Topic: [Modalità Provvisoria] & [Possibile malware]

[Polezzz]

Salve,

c'è una mia conoscente che sta avendo problemi su problemi col nuovo Firefox 18.xx quando prova ad accedere al suo homeBanking con "CONSORZIO OPERATIVO GRUPPO MONTEPASCHI". In primis succede che quando va a comporre il modulo F24 online, le cifre inserite vengono "mangiate" verso il bordo destro. Chiamato il centro assistenza MPS (Sviluppo e Gestione SOC Area Sicurezza Integrata - Servizio Security Operation Centre), il tecnico ci consiglia di avviare FF in modalità provvisoria (non l'avessimo MAI fatto [tra l'altro a detta del tecnico pare che il nuovo FF18.xx abbia problemi di visualizzazione, nella sezione dove si compila l'F24]) , succede che sia in provvisoria che in modalità normale, ora, il certificato che ci ha fornito la banca è sparito, quindi riceviamo un errore, e non ci fa più accedere all'homebanking.
Richiamato il servizio tecnico dell'MPS ci viene segnalato che:

"Buongiorno,

 

dalle analisi condotte, abbiamo rilevato che il PC risulta infetto da una tipologia di malware altamente pericoloso.

 

Il PC del cliente risulta essere stato iniettato da codice malevolo proveniente dai seguenti siti:

 

xxxx://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js

xxxx://ajax.googleapis.com/ajax/libs/dojo/1.5.1/dojo/window.xd.js

xxxx://ajax.googleapis.com/ajax/libs/dojo/1.5.1/dojo/dojo.xd.js

xxxx://ajax.googleapis.com/ajax/libs/dojo/1.5.1/dojo/io/script.xd.js

xxxx://ssl.google-analytics.com/ga.js

A

bbiamo provveduto a bloccare il Certificato.

 

Consigliamo un'accurata scansione con tools anti-malware.

 

Si invita pertanto la filiale e/o gestore, prima di riattivare il servizio, di:

•         assicurarsi, attraverso dichiarazione rilasciata (per iscritto) dal cliente, che lo stesso abbia provveduto a rimuovere dai propri PC i malware annidati.

•         Inviarci evidenza della dichiarazione del cliente."

Il problema è che ne il combofix, ne il malwarebytes (ultime versioni in scansione veloce e completa) non trovano nulla di nulla, ma il servizio tecnico continua a dire che siamo affetti da questo malware, i plugins sono aggiornati alle ultime versioni (specialmente il Java Runtime Environment 1.7.0.11).

Vi risultano problemi con la MPS in questione? E' possibile che la modalità provvisoria si sia "mangiato" il certificato della banca? Il malware di cui parlano costoro come possono dire con sicurezza che il pc ne è infetto?

Saluti Polezzz

[flod]

Sicuramente il codice malevolo non può provenire dalla CDN di Google

Toglimi una curiosità: come fanno loro a sapere che sul tuo computer c'è un malware e quei file sono i "colpevoli"? Dopo una risposta del genere dal servizio tecnico comincerei a pormi dei dubbi.

Purtroppo non conosco come funziona MPS. Hai un certificato personale (leggendo la mail parrebbe di sì)? Se sì, hai provato semplicemente a reinstallarlo? Loro parlano di "certificato bloccato", per cui non credo tu possa fare nulla se non lo sbloccano.

Se Malware Bytes e un antivirus aggiornato (es. la versione demo del NOD32) non rilevano nulla direi che puoi stare tranquillo.

[miki64]

Vi risultano problemi con la MPS in questione?

No, assolutamente, te lo scrivo da loro utente.
Non ho un certificato per l'F24, ma con l'home banking MPS non ho mai avuto questi problemi, con qualsiasi versione di Firefox.

[Iceberg]

La modalità provvisoria è provvisoria, non si è mai mangiata nulla, tantomeno un certificato.
Come l'assistenza abbia rilevato la presenza di codice malevolo mi è oscuro.
La mia impressione è che un piccolo problema gestito male, dall'assistenza, abbia causato una tempesta.
Crea un nuovo profilo di Firefox e disattiva java dalla pagina dei componenti aggiuntivi (non tanto per risolvere problemi ma per non fargli trovare quelli che potrebbero rilevare come problemi) e presentati di nuovo all'assistenza chiedendo che ti sblocchino il certificato.

