Sesso, soldi, sangue, salute e... videogame?

Si dice spesso che il giornalismo si basa su quattro S: sesso, sangue, soldi e salute. Anche l'ingegneria sociale che viene usata per imbrogliare i navigatori in Rete si basa di solito su queste quattro S (soprattutto la prima), ma vi aggiunge anche una V: quella di videogame.

Arriva dalla società di sicurezza Sunbelt Software un avviso che riguarda il recente proliferare di siti che offrono applicazioni gratuite per emulare la Playstation 2 sul PC. Cosa già di per sé poco legale, secondo alcuni, ma non è questo il problema.

Banner come quello mostrato qui accanto si spacciano per emulatori o crack o keygen per la popolare ma ormai vecchiotta console, ma il software che permettono di scaricare non è quello promesso.

Come segnala Sunbelt, scaricando e installando questi programmi sul PC (solo se Windows) l'utente si troverà il computer infetto da un cavallo di Troia dal nome chilometrico Trojan-Downloader.Win32.CodecPack.2GCash.Gen, che installa nella cartella di Windows un file eseguibile con un nome generato a caso e colloca un file xpysys.dll nella cartella System32. Il virus è un downloader, ossia è in grado di scaricare altri componenti infettanti, e secondo Sunbelt è stato usato per porcherie di vario genere, dai finti codec video agli antivirus fasulli.

Niente panico, comunque: è già riconosciuto da tutti i principali antivirus. Ma resta sempre valido il consiglio di adottare la prevenzione ancora prima della cura: non andate a cercare software di dubbia provenienza in siti che offrono cose troppo belle per essere vere.

Aggiornamento problematico di Windows causato da infezione virale. Soluzione: aggiornamento automatico del virus

Il pacchetto mensile di aggiornamenti di Windows di questo mese aveva dato problemi nell'aggiornamento MS10-015 agli utenti di Windows XP e Vista, con tanto di Schermo Blu della Morte, come descritto in un articolo precedente. Ma non era colpa di Microsoft: il problema era scatenato da un virus, più propriamente un rootkit (un programma ostile che altera i file vitali del sistema operativo), che era già presente sui computer. L'aggiornamento falliva, insomma, perché il PC era infetto.

Questo agente infettante, in circolazione almeno da novembre scorso e denominato TDL3 o TDSS o Tldserv a seconda della società di sicurezza informatica che lo descrive, si insedia nel file atapi.sys di Windows, che è un driver: questo gli consente di agire con i massimi privilegi di sistema, dando ai suoi creatori pieno accesso al computer infettato. Astuto. Ma l'aggiornamento di Windows andava in conflitto con il rootkit e questo portava allo Schermo Blu della Morte quando si riavviava il computer dopo l'aggiornamento Microsoft.

La soluzione è stata semplice quanto ironica: nel giro di un paio d'ore, gli autori del rootkit hanno aggiornato la propria creatura (cosa che stanno facendo da mesi sui computer delle proprie vittime ignare), rendendola compatibile con l'aggiornamento di Windows. Tanta solerzia non è certo dettata dall'altruismo: un PC infetto che va in tilt è, per i gestori dell'infezione, un PC inutilizzabile per i loro loschi scopi.

Purtroppo l'aggiornamento virale non è arrivato in tempo per molti utenti Windows. Le istruzioni per rimediare ad eventuali problemi sono presso PatrickWBarnes.com (in sintesi, boot da CD di Windows e sostituzione di atapi.sys con una copia originale non infetta); i dettagli sul rootkit sono presso Prevx.com.

Quiz: se l'allerta virus è diffuso dalla Federazione Italiana Teatro Amatoriale, ci devo credere?

Da qualche giorno ricevo segnalazioni a badilate di questo nuovo allarme virale (il testo a volte cambia leggermente, il senso no):

abbiamo ricevuto dalla segreteria della FITA ( federazione italiana teatro amatoriale) il messaggio urgente che di seguito riportiamo ,ritenendolo,per la serietà della fonte di importanza primaria.Per questo ci permettiamo di scrivere oltre le nostre normali informazioni.
grazie della collaborazione

IMPORTANTE

Dì a tutti i contatti della tua lista, di non accettare nè il contatto peteivan@hotmail.com nè un video di Bush. In realtà si tratta di un hacker, che formatta il computer, ti cancella i contatti e ti toglie la password alla posta elettronica.

ATTENZIONE, se i tuoi contatti lo accettano, pure tu lo prenderai, così invia il messaggio urgentemente a tutti, questo è di molta importanza, semplicemente FAI "copia e incolla".

URGENTISSIMO! PER FAVORE, INVIA QUESTO AVVISO A TUTTI I TUOI
CONTATTI!!!

Nei prossimi giorni devi stare attent@: Non aprire nessun messaggio con un allegato chiamato:Invito, indipendentemente da chi te lo invia. E' un virus che BRUCIA tutto l'hard disk del computer. Questo virus verrà da una persona conosciuta che ti aveva nei contatti. E' per questo che devi inviare questo messaggio ai tuoi contatti.. E' preferibile ricevere questo messaggio 25 volte che ricevere il virus e aprirlo.

Se ricevi il messaggio chiamato: Invito, anche se è inviato da un amico, non aprirlo e spegni subito il computer. E' il peggior virus annunciato dalla CNN.. 'Un nuovo virus è stato scoperto recentemente ed è stato classificato da Microsoft come il virus più distruttivo che sia MAI esistito. Questo virus è stato scoperto ieri pomeriggio dalla Mc Afee e non c'è rimedio contro questa classe di virus.

Questo virus distrugge semplicemente il Settore Zero dell'Hard Disk, dove le informazioni vitali della sua funzione vengono conservate.

INVIA QUESTA E-MAIL A CHI CONOSCI. COPIA QUESTO TESTO E INVIALO A
TUTTI I TUOI AMICI. RICORDA: SE LO INVII A LORO, CI BENEFICI TUTTI.
E' URGENTISSIMO !!!

E' una bufala: si tratta semplicemente dell'ibridazione contro natura di alcuni vecchi appelli fasulli della categoria Bufalovirus mittensis e Bufalovirus subjectii, già documentati in questo articolo del 2006. L'allerta per Peteivan risale a novembre 2008; quello per "Invito" o "Invitation" risale a gennaio 2006 (e il virus era stato scoperto "ieri pomeriggio" anche allora).

