Antivirus aggiornato: e siamo sicuri che basti?

UPDATE: Ne parla anche Graham Cluley sul blog di Sophos, sembra una variante di Zeus.

Oggi mi è tornata la voglia di scrivere dopo anni di inattività su questo blog, credo non ci sia più nessuno che lo segue comunque fa nulla.
Su tutte le buone guide alla sicurezza viene detta una frase che recita più o meno: «Antivirus non aggiornato = Antivirus inutile» o varianti. A me ultimamente è accaduto che tre file, che erano chiaramente dei malware, siano riusciti ad arrivare senza essere bloccati né dal mio antivirus e nemmeno dai software di sicurezza che proteggono la casella email dell’account (Yahoo e GMail).

Diciamo che se mi fossi fidato solo dell’antivirus avrei tranquillamente aperto il file e impestato il computer. Questo è il messaggio che mi è arrivato ieri:

Secure Message
You have received a secure message
Read your secure message by opening the attachment, securedoc.html. You will be prompted to open (view) the file or save (download) it to your computer. For best results, save the file first, then open it. If you have concerns about the validity of this message, please contact the sender directly. For questions about Key’s e-mail encryption service, please contact technical support at 888.764.7941. First time users – will need to register after opening the attachment. Help – [Link removed]

oltre a me c’erano altri quattro indirizzi @yahoo come destinatari che iniziavano con sandro, si vede che gli stava antipatico qualcuno con quel nome :-P.

Il messaggio risultava inviato da The Bat! (v2.11) Personal e aveva come allegato un bel file ZIP con il messaggio “sicuro”. Yahoo! non ha bloccato il file e nemmeno me lo ha marcato come spam ([BULK]). L’antivirus che uso io, Comodo, non ha rilevato nulla, ma non è il solo.

Riporto qui di seguito i dettagli gli dello scan del file con VirusTotal e lo screenshot di ieri sera:

Cliccando sulla pagina del report si può vedere se qualche altro antivirus si è aggiornato per riconoscere quel file (sicuramente un virus). Al momento del mio test solamente 5 (o meglio 4 visto che due sfruttano lo stesso engine del noto latitante a zonzo per il Belize) antivirus su 43 erano in grado di accorgersi che si trattava di un malware

  1. McAfee Artemis!38A82716E834 20121119
  2. McAfee-GW-Edition Artemis!38A82716E834 20121119
  3. Fortinet W32/Kryptik.ALRY!tr 20121119
  4. Symantec WS.Reputation.1 20121119
  5. Kaspersky UDS:DangerousObject.Multi.Generic 20121119

È vero che non tutti gli antivirus hanno il motore aggiornato (confrontare data).

Tutto questo per dire che non sempre avere un antivirus aggiornato serve a mettersi al riparo da file dannosi, molte volte ha molto più senso ragionare un pochino e un file eseguibile che arriva via email non è mai da aprire.

In ogni modo, per curiosità e per inviare il file a VirusTotal ho estratto il file e salvato in una cartella temporanea dove raccolgo questi simpatici file che ogni tanto arrivano via mail. La cosa che mi stupisce è che l’Esplora risorse di Windows XP non aiuta affatto, anzi potrebbe pure generare qualche dubbio sulla validità di quel file. Faccio qualche screenshot.

Screenshot dell'Esplora risorse

Gli eseguibili possono, fra le moltissime altre cose, decidere che icona mostrare, in più quel “Microsoft Corporation” che appare sembrerebbe indicare che sia un file firmato e rilasciato da Microsoft, però le cose non stanno così. Basta infatti aprire le proprietà del file per vedere che il file non è firmato digitalmente (Manca la scheda Firma digitale).

Ok, si può dire che basta mostrare le estensioni dei file, vero? Ora, con un piccolo trucco vediamo come le estensioni dei file non siano così utili, o meglio come si possano aggirare.

Fra i moltissimi caratteri powered by unicode ne esiste uno in particolare che viene chiamato RLO e che rovescia l’orientamento del testo.

