set

11

Malware e business: quando tutto è previsto nella “licenza d’uso”.

Author amvinfe - Filed Under Software, Virus, Trojans & Worms, Web & Internet

Scaricare software da siti non ufficiali è diventata ormai pratica usuale e, se a questo aggiungiamo
l’irresponsabile indicizzazione di Google, come viene descritta nell’articolo di lufo88, scopriamo che infettarsi con programmi trovati all’interno di siti di dubbia affidabilità non è poi così un’eventualità del tutto remota.

Questo argomento è stato trattato decine di volte e lo si può leggere facilmente all’interno di siti o forum dove vengono spiegati soprattutto i passaggi per un corretto ripristino dei computer, poco o nulla viene spiegato del perché tutto ciò accada e cosa o chi si celi dietro tutto questo.

I danni causati da questi malware verranno descritti solo marginalmente, quello che mi è sembrato più interessante descrivere, appunto, è l’impressionante ragnatela che si tesse dietro questo che è, a tutti gli effetti, un vero e proprio business; scopriremo che gli artefici di tutto questo sono, ancora una volta vere e proprie organizzazioni anche se, ed è qui la sorpresa, tutto è previsto, spiegato nella licenza d’uso presente all’interno di ogni software e che quasi mai viene letta.

Ho preso in esame l’installer di messengerskinner, un programma per aggiungere emoticon a quelle già presenti in Live Messenger, lo stesso risultato lo si poteva ottenere con l’installer non ufficiale di eMule o quello altrettando falso di µTorrent ma anche di molti altri software scaricati da siti non ufficiali e presenti all’interno di siti fraudolenti creati per lo scopo.

Una volta eseguito il file d’installazione e selezionata la lingua

File d'installazione

Selezione linguaggio

si può iniziare con la vera e propria installazione

Benvenuti nel programma d'installazione

a questo punto voglio soffermarmi su quello che è il primo riscontro, la licenza d’uso appunto.

Licenza d'uso

Dall’immagine si può leggere che il sito da dove è stato scaricato il programma appartiene alla Favorit International, società con sede in Russia.

Continuando a leggere le condizioni d’uso nella parte Generale della licenza, al punto 1.1 vediamo che:
These conditions govern the use of the software and the content by the user as described herein and constitutes a license agreement between the provider and user who indicates that he/she understands and agrees to these conditions and consents to the downloading and the operation of the software on his/her computer.

Le condizioni presenti all’interno della licenza d’uso costituiscono un accordo fra fornitore ed utente dove quest’ultimo comprende ed accetta le suddette condizioni dando inoltre il consenso al download, affermando inoltre di conoscere il funzionamento del programma.

Per tutelarsi meglio (…) il fornitore inserisce nella licenza d’uso al punto 3.2
the software includes an ad-supported engine or component (“component”) necessary for the functioning of the software, and when the user runs it, the software itself will display on the user’s computer advertising messages or other information from the provider or third parties (with whom the provider has concluded relevant agreements) for the purposes of explaining the provider’s services and their correct use, or such other services, promotions and commercial offers that may interest the user.

con questo punto del contratto il fornitore avvisa l’utente della presenza di un motore per annunci pubblicitari, questo per permettere un corretto funzionamento del software ( ? ).

Quello che molto probabilmente gli utilizzatori di questi software non sanno è che, accettando le condizioni del contratto, esimono da ogni responsabilità il fornitore per ogni tipo di forma pubblicitaria essa avvenga durante l’utilizzo del software, ci sarebbe invece da discutere sulle mancate performance del computer, eventualità che invece la società fornitrice esclude.

User acknowledges that provider does not endorse the advertising messages or information/products shown by the software and, therefore, provider makes no warranty and/or representation regarding the advertising messages or information shown and does not accept liability thereof. The advertising messages and any other information will be easily identifiable and will not substantially interfere with other content viewed by the user and/or the performance of the user’s computer.