Oggi come allora, il nome di un messaggio o di un mittente non è un criterio serio per gestire la propria sicurezza. Esattamente come non lo è affidarsi a un appello che non cita fonti serie e precise ma propone come garante un'organizzazione del mondo dello spettacolo (oppure, come ho visto in un caso "RAGAZZI ME LO HA INVIATO UN MIO AMICO INGENIERE CHE LA SUA DITTA E’ STATA FREGATA CON QUESTO ECCO PERCHE’ VE LO GIRO, CREDO SIA MOLTO IMPORTANTE E DI LUI MI FIDO…. CIAO". Con tutto il rispetto per la FITA e per gli ingenieri, non credo che li si possa chiamare fonti serie quando si tratta d'informatica. Ma qualcuno evidentemente pensa di sì.

A questo punto dovrei concludere con il solito suggerimento di cancellare questi appelli inutili senza inoltrarli, magari avvisando il mittente che è incappato in una bufala. Ma dopo tutti questi anni di caccia inutile ai bufalovirus, che tuttora mietono vittime così facilmente, mi viene voglia di offrire un suggerimento differente: rispondete a chi vi ha mandato l'appello con un messaggio intitolato "Invito". Così magari seguirà il consiglio dell'appello e spegnerà il computer. Per sempre, se possibile.

Perché è vergognoso che a distanza di tutti questi anni, e con la facilità con la quale oggi basta immettere in Google "peteivan@hotmail.it" per trovare la risposta, ci sia ancora in giro gente che inoltra qualunque scemenza ricevuta da chissà chi, senza prendersi la briga di riflettere un microsecondo.

Non ci sono più i virus di una volta? Ci sono, ma stanno dormendo e prima o poi si sveglieranno

Dove sono finiti i grandi virus? Il decennio che si sta chiudendo era partito con grandi infezioni di massa, come Iloveyou, che nel 2000 infettò circa 50 milioni di computer, Code Red nel 2001, Slammer nel 2003, e così via. Ma ormai sono anni che non capita più una grande infezione devastante. Oggi le regole del gioco sono diverse: si infettano ancora i computer, ma senza dare nell'occhio, per usarli per altri scopi.

C'è un caso, in particolare, che sta mettendo in agitazione da tempo gli addetti ai lavori. Nei primi mesi del 2009 c'è stato infatti un notevole allarme per Conficker, che sembrava destinato a ripetere gli exploit da prima pagina degli illustri (o infami) predecessori succitati, avendo infettato con successo per esempio le reti informatiche della Camera dei Comuni e di vari ospedali nel Regno Unito e delle forze militari francesi, tedesche e britanniche. Poi più nulla. Il primo d'aprile, data prevista di attivazione del virus (più propriamente worm), doveva esserci la catastrofe, ma non c'è stata. Cos'è successo?

Conficker non è stato debellato: è ancora là fuori, in letargo, e gli esperti si stanno chiedendo quando si sveglierà e che cosa combinerà. Secondo le ricerche del Conficker Working Group, il team di specialisti formatosi proprio per gestire questa specifica minaccia dormiente, il worm ha infettato sproporzionatamente i sistemi informatici in Africa, in America Latina e nei paesi in via di sviluppo, e al momento è presente in tutto il mondo dentro circa sei-sette milioni di PC Windows. Secondo il CWG, non c'è mai stata un'infezione così pervasiva e persistente.

Un successo senza precedenti dal punto di vista dei misteriosi gestori di questo software ostile, ma un successo che forse li ha spiazzati: si trovano fra le mani un potenziale enorme, probabilmente maggiore del previsto, e non sanno come sfruttarlo senza bruciarlo e attirare troppa attenzione. Conficker è come una bomba atomica: troppo potente per poterla usare, se non in situazioni estreme, e con il rischio di scatenare una reazione violentissima dell'avversario.

Il CWG mette a disposizione i link agli antivirus che da tempo riconoscono ed eliminano Conficker, ma l'infezione persiste. I dati per la Svizzera, per esempio, indicano quasi 2200 indirizzi IP infetti (quindi, grosso modo, altrettanti computer); quelli per l'Italia segnalano circa 150.000 indirizzi IP dai quali fa capolino Conficker. Le statistiche del CWG fanno nomi e cognomi dei provider che ospitano gli appestati, e ce n'è per tutti.

Siamo insomma seduti su un vulcano. È quindi il caso di fare qualche controllo antivirale in più, specialmente sulle penne USB e sui dischi rigidi scambiati con amici e colleghi, prima che i padroni di questo worm si sveglino e decidano di usare il loro strumento (e magari il vostro computer) per scopi sicuramente non confortanti.

Rick Astley, fatti da parte: arrivano i professionisti dei virus

Sono passate solo un paio di settimane dall'annuncio del primo worm per iPhone, una burla sostanzialmente innocua che faceva comparire Rick Astley come sfondo del telefonino, ed è già arrivato il primo worm ostile che sfrutta la medesima tecnica per replicarsi e infettare il cellulare di Apple.

Il provider olandese XS4ALL ha infatti scoperto che alcuni suoi clienti dotati di iPhone sono infettati da un programma che tenta attivamente di intrufolarsi negli iPhone altrui, saccheggiando i loro archivi di SMS alla ricerca di messaggini usati per autenticare le transazioni bancarie.

L'attacco funziona soltanto sugli iPhone che sono stati sbloccati dagli utenti usando i vari sistemi di jailbreaking disponibili in Rete per potervi installare software (in particolare SSH) senza dover passare dalle autorizzazioni (e dalle casse) di Apple, e soltanto se l'utente è stato così malaccorto da non cambiare la password di root standard del telefonino.

Le vittime si trovano il cellulare comandato da ordini che arrivano dalla Lituania: il worm provvede inoltre a cambiare la password di root dell'iPhone, in modo che il legittimo proprietario non possa riprenderne facilmente il controllo, e assegna un identificativo unico a ciascun iPhone infetto.

Il rimedio consigliato, in caso d'infezione, è un reset del telefonino usando l'apposita funzione di iTunes, che naturalmente annulla anche lo sblocco effettuato intenzionalmente dall'utente. Maggiori dettagli sul worm sono disponibili presso Sophos.com e F-secure.

E intanto, ironia della sorte, il creatore del primo worm per iPhone, il ventunenne Ashley Towns, trova impiego: è stato assunto da una società australiana che sviluppa software per il cellulare con il logo della mela morsicata.

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Finalmente un virus anche per iPhone. Perché lasciare agli altri tutto il divertimento di avere uno sconosciuto che ti entra nel telefono e gli fa fare quello che gli pare? Ora anche gli utenti del cellulare feticcio di Apple (che è un buon telefonino, ma non tanto da venerarlo come fanno alcuni, specialmente chi non ce l'ha) possono vedere soddisfatta questa lacuna.

