www.MegaLab.it

[Al3x]

Sono giorni che ripulisco computer che sono stati infettati dal ransomware della guardia di finanza e affini. In tutti ho notato un denominatore comune che potrebbe anche essere una coincidenza: la presenza della Babylon toolbar.
I computer nei quali è presente la Babylon toolbar sono facilmente riconoscibili per la presenza di un file user.js nella directory principale del disco di sistema.

Altra presenza frequente (ma non paragonabile alla prima) è OfferBox.

Con questo non voglio trarre conclusioni affrettate ma è una fattore che andrebbe preso in considerazione. Potrebbe per esempio trattarsi di una vulnerabilità sconosciuta della toolbar grazie alla quale i virus writers veicolano l'infezione nella macchina target?

[sampei.nihira]

E' una domanda articolata che probabilmente richiede una risposta articolata.
Se un sw non presenta vulnerabilità ( e Babylon attualmente non sembra essere soggetto a vulnerabilità,ce lo dice Secunia) non è detto sia esente da bugs.
Anzi ci è possibile affermare con una certa sicurezza che tutti i sw hanno bugs nascosti e quindi non evidenti.
Facciamo un esempio di 2 sw ed ipotizziamo che il primo ha 5 bugs ed il secondo solo 1 ignoti.
Ipotizziamo inoltre per semplicità che io sono un "solito furbone" che cerco di trarre profitto dalle disgrazie altrui e quindi reperisco tutti questi bugs.
Può accadere per esempio che di questi 6 bugs solo 1 è sfruttabile da remoto,come anche nessuno.

E' palese che se questo solo bugs sfruttabile da remoto appartiene al sw con minor numero di bugs,in quel momento quel sw è più pericoloso dell'altro più buggato.
Sembra un incongruenza ma è così.

Ma in questo discorso interviene anche la statistica.
Ed occorre vedere lo storico bugs.
Se il sw che in quel momento risulta "più sicuro" ha uno storico bugs notevole può essere che abbia anche più bugs sfruttabili da remoto.
Quindi la mancanza risiede in me che non ho saputo reperire i bugs sfruttabili.

Spero che fin quì ci siamo.

Come vedi ci sono notevoli variabili che entrano in gioco.

Chi ha seguito il ragionamento conclude che ogni sw installato di terze parti nel sistema apre tante porte perché no sfruttabili da remoto che è direttamente proporzionale al numero degli stessi sw.
Ovvio che non ci è consentito di dire quante.

E' naturale che nella roulette delle installazioni ci siano sw meno a rischio,per esempio quelli di sicurezza (Antivirus,Fw......) e quelli più a rischio.
Cioè quelli che interagiscono con il browser.

Ed ancora una volta chi ha seguito il ragionamento si renderà conto che il componente fondamentale da settare e proteggere in una ottima configurazione di sicurezza è proprio il browser.

Microsoft ha recentemente fatto uscire un tool che consente agli sviluppatori di testare la superficie di attacco risultante dall'installazione di una nuova applicazione:

https://blogs.msdn.com/b/sdl/archive/20 ... ected=true

è ovvio che il tool serve allo scopo opposto per gli "attaccanti" e non solo per i "difensori".

Sarebbe interessante un articolo di MLI che analizza ciò.

Concludo,sono stato anche troppo prolisso.
E' l'eterna lotta del "bene" e del "male" evidente anche nel nostro campo.
E spesso le sorti che pendono verso una parte o l'altra dipendono solo dalle menti umane che si frappongono nella "lotta".

[Al3x]

Babylon attualmente non sembra essere soggetto a vulnerabilità,ce lo dice Secunia

Secunia per carità, tanto di cappello: una azienda super attendibile (con i suoi advisory mi salvò dal NIMDA) ma ci sono anche bug non documentati che vanno ad alimentare il fiorente mercato nero delle vulnerabilità ed i nostri amici non possono certo conoscerli. Ergo non possiamo sapere se Babylon è sicuro o meno ma l'intento del post non è propriamente quello.

Il mio obbiettivo è capire la correlazione tra gli innumerevoli casi in cui trovo il virus e la presenza della toolbar. Quel tipo di barre sono parte del "pacco" di qualche software free che viene spesso inconsapevolmente installato dagli utenti. Babylon potrebbe essere pulito ma non il software che lo fornisce in bundle. O più semplicemente la toolbar punta a contenuti pericolosi che poi sfruttano qualche falla zero-day di Windows ma ripeto: non sono precisamente a caccia di bug ma della possibile origine dell'infezione e cosa la scatena. Si tratta quindi di una analisi supeficiale che poi qualche esperto di codice (bontà sua) potrebbe appronfondire.

