Il formato .ZIP nasce alla fine degli anni 80, attraverso un software in ambiento MS-DOS chiamato PKZIP
Il PK sta' per il nome del creatore Phil Katz, fondatore della PKWare.
Katz purtroppo non riteneva che Windows avrebbe avuto il successo che poi in realta' ebbe e non colse l'opportunita' di proseguire lo sviluppo anche per l'emergente sistema operativo.
Il software da lui creato (pkzip) venne presto rimpiazzato in Windows da altri prodotti come ad esempio quello sviluppato dalla WinZip Computing Inc. cioe' quel WinZip che tutti noi conosciamo e che probabilmente abbiamo almeno una volta utilizzato.
La storia di Phil Katz si conclude purtroppo tragicamente il 14 aprile 2000 quando, a soli 37 anni, viene trovato morto nella camera di un motel di Milwaukee a causa dell'abuso di alcool che da tempo lo affliggeva.
Un bel articolo dal titolo, Addio, Mr. Zip, che trattta di questo e che ci ricorda le prime esperienze fatte su un home computer lo trovate qui.
E evidente che avendo il formato ZIP una cosi' larga diffusione interessi anche chi crea falsi programmi a scopo di infettare computers con malware.
Se si ricerca in rete si scopre che ad esempio esiste un programma il cui nome differisce da quello del programma originale di compressione solo per una lettera, si tratta di Winzix.
Questa e' la home page di Winzix
chiaramente Winzix e' aggiornato anche per Windows Vista
e questa e' l'interfaccia del falso programma di compressione dati
Si noti la somiglianza all'interfaccia di winzip.
Se esaminiamo il file di setup con Virus Total questo e' il risultato:
Il PK sta' per il nome del creatore Phil Katz, fondatore della PKWare.
Katz purtroppo non riteneva che Windows avrebbe avuto il successo che poi in realta' ebbe e non colse l'opportunita' di proseguire lo sviluppo anche per l'emergente sistema operativo.
Il software da lui creato (pkzip) venne presto rimpiazzato in Windows da altri prodotti come ad esempio quello sviluppato dalla WinZip Computing Inc. cioe' quel WinZip che tutti noi conosciamo e che probabilmente abbiamo almeno una volta utilizzato.
La storia di Phil Katz si conclude purtroppo tragicamente il 14 aprile 2000 quando, a soli 37 anni, viene trovato morto nella camera di un motel di Milwaukee a causa dell'abuso di alcool che da tempo lo affliggeva.
Un bel articolo dal titolo, Addio, Mr. Zip, che trattta di questo e che ci ricorda le prime esperienze fatte su un home computer lo trovate qui.
E evidente che avendo il formato ZIP una cosi' larga diffusione interessi anche chi crea falsi programmi a scopo di infettare computers con malware.
Se si ricerca in rete si scopre che ad esempio esiste un programma il cui nome differisce da quello del programma originale di compressione solo per una lettera, si tratta di Winzix.
Questa e' la home page di Winzix
chiaramente Winzix e' aggiornato anche per Windows Vista
e questa e' l'interfaccia del falso programma di compressione dati
Si noti la somiglianza all'interfaccia di winzip.Se esaminiamo il file di setup con Virus Total questo e' il risultato:
