• Pages

  • Home

• Categories

  • About Suspectfile
  • Lifestyle
  • Software
  • Uncategorized
  • Virus, Trojans & Worms
  • Web & Internet

• Recently Written

  • Eset: aggiornati i prodotti business
  • Browser Test 2013, ecco qual è il più sicuro
  • Wordpress: nuove vulnerabilità in alcuni plugin
  • Falsa email Euronics nasconde il trojan Vundo
  • Ministero Sviluppo Economico, carta carburante da 500 euro con lo sconto dell’80%, ma è una truffa

• Archives

  • maggio 2013
  • aprile 2013
  • maggio 2012
  • aprile 2012
  • gennaio 2012
  • dicembre 2011
  • giugno 2011
  • maggio 2011
  • aprile 2011
  • marzo 2011
  • febbraio 2011
  • gennaio 2011
  • dicembre 2010
  • novembre 2010
  • giugno 2010
  • aprile 2010
  • marzo 2010
  • dicembre 2009
  • novembre 2009
  • ottobre 2009
  • settembre 2009
  • maggio 2009
  • febbraio 2009
  • gennaio 2009
  • dicembre 2008
  • novembre 2008
  • settembre 2008
  • agosto 2008
  • luglio 2008
  • aprile 2008
  • marzo 2008
  • febbraio 2008
  • dicembre 2007
  • novembre 2007
  • ottobre 2007
  • settembre 2007
  • maggio 2007
  • aprile 2007
  • marzo 2007
  • febbraio 2007
  • gennaio 2007
  • dicembre 2006
  • novembre 2006
  • settembre 2006

• Admin

  • Collegati
  • Wordpress

Se prima era considerato come un prodotto per nulla “performante” e poco affidabile contro i malware ora, con questa nuova versione, l’azienda con sede a Cupertino ha voluto dare, sicuramente, un taglio con il recente passato.
Dopo il rilascio della prima beta pubblica, un lavoro durato diversi mesi che ha visto impegnate centinaia di persone, un forum pubblico dove chiunque poteva esprimere le proprie impressioni e suggerire eventuali miglioramenti, è stata lanciata sul mercato la release definitiva di Norton antivirus e Norton Internet Security versioni 2009.
Ho avuto modo di testare due pre-release (NIS2009) e, finalmente, quella finale tutt’ora installata che ti permette il suo utilizzo gratuito per 15 giorni. Beh, che dire? “Tanto di cappello” alla Symantec ed al suo team per l’ottimo lavoro fatto.
Veste grafica totalmente rivista, di facile comprensione per l’utente e totalmente configurabile.
Ma la prima impressione positiva l’ho avuta già durante l’installazione che è stata veloce e dove non ho riscontrato nessun problema, tanto per la cronaca vi scrivo che anche un’eventuale disinstallazione si risolve in pochissimi minuti.
Integra un modulo d’aggiornamento delle impronte virali totalmente nuovo con un controllo che avviene ogni 5/15 minuti ed in modo automatico.
Ottimo il motore di scansione, veloce e sicuro dà modo all’utente di rimuovere facilmente eventuali minacce trovate.
In Norton Protection System vengono raccolti quelli che possiamo definire il cuore della sicurezza offerta dal nuovo prodotto:
Browser Protection – contro attacchi complessi basati sul web
Tecnologia comportamentale SONAR – protegge da minacce non conosciute
IPS (Intrusion Prevention System) – protegge da attacchi multimediali
Protezione Antibot
ed infine uno strumento di recovery in caso di gravi infezioni dovute a malware

Due parole infine su quello che forse più interessa, l’affidabilità del prodotto.
Riguardo la durata della scansione che davvero è stata molto migliorata oserei dire dimezzata, quello che mi ha impressionato positivamente è l’alta percentuale di malware rilevato, migliorata del 25/30% rispetto l’ultimo test da me effettuato nell’ottobre dello scorso anno.
Che altro dire ah sì ancora una cosa, l’euristica. Ottima e con una tecnologia rispetto ad altri prodotti sicuramente più avanzata avendo di conseguenza un’incidenza praticamente nulla nei falsi positivi.
Leggevo nei giorni scorsi i test effettuati su un vasto campione di software (Av-Test.org – AV-Comparatives.org) e quello che mi ha colpito ma che avevo avuto già modo di verificare personalmente sono stati proprio gli elevati falsi avuti in software che comunque risultano nelle posizioni alte della graduatoria.
Personalmente la mia scelta cadrebbe sicuramente verso quel prodotto con magari un minor numero di rilevamenti ma che sia in grado di darmi certezze e non dubbi.

