|
|
|
|
Strumenti |
12-10-2016, 14:01 | #1 |
www.hwupgrade.it
Iscritto dal: Jul 2001
Messaggi: 75175
|
Link alla notizia: http://www.hwupgrade.it/news/sicurez...ypt_65078.html
Un pericoloso malware si cela su alcuni programmi di installazione di software legittimi scaricati da siti non legittimi Click sul link per visualizzare la notizia. |
12-10-2016, 14:10 | #2 |
Senior Member
Iscritto dal: Aug 2006
Messaggi: 1101
|
Insidia? Insedia..
__________________
I miei PC: IL NUMERO 2 Cooler Master CM690-III | Amd Ryzen 5 2600+AC A35 | Asrock B450 Pro4 | 2x8GB Gskill 3200 | Sapphire R9 280X | NVMe Wd Blue SN570 500gb+Wd Blue 1Tb | Sharkoon WPM Gold 550W | Dell U2412M IL NUMERO 1 Cooler Master H500 | Amd Ryzen 7 5700X + AC Esport 34 | Gigabyte Aorus B450 Elite | 2x8GB Hyper-X Predator 3200CL16 | MSI GTX1660 Armor 6GB | SSD Crucial MX500 500Gb+Samsung 1TB+750Gb | Corsair TX550M | LG 27MP59G |
12-10-2016, 15:40 | #3 |
Senior Member
Iscritto dal: Nov 2004
Messaggi: 3564
|
Una cosa non mi è chiara: siccome non ricordo quando ho installato winrar, come faccio a sapere se ho installato una versione infetta?
Il mio pc non ha comportamenti strani, ma nel dubbio l'ho disinstallato e reinstallato dal sito winrar.it. |
12-10-2016, 15:45 | #4 | |
Senior Member
Iscritto dal: Sep 2004
Messaggi: 2893
|
Quote:
__________________
CM HAF X | Asrock Z68 Extreme4 Gen3 | Intel Sandy Bridge i5 2500k OC 4.3Ghz | 16Gb-DDR3 | CorsairAX850w | Msi GTX 970 Gaming 4G | SSD Samsung 830 128Gb | SoundBlasterAudigyFX |
|
12-10-2016, 15:59 | #5 |
Senior Member
Iscritto dal: Jul 2008
Messaggi: 592
|
Se si installa dal sito ufficiale (raRlab.com invece di raLrab.com) non c'e' nessun problema.
|
12-10-2016, 17:41 | #6 | |
Senior Member
Iscritto dal: Apr 2015
Messaggi: 10200
|
Il distributore belga reinderizzava al sito creato appositamente, quello italiano possedeva direttamente la copia infetta.
Quote:
Ultima modifica di Ryddyck : 12-10-2016 alle 17:44. |
|
12-10-2016, 19:00 | #7 | |
Senior Member
Iscritto dal: Nov 2004
Messaggi: 3564
|
Quote:
Dal sito italiano non c'era modo di capire se si stava scaricando il file infetto o no perchè è stato hackerato sostituendo direttamente il file sul server per il download diretto.
__________________
Intel Core i5 9600K + Case: CM 690 II + CM Hyper 212 LED BLACK EDITION - Mobo: ASUS Z390-A PRIME + 32 GB DDR4 CORSAIR LPX 3200MHz PSU: Corsair CX650M 650W - VGA: ASUS GTX 1660s EVO OC 6GB - Monitor AOC C24G1 FreeSync - Sound Blaster AE-5 PURE EDITION + EMPIRE PS-2120D - Fritz!Box 7590 - TIM - XBOX 360 SLIM 320 GB - Galaxy S9 & iPad Pro 11 - NOTEBOOK ASUS K53SC
|
|
12-10-2016, 19:01 | #8 |
Senior Member
Iscritto dal: Nov 2004
Messaggi: 3564
|
Se si scaricava dal sito italiano non c'era modo di capire se si stava scaricando il file infetto o no.
