Ieri sera mi ha chiamato un amico, una persona che conosco, di uan certa età che non zazza col pc, ma lo usa per office, qualche filmatino amatoriale della famiglia, e poi soprattutto per internet su siti d'informazione, posta elettronica, aziende ecc.
Insomma, cose semplici e come le definisco io a "rischio medio-basso".

Gli configurai io il pc per stare sicuro, ed in effetti naviga con Opera (è quello più semplice con il quale si è sentito di sostituire IE) non usa client email ma legge la posta direttamente tramite webmail, e poi:
KIS 7
Spyware Doctor SE
SuperAntispyware
PrevxCSI
Asquared AntiMalware

Mentre come firewall utilizza quello di Windows (gli altri erano troppo "difficili" per lui :D ) anche perchè comunque si trova nattato dietro un router netgear con firewall.
Non usa alcun tipo di p2p.

E' un fissato delle news, al punto che si installò un feed reader per tenersi sempre aggiornato, scegliendo tra i tanti FeedReader che gli sembrò il migliore.
Mi scuso per la prolissità, ma credo sia importante anche capire che tipo di utente siede sulla sedia. ;)

Veniamo al dunque: ieri sera come dicevo all'inizio, mi ha chiamato dicendomi che prevx csi gli ha segnalato un infezione proprio sul feedreader.exe, indicandola come rootkit e poi mi ha detto che affianco indicava qualcosa come "27: hidden.... " e che il resto non si leggeva. Mi chiedeva cosa doveva fare, se doveva acquistare la licenza o cos'altro avrebbe potuto fare.
La cosa mi ha colpito subito, perchè mi sembra (se non erro) di capire che ci troviamo di fronte ad un altro possibile canale d'infezione, che (forse) potrebbe anche passare inosservato: i lettori di feed.
Comunque gli ho chiesto cosa avesse fatto di preciso, e lui m'ha risposto semplicemente dicendomi che siccome la sua adsl andava lenta (era l'ora di punta) aveva pensato di chiudere feedreader per vedere se andava + veloce.
E che non appena aveva chiuso feedreader prevxcsi gli aveva mostrato il messaggio d'errore.

Gli ho detto di lasciare le cose come stanno che stasera sarei passato a trovarlo e che gli avrei dato un occhiata io. Vi farò sapere.

Voi cosa ne pensate intanto? :rolleyes:

falso positivo?

falso positivo?

Non lo so. :rolleyes:
Sinceramente però non mi sento di poter escludere che tramite i canali sottoscritti possa essersi tirato giù qualche schifezza... d'altronde i feed usano xml se non ricordo male.... :rolleyes:
Anzi, a dir la verità è proprio quello che penso. Credo che stasera partirò proprio da questo per valutare la situazione.

Intanto mi sono installato feedreader e me lo sto studiando. ;)
E già ho visto una cosa che potrebbe confermare la mia teoria: nel menu strumenti - impostazioni - avanzate, c'è un checkbox checkato di default che dice appunto "abilita javascript".

Ora bisognerebbe cercare di capire cosa può fare il javascript in quell'ambiente..... :rolleyes: presumo però che possa avere le stesse capacità di operare come se fosse all'interno di un browser...

Come qualsiasi programma che interagisce con la rete, anche i feedReader possono essere fonte di problemi.

Non sapevo che un feed potesse contenere javascript... certo questo aumenta il rischio. Tienici aggiornati!! (sarei anche curioso di vedere un feed-vettore :) )

Allora, credo di poter affermare con una certa sicurezza, che l'allarme del rootkit si sia trattato di un falso positivo. :) Però quest'analisi è servita a molto. Ora vi spiego. ;)

Come prima cosa, come vi avevo già accennato, mi sono studiato un pò questo feedreader, e ho constatato che i contenuti, al di fuori delle immagini (favicon comprese), vengono per cosi dire "stockati" in un unico files di grandi dimensioni chiamato RSSENGINE.FDB, dove gli stessi vengono criptati, anche se ogni tanto si riesce a leggere qualcuno dei link di riferimento ad articoli o news o cose del genere.
Poi c'è una cartella per i downloads (dove vengono scaricati eventuali contenuti delle notizie e dalla quale comunque non vengono cancellati), una per le favicons ed infine una cartella denominata cache.
Questa mi era sembrata sicuramente la più interessante, perchè credevo andasse a contenere le pagine web che venivano visitate tramite il feedreader, in quanto all'interno di essa si trovavano dei files chiamati articlexxxxxx.htm dove le xxxxxx sono una serie numerica.
In realtà, mi sono accorto dall'ora della navigazione, che le news lette da feedreader scrivono i files delle pagine dei feed nella cache di Internet Explorer. :eek:
A questo punto è lecito supporre, che feedreader possa utilizzare addirittura l'engine di IE. :rolleyes:

Questo programma secondo me è quindi perfettamente equiparabile ad un browser internet, ed è quindi anch'esso esposto agli stessi rischi ai quali sono esposti i browser. Semmai, anche qualcuno in più. ;)
Ed ho trovato conferma a questo, quando mi sono accorto che dalle impostazioni c'è la possibilità di aprire i link nel browser predefinito oppure nel browser interno al programma stesso.

