info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
PUA:Win32/SpyrixKeylogger
53 views
Skip to first unread message
dalai lamah
Apr 5, 2021, 11:49:16 AM4/5/21
to
L'altro giorno Windows Defender mi informa di avere trovato un keylogger,
PUA:Win32/SpyrixKeylogger nel file C:\WINDOWS\runkey.exe. In modo
abbastanza incomprensibile ha catalogato come "basso" il livello della
minaccia, quando ai miei occhi un keylogger è in assoluto la minaccia più
grave possibile.
Cercando online non ho trovato molte informazioni. Spyrix è effettivamente
un keylogger (e non solo), ma tipicamente i malware lo installano con nomi
e in percorsi differenti.
Sto molto attento ai software che installo, l'unico software "shady" che
avevo installato era uTorrent. E guarda caso due giorni dopo del detect di
PUA:Win32/SpyrixKeylogger, Windows Defender mi ha informato di un'altra
minaccia, App:Utorrent_BundleInstaller. Questa è una "firma" che
probabilmente hanno aggiunto di recente in Windows Defender, infatti la
minaccia è stata rilevata in una serie di updates che uTorrent salva ed
esegue automaticamente da C:\Users\xxx\AppData\Roaming\uTorrent\updates, e
probabilmente non si cura di cancellare in seguito. Probabilmente erano lì
da mesi o anni.
Cercando un po', risulta che effettivamente è già da un paio d'anni che
diversi antivirus classificano uTorrent come una minaccia, per via degli
adware/bloatware che installa sostanzialmente di nascosto (se si attivano
gli update automatici). Ma non posso credere che siano davvero arrivati a
installare keylogger. Non ho trovato nessun riferimento online su questo.
Comunque ne ho approfittato per fare una cosa che dovevo fare da anni,
ossia disinstallare uTorrent passando al più reputabile (in teoria...)
Transmission. Ho anche eseguito scansioni con un paio di altri antivirus
per verificare che non ci fossero rimasugli.
La mia è quindi metà una domanda e metà un avvertimento. L'avvertimento è
rivolto a tutti coloro che hanno installato uTorrent: è da sempre che mi dà
l'impressione di installare robe poco raccomandabili, ma per pigrizia ho
sempre chiuso un occhio. Non posso affermare con certezza che sia lui il
colpevole, ma la cosa è abbastanza grave da meritare un controllo.
La domanda è più che altro retorica: come è possibile che un software non
eseguito come amministratore sia in grado di lanciare un update che a sua
volta è in grado di copiare dei file in C:\WINDOWS? Speravo che
problematiche come queste ormai fossero state risolte da tempo anche in
Windows. Sono un povero illuso?
--
Fletto i muscoli e sono nel vuoto.
PUA:Win32/SpyrixKeylogger nel file C:\WINDOWS\runkey.exe. In modo
abbastanza incomprensibile ha catalogato come "basso" il livello della
minaccia, quando ai miei occhi un keylogger è in assoluto la minaccia più
grave possibile.
Cercando online non ho trovato molte informazioni. Spyrix è effettivamente
un keylogger (e non solo), ma tipicamente i malware lo installano con nomi
e in percorsi differenti.
Sto molto attento ai software che installo, l'unico software "shady" che
avevo installato era uTorrent. E guarda caso due giorni dopo del detect di
PUA:Win32/SpyrixKeylogger, Windows Defender mi ha informato di un'altra
minaccia, App:Utorrent_BundleInstaller. Questa è una "firma" che
probabilmente hanno aggiunto di recente in Windows Defender, infatti la
minaccia è stata rilevata in una serie di updates che uTorrent salva ed
esegue automaticamente da C:\Users\xxx\AppData\Roaming\uTorrent\updates, e
probabilmente non si cura di cancellare in seguito. Probabilmente erano lì
da mesi o anni.
Cercando un po', risulta che effettivamente è già da un paio d'anni che
diversi antivirus classificano uTorrent come una minaccia, per via degli
adware/bloatware che installa sostanzialmente di nascosto (se si attivano
gli update automatici). Ma non posso credere che siano davvero arrivati a
installare keylogger. Non ho trovato nessun riferimento online su questo.
Comunque ne ho approfittato per fare una cosa che dovevo fare da anni,
ossia disinstallare uTorrent passando al più reputabile (in teoria...)
Transmission. Ho anche eseguito scansioni con un paio di altri antivirus
per verificare che non ci fossero rimasugli.
La mia è quindi metà una domanda e metà un avvertimento. L'avvertimento è
rivolto a tutti coloro che hanno installato uTorrent: è da sempre che mi dà
l'impressione di installare robe poco raccomandabili, ma per pigrizia ho
sempre chiuso un occhio. Non posso affermare con certezza che sia lui il
colpevole, ma la cosa è abbastanza grave da meritare un controllo.
