Chi ha qualche anno di esperienza con l'informatica sa benissimo che una piccola parte dei programmi forniti gratuitamente agli utenti su Windows può nascondere qualche piccola "insidia", inserita per poter finanziare lo sviluppatore o la società che si occupa del programma, così da poter continuare ad offrirlo gratuitamente. In passato si utilizzavano (e in molti casi si utilizzano ancora) programmi aggiuntivi affiancati a quello che ci interessava installare, toolbar e pagine di ricerca personalizzate che venivano aggiunte tramite una finestra dedicata dell'installer, così da lasciare all'utente la possibilità di scegliere se aggiungere queste componenti o meno (magari sfruttando la fretta d'installare, si clicca sempre su Avanti o Next senza dare mai uno sguardo e si ritrova il PC pieno di schifezze).
Ma sempre più gente ha appreso le meccaniche con cui questi programmi o tool aggiuntivi si installano sul PC ed è ora in grado di evitare queste trovate pubblicitarie, quindi sorge spontanea la necessità di trovare nuove fonti di reddito per gli sviluppatori di programmi free; quale sistema migliore delle criptovalute? Queste monete virtuali possono essere "generate" ("minate" in termini tecnici, con il nostro PC che diventa la loro "miniera") utilizzando le capacità di calcolo della GPU e della scheda video. Bastano poche semplici componenti, ben nascoste nelle cartelle create dal programma free, per ritrovarsi una componente miner installata sul PC e (con una scheda video abbastanza potente) ritrovarsi con le risorse grafiche del PC sempre occupate o indaffarate a minare criptovaluta per conto dello sviluppatore!
Questo comportamento è molto riguardevole e al limite dell'illegale, ma probabilmente ben spiegato nel contratto d'uso del programma (chi lo legge tutto? Magari questa componente è ben descritta ma in fondo alla pagina del contratto d'uso, la persona che dovrebbe leggerlo tutto lo ignora o fa semplicemente clic su Avanti e dà il suo consenso ad installare la componente miner).
Scopriamo in questa guida come si comporta un miner nascosto all'interno di un programma gratuito, come fare a riconoscerlo e quali contromisure adottare.
I sintomi del miner che "scava"
Mi sono accorto che qualcosa non andava da qualche giorno: i giochi (nonostante la scheda grafica di ultima generazione) perdevano qualche frame di troppo, in più durante un utilizzo blando del PC (una videochiamata su Skype per la precisione) le ventole del PC e della scheda video risultavano sempre in movimento ad un livello di rumorosità elevato, a velocità decisamente fuori scala per il compito svolto sul momento.
Subito insospettito da questo comportamento, sono andato a controllare su Windows 10 il Gestione attività (tasto destro sulla barra delle applicazioni in basso) quello che tutti ricordano come il caro e buon vecchio Task Manager, che nell'ultimo aggiornamento di Windows 10 mostra anche il carico della GPU per i singoli processi.
Qui ho avuto subito l'amara sorpresa: un processo sconosciuto stava utilizzando il 98% delle capacità grafiche della mia GPU, senza alcun motivo apparente.
Nel campo Motore GPU è possibile vedere il tipo di attività svolta dal chip della scheda video, e quel "GPU 0 - Copy" unito alle risorse occupate (per la cronaca anche la CPU era utilizzata, al 15% in media) mi ha fatto subito pensare ad un miner per criptovalute che stava agendo alle mie spalle, senza alcun ritegno (mi viene in mente una battuta del Sergente Maggiore Hartman in questi frangenti!).
Come scoprire la componente miner nascosta
Per capire quale programma conteneva la componente miner, è stato sufficiente fare clic destro sul processo incriminato e successivamente fare clic sulla voce Apri percorso file. Il risultato mi ha lasciato basito: le componenti miner erano inserite all'interno di una sottocartella Precomp del percorso USER/AppData/Roaming/XnConvert creata dall'omonimo programma gratuito XnConvert, un convertitore di immagini massivo molto utilizzato per i miei lavori e da sempre presente sul mio PC. All'interno della cartella del miner nascosto è possibile trovare i seguenti file.
Sono tutte componenti indispensabili per minare criptovaluta, con l'eseguibile precomp a fare da miner vero e proprio. Per la cronaca fino a Natale possedevo una scheda video poco appetibile per minare criptovaluta; ho cambiato scheda video con una più recente e performante e, guarda caso, la componente "misteriosa" (sicuramente già presente sul PC) si è attivata e ha cominciato a minare.
Le criptovalute generate con le mie risorse venivano (molto probabilmente) rispedite allo sviluppatore al momento opportuno, così da poter arricchirsi mentre prendeva in giro gli utenti sulla gratuità del suo prodotto.
Come fermare i miner ed impedire di essere sfruttati come "miniere"
Un buon antivirus dovrebbe essere in grado di fermare questo tipo di minacce o le componenti aggiuntive necessarie al funzionamento della componente in grado di minare criptovaluta; queste ultime vengono riconosciute come Trojan.Miner o Miner al momento della rilevazione. Prima di fare piazza pulita della componente e del programma ho fatto analizzare il file precomp a VirusTotal, con i seguenti risultati:
LINK -> Miner scansionato da VirusTotal
Non tutti gli antivirus sono in grado di cogliere questo tipo di minacce! Tra gli antivirus non in grado (al momento della scrittura) di identificare il miner tramite firme spiccano sicuramente:
- Avast
- L'antivirus integrato in Windows 10 (utilizzavo questo prima di scoprire questa minaccia, infatti è passata inosservata!)
- AVG
- BitDefender
- GData
- MalwareBytes
Tra gli antivirus gratuiti che fermano efficacemente questo tipo di minacce troviamo Avira Free e Kaspersky Free; quest'ultima è la soluzione da me adottata per rimuovere ogni traccia del miner e per proteggere il mio PC da possibili futuri "minatori pazzi" installati da altri programmi o da altri siti Web. Se siamo interessati a questo antivirus gratuito possiamo leggere l'articolo guida presente al seguente link.
» Leggi: Impostazioni Kaspersky Free: come renderlo efficace su qualsiasi PC a rischio infezioni
- È necessario eseguire login su TurboLab.it
- La discussione sul forum che contiene i commenti NON deve essere stata chiusa dai moderatori
- Il forum NON deve essere in manutenzione
- L'articolo deve essere stato marcato dall'autore come 'finito'
- Un articolo NON-finito è commentabile se ha ricevuto commenti prima che l'autore lo riportasse in stato NON-finito
]