circuito p2p.

E proprio questa incertezza è la molla che spinge (e purtroppo spingerà) molti utenti a scaricare incuriosito questa fantomatica lista per sapere di cosa si è accusati.

Il ritornello è sempre quello, questa volta, come nelle precedenti, come in quelle future: non date retta a niente di quello che vi piove nella casella di posta, tanto meno se si tratta di messaggi portatori di una qualche forma, più o meno velata, di intimidazione o minaccia. Il concetto è semplice: tutti i messaggi che vi arrivano sono delle bufale fino a prova contraria.

Lo so, a volte può risultare difficile capire se si è di fronte a un tentativo di raggiro, ma in genere è sufficiente una breve googlata per togliersi ogni dubbio.

Giovanni Maria Valtramonti, il ritorno dello spam dell'avvocato

Leggo in giro su siti e forum (un paio di lettori me l'hanno anche segnalato via e-mail) che sta tornando in auge in questo periodo una e-mail che sembra provenire dall'avvocato che vedete nel titolo. Tramite questa, il sedicente legale ci intima di smetterla di inviargli ingiurie ed infamie che a suo dire proverrebbero proprio dal nostro indirizzo di posta elettronica.

Questo messaggio, che come dicevo sta piovendo nelle caselle di posta di molti utenti proprio in questi giorni, è una variante della più nota "e-mail dell'avvocato", che ha inondato a più riprese le caselle di posta di molte persone a partire dalla fine del 2006. Cambia il messaggio e i "personaggi", ma la sostanza (truffaldina) è quella.

Ecco il testo della versione più recente:

Salve, Il mio nome è Giovanni Maria Valtramonti, le scrivo in quanto risulta che dal suo indirizzo di posta elettronica mi siano state inviate ripetutamente ingiurie ed infamie. Al fine di porre fine a tale torpiloquio speso nei miei confronti senza nessuna fondata ragione ed ancora, leggendo la posta sul mio computer anche i miei figli, mi sono trovato costretto a sporgere una denuncia nei Suoi confronti tramite una Società di sicurezza informatica ( Network Managment Security ) che si occuperà di confermare la proprietà dell'email incriminata attraverso un servizio di condanna o revoca della suddetta denuncia per atti telematici a mezzo di posta elettronica. Le ricordo inoltre che il suo computer potrebbe essere infetto e che quindi l'email in questione non appartenga affatto a Lei ed in questo caso le farei le mie scuse per il distrubo In ogni modo al fine di non far procedere l'avvocato M. Rufchrt della suddetta società con la richiesta, da me effettuata, di risarcimento danni, la consiglio caldamente di prendere contatto attraverso il form che N.M.S. le ha messo a disposizione per procedere all'identificazione di questo indirizzo di email Cordialmente la saluto Dott. Giovanni Maria Valtramonti

Nel messaggio compaiono tre link (che ho omesso) cliccando sui quali si viene reindirizzati a un sito hostato su un server in Cina, che si presenta così:




La versione italiana di questa pagina, con altri dati tecnici sul tipo di virus che si installa nel pc cliccando su qualcuno dei link, la trovate qui.

Come tutte le altre volte, il consiglio è sempre quello di non abboccare a questi messaggi trappola. Messaggi che hanno il loro punto di forza nel "timore reverenziale" che può farsi strada nell'ignaro utente alla vista di una e-mail inviata da uno studio legale.

La regola da seguire, quindi, è sempre quella: cestinare il tutto senza indugi.

Senzaerrori.com, un virus che vuole "aiutarti"

Forse qualcuno di voi ricorderà il mitico Drivecleaner, il tentativo di infezione del pc che faceva leva sulla paura che qualcuno venisse a sbirciare i "residui" dei siti visitati mettendo così a rischio la nostra privacy. In quel caso bastava scaricare un piccolo programmino per evitare questo rischio beccarsi un bel virus.

Pare stia circolando con una certa insistenza (me ne sono accorto googlando un po') una specie di clone (o comunque qualcosa di molto simile) che ieri sera ci ha provato anche con me. Ho catturato al volo le varie schermate e ve le riporto qui sotto, così se doveste incapparci anche voi sapete cosa dovete fare.

La finestra si apre all'improvviso mentre state tranquillamente navigando, complice, probabilmente, una gestione "leggera" delle impostazioni avanzate dei javascript del browser. Tali impostazioni, se usate Firefox, in condizioni di sicurezza dovrebbero essere impostate nel modo che vedete qui sotto (non ho al momento sul mio pc un sistema Windows e quindi non conosco la relativa procedura per Internet Explorer: se qualcuno la conosce e la vuole riportare nei commenti si può accomodare tranquillamente):




Il meccanismo di infezione, come dicevo, è analogo a Drivecleaner. All'apertura della nuova finestra il browser viene automaticamente reindirizzato a un sito che si chiama http://senzaerrori.com., che si presenta con questa schermata:




Se avete installato il componente aggiuntivo McAfee SiteAdvisor (se non l'avete potete scaricarlo da qui) potete vedere dalla relativa icona di color rosso, in basso a destra, che ci si trova in presenza di un sito che dovrebbe mettere sul chi va là, come ci conferma il rapporto dettagliato che si ottiene cliccando sull'icona stessa (qui).

Se, oltre a questo, avete installato il plugin per Firefox ShowIp, potete vedere direttamente visualizzato (la serie di numerini affiancati all'icona di MSA) l'indirizzo ip del sito e da lì effettuare una veloce ricerca whois.

Terminato il caricamento del sito truffaldino, si aprono un paio di finestre in sequenza. Questa:




E questa:




Ovviamente, cliccando su "Ripara il servizio adesso!", non si ripara in realtà un bel niente, anzi, la "riparazione" la dovrete eventualmente fare dopo proprio per eliminare il virus che si installa nel pc:




Visto che, come vedete qui sopra, si tratta di un eseguibile Windows (che ovviamente non può girare su Linux), mi scarico il file sul desktop, apro uno dei tanti analizzatori di file online e glielo dò in pasto. Ecco, come volevasi dimostrare, il responso:



Mi pare ci sia a questo punto ben poco da aggiungere. La tecnica usata è come al solito subdola, nel più classico dei metodi "come ti convinco ad infettarti da solo", e fa leva sulle gravi minacce che sarebbero contenute all'interno del pc.

Minacce che ovviamente non esistono, se non nelle intenzioni di chi ci vuole infettare.