Finta patch di Windows ® viene distribuita con due simpatici omaggi infetti.

Bucarest, Romania – 16 Agosto 2010 BitDefender®, noto produttore di innovative soluzioni di sicurezza anti-malware mette in guardia contro l'annuncio di una finta patch di Windows®. Freschi dell’annuncio di una nuova vulnerabilità zero-day di Windows® e di un rilascio di una patch vera, ha preso piede una finta patch che dovrebbe sistemare "34 falle di sicurezza di [Sistema operativo Windows®] ma che in realtà installa un bot spam e un Trojan downloader in un colpo solo. Il tutto senza sconti. Dicono che la strada per l'inferno sia lastricata di buone intenzioni. Vero, ma il motto deve essere leggermente modificato per continuare con la nostra storia: in realtà è un mix di false buone intenzioni e distrazione degli utenti. Questa è la storia di patch che vanno sotto i riflettori. I consigli sugli aggiornamenti e le patch risultano essere le norme meno seguite sulla sicurezza online: non riescono a diventare "famosi," immaginateli come un attore che recita una scena sulla lotta contro gli e-threat, la sua probabilità di ottenere un Oscar sono piuttosto basse. Sono decisamente (e in qualche modo, comprensibilmente) messi in ombra dagli avvisi in materia di servizi bancari online sicuri, solo perché non hanno la scritta "perdita di denaro" che campeggia ovunque. E' come la postilla di piccole dimensioni che non hai mai letto, anche se si dovrebbe, a meno che non si amino davvero le sorprese, soprattutto quelle che poi ti fanno del male. La regola dice che è necessario attivare l'opzione di download degli aggiornamenti automatici del software che si utilizza o perlomeno scaricare gli aggiornamenti, patch o fix dal sito web ufficiale del produttore. In questo caso, si tratta di una patch dei sistemi operativi Windows®, molto probabilmente tutto quello che deve fare l'utente è cliccare sull'icona di notifica di aggiornamento di Windows® per consentire l'installazione automatica. Supponendo che l'opzione di aggiornamento automatico sia disattivata, il sito ufficiale di Microsoft ® è l'alternativa consigliata per il download. Allora qual è il problema, dopo tutto? E ' SAPERE che gli aggiornamenti e le patch non possono essere consegnate tramite e-mail con link incorporati, come nel seguente esempio. Il testo del messaggio di spam utilizzato in questo schema è costruito secondo i più elevati standard di ingegneria sociale. In primo luogo, viene citata un'autorità convincente: "team di sicurezza di Microsoft". In secondo luogo, viene aggiunto panico e terrore: "[...] una nuova falla zero-day che espone gli utenti Windows al blocco per blue-screen o attacchi di esecuzione codice". E alla fine, si rassicurano i poveri mortali che saranno al sicuro, (qui è dove le 34 falle vengono sfruttate), e non fornisce solo un collegamento, ma ben due link per il download della patch.




Fig.1. L'e-mail di spam che promuove la complessa patch e i due terribili link

Se si prova a scaricare la patch direttamente accedendo al link incorporato, ci si becca un simpaticissimo bot di spam, identificato da BitDefender come Trojan.SpamBot.CAL. Una volta installata, questa piccola meraviglia permette ad un utente remoto di controllare il computer della vittima, che si trasforma in una vera e propria macchinadi diffusione di e-mail indesiderate attraverso il server SMTP di Yahoo!®. Invece, se si prova a scaricare la patch con il secondo link fornito, si ottiene un downloader, battezzato da BitDefender come Trojan.Downloader.Agent.ABFG.,che cercherà di portare con sè tutti i suoi amici virus all'interno del PC. State sicuri e navigate con attenzione, fino alla nostra prossima scoperta sui pericoli della rete!

Questo articolo si basa sulle informazioni tecniche fornite per gentile concessione di Sabina Datcu e di Iulian Muntean, ricercatori di BitDefender Virus. Tutti i prodotti e nomi di aziende menzionati nel presente documento sono solo a scopo identificativo e sono di proprietà e/o possono essere marchi dei rispettivi proprietari