kapa Official Blog

CPU minacciata dal malware

2007-07-23T08:10:00.000+02:00

Tutti siamo a conoscenza del noto proverbio �??Chi va piano, va sano e va lontano!�??, ma credo che esso non possa essere accostato al mondo dell�??informatica, o almeno a quello dell�??hardware dei PC.

Si sa infatti, che un continuo rallentamento delle funzioni di un computer, prolungate nel tempo, possono essere segno di una parziale, se non completa, rottura delle parti hardware. In particolare facciamo riferimento alla CPU, che se sovraccaricata in eccesso rischia di andare in fumo.

Spesso, questo è causato dal malware che, senza il volere degli utenti, invia continui comandi di input al PC. Di conseguenza si potrà osservare un continuo rallentamento dei processi che il più delle volte, oltre a dare un fastidio enorme, ci costringono anche a spendere fior di quattrini nel caso in cui il computer viene danneggiato.

In occasione dell�??Usenix Security Symposium, alcuni ricercatori hanno presentato un lavoro dal nome Secretly Monopolizing the CPU Without Superuser Privileges: esso ha messo in evidenza come sia possibile creare un codice maligno ad hoc capace di utilizzare le risorse della CPU senza avere i privilegi di Super User. La ricerca ha dato alla luce un proof-of-concept che colpisce i sistemi Unix, ma può essere esteso a tutti i sistemi operativi odierni.

Oltre al fatto che questo codice riesce ad occupare la CPU pur avendo dei semplici privilegi di �??User level�??, un�??altra stranezza gli riguarda: infatti riesce ad essere �??invisibile�?? a tutti i sistemi di rilevamento dei processi attivi. Quindi c�??è da essere preoccupati nei confronti di questa minaccia che, non solo spreca le risorse hardware inutilmente, ma riesce a nascondersi anche molto bene.

Gli esperti, che hanno portato avanti questa ricerca, hanno utilizzato una particolare stringa di istruzione classificata come Cycle Counter, molto più precisa ed incisiva dei classici interrupt utilizzati dai software comuni.

Tratto da Oneblog.it

Proof of concept per Mac Os X

2007-07-23T08:07:00.000+02:00

Un hacker, che si riserva di non rivelare la sua identità, sostiene di aver trovato un bug nel componente mDNSResponder, facente parte della tecnologia Bonjour di Apple.

Per mettere in evidenza questo errore, ha creato un worm proof of concept, chiamato Rape.osx in grado di sfruttare la configurazione automatica dei servizi di rete integrati in Mac Os X. Nello specifico, questo worm riesce a replicarsi sfruttando le reti LAN senza alcun intervento da parte dell�??utente, cioè in modo del tutto autonomo.

Il ricercatore di sicurezza ha rilasciato un�??intervista su infoworld.com in cui afferma che questo worm si comporta allo stesso modo di quelli per piattaforme come Windows e Unix. �? per questo che risulterebbe molto pericolosa un�??infezione diretta a grandi aziende, che senza dubbio sono le maggiori utilizzatrici di reti LAN.

Dal canto suo, la Apple ha dichiarato di aver già rilasciato una patch che risolve tutti gli errori riguardanti il sistema mDNSResponder; ma secondo l�??hacker, la patch non chiude tutte le falle lasciandone aperte alcune.

Comunque, l�??anonimo ricercatore, ha dichiarato che comunicherà personalmente alla Apple gli errori trovati nel codice del suo sistema operativo, in seguito al completamento dei test portati avanti su 1500 Mac con Rape.osx.

Il worm, comunque, essendo un proof of concept, non si trova in circolazione; gli esperti della Mela raccomandano lo stesso molta prudenza, magari disattivando il processo mDNSResponder eseguendo il seguente comando:

sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.mDNSRespon der.plist

Tratto da Oneblog.it

Occhio alla tastiera!

2007-07-23T08:03:00.001+02:00

Il suo nome tecnico è Trj/Suarabh.A e si tratta di un Trojan che sta dando grattacapi a molti utenti. In pratica, questo codice include una tecnica di keyloggin dedita a rubare tutte le parole scritte con l�??utilizzo della tastiera.

Si può quindi facilmente intuire il suo fine: esso viene utilizzato per riuscire a scovare i dati di accesso a siti bancari e/o a caselle di posta elettronica.

Questo codice rappresenta un vero pericolo per tutti coloro che fanno uso di E-banking ma non solo, infatti può rappresentare una minaccia anche per gli utenti che custodiscono dati privati nelle loro caselle e-mail.

Come primo sintomo della sua infezione, questo malware disabilita le seguenti funzioni:

Pannello di controllo;
Task Manager;
Editor del registro di Windows.