Infine una considerazione del tutto personale, un blog in fondo serve anche a questo ricordando e sottolineando che ne’ io, ne’ SuspectFile siamo collegati in maniera diretta od indiretta con alcuna azienda del settore.
Da anni non usavo, se non per test, prodotti Symantec visti gli scarsi risultati ottenuti. Lo scorso anno ero rimasto impressionato positivamente da Panda Security, con questa nuova release la Symantec mi ha fatto nuovamente innamorare di questo prodotto.
Se c’è un antivirus od una suite che oggi consiglierei è sicuramente quella di casa Symantec.

Ci è stato segnalato che il sito web federconsumatori.it, nato per la
salvaguardia dei diritti del consumatore, è stato compromesso da ignoti
al fine di installare Trojan.Mebroot, malware che utilizza tecniche
rootkit e capace di scrivere codice all’interno del Master Boot Record.

L’infezione avviene durante la prima visita nel sito di
federconsumatori.it e la redirezione è fatta mediante uno
codice Javascript presente nel sito, che si attiva
al click del mouse o al suo semplice spostamento.

La redirezione avviene verso i seguenti siti:
hxxp://g[RIMOSSO].com/cgi-bin/index.cgi?chlu
hxxp://d[RIMOSSO].com/cgi-bin/index.cgi?chlu

Il trojan viene installato mediante il kit di attacco Neosploit,
che utilizza diverse tecniche ed exploits per infettare i visitatori.

L’amministratore del sito web è stato allertato
e ora si attende la “bonifica” del sito.

Scaricare software da siti non ufficiali è diventata ormai pratica usuale e, se a questo aggiungiamo
l’irresponsabile indicizzazione di Google, come viene descritta nell’articolo di lufo88, scopriamo che infettarsi con programmi trovati all’interno di siti di dubbia affidabilità non è poi così un’eventualità del tutto remota.

Questo argomento è stato trattato decine di volte e lo si può leggere facilmente all’interno di siti o forum dove vengono spiegati soprattutto i passaggi per un corretto ripristino dei computer, poco o nulla viene spiegato del perché tutto ciò accada e cosa o chi si celi dietro tutto questo.

I danni causati da questi malware verranno descritti solo marginalmente, quello che mi è sembrato più interessante descrivere, appunto, è l’impressionante ragnatela che si tesse dietro questo che è, a tutti gli effetti, un vero e proprio business; scopriremo che gli artefici di tutto questo sono, ancora una volta vere e proprie organizzazioni anche se, ed è qui la sorpresa, tutto è previsto, spiegato nella licenza d’uso presente all’interno di ogni software e che quasi mai viene letta.

Ho preso in esame l’installer di messengerskinner, un programma per aggiungere emoticon a quelle già presenti in Live Messenger, lo stesso risultato lo si poteva ottenere con l’installer non ufficiale di eMule o quello altrettando falso di µTorrent ma anche di molti altri software scaricati da siti non ufficiali e presenti all’interno di siti fraudolenti creati per lo scopo.

Una volta eseguito il file d’installazione e selezionata la lingua

si può iniziare con la vera e propria installazione

a questo punto voglio soffermarmi su quello che è il primo riscontro, la licenza d’uso appunto.

Dall’immagine si può leggere che il sito da dove è stato scaricato il programma appartiene alla Favorit International, società con sede in Russia.

Continuando a leggere le condizioni d’uso nella parte Generale della licenza, al punto 1.1 vediamo che:
These conditions govern the use of the software and the content by the user as described herein and constitutes a license agreement between the provider and user who indicates that he/she understands and agrees to these conditions and consents to the downloading and the operation of the software on his/her computer.

Le condizioni presenti all’interno della licenza d’uso costituiscono un accordo fra fornitore ed utente dove quest’ultimo comprende ed accetta le suddette condizioni dando inoltre il consenso al download, affermando inoltre di conoscere il funzionamento del programma.

Per tutelarsi meglio (…) il fornitore inserisce nella licenza d’uso al punto 3.2
the software includes an ad-supported engine or component (“component”) necessary for the functioning of the software, and when the user runs it, the software itself will display on the user’s computer advertising messages or other information from the provider or third parties (with whom the provider has concluded relevant agreements) for the purposes of explaining the provider’s services and their correct use, or such other services, promotions and commercial offers that may interest the user.

con questo punto del contratto il fornitore avvisa l’utente della presenza di un motore per annunci pubblicitari, questo per permettere un corretto funzionamento del software ( ? ).

Quello che molto probabilmente gli utilizzatori di questi software non sanno è che, accettando le condizioni del contratto, esimono da ogni responsabilità il fornitore per ogni tipo di forma pubblicitaria essa avvenga durante l’utilizzo del software, ci sarebbe invece da discutere sulle mancate performance del computer, eventualità che invece la società fornitrice esclude.

User acknowledges that provider does not endorse the advertising messages or information/products shown by the software and, therefore, provider makes no warranty and/or representation regarding the advertising messages or information shown and does not accept liability thereof. The advertising messages and any other information will be easily identifiable and will not substantially interfere with other content viewed by the user and/or the performance of the user’s computer.

Ma questi software si comportano anche come spyware?
Certo, e viene anche menzionato al punto 3.3
In modo più o meno rassicurante l’utente viene avvertito che proprio per permettere l’invio di materiale pubblicitario menzionato al punto precedente (3.2), il programma trasmetterà ai server del provider dati quali:
Paese da cui avviene la connessione
Browser utilizzato
Tipo e versione del sistema operativo usato e Service Pack installato
Risoluzione dello schermo
Indirizzo IP
Software utilizzati durante la connessione

The data sent to the provider’s servers by the software will be limited to technical and connection information such as: country of connection, browser default country, operating system version, operating system or browser service packs installed, vertical and horizontal resolution of the monitor screen, ip address of the most recent internet connection and other relevant data or information which will be exclusively processed for the purpose of offering access to and proper use of the website as well as the proper performance and features of the software.

Com’era facile prevedere all’interno del contratto si afferma che
“In no case will the provider be able to identify the user nor will any profile of the user be created. ”

nessun tipo di informazione inviata al provider potrà mai identificare l’utente (…)

Altra parte molto interessante della licenza d’uso è “il componente” che viene aggiunto durante l’installazione, ecco cosa recita il contratto

When the user is connected to the internet, the component will make periodic connections to the provider’s servers in order to check that there are no problems in the access network or the user’s computer. If any error which prevents the normal use of the software is detected on the user’s computer, the component will seek to identify and solve it. Any changes that the component makes to the user’s computer will be to clearly non-essential parts thereof and for the purposes referred to in these conditions. The user requests and authorizes the installation and updating of this component together with the software in accordance with the terms set out in these conditions. The component will carry out the tasks described in these conditions only when the user is connected to the internet, whether using the software or the user’s regular internet connection.

Per componente si deve intendere quello che per le proprie caratteristiche si può e si deve considerare almeno come spyware, anche se per i compiti che svolge lo si può tranquillamente, senza forzature, paragonare più esattamente ad un trojan downloader.

Andiamo a vedere prima di tutto qual è il suo compito.

Nella licenza d’uso viene spiegato che in caso di problemi di funzionamento del software, questo componente effettuerà d’apprima una ricerca degli eventuali errori presenti nel computer dove esso risiede e, nel caso, provvederà a scaricare aggiornamenti o se necessario nuove versioni del software.

