La frase del giorno: A giocare col fuoco...si diventa esperti

lunedì 26 marzo 2007


Qualche giorno fa avevo scaricato del materiale "didattico" sui sistemi di protezione del software, in particolare sulla procedura Windows Genuine Advantage (WGA), ma tra un download e l'altro, sono stato poi preso da pensieri più profondi e c'ho passato il pomeriggio dimenticando lo studio e cosa avevo tirato giu.
Comunque il giorno dopo spulciando la cartella di download trovo un bel file setup.exe...
cosa sarà?
La voglia di cliccare è tanta ma per sicurezza lo scanno con l'av che me lo da per buono
ma (i miei sensi di ragno vibrano) ...
non mi convince provo a farlo partire nella sandbox (argh dov'è finita? uff non parte) vabbhe proviamo...
CLICK CLICK...
Si avvia un classico wizard d'installazione in TEDESCO (mmm!) che non mi piace termino l'exe e sembra non abbia fatto nulla, "forse mi son salvato" penso.
Apro firefox e dopo un po di girovagare vario noto che non tutto va per il verso giusto:
il copia (CTRL+C per intenderci) non fa più il suo lavoro, lo stesso vale per i tab e per l'url nella barra di navigazione che non si possono più "draggare".
Chiudo e riapro il browser pensando si fosse piantato ma nulla stesso comportamento sballato solo che sta volta emerge un ulteriore indizio:
il mio stimatissimo firewall Comodo mi informa con un bel alert che Firefox sta tentando di aprire una connessione verso l'indirizzo tal dei tali e che il parent della chiamata è download\setup.exe e mi chiede se lo voglio autorizzare.
Chiedendo maggiori info al caro Comodo e mi dice che l'applicazione in questione ha un hook su Firefox, comportamento tipico dei keylogger.
ARGHHH!
Stacco la connesione più veloce dell'acqua potabile e avvio tutti i miei potenti mezzi di diagnostica, ricerca e rimozione di mal/ad/spyware, trojan e affini.
In realtà utilizzo solo Ad-Aware e SpyBot che non trovano nulla a parte vari cookie e qualche vecchia chiave vuota nel registro.
Cosi mi armo di regedit e msconfig e incomincio la ricerca a mano!
Cosi scopro un paio di exe "strani" lanciati da HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
tra questi uno spicca per ingengo windows\system32\expIorer.exe
Eliminati gli eseguibili e rimosse le chiavi tutto sembrava tornato normale.
Do anche una passata con sfc/scannow non si sa mai, e per sicurezza ho anche provato SpyBlaster (molto carino per me) e Spy Sweeper (quest'ultimo a detta di molti ottimo), ma oltre a trovarmi 5 o 6 cookie sospetti tra cui uno del sito 190.it e uno di easyjet.com chiedeva soldi per rimuoverli!!

Da questa bella avventura mi è tornata in mente una definizione, che avevo letto qualche mese fa:


«Un esperto è una persona che evitando tutti i piccoli errori punta dritto alla catastrofe.»

(Weinberg)

2 commenti:

Ottimo post... certo però che x un esperto del tuo calibro... la catastrofe è assicurata!!!

Se hai voglia di approfondire ti consiglio anche di dare uno sguardo all'ottimo HijackThis!

 

visto che si parla di tools di rimozione anti spyware, malware, ecc....mi sento di consigliarvi ewido, che qualche mese fa è stato addirittura acquisito dalla avg.
E' una bomba, dopo il primo mese di prova, viene solo inibito il controllo in tempo reale (che tra l'altro è un po' pesante); per il resto funziona alla grande!!

 

Posta un commento