Poi inizia a catalogare in un file di log, tutti i programmi che vengono caricati nella RAM del computer infettato, riportando data ed ora dell�??utilizzo dei suddetti software.

Il Trojan fa una copia di se nella cartella di Windows e in più crea il file X.REG che utilizza per disattivare il Task Manager. Inoltre, una volta infetti, non sarà più possibile dare comandi DOS al PC attraverso l�??utilizzo della shell di Windows.

Modificando alcune chiavi di registro, verrà disattivata l�??opzione Account utente e sarà reso attivo l�??opzione Active Desktop, in voga sui sistemi operativi Microsoft dai tempi di Windows 98.

Tratto da Oneblog.it

Riscatto! Lo può fare chiedere anche un malware

2007-07-19T07:59:00.000+02:00

Introdursi nei pc all'oscura degli utenti, rubare le informazioni private e criptare i dati all'interno dell'hard disk per poi chiedere un riscatto. Un riscatto non troppo esoso, che possa non far allarmare la polizia. Il crimine perfetto, quello isolato lo scorso fine settimana dalla società di sicurezza inglese Prevx, secondo la quale un trojan con funzioni di "ransomware" avrebbe attaccato numerosi PC, da singoli utenti a grossi enti, rubando credenziali di accesso e ricattando gli utenti per riavere i propri dati (come tipico appunto del malware definito "ransomware").

Il trojan, una volta individuati i file da criptare, li codifica con un algoritmo proprietario e lascia un documento in formato txt riportando la seguente scritta:

"Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA). You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us. To decrypt your files you need to buy our software. The price is $300. To buy our software please contact us at: [email address] and provide us your personal code [personal code]. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system. If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data. Glamorous team".

Fortunatamente, i dati non sono stati codificati con l'algoritmo sopra illustrato, bensì con un algoritmo molto più semplice da decodificare. Inoltre le informazioni quali username e password vengono collezionate utilizzando tecniche simili a quelle utilizzate dai rootkit, cioè prendendo il controllo di alcune API di sistema e ricavandone i dati. Anche questi dati vengono codificati attraverso un altro algoritmo e, questa volta, vengono inviati ad un server remoto, dove i malware writer possono tranquillamente scaricarli e decodificarli.

Secondo alcune stime sono già migliaia i computer che sono stati compromessi, tra cui sembrerebbero essere presenti PC di enti governativi americani del calibro di HP, L-3 Communications e altre società. "Ciò che non possiamo sapere, al momento, è se questi dati sono già stati utilizzati in qualche modo" ha dichiarato Mel Morris, chief executive della società inglese Prevx.

Al momento non ci sono state dichiarazioni dalle società vittime del ransomware, a parte il dipartimento dei trasporti americani che ha negato l'esistenza di brecce di sicurezza nei propri sistemi. L'FBI ha declinato ogni commento, affermando come non sia possibile confermare né negare l'esistenza di una indagine al riguardo.

"Codificare documenti è un danno immenso per le società che devono lavorare con i propri dati. Pagare 300$ sarebbe molto più semplice che aspettare un decodificatore che arrivi da chissà dove. In fondo per una società 300$ non sono un così alto prezzo" ha commentato Marco Giuliani, malware analyst per Prevx, che ha poi continuato "Ma, pagando, i malware writer sono solo incoraggiati a continuare a ricattare le società e a fare il loro sporco gioco. Penso assisteremo ad un rapido incremento di minacce complesse come questa, attacchi mirati a società che, semplicemente, non possono permettersi di fermare il proprio lavoro per un ricatto".

Prevx ha comunque rilasciato un tool di rimozione dell'infezione e di decodifica dei file criptati a questo indirizzo. Maggiori dettagli tecnici sono presenti a questo indirizzo.

Tratto da hwupgrade.it

Ancora phishing, le poste italiane sempre nel mirino

2007-07-16T08:36:00.000+02:00

Nonostante molte persone abbiano ormai capito che si deve sempre diffidare da mail improvvise inviate (ad un primo sguardo) da questa o quell�??altra banca, la parte cattiva della rete è inarrestabile.

Ancora una volta infatti sembra sia partito l�??invio di milioni di mail a ignari utenti PostePay con la richiesta di credenziali, username e password.

La tecnica è sempre la stessa: arriva una mail nella vostra inbox sulla quale, con una banale scusa, si invita l�??utente a selezionare un link. A questo punto anziché venire indirizzati alla pagina della vostra banca verrete indirizzati ad un sito clone che ad un primo sguardo sembrerà assolutamente identico a quello che frequentate abitualmente.