Ma questi software si comportano anche come spyware?
Certo, e viene anche menzionato al punto 3.3
In modo più o meno rassicurante l’utente viene avvertito che proprio per permettere l’invio di materiale pubblicitario menzionato al punto precedente (3.2), il programma trasmetterà ai server del provider dati quali:
Paese da cui avviene la connessione
Browser utilizzato
Tipo e versione del sistema operativo usato e Service Pack installato
Risoluzione dello schermo
Indirizzo IP
Software utilizzati durante la connessione

The data sent to the provider’s servers by the software will be limited to technical and connection information such as: country of connection, browser default country, operating system version, operating system or browser service packs installed, vertical and horizontal resolution of the monitor screen, ip address of the most recent internet connection and other relevant data or information which will be exclusively processed for the purpose of offering access to and proper use of the website as well as the proper performance and features of the software.

Com’era facile prevedere all’interno del contratto si afferma che
In no case will the provider be able to identify the user nor will any profile of the user be created.

nessun tipo di informazione inviata al provider potrà mai identificare l’utente (…)

Altra parte molto interessante della licenza d’uso è “il componente” che viene aggiunto durante l’installazione, ecco cosa recita il contratto

When the user is connected to the internet, the component will make periodic connections to the provider’s servers in order to check that there are no problems in the access network or the user’s computer. If any error which prevents the normal use of the software is detected on the user’s computer, the component will seek to identify and solve it. Any changes that the component makes to the user’s computer will be to clearly non-essential parts thereof and for the purposes referred to in these conditions. The user requests and authorizes the installation and updating of this component together with the software in accordance with the terms set out in these conditions. The component will carry out the tasks described in these conditions only when the user is connected to the internet, whether using the software or the user’s regular internet connection.

Per componente si deve intendere quello che per le proprie caratteristiche si può e si deve considerare almeno come spyware, anche se per i compiti che svolge lo si può tranquillamente, senza forzature, paragonare più esattamente ad un trojan downloader.

Andiamo a vedere prima di tutto qual è il suo compito.

Nella licenza d’uso viene spiegato che in caso di problemi di funzionamento del software, questo componente effettuerà d’apprima una ricerca degli eventuali errori presenti nel computer dove esso risiede e, nel caso, provvederà a scaricare aggiornamenti o se necessario nuove versioni del software.

Il componente installato viene collocato in WindowsXP nella directory

C:\Documents and Settings\nome utente\Impostazioni locali\Dati applicazioni\

mentre la directory in Windows Vista sarà

C:\users\nome utente\appdata\local\

avremo dei file .dat .bat .exe come presenti in figura, i nomi saranno random ma sempre con le medesime caratteristiche
* = nome random –> il nome sarà identico per tutti i file

*.bat
*.dat
*.exe
*_nav.dat
*_navup.dat
*_navps.dat

Clicca per ingrandire

valori verranno aggiunti nel registro di sistema

Clicca per ingrandire
Clicca per ingrandire

ricordo che i file aggiunti (.exe .bat .dat) possono essere rimossi semplicemente terminando dalla task manager (CTRL+ALT+CANC) il processo *.exe e disinstallando, successivamente, il programma “Favorit” da “Installazione Applicazioni”, il passaggio successivo sarà poi quello di rimuovere il programma che si era installato, nel nostro caso messengerskinner.

Veniamo ora alla parte più interessante, quella relativa all’organizzazione che c’è dietro questo business.
Oltre alle varie finestre pubblicitarie che ci vengono propinate, oltre agli indirizzi e-mail che vengono “catturati” con conseguente invio di spam e chissà cos’altro ancora (…), c’è la parte relativa al guadagno.
Torniamo quindi all’installazione del software.

Finità l’installazione e con connessione internet attiva viene aperta in automatico una finestra del browser si verrà indirizzati nel sito relativo il programma, nel nostro caso hxxp://www.messengerskinner.com/congtrat./[omesso] dove verremo avvisati che l’installazione del programma è andata a buon fine e dove verremo invitati a comporre da telefono fisso o cellulare un numero 899 a pagamento (2.40 euro al minuto iva compresa).

Clicca per ingrandire

Dietro tutto questo, come già ho avuto modo di scrivere, ci sono ancora una volta società russe, nel nostro caso la Favorit International.

Vediamo allora come si ramifica questa società e da dove tutto ha origine.