Arriva infatti dall'Australia un vero e proprio worm autopropagante: ogni iPhone infetto cerca altri iPhone attraverso la rete telefonica e si installa in quelli che trova. Ma il titolo di Apple in borsa non è precipitato e non c'è alcuna pandemia cellulare, perché il worm ha i denti limati.

Infatti funziona soltanto sugli iPhone ai quali è stato applicato un jailbreak, letteralmente una “fuga dal carcere”, ossia ai quali è stata rimossa la protezione messa da Apple per bloccarne alcune funzionalità e vietare all'utente di installare software non approvato dalla società della mela morsicata. E fra gli iPhone con jailbreak, colpisce soltanto quelli ai quali è stato installato il programma SSH e non è stata cambiata la password di amministratore supersegreta, ossia alpine. State cominciando a sbadigliare?

Ma Graham Cluley di Sophos procede inesorabile nella descrizione di quello che si candida ad essere il worm più fiacco della storia: vale la pena parlarne lo stesso, perché oltre a essere un proof of concept (una dimostrazione di fattibilità) mi offre lo spunto per raccontare un po' di folklore internettiano.

L'unico danno che fa questo programma autoreplicante, infatti, è cambiare lo sfondo dell'iPhone infettato, mettendovi una foto del cantante Rick Astley e la dicitura “ikee is never going to give you up”. Un chiaro riferimento a una delle canzoni di maggior successo di Astley, Never Gonna Give You Up, annata 1987, ma un chiarissimo messaggio per i conoscitori del folklore di Internet: il worm è un rickroll, ossia una presa in giro, secondo una tradizione scoppiata nel 2007.

Il rickroll consiste nel fornire, durante una conversazione online, un link che sembra portare a qualcosa di altamente desiderato o provocatorio (per esempio il celebre video in cui Carla Bruni si sfila le mutandine e le porge maliziosamente a Sarkozy durante una funzione pubblica, credendo di non essere ripresa) ma che in realtà porta al video della canzone di Rick Astley. L'arte del rickroll sta nel creare una descrizione del link che contiene un vago indizio della sua natura burlesca, che verrà ignorato a causa della concitazione e del desiderio evocati dalla descrizione stessa. Il divertimento sta nel vedere quanta gente ci casca. Tanta, a quanto pare: il video di Astley su YouTube usato solitamente per i rickroll ha superato quota 21 milioni di visioni.

Ma torniamo alla parte tecnica del worm. Non ci sono per ora segnalazioni di infezioni al di fuori dell'Australia; non funziona sugli iPhone e iPod touch non sbloccati (senza jailbreak); richiede che sia installato SSH e che non sia stata cambiata la password di default. Se riesce a installarsi, cerca altri iPhone nelle stesse condizioni e li infetta. L'analisi di Sophos indica che si tratta di un worm dimostrativo sostanzialmente innocuo, ma nulla vieta di usarne il canovaccio per creare versioni più aggressive.

Va detto che cambiare lo sfondo del cellulare è comunque un'intrusione non autorizzata in un dispositivo informatico, ossia un reato punibile in molti paesi, e può avere un costo non banale, sia per ripristinare lo sfondo desiderato, sia per la paura di furto di dati che può evocare. È comunque un forte richiamo a fare attenzione quando si modifica un apparecchio: se non si sa esattamente cosa si sta facendo, c'è il rischio di farsi male esponendosi inconsapevolmente ad attacchi ben più gravi di un video degli anni Ottanta che parte a sorpresa.

Fabbricanti di virus sfruttano terremoti e tsunami per infettare

Nuova puntata di una delle forme più squallide di criminalità online. Netguide e McAfee segnalano un nuovo cavallo di Troia per Windows che specula sulle terribili notizie che arrivano dalle aree colpite dal terremoto nell'isola indonesiana di Sumatra e dallo tsunami che ha devastato le isole Samoa.

Chi cerca tramite Google informazioni su questi disastri rischia di imbattersi in siti nei quali compaiono finestre pop-up che avvisano l'utente che il suo computer è infetto. Se l'utente abbocca alla trappola, viene invitato a scaricare e installare Windows PC Defender, che sembra un antivirus ma è in realtà un falso programma che fa comparire avvisi d'infezione e dice che solo la versione a pagamento di Windows PC Defender può eliminare l'infezione.

Anche quest'ultimo avviso è fasullo: è solo una truffa per spillare soldi a chi non ha preso precauzioni adeguate, e c'è il rischio aggiuntivo di trovarsi il computer più infetto di prima e con a bordo del software spia (date un'occhiata a quante modifiche apporta a Windows quest'ennesima porcheria). Evitate di fidarvi degli avvisi che compaioni nei siti che visitate, e procuratevi un buon antivirus. Uno vero: chiedete ai vostri amici quale usano loro. I principali antivirus riconoscono già questa nuova minaccia.

Più in generale, conviene prendere l'abitudine di non girare a caso per Internet: se vi servono notizie, andate direttamente ai siti delle principali testate giornalistiche. Se poi usate un sistema operativo diverso da Windows, questi cavalli di Troia non saranno eseguibili sul vostro computer e vi accorgerete subito del tentativo d'infezione, perché le finestre pop-up simulano le finestre di Windows anziché quelle del vostro Linux o Mac OS X.

Windows 7, versione preliminare in prova gratuita fino a giugno 2010

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Se vi interessa provare la Release Candidate (una sorta di ultima bozza quasi definitiva) di Windows 7, il successore di Vista, potrete farlo legalmente e gratuitamente per 13 mesi, dal 5 maggio prossimo al primo giugno del 2010. Le date erano state rivelate da una fuga di notizie e sono state confermate ieri da Microsoft, come riferisce Computerworld.

Questa Release Candidate è già disponibile da ieri agli sviluppatori del Microsoft Developers Network (MSDN) e agli utenti paganti di TechNet, in versione a 32 bit e a 64 bit. Tuttavia le pagine dalle quali scaricare il sistema operativo sono rimaste a lungo inaccessibili, come lamentano gli utenti.

Aggiornamento: Windows 7 è ora disponibile a tutti presso l’Evaluation Center italiano. Grazie a Renato per la dritta.

Va sottolineato che si tratta di una versione di prova, da non usare per lavoro o per situazioni critiche, e che scaduto questo termine temporale il prodotto smetterà di funzionare e non sarà possibile aggiornarlo alla versione definitiva.

E' un periodo di prova ben più lungo rispetto alle versioni di prova di Windows Vista, che funzionarono per un massimo di otto mesi (da settembre 2006 al primo di giugno 2007).

