www.MegaLab.it

[Leonard07]

Salve a tutti. Sono un vecchio utente registrato da tempo ma che è stato poco presente sul forum di MegaLab.it, ma oggi ho deciso di raccontarvi la mia esperienza riguardante un malware poco conosciuto su Internet. Partiamo dall'inizio:

Precedente:
Ieri, come di consueto, subito dopo l'avvio del mio PC apro Opera e visito una pagina (non ricordo se fosse Facebook o un'altro sito). Immediatamente il browser va in crash mostrando la tipica finestra di Windows. Siccome Windows ancora era in fase di caricamento dei servizi secondari ed Opera stava aggiornando i Feed RSS, sinconizzando i segnalibri con i server di Opera Link, controllando gli account e-mail attraverso un'estensione e caricando un sito Internet, credevo di aver sovracaricato la RAM (viasto che al momento ho un PC un po' vetusto). Allora chiudo browser, aspetto un po' e riavvio l'applicazione; stavolta aspettando un po' prima di eseguire qualsiasi operazione manuale. Allora carico l'home page di Google e tutto sembra funzionare. Apro una seconda scheda, provo a caricare un sito ed il browser va nuovamente in crash: il crash non dipende da me. Allora, credendo che i due banchi di RAM mi stessero abbandonando, faccio un test con Memtest86+ presente in GParted (grazie, ) e nei due test completati in due ore totali non viene riscontrato nessun problema. Riavvio in Windows, riprovo ad avviare Opera ed al caricamento va in crash nuovamente. Allora decido a disattivare tutte e tre le estensioni installate ed il problema viene risolto. Avevo intenzione di scoprire cos'è che mandava in crash il browser, ma per pigrizia non ho approfondito oltre.

Fatto:
Oggi accendo il computer per la prima volta della giornata ed appena viene caricato il desktop un messaggio mi avvisa che Ante Yips Pop Sky Kick ha smesso di funzionare - screenshot.
Non conoscendo affatto il programma e sembrandomi dal nome un adware, apro subito il Task Manager alla ricerca dell'eseguibile (pensando che si fosse subito riavviato dopo il crash) ma non trovo suddetta voce. Allora apro il browser e cerco su Google il programma (Ante Yips Pop Sky Kick) prima e l'eseguibile (RVPIuMF.exe) dopo, trovando risultati per nulla aderenti a software per PC. Decido allora di cercare l'eseguibile nel computer per vedere dove fosse posizionato, e la ricerca mi ha portato in C:\Windows\System32.

Scansione 1:
Sempre più insospettito, decido di scansionare con Microsoft Security Essentials il file, che risulta "pulito". Non contento, decido di utilizzare Malwarebytes Anti-Malware, che non rileva problemi. Essendo un tipo molto sospettoso su queste cose, copio l'eseguibile sul desktop, vado sul sito di VirusTotal e lo invio per l'analisi. Risultato: solo 9 dei 46 motori utilizzati hanno rilevato il file con dannoso! La cosa curiosa è che Microsoft riconosce il file come Trojan:Win32/Enchanim - Microsoft Malware Protection Center.
P.S.: Sia MSE che MAM avevano le firme del giorno prima, 14/01/2013

Scansione 2:
Decido di aggiornare sia MSE che MAM e di riscansionare il file: anche questa volta zero minacce rilevate. Vado sul desktop e subito MSE mi rileva un problema: è la copia di RVPIuMF.exe presente proprio sul desktop. Decido di rimuoverla e MSE svolge il suo lavoro senza battere ciglio. Rivado in System32 e provo per la terza volta a scansionare il file con MSE, e per la terza volta il programma non riconosce la minaccia.

