Intego torna sulla questione del malware Koobface affermando che – contrariamente a quanto alcune società vorrebbero far apparire – non presenta rischi elevati. Il livello di pericolosità di un malware dipende da molti criteri. Con il passare del tempo i fattori di rischio possono aumentare o diminuire, in base alla popolarità del malware, alla comparsa di se varianti e altre condizioni ancora. Intego ribadisce che OSX/Koobface non è particolarmente diffuso, non vi sono prove di utenti Mac infetti e come se non bastasse è scritto in modo errato tanto che i ricercatori della casa produttrice di antivirus non sono riusciti a farlo funzionare con Mac OS X 10.6.x. La comparsa, inoltre, di un avviso Java e l’avvio di un installer, mostrano che l’installazione non viene eseguita di nascosto.
Il programma d’installazione di questo malware, inoltre, contatta fino a cinque diversi server remoti per scaricare dei file. Intego ha verificato decine di server contattati e, tutti tranne uno, risultano al momento off-line (questo, però non esclude l’ipotesi che in futuro i server potrebbero essere riattivati). Oltre ai server prima citati, il malware si mette in contatto con alcuni server IRC i quali, però, anch’essi al momento risultano off-line o inclusi nelle blacklist.
Il malware in questione è multipiattaforma (può funzionare su Mac, Windows o Linux), anche se alcune classi Java sono specifiche per Mac o Windows. I file installati sono i seguenti:
cad.scp
cplibs.zip
cplib_x86_osx.tnw
cplib_x86_win.klf
jnana.pix
jnana.tsa
NirCmd.chm
nircmd.exe
nircmd.zip
nircmdc.exe
ofex.avi
ofex.exe
ofex.zip
OSXDriverUpdates.tar
pax_wintl
pax_wintl.zip
pex.bsl
rawpct
rawpct.zip
RingOnRequest.lock
rvwop
rvwop.zip
VFxdSys.exe
VfxdSys.zip
VfxdSysAdm.exe
WinStart.exe
WinStart.zip
Una delle classi Java contenuta negli archivi sopra citati, è denominata FaceBookWorm.class.
Intego non ha dubbi e si dice sicura che in futuro vedremo nuove varianti. La faccenda è ad ogni modo decisamente limitata e molto meno problematica rispetto a quanto i produttori di antivirus vorrebbero far credere. Come abbiamo già spiegato, basta solo un po’ di buon senso poiché, al contrario di veri e propri malware, quelli in questione richiedono lo scaricamento di un’applicazione, il consenso all’esecuzione della stessa, il consenso (nome e password amministratore) per l’installazione di componenti malevoli nel sistema. E’ vero che qualche utente sprovveduto potrebbe dare il consenso e seguire tutti i passaggi, ma l’utente in questione deve essere talmente sciocco e ingenuo che è improbabile che tutto ciò accada (voi consentireste di far proseguire l’installazione di una strana applicazione che non avete espressamente lanciato?). Come abbiamo già detto in quest’altro nostro articolo, i produttori di malware potrebbero a questo punto risparmiare tempo distribuendo finti giochi o applicazioni con installer “malevoli”: anche in questo caso sono richiesti nomi e password dell’amministratore e, se l’utente accetta, si può installare nel computer-target quello che si vuole.
[A cura di Mauro Notarianni]