UPDATE: Ne parla anche Graham Cluley sul blog di Sophos, sembra una variante di Zeus.
Oggi mi è tornata la voglia di scrivere dopo anni di inattività su questo blog, credo non ci sia più nessuno che lo segue comunque fa nulla.
Su tutte le buone guide alla sicurezza viene detta una frase che recita più o meno: «Antivirus non aggiornato = Antivirus inutile» o varianti. A me ultimamente è accaduto che tre file, che erano chiaramente dei malware, siano riusciti ad arrivare senza essere bloccati né dal mio antivirus e nemmeno dai software di sicurezza che proteggono la casella email dell’account (Yahoo e GMail).
Diciamo che se mi fossi fidato solo dell’antivirus avrei tranquillamente aperto il file e impestato il computer. Questo è il messaggio che mi è arrivato ieri:
Secure Message
You have received a secure message
Read your secure message by opening the attachment, securedoc.html. You will be prompted to open (view) the file or save (download) it to your computer. For best results, save the file first, then open it. If you have concerns about the validity of this message, please contact the sender directly. For questions about Key’s e-mail encryption service, please contact technical support at 888.764.7941. First time users – will need to register after opening the attachment. Help – [Link removed]
oltre a me c’erano altri quattro indirizzi @yahoo come destinatari che iniziavano con sandro, si vede che gli stava antipatico qualcuno con quel nome 
.
Il messaggio risultava inviato da The Bat! (v2.11) Personal e aveva come allegato un bel file ZIP con il messaggio “sicuro”. Yahoo! non ha bloccato il file e nemmeno me lo ha marcato come spam ([BULK]). L’antivirus che uso io, Comodo, non ha rilevato nulla, ma non è il solo.
Riporto qui di seguito i dettagli gli dello scan del file con VirusTotal e lo screenshot di ieri sera:
Cliccando sulla pagina del report si può vedere se qualche altro antivirus si è aggiornato per riconoscere quel file (sicuramente un virus). Al momento del mio test solamente 5 (o meglio 4 visto che due sfruttano lo stesso engine del noto latitante a zonzo per il Belize) antivirus su 43 erano in grado di accorgersi che si trattava di un malware
- McAfee Artemis!38A82716E834 20121119
- McAfee-GW-Edition Artemis!38A82716E834 20121119
- Fortinet W32/Kryptik.ALRY!tr 20121119
- Symantec WS.Reputation.1 20121119
- Kaspersky UDS:DangerousObject.Multi.Generic 20121119
È vero che non tutti gli antivirus hanno il motore aggiornato (confrontare data).
Tutto questo per dire che non sempre avere un antivirus aggiornato serve a mettersi al riparo da file dannosi, molte volte ha molto più senso ragionare un pochino e un file eseguibile che arriva via email non è mai da aprire.
In ogni modo, per curiosità e per inviare il file a VirusTotal ho estratto il file e salvato in una cartella temporanea dove raccolgo questi simpatici file che ogni tanto arrivano via mail. La cosa che mi stupisce è che l’Esplora risorse di Windows XP non aiuta affatto, anzi potrebbe pure generare qualche dubbio sulla validità di quel file. Faccio qualche screenshot.
Gli eseguibili possono, fra le moltissime altre cose, decidere che icona mostrare, in più quel “Microsoft Corporation” che appare sembrerebbe indicare che sia un file firmato e rilasciato da Microsoft, però le cose non stanno così. Basta infatti aprire le proprietà del file per vedere che il file non è firmato digitalmente (Manca la scheda Firma digitale).
Ok, si può dire che basta mostrare le estensioni dei file, vero? Ora, con un piccolo trucco vediamo come le estensioni dei file non siano così utili, o meglio come si possano aggirare.
Fra i moltissimi caratteri powered by unicode ne esiste uno in particolare che viene chiamato RLO e che rovescia l’orientamento del testo.
Dalla casella di input qui sotto è possibile copiare questo carattere speciale (u+8238) che non però non si vede. Provando a scriverci si vedrà come il testo viene invertito:
Ora faccio due screenshot rinominando il file usando quel carattere speciale e vi faccio vedere come l’Esplora Risorse di XP sia fatto male:
Ora se lo spammer avesse scelto la stessa icona usata per i file HTML forse in molti sarebbero quasi tentati ad aprirlo. 7-ZIP non permettendo agli eseguibili di scegliersi l’icona aiuta molto di più, infatti si vede che, nonostante quello che si legge all’europea, il file continua ad avere la generica icona di un file eseguibile.
