domenica 6 agosto 2006

Fastidioso Adware per Firefox

Oggi ho sperimentato la presenza di un fastidioso adware che mi apriva circa ogni dieci minuti una finestra di popup contenente pubblicità. Poiché la pubblicità era contestualizzata alla lingua con cui è configurato Firefox, questo adware aveva anche le caratteristiche di spyware.
La bestia si chiama NSIS Media Extension. Le finestre contenenti la pubblicità appaiono dopo un tempo variabile dall’avvio di Firefox, ma altri riportano anche che si “attacca” a Thunderbird ed a Windows Explorer (...e probabilmente Internet Explorer) ed hanno un titolo che contiene anche uno strafalcione in inglese: "Advertisment - NSIS Media Extension".

Un tipo di pop up mostrato da questo adware, in particolare, è piuttosto pericoloso per la maggioranza degli utenti non addetti ai lavori. Appare una piccola finestrella di Firefox (delle dimensioni di un quadratino pochi pixel per pochi pixel), coperta da un dialog box di Windows che ci avverte che è stato trovato un virus. Il messaggio dice poi, che cliccando su Ok si scarica un efficace programma per ripulire il computer da quel virus.

Tipico tentativo di farvi scaricare altro malware.

La cosa strana è che molti Antispyware e Antivirus non lo rilevano affatto, a partire da Windows Defender, Symantec e Avira Antivirus. Oltretutto nessun popup blocker sembra in grado di bloccare le finestrelle.

Ho letto in molti posts che è anche duro a morire, in quanto anche disinstallandolo riappare dopo ogni reboot. A me per ora è andata bene (tocchiamo ferro). Mi è bastato eseguire il programma di disinstallazione che molti riportavano essere un malware esso stesso, che avrebbe scaricato altro malware. Ovviamente ho preso almeno la minima precauzione di monitorare tutto quello che fa utilizzando l'utilissimo Total Uninstall.

A quanto pare il programma di disinstallazione fa esattamente quello che dovrebbe. Tuttavia potrebbero esistere diverse versioni di questo adware e io sono stato fortunato da beccarmi una abbastanza “benigna”. Ma come entra nel sistema? Premesso che ho una macchina abbastanza corazzata, tra firewall, antivirus, antispyware, utenza da non-amministratore, etc... entra nel più semplice dei modi: installato insieme ad altre applicazioni poco attendibili. Nel mio caso si trattava (l’ho scoperto solo dopo varie ricerche) di una variazione sul tema del più famoso programma di file sharing che ha per icona un mulo.

Questa vicenda, che spero sia conclusa, ma non si sa mai..., mi ha ricordato le seguenti lezioni:

  1. Prima di installare un software bisogna sempre dare un’occhiata ai resoconti degli utenti e se non si è sicuri testarlo in un ambiente protetto. In questo caso avrei potuto immaginarlo che trattandosi di una scopiazzatura di un software famoso, che si vantava di essere più veloce dell’originale, ci sarebbe stata qualche sorpresa.
  2. Non basta avere un software Antispyware e un Antivirus per sentirsi sicuri. Quelle sono misure per tenere fuori il “grosso” della robaccia, ma per evitare le minacce più recenti e più pericolose servono buone abitudini, come quella del punto 1 e quella di non usare i diritti di amministratore se non quando è necessario.
  3. Le tecniche di infezione evolvono continuamente. In questo caso, ad esempio, mi sentivo abbastanza sicuro che avrei trovato subito i processi responsabili dei popup usando ProcessExplorer di Sysinternals, ma la tecnica era un po’ meno banale del solito. Il programma maligno non appariva come processo a sé stante, ma come estensione di Firefox, programma del quale ancora siamo poco abituati a vederne le vulnerabilità. Andando a guardare nel file “browser.manifest”, una sorta di file di configurazione di Firefox, si trovava la chiamata per caricare la libreria Java NSIS.jar, che probabilmente conteneva tutto il codice maligno.

Forse la mia fortuna è stata che solo Firefox si è “infettato”, facendo venire a mancare quella sorta di effetto “monitoraggio ad anello” che rende la rimozione di molti spyware difficile.

Per saperne di più:
http://forum.sysinternals.com/forum_posts.asp?TID=7287&PN=1&TPN=1
http://www.wilderssecurity.com/showthread.php?t=138307
http://forum.html.it/forum/showthread.php?s=&threadid=1007306&pagenumber=3

Programmi da NON installare perché installano spyware, tra cui NSIS Media Extension:

eMule++ (http://www.download.com/eMule-/3000-2166_4-10541345.html?tag=lst-0-2)
Foxie (http://www.getfoxie.com/feature/firewall/)

AddThis Social Bookmark Button

Posted by Gibilix alle 7:53 PM

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)