Appena abbassi la guardia … sei a un passo dal Virus!

Questo articolo si sarebbe potuto anche intitolare: Virus: diffidate dalle imitazioni! Vediamo perché.

Dovevo fare l’immagine di sistema di Windows 10, per un backup completo, ma scatta un errore (uno dei tanti 0x800… ) e la cosa non riesce; leggo la discussione sulla Microsoft Community che consiglia di DISINSTALLARE tutti gli antivirus NON Microsoft e riprovare. Procedo (scettico) a rimuovere il Kaspersky Internet Security (ieri sera) e, come immaginavo, il backup non riesce comunque. Ma è tardi e l’antivirus decido di reinstallarlo all’indomani (tanto avevo lasciato l’opzione di ricordare le informazioni sulla licenza) e, penso: “Tanto c’è sempre il Defender …”. Ebbene, a momenti rischiavo la salute del PC e, per lo shock e lo stress, anche la mia!

Questa mattina, al riavvio del PC, avevo verificato che l’antivirus Microsoft Windows Defender fosse attivato ma non reinstallo subito l’antivirus perché dovevo aprire Outlook per un lavoro urgente e subito il virus è lì in agguato! Arriva, infatti, un presunto messaggio del servizio di spedizioni DHL con allegato il file “DHL AWD #90785388011 N 20181108.doc”.

Si trattava invece di un Virus di tipo Trojan (cioè un cavallo di Troia) che con un finto file allegato .doc (un apparentemente file Word innocuo) ma che all’interno contiene un programma (generalmente in codice Visual Basic) che è il virus (pericoloso). Non tutti sanno, infatti, che gli applicativi Office si possono programmare con macro e Visual Basic con cui far eseguire azioni non solo all’interno dei documenti ma anche nell’ambiente Windows del PC (con tutto quello che ne consegue).

Vediamo le incongruenze che mi sono saltate subito all’occhio: 5 buoni motivi per sospettare ma che si colgono solo se non procediamo di fretta:

  1. Prima di tutto, non mi aspetto alcuna spedizione dalla DHL, per cui, come sempre, fare sempre mente locale prima di aprire allegati non richiesti!
  2. Un file che, nel nome, ha una data di 3 giorni a venire nel futuro, pure deve insospettire.
  3. Il fatto che il destinatario non sia esplicitamente io (deve esserci proprio la mia email lorenzo@boccanera.net) ma sia “undisclosed-recipients;” infatti, se la spedizione arriva a me, e me la può anticipare una email, devo essere solo io il destinatario e non un gruppo che sicuramente è stato inserito in CCN, tale da far apparire quella dicitura.
  4. Ora di ritiro: Stamattina alle 9:44 – Ora della email: 08:25 – Grande preveggenza: hanno inviato l’email 1 h e 20′ prima di aver ritirato il pacco.
  5. La data di consegna pacco è: oggi! Che velocità! Oggi lo ritirano (chissà dove) ed oggi lo consegnano qui da me. Ma come lo consegnano il pacco, con un jet supersonico?

Aggiungo una ulteriore anomalia nota solo agli addetti del mestiere della logistica e delle spedizioni: nell’oggetto della email è stato scritto AWB (termine corretto nel mondo delle spedizioni, che significa Lettera di Vettura) ma c’è AWD nel nome del file allegato (termine errato).

Possibile che il Microsoft Windows Defender non si sia accorto di nulla?

Allora eseguo una azione un po’ temeraria: salvo il file allegato in una cartella (clic Destro – Salva allegato con nome … – OK). Nulla. Mi aspettavo che, se non come allegato, almeno come file scritto sul disco, il Microsoft Windows Defender intervenisse; allora eseguo la richiesta esplicita ma anche dopo il click DX – Ricerca Virus, niente succede!

OK, sarà ora di far fare un giretto al file con un secondo antivirus . Scarico di nuovo il Kaspersky Internet Security, eseguo l’installazione, aggiorno il database e riavvio il PC.

Poi, torno nella cartella dove avevo salvato il file ed eseguo il solo clic DX per far apparire il menù (in cui ora appaiono le voci del Kaspersky) e … non faccio nemmeno in tempo a scegliere un comando con un qualche clic sul menù che il file SCOMPARE da sotto la freccia del mouse. Giusto un secondo dopo aver fatto lo Screenshot qui sotto. Ed appare a lato il messaggio del Kaspersky che riporta che il file, impossibile da disinfettare, è stato eliminato!

Ecco quindi dimostrato (seppure col rischio di incappare quasi sicuramente in un Ransomware) che occorre sempre: stare con gli occhi aperti, diffidare, avere gli strumenti giusti e mai fare di fretta.

In serata mi sono anche chiesto come mai l’email non fosse stata riconosciuta come infetta già sul server mail del mio provider; accedo quindi al portale della mia Webmail e noto che l’email con l’allegato virus, non c’è più. Si vede che entro il pomeriggio deve esser passato un controllo coi database aggiornati! Se avessi scaricato la posta in serata, non avrei nemmeno trovato nemmeno l’email.

Messaggio con virus eliminato DOPO l’azione dell’antivirus Kaspersky, insieme a tanti altri, tutti già eliminati.

Ma non diamo troppe critiche al Windows Defender, peraltro un prodotto gratuito; probabilmente il database della Microsoft non era stato ancora aggiornato in quanto le case produttrici di Antivirus si scambiano le informazioni tramite una “centrale” a cui Kaspersky, un prodotto a pagamento, aveva già attinto e da cui era stato già aggiornato (magari più frequentemente). In questo caso, quindi, il fattore tempo ha fatto la differenza. Magari, dopo qualche ora, anche il database della Microsoft sarà stato allineato.

Da tutto questo possiamo trarre la conclusione che:

Nel dubbio, aspettare un po’, conviene sempre! E pagare qualcosa per un antivirus sicuro e reattivo, conviene altrettanto!


Ed ora una storia vera, che mi è tornata in mente per questo caso:

Un signore di campagna di tempo fa era in casa tranquillo, davanti al camino. Ad un tratto chiamano alla porta ed il figlio va ad aprire; era il postino che consegnava una lettera destinata al suo babbo. Una novità, per quel tempo, che spezzava la quotidiana routine della famiglia. Il figlio porta di corsa la lettera al babbo, che prende la lettera, la guarda di fronte, la gira sul retro, la riporta davanti e poi si volta verso il camino e … la lancia nel fuoco!
Il figlio chiede al babbo come mai non l’abbia nemmeno aperta e la risposta è stata:
“A me non serve niente. Se mi hanno scritto è perché serve qualcosa a qualcun’altro!”

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*