I problemi sono due:
- usare il carattere di inversione nel nome di un file (almeno l’estensione dovrebbe esserne immune)
- il non evidenziare che quel file non è firmato digitalmente da Microsoft (come avviene ad esempio nei browser per le connessioni https)
Detto questo, la conclusione è che un file eseguibile che arriva via mail, senza averlo richiesto prima, è al 99.9% un malware, al che ne dica l’antivirus installato.
e direi che non c’è niente da aggiungere
però interessante questa cosa del Right to Left a cui non avevo mai pensato… mi chiedo se non sarebbe il caso di averne una qualche indicazione visiva in effetti..
ad ogni modo bello rileggere questo blog ogni tanto… è un bel tuffo nel passato
Ciao Emanuele,
grazie anche della segnalazione sui permalink.
mi fa piacere risentirti
Anche secondo me dovrebbero escludere quel carattere da quelli utili per il nome di un file, o almeno fare in modo che non tocchi l’estensione del file.
Per dirti, Twitter e Facebook lo segano proprio via per evitare problemi.
Comunque, io nell’Esplora risorse, evidenzierei molto meglio i file firmati e quelli che non lo sono, soprattutto per gli applicativi.
credo basterebbe appunto sottolineare qual’è la vera estensione del file per aggirare l’inghippo (magari con una finestra di dialogo se si prova ad eseguirlo)… ma credo che il problema non se lo fossero neanche posti quando integrarono questa caratteristica
buona domenica
Buona domenica anche a te.
Io non ho provato, ovviamente, a eseguirlo, però dovrebbe apparire almeno la finestra di avviso. Per me una cosa visuale (perché è quella che tutti guardano anche i meno esperti) sarebbe di copiare quanto fanno nei browser:
icona personalizzata: solo se il file ha una firma digitale valida (stessa roba per la dicitura che appare sotto), altrimenti iconcina generica di un eseguibile e sottolineatura in rosso. Carattere di inversione testo bannato da quelli possibili per nominare un file (non ha nemmeno senso usarlo).
Bentornato, gialloporpora!
La mia conclusione non è
“che un file eseguibile che arriva via mail, senza averlo richiesto prima, è al 99.9% un malware, al che ne dica l’antivirus installato”
ma è
“Windows è proprio un sistema operativo fatto male e via via aggiornato alla meno peggio su aspetti seri del suo utilizzo”.
Ciao, miki.
@miki,
uhm, secondo me Windows non è poi così male, Windows 98 faceva rabbrividire, però col tempo è stato molto migliorato. Se vedi anche gli altri non è che la situazione sia tanto meglio, da quando hanno iniziato a diffondersi (quello del Mac sugli iaggiggi e Linux su quelli Android) hanno dimostrato tutte le loro pecche lato sicurezza. Così, solo leggendo perché non li uso, sembra proprio che Android dal lato sicurezza sia uno dei peggiori in circolazione. Ovviamente migliorerà, e anzi, io considero un bene che vengano alla luce queste cose e che poi vengano risolte.
PS: nel quote non si può far apparire, ma il periodico era voluto: 99.9 periodico = 100
Bentornato, articolo molto interessante!
Grazie @ronnie91
Per inciso Comodo non riesce ancora a rilevare quel file, il che conferma l’dea che mi son sempre fatto che come antivirus non è un granché, come firewall invece è otttim.
Ciao
Ciao, se guardi su VirusTotal non è cambiato niente rispetto a quando hai scritto il post, sono ancora solo 5 software che lo riconoscono, io per esempio uso ESET Smart Security e sono deluso dal fatto che non lo riconosce!
Scusami, rettifico, ho aggiornato la pagina di VirusTotal e adesso ci sono molti più software che lo riconoscono 38/45 prima erano 5/43, Kaspersky comunque si è confermato che a livello di sicurezza è al top, al livello di usabilità quindi anche performance invece non è il top… P.S. Non so come si edita un commento!
