Security Sicurezza, occhio al falso anti-Conficker

[Asterix]

Circola da ieri una email che si maschera da messaggio proveniente da Microsoft. Tenta di persuadere l'utente ad utilizzare un tool antivirus fasullo
Roma - Da ieri circola su Internet un nuovo falso antivirus per Windows che sopraggiunge come allegato alla posta elettronica e che, per indurre gli utenti ad eseguirlo, fa leva su ormai collaudatissime tecniche di social engineering. Tecniche vecchie quanto lo spam, eppure - a sentire gli esperti di sicurezza - tuttora efficaci: in un recente rapporto di Symantec si apprende che i cosiddetti rogueware, ossia i programmi maligni che si mascherano da tool antivirus o antispyware, si trovano annidati in milioni di PC di tutto il mondo.

la falsa emailPer diffondersi, il falso antivirus che circola in questi giorni si fa passare per un tool distribuito da Microsoft con l'intento di fermare una nuova ondata di attacchi del famoso worm Conficker. Come accade sempre più di frequente, un malware sfrutta dunque la popolarità di un altro malware per ingannare gli utenti meno smaliziati.

L'email contenente il rogueware riporta come oggetto "Conflicker.B Infection Alert" (si noti l'errata ortografia di Conficker) e pretende di provenire da "Microsoft Windows Agent": un esame più attento rivela però che l'indirizzo del mittente è, come spesso accade in questo genere di email, lo stesso riportato nel campo "A:".
Il messaggio sostiene che il worm Conficker sta velocemente infettando gli utenti di Windows, e che Microsoft ha già avvisato il provider dell'utente che il suo network è infetto. Per eliminare il worm dal sistema, all'utente viene raccomandato di utilizzare il programma antivirus allegato all'email. Il messaggio riporta come firme fittizie "Microsoft Windows Agent #2 (Hollis)" e "Microsoft Windows Computer Safety Division".

L'allegato contenente il falso tool anti-Conficker porta il nome di Install.zip e contiene al proprio interno il file eseguibile install.exe di circa 45 KB. Se lanciato, il programma avvisa l'utente che il sistema è infetto (v. immagine a lato) e lo invita a scaricare un falso scanner antivirus chiamato Antivirus Pro 2010 (noto anche con altri nomi, quali XP AntiSpyware 2009, PC Security 2009, WinReanimator ecc.).

Lunedì mattina tale malware non veniva rilevato né da Comodo Antivirus né da Microsoft Security Essentials: oggi entrambi i prodotti, come presumibilmente tutti i principali antivirus in circolazione, riconoscono correttamente la minaccia. MS Security Essentials, in particolare, identifica il programma come facente parte della famiglia di trojan downloader FakeRean, e gli assegna un elevato grado di pericolosità.

Nel succitato rapporto di Symantec sui rogueware, la celebre security company afferma di aver rilevato l'esistenza di oltre 250 differenti tool di sicurezza fasulli, quasi tutti concepiti per fini di lucro. Symantec stima che nei soli Stati Uniti i PC infetti da qualche tipo di rogueware siano circa 10 milioni.

Alessandro Del Rosso
Punto-Informatico