L’hoster che ospita l’intera struttura è russo
MASTERHOST (masterhost.ru)
ora non ci resta che capire quale indirizzo IP o quale gruppo di indirizzi IP fanno capo alla “Favorit International”. Effettuando un semplice Whois possiamo stabilire che la società russa occupa un range IP che va dal 87.242.90.128 fino al 87.242.90.159
ecco quali siti possiamo trovare all’interno di questo gruppo IP

backstripgirls.com
blondeglamour.com
crazygirls-world.com
fp.pc-on-internet.com
gad-network.com
games-desktop.com
go-turf.com
gomusic.com
gomusic.net
gorecord.com
hot-tv.com
internet-media-download.com
internetgamebox.com
lastsoftwares.com
mailskinner.com
messengerskinner.com
navi-recherche.com
navi-search.com
navinetwork.com
official-emule.com
pc-on-internet.com
security-notifications.com
serialplayers.com
sudoplanet.com

come si può vedere nella lista è presente anche il “nostro” messengerskinner.com, ecco il grafico completo.
I siti sono stati registrati a nome di più persone ma tutte fanno capo alla stessa società.

Clicca per ingrandire

E le aziende produttrici di antivirus?
Come si sono mosse per contrastare questo fenomeno che ricordo rasentare la legalità visto che nel contratto tutto comunue è previsto?

Alcune aziende, due o tre ad onor del vero, non curanti, per fortuna aggiungo io, di ciò che è previsto nelle licenze d’uso hanno deciso comunque di combattere questo che ripeto può, e deve, essere considerata un’azione ingannevole nei confronti degli utenti.
Poco importa se tutto è messo nero su bianco, ciò che dovrebbe essere salvaguardata sempre e comunque è la privacy e questo non avviene, anzi.
Altre aziende, le più, nulla hanno fatto o intendono fare. Perchè poi andarsi a creare problemi con possibili beghe giudiziarie?

E’ l’utente allora che deve avere la buona abitudine di leggersi chilometriche licenze d’uso e verificare che non siano presenti condizioni d’uso a lui per nulla favorevoli?
Sì, sembra proprio così. Però da oggi facciamolo con tutti i software che intendiamo installare… chissà che qualcuno non nasconda, a nostra insaputa, qualche scheletro all’interno del proprio… contratto.

Comments

53 Responses to “Malware e business: quando tutto è previsto nella “licenza d’uso”.”

  1. Miriam on settembre 21st, 2008 9:44 am

    capisco tutto, puo magari anche essere vero ma se la cosa che ti fanno te la dicono nel contratto non è mica fuori legge magari eticamente si possono criticare ma se la cosa non ti va bene allora non usi il prodotto

  2. amvinfe on settembre 21st, 2008 3:46 pm

    Ciao Miriam :)
    esattamente quello che ho scritto.
    Eticamente scorreto, ma è tutto previsto nella licenza d’uso.

    Ciao
    Marco

  3. Miriam on settembre 21st, 2008 7:20 pm

    quindi la scoperta dell’acqua calda

  4. amvinfe on settembre 21st, 2008 9:25 pm

    se per te è acqua calda buon per te, sfortunatamente o fortunatamente non siamo tutti uguali e quello che puoi sapere tu può non essere conosciuto da altre persone.

    Ciao
    Marco

  5. Giuseppe on settembre 27th, 2008 9:59 pm

    Grazie marco!
    altro che acqua calda…
    da settimane non riuscivo a capire perchè mi si aprissero finestra pubblicitarie on richieste, davo la colpa a google a yahoo a facebook a hamachi, avviavo scansioni antivirus antimalware antispyware ma nessuna trovava niente… il mio computer sembrava completamente a posto.
    Poi vado nel task manager… incomincio a disinstallare i programmi che forse ne erano la causa… ma niente… poi vedo un programma… Favorit… non so cos’è e nè quando lo ho installato allora cerco su google e trovo il tuo articolo… ora tutto mi è chiaro… tutta colpa di messengerskinner… e non mi si dica che nella licenza d’uso c’è scritto… sicuramente non c’è scritto che quel programma ti rende impossibile la navigazione e ti ruba gli indirizzi email… ora lo disinstallo.

  6. amvinfe on settembre 28th, 2008 11:11 am

    Grazie a te Giuseppe per la tua testimonianza ;)

    buona domenica.

  7. Paolo on ottobre 13th, 2008 5:47 pm

    Quoto Giuseppe, mi hai risolto una bella menata!!

  8. Pulciaro on ottobre 14th, 2008 12:27 pm

    Ringrazio moltissimo per questa pagina di spiegazione!!!

    Ho risolto il problema di malware che aveva un utente presso il quale stavo effettuando un intervento!

