Capita sporadicamente che Sophos non vada particolarmente d’accordo con il remover realizzato dalla stessa casa madre. Questo porta ad un messaggio generico che recita:

“Impossibile installare Sophos Anti-Virus perché non è stato possibile disinstallare il software antivirus di terzi.“

Risolvere questo piccolo inconveniente è questione di pochi minuti. L’unica rogna sta proprio nel fatto che non si riesce a godere (in questi sporadici casi) della comodità offerta dal remover automatico.

Eseguire -quindi- in successione:

• disinstallazione completa dell’antivirus presente nella macchina (fino ad ora mi è capitato con qualche Trend Micro che non voleva saperne di abbandonare la macchina);
• riavvio della macchina per applicare le modifiche fatte;
• accesso al server dell’antivirus (\\sophos in uno dei miei casi), cartella InterChk, sotto-cartella che ci interessa (in base al sistema operativo utilizzato dal client);
• rinominare la cartella Remover in Remover.old;
• lanciare Setup.exe, fornire le credenziali di amministratore locale della macchina o di dominio e procedere con l’installazione;
• a fine installazione accedere alla Console Enterprise, individuare il computer appena preparato (generalmente in “Nessun gruppo”) e spostarlo nella cartella con le policy che ci interessa applicare sulla macchina!
• ricordarsi di rinominare nuovamente Remover.old in Remover.

Così facendo il Sophos si installerà senza creare ulteriori problemi. Se pensate che il vecchio antivirus possa aver lasciato delle tracce nel registro di sistema nonostante il riavvio della macchina, la regia consiglia “un’ottima passata di straccio” con un apposito programma (CCleaner uno tra tanti).

Buon lavoro :)

Arrivata su tutte le mie mailbox (ma proprio tutte, un assedio!) e con link che riporta ad un sito truffa (prontamente oscurato dal reale proprietario del dominio). E’ la nuova truffa telematica ai danni di UBI Banca (www.ubibanca.it). Il contenuto della mail è il seguente:

Cari Ubi Internet Banking clienti

A causa del numero di tentativi di accesso errati, il Ubi Internet Banking account e stato bloccato per la vostra sicurezza su 02/01/2008. E necessario reimpostare la tua Password prima di poter entrare Online Banking. E possibile reimpostare la tua Password semplicemente con un clic sul link qui sotto.

https://www.quiubi.it/hb/loginAction.do/schiudere.jsp

Ubi Internet Banking a cura di noi la vostra sicurezza, per la vostra protezione stiamo attivamente notifica di questa attivita.

Desidera confermare questa email e da Ubi Internet Banking? Accedi al Online Banking, selezionare Gestione avvisi Avvisi e Storia per vedere tutti gli avvisi inviati da Ubi Internet Banking. Avvisi vostra storia e aggiornata ogni 2 ore.

Ci scusiamo per gli eventuali disagi.

Cordiali saluti, Assistenza clienti Ubi

La truffa è servita, ancora più facile da capire rispetto al solito, l’italiano non è certo di casa. L’indirizzo riporta in realtà a:

ubi.caligas.com.mx/entra.html

che attualmente risulta essere non raggiungibile (fortunatamente). Contrariamente alle altre volte la mail è partita da un dominio completamente sconosciuto a UBI Banca e bisognerebbe già insospettirsi per questo, ma tant’è!

From - Thu Jan 31 17:15:41 2008
X-Account-Key: account4
X-UIDL: UID3983-1086362196
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <root@master.sivit.org>
Delivered-To: ilgiova@email.it
Received: from localhost (smtp-in05.email.it [127.0.0.1])
by smtp-in05.email.it (Postfix) with ESMTP id 0677C44037
for <ilgiova@email.it>; Thu, 31 Jan 2008 17:12:16 +0100 (CET)
X-Virus-Scanned: amavisd-new at email.it
Received: from smtp-in05.email.it ([127.0.0.1])
by localhost (smtp-in05.email.it [127.0.0.1]) (amavisd-new, port 10024)
with LMTP id eUoZlsegK3m9 for <ilgiova@email.it>;
Thu, 31 Jan 2008 17:12:15 +0100 (CET)
Received: from vds325.sivit.org (vds325.sivit.org [80.248.218.23])
by smtp-in05.email.it (Postfix) with ESMTP id CB4AB44032
for <ilgiova@email.it>; Thu, 31 Jan 2008 17:12:15 +0100 (CET)
Received: by vds325.sivit.org (Postfix, from userid 0)
id CF7B514C623; Thu, 31 Jan 2008 17:09:36 +0100 (CET)
To: ilgiova@email.it
Subject: Ubi Internet Banking Avviso: codice bloccato online
From: ubi@codice.it
Content-Type: text/html
Message-Id: <20080131160936.CF7B514C623@vds325.sivit.org>
Date: Thu, 31 Jan 2008 17:09:36 +0100 (CET)
X-Antivirus: avast! (VPS 080131-1, 31/01/2008), Inbound message
X-Antivirus-Status: Clean