[Polezzz]

Sicuramente il codice malevolo non può provenire dalla CDN di Google

Toglimi una curiosità: come fanno loro a sapere che sul tuo computer c'è un malware e quei file sono i "colpevoli"? Dopo una risposta del genere dal servizio tecnico comincerei a pormi dei dubbi.

 Se sì, hai provato semplicemente a reinstallarlo? Loro parlano di "certificato bloccato", per cui non credo tu possa fare nulla se non lo sbloccano.

Se Malware Bytes e un antivirus aggiornato (es. la versione demo del NOD32) non rilevano nulla direi che puoi stare tranquillo.

Ciao e ringrazio tutti per le risposte,

ma infatti non mi è troppo chiaro come possano asserire ciò, non essendo un esperto di programmazione di siti web, pensavo mi sfuggisse qualcosa in riferimento alla virtual machine java. 

Il certificato (che chiaramente ha una scadenza [e non era scaduto]) lo passano loro, non ricordo com'è la procedura, ma non è un file che ti fanno scaricare, ti abilitano loro.

Proverò altri software tipo il Norman antimalware, l'hijackthis, l'autoruns, o l'avast presente nel pc.

Ciao e Grazie.

[Polezzz]

Vi risultano problemi con la MPS in questione?

No, assolutamente, te lo scrivo da loro utente.
Non ho un certificato per l'F24, ma con l'home banking MPS non ho mai avuto questi problemi, con qualsiasi versione di Firefox.

Ciao,

i problemi sono apparsi apparentemente dalla versione 18.xx solo nella consultazione e nella creazione degli F24, le versioni vecchie funzionano normalmente, a detta di questo tecnico (magari l'ha sparata grossa per pararsi il ( | )  ) .

bye

[Polezzz]

La modalità provvisoria è provvisoria, non si è mai mangiata nulla, tantomeno un certificato.
Come l'assistenza abbia rilevato la presenza di codice malevolo mi è oscuro.
La mia impressione è che un piccolo problema gestito male, dall'assistenza, abbia causato una tempesta.
Crea un nuovo profilo di Firefox e disattiva java dalla pagina dei componenti aggiuntivi (non tanto per risolvere problemi ma per non fargli trovare quelli che potrebbero rilevare come problemi) e presentati di nuovo all'assistenza chiedendo che ti sblocchino il certificato.

Lo so, ma davanti ai miei occhi attivando la provvisoria non solo il problema della visualizzazione dei caratteri nella pagina degli F24 non veniva risolta, ma bensì il certificato è sparito, quindi niente più homebanking.

Tra l'altro per avallare la mia tesi che il pc non era infetto, ho pure spedito il log del malwarebytes della scansione completa, che dichiarava che nessun tipo di malware "era stato rilevato", ma a quanto pare non è servito, non so, forse i tecnici dell'MPS non conosco il software in questione o non lo considerano affidabile. 

Proverò a fare come dici (dopo aver fatto altre scansioni), magari utilizzando una versione di FF portable.

bye e thx.

[Polezzz]

Ciao,

nulla, i tecnici di MPS mi hanno rimpallato altre due richieste di attivazione del servizio, continuando ad asserire che il loro sistema di sicurezza durante il login del pc in questione rileva dei malware che fanno riferimenti ai siti sopracitati. Mi hanno imposto una scansione in modalità provvisoria (di Win7), ed in più ho rimosso 62 cookies traccianti col Superantispyware, che nessun altro software mi rilevava, i cookies traccianti infatti non sono malware, ma vengono usati dai siti per le loro "ricerche", magari un poco invasive, ma nulla di preoccupante, altrimenti software del calibro di Norman Cleaner, MalwareBytes, Combofix gli avrebbero cancellati loro.

Ora  per il collegamento alla banca userò un FF18.01 portable con i javascript disabilitati, ed altri plugins inattivi.

bye