Questo succede per diversi motivi tra cui ad esempio il fatto che il software analizzato va ad eseguire azioni che coinvolgono l'hard disk con scrittura di parti di disco (boot loader ecc... ) che possono essere considerate sensibili dal punto di vista di un possibile attacco da parte di malware.
Ecco cosi' che eseguendo oggi, una scansione del PC con il noto software AV Prevx ho ricevuto una segnalazione di 'computer infected'.
Dopo il primo momento di sorpresa fortunatamente il file si e' rivelato essere Wubi (Windows-based Linux Ubuntu Installer).
Wubi e' un installer di Linux Ubuntu che permette di utilizzare la nota distribuzione Linux senza che vengano create partizioni sul disco ma attraverso un file di disco virtuale creato all'interno dello stesso file system di Windows.
Il resto dell'hardware non e' emulato come in una virtual machine e questo permette ad esempio di poter usufruire di accelerazione 3D.
L'unica modifica apportata al sistema e' un aggiornamento del bootloader in modo che all'avvio del PC l'utente possa scegliere se avviare Windows oppure Ubuntu; in pratica al bootloader originale fornito da Windows viene ad affiancarsi Grub come bootloader secondario. (fonte Wikipedia)
E' molto probabile che la caratteristica di WUBI di agire sul boot loader induca Prevx a considerarlo un file quantomeno di dubbia affidabilita'.
Questo il messaggio ricevuto
e la conferma dei dettagli malware come proposta (probabilmente creata in maniera automatica) dalla pagina di INFO malware sito web Prevx che vede coinvolti come alias una lunga serie di nomi di files piu' o meno noti:
Questo il file incriminato presente in partizione D dell'HD
e di cui per sicurezza ho fatto una analisi hash con una nuova copia scaricata da internet dal sito Ubuntu onde rassicurarmi che per caso non fosse veramente stato 'contaminato' da qualche malware di passaggio sul PC.
Il risultato e' che si tratta del medesimo file 'originale' sul sito di Ubuntu.Una analisi VT conferma comunque che WUBI.exe e' visto attualmente solo da Prevx come file malware (Prevx3.02011.05.11Medium Risk Malware ) cosa che fa propendere per il falso positivo.
Questa segnalazione malware comunque nulla toglie alla efficacia di Prevx che ritengo un buon software AV, considerando anche che , e si puo' verificare dal download della versione free, si tratta di software AV con dimensioni di install veramente ridotte cosi come i tempi di installazione e di scansione del PC.Al momento, una ricerca in rete non sembra trovare riferimenti a questa segnalazione Prevx di file malware relativa a WUBI.
Una delle alternative possibili al riguardo della segnalazione del malware da parte di Prevx potrebbe indicare, ma a me pare poco probabile, che effettivamente ci sia in wubi.exe una parte di codice veramente 'pericoloso' che vada ad effettuare qualche azione 'particolare' sull' HD alla stregua di un reale trojan , ma come ripeto, non sembra una molto attendibile come ipotesi.
E' pur vero che ormai si e' abituati a vedere in rete siti clone di legittimi siti di case produttrici di software, cloni che che distribuiscono eseguibili spacciati come 'programma originale' ma in realta' malware.
Comunque anche una verifica del sito da cui e' stato scaricato wubi .exe risulta proporre un IP legittimo e non trattarsi di sito clone.
Vedremo comunque se nelle prossime ore o giorni si avra' qualche segnalazione al riguardo dell'avviso malware di Prevx relativamente a Wubi.exe.
Edgar
Nessun commento:
Posta un commento