41774 Letture

"Rogue software": cosa sono e come si diffondono. Gli strumenti per rimuovere queste minacce

In questi giorni ci sono arrivate moltissime segnalazioni circa la diffusione di alcuni nuovi "rogue software" che, una volta insediatisi sul personal computer dell'utente, lo invitano a versare somme di denaro di importo variabile facendogli ritenere che si sia verificato un problema di funzionamento a livello del disco fisso, un'infezione da virus, un attacco informatico, e così via.
In questo articolo ci proponiamo, da un lato, di offrire una disamina sul fenomeno dei "rogue software" e, dall'altra, di mettere a disposizione dei nostri lettori i migliori strumenti per il rilevamento e la rimozione di queste subdole minacce.

Che cosa sono i "rogue software" e perché sono pericolosi

I "rogue software", termine inglese traducibile in "programmi canaglia", sono applicazioni maligne generalmente presentate come programmi legittimi, quali antivirus e software per la sicurezza. Per "pubblicizzare" e diffondere i loro malware, i criminali informatici allestiscono siti web con una grafica professionale: l'obiettivo è quello di convincere l'utente circa la bontà dell'applicazione presentata.


L'ignaro utente è indotto al download del prodotto nocivo, talvolta, mediante la visualizzazione occasionale di finestre pop-up che informano circa la presenza di errori sul personal computer. Si tratta generalmente di falsi messaggi d'errore: nessun sito web (a meno che non usi un componente attivo come un controllo ActiveX, una applet Java oppure un plug-in "ad hoc") può infatti essere in grado di esaminare automaticamente il contenuto del personal computer od effettuare operazioni di controllo sul sistema. A titolo esemplificativo, basti ricordare come tutte le software house, sviluppatrici di prodotti antivirus ed antimalware, richiedano l'installazione di un componente ActiveX o di un apposito plug-in per il browser. In alternativa, la scansione viene eseguita all'infuori del browser web ricorrendo ad un'applicazione "stand alone": un elenco di tutti i principali servizi di scansione online è disponibile facendo riferimento a questa pagina. Per ciascun servizio è indicata la compatibilità con i vari browser attualmente disponibili sul mercato e viene riportato se sia permessa anche la rimozione delle minacce eventualmente rilevate sul sistema oggetto di scansione.

Quello dei "rogue software" è un business estremamente proficuo per i criminali informatici che da qualche tempo, per promuovere al massimo la diffusione dei propri falsi antivirus, stanno adoperando tecniche SEO ed organizzando efficaci campagne pubblicitarie. Sfruttando l'impossibilità, per Google, di controllare ogni singolo link pubblicato sul circuito pubblicitario AdSense, non è infatti raro trovare – in evidenza sul motore di ricerca di Mountain View – riferimenti a siti web che veicolano "rogue software".

Gli autori del malware di solito attribuiscono, al loro "rogue software", un appellativo che scimmiotta o comunque ricorda da vicino quello di famosi software per la sicurezza e note utilità per la risoluzione dei problemi del sistema. Nelle campagne pubblicitarie, inoltre, il messaggio è spesso in lingua italiana, con l'intento di "accalappiare" quanti più utenti "nostrani" possibile.

Un "rogue software", insomma, si presenta come un programma che non è assolutamente benigno ma che viene addirittura commercializzato come tale. L'intento è quello di persuadere gli utenti all'inserimento del proprio numero di carta di credito o comunque al versamento di importi variabili. L'utente, da parte sua, non solo si vede indebitamente sottratto del denaro ma non ottiene alcun servizio. Anzi, nella maggior parte dei casi l'installazione del "rogue software" risulta danneggiare i file presenti sul sistema od aprire le porte ad altre infezioni. Molti "rogue software", ad esempio, causano cali delle prestazioni del sistema operativo, installano altri malware o backdoor, interferiscono con le ricerche in Rete e con la normale "navigazione" visualizzando messaggi d'allerta, impegnano pesantemente la connessione Internet e talvolta nascondono file e cartelle personali.

Si tratta di attività davvero odiose ma purtroppo, allo stesso tempo, dure da reprimere. I domini Internet attivati da chi sviluppa "rogue software" sono spesso registrati con dati falsi o mascherati utilizzando gli espedienti più disparati.

Come regola generale è sempre bene non dare mai fiducia a strumenti sconosciuti: generalmente, con una semplice ricerca in Rete è possibile stabilire pressoché immediatamente l'identità di qualsiasi programma smascherando applicazioni fasulle e pericolose.