Comunque, veniamo all'analisi del sistema presunto infetto.
Come prima cosa, ho disinstallato prevxcsi, perchè continuava a segnalare il rootkit e mi ha dato un impressione come se tendesse a freezarsi ripercuotendosi sul sistema, che dava vistosi segni d'impallamento.
Rimosso prevxcsi, ho dato una bella ripulita a manina eseguita in mod provvisoria di tutte le cartelle dei files temporanei e delle caches dei browser, quindi sono passato in modalità normale ma con account Administrator.
Fatto questo, ho dato una doverosa sbirciatina con hijackthis per cominciare a fare le presentazioni, m'aspettavo chissà che e invece ho ottenuto un bel log pulito; nulla di strano o di anormale. :)

A questo punto, "gli ho dato" di gmer, ma anch'esso (devo dire quasi insperatamente) non ha trovato nulla di anomalo.

Che altro dovevo fare? :mbe:
Bè, m'ero portato qualcosina appresso, e così ho installato e poi analizzato il sistema con:
Avira Antirootkit Tool
AVG AntiRootkit
Panda Antirootkit
Sophos Antirootkit
:D
tutte le scansioni eseguite hanno dato esito negativo.

Quale doverosa ultima operazione, ho provveduto ad aggiornare le firme antivirus del Kaspersky, quelle di superantispyware ed asquared, e quindi ho lanciato prima una scansione "approfondita" con superantispyware (che ha trovato i soliti cookies traccianti e altre zozzerie varie ma di minimo conto) e poi asquared (che ha rilevato qualche altro cookies tracciante e pochissimi rimasugli vari), mentre il kaspersky ha taciuto sempre.

Mi sono ritenuto abbastanza soddisfatto, però mi son detto "ok, allora prevxcsi ha dato fuori di testa, se l'è sognato il rootkit su feedreader?" :mbe: .
E quindi mi son collegato al sito ufficiale ed ho reinstallato il prevxcsi (ver. 1.9.108.232), e subito dopo ho rilanciato una nuova scansione, che devo dire è durata molto di più di quella che faceva il prevxcsi che ho trovato installato (e che molto probabilmente non si era mai aggiornato).
Alla fine della scansione, ho ammirato tutte le scritte verdi. Nessun malware rilevato. :rolleyes:
Ripetuta un altra volta dopo un riavvio del pc, stesso risultato: pc pulito. :D

In conclusione secondo me feedreader, e sicuramente tutti gli altri programmi per la lettura dei feed in internet, possono essere considerati a tutti gli effetti un ulteriore, subdolo e pericolosissimo canale per la veicolazione di malware in internet.
Occhio quindi. ;)

Ah, dimenticavo un ultima cosa: l'amico mio, dopo che ha visto ciò che ho appurato, feedreader me l'ha fatto disinstallare. ;)
Pensate che per non aver problemi con le continue richieste di collegamenti vari, l'aveva messo nelle eccezioni del firewall di kaspersky. :eek:

fosse opensource darei volentieri uno sguardo al codice

interessante l'analisi, ma non usando reader di feed non so come lavorino gli altri ma presumo che un estensione per Firefox usi il motore firefox...
molti consigliano si usare i feed nel client di posta tipo thunderbird, per molteplici fattori positivi come la maggior consultibilità e fruibilità dei contenuti :)

Se volete contattatemi in pm e vi dò il link dove scaricarlo. :) Non è open source, ma è freeware. Anche in italiano.

Una prova interessante da fare, sarebbe quella di verificare su un sistema privato di internet explorer (cioè disinstallato) se e come funziona. :rolleyes: Sicuramente funzionerebbe ugualmente, ha un suo browser integrato e nei requisiti richiesti per l'installazione non mi sembra sia richiesto Internet explorer, però sarebbe interessante andare a studiare il suo comportamento..... :rolleyes:

Quasi qausi come dice xcdegasp mi sa che sarebbe meglio usare i lettori di feed integrati nei browser.... :rolleyes: almeno si conosce bene con chi si ha a che fare.