  9. big_bull on ottobre 15th, 2008 10:18 pm

    salve, innanzitutto complimenti per la pagina dedicata a questo fastidiosissimo problema ma desidero chiedere una cosa, ossia: io nn ho installato messengerskinner ma il programma favorit me lo son trovato lo stesso nella lista programmi. Ergo…. da dove è arrivato? Grazie in anticipo per la risposta

  10. amvinfe on ottobre 16th, 2008 8:11 am

    Innanzitutto grazie per le vostre testimonianze ;)

    Riguardo il problema descritto da big_bull, sono davvero davvero molti i programmi che possono causare il problema come descritto nell’articolo. Posso consigliarti d’iscriverti nel nostro forum
    http://www.suspectfile.com/forum/index.php e aprire una tua discussione all’interno di questa sezione http://www.suspectfile.com/forum/viewforum.php?f=4
    Ti seguiremo passo-passo e cercheremo di capire quale può essere stata la causa ;)

    Ciao

  11. ziodario on novembre 15th, 2008 10:17 am

    ho letto tutto interessante.Non ho questo problema ma ne ho un altro:Software Distribution Service.mi sono trovato questa cartella in C: tra i programmi e il ripristino di sistema disabilitato (a quanto pare siamo in molti):mi sai dire qualcosa di piu’ tu??? grazie

  12. amvinfe on novembre 15th, 2008 4:29 pm

    Ciao ziodario,

    Durante un aggiornamento Microsoft è stato installato questo software (Software Distribution Service) e da allora molti utenti hanno problemi seri, uno di questi è un vistoso rallenatamento delle prestazioni del pc.

    Alcuni sono riusciti a risolvere portando la macchina ad una data precedente l’installazione degli Update, altri invece hanno riscontrato che il problema era dovuto all’incompatibilità con un software per la sicurezza, ZoneAlarm.
    Non so se questa può essere la causa del tuo problema.

    Se può esserti d’aiuto
    http://www.microsoft.com/communities/newsgroups/en-us/default.aspx?dg=microsoft.public.windowsupdate&tid=7a6006e5-090f-4414-a9bf-97fb66c215d1&cat=&lang=&cr=&sloc=&p=1

  13. Ooliba on novembre 18th, 2008 4:28 pm

    anche io nei programmi mi sono ritrovata favorit anche se non ho installato messengerskinner e ti ringrazio perchè grazie a questo articolo l’ho disinstallato

  14. amvinfe on novembre 21st, 2008 12:29 am

    Ooliba,

    grazie per il tuo contributo ;)

  15. Irene on gennaio 22nd, 2009 7:16 pm

    Grazie amico, sei grande…
    proprio oggi, stanca di quelle finestre pubblicitarie che, se pur la mia google toolbar blocca, si accumulano all’infinito in basso e mi tocca chiudere una alla volta quando stacco, ho deciso di esplorare il pannello di controllo a caccia del maledetto programma responsabile di tutto questo ed infatti, ecco “favorit”… non sapendo cosa fosse ma insospettita dalla mancanza del link informativo ho interrogato mago google ed eccomi giunta fino a te e a questo illuminantissimo articolo; so esattamente quando l’ho contratto: scaricando uno di quei programmi (non ricordo il nome) che hanno la pretesa di scansionare il pc alla ricerca di errori e di correggerli, eppure ero stata così attenta in fase d’installazione e poi, non ha fatto quello che prometteva, l’ho cancellato e mi ha lasciato lo stesso un suo ricordo. Comunque, adesso che ho cancellato favorit, non si aprono tante finestre, ma qualcuna sì! Potrebbe non essere finita? Ora che ci penso ne avevo scaricato due di quei programmi! Sapresti dirmi come si chiamano i simil favorit più conosciuti???
    GRAZIE e ciao

  16. amvinfe on gennaio 22nd, 2009 9:47 pm

    Ciao Irene,
    eliminare la voce “Favorit” da “Installazione Applicazioni” risolve solo parzialmente il problema se sono presenti anche altri “certificati” all’interno del tuo pc.

    La procedura di rimozione se spiegata qui nel blog diventerebbe assai complicata; puoi però, verresti seguita passo-passo durante la rimozione del malware, iscriverti nel nostro forum ed aprire una tua discussione all’interno della sezione “Please help me!” ( http://www.suspectfile.com/forum/viewforum.php?f=4 ) facendo riferimento anche a questo articolo del blog ;)

    Ti aspettiamo,

    Marco.