Dalla casella di input qui sotto è possibile copiare questo carattere speciale (u+8238) che non però non si vede. Provando a scriverci si vedrà come il testo viene invertito:

Ora faccio due screenshot rinominando il file usando quel carattere speciale e vi faccio vedere come l’Esplora Risorse di XP sia fatto male:

Screenshot di 7-ZIP

Screenshot Esplora Risorse

Ora se lo spammer avesse scelto la stessa icona usata per i file HTML forse in molti sarebbero quasi tentati ad aprirlo. 7-ZIP non permettendo agli eseguibili di scegliersi l’icona aiuta molto di più, infatti si vede che, nonostante quello che si legge all’europea, il file continua ad avere la generica icona di un file eseguibile.

I problemi sono due:

  • usare il carattere di inversione nel nome di un file (almeno l’estensione dovrebbe esserne immune)
  • il non evidenziare che quel file non è firmato digitalmente da Microsoft (come avviene ad esempio nei browser per le connessioni https)

Detto questo, la conclusione è che un file eseguibile che arriva via mail, senza averlo richiesto prima, è al 99.9% un malware, al che ne dica l’antivirus installato.

27 Responses to “Antivirus aggiornato: e siamo sicuri che basti?”


  • Opera 9.80 Windows 7

    la conclusione è che un file eseguibile che arriva via mail, senza averlo richiesto prima, è al 99.9% un malware, al che ne dica l’antivirus installato

    e direi che non c’è niente da aggiungere 😀

    però interessante questa cosa del Right to Left a cui non avevo mai pensato… mi chiedo se non sarebbe il caso di averne una qualche indicazione visiva in effetti..

    ad ogni modo bello rileggere questo blog ogni tanto… è un bel tuffo nel passato 😛

  • Mozilla Firefox 18.0 Windows XP

    Ciao Emanuele,
    mi fa piacere risentirti 🙂 grazie anche della segnalazione sui permalink.

    Anche secondo me dovrebbero escludere quel carattere da quelli utili per il nome di un file, o almeno fare in modo che non tocchi l’estensione del file.
    Per dirti, Twitter e Facebook lo segano proprio via per evitare problemi.
    Comunque, io nell’Esplora risorse, evidenzierei molto meglio i file firmati e quelli che non lo sono, soprattutto per gli applicativi.

  • Opera 9.80 Windows 7

    credo basterebbe appunto sottolineare qual’è la vera estensione del file per aggirare l’inghippo (magari con una finestra di dialogo se si prova ad eseguirlo)… ma credo che il problema non se lo fossero neanche posti quando integrarono questa caratteristica

    buona domenica 🙂

  • Mozilla Firefox 18.0 Windows XP

    Buona domenica anche a te.
    Io non ho provato, ovviamente, a eseguirlo, però dovrebbe apparire almeno la finestra di avviso. Per me una cosa visuale (perché è quella che tutti guardano anche i meno esperti) sarebbe di copiare quanto fanno nei browser:

    icona personalizzata: solo se il file ha una firma digitale valida (stessa roba per la dicitura che appare sotto), altrimenti iconcina generica di un eseguibile e sottolineatura in rosso. Carattere di inversione testo bannato da quelli possibili per nominare un file (non ha nemmeno senso usarlo).

  • Mozilla Firefox 17.0 Windows XP

    Bentornato, gialloporpora!
    La mia conclusione non è
    “che un file eseguibile che arriva via mail, senza averlo richiesto prima, è al 99.9% un malware, al che ne dica l’antivirus installato”
    ma è
    “Windows è proprio un sistema operativo fatto male e via via aggiornato alla meno peggio su aspetti seri del suo utilizzo”.
    Ciao, miki.