Ci sono buone notizie per questa nuova versione: finalmente è stato rimosso quasi completamente l'Autoplay/Autorun che ha permesso a tante infezioni virali, compreso il recente Conficker, di propagarsi semplicemente collegando al PC una penna USB, un CD/DVD o un disco rigido infetto. Ci sarà anche una finestra di compatibilità con Windows XP, ma sarà una macchina virtuale scaricabile come opzione, per cui richiederà un computer dalle prestazioni decisamente vivaci.

Microsoft sta facendo di tutto per blindare e velocizzare il suo nuovo sistema operativo, soprattutto all'avvio e alla chiusura, ed evitare le lamentele che hanno afflitto Vista. La BBC cita anche un taglio di 400 millisecondi alla musica di Windows 7, vantato da John McCurran di Microsoft UK, per rendere più rapida la chiusura del sistema operativo. Wow. Io avrei un'idea ancora più brillante: sbarazzarsi completamente della musica di chiusura.

Battute a parte, la gestione della grafica dovrebbe essere più snella e le prime recensioni indicano un'effettivo miglioramento delle prestazioni rispetto a Vista. Visivamente, Windows 7 sembra essere una versione drasticamente ripulita e snellita di Vista (con degli sfondi assolutamente psichedelici, da non perdere), per cui la migrazione non dovrebbe essere troppo sofferta. La versione base dovrebbe poter girare (con alcune limitazioni) anche sui netbook di fascia medio-alta.

Una raccomandazione importante: non scaricate le copie pirata che sono già in circolazione. Molte sono infette e sono un perfetto veicolo di propagazione di ogni sorta di porcheria informatica.

Anche i Mac finiscono zombificati

Gli esperti della società di sicurezza informatica Symantec hanno annunciato di aver scoperto quella che sembra essere la prima botnet di Mac, ossia una rete di computer Apple infetti e comandati da un unico padrone come se fossero zombi, in questo caso per lanciare attacchi contro siti specifici interrompendone o intasandone i servizi (denial of service).

La scoperta chiarisce ulteriormente il concetto che l'invulnerabilità di Mac OS X è un mito: la realtà è che qualunque sistema operativo è robusto quanto lo è l'anello più debole della sicurezza informatica, che è l'utente. Infatti le due varianti di software ostile per Mac che stanno creando la botnet circolano in Rete veicolate da copie pirata della suite di programmi iWork 09 e Adobe Photoshop CS4. Entrambe catturano la password dell'utente e prendono il controllo del Mac infetto usando tecniche di vario genere: per infettarsi è comunque sufficiente installare i programmi piratati, che funzionano regolarmente senza rivelare che sono cavalli di Troia.

Non si tratta quindi di virus, ma di trojan, e nessun sistema operativo è a prova di utente incosciente. Secondo i ricercatori Mario Ballano Barcena e Alfredo Pesoli del Virus Bulletin di Symantec e le ricerche complementari di Intego, i Mac infettati in questo modo sono alcune decine di migliaia e vengono già usati attivamente per scopi criminali, come segnala questo blog, che mostra uno script PHP che gira come root e attacca un sito (la cui identità non viene mostrata).

Un altro mito che cade è quello che il numero di utenti Mac sia troppo basso per renderli un bersaglio appetibile per i vandali e criminali informatici. A fine 2008, Apple deteneva il 7,2% del mercato dei personal computer negli USA: una quota di mercato evidentemente sufficiente a ingolosire i malfattori, tentati forse anche dalla diffusa tendenza degli utenti Mac a comportarsi in modo imprudente perché si ritengono immuni.

Rimuovere l'infezione è abbastanza facile, secondo Symantec, usando queste istruzioni.

Fonti: ZDNet, CBC.ca, Slashdot, The Register.

Conficker rivela il suo piano: ricattare le vittime

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Se vi compare sullo schermo un avviso di SpywareProtect 2009 come quello qui accanto (tratto da Kaspersky.com), probabilmente siete fra le vittime di Conficker, il virus/worm che i media avevano annunciato come un pericolo su vasta scala per il primo d'aprile senza che in realtà succedesse granché.

Adesso che molti hanno abbassato la guardia, Conficker s'è svegliato sul serio, come riferiscono PCworld.com, TrendMicro.com e Kaspersky.com. Veicola varie porcherie virali, una delle quali si spaccia per un antivirus che dice di aver trovato dei pericoli sul computer della vittima e chiede una cinquantina di dollari per "eliminarli".

E' la moda del momento fra i criminali informatici: si chiama scareware, ossia "software che gioca sullo spavento". Circolano vari programmi che dicono di essere antivirus ma in realtà sono programmi ostili che sfruttano la paura degli utenti per convincerli a scaricarli e installarli (e spesso oltretutto pagarli, aggiungendo danno al danno).

Un'altra particolarità di questa nuova evoluzione di Conficker è che i computer che vengono infettati vengono poi dati in affitto agli spammer, che li usano per disseminare la loro posta-spazzatura. L'origine di questo attacco sembra essere l'Est europeo, specificamente l'Ucraina, a giudicare dal fatto che la prima versione del worm controllava il layout di tastiera ed evitava specificamente di infettare il PC se rilevava il layout ucraino, come spiega Microsoft Technet.

La raccomandazione classica è la solita: procuratevi preventivamente un buon antivirus da una fonte fidata (chiedete ad amici e colleghi) invece di accettare le offerte provenienti da sconosciuti; non agitatevi quando compare un messaggio d'allarme sullo schermo, ma riflettete prima di cliccare e chiedete un consulto ad esperto di cui vi fidate.

Hack in the USSR

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

PaulMcCartney.com, il sito del popolarissimo ex Beatle dato per morto quarant'anni fa da una celebre leggenda metropolitana, è stato violato pochi giorni fa iniettandovi LuckySploit, un programma ostile che fra le altre cortesie sfrutta le vulnerabilità dei browser degli utenti e una falla del software Adobe per la gestione dei file PDF per tentare di installare un rootkit nei computer dei visitatori del sito che non si sono protetti adeguatamente e che non hanno installato gli aggiornamenti già resi disponibili da Adobe.

L'attacco è stato mirato e calcolato per coincidere con il concerto di beneficenza che ha visto insieme a New York Paul McCartney e Ringo Starr. La società di sicurezza Scansafe segnala che l'attacco è stato rilevato il 5 di aprile scorso e subito bloccato, ma secondo Infosecurity il sito è rimasto infetto per tre giorni. La violazione sembra aver avuto come obiettivo l'infezione dei computer degli utenti allo scopo di rubare le loro password di accesso a servizi bancari e simili. Erano a rischio gli utenti Windows; gli utenti di altri sistemi operativi non erano nel mirino degli aggressori.