Rimozione:
Indeciso sul da farsi, inizio a vagare per le impostazioni di MSE senza avere un'obiettivo preciso e scopro una cosa fondamentale: nella lista dei file e dei percorsi esclusi compare la stringa C:\Windows\System32\RVPIuMF.exe - screenshot.
Rimuovo subito tale stringa, ed appena riporto a tutto schermo la cartella System32, MSE rileva la minaccia - screenshot
Come per la copia che era presente sul desktop, anche per il file originale MSE non ha problemi ed in poco tempo rimuove il problema - screenshot

Conclusioni:
Al momento il computer non sembra avere problemi (ma nemmeno prima, se l'eseguibile non "crashava" non me ne sarei mai accorto della presenza del trojan), ma ancora devo riavviare. Vedendo le proprietà del file, sembra essere stato creato ieri (14/01/2013) alle 13:31 (stessa data dell'ultima modifica); quindi non si era insidiato da molto tempo. Non so minimamente la sua prevenienza, visto che (come avrete probabilmente notato) non sono uno di quelli che credono di essere i 9.999.999° visitatori nè cercano ingrandire il proprio pene . Non ho connesso drive esterni, non ho scaricato files o programmi con crack e non ho visitato pagine differenti dalle abituali.

Non so dire se il problema delle estensioni di Opera sia correlato al trojan, ma cercherò di capire quale estensione manda in crash il browser.

Sono rimasto perplesso dal comportamento di MSE: a mio avviso è sbagliato a seguire incondizionatamente la lista esclusioni, che andrebbe ignorata quando l'utente esegue la scansione su uno singolo file o su un gruppo (magari segnalando nel resoconto la presenza di file presenti nella lista "ignora"). DI MAM invece sono un po' deluso, visto che non aveva mai sbagliato un colpo prima d'ora; ma so che è impossibile essere perfetti

P.S.: Inizialmente avevo allegato la scansione effettuata con VirusTotal, ma avendo chiuso per sbaglio il browser non sono riuscito a recuperare la pagina, ed il file è al sicuro nella quarantena di MSE.

Dati tecnici:

Sistema Operativo
Windows 7 Ultimate Service Pack 1 x86

Antivirus
Microsoft Security Essentials v4.1.522.0 (Scansione 1: firme del 14/01/2013 - Scansione 2: firme del 15/01/2012 versione 1.141.3946.0)
Malwarebytes Anti-Malware v1.70.0.1100 (Scansione 1: firme del 14/01/2013 - Scansione 2: firme del 15/01/2012 versione 2013.01.15.11)

Browser
Opera Browser v12.12 build 1707
Plugin:
Adobe Flash Player v11.5.502.135
Adobe Shockwave Player v11.6.8.638
Oracle Java v7 Update 10
Microsoft Silverlight v5.1.10411.0

Estensioni:
FastestTube - YouTube Video Downloader v1.5.4
X-notifier v3.0.8
YouTube AdsFree v1.4

Avete consigli (sostituzione antivirus, utilizzo strumenti di rimozione, scansione approfondita, ecc.)? Credete che abbia risolto il problema??

[sampei.nihira]

Buon pomeriggio Leonardo.
Io solitamente non ho la pazienza di leggere topic lunghi come quello che hai scritto tu.
Sei stato fortunato per il crash di Opera che ha colto la mia curiosità.

Purtroppo questa versione di Opera crasha più della precedente.
Per lo specifico tecnico vorrei rimandarti al 3D "qual è la vostra configurazione di sicurezza ?"
oggi ho avuto un po' più di tempo (che è sempre tiranno) e quindi devo scrivere qualcosa in merito.
Ciò per non disperdere info generali e non specifiche che potrebbero servire a tutti i lettori.

Intervengo perché hai richiesto consigli i 4 sotto che cito sono basilari:

1° Usa un programma che ti notifichi gli aggiornamenti dei software installati (secunia psi,Sumo portable......) altrimenti sei a rischio, ad esempio, hai Java da aggiornare !!

2° Se usi Opera devi integrare la scarsa protezione anti-malwares del browser rispetto alla più che buona protezione anti-phishing.
Io ti consiglierei di dotare il OS di DNS più protettivi lato malwares (Comodo,Norton.....) + estensione WOT per il browser.

3° In quel sistema io rimuoverei seduta stante MSE per sostituirlo con altri antivirus potresti provare Avast.

4° Siccome Bitdefender è ottimo come antivirus (ma il prodotto free ha una pessima gestione dei files eliminati e quindi della quarantena altrimenti per l'antivirus sopra ti avrei consigliato quello) io ti consiglierei di integrare la protezione real time con il Trafficlight Bitdefender che devi scaricare purtroppo (per usarlo con Opera) non come estensione ma come installazione canonica.