Il dominio scelto (codice.it) è assolutamente fuori da qualsivoglia schema di attacco phishing utilizzato fino ad ora. La mail è partita -in realtà- da tale simpatico indirizzo:

• Return-Path: <root@master.sivit.org>
• Received: from vds325.sivit.org (vds325.sivit.org [80.248.218.23])
• Received: by vds325.sivit.org (Postfix, from userid 0)

Il server sivit.org ha IP 194.146.224.129 (qua tutte le informazioni) e monta Apache/1.3.33 (Debian GNU/Linux) PHP/4.3.10-19 mod_ssl/2.8.22 OpenSSL/0.9.7e, a questo punto non capisco se sia stato bucato o sia colpa di qualche buontempone che ha regolare accesso alla macchina :)

Questo è quanto anche per stavolta, state attenti ;)

Il bello di Sophos è che ha a disposizione migliaia di errori da tirar fuori nei momenti meno opportuni, non ci sarebbe gusto se la cosa fosse troppo semplice!

Nel corso di un’installazione client su Windows XP Pro SP2 spunta fuori il seguente errore:

Errore 00000030: L’installazione comporta la creazione di un’operazione pianificata nel computer. E’ necessario che il servizio Utilità di pianificazione sia in esecuzione.

Inizialmente può passare per la testa che si tratti di un servizio strettamente legato alla console enterprise, un modulo mancato o simile. L’Utilità di pianificazione in realtà è uno dei tanti servizi che generalmente Windows avvia in fase di boot.

Su alcune macchine viene disattivato dall’utente (per sbaglio, per volere…) o da programmi di terze parti. A quel punto basta andare in Pannello di Controllo / Strumenti di amministrazione / Servizi e avviarlo (lasciando il tipo di avvio in automatico per la prossima volta):

Si potrà quindi procedere all’installazione del client, Sophos non dovrebbe più dare errore.

Davvero la storia sembra non cambiare mai, vado per ordine. Stamattina un collega di mio padre mi parlava della sua necessità: installare una linea ADSL in casa sua per la navigazione “di base“. Fermo restando quindi che:

• non scaricherà mai file di grosse dimensioni
• non navigherà mai per più di una o due ore al giorno
• non possiede attualmente un contratto telefonico (usa solo il cellulare e preferirebbe non spendere nulla prendendo un telefono fisso)
• non vuole sottostare al canone Telecom (è assurdo che ancora lo applichino, non l’hanno capito?)

si arriva facilmente a due alternative, le uniche conosciute e ultra-discusse in Italia: Tiscali e Tele 2. La seconda è stata scartata immediatamente. Conosco svariate persone che utilizzano Tele 2 come carrier dati e fonia lamentandosene dalla mattina alla sera. Google inoltre non mente, Tele 2 -almeno per ora- è da lasciar perdere.

Rimane Tiscali e la sua allegra pubblicità con la gnocca di turno (per il popolo e per Federica nei casi sfortunati: Nina Senicar) ed il marpione Greggio. Si parla di una incredibile offerta che permetterebbe di ottenere canale fonia e dati ad un prezzo stracciato! Si sa, l’Italia è proprio il popolo dei furboni e dei magnati che regalano abbonamenti ADSL, giusto? Cominciamo l’analisi dell’offerta.

Il video incriminato è il seguente:

it.youtube.com/watch?v=upS7sD014Hg

4 euro e 95 centesimi fino al 31.03.08!
peccato che non si dia mai retta a quel testo scritto in verdana 6, corsivo e grigio chiaro!