__________________
Intel Core i5 9600K + Case: CM 690 II + CM Hyper 212 LED BLACK EDITION - Mobo: ASUS Z390-A PRIME + 32 GB DDR4 CORSAIR LPX 3200MHz PSU: Corsair CX650M 650W - VGA: ASUS GTX 1660s EVO OC 6GB - Monitor AOC C24G1 FreeSync - Sound Blaster AE-5 PURE EDITION + EMPIRE PS-2120D - Fritz!Box 7590 - TIM - XBOX 360 SLIM 320 GB - Galaxy S9 & iPad Pro 11 - NOTEBOOK ASUS K53SC
|
12-10-2016, 20:04 | #9 |
Senior Member
Iscritto dal: Apr 2015
Messaggi: 10200
|
Penso che la risposta sia "dipende".
Visto che utilizzo da tempo winrar, ho sempre aggiornato le varie versioni scaricandolo dal sito italiano. L'ultima versione 5.40 che ho salvato sul mio hdd (risalente al 18/09/2016, sia 64bit che 32bit) corrisponde esattamente a quella presente attualmente sul sito, ha lo stesso md5 e sha1. Il discorso ovviamente cambia se si è in possesso di una versione più vecchia ed infetta (non credo che il gruppo abbia avuto la prontezza di cambiare la versione 5.40 non appena uscita), le varie release in inglese sono datate: - la 5.40 il 16.08.2016 preceduta da quattro beta; - la 5.31 il 04.02.2016 preceduta da una beta; - la 5.30 il 24.11.2015 preceduta da sei beta; - la 5.21 il 15.02.2015 preceduta da due beta; - la 5.20 uscita il 02.12.2014 e direi che si ci possa fermare qui. Collegando il tutto all'analisi condotta da kaspersky risalente a maggio, molto probabilmente le versioni infette sicuramente riguardano la 5.30/5.31 e le varie beta della 5.40. Ultima modifica di Ryddyck : 12-10-2016 alle 20:12. |
12-10-2016, 20:33 | #10 |
Senior Member
Iscritto dal: Dec 2010
Messaggi: 1574
|
OK, ma ad oggi, se qualcuno vuole togliersi il dubbio, ha modo di verificare se il proprio PC è affetto da StrongPity?
Io ho KIS 2017 installato, dite che sia in grado di dirmi se il PC è stato compromesso? |
12-10-2016, 21:33 | #11 | |
Senior Member
Iscritto dal: Sep 2004
Messaggi: 2893
|
Quote:
io comunque consiglierei sempre di andare alla fonte originale dei softwares, al sito ufficiale, perchè quelli italiani possono sempre essere gestiti alla meno peggio da chi mira a far soldi e non capisce un'acca di sicurezza informatica. se cerchi un software vai sempre sul sito ufficiale di chi lo produce. Non è detto che tu sia al sicuro al 100% nemmeno lì, ma almeno non rischi di abbassare inutilmente la percentuale.