Il codice ostile portava i computer delle vittime a un singolo indirizzo IP di Amsterdam, che è stato bloccato. I sintomi e la sofisticazione dell'attacco (Iframe nascosto, Javascript offuscato, encoding non standard dei caratteri, certificato SSL per cifrare il proprio carico di istruzioni ostili) puntano a un'operazione molto professionale. I tempi dei vandali virali sono proprio finiti.

Conficker, tanto rumore per nulla? Fate l'esame della vista per sapere se siete infetti

La fatidica data del primo d'aprile, alla quale il virus/worm Conficker avrebbe dovuto devastare Internet secondo alcune fonti (ne trovate qui su Sophos.com una bella compilation), è passata e non è successo nulla di significativo. È soltanto clamore inventato dai media per aumentare gli ascolti o c'è sotto qualcosa di concreto?

Sicuramente i titoli incentrati sulle catastrofi informatiche del primo d'aprile sono stati esagerati. Quello che è concreto è che in quella data Conficker doveva cambiare l'algoritmo che gli dice quali siti contattare per ricevere istruzioni dai suoi padroni, adottandone una versione molto più difficile da contrastare.

Ma il fatto che questa data sia passata senza novità vistose non significa che si può abbassare la guardia: ci sono tuttora alcuni milioni di computer infetti, in giro per il mondo (le stime variano da 2 a 15 milioni), che sono a tutti gli effetti agli ordini dei padroni di Conficker.

Il virus (più propriamente worm) è riuscito a infettare le reti informatiche della Camera dei Comuni nel Regno Unito e delle forze militari di Francia, Germania e Regno Unito. Quest'orda di computer può essere usata in qualsiasi momento per qualunque scopo. Si presume che lo scopo sia, in un modo o nell'altro, il lucro illecito.

Alcuni mesi fa è stato creato il Conficker Working Group, un consorzio di società di sicurezza informatica, che ha recentemente scoperto una sorta di "impronta digitale" di Conficker che ne facilita enormemente l'identificazione. Questo consorzio segnala che Conficker si sta evolvendo: le versioni A e B del virus annidate nei computer infetti in giro per il mondo sono state aggiornate dai suoi padroni alla versione più recente, etichettata Conficker.C, Conficker.D o Downadup.C, che ha cambiato comportamento: non cerca più nuove vittime tramite le connessioni di rete e le penne USB, e invece di aggiornarsi contattando una vastissima serie di siti che cambia continuamente, come ha fatto finora, cerca gli aggiornamenti con un metodo peer-to-peer, contattando altre macchine infette.

Il CWC è riuscito a sabotare buona parte dei tentativi di aggiornamento di Conficker, ma persiste uno zoccolo duro di macchine infette e aggiornate. La difesa si articola su alcuni punti principali:

• Conficker agisce soltanto su computer Windows: gli utenti Mac e Linux sono immuni ma potrebbero subire gli effetti collaterali di eventuali azioni su vasta scala da parte del virus (se Conficker intasa Internet o devasta un sito, la risorsa diventa inaccessibile per tutti i computer, di qualunque tipo).
• Ogni file ricevuto, da qualunque fonte, va controllato con un antivirus aggiornato.
• Tutti i principali antivirus sono in grado di riconoscere Conficker nelle sue varianti.
• Dato che molte macchine sono ancora infette con la vecchia variante di Conficker, bisogna continuare a fare attenzione nel condividere penne USB e connessioni di rete.
• Usate password non banali: Conficker è in grado di decifrare quelle più comuni.
  
• Uno dei sintomi d'infezione è che i siti dei produttori di antivirus diventano inaccessibili, e per questo è stato creato un "esame della vista" anti-Conficker, disponibile qui, che si basa sul principio di mostrarvi i loghi delle principali società antivirali, tratti direttamente dai loro siti: se li vedete, vuol dire che siete in grado di accere a questi siti e quindi è improbabile che siate infetti da Conficker.
• Come sempre, gli aggiornamenti di sicurezza di Microsoft, già disponibili da tempo, devono essere installati per turare la vulnerabilità che aveva permesso la propagazione iniziale di Conficker; in particolare deve essere installato l'aggiornamento MS08-67.

Se scoprite di essere già infettati da Conficker, niente paura: contattate un tecnico esperto oppure, se sapete come funziona il vostro PC, scaricate e adoperate uno dei vari strumenti di rimozione gratuiti (Sophos; Symantec; F-secure; McAfee).

Qui sotto trovate una mappa non molto rassicurante delle infezioni di Conficker, tratta dal sito del Conficker Working Group.

Fantascienza, 11 settembre, spazio e scienza, in attesa di Conficker

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

L'appuntamento radiofonico del Disinformatico di domattina salta perché sono in partenza per la Deepcon 1o - Italcon 35 - Eurocon 2009, uno dei raduni ai quali cerco di non mancare mai, per ritrovare gli amici e per conoscere in carne e ossa gli attori e i realizzatori delle varie serie e gli scrittori di fantascienza.

Quest'anno gli attori ospiti sono Anthony Simcoe (Farscape), Max Grodenchik (Deep Space Nine) e Marina Sirtis (Star Trek: the Next Generation, Stargate e altre serie e film); sul versante tecnico ci sono Lolita Fatjo, Larry Nemecek e Janet Nemecek. Andrea Salsi, del CICAP, presenterà una conferenza su UFO, rapimenti alieni e "capelli d'angelo". Ci sarà anche lo scrittore Bruce Sterling insieme a molti altri nomi noti del panorama letterario italiano e internazionale. Il programma completo, ghiottissimo in tutti i sensi (la mitica Eatcon va vissuta per crederci), è qui su DS1.it. Io presenterò una conferenza sui lunacomplotti domenica mattina.

Per gli appassionati di aviazione, segnalo sul blog Undicisettembre un articolo che traccia, lasciando da parte i complottismi, la storia dei caccia e dei piloti che si levarono in volo come prima linea di difesa quel giorno.

La Stazione Spaziale è diventata da poco uno degli oggetti più luminosi in cielo (preparatevi alla raffica di avvistamenti di "UFO" che produrrà) grazie all'aggiunta di quattro enormi nuovi pannelli solari altamente riflettenti; dopo dieci anni di lavoro, ha quasi raggiunto la sua configurazione definitiva. Una bella immagine della serie completa di pannelli è all'inizio di quest'articolo ed è tratta dal sito Nasa.gov. Proviene da un video ripreso dagli astronauti dello Shuttle, che si è sganciato dalla Stazione e si appresta a rientrare: ma gli astrofili da terra hanno già scattato immagini notevoli della più grande struttura mai costruita nello spazio. Qui sotto ne vedete un esempio di Ralf Vandeberg, tratto da qui:



La foto è stata scattata con un semplice telescopio newtoniano da 25 cm, con tracciamento manuale, e include lo Shuttle attraccato.