  • Mozilla Firefox 18.0 Windows XP

    @miki,
    uhm, secondo me Windows non è poi così male, Windows 98 faceva rabbrividire, però col tempo è stato molto migliorato. Se vedi anche gli altri non è che la situazione sia tanto meglio, da quando hanno iniziato a diffondersi (quello del Mac sugli iaggiggi e Linux su quelli Android) hanno dimostrato tutte le loro pecche lato sicurezza. Così, solo leggendo perché non li uso, sembra proprio che Android dal lato sicurezza sia uno dei peggiori in circolazione. Ovviamente migliorerà, e anzi, io considero un bene che vengano alla luce queste cose e che poi vengano risolte.

    PS: nel quote non si può far apparire, ma il periodico era voluto: 99.9 periodico = 100

  • Mozilla Firefox 17.0 Windows 7

    Bentornato, articolo molto interessante! 😉

  • Mozilla Firefox 19.0 Windows XP

    Grazie @ronnie91 🙂
    Per inciso Comodo non riesce ancora a rilevare quel file, il che conferma l’dea che mi son sempre fatto che come antivirus non è un granché, come firewall invece è otttim.
    Ciao

  • Mozilla Firefox 17.0 Windows 7

    Ciao, se guardi su VirusTotal non è cambiato niente rispetto a quando hai scritto il post, sono ancora solo 5 software che lo riconoscono, io per esempio uso ESET Smart Security e sono deluso dal fatto che non lo riconosce!

  • Mozilla Firefox 17.0 Windows 7

    Scusami, rettifico, ho aggiornato la pagina di VirusTotal e adesso ci sono molti più software che lo riconoscono 38/45 prima erano 5/43, Kaspersky comunque si è confermato che a livello di sicurezza è al top, al livello di usabilità quindi anche performance invece non è il top… P.S. Non so come si edita un commento!

    Il link alla nuova scansione di VirusTotal: https://www.virustotal.com/file/eddba7e6be33fd16938e5b4f6f9e7db952c78a3464ff589e5a3667dfa36de256/analysis/

  • Mozilla Firefox 19.0 Windows XP

    Si, infatti Kaspersky era uno dei pochi che lo riconosceva da subito (e anche un altro che avevo caricato tempo fa), gli altri si sono adeguati in 1/2 giorni, anche se è possibile che falissero solo perché la copia usata da VirusTotal delle firme virali non fosse proprio l’ultima.
    Comodo è ancora fra quelli che non lo riconosce, asquared (che uso come supporto) invece lo becca.

    Per l’edit, non credo si possano editare, devo sistemare il tema perché quello che sto usando non è più sviluppato da un bel po’.

  • Mozilla Firefox 17.0 Windows 7

    Su VirusTotal cercando di capire come funzionasse il meccanismo di reputazione file (per capirci ho cliccato sull’angioletto e non sul diavoletto…), ho messo che il file è “sicuro” per errore e adesso non so più come si toglie, tu per caso lo sai? 😳

  • Mozilla Firefox 19.0 Windows XP

    Se sei utente registrato dovrebbe essere sufficiente cliccare sul diavoletto, altrimenti non te lo so dire.

  • Mozilla Firefox 17.0 Windows 7

    Ok, grazie e scusami! Non sono registrato, vabbè non sarà una sola “recensione” che farà pensare agli utenti che il file è sicuro… 🙂

  • Mozilla Firefox 19.0 Windows XP

    Anzi no, mi sa che non si può tornare indietro.
    Ora provo a cercare

  • Mozilla Firefox 17.0 Windows 7

    Credo che registrino l’IP, l’unico modo per cliccare sul diavoletto è stato accedere con il Tor Browser.

  • Mozilla Firefox 19.0 Windows XP

    Si, però pensavo che gli utenti registrati (io ero loggato) potessero cambiare idea.
    Si probabilmente per i non registrati assegna il voto all’IP, però è strano uno non possa cambiare idea.

