Windows: un trojan old-school sovrascrive MBR

05-08-2016 12:33 - Fonte: www.chimerarevo.com

Audacity è uno strumento per l’editing audio minimale. ClassicShell, invece, un’applicazione per ripristinare su Windows 8.1 e superiori il menu Start in stile Windows 7. Cosa hanno in comune questi due programmi? Entrambi sono per Windows, entrambi sono disponibili anche su FossHub ed entrambi hanno veicolato per qualche ora un nuovo malware. Nuovo, ma dalle dinamiche vecchie: di fatto si presenta come un trojan old-school e mostra all’utente un avviso in stile “prompt dei comandi” che notifica come, al successivo riavvio, Windows sarà inaccessibile. Il che, se si utilizza una macchina con BIOS o con UEFI in avvio legacy, è vero: il trojan della PeggleCrew va di fatto a sovrascrivere l’MBR del disco rendendo inutilizzabile il sistema operativo. Colpisce il fatto che i creatori del trojan non abbiano voluto lucrare sulla vulnerabilità scoperta in FOSSHub: di fatto, hanno semplicemente voluto arrecare un danno a chi vi si affida dimostrando come lo slogan No adware, no spyware, no bundles, no malware caratteristico della piattaforma sia falso a causa di un problema di sicurezza. I PeggleCrew spiegano che il vettore d’attacco è stato un servizio di rete di FOSSHub senza autenticazione, il che ha permesso loro di ottenere le credenziali per accedere a server di produzione, di backup, server FTP ed alcune email Google. Il motivo della scelta di Audacity e ClassicShell? Semplice: sono i file più scaricati. Al momento della scrittura dell’articolo le versioni contraffatte di entrambi i programmi sono state eliminate da FOSSHub e ripristinate; inoltre, non esiste rischio di infezione scaricando i software dai rispettivi siti ufficiali. Se siete purtroppo già caduti vittime di questo innocuo ma fastidioso trojan potrete utilizzare Rescatux per ripristinare MBR ed avviare di nuovo Windows. Rescatux: la distribuzione GNU/Linux “salva PC” L'articolo Windows: un trojan old-school sovrascrive ...

- Continua...