Eh si perché quel testo contiene dettagli sull’offerta da non sottovalutare. Innanzi tutto qualche piccolo particolare sul da farsi quando si vuole stipulare un nuovo contratto con la società:

1. chiamare l’assistenza clienti da telefono fisso
come dite? Non avete un numero di telefonia fissa? No dico, volete scherzare? Avete appena comprato casa e volete fare il primo contratto senza avere un numero di telefonia fissa già disponibile? Che barboni. Fortunatamente Tiscali pensa anche a voi, basta leggere il paragrafo successivo!

Per tutti gli altri vale il solito 130 che -di regola- dovrebbe essere gratuito da qualsiasi linea fissa (lo spero bene visto che ci ho passato 15 minuti abbondanti!).

2. chiamare l’assistenza clienti da telefono mobile
raccattate il cellulare dalla tasca destra e componete l’892.130. Come dite? Si tratta di un numero a pagamento? Beh ma certo, nulla è gratuito! Tiscali pensa bene di penalizzare coloro che non hanno a disposizione un numero di telefonia fissa imponendo tariffazioni 892 per chi chiama da cellulare:

Tali tariffe vengono decise dal proprio gestore telefonico mobile e non sono -in nessun caso- particolarmente economiche.

Per i disturbatori professionisti di turno: so bene che 892.130 è il numero dell’assistenza tecnica specializzata Tiscali, sfortunatamente però è anche l’unico numero alternativo al 130 che compone un possessore di telefono fisso. Facendo ponte sull’892.130 si riesce comunque a parlare con il settore commerciale.

Detto questo si può passare all’analisi costi che mi ha gentilmente comunicato Debora, operatrice del call center di Cagliari:

• attualmente la zona interessata di Ravenna (chiaramente ho comunicato quella dove vive il possibile futuro cliente) non è coperta da segnale voce. E’ disponibile il canale dati fino a 8 Mbit. La storia del “fino a” vuol dire che le garanzie sono pari a zero. 8 Mbit è il picco massimo che si può toccare, peccato che generalmente si giochi a “tirare basso” e non alto.
• il contributo per l’attivazione della nuova ADSL è di 136 euro iva inclusa. Questi comprendono le spese di apertura pratica, l’intervento del tecnico a casa, tasse, burocrazia … come al solito.
• la bolletta mensile ammonta a 32 euro iva inclusa. Nei primi 3 mesi (fino al 31.03.2008) comunicando il numero del conto corrente bancario o usando la carta di credito per i pagamenti si ottiene uno sconto di 10 euro. 3 bollette da 22 euro iva inclusa (se il contratto partisse da gennaio), poi si torna inesorabilmente ai 32.
• per poter chiamare telefoni mobili e fissi occorrerà far uso di Skype. Il credito Skype Out è tutto a carico vostro, come la ricaricabile di un telefonino.
• ci vogliono dai 20 ai 30 giorni per attivare l’ADSL, salvo imprevisti.

Se a ciò aggiungiamo i 3 euro mensili di noleggio modem (vedi sito ufficiale) si arriva ad un totale di 161 euro per il primo mese, sconti già calcolati.

A questo punto c’è solo un dubbio che mi attanaglia: sbaglia la pubblicità, sbaglia il sito oppure alla gentile signorina del call center non è stato installato l’ultimo firmware con il prezzario aggiornato per la stagione non-saldi inverno/primavera 2008?

Tiiiiiiscali se dovete stare attenti!

Nuovo obiettivo dei pirati informatici e dei perdigiorno che pensano di far fortuna stando davanti ad un computer e basandosi sull’ingenuità della brava gente: entra con tanto di tappeto rosso la Banca di Roma ;)

Si parla di un codice segreto da recuperare in quanto qualcuno ha utilizzato male il form di login per 3 volte di seguito (facendo entrare in funzione il blocco delle credenziali). Ancora una volta ortografia e grammatica non sono “di casa” ed il mittente reale è facilmente individuabile.

Il testo della mail recita:

Gentile Cliente,

Il codice segreto del suo conto on-line e stato inserito incorretto piu di tre volte.
Per proteggere suo conto abbiamo sospeso il acceso.
Per recuperare il acceso prego di entrare e completare la pagina di attivazione.

