Notizia di questi giorni è l’elevata pericolosità di un worm in grado di impossessarsi del vostro account personale di Facebook e di distribuirsi nella rete proprio grazie alla popolarità del suddetto social network. Vediamo insieme come difendersi da questo tipo di attacchi, presenti e futuri.
Koobface, conosciuto come W32/Koobface.worm, si propaga tramite una e-mail proveniente da un amico di Facebook infetto contenente un link ad un misterioso video. Cliccando sul link si viene redirezionati più volte di seguito fino ad arrivare ad un sito in tutto e per tutto simile a YouTube con un video che non è in grado di essere visualizzato per mancanza (falsa) del Flash Player.
A questo punto viene fatto scaricare un eseguibile denominato “flash_player.exe” che installa il worm nel PC dando un falso avviso di errore:
Il problema non sta tanto nel virus, che è possibile rimuovere facilmente per mezzo degli antivirus più comuni tra cui anche AVG, McAffee, Kaspersky e altri, bensì nel fatto che il worm ha avuto il tempo per propagarsi prima che fossero trovate contromisure efficaci da parte degli antivirus e di Facebook: pare infatti che la prima versione del virus sia uscita verso la fine del mese di Luglio 2008.
Attualmente Facebook ha già aggiornato i propri sistemi per evitare altri problemi simili, tuttavia il worm è ancora in circolazione e proprio in questi giorni ne è uscita una nuova variante, motivo dell’agitazione mondiale nei confronti della sicurezza dei social network.
In quest’ultima variante, dopo l’installazione del worm nel proprio PC viene installato nel sistema un server proxy nella cartella %ProgramFiles%\tinyproxy\tinyproxy.exe ed un servizio avviato automaticamente chiamato Security Accounts Manager (SamSs). Il servizio si occupa di ascoltare la porta TCP numero 9090 ed invia al proxy tutto il traffico HTTP del sistema, controllando in particolare il traffico in direzione e di ritorno da Google, Yahoo, MSN e Live.com con il proposito di modificare i risultati delle ricerche dei suddetti redirezionandole sui risultati delle ricerche dal sito find-www.net. In questo modo i vostri risultati vengono alterati e si ha un ritorno economico sulla pubblicità degli ideatori del virus.
Come difendersi?
A questo punto l’unico modo per difendersi si basa sui consigli di sempre:
- Mai cliccare su link provenienti da estranei
- Mai aprire allegati e cliccare sui link direttamente da una mail: nel primo caso, a meno di una certezza assoluta del contenuto, è bene chiedere una conferma da parte del mittente dell’effettivo invio dell’allegato, nel secondo caso è bene invece copiare il link e inserirlo direttamente nel browser
- Dubitare sempre e comunque sui mittenti delle e-mail che ci arrivano, soprattutto da parte di sconosciuti
- Tenere sempre aggiornato l’antivirus, che vi mantiene al sicuro da virus, worm e trojan
- Mantenere installato e attivo nel sistema un firewall, che vi segnala quando qualche applicazione tenta di accedere alla rete senza il vostro permesso
maxanima : 24 gennaio 2009 alle 12:15
ciao scusami, sai niente di un virus che ogni volta apri msn messenger manda link di contatti facebook a tutti i miei contatti msn?
Denis Billi : 24 gennaio 2009 alle 14:01
@maxanima: Purtroppo Microsoft non si è mai presa carico di rendere immune il suo sistema di messenger da virus del genere e ce ne sono una miriade in circolazione. Per eliminare i virus che possono affliggere MSN Messenger c’è un programma realizzato ad hoc chiamato LiveKill. Attendiamo notizie sull’esito dell’operazione di pulizia. A presto!