  17. Matteo on marzo 12th, 2009 3:06 pm

    SEI UN GRANDE !!!
    Io mi sono beccato favorit..ma non con messengerskinner..
    penso di averlo beccato..leggendo dalla lista precisa che hai redatto..dal sito di official-emule..da dove mi son scaricato emule..
    A questo punto mi domando..allora quel sito..cioè official-emule non è il vero sito di emule??? e poi è meglio che disinstallo anche emule adesso???
    Io per risolvere il problema ho usato il programmino combofix..leggendo in alcuni forum..l’ho appena usato e mi sa che ha funzionato..dopo il suo utilizzo mi è rimasto solo da togliere il programmino favorit da installazione applicazioni e un file bat da c:\utenti\nomeutente\AppData\Local (sistema vista)..
    è da mezz’ora che sono su internet e non mi si è aperta nessuna finestra..quindi mi sa che ho risolto finalmente il problema..
    Ma io dico..è una cosa vergognosa che nè antivir nè ad-aware nè spybot riescano a beccare questo virus..è una vergogna non ti pare ??

  18. Matteo on marzo 12th, 2009 3:30 pm

    leggendo sempre sul sito qui..hai scritto che solo tre società tengono d’occhio questo tipo di virus..potresti dirmi i nomi??

  19. amvinfe on marzo 12th, 2009 6:50 pm

    Ciao ;)
    il sito Official-emule.com non è quello ufficiale anzi è proprio all’interno di quel sito che puoi trovare l’eseguibile che installa anche il malware NaviPromo.

    Per scaricare una versione senza alcun malware puoi visitare il sito italiano http://www.emule-project.net/home/perl/general.cgi?l=18

    Le aziende antivirus che riconoscono sicuramente la minaccia sono
    Malwarebytes, Microsoft, SecureWeb-Gateway, VBA32, PrevX, DrWeb, Ikarus

    Come puoi notare molte hanno inserito nel loro db, finalmente, questo malware.

  20. Wizzard97 on marzo 13th, 2009 7:26 pm

    Grazie amvinfe,

    Non tutti sono svegli, occulati o forse semplicemente presuntuosi come Miriam.
    Io mi son beccato questo favorit ben due volte negli ultimi tre mesi, e la prima volta ho dovuto addiritura formattare per liberarmi della pubblicità dopo aver provato inutilmente vari antispyware che, come hai ben spiegato, sono inutili per la faccenda del contratto.
    Anche io me lo son beccato con official-emule che adesso provvedo subito a rimuovere.
    Grazie mille, mi sei stato di grande aiuto.

    Una cosa solo: io ho rimosso il programma “favorit” prima di trovare questo blog, per cui non ho controllato quei file (.bat atc..) sulla pat da te indicata per Win XP.
    Ora quei files non ci sono, succede qualcosa?

    Grazie ancora.

  21. amvinfe on marzo 14th, 2009 12:27 am

    Ciao Wizzard97,
    normalmente rimuovendo da Installazione Applicazioni la voce “Favorit” vengono rimossi anche i file che hai citato.
    Un’ulteriore verifica comunque io la farei, spesso vengono installati anche altri certificati come ad esempio Egroup, Montorgueil…

    Scarica http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip
    decompatta sul desktop l’archivio, installa il software e lancia la scansione selezionando l’Opzione 1.
    Per rimuovere automaticamente, se ancora infetto, l’infezione dovrai selezionare l’Opzione 2.

    Per informazioni dettagliate puoi visitare il sito dell’autore del programma
    http://pagesperso-orange.fr/il.mafioso/Navifix/presentation.htm

    Ciao ;)

  22. amvinfe on marzo 14th, 2009 12:30 am

    ah, dimenticavo..
    prima di lanciare l’installazione disconnettiti da internet e soprattutto disattiva il tuo antivirus, purtroppo un falso positivo di alcuni antivirus blocca l’installazione di Navilog1.

    A fine procedura riattiva l’antivirus.