  • Mozilla Firefox 19.0 Windows XP

    Scusa di che? No, mi ha fatto piacere che hai commentato 🙂
    Se vuoi rifarti clicca il diavoletto su questo:
    https://www.virustotal.com/file/eb927dc1a749deb6e2f50d26bef224cc9ae1fa2efb46a3b3a701a183a51cda11/analysis/1355396006/

    è un analogo dell’altro (stesso nome, stessa mail) però stavolta è davvero un file HTML che carica degli script dannosi dall’esterno.
    Stavolta Kaspersky fallisce, ovviamente anche Comodo :-P, il tuo invece è uno dei pochi che si accorge che quel file è una schifezza 🙂

    Ciao

  • Mozilla Firefox 17.0 Windows 7

    Ho cliccato sul diavoletto! 😉

    Sono contento che il mio non ha fallito! 😛

    Ciao! 🙂

  • Mozilla Firefox 20.0 Windows XP

    Oggi ne hanno parlato anche sul blog di Sophos di questa catena di mail Secure Message, sembra che il file sia una variante del famigerato Zeus:
    https://www.readability.com/articles/sz5v7rmy

  • Mozilla Firefox 18.0 Windows XP

    Comunque anche nel 2013 Comodo si piazza al primo posto come antivirus (anche se queste classifiche vanno perse con le pinze):
    http://www.programmifree.com/confronti/confronto-antivirus2013.htm

  • Mozilla Firefox 18.0 Windows 7

    Io trovo più affidabili e completi AV-Comparatives e AV-TEST.

    Nei test che hai postato ci sono solo soluzioni gratuite, quindi non c’è il confronto con tutte le soluzioni di sicurezza esistenti.

  • Mozilla Firefox 20.0 Windows XP

    @miki64,
    appunto vanno perse 😛
    Sinceramente, da utilizzatore di Comodo, lo ritengo un ottimo Firewall e un antivirus “accettabile”, secondo me, non servono a nulla i numeri, è pure possibile rilevi un sacco di virus vecchi e non più usati, ma un buon antivirus deve mettere al riparo dai nuovi virus, magari mai segnalati prima.
    Per esperienza, come detto in questo post, Comodo non mi ha mai segnalato le minacce negli unici casi in cui queste mi sono arrivate direttamente nell’inbox, se mi rileva tutte quelle che mi bloccano in automatico i filtri di Yahoo!/Gmail a me non serve a nulla.

    Sono abbastanza d’accordo con @Ronnie91 circa i criteri seguiti per stabilire il top antivirus in circolazione e tendo anche io a fidarmi di più dei test segnalati da @Ronnie91.
    I criteri scelti sono importanti, potrei pure scegliere dei criteri per i quali IE risulta il miglior browser in circolazione 😛

    @Ronnie91,
    I agree 🙂
    Ciao 😛

  • Mozilla Firefox 20.0 Windows XP

    Sempre un confronto tra antivirus, sempre un confronto del 2013, sempre un confronto di ProgrammiFree.com ma stavolta con una metodologia di rilevamento interessante perché inusuale:
    http://www.programmifree.com/confronti/velocita-antivirus-2013.htm

  • Mozilla Firefox 17.0 Windows XP

    Mah…

    recenti dati Microsoft mostrano che il 4% delle macchine con XP dotate di antivirus (considerando anche quelle senza AV sarebbe anche peggio) sono infette. Molte di più rispetto allo 0,02% delle macchine con Windows 8 a 64 bit.

    Per forza i dati sono a favore di Windows 8! È meno diffuso e – di questo passo – non raggiungerà mai i volumi di diffusione del suo predecessore, no?

    Sulla classifica concordo ababstanza, devo dire. Ma Comodo ha un grande pregio pur nelle sue complicatissime impostazioni: ti fa impazzire con i settaggi all’inizio, poi lo lasci lì e te lo dimentichi e va che è un cannone!

  • Mozilla Firefox 25.0 Windows XP

    @Ronnie91,
    grazie del link, l’articolo è davvero interessante.
    Secondo me, come antivirus, il migliore fra quelli free è Avira, però non sono un esperto di sicurezza, diciamo che è un’opinione basata solo sulla mia, limitata, esperienza personale.
    @miki64,
    Ma la percentuale tiene già conto della diffusione, Windows 8 è davvero più sicuro di XP.

Leave a Reply