Il link alla nuova scansione di VirusTotal: https://www.virustotal.com/file/eddba7e6be33fd16938e5b4f6f9e7db952c78a3464ff589e5a3667dfa36de256/analysis/
Si, infatti Kaspersky era uno dei pochi che lo riconosceva da subito (e anche un altro che avevo caricato tempo fa), gli altri si sono adeguati in 1/2 giorni, anche se è possibile che falissero solo perché la copia usata da VirusTotal delle firme virali non fosse proprio l’ultima.
Comodo è ancora fra quelli che non lo riconosce, asquared (che uso come supporto) invece lo becca.
Per l’edit, non credo si possano editare, devo sistemare il tema perché quello che sto usando non è più sviluppato da un bel po’.
Su VirusTotal cercando di capire come funzionasse il meccanismo di reputazione file (per capirci ho cliccato sull’angioletto e non sul diavoletto…), ho messo che il file è “sicuro” per errore e adesso non so più come si toglie, tu per caso lo sai?
Se sei utente registrato dovrebbe essere sufficiente cliccare sul diavoletto, altrimenti non te lo so dire.
Ok, grazie e scusami! Non sono registrato, vabbè non sarà una sola “recensione” che farà pensare agli utenti che il file è sicuro…
Anzi no, mi sa che non si può tornare indietro.
Ora provo a cercare
Credo che registrino l’IP, l’unico modo per cliccare sul diavoletto è stato accedere con il Tor Browser.
Si, però pensavo che gli utenti registrati (io ero loggato) potessero cambiare idea.
Si probabilmente per i non registrati assegna il voto all’IP, però è strano uno non possa cambiare idea.
Scusa di che? No, mi ha fatto piacere che hai commentato
Se vuoi rifarti clicca il diavoletto su questo:
https://www.virustotal.com/file/eb927dc1a749deb6e2f50d26bef224cc9ae1fa2efb46a3b3a701a183a51cda11/analysis/1355396006/
è un analogo dell’altro (stesso nome, stessa mail) però stavolta è davvero un file HTML che carica degli script dannosi dall’esterno.
, il tuo invece è uno dei pochi che si accorge che quel file è una schifezza 
Stavolta Kaspersky fallisce, ovviamente anche Comodo
Ciao
Ho cliccato sul diavoletto!
Sono contento che il mio non ha fallito!
Ciao!
Oggi ne hanno parlato anche sul blog di Sophos di questa catena di mail Secure Message, sembra che il file sia una variante del famigerato Zeus:
https://www.readability.com/articles/sz5v7rmy
Comunque anche nel 2013 Comodo si piazza al primo posto come antivirus (anche se queste classifiche vanno perse con le pinze):
http://www.programmifree.com/confronti/confronto-antivirus2013.htm
Io trovo più affidabili e completi AV-Comparatives e AV-TEST.
Nei test che hai postato ci sono solo soluzioni gratuite, quindi non c’è il confronto con tutte le soluzioni di sicurezza esistenti.
@miki64,
appunto vanno perse
Sinceramente, da utilizzatore di Comodo, lo ritengo un ottimo Firewall e un antivirus “accettabile”, secondo me, non servono a nulla i numeri, è pure possibile rilevi un sacco di virus vecchi e non più usati, ma un buon antivirus deve mettere al riparo dai nuovi virus, magari mai segnalati prima.
Per esperienza, come detto in questo post, Comodo non mi ha mai segnalato le minacce negli unici casi in cui queste mi sono arrivate direttamente nell’inbox, se mi rileva tutte quelle che mi bloccano in automatico i filtri di Yahoo!/Gmail a me non serve a nulla.
Sono abbastanza d’accordo con @Ronnie91 circa i criteri seguiti per stabilire il top antivirus in circolazione e tendo anche io a fidarmi di più dei test segnalati da @Ronnie91.
I criteri scelti sono importanti, potrei pure scegliere dei criteri per i quali IE risulta il miglior browser in circolazione
@Ronnie91,
I agree
Ciao
Sempre un confronto tra antivirus, sempre un confronto del 2013, sempre un confronto di ProgrammiFree.com ma stavolta con una metodologia di rilevamento interessante perché inusuale:
http://www.programmifree.com/confronti/velocita-antivirus-2013.htm