Se scegliete di ignorare la nostra richiesta, purtroppo non avremo altra scelta che bloccare temporaneamente il suo account.

Grazie ancora per aver scelto i servizi on-line di Banca di Roma.

Banca di Roma garantisce il corretto trattamento dei dati personali degli utenti ai sensi dell’art. 13 del D. Lgs 30 giugno 2003 n. 196 ‘Codice in materia di protezione dei dati personali’.

Considerazioni migliori.

Ho eliminato il collegamento sulla parola “entrare“: porta sul sito contraffatto non ancora chiuso dalle autorità. Per il momento spero vi accontentiate di uno screen dove ho evidenziato tutte le differenze chiave:

clicca per ingrandire

Analizziamo i punti sull’immagine:

1. L’URL non è quello della Banca di Roma (www.bancaroma.it). Molto probabilmente si tratta di una adsl privata ad IP dinamico, sparirà molto presto dalla circolazione.
2. Firefox segnala giustamente che si tratta di un sito contraffatto e vi invita ad abbandonarlo quanto prima. Ho ignorato l’avviso giusto per fare lo screen.
3. Nessuno nota mai le Favicon? Si tratta di quella finezza che non viene considerata generalmente da chi fa l’attacco.
4. Ho visitato la pagina alle ore 17.20 di lunedì 06.01.2008. Come può l’orologio segnare le 10.52 del 03.01.2008?
5. Il tasto DEMO non è più presente nella home page della vera Banca di Roma. Posso supporre si tratti di una vecchia versione di piattaforma (anche solo di qualche giorno fa).
6. Manca un’immagine, il layout non è lineare. Mai una banca farebbe un simile stupido errore. Altra finezza non notata :)

A questo punto non ci sarebbe neanche bisogno di proseguire ma tant’è, ci tengo a farvi dare una occhiata al reale mittente della mail:

From - Mon Jan 07 14:46:25 2008
X-Account-Key: account9
X-UIDL: UID2674-1145689893
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path:
X-Original-To: info@extenzilla.org
Delivered-To: m6999862@spunkymail-mx9.g.dreamhost.com
Received: from BNYEX02.bluestarjets.com (email.bluestarjets.com [38.98.85.249])
by spunkymail-mx9.g.dreamhost.com (Postfix) with ESMTP id 5CC5ED7134
for ; Mon, 7 Jan 2008 05:46:04 -0800 (PST)
Received: from User ([209.178.208.74]) by BNYEX02.bluestarjets.com with Microsoft SMTP
SVC(6.0.3790.1830); Mon, 7 Jan 2008 08:49:27 -0500
From: "Banca di Roma spa"
Subject: Banca di Roma garantisce il corretto trattamento
Date: Mon, 7 Jan 2008 08:32:41 -0500
MIME-Version: 1.0
Content-Type: text/html;charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-ID:
X-OriginalArrivalTime: 07 Jan 2008 13:49:28.0141 (UTC) FILETIME=[1F10E7D0:01C85134]
X-EC0D2A8E-5CB7-4969-9C36-46D859D137BE-PartID: 087AAB5C-5A8F-4554-A419-D78B7A90605B
To: undisclosed-recipients:;
X-Antivirus: avast! (VPS 080106-0, 06/01/2008), Inbound message
X-Antivirus-Status: Clean

Riassumendo:

• Received: from BNYEX02.bluestarjets.com (email.bluestarjets.com [38.98.85.249])
• Received: from User ([209.178.208.74]) by BNYEX02.bluestarjets.com with Microsoft SMTP
• Subject: Banca di Roma garantisce il corretto trattamento
• X-Mailer: Microsoft Outlook Express 6.00.2600.0000

Il reale mittente spedisce dal server bluestarjets.com (qui le informazioni in merito) che ha IP 38.98.85.249. Il tutto è partito da un Microsoft Outlook (dell’attaccante) presente sul PC con IP 209.178.208.74 e con un oggetto della mail alquanto stupido e improbabile: “Banca di Roma garantisce il corretto trattamento“, sembra quasi che parli una azienda chimica!

Il server di bluestarjets.com monta IIS 6.0 probabilmente non patchato. Secunia riporta qualcosa di interessante in merito ;)

Occhi aperti!