SkyMonk è un programma distribuito dal sito letitbit.net che dovrebbe permettervi di scaricare file, quasi sempre illegali, da alcuni siti di file hosting come lo stesso Letitbit, Vip-File, Sms4File e Shareflare.
Girando poi per il Web, in particolare in molti siti e blog italiani che trattano il download di materiale illegale, ho visto che ne è consigliata l'installazione.
Dopo la segnalazione di alcune persone che l'avevano installato e si erano poi ritrovati con un computer praticamente bloccato e inutilizzabile, ho deciso di scaricarlo per vedere come si comportava.
Installazione
Durante l'installazione di Skymonk, Comodo mi avvisa del tentativo di eseguire questo nuovo programma, che è lo "sponsor" nascosto, e non dichiarato in nessun modo, di Skymon.
Terminata l'installazione, ho quattro nuovi programmi attivi, oltre a quello di Skymon.
E anche all'apertura di Internet Explorer 9 ci si ritrova con una toolbar, un nuovo motore di ricerca e una home page russa.
A una prima analisi con HijackThis si trovano i problemi che hanno "infettato" il computer.
Attenzione: nei log delle persone che mi avevano segnalato il problema, non erano presenti tutte le voci che ho invece trovato io, può essere che dipenda dal numero di versione di Skymonk, o dal sito da cui è stato scaricato.
Come se non bastassero le modifiche già fatte, ci sono due nuove applicazioni installate.
Dopo la disinstallazione dei due applicativi e la rimozione delle voci trovate da HijackThis, rimaneva ancora l'home page russa, due link nei preferiti e uno sul desktop, ma qualcosa cercava ancora cambiare il mio motore di ricerca.
Basta andare in Strumenti - Gestione componenti aggiuntivi ed eliminare da Provider di ricerca il mail.ru.
Se è diventato il motore predefinito, non lo lascia rimuovere, impostatene uno diverso e allora si può eliminare.
Fate anche una pulizia con CCleaner dei file temporanei e delle chiavi di registro, avviate il registro di configurazione, da Start - Esegui - Regedit, e fate una ricerca manuale, da File - Modifica - Trova, di tutte le chiavi di registro che contengono Mail.ru e Sputnik ed eliminatele.
A questo punto dovreste aver finalmente ripulito il vostro computer da mail.ru.
Conclusioni
La prima regola, in caso di programmi di dubbia provenienza e utilità, è sempre quella di diffidare.
Gli eseguibili "strani", passatemi il termine, vanno verificati sul sito Virustotal.com o Threatexpert.com per capire se sono infetti o sicuri da usare.
Nel nostro caso dall'analisi di Virustotal non avremmo avuto un grandissimo aiuto, la rilevazione più azzeccata era quella di DrWeb visto che Skymonk, non è un vero e proprio malware, anche se ne ha molte caratteristiche, ma è un programma supportato in maniera nascosta e non dichiarata.
I singoli eseguibili, che abbiamo visto in esecuzione nel task manager, analizzati su Virustotal non risultano infetti.
Molto più interessante è il report di threatexpert.com dove si vede quante modifiche è in grado di fare il programma.
Se proprio non li volete analizzare, almeno eseguite questi programmi in ambiente virtuale usando Returnil Virtual System, o Toolwiz Time Freeze in modo da poter cancellare le modifiche fatte con un semplice riavvio del computer.
A distanza di poche ore ho scaricato due eseguibili del programma Skymon con nome, solo i numeri che lo compongono a dire il vero, diversi tra di loro. Questa è una tecnica usata sempre più spesso da chi distribuisce malware in modo da rendere più difficile l'individuazione degli stessi da parte dei programmi di sicurezza.
Lo stesso eseguibile di Skymonk è reperibile anche in molti siti di hosting dati e, vista anche la provenienza, Russia, del programma non si può escludere che esistano delle varianti infette da veri e propri malware che possono provocare effetti diversi e più dannosi di quelli che ho riscontrato io.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati