Cerca nel blog

2009/01/21

Conficker batte anche Windows 7, se l’utente aiuta

Windows 7 vulnerabile a Conficker: è ora di pensionare l'Autoplay?


F-Secure segnala che il trucchetto d'ingegneria sociale usato da Conficker funziona anche con Windows 7.

Se si inserisce una penna USB infetta in una macchina Windows 7, compare la finestra di Autoplay, che chiede all'utente cosa fare. La finestra contiene un'opzione-trappola: è la prima nella figura qui accanto, che sembra essere un invito ad aprire una cartella (dunque un gesto che riteniamo innocuo) ma in realtà esegue Conficker.

In Windows Vista l'opzione-trappola può saltare all'occhio maggiormente, perché la dicitura "Open folder to view files" è sempre in inglese (è hardcoded nella riga Action dell'autorun.inf scritto da Conficker) a prescindere dalla lingua del sistema operativo ospite. Presumo che chi sta collaudando Windows 7 abbia invece scelto la versione inglese, nella quale la trappola si mimetizza molto bene. Quanti, infatti, noteranno che sopra l'icona autentica di Windows c'è scritto "Install or run program"?

The Register suggerisce che visto che Windows 7 è ancora in beta, ci sia ancora tempo per modificare il modo in cui funziona l'Autoplay e renderlo un grimaldello meno efficace, o per eliminarlo del tutto. Credo che saremmo in tanti a rinunciare volentieri alla relativa comodità di questo automatismo in cambio di una maggiore sicurezza.

Intanto arrivano segnalazioni di danni causati da Conficker e soprattutto dalla scelleratezza dei manager responsabili per l'aggiornamento dei computer. Sempre secondo The Register, la rete informatica degli ospedali di Sheffield, nel Regno Unito, ha oltre 800 PC infetti, grazie anche al fatto che era stata presa la decisione di disattivare gli aggiornamenti di sicurezza su tutti e 8000 i PC della rete dopo che nella settimana di Natale i PC di una sala operatoria si erano riavviati nel bel mezzo di un intervento chirurgico. Brr.

Come se non bastasse, un'epidemia di Conficker sembra essere la causa dei guai ai sistemi informatici della Marina Militare britannica. Sì, perché le navi da guerra e i sommergibili di Sua Maestà usano NavyStar/N*, un sistema basato su PC Windows standard. Siamo in buone mani: chi ha bisogno di missili e soldati, quando grazie all'incoscienza dei governanti basta un virus informatico per seminare la confusione nelle forze armate del nemico? Evidentemente nessun ministro della difesa guarda Battlestar Galactica.

Aggiornamento: istruzioni Microsoft sbagliate (2009/01/21)


Il CERT avvisa che le istruzioni di Microsoft per disabilitare l'Autoplay/Autorun sono sbagliate:

According to Microsoft, setting the NoDriveTypeAutorun registry value to 0xFF "disables Autoplay on all types of drives." Even with this value set, Windows may execute arbitrary code when the user clicks the icon for the device in Windows Explorer.

Le istruzioni corrette secondo il CERT sono indicate nell'avviso. Grazie a Luigi per la segnalazione. In sintesi: copiate e incollate le tre righe seguenti nel Blocco Note di Windows e salvatele con il nome autorun.reg.

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"


In Esplora Risorse, fate doppio clic su questo file. Poi riavviate Windows.


Aggiornamento (2009/01/22): Microsoft ha corretto le istruzioni


Microsoft ha pubblicato le istruzioni corrette e aggiornate in inglese; la versione italiana è per ora una traduzione automatica non molto comprensibile.

9 commenti:

fred84 ha detto...

la voce del NoDriveTypeAutorun é disattivata sui miei pc da ormai 4 anni, pensavo che fosse pratica comune ormai (questo conficker é solo l'ultimo di una lunga serie di virus che sfruttano l'autorun).
Il primo che incontrai era quello che si sostituiva al processo ctfmon...

nicola ha detto...

Incredibile: usare in sala operatoria Windows! E anche nei sommergibili da guerra. Ma non era vietato dalla licenza usare windows in situazioni in cui dal suo funzionamento dipende la vita umana?

ciao
nicola.

Giorgio Loi ha detto...

La capacità di Windows di collezionare figure poco edificanti sembra, purtroppo, senza fine.

Non c'è nulla da fare: è necessario tenere il cervello sempre collegato. L'autoplay è stata la prima funzione che ho disattivato appena installato l'ultimo sistema operativo.

Concordo comunque con la proposta di abolire del tutto la funzione. Fa più danni che altro.

Unknown ha detto...

potrebbero patchare l'autoplay per far eseguire con diritti limitati le azioni che richiedono vengano eseguiti degli applicativi.

o, su vista (se non è già così), richiedere l'autorizzazione all'utente per far girare l'applicativo. Io mi insospettirei se mi venisse chiesta l'autorizzazione per sfogliare la cartella di un drive usb e non fornirei le mie credenziali. voi si?

Luigi Rosa ha detto...

AutoPlay, AutoOpen, AutoRun....

Qualsiasi automatismo usato per "facilitare" la vita agli utenti (risparmiano due click, salvo poi pagare 40 EUR l'ora per sollevare pesi in palestra) la facilita anche al malware.

Anonimo ha detto...

In windows l'autoplay è abilitato di default, l'unica cosa positiva che per ora ho trovato in Vista è che hanno messo un menù di gestione dell'autoplay in pannello di controllo per cui si può disabilitare totalmente in maniera abbastanza semplice (resta comunque alto il nr di click da fare perchè sono un bel po' di voci)...
dal punto di vista dell'utente medio ovviamente :P

Comunque secondo me l'autoplay non serve assolutamente a niente, cioè cavolo che ti costa fare 2 doppi click? Uno per aprire l'unità e uno per lanciare l'eseguibile?

Almeno se apri il contenuto del CD puoi anche renderti conto se c'è quello che ci deve essere oppure no...

Anonimo ha detto...

P.S. non ci sono paragoni col caro vecchio Ubuntu è troppo meglio :)
Infatti il pc sul quale è installato Ubuntu è diventato di uso esclusivo della moglie...

guidoc ha detto...

Ok. Come caspita si disabilita l'autoplay?
Mi spiego: ho XP con SP3. Ho seguito la procedura "corretta" suggerita da MS. Ho installato l'aggiornamento e lanciando gpedit.msc non compare la voce "sistema" in "Configurazione computer/Modelli amministrativi".
Ho fatto quanto suggerito da Paolo editando il file autorun.reg e lanciandolo, ho riavviato, ho inserito la pen drive .... e mi è partito l'autoplay.
Suggerimenti ulteriori?????
Grazie.

The Comedian ha detto...

Un piccolo refuso su questo articolo di Repubblica relativo a Conficker: http://www.repubblica.it/2009/01/sezioni/tecnologia/supervirus-usa/supervirus-usa/supervirus-usa.html?ref=hpspr1

"Nelle ultime settimane un warm, un programma informatico nocivo, è dilagato attraverso le reti informatiche di aziende, scuole, università ed enti pubblici in tutto il mondo."

E non credo che l'errore sia del signor John Markoff... :-)

Ad onor del vero, dopo viene utilizzata la "dizione" corretta.