| File WinZix-2.2.0.0-setup-0411.exe received on 11.14.2007 15:37:20 (CET) | |||
| Antivirus | Version | Last Update | Result |
| AhnLab-V3 | 2007.11.14.1 | 2007.11.14 | - |
| AntiVir | 7.6.0.34 | 2007.11.14 | DR/FraudTool.WinZix.A.130 |
| Authentium | 4.93.8 | 2007.11.14 | - |
| Avast | 4.7.1074.0 | 2007.11.13 | Win32:Trojan-gen {Other} |
| AVG | 7.5.0.503 | 2007.11.14 | - |
| BitDefender | 7.2 | 2007.11.14 | Application.WinZix.A |
| CAT-QuickHeal | 9.00 | 2007.11.14 | - |
| ClamAV | 0.91.2 | 2007.11.14 | - |
| DrWeb | 4.44.0.09170 | 2007.11.14 | Trojan.Packed.149 |
| eSafe | 7.0.15.0 | 2007.11.13 | - |
| eTrust-Vet | 31.2.5294 | 2007.11.14 | - |
| Ewido | 4.0 | 2007.11.14 | - |
| FileAdvisor | 1 | 2007.11.14 | - |
| Fortinet | 3.11.0.0 | 2007.10.19 | - |
| F-Prot | 4.4.2.54 | 2007.11.14 | - |
| F-Secure | 6.70.13030.0 | 2007.11.14 | Trojan.Win32.Obfuscated.en |
| Ikarus | T3.1.1.12 | 2007.11.14 | Virus.Trojan.Win32.Obfuscated.en |
| Kaspersky | 7.0.0.125 | 2007.11.14 | not-a-virus:FraudTool.Win32.WinZix.b |
| McAfee | 5162 | 2007.11.13 | - |
| Microsoft | 1.3007 | 2007.11.12 | - |
| NOD32v2 | 2658 | 2007.11.14 | - |
| Norman | 5.80.02 | 2007.11.14 | - |
| Panda | 9.0.0.4 | 2007.11.14 | Application/WinZix |
| Prevx1 | V2 | 2007.11.14 | Heuristic: Suspicious Self Modifying File |
| Rising | 20.18.20.00 | 2007.11.14 | - |
| Sophos | 4.23.0 | 2007.11.14 | Mal/Generic-A |
| Sunbelt | 2.2.907.0 | 2007.11.14 | - |
| Symantec | 10 | 2007.11.14 | - |
| TheHacker | 6.2.9.127 | 2007.11.14 | - |
| VBA32 | 3.12.2.4 | 2007.11.11 | - |
| VirusBuster | 4.3.26:9 | 2007.11.13 | - |
| Webwasher-Gateway | 6.0.1 | 2007.11.14 | Trojan.Dropper.FraudTool.WinZix.A.130 |
| Additional information | |||
| File size: 1096241 bytes | |||
| MD5: a0e77a28248e3dcd33399b08bf7fa6c8 | |||
| SHA1: 20bd372cb49756b88d76a24098fd5467468ddf22 | |||
| packers: ZIP | |||
Le maggiori case di programmi antivirus hanno sui loro siti le istruzioni di rimozione del malware.
A riprova che si tratta di un programma pericoloso se andiamo a verificare i siti presenti allo stesso IP del sito Winzix troviamo. tra gli altri. il sito di un falso programma di Torrent
Qui il risultato della scansione dell'install con Virusl Total| File TorrentSoftware-4.3.0.0-setup-059 received on 11.14.2007 16:35:22 (CET) | |||
| Antivirus | Version | Last Update | Result |
| AhnLab-V3 | 2007.11.14.1 | 2007.11.14 | - |
| AntiVir | 7.6.0.34 | 2007.11.14 | - |
| Authentium | 4.93.8 | 2007.11.14 | - |
| Avast | 4.7.1074.0 | 2007.11.13 | Win32:Obfuscated-BPS |
| AVG | 7.5.0.503 | 2007.11.14 | - |
| BitDefender | 7.2 | 2007.11.14 | Trojan.FatObfus.2.Gen |
| CAT-QuickHeal | 9.00 | 2007.11.14 | - |
| ClamAV | 0.91.2 | 2007.11.14 | - |
| DrWeb | 4.44.0.09170 | 2007.11.14 | Trojan.Packed.149 |
| eSafe | 7.0.15.0 | 2007.11.13 | - |
| eTrust-Vet | 31.2.5294 | 2007.11.14 | - |
| Ewido | 4.0 | 2007.11.14 | - |
| FileAdvisor | 1 | 2007.11.14 | - |
| Fortinet | 3.11.0.0 | 2007.10.19 | - |
| F-Prot | 4.4.2.54 | 2007.11.14 | - |
| F-Secure | 6.70.13030.0 | 2007.11.14 | Trojan.Win32.Obfuscated.en |
| Ikarus | T3.1.1.12 | 2007.11.14 | - |