__________________
CM HAF X | Asrock Z68 Extreme4 Gen3 | Intel Sandy Bridge i5 2500k OC 4.3Ghz | 16Gb-DDR3 | CorsairAX850w | Msi GTX 970 Gaming 4G | SSD Samsung 830 128Gb | SoundBlasterAudigyFX |
|
12-10-2016, 21:59 | #12 | |
Senior Member
Iscritto dal: Feb 2007
Messaggi: 2314
|
Quote:
Io manco so che versioni ho di winrar, scaricate ed installate dalla notte dei tempi, e mi fanno tutto quel che devono; anzi vi dirò che io conservo una selezione di tutte le versioni passate stratestate e perfettamente funzionanti di qualunque SW, e quando per qualche motivo devo reinstallare, uso quelle e non vado a cercarmi problemi inutili; se poi ho tempo magari su un sistema di prova faccio le mie verifiche su SW più aggiornato, ma è un di più non necessario, se no nel caso in cui la nuova versione contenga nuove funzioni di cui ho veramente bisogno. Ultima modifica di rockroll : 12-10-2016 alle 22:03. |
|
12-10-2016, 23:08 | #13 | |
Senior Member
Iscritto dal: Sep 2004
Messaggi: 2893
|
Quote:
decenni fa avevo il mio archivio di floppy disks con tutti i softwares che mi erano passati per le mani, ma oggi sinceramente è del tutto inutile. anche fino a pochi anni fa tenevo in apposite cartelle sull'HD i vari setup dei softwares che usavo, e anche questo è ormai inutile. oggi tutto quello che devi fare quando vuoi installare un software è andare sul sito del produttore e scaricartelo. che senso ha tenersi il setup della versione che avevi scaricato uno o più anni fa ? E perchè installare quella se nel frattempo ne hanno rilasciate altre 50 con bug fix, patches di sicurezza e futures varie aggiunte ? Senza considerare poi i problemi di compatibilità che potresti avere dopo gli aggiornamenti dell'OS. O non aggiorni più nemmeno quello ? Insomma il tuo discorso va bene (per modo di dire) se sei rimasto ad un Windows95 e continui ad installarci i softwares di allora archiviati su un FD, fregandotene altamente di bugs e problemi di sicurezza. alla fine il tuo discorso può ritorcertisi contro, per non avere problemi di sicurezza, come quelli di questa news, non aggiorni, ma non aggiornandoti è molto probabile che tu ti tenga sul tuo sistema delle versioni totalmente insicure per varie falle scoperte nel tempo e corrette nelle versioni successive.
__________________
CM HAF X | Asrock Z68 Extreme4 Gen3 | Intel Sandy Bridge i5 2500k OC 4.3Ghz | 16Gb-DDR3 | CorsairAX850w | Msi GTX 970 Gaming 4G | SSD Samsung 830 128Gb | SoundBlasterAudigyFX Ultima modifica di maxnaldo : 12-10-2016 alle 23:16. |
|
12-10-2016, 23:33 | #14 | |
Member
Iscritto dal: Jul 2006
Messaggi: 48
|
Quote:
Cerchiamo di risalire al range temporale in cui è stato presente sul sito ufficiale winrar.it l'exe infetto. Le ultime copie meno recenti che ho sono: - la versione WinRAR-x64-540b4it scaricata l'11/08/2016 Questa versione è correttamente signata da win.rar gmbh e dallo scan di VirusTotal non presenta alcuna infezione. - la versione WinRAR-x64-540b2it scaricata il 23/06/2016 Questa versione NON è signata ma dallo scan di VirusTotal non presenta alcuna infezione. Da una prima analisi e leggendo il report di kaspersky la versione corrotta sembra essere la 5.31 che era online sul sito ufficiale italiano nell'intorno del 24/05/2016, quindi quasi tutta la seconda metà del mese di Maggio. Come dimostra anche un post datato 30/05/2016 di un utente su di un altro forum dove credevano si trattasse di un falso positivo, invece... : _http://forum.html.it/forum/showthread.php?threadid=2939520 Ultima modifica di fascetta33 : 13-10-2016 alle 00:51. |
|
13-10-2016, 02:11 | #15 |
Senior Member
Iscritto dal: Feb 2003
Città: Genova
Messaggi: 758
|
A questo punto diventa complesso anche per l'utente "esperto" non cadere in trappola visto che i siti "ufficiali" possono contenere installer con trojan.
Ora io ho sempre scaricato winrar da rarlab.com e quindi sono tranquillo. Non ricordo dove ho scaricato truecrypt... e non ho capito come rimuovere o controllare se sono infetto da Strongpity... Ho sempre avuto avast internet security (e non nego di aver fatto girare anche altri antivirus in questi mesi) ma mai trovato nulla di strano... Aspetto news di qualche utente più informato di me...