  23. Wizzard97 on marzo 14th, 2009 1:35 pm

    Ok, proverò senz’altro anche se per adesso tutto bene ma è meglio essere precisi in questi casi. Certo è che se avessi beccato questa pagina web la prima volta che ho avuto il problema mi sarei risparmiato una formattazione, eppure avevo girato in internet. Questa volta ci sono arrivato inserendo anche la chiave “favorit”.
    Ciao e grazie per le preziose informazioni.

  24. Andrea on marzo 21st, 2009 9:42 am

    Articolo eccezionale, credo di avere beccato questa schifezza di programma grazie ad emule. Però a me finestre di pubblicità non mi se ne sono mai aperte, forse per via di zone alarm?

    Grazie!

  25. amvinfe on marzo 23rd, 2009 11:15 pm

    Ciao Andrea,
    scusa per il ritardo e grazie per i complimenti :)

    Se avevi bloccato i file in uscita sicuramente questa è la spiegazione, l’infezione quindi è avvenuta in modo parziale da qui la non visualizzazione delle finestre pubblicitarie.

    Ciao
    Marco

  26. lorenzo on aprile 8th, 2009 10:13 am

    Complimenti e grazie mille le info. Sono a chiedere una cortesia…
    Ho win2000 e mi ritrovo installato il mefitico Favorit (non so in quale occasione lo ho “contratto”). Le finestre di pubblicità si aprono a getto continuo. Se disinstallo Favorit risolvo i miei problemi definitivamente o devo fare dell’altro?
    Grazie mille per l’eventuale aiuto…

  27. amvinfe on aprile 8th, 2009 5:38 pm

    Disinstalla Favorit da “Installazione Applicazioni”, così sicuramente rimuoverai i valori presenti in
    C:\Documents and Settings\nome utente\Impostazioni locali\Dati applicazioni\

    per essere certo che tutti i certificati siano stati eliminati ti consiglio di:

    scaricare http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip

    - disconnetterti da internet
    - disattivare l’antivirus
    - eseguire Navilog1.exe
    - dopo aver selezionato la lingua, scegliere l’opzione 1
    - finita la scansione selezionare questa volta l’opzione 2 dopo il riavvio portarsi in C:\ aprire il file di testo cleannavi.txt e verificare che non vi siano altre voci non eliminate.

    Se vuoi un aiuto apri una nuova discussione all’interno del nostro forum nella sezione

    http://www.suspectfile.com/forum/viewforum.php?f=4

    Ciao

    Marco

  28. Fergus on maggio 4th, 2009 10:08 am

    Ottimo articolo mi ha risolto un bel problemino… vi segnalo comunque superantispyware scaricabile all’indirizzo http://www.superantispyware.com che lo individua e lo rimuove correttamente.

  29. Emanuele on maggio 24th, 2009 10:06 pm

    Grazie mille per l’aiuto.
    Da oggi mi si aprivano finestre anche se con l’indicazione “impossibile accedere alla pagina web”. Dopo aver letto l’articolo ho rimosso il programma Favorit che effettivamente mi sono ritrovato nel pannello di controllo. Segnalo solamente che questa mattina ho scaricato gli aggiornamenti del programma della stampante, tra l’altro aggiornamento non riuscito. E’ l’unico dawnload che ho eseguito nelle ultime settimane.
    Ciao.
    Emanuele

  30. amvinfe on maggio 25th, 2009 11:59 pm

    Grazie Emanuele per la tua testimonianza ;)

    buona settimana.

  31. agata on giugno 11th, 2009 11:47 am

    grazie davvero!! Ora provo anch’io…

  32. anton on giugno 21st, 2009 5:57 pm

    se fossero tutti come te gli utenti sarebbero molto piu’ informati e preparati contro queste schifezze. Grazie per averci spiegato per bene cos’e’ e a cosa serve questo favorit che alti non e’ che un adware come tanti pronto a spiare le nostre abitudini.

  33. amvinfe on giugno 22nd, 2009 4:33 pm

    Purtroppo ancora adesso molti antivirus non riconoscono la minaccia… o scelgono di non riconoscerla.

    Ecco cosa, ad esempio, ci ha risposto la Kaspersky Lab

    “Hello,

    Official-eMule_setup (1).exe_

    No malicious code was found in this file.”