Per adesso mi pare sufficiente.

[Leonard07]

Buon pomeriggio Leonardo.
Io solitamente non ho la pazienza di leggere topic lunghi come quello che hai scritto tu.
Sei stato fortunato per il crash di Opera che ha colto la mia curiosità.

Purtroppo questa versione di Opera crasha più della precedente.
Per lo specifico tecnico vorrei rimandarti al 3D "qual è la vostra configurazione di sicurezza ?"
oggi ho avuto un po' più di tempo (che è sempre tiranno) e quindi devo scrivere qualcosa in merito.
Ciò per non disperdere info generali e non specifiche che potrebbero servire a tutti i lettori.

Intervengo perché hai richiesto consigli i 4 sotto che cito sono basilari:

1° Usa un programma che ti notifichi gli aggiornamenti dei software installati (secunia psi,Sumo portable......) altrimenti sei a rischio, ad esempio, hai Java da aggiornare !!

2° Se usi Opera devi integrare la scarsa protezione anti-malwares del browser rispetto alla più che buona protezione anti-phishing.
Io ti consiglierei di dotare il OS di DNS più protettivi lato malwares (Comodo,Norton.....) + estensione WOT per il browser.

3° In quel sistema io rimuoverei seduta stante MSE per sostituirlo con altri antivirus potresti provare Avast.

4° Siccome Bitdefender è ottimo come antivirus (ma il prodotto free ha una pessima gestione dei files eliminati e quindi della quarantena altrimenti per l'antivirus sopra ti avrei consigliato quello) io ti consiglierei di integrare la protezione real time con il Trafficlight Bitdefender che devi scaricare purtroppo (per usarlo con Opera) non come estensione ma come installazione canonica.

Per adesso mi pare sufficiente.

Ti ringrazio per il tempo dedicatomi So di essere stato un po' prolisso ma mi piace spiegare per bene le cose per evitare fraintendimenti.
Dunque, personalmente Opera mi da spesso e volentieri freeze (sopratutto quando mi arriva un messaggio in chat su Facebook o quando ho molte schede aperte), ma ciò è dovuto alla bassa memoria RAM (1024 MB DDR, di cui 900 per il sistema operativo) e la scarsa CPU (AMD Athlon 2400+ a 1.6 GHz monocore).
Più che altro io intendevo consigli per assicurarsi della rimozione del trojan, ma erano accetti anche consigli su come migliorare la sicurezza generale del mio computer.

Allora:
1] Ho sempre cercato qualche programma in grado di verificare degli aggiornamenti degli altri programmi, ma con scarso successo (ho provato UpdateStar, FileHippo Update Checker e Patch My PC tra quelli che ricordo e nessuno mi ha soddisatto). Per aggiornare i plugin una volta al mese uso il sito Plugin Check di Mozilla.
P.S.: Plugin Check notifica che ho l'ultima versione di Java, ma ora mi hai fatto notare che non è così!

2] Ho già sostituito i DNS di Telecom con quelli di OpenDNS. Per il resto non credo di aver bisogno di plugin che mi indichino la pericolosità dei siti visitati, visto che al 90% visito sempre gli stessi siti sicuri e non vado in cerca di roba gratis su siti russi o cinesi che potrebbero veicolarmi malware di ogni tipo.

3] Nel corso degli anni ho provato vari antivirus: Nod32, Kaspersky, GData, Norton, avast!, Avira, nuovamente avast! ed infine MSE. Alla fine, dopo aver utilizzato avast! per tre versioni (5, 6, e 7) ho scelto di utilizzare MSE per il minor impatto sul sistema e per il lavoro che svolge senza problemi. Credo di tenerlo fino all'uscita di avast! 8 (di cui ho visto qua sul forum qualche screenshot in anteprima).

4] Vedi punto 2. Inoltre, avendo un sistema abbastanza datato, vorrei evitare di avere molti programmi in esecuzione che controllino ogni azione che avviene nel browser; in quanto intaccherebbero la velocità generale del sistema.

Corro ad aggiornare i programmi, e grazie ancora per l'attenzione