Ho (avevo) una segnalazione da Defender di minaccia grave alla sicurezza. Due /tre settimane fa avevo installato da sito ufficiale cooler master il software cooler master plus. Non sto a raccontare il perché e il per come l’ho fatto, ma sta di fatto che Defender mi diceva che un file della cartella è una minaccia grave.
Da ignorante totale che sono chiamo subito il mio amico tecnico che mi dice “elimina dalla quarantena, disinstalla il software, fai scansioni offline e completa e poi mettiamo un antivirus, suggerisco nod 32”
Fatto tutto (analisi negative) tranne l’ultimo punto. Ho il PC spento e la LAN staccata (stacca stacca!!) e lo riaccenderà lui quando passa a dare un’occhiata domani.
Che dite, nod 32 va bene o suggerite altro? Se dovete cazziarmi fatelo ma plz spiegatemi per filo e per segno perché non va bene e perché le alternative sono migliori perché è un amico e mi seccherebbe mettere in discussione la sua professionalità senza basi che io abbia potuto comprendere
Thanks
Io da 15 anni o più non uso altro che windows Defender perché gli antivirus ormai sono tutti scam e bloat. Se il programma l’hai scaricato dal sito ufficiale coolermaster è molto probabile che sia un falso positivo però io non sono un esperto, non fidarti troppo delle mie parole. Ci sono steps per verificarlo magari chiedi anche a ziogpt.
Se devi scansionare tutto il PC consiglio roba tipo roguekiller o altri malware scanners che lavorano un po’ meglio / in combo con la scansione default di windows.
Good luck
grazie delle risposte, questi i commenti di zioAImode:
Summary
Il file WinRing0x64.sys situato nella cartella CoolerMaster MasterPlus è un driver hardware di basso livello utilizzato per controllare l’illuminazione RGB e la velocità delle ventole.
Perché viene segnalato
A partire dal 2026, Microsoft Defender e altri strumenti di sicurezza segnalano frequentemente questo driver come una minaccia (spesso come HackTool:Win32/Winring0 o VulnerableDriver:WinNT/Winring0) perché si tratta di un driver kernel vulnerabile.
Rischio di sicurezza: Fornisce accesso diretto all’hardware e alla memoria di sistema. Sebbene i programmi legittimi lo usino per il controllo dei LED, gli aggressori possono sfruttarne le vulnerabilità per ottenere l’accesso a livello kernel al PC.
Blocco di sistema: Microsoft ha aggiunto molte versioni di questo driver alla Vulnerable Driver Blocklist di Windows; ciò potrebbe impedire il corretto funzionamento di CoolerMaster MasterPlus.
Cosa dovresti fare
Aggiorna il software: Controlla il sito ufficiale di Cooler Master per scaricare l’ultima versione di MasterPlus. I produttori sono stati obbligati ad aggiornare i software per utilizzare driver più sicuri e firmati.
Verifica il percorso: Se il file si trova in C:\Program Files (x86)\CoolerMaster\MasterPlus\, è quasi certamente parte del software legittimo. Se lo trovi in cartelle casuali o in C:\Windows\System32\, potrebbe essere un malware che si spaccia per il driver.
Scegli se tenerlo o rimuoverlo:
Per tenerlo: Se ti fidi del software e ti serve per gestire l’hardware, puoi aggiungerlo come esclusione in Sicurezza di Windows > Protezione da virus e minacce > Gestisci impostazioni > Aggiungi o rimuovi esclusioni.
Per rimuoverlo: Se non usi MasterPlus, disinstallalo da Impostazioni > App. Se Defender continua a segnalarlo dopo la disinstallazione, esegui una scansione con Microsoft Safety Scanner o Malwarebytes per eliminare ogni residuo.
Summary
Il file WinRing0x64.sys situato nella cartella Cooler Master MasterPlus è un driver legittimo per l’accesso all’hardware di basso livello, ma viene spesso segnalato come “HackTool” o “Minaccia Grave” dai software di sicurezza a causa di vulnerabilità note.
È un virus?
Tecnicamente no, non è un virus o un malware intenzionale. Si tratta di una libreria open source utilizzata da molti produttori di hardware (come Cooler Master, MSI e Razer) per monitorare e controllare componenti di sistema come velocità delle ventole, illuminazione RGB e temperature.
Perché Windows Defender lo segnala?
A partire dal 2025 e all’inizio del 2026, Microsoft Defender e altri antivirus sono diventati molto aggressivi nel bloccare questo driver specifico per diversi motivi:
Vulnerabilità del Kernel: Fornisce un accesso di basso livello (Ring 0) al sistema. Difetti di sicurezza (come CVE-2020-14979) consentono a software dannosi di “dirottare” il driver per ottenere il controllo totale del PC.
BYOVD (Bring Your Own Vulnerable Driver): Gli hacker a volte “portano” questo driver (legittimo ma difettoso) su un sistema bersaglio per sfruttarne i punti deboli.