    Lo stesso file viene invece riconosciuto da 17 altri antivirus
    http://www.suspectfile.com/forum/viewtopic.php?f=2&t=3160

    ma ci sono altri esempi simili

    http://www.suspectfile.com/forum/viewtopic.php?f=2&t=3173

    http://www.suspectfile.com/forum/viewtopic.php?f=2&t=3181

    http://www.suspectfile.com/forum/viewtopic.php?f=2&t=3183

    http://www.suspectfile.com/forum/viewtopic.php?f=2&t=3188

    Ciao

  34. Anna on luglio 10th, 2009 7:28 am

    Grazie!!! Sei stato il mio salvatore! Chiarissimo e eccellente nella spiegazione… non capivo cosa stesse succedendo da alcuni giorni a questa parte e l’unica cosa scaricata è stata la nuova versione di msn che OBBLIGATORIAMENTE mi ha fatto installare il live messenger (io avevo msn 7.5).
    Ho Avira come antivirus e non si accorgeva di nula anche se scansionavo ogni giorno!
    Mi sei stato davvero utile!! Ce ne fossero tanti come te!!!

  35. amvinfe on luglio 10th, 2009 9:18 pm

    Uella… addirittura il tuo salvatore :D

    contento d’esserti stato d’aiuto.

    Buon fine settimana Anna
    ;)

    Marco

  36. Joglar on agosto 12th, 2009 9:55 pm

    salve amvinfe… vorrei chiederle: posso fidarmi del programma “super anti spyware” consigliato da uno dei suoi lettori?

  37. amvinfe on agosto 15th, 2009 11:11 am

    ciao Joglar, scusa il ritardo nella risposta :)

    SuperAntiSpyware è un buon prodotto, lo puoi scaricare dal sito ufficiale
    http://www.superantispyware.com/

    buon 15 agosto

    Marco

  38. Massimo on agosto 23rd, 2009 9:37 pm

    Anche io ti ringrazio moltissimo per l’ottimo articolo. Non so come avessi preso Favorit, ma dopo un po’ che vedevo le finestre che si aprivano automaticamente ho cercato l’applicazione da Task Manager e l’ho disinstallata. Per fortuna non ha lasciato altre tracce maligne nel registro o altrove, ho controllato con Navifix. Ma soprattutto è stato utilissimo il discorso sul sistema pseudo-legale utilizzato per fare installare Favorit. Complimenti e grazie. Leggerò con più attenzione prima di cliccare “accetto” d’ora in avanti…
    Massimo

  39. Massimo on agosto 23rd, 2009 9:40 pm

    Aggiungo un link: ecco come quelli di Favorit propagandano subdolamente il loro applicativo:

    hxxp://www.favorit-network.com/what_is_favorit.php?id_not=0&lg=IT

  40. amvinfe on agosto 24th, 2009 8:54 pm

    Ciao Massimo,
    grazie per il commento.

    Ho modificato l’URL che hai postato in modo che non possa essere cliccato inavvertitamente, infatti all’iterno della pagina si può accedere alla sezione per scaricare software adware.

    Marco

  41. niwa on novembre 8th, 2009 12:48 am

    ma allora se per caso ti si connette riceviamo una bolletta bella tosta giusto? a me non è manco comparso l’avviso di chiamata, dato che uso adsl, ma ho notato un’altra connessione alla solita che utilizzavo. Saprò tutto quando arriverà la bolletta (sarà stato 1 o 2 ore, quindi quasi euro 300 >.<)

  42. amvinfe on novembre 8th, 2009 12:57 am

    ciao niwa,
    in caso di connessione adsl il problema non si pone non essendo questa una connessione analogica.

  43. Isabella on gennaio 14th, 2010 10:36 pm

    anche io colpita da “Favorit” grazie a voi ed ai vostri utili consigli peenso di essermene liberata e da oggi in poi leggerò con più attenzione le licenze d’uso…

  44. amvinfe on gennaio 16th, 2010 12:09 am

    Ciao Isabella ;)
    ti ringraziamo per la tua testimonianza.