| Kaspersky | 7.0.0.125 | 2007.11.14 | Trojan.Win32.Obfuscated.en |
| McAfee | 5162 | 2007.11.13 | - |
| Microsoft | 1.3007 | 2007.11.12 | - |
| NOD32v2 | 2658 | 2007.11.14 | - |
| Norman | 5.80.02 | 2007.11.14 | - |
| Panda | 9.0.0.4 | 2007.11.14 | - |
| Prevx1 | V2 | 2007.11.14 | - |
| Rising | 20.18.20.00 | 2007.11.14 | - |
| Sophos | 4.23.0 | 2007.11.14 | Mal/Swizzor-B |
| Sunbelt | 2.2.907.0 | 2007.11.14 | - |
| Symantec | 10 | 2007.11.14 | - |
| TheHacker | 6.2.9.127 | 2007.11.14 | - |
| VBA32 | 3.12.2.4 | 2007.11.11 | - |
| VirusBuster | 4.3.26:9 | 2007.11.14 | - |
| Webwasher-Gateway | 6.0.1 | 2007.11.14 | - |
| Additional information | |||
| File size: 1064258 bytes | |||
| MD5: 01bf47f13142041943c164b8b0218464 | |||
| SHA1: c98de71d8d7d505fad1bd8003181a80ea0c486f4 | |||
Qui il risultato della scansione dell'install con Virusl Total| File NetPumper-1.50-setup-0001.exe received on 11.14.2007 16:35:29 (CET) | |||
| Antivirus | Version | Last Update | Result |
| AhnLab-V3 | 2007.11.14.1 | 2007.11.14 | - |
| AntiVir | 7.6.0.34 | 2007.11.14 | - |
| Authentium | 4.93.8 | 2007.11.14 | - |
| Avast | 4.7.1074.0 | 2007.11.13 | Win32:Obfuscated-BPP |
| AVG | 7.5.0.503 | 2007.11.14 | - |
| BitDefender | 7.2 | 2007.11.14 | Adware.LOP.BI |
| CAT-QuickHeal | 9.00 | 2007.11.14 | - |
| ClamAV | 0.91.2 | 2007.11.14 | - |
| DrWeb | 4.44.0.09170 | 2007.11.14 | Trojan.Packed.149 |
| eSafe | 7.0.15.0 | 2007.11.13 | - |
| eTrust-Vet | 31.2.5294 | 2007.11.14 | - |
| Ewido | 4.0 | 2007.11.14 | - |
| FileAdvisor | 1 | 2007.11.14 | - |
| Fortinet | 3.11.0.0 | 2007.10.19 | - |
| F-Prot | 4.4.2.54 | 2007.11.14 | - |
| F-Secure | 6.70.13030.0 | 2007.11.14 | Trojan.Win32.Obfuscated.en |
| Ikarus | T3.1.1.12 | 2007.11.14 | - |
| Kaspersky | 7.0.0.125 | 2007.11.14 | Trojan.Win32.Obfuscated.en |
| McAfee | 5162 | 2007.11.13 | - |
| Microsoft | 1.3007 | 2007.11.12 | - |
| NOD32v2 | 2658 | 2007.11.14 | - |
| Norman | 5.80.02 | 2007.11.14 | - |
| Panda | 9.0.0.4 | 2007.11.14 | Suspicious file |
| Prevx1 | V2 | 2007.11.14 | Heuristic: Suspicious Self Modifying File |
| Rising | 20.18.20.00 | 2007.11.14 | - |
| Sophos | 4.23.0 | 2007.11.14 | Mal/Swizzor-B |
| Sunbelt | 2.2.907.0 | 2007.11.14 | - |
| Symantec | 10 | 2007.11.14 | NetPumper |
| TheHacker | 6.2.9.127 | 2007.11.14 | - |
| VBA32 | 3.12.2.4 | 2007.11.11 | - |
| VirusBuster | 4.3.26:9 | 2007.11.14 | - |
| Webwasher-Gateway | 6.0.1 | 2007.11.14 | - |
| Additional information | |||
| File size: 3573271 bytes | |||
| MD5: c3bb5ee0366411f546aaac6ab225f5b3 | |||
| SHA1: a30e4dfb1115a5c28d860221cc9b514302d96a33 | |||
Come avevamo gia' visto molte altre volte, la grafica di queste pagine e' molto curata e non ha nulla da invidiare a quella dei siti di grandi produttori di software.
Una ragione in piu' per porre sempre molta attenzione quando scarichiamo ed installiamo sul nostro pc, software nuovi e di dubbia provenienza.
Edgar.
Una ragione in piu' per porre sempre molta attenzione quando scarichiamo ed installiamo sul nostro pc, software nuovi e di dubbia provenienza.
Edgar.
Nessun commento:
Posta un commento