__________________
Case: Corsair Obsidian 750D PSU: SeaSonic Focus 750W MB: Asus PRIME x470-PRO CPU: AMD Ryzen 7 2700X AIO: NZXT Kraken x72 360mm Scheda Video: NVIDIA EVGARTX 3080TI FTW3 ULTRA HD: Samsung 970 EVO + Samsung 840 EVO + 4TB WD RED |
13-10-2016, 09:00 | #16 | |||||
Senior Member
Iscritto dal: Apr 2015
Messaggi: 10200
|
Quote:
Quote:
Quote:
Comunque kaspersky (https://securelist.com/blog/research...ryption-users/) fa direttamente riferimento alla versione 5.31 come infetta, trovata sul sito appositamente creato ed i file sono datati 1 giugno 2016 (ultima modifica). Per la versione italiana si parla sempre della 5.31 ma contando il fatto che l'installer contraffatto fa riferimento a fine maggio molto probabilmente dalla data di uscita ufficiale della 5.31 (4/2/2016) a maggio 2016 gli installer non erano infetti. Comunque se si prova a scaricare una delle versioni infette verrete bloccati dal browser (quanto meno da firefox) e se avete un av decente vi segnala l'url malevolo. Discorso diverso per truecrypt, la versione infetta si trovava fino a qualche giorno fa. Quote:
Quote:
Ultima modifica di Ryddyck : 13-10-2016 alle 10:19. |
|||||
13-10-2016, 11:02 | #17 | ||
Member
Iscritto dal: Jul 2006
Messaggi: 48
|
Quote:
Il mese di Maggio è stato proprio il mese dell'infezione sia per il redirect del sito belga sia per l'exe corrotto del sito ufficiale italiano! Quoto parte del comunicato kaspersky: Quote:
Ultima modifica di fascetta33 : 13-10-2016 alle 11:09. |
||
13-10-2016, 12:04 | #18 | |
Senior Member
Iscritto dal: Sep 2011
Messaggi: 640
|
Quote:
%temp%\procexp.exe %temp%\sega\ nvvscv.exe prst.cab prst.dll wndplyr.exe wrlck.cab wrlck.dll Qualcuno che non usa nessun antivirus&Co. può battere un colpo? Come vi comportate in questi casi? Siete sempre sicuri di quello che scaricate? Scaricatelo da qui https://www.grc.com/misc/truecrypt/truecrypt.htm |
|
13-10-2016, 13:13 | #19 | |
Senior Member
Iscritto dal: Feb 2003
Città: Genova
Messaggi: 758
|
Quote:
Io questi file non li ho, quando ho installato questi software avevo sicuramente Avast internet 2016. Purtroppo Truecrypt essendo dismesso non ricordo dove l'ho scaricato, e questa cosa mi manda nei pazzi...
__________________
Case: Corsair Obsidian 750D PSU: SeaSonic Focus 750W MB: Asus PRIME x470-PRO CPU: AMD Ryzen 7 2700X AIO: NZXT Kraken x72 360mm Scheda Video: NVIDIA EVGARTX 3080TI FTW3 ULTRA HD: Samsung 970 EVO + Samsung 840 EVO + 4TB WD RED |
|
13-10-2016, 13:27 | #20 |
Senior Member
Iscritto dal: Apr 2015
Messaggi: 10200
|
Non saprei, dal sito contraffatto risultano le versioni 5.31 e poi una "wrar53b5.exe", potrebbe essere la 5.30 beta5?!
Comunque vedi se hai qualche file sospetto in giro, fai delle scansioni con hitmanpro, malwarebytes antimalware e magari anche l'antiransomware. Per il resto kaspersky ha spiegato che si è avviato tutto a fine maggio, ma non ha specificato quando l'intrusione è scomparsa ed i file sono stati ripristinati (per la versione italiana, che poi riportino anche uno screenshot della pagina con la versione 5.40 sinceramente non so cosa pensare). Per il resto ho fatto l'unpacking dell'installer della 5.40 (la mia versione personale risalente a più di un mese fa, quella ufficiale da rarlab e quella del distributore locale), sembra tutto tranquillo (rispetto alle versioni 5.31, quelle infette dovrebbero pesare circa 700KB in più o almeno si capisce questo dal sito riportato). |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 06:51.