    Marco

  45. mario on gennaio 26th, 2010 3:51 pm

    Ciao Amvinfe, ho letto attentamente piu o meno tutto, e concordo che sei stato di grande aiuto a molti.
    Ora vado anche io a disistallare l’ormai famoso Favorit (che ho beccato chissà come non avendo scaricato messengerskinner), pero andando in task manager ho notato che sono molti i file in exe,come faccio a riconoscere quelli da terminare il processo? Provando col prima esce un messaggio secondo il quale terminando il processo il pc potrebbe subire modifiche gravi. Temo quindi di eliminare cose da non eliminare.
    Per ora, in attesa di un tuo prezioso consiglio, mi vado a distruggere Favorit da istallazioni/applicazioni.
    Grazie e buona giornata
    Mario

  46. amvinfe on gennaio 26th, 2010 9:05 pm

    Ciao Mario,
    ti ringrazio a nome di tutto lo Staff,
    In questi giorni posso impegnare poco del mio tempo, quindi scusami se non vedrai subito una mia eventuale risposta.
    E’ stato scritto, da IL-MAFIOSO, un software per la rimozione specifica di questo malware.
    Il programma è scaricabile dall’URL
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
    dopo averlo scaricato, disconnettiti e disattiva il tuo antivirus.
    Esegui il programma seleziona l’opzione 1, attendi che la scansionesia terminata.
    Per la rimozione devi invece selezionare l’opzione 2.

    Nel caso avessi problemi ti ricordo che abbiamo un forum dove potrai richiedere assistenza.

    Ciao ;)

  47. Ann on maggio 4th, 2010 1:14 pm

    Ciao! Scusa ma io in queste cose faccio un casino assurdo. Per prima cosa, anche io ho questo Favorit nelle installazioni. Da quello che ho capito non devo disinstallarlo subito da lì.. ma devo andare in local e aprire il Task Manager. Ci sono molti file in .exe e non so quali togliere, anche perchè i file in .exe che erano virus che avevo in “local” non comparivano nel Task manager, così l’antivirus me li ha semplicemente eliminati. Ora, non avendo fatto niente nel Task, posso disinstallare ugualmente Favorit dal pannello di controllo? mi occupa più dei 3/4 di memoria, che è quasi finita e non so che fare. Sei sicurissimo che Navilog funzioni? Scusa il disturbo

  48. amvinfe on maggio 4th, 2010 5:30 pm

    Ciao Ann,
    il programma Navilog è stato scritto dall’autore proprio per eliminare questo tipo d’infezione.

    Ricordati, una volta scaricato, di disattivare la connessione internet e di disattivare il tuo antivirus.

    Se hai bisogno d’aiuto puoi aprire una tua discussione all’interno di questa sezione http://www.suspectfile.com/forum/viewforum.php?f=4
    del nostro forum

    Ciao ;)

  49. Ann on maggio 4th, 2010 9:03 pm

    Io ho lasciato Navilog e seguito tutte le procedure. Sembrava mi avesse eliminato favorit, ma la memoria occupata da esso non si è liberata!! che faccio?
    Ora ho un dubbio: quando in Navilog 2 mi chiede “specificare nome archivio”, che scrivo? Lo so, sono impedita, scusa ancora.

  50. amvinfe on maggio 5th, 2010 5:29 pm

    Ciao,
    come ti suggerivo nell’altra mia risposta, apri una discussione nel nostro forum, spiegando i tuoi problemi, verrai seguita dallo Staff di SuspectFile

    ;)

  51. criba on gennaio 11th, 2011 5:05 pm

    finalmente non sapevo più come eliminare quelle finestre grazieeeeeeeeeeeeeee

  52. Rosy on marzo 13th, 2011 12:19 pm

    C’è un modo molto semplice per rimuovere Favorit.
    Basta andare su

    http://www.favo**rit-network.com/uninstall.php

    Non bisogna neanche inserire nomi o indirizzi…
    Perchè dal pannello di controllo non funziona!!!

  53. amvinfe on marzo 13th, 2011 4:11 pm

    Ciao Rosy,
    come avevo già risposto a Massimo (post n. 39), anche in questo caso modifico l’URL che hai postato perchè dannoso.
    L’eseguibile che viene scaricato (http://www.favorit-*****network.com/uninstall/download/favoritnetworkremover_20110313******s.exe) è infetto da malware. Il nome dell’eseguibile è random e alfa-numerico, dove le prime otto cifre corrispondono alla data di scaricamento del file, le rimanenti sono random.

    e all’URL successivo la scansione su virustotal.com che conferma quanto ho scritto :)

    http://www.virustotal.com/file-scan/report.html?id=06eda5f4347c9b596851eefcafb9c966a841bc0eb004e74270e7dc0c044e0dac-1300028678

    Fate attenzione ;)

Leave a Reply