E se vi sembra che questo sia un bel modo di assistere alle missioni spaziali, che ne dite di gettarvi con il paracadute e la tuta planante nelle vicinanze della zona di lancio dello Shuttle, all'esatto momento del decollo? Il video è qui.

Nel frattempo sono stati recuperati circa 50 frammenti del primo asteroide la cui collisione con la Terra è stata prevista e registrata: 2008 TC3, un oggetto roccioso piuttosto fragile, grande come un'automobile, disintegratosi sopra il deserto del Sudan a ottobre scorso. Lo segnala la BBC con due articoli: uno e due. The Register e la Nasa hanno foto dei meteoriti recuperati. Non perdetevi la "scia chimica" della meteora.

Che fate il primo d'aprile? Attenti agli scherzi, ma questa che sto per dirvi non è una burla: il primo d'aprile è la data prevista di attivazione di Conficker, uno dei worm/virus più efficienti e sofisticati degli ultimi anni. Ha ormai infettato vari milioni di computer e nessuno sa di preciso cosa farà. Se vi interessano la sua storia e i dettagli dei rischi potenziali, date un'occhiata a questo articolo su Gizmodo e a questo su Slashdot. Anche The Register riassume bene la situazione e segnala l'analisi di Symantec e quella, dettagliatissima, di SRI.

E visto che chi ha un Mac non può partecipare alla grande festa di zombificazione del primo d'aprile, Sophos ha un bel video in cui dimostra un trojan (cavallo di Troia) per Mac, camuffato da programma per la TV in alta definizione. Non sfrutta una vulnerabilità di Mac OS X, ma la vulnerabilità psicologica dell'utente. E occhio se visitate con un PC Windows il sito-trappola citato da Sophos: c'è altro malware apposta per voi.

Falla nei PDF, disattivate Javascript nel vostro lettore

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Uno dei vantaggi del formato PDF, popolarissimo per la distribuzione digitale di documenti, è sempre stata la sua sicurezza: non poteva essere usato come vettore di infezioni o di attacchi informatici (come vettore di scemenze letterarie sì, ma questa è un'altra storia). Non è più così.

Arriva infatti dal sito di sicurezza informatica Shadowserver.com la segnalazione di un vulnerabilità "molto grave" in Adobe Acrobat Reader, uno dei più diffusi programmi per la lettura di questo formato PDF, e specificamente nelle sue versioni 8 e 9; non è ancora confermata la vulnerabilità del programma Acrobat completo (quello usato per generare e modificare i documenti PDF) è stata confermata dopo la prima stesura di questo articolo.

Sono già in corso attacchi basati su questa vulnerabilità, che viene scatenata utilizzato le funzioni Javascript presenti nel programma: la vittima riceve un PDF appositamente confezionato e il suo computer va in tilt in vari modi a seconda del sistema operativo e della quantità di memoria installata, permettendo l'esecuzione di codice ostile a piacimento dell'aggressore.

La soluzione, in attesa del rattoppo da parte di Adobe, è disabilitare Javascript nel programma: in questo modo, un PDF infetto farà crashare il Reader ma non farà altri danni. Per eseguire questa disabilitazione basta andare in Modifica - Preferenze - Javascript e disattivare la casella dedicata al Javascript (Edit -> Preferences -> JavaScript, disattivare Enable Acrobat JavaScript). I principali antivirus sono già in grado di rilevare questo tipo di attacco.

Microsoft mette una taglia da 250˙000 dollari sugli autori di Conficker

Il worm Conficker/Downadup ha infettato circa dieci milioni di computer, secondo le stime più recenti, e il peggio deve ancora venire, stando a quanto emerge dalla sua analisi. I computer infetti sono infatti un esercito silenzioso di zombi in attesa di ordini dal loro padrone virale.

Il diffondersi di Conficker ha indotto Microsoft a rispolverare l'Anti-Virus Reward Program, creato nel 2003 nell'ambito della lotta ai virus/worm Sobig e Blaster. In un caso, quello del worm Sasser, la taglia indusse al tradimento i soci di Sven Jaschan, condannato come autore del programma ostile. La speranza è che la nuova taglia di 250.000 dollari faccia altrettanto con gli autori di Conficker. L'annuncio di Microsoft è qui.

La minaccia di Conficker è ormai riconosciuta da tempo da tutti i principali antivirus, ma c'è sempre una bella percentuale di irresponsabili utenti di Windows che non usa, usa male o non aggiorna l'antivirus e scambia chiavette USB con estrema promiscuità: per esempio, la rete informatica giudiziaria di Houston, nel Texas, è stata bloccata per giorni, rendendo necessario sospendere gli arresti per reati minori, il pagamento delle cauzioni e tornare a carta e penna per l'amministrazione. I paesi più colpiti da Conficker sono, secondo Panda Security, Spagna, Stati Uniti, Taiwan e Brasile. Ma c'è di meglio in questa gara di salto in basso: da Londra arriva la notizia della paralisi della rete informatica di tre ospedali della capitale britannica infettati da Mydoom, che risale a cinque anni fa.

Gli altri sistemi operativi sono immuni all'infezione di Conficker, ma possono risentire dei suoi effetti collaterali: un elevato traffico sulla rete locale che rallenta i sistemi.

L'ICANN e i gestori dei DNS stanno collaborando per disabilitare i dominii usati di volta in volta da Conficker per ricevere ordini dai suoi padroni (ne usa 250 differenti ogni giorno), e OpenDNS ha attivato un sistema di tracciamento e bloccaggio su misura per questo worm, a disposizione degli amministratori delle reti informatiche, che permette di sapere quando un qualunque computer della propria rete chiama un dominio usato da Conficker ed è quindi infetto.

Quando il virus arriva su carta

Nuove frontiere delle aggressioni virali: il SANS Institute segnala che a Grand Forks, nel North Dakota, vari automobilisti hanno trovato sui propri veicoli dei volantini che li avvisavano di un'infrazione al codice della strada dovuta al modo in cui avevano parcheggiato e li invitavano a visitare un sito specifico (che non cito qui) per vedere immagini dell'infrazione.

In realtà il sito usa un trucco psicologico per installare un virus, o meglio un trojan horse, denominato Vundo, che si spaccia per un antivirus. Gli aggiornamenti dei principali antivirus (quelli veri!) sono già in grado di riconoscere questo attacco decisamente originale.

