Ricerca in FOLBlog

Bonjour? BONJOUR? BONJOUR UNA MAZZA!

 Scritto da alle 21:26 del 03/04/2009  Aggiungi commenti
Apr 032009
 
closeQuesto articolo è stato pubblicato 8 anni 4 mesi 20 giorni giorni fa quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere più validi. Questo sito non è responsabile per eventuali errori causati da questo problema.

Questo è il racconto di una piccola Odissea.
Da qualche settimana sto provando Prevx Edge, perchè mi sembra un efficace antimalware.
Lo uso anche per validare indirettamente l’operato di altri antimalware e, da qualche giorno, anche di NOD32 Antivirus versione 4.

Ho programmato una scansione con Prevx Edge ogni mattina alle 8.
Il tutto avviene in modalità “quiet”, senza alcuna finestra, senza alcuna richiesta, compreso l’aggiornamento automatico prima della scansione; Prevx Edge è impostato per disturbare l’utente solo quando è indispensabile il suo intervento o abbia qualcosa da notificare; esattamente come piace a me.

Stamattina, la brutta sorpresa: viene segnalato un High Risk Cloaked Malware nel file c:\windows\system32\dwm.exe.
Lo stupore non è poco.
Da qualche settimana, contrariamente a quanto faccio solitamente, causa mancanza di tempo non ho installato nessun nuovo programma, eccezion fatta per NOD32 4.

DWM.EXE è l’applicazione che gestisce gli effetti di Aero di Vista.
Dopo la rimozione del malware, dwm.exe non c’è più e Aero, ovviamente, non funziona.

Dato che dwm.exe risulta l’unico file infetto tra tutti quelli presenti nel sistema, penso di recuperarne una copia priva di infezione sa una delle immagini dell’HD effettuate con Acronis True Image.
Inizio perciò a montare le varie immagini dell’HD e a passarle sotto scansione di Edge fino a trovarne una pulita.
Eccola: la prima infezione di dwm.exe è del 23/03; la copia del 22/03 risulta intatta.
Purtroppo però quando tento di ripristinare con un copia/incolla il file, la copia fallisce. E non ho un’immagine precedente!
Evidentemente il file .tib generato da Acronis ha qualcosa che non va.
Ed in effetti scorrendo il log dell’operato di True Image, scopro che la verifica dell’immagine effettuata il 22/03 era fallita. Peggio per me che non controllo i log.

Ora so che, fino al 22/03, l’infezione che solo oggi Edge è stato in grado di riconoscere, non esisteva.
Dato che in questo periodo le modifiche al sistema sono state pochissime, decido quanto meno di indagare quali modifiche sono intervenute nel sistema dal 23/03 in poi, confrontando le modifiche alla chiave HKLM del registro (che esporto per intero ogni giorno tramite uno scriptino .bat).
Script

Comparando i due file del 22/03 e del 23/03, la mia attenzione viene catturata dalla dicitura “Bonjour”, il “simpatico” servizio della Apple che fa chissàchecosa…

Bonjour? Ma se non l’ho mai installato!
Apro il pannello di controllo e…incredibile ci trovo Bonjour installato!
image
Toh!, proprio il 23/03….eppure avrei giurato che, quando ho installato Safari, son stato bene attento a non installare niente che non fosse il browser

.
Controllo la data di installazione di Safari….e mi viene un mezzo coccolone!
Bonjour - Safari
Installato il 26/02.
Dato che fino al 22/03 Bonjour non era presente nel registro di sistema, significa che il 23/03 qualcosa, a mia insaputa,  ha installato Bonjour.
Panico.

Scorro tutti i servizi attivi e ci trovo Bonjour…ma nessun altro servizio Apple.
Faccio una ricerca sul registro di configurazione attuale e ci trovo un sacco di bella robetta:
Bonjour 01
O che bello! Pure qualche eccezione al firewall…
Bonjour 02
Bonjour 03
Bonjour 04
E che c’entra Internet Explorer?
Bonjour 05

Bonjour 06
QuickTime? E chi ha installato QuickTime?
Non risulta nemmeno installato negli applicativi ed io uso oramai da anni QuickTime player alternativi….
Bonjour 08

Addirittura due versioni di Bonjour installate nello stesso giorno…

Vabbè, incazzato nero, disinstallo Bonjour, arresto il servizio e poi faccio una ricerca per eventuali voci residue eliminandole tutte.
Riavvio il PC.

Porcaccia la miseria!
Niente più collegamento ad Internet, Live Messenger da’ un errore
Bonjour 12

VMWare non si avvia più.

Eppure secondo Vista, tutto dovrebbe essere a posto…

Sempre più incazzato ripristino il sistema.
image

Al riavvio la connessione sono ripristinate, così come il funzionamento di Live Messenger e VMware.
Provo a disinstallare Bonjour senza agire manualmente sul registro di sistema.

Riavvio il PC e Bonjour è disinstallato.

O meglio, SEMBRA disinstallato.
Uno sguardo ai servizi in esecuzione e…

porca p..aletta! Eccolo lì, bello in esecuzione.

Arresto il servizio, ne disabilito l’avvio (con scarsa convinzione sull’efficacia della manovra) e tutto sembra funzionare.
Ma so che da qualche parte, qualche pezzo di Bonjour, che non ho mai installato, che non posso disinstallare eliminando le tracce dal computer, sta lavorando, facendo chissàchecosa, roba che certamente non mi serve a nulla.
Sapete che vi dico? Quanto mi è “Simpatica” Apple!

Riepilogando, per la prima volta da non so nemmeno quanti anni, sul mio PC sembrerebbe approdato un qualche malware che ha infettato dwm.exe.
Qualche applicativo che però risulta invisibile ha installato il servizio Apple Bonjour a mia insaputa; quel giorno stesso dwm.exe risulta per la prima volta infetto.
Sono troppo prevenuto o è lecito sospettare di questa strana coincidenza?
Dulcis in fundo, se disinstallo Bonjour rimuovendone le tracce dal registro e cancellando i file nell’apposita cartella, nessuna connessione ad Internet è possibile.

A prescindere se Bonjour o Safari siano responsabili dell’infiltrazione dell’infezione, il software Apple, ora lo posso dire con certezza, si comporta esattamente come un malware: si installa da solo, esegue chissà quali compiti all’insaputa dell’utente e se si tenta di disinstallarlo, incasina il sistema.

Non avrei mai pensato di essere costretto a tanto, ma non essendoci in giro un anti-Appleware, cioè una protezione da questi malware by Cupertino, se non trovo una soluzione sarò costretto a reinstallare Vista a causa del software Apple.

Sondaggio:
A quanto date la possibilità che io in futuro installi un qualsiasi software Apple sui miei PC?

P.S.
Nel mentre cerco di debellare questo virus della Apple (ho già visto in giro alcune procedure per disinstallarlo che mi riprometto di provare domani), qualcuno mi può cortesemente fornire i file dwm.exe e uxsms.dll di Vista 64bit SP2 RC in modo che possa tentare di ripristinarli in c:\Windows\System32\ e vedere se riesco a riattivare Aero?
Tanks

Technorati Tag: Apple,,,

Articoli simili:

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS

 Lascia un commento

Puoi usare questi tag e attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(richiesto)

(richiesto)

Pinterest
EmailEmail
PrintPrint
%d blogger hanno fatto clic su Mi Piace per questo: