Acronimo di Microsoft Install il formato MSI è ancora oggi utilizzato come pacchetto per la distribuzione e l’installazione di molteplici software. Gli antimalware generalmente verificano la presenza di una firma digitale valida contenuta in qualsiasi eseguibile o archivio di installazione: la validità di tale firma già offre una serie di importanti rassicurazioni. Ogni modifica apportata a un file Windows PE (.exe) rende immediatamente non più valida la firma.
I file distribuiti in formato MSI non offrono uguali garanzie tant’è vero che è possibile applicare modifiche alla loro struttura senza che invalidare la firma acclusa (in passato abbiamo visto come alterare o rimuovere completamente alcuni controlli effettuati dai file MSI in fase di avvio dell’installazione; vedere, per esempio, l’articolo Eseguire una macchina virtuale VMware Windows 7 con Virtualbox che contiene alcune informazioni sul funzionamento del software Orca).
I tecnici di Microsoft, in collaborazione con quelli di VirusTotal, hanno scoperto che i criminali informatici hanno iniziato ad “appendere” file Java ad alcuni file d’installazione in formato MSI, di per sé del tutto legittimi.
L’obiettivo è evidente: l’utente è invitato ad avviare il file MSI ritenendo che si tratti di un software benigno e largamente conosciuto, l’antimalware non mostra alcun avviso rilevando la correttezza della firma digitale e la correttezza della firma è verificabile anche manualmente cliccando con il tasto destro, scegliendo Proprietà quindi facendo riferimento alla scheda Firme digitali.
Eppure, se sul sistema in uso fosse installata una versione di Java il codice JAR malevolo verrebbe immediatamente caricato ed eseguito. Tra l’altro, essendo di fatto gli archivi JAR dei file Zip, il loro contenuto viene caricato dalla fine del file, quindi dal punto esatto un cui – come parassiti – i criminali informatici li hanno aggiunti al file MSI legittimo.
Una strategia che può fare veramente grossi danni se l’antimalware e l’utente non si accorgessero della trappola.
La buona notizia è che l’utilità Microsoft SigCheck è stata recentemente aggiornata per renderla in grado di rilevare il problema: basta digiare sigcheck -i
seguito dal nome del file da controllare per effettuare una verifica. La presenza del messaggio “Signed but the filesize is invalid (the file is too large)” deve immediatamente destare sospetti sulla “bontà” del file MSI con cui si ha a che fare.
Non solo. Gli sviluppatori di VirusTotal hanno appena aggiornato il servizio servendosi proprio di SigCheck: verrà mostrato un messaggio d’allerta per tutti i file MSI contenenti JAR potenzialmente malevoli (ulteriori informazioni in questa nota ufficiale).
Ancora una volta, quindi, i suggerimenti pubblicati nell’articolo Verificare se un file è infetto prima di aprirlo restano assolutamente efficaci e attualissimi.