L'aspetto del sito-trappola è quello di un servizio dedicato alla pubblicazione di foto di infrazioni automobilistiche: per consultarlo, chiede di installare un apposito programma, PictureSearchToolbar.exe, che in realtà inietta nel computer della vittima (se si tratta di una macchina Windows che visita il sito con Internet Explorer) una DLL ostile dal nome generato a caso.

A sua volta, questa DLL scarica di nascosto da Childhe.com un'altra DLL. Al riavvio del computer, durante la navigazione in Internet compare un falso avviso di sicurezza, che informa l'utente di "vari segni della presenza di virus e malware" e offre una scansione gratuita del computer infetto. Cliccando su OK, la vittima viene portata a un sito che ospita un antivirus fasullo, che in realtà fa da talpa per infettare il computer della vittima con ogni sorta di porcherie.

E' la prima volta, a quanto mi risulta, che una campagna d'infezione virale sfrutta un oggetto del mondo reale a basso costo come un foglio di carta (ci sono precedenti a base di penne USB infette lasciate in giro, ma sono approcci costosi). Altre immagini di questa nuova tecnica, come la schermata qui sopra, sono pubblicate da McAfee.

L'attacco gioca dunque sulla pressione psicologica doppiamente (oddio, ho preso una multa; oddio, ho il computer infetto) per scavalcare le difese informatiche dell'utente e depositare nel suo computer un malware che per il resto segue uno schema già visto, quello del falso antivirus: la novità sta nell'esca cartacea.

Visto che quest'attacco richiede manovalanza sul posto e permette di circoscrivere il tentativo d'intrusione a una zona geografica ben precisa, viene da chiedersi se la scelta di Grand Forks sia mirata. Il nome della località è infatti ben noto a chi si occupa di sicurezza militare strategica, perché è quello dell'unica base di missili antimissili nucleari mai installata dagli Stati Uniti: i missili sono stati poi smantellati, ma la base rimane ed ora è candidata ad essere l'area di collaudo dei nuovi aerei senza pilota. Un caso?

Comunque sia, provo una certa invidia per la genialità di questi criminali e non posso fare a meno di pensare che sarebbe una bella forma di vendetta verso gli idioti che parcheggiano come se fossero i padroni del mondo.

Windows 7 vulnerabile a Conficker: è ora di pensionare l'Autoplay?

F-Secure segnala che il trucchetto d'ingegneria sociale usato da Conficker funziona anche con Windows 7.

Se si inserisce una penna USB infetta in una macchina Windows 7, compare la finestra di Autoplay, che chiede all'utente cosa fare. La finestra contiene un'opzione-trappola: è la prima nella figura qui accanto, che sembra essere un invito ad aprire una cartella (dunque un gesto che riteniamo innocuo) ma in realtà esegue Conficker.

In Windows Vista l'opzione-trappola può saltare all'occhio maggiormente, perché la dicitura "Open folder to view files" è sempre in inglese (è hardcoded nella riga Action dell'autorun.inf scritto da Conficker) a prescindere dalla lingua del sistema operativo ospite. Presumo che chi sta collaudando Windows 7 abbia invece scelto la versione inglese, nella quale la trappola si mimetizza molto bene. Quanti, infatti, noteranno che sopra l'icona autentica di Windows c'è scritto "Install or run program"?

The Register suggerisce che visto che Windows 7 è ancora in beta, ci sia ancora tempo per modificare il modo in cui funziona l'Autoplay e renderlo un grimaldello meno efficace, o per eliminarlo del tutto. Credo che saremmo in tanti a rinunciare volentieri alla relativa comodità di questo automatismo in cambio di una maggiore sicurezza.

Intanto arrivano segnalazioni di danni causati da Conficker e soprattutto dalla scelleratezza dei manager responsabili per l'aggiornamento dei computer. Sempre secondo The Register, la rete informatica degli ospedali di Sheffield, nel Regno Unito, ha oltre 800 PC infetti, grazie anche al fatto che era stata presa la decisione di disattivare gli aggiornamenti di sicurezza su tutti e 8000 i PC della rete dopo che nella settimana di Natale i PC di una sala operatoria si erano riavviati nel bel mezzo di un intervento chirurgico. Brr.

Come se non bastasse, un'epidemia di Conficker sembra essere la causa dei guai ai sistemi informatici della Marina Militare britannica. Sì, perché le navi da guerra e i sommergibili di Sua Maestà usano NavyStar/N*, un sistema basato su PC Windows standard. Siamo in buone mani: chi ha bisogno di missili e soldati, quando grazie all'incoscienza dei governanti basta un virus informatico per seminare la confusione nelle forze armate del nemico? Evidentemente nessun ministro della difesa guarda Battlestar Galactica.

Aggiornamento: istruzioni Microsoft sbagliate (2009/01/21)

Il CERT avvisa che le istruzioni di Microsoft per disabilitare l'Autoplay/Autorun sono sbagliate:

According to Microsoft, setting the NoDriveTypeAutorun registry value to 0xFF "disables Autoplay on all types of drives." Even with this value set, Windows may execute arbitrary code when the user clicks the icon for the device in Windows Explorer.

Le istruzioni corrette secondo il CERT sono indicate nell'avviso. Grazie a Luigi per la segnalazione. In sintesi: copiate e incollate le tre righe seguenti nel Blocco Note di Windows e salvatele con il nome autorun.reg.

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

In Esplora Risorse, fate doppio clic su questo file. Poi riavviate Windows.

Aggiornamento (2009/01/22): Microsoft ha corretto le istruzioni

Microsoft ha pubblicato le istruzioni corrette e aggiornate in inglese; la versione italiana è per ora una traduzione automatica non molto comprensibile.

Siamo tornati ai vecchi tempi delle grandi epidemie virali

Il worm Conficker avrebbe, secondo F-Secure, raggiunto quota 9 milioni di macchine infette. F-Secure spiega qui la sua metodologia. C'è un po' di controversia a proposito di questi dati, ed è comprensibile, visto che provengono da una parte interessata (un produttore di soluzioni antivirali).

The Register segnala che Microsoft, con l'aggiornamento di gennaio, ha aggiunto al proprio tool di rimozione di software ostile delle routine per rimuovere Conficker dalle macchine infette, e che secondo Qualys il 30% delle macchine Windows non ha ancora installato la patch di Microsoft che tura la falla e che risale a ottobre 2008.

La BBC intervista Sophos e Kaspersky, che sottolineano l'irresponsabilità delle tante aziende che non hanno ancora installato la patch Microsoft di ottobre scorso e ricordano i rischi derivati dall'uso di password deboli (che Conficker sa indovinare) e dallo scambio di dati tramite penne USB.