Effettuare sempre una scansione dei file che si scaricano dalla Rete, soprattutto se si hanno dei dubbi sulla loro identità

Strumenti come Virustotal.com permettono di effettuare un controllo del software scaricato utilizzando contemporaneamente decine di motori antivirus ed antimalware. E' sufficiente collegarsi al sito web, cliccare sul pulsante Sfoglia (Upload file), selezionare il file dell'applicazione da controllare e premere Invia file.

E' comunque bene non fermarsi a questo punto. L'attività di controllo è bene prosegua, ad esempio, ricorrendo ad un servizio come ThreatExpert. Il suo funzionamento differisce da VirusTotal poggiando su un meccanismo di "sandboxing". Si chiama "sandbox" un'area protetta e sorvegliata all'interno della quale possono essere eseguite applicazioni maligne senza che queste vadano ad interferire con il sistema operativo vero e proprio. Se si nutrono sospetti a proposito dell'identità di un programma e delle operazioni che esso può compiere sul sistema, il servizio ThreatExpert può essere un'ottima soluzione per analizzarlo senza rischiare di far danni sul personal computer utilizzato, ad esempio, per scopi produttivi. Dopo aver individuato, sul proprio disco fisso, il file che si intende sottoporre ad esame, è sufficiente, senza eseguirlo, collegarsi con questa pagina, cliccare sul pulsante Sfoglia..., scegliere il file da verificare, specificare un indirizzo di posta elettronica valido nella casella Your e-mail address, accettare i termini e le condizioni di utilizzo del servizio (spuntare la casella I agree to be bound by the terms and conditions) quindi premere il pulsante Submit in basso. Nel giro di qualche minuto, ThreatExpert spedirà, all'indirizzo e-mail indicato, un resoconto dettagliato contenente le informazioni a proposito di tutte le varie operazioni compiute dal file inviato in precedenza.
Il report è consultabile visionando il file html allegato al messaggio di posta oppure cliccando sul link proposto nel corpo del testo dell'e-mail.
Il resoconto finale riassume tutti i gli elementi che, dopo l'avvio del file inviato a ThreatExpert, vengono creati, eliminati o modificati sul sistema (sezione File system modifications). Successivamente, vengono indicate le modifiche effettuate al contenuto dei dati conservati in memoria, nel registro di Windows e così via.
Si tratta di un ottimo sistema che permette non solo di smascherare attività pericolose ma anche di rendersi conto di quali operazioni compiano software assolutamente legittimi.
ThreatExpert è in grado di evidenziare, sempre nel report finale, la creazione di file e processi nascosti oltre all'eventuale traffico di rete generato: porte aperte, indirizzi visitati, traffico SMTP prodotto ossia e-mail eventualmente spedite con tutti i dati relativi.


Per l'invio dei file da analizzare, ThreatExpert mette a disposizione anche un pratico tool "stand alone", scaricabile facendo riferimento a questa pagina.

Un servizio che consente di svolgere un'analisi molto simile a quella operata da ThreatExpert è Anubis: i file che vengono trasmessi online vengono automaticamente eseguiti entro una speciale macchina virtuale. Eventuali comportamenti sospetti o palesemente nocivi vengono opportunamente riassunti in un resoconto finale. Tutti i dettagli sul funzionamento di Anubis, sono riportati in questo nostro articolo.

Sempre utilizzando servizi "web-based", è possibile verificare anche l'attendibilità del sito web che ospita l'applicazione "dubbia". Uno strumento come McAfee SiteAdvisor può essere di grande aiuto: basta digitare nella casella Visualizza il rapporto su un sito, in basso a destra, l'indirizzo del sito web e premere il tasto Invio per ottenere un resoconto completo. Il servizio di McAfee si basa sia su indagini svolte autonomamente dal team della software house sia sui commenti inviati dagli utenti. E' quindi spesso possibile smascherare immediatamente un sito web utilizzato come testa di ponte per la distribuzione di malware e "rogue software".

Anche il plugin per il browser "WOT" (acronimo di "Web-of-Trust") consente di ottenere segnalazioni, direttamente nelle SERP del motore di ricerca, circa la pericolosità di un sito web. WOT è distribuito sotto forma di plug-in per i vari browser web, è gratuito e si basa sulle indicazioni della comunità degli utenti.

Per consultare il report di qualunque indirizzo web senza installare il plug-in, basta introdurre l'URL da controllare nella casella Verificare la valutazione del proprio sito preferito.