Criteri di Sicurezza: Microsoft ha avviato il blocco sistematico di questo driver nel gennaio 2025 perché è considerato obsoleto e privo di firme di sicurezza moderne.
Cosa dovresti fare?
Aggiorna il software Cooler Master: Verifica la presenza dell’ultima versione di Cooler Master MasterPlus+. I produttori stanno lavorando per sostituire questo driver con alternative più sicure.
Rimuovilo se non lo usi: Se non utilizzi il software MasterPlus per controllare l’hardware, puoi tranquillamente disinstallare l’applicazione. Questo rimuoverà il driver vulnerabile.
Inserisci nelle esclusioni (Opzionale/Rischioso): Se devi assolutamente usare il software e ti fidi del tuo ambiente, puoi aggiungere un’esclusione in Sicurezza di Windows. Tuttavia, questo lascia aperta la vulnerabilità a livello kernel sulla tua macchina.
Verifica la presenza di malware: Se non hai installato il software Cooler Master e questo file è apparso dal nulla, esegui una scansione completa con Malwarebytes per assicurarti che un malintenzionato non lo abbia inserito nel sistema.
io ho rimosso direttamente il software senza conseguenze, l’avevo messo perchè facendo uninstall e install da zero di armoury crate, che mi dava problemi, in fase di riavvio finito di installare mi era poi sparito il cursore del mouse (che è un cooler master) e sono andato su sito ufficiale CM per installare il driver aggiornato e il cursore era ricomparso. sito ufficiale, funzionava tutto, defender non aveva fatto una piega, dormivo sonni tranquilli. inspiegabilmente (nella mia ignoranza), rimosso il driver adesso il cursore è rimasto al suo posto
bon mi sono preso uno spavento e basta a quanto pare, meglio così. ne so un po’ di più e non metterò l’antivirus
win defender è sufficiente e
prendi il vizio (anzi ormai deve essere quasi automatico) di verificare quello che stai scaricando/installando, estensione del file, cosa stai installando
effettua dei controlli extra, esempio carica i file anche su VirusTotal.com e fai un check
fai un anche dei check SHA-256 per roba importante e soprattutto se scaricata da roba lecita (sarebbe diciamo l’impronta digitale del file)
la roba crakkata ormai non è più quella di 20 anni fa quindi stai alla larga prorpio. RED flag enorme.
winring0 è un metodo con cui diversi software “si attaccavano” a varie parti della scheda madre (per esempio, fanspeed lo usava per regolare la velocità delle ventole).
qualche tempo fa (qualche mese) windows ha detto “no more, it’s unsafe” which, kinda, it is. ma non significa che quei software facessero niente di malevolo
btw mentre rispondevate ho consultato l’oracolo (google ai)
fatto eseguire restorehealth e scannow, e verificato gli update
sembra tutt’appost
adesso conosco pure il kung fu
bypassa completamente il modello di sicurezza moderno. (anche se ormai pure i produttori con i cazzo di loro firmware bios di merda lo permettono)
ormai win soprattuto con il 10/11 sta blacklistando driver non firmati correttamente, driver noti (che hanno grosse vulnerabilità) come vulnerabili e in particolare quelli che permettono arbitrary kernel access
Il controllo SHA-256 è utile quando scarichi da fonti affidabili o da repository
in teoria ormai su parecchi siti nella pagina di download ti dice/comunicano qual è il codice giusto.
Tu controlli il codice del file che hai scaricato. (è un comando su powershell/linea di comando per farti uscire sto codice
Se i due codici sono uguali file OK.
Se sono diversi file da buttare.
perché lì puoi confrontare l’hash con quello ufficiale rilasciato da loro al momento della build del software o creazione di un qualsiasi pacchetto che dovrebbero metterti a disposizione
molti programmi ormai tendono a farlo in automatico (tipo se installi su winget o da altri repository) però in teoria se scarichi da siti via browser no.
esempio alla “devo spiegarla a mio nonno” (ovviamente non prenderla come un offesa):
Tu ordini una pizza
Il pizzaiolo ti dice:
“pizza giusta che hai richiesto pesa 523 grammi”
Quando arriva il rider tu la pesi:
se pesa 523 g è la tua pizza
se pesa 700 g qualcuno l’ha scambiata/manomessa
ovviamente ti devi fidare del pizzaiolo per questo dicevo lecita/conosciuta
il confronto hash/SHA-256 sicuramente non rende sicuro un file pericoloso.
serve a controllare però che un file sicuro non è stato in qualche modo alterato
Tutti ti dicono che un antivirus non serve, e avranno anche ragione, ma io preferisco averlo non si sa mai, nod32 (ESET internet security o come si chiama adesso) va bene, oltretutto se cerchi su ebay dei venditori da germania/UK trovi delle licenze a poco più di una decina di euro
ma plz spiegatemi per filo e per segno perché non va bene e perché le alternative sono migliori perché è un amico e mi seccherebbe mettere in discussione la sua professionalità senza basi che io abbia potuto comprendere
… in che senso “soprattutto se scaricata da roba lecita”