Al di là delle cifre precise in gioco, questo è un attacco tecnicamente sofisticato e su scala inusitata, che richiama le grandi crisi virali di Happy99, Iloveyou, Blaster, SQLHell, Mydoom e compagnia bella degli anni passati. Gli utenti Linux e Mac, intanto, restano immuni al problema e vanno avanti a lavorare.

Zitto zitto, Conficker infetta tre milioni e mezzo di utenti

Anche a voi pare strano che da un bel po' di tempo a questa parte non ci siano più le epidemie di virus informatici che periodicamente si scatenavano in passato? Infatti ci sono ancora, ma sono diventate più discrete, ora che lo scopo delle infezioni non è fare danni visibili, ma introdursi di soppiatto per poi usare il sistema infetto per altri crimini.

F-Secure segnala appunto Conficker, noto anche come Downadup, che si aggira per la Rete da novembre scorso e sfrutta una vulnerabilità di Windows (la MS08-067) che Microsoft ha già corretto da tempo (da ottobre 2008). L'ultimo conteggio indica che i PC infettati nel mondo sono oltre tre milioni e mezzo.

E' una stima piuttosto precisa, perché una delle caratteristiche di Conficker è quella di "chiamare casa": dopo essersi insediato nel computer della vittima, si collega automaticamente a vari siti, dai quali scarica un programma ostile scelto dai suoi padroni. Una tecnica in sé non nuova, ma proposta qui con una variante che la rende molto più pericolosa che in passato.

Infatti gli altri virus che "chiamavano casa" potevano essere bloccati in un modo molto semplice: i responsabili della sicurezza di Internet facevano bloccare l'accesso al sito chiamato dal virus, che così non poteva più scaricare nulla o prendere ordini dai suoi malvagi creatori. Una decapitazione efficace e radicale che invece non fa un baffo a Conficker, perché questo virus (più propriamente un worm, visto che si autopropaga) si collega ogni giorno a un sito differente.

Conficker sa a quale sito collegarsi perché contiene, come dice F-Secure, "un algoritmo complesso che cambia quotidianamente e si basa sui timestamp di siti pubblici come Google.com e Baidu.com. Con questo algoritmo, il worm genera molti nomi di dominio possibili ogni giorno. Centinaia di nomi, come : qimkwaify .ws, mphtfrxs .net, gxjofpj .ws, imctaef .cc, and hcweu .org" (F-Secure li scrive spaziandoli per motivi di sicurezza). Così diventa impossibile farli chiudere tutti per tempo, anche perché molti di questi nomi non vengono neanche attivati e registrati. Ai criminali basta invece scegliere uno solo di questi nomi, registrarlo e collocarvi il proprio sito e software per avere pieno accesso ai computer delle vittime. Astuto.

Questo sistema è però sfruttabile anche da società di sicurezza come appunto F-Secure, che è riuscita a prevedere alcuni di questi nomi di dominio e li ha registrati e attivati: si è così infiltrata e riesce a monitorare l'infezione. In teoria potrebbe anche agire sui computer infettati, ma sarebbe contro le regole (sarebbe un'intrusione). Da qui deriva il conteggio preciso delle vittime. Symantec ha pubblicato i dati di un monitoraggio analogo.

L'altra particolarità di Conficker è l'ingegneria sociale che adopera per convincere le sue vittime: come spiega Sans.org, questo worm non si limita a sfruttare la falla MS08-067 sui computer non aggiornati (e chi non li ha aggiornati è un incosciente), ma tenta di scoprire per forza bruta le password di amministratore sulle reti locali, si propaga utilizzando le condivisioni di rete locale e soprattutto infetta i dispositivi rimovibili (penne USB, dischi esterni) creandovi un particolare file autorun.inf e depositandovi una DLL.

Per definizione, qualsiasi file autorun.inf viene eseguito automaticamente dalla funzione Autoplay di Windows quando si inserisce un disco o un CD/DVD o una penna USB (bella furbata, direte voi). Questo vuol dire che se inserite nel vostro computer Windows una penna USB infettata da Conficker, Windows aprirà automaticamente il file autorun.inf scritto dal worm e ne eseguirà le istruzioni.

Per esempio, sotto Windows Vista verrà presentata automaticamente una finestra come questa:



Qui scatta l'ingegneria sociale: la prima icona etichettata innocuamente "Open folder to view files" ("apri la cartella per visualizzare i file") sembra appartenere a Windows, e in effetti è così, ma è stata richiamata da Conficker, che la usa come travestimento. Cliccando sull'icona, infatti, verrà lanciato Conficker e il computer verrà infettato.

I rimedi contro questo genere di infezione sono molteplici:

• aggiornare Windows con gli aggiornamenti automatici e gratuiti di sicurezza
• usare un antivirus aggiornato per scandire tutto quello che viene inserito o collegato al computer
• disabilitare funzioni intrinsecamente pericolose, come l'Autoplay (le istruzioni sono facilmente reperibili in Rete a seconda della versione di Windows, per esempio qui)
• evitare l'uso promiscuo di penne USB (per esempio per scambiarsi file fra amici o colleghi)
• non cliccare prima di riflettere sul senso del messaggio sullo schermo

Una chicca finale: secondo The Register, Conficker evita di attaccare computer che si trovano in Ucraìna. Questo potrebbe indicare dove risiedono i suoi padroni.

Aiuto, c'è un virus nel mio portafoto

Belli, i portafoto digitali: costano sempre meno e sono un regalo ideale per chi non ha dimestichezza con la tecnologia ma ne apprezza le potenzialità. Il problema è che anche questi oggetti sono a rischio virus.

Samsung ha infatti distribuito alcune versioni del modello SPF-85H da 8 pollici fornendo nella confezione un CD d'installazione infetto, che contiene il worm Sality. Il CD serve per usare la cornice come monitor USB su computer Windows XP: chi ne installa il contenuto su XP si trova con un virus che, fra le altre piacevolezze, registra tutto quello che viene digitato, secondo Sophos. Gli utenti di Vista non sono affetti.

Amazon ha già pubblicato un avviso che spiega come ripulire i computer infetti.

E con questo episodio la lista di dispositivi infettabili si arricchisce di una nuova voce, come nota Trend Micro: abbiamo già visto navigatori e lettori MP3, compresi gli iPod, afflitti da virus alla consegna. Adesso bisogna fare attenzione anche ai portafoto. L'importante, al di là della portata del singolo incidente, è sapere che occorre prendere delle precauzioni e scandire quindi con un antivirus aggiornato anche i CD d'installazione forniti insieme ai vari apparecchi digitali.

Altre fonti: Internet Storm Center, The Register.