Il componente installato viene collocato in WindowsXP nella directory

C:\Documents and Settings\nome utente\Impostazioni locali\Dati applicazioni\

mentre la directory in Windows Vista sarà

C:\users\nome utente\appdata\local\

avremo dei file .dat .bat .exe come presenti in figura, i nomi saranno random ma sempre con le medesime caratteristiche
* = nome random –> il nome sarà identico per tutti i file

*.bat
*.dat
*.exe
*_nav.dat
*_navup.dat
*_navps.dat

valori verranno aggiunti nel registro di sistema

ricordo che i file aggiunti (.exe .bat .dat) possono essere rimossi semplicemente terminando dalla task manager (CTRL+ALT+CANC) il processo *.exe e disinstallando, successivamente, il programma “Favorit” da “Installazione Applicazioni”, il passaggio successivo sarà poi quello di rimuovere il programma che si era installato, nel nostro caso messengerskinner.

Veniamo ora alla parte più interessante, quella relativa all’organizzazione che c’è dietro questo business.
Oltre alle varie finestre pubblicitarie che ci vengono propinate, oltre agli indirizzi e-mail che vengono “catturati” con conseguente invio di spam e chissà cos’altro ancora (…), c’è la parte relativa al guadagno.
Torniamo quindi all’installazione del software.

Finità l’installazione e con connessione internet attiva viene aperta in automatico una finestra del browser si verrà indirizzati nel sito relativo il programma, nel nostro caso hxxp://www.messengerskinner.com/congtrat./[omesso] dove verremo avvisati che l’installazione del programma è andata a buon fine e dove verremo invitati a comporre da telefono fisso o cellulare un numero 899 a pagamento (2.40 euro al minuto iva compresa).

Dietro tutto questo, come già ho avuto modo di scrivere, ci sono ancora una volta società russe, nel nostro caso la Favorit International.

Vediamo allora come si ramifica questa società e da dove tutto ha origine.

L’hoster che ospita l’intera struttura è russo
MASTERHOST (masterhost.ru)
ora non ci resta che capire quale indirizzo IP o quale gruppo di indirizzi IP fanno capo alla “Favorit International”. Effettuando un semplice Whois possiamo stabilire che la società russa occupa un range IP che va dal 87.242.90.128 fino al 87.242.90.159
ecco quali siti possiamo trovare all’interno di questo gruppo IP

backstripgirls.com
blondeglamour.com
crazygirls-world.com
fp.pc-on-internet.com
gad-network.com
games-desktop.com
go-turf.com
gomusic.com
gomusic.net
gorecord.com
hot-tv.com
internet-media-download.com
internetgamebox.com
lastsoftwares.com
mailskinner.com
messengerskinner.com
navi-recherche.com
navi-search.com
navinetwork.com
official-emule.com
pc-on-internet.com
security-notifications.com
serialplayers.com
sudoplanet.com

come si può vedere nella lista è presente anche il “nostro” messengerskinner.com, ecco il grafico completo.
I siti sono stati registrati a nome di più persone ma tutte fanno capo alla stessa società.

E le aziende produttrici di antivirus?
Come si sono mosse per contrastare questo fenomeno che ricordo rasentare la legalità visto che nel contratto tutto comunue è previsto?

Alcune aziende, due o tre ad onor del vero, non curanti, per fortuna aggiungo io, di ciò che è previsto nelle licenze d’uso hanno deciso comunque di combattere questo che ripeto può, e deve, essere considerata un’azione ingannevole nei confronti degli utenti.
Poco importa se tutto è messo nero su bianco, ciò che dovrebbe essere salvaguardata sempre e comunque è la privacy e questo non avviene, anzi.
Altre aziende, le più, nulla hanno fatto o intendono fare. Perchè poi andarsi a creare problemi con possibili beghe giudiziarie?

E’ l’utente allora che deve avere la buona abitudine di leggersi chilometriche licenze d’uso e verificare che non siano presenti condizioni d’uso a lui per nulla favorevoli?
Sì, sembra proprio così. Però da oggi facciamolo con tutti i software che intendiamo installare… chissà che qualcuno non nasconda, a nostra insaputa, qualche scheletro all’interno del proprio… contratto.

Do you want to help SuspectFile?

Comments or questions? E-mail: info@suspectfile.com © 2006

From 24-01-2006 this site has been visited 298459 times