La domanda è più che altro retorica: come è possibile che un software non
eseguito come amministratore sia in grado di lanciare un update che a sua
volta è in grado di copiare dei file in C:\WINDOWS? Speravo che
problematiche come queste ormai fossero state risolte da tempo anche in
Windows. Sono un povero illuso?
--
Fletto i muscoli e sono nel vuoto.
Mario Rossi
Apr 5, 2021, 1:07:29 PM4/5/21
to
Il Mon, 05 Apr 2021 17:49:12 +0200, dalai lamah ha scritto:
> L'altro giorno Windows Defender mi informa di avere trovato un
> keylogger, PUA:Win32/SpyrixKeylogger nel file C:\WINDOWS\runkey.exe. In
> modo abbastanza incomprensibile ha catalogato come "basso" il livello
> della minaccia, quando ai miei occhi un keylogger è in assoluto la
> minaccia più grave possibile.
[...]
> L'altro giorno Windows Defender mi informa di avere trovato un
> keylogger, PUA:Win32/SpyrixKeylogger nel file C:\WINDOWS\runkey.exe. In
> modo abbastanza incomprensibile ha catalogato come "basso" il livello
> della minaccia, quando ai miei occhi un keylogger è in assoluto la
> minaccia più grave possibile.
Concordo: secondo me è una delle minacce più gravi; se registra delle
password o dati sensibili li manderà da qualche parte (altrimenti perché
farlo?). Se fossi in te mi preoccuperei di cambiare le password.
[...]
> Comunque ne ho approfittato per fare una cosa che dovevo fare da anni,
> ossia disinstallare uTorrent passando al più reputabile (in teoria...)
> Transmission. Ho anche eseguito scansioni con un paio di altri antivirus
> per verificare che non ci fossero rimasugli.
Conosco Transmission, lo trovo un po' spartano; consiglio qBittorrent più
> ossia disinstallare uTorrent passando al più reputabile (in teoria...)
> Transmission. Ho anche eseguito scansioni con un paio di altri antivirus
> per verificare che non ci fossero rimasugli.
ricco di opzioni, lo uso da anni e non ho mai avuto problemi.
Se non lo usi già, ti consiglio anche ClamAV: antivirus open source.
[...]
> La domanda è più che altro retorica: come è possibile che un software
> non eseguito come amministratore sia in grado di lanciare un update che
> a sua volta è in grado di copiare dei file in C:\WINDOWS? Speravo che
> problematiche come queste ormai fossero state risolte da tempo anche in
> Windows. Sono un povero illuso?
È già qualcosa che Windows Defender lo abbia individuato; c'è gente che è
> non eseguito come amministratore sia in grado di lanciare un update che
> a sua volta è in grado di copiare dei file in C:\WINDOWS? Speravo che
> problematiche come queste ormai fossero state risolte da tempo anche in
> Windows. Sono un povero illuso?
pagata per scovare e sfruttare falle di sicurezza, non è questione di
essere degli illusi. Windows per ovvie ragioni è il sistema operativo più
bersagliato.
--
Considerate la vostra semenza:
fatti non foste a viver come bruti,
ma per seguir virtute e canoscenza.
ObiWan
Apr 6, 2021, 9:13:05 AM4/6/21
to
:: On Mon, 5 Apr 2021 17:49:12 +0200
:: (it.comp.sicurezza.varie)
:: <1a6qk6uk8lx04$.fp0v402p...@40tude.net>
:: dalai lamah <antoni...@hotmail.com> wrote:
[...]
Dipende, in fase di installazione/aggiornamento, uTorrent richiede
privilegi elevati ? Nel caso, basterebbe anche solo quello, oppure, ad
esempio, in fase di installazione potrebbe venir installato un servizio
che viene eseguito come "system" e, siccome "system" ha accesso alla
cartella windows...
:: (it.comp.sicurezza.varie)
:: <1a6qk6uk8lx04$.fp0v402p...@40tude.net>
:: dalai lamah <antoni...@hotmail.com> wrote:
[...]
> La domanda è più che altro retorica: come è possibile che un software
> non eseguito come amministratore sia in grado di lanciare un update
> che a sua volta è in grado di copiare dei file in C:\WINDOWS? Speravo
> che problematiche come queste ormai fossero state risolte da tempo
> anche in Windows. Sono un povero illuso?
[...]
> non eseguito come amministratore sia in grado di lanciare un update
> che a sua volta è in grado di copiare dei file in C:\WINDOWS? Speravo
> che problematiche come queste ormai fossero state risolte da tempo
> anche in Windows. Sono un povero illuso?
Dipende, in fase di installazione/aggiornamento, uTorrent richiede
privilegi elevati ? Nel caso, basterebbe anche solo quello, oppure, ad
esempio, in fase di installazione potrebbe venir installato un servizio
che viene eseguito come "system" e, siccome "system" ha accesso alla
cartella windows...
0 new messages