Quindi chiedo a chi si trova a "sverminare" qualche compter di amici, colleghi, fidanzate di verificare se trovano anche sta benedetta toolbar così da aumentare la casistica e formulare una ipotesi di correlazione (o magari escluderla) sensibilmente più attendibile.

[Al3x]

Le lamentele di chi la installa solleva dei forti sospetti sul software in questione
topic78229.html
topic78229.html

E' abbastanza evidente che la toolbar usa metodi non convenzionali per impedirne la rimozione, metodi i quali sono spesso da ricondurre a tecniche illecite e caratteristiche del software malevolo (malware). Non vorrei saltare a facili conclusioni ma c'è una remota possibilità che alcuni malware facciano leva sulle modifiche che la toolbar babylon applica al sistema: tali modifiche potrebbero forse comprometterne le capacità di difesa aprendo le porte alle infezioni opportunistiche.
La mia è una supposizione cui mancano elementi sufficienti a puntare il dito accusatore con certezza, ma sappiamo per esperienza che un sistema "indebolito" diventa inevitabilmente il bersaglio di altre infezioni che in condizioni normali (OS e AV aggiornati ecc.) non potrebbero attecchire.

In ogni caso sono riuscito a rimuoverla effettuando una prima pulizia con Malware Bytes e poi, anche se molti lo ritengono inefficace, con Spybot

[crazy.cat]

E' abbastanza evidente che la toolbar usa metodi non convenzionali per impedirne la rimozione,

Ho trovato due varianti della toolbar, una pulita che si lascia disinstallare senza problemi, e una che si appoggia e si protegge con questo Browser Manager che impedisce la modifica dell'home page e si auto-sostiene, visto che ha due processi attivi, per impedirne la chiusura e il riavvio automatica dei due exe.
Non è un virus, ma si comporta come se lo fosse, le tecniche sono le stesse.
Ci vorrebbe poco a farne una variante con qualcosa di veramente infetto, distribuita magari tramite qualche sito russo o cinese.

L'articolo non è ancora visibile a tutti ma si trova qui http://www.MegaLab.it/8203/disinstallar ... da-firefox

e poi, anche se molti lo ritengono inefficace, con Spybot

Spybot 2 è invece molto interessante http://www.MegaLab.it/8201/7/i-programm ... -confronto

[Al3x]

Marco grazie per il feedback, studiare questi fenomeni facendo prove e verifiche incrociate è difatti l'unico mezzo che abbiamo per far chiarezza e non cadere in inganno, magari formulando diagnosi errate che potrebbero anche danneggiare una azienda onesta.

Non è un virus, ma si comporta come se lo fosse, le tecniche sono le stesse.
Ci vorrebbe poco a farne una variante con qualcosa di veramente infetto, distribuita magari tramite qualche sito russo o cinese.

quindi è assodato che ne esistono almeno due versioni e quella pericolosa viene fornita con software prodotto da terzi. Ora sorgono spontanee alcune domande che esporrò sperando di essere il più chiaro possibile, :
- Babylon (o come si chiama la software house che lo produce) è all'oscuro di questo fenomeno?
- Se sì, posso ipotizzare che gli fa comodo perché 1) non lo si scarica dal loro sito e ne escono virtualmente puliti e 2) il povero malcapitato non riesce a rimuoverlo e la bestiaccia prosegue indisturbata il proprio lavoro;
- se è all'oscuro allora sarebbe necessario segnalarlo poiché è un comportamento che potrebbe danneggiare la loro immagine;
- con che tipo di accordo un produttore di software include Babylon nell'installer? immagino che sia previsto un accordo commerciale altrimenti chi glielo fa fare? In poche parole dubito che un pinco pallino qualsiasi metta la loro toolbar in bundle senza che l'azienda ne sappia nulla.

E' una vicenda strana e particolare che mi lascia qualche dubbio, ma senza prove inconfutabili è difficile esprimere un giudizio definitivo. L'unica cosa che si può consigliare è, almeno per ora, di stare alla larga da quella toolbar.

[gianpietro]

Ciao Al3x.

Questa settimana è stata molto prolifica per quanto riguarda i due virus, guardia di finanza e polizia postale, in laboratorio
sono arrivati una 15 di computer, 12 portatili e 3 fissi, e chiedendo ai ragazzi del laboratorio, mi anno confermato
che su tutti i computer era presente la Babylon toolbar, sarà una coincidenza?