Chiaramente, in realtà, il sito non fa altro che carpire le vostre credenziali per poterle poi riutilizzare per sottrarvi denaro.

�? curioso in quanto le stesse mail erano state utilizzate nel mese di Maggio sempre allo stesso scopo. Se si fa una breve ricerca su internet si trovano molte persone che hanno già ricevuto una mail per una fantomatica transazione per le poste di Brandizzo.

Attenzione dunque, il phishing è una minaccia spesso sottovalutata perchè potrebbe capitare una mail proprio nei giorni in cui avete effettuato una transazione e magari per la fretta seguiamo le indicazioni della mail.

Prestiamo cautela sempre, soprattutto quando inseriamo password e dati personali che riguardano il nostro conto in banca. �? sempre meglio qualche accortezza in più che piangere sugli errori commessi.

Tratto da Oneblog.it

Un altro worm-backdoor

2007-07-16T08:33:00.000+02:00

Si tratta di un malware che cela la sua identità sotto più nomi: Backdoor.Win32.Agobot.gen, W32/Gaobot.worm.gen.q, WORM_AGOBOT.ACE. �? un worm che integra però anche funzionalità di backdoor e si diffonde nei PC protetti da password facili da scovare.

Una volta infettato il PC, il malware si connette da remoto ad un canale IRC continuando a fare il suo lavoro in background, permettendo che un cyber criminale prenda il controllo del computer usando un server di Instant Messagging.

Inoltre, tale worm, è anche capace di rubare alcune informazioni, quali le Key di licenza Software e tutte le informazioni battute con la tastiera (keylogger). I PC colpiti vengono usati per eseguire attacchi DDoS (Zombie): il worm imposta un proxy SOCKS4 in modo tale da rendere difficile il rilevamento dell�??IP dei cyber criminali.

Backdoor.Win32.Agobot.gen tenta di disattivare tutti gli antivirus del vostro PC e le relative barriere di sicurezza modificando anche il file Hosts.

Infine bypassa il registro di Windows modificando le due chiavi: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices e HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run. Se alla fine di queste chiavi di registro troverete scritto SMSvc32 smsvc32.exe allora dovrete cancellarle.

Tratto da Oneblog.it

Firefox e Internet Explorer. Usare uno per attaccare l'altro

2007-07-16T08:27:00.000+02:00

Firefox e Internet Explorer, sempre in lotta per la supremazia nel mondo dei browser web, condividono ora un curioso destino.

�? stata riscontrata una vulnerabilità che rende possibile ad un hacker di lanciare, attraverso IE, il browser di Mozilla a di fargli eseguire un qualsivoglia codice nocivo.

Chiaramente quando ci sono dei meriti o dei premi da ritirare c�??è sempre qualcuno che rivendica la sua presenza, mentre in questi casi nessuno vuole ammettere la sua colpevolezza.

Da una parte troviamo l�??addetto alla security di Mozilla che, anche attraverso un comunicato presente sul sito ufficiale, rivendica l�??innocenza di Firefox affermando che solo le persone che navigano con Internet Explorer saranno soggette all�??attacco.

In ogni caso per questa vulnerabilità verrà rilasciata una patch lato Firefox con l�??intento di non essere più attaccato da browser Microsoft.

Dall�??altra parte c�??è Internet Explorer, i cui responsabili sottolineano che, dopo una accurata analisi del problema ed una serie di sessioni di test, la vulnerabilità non è ripetibile su nessuno dei prodotti Microsoft. In pratica, dicono, se non esisteva Firefox non sarebbe esistita neanche tale vulnerabilità.

Terze parti ed esperti di sicurezza dicono che la colpa è condivisa, anche se la percentuale maggiore viene addossata a Microsoft.

La vulnerabilità è causata dal fatto che in fase di istallazione Firefox inserisce alcune informazioni sensibili (l�??URI �??firefoxurl�??) nelle chiavi di registro di sistema. Attraverso questo campo altre applicazioni in grado di visualizzare codice HTML possono lanciare Firefox.exe con dei parametri arbitrari senza eseguire su di essi una validazione.

Tratto da Oneblog.it

Active Virus Shield: protezione per tutti, a costo zero

2007-07-09T14:07:00.000+02:00

L�??ombrellino del logo è verde anzichè rosso e non so a voi, ma a me, ha ricordato immediatamente Antivir.

Di cose in comune i due sembrano non avere solo il logo: Active Virus Shield è un valido antivirus gratuito leggero e funzionale in grado di proteggere egregiamente il vostro sistema operativo.
Il prodotto per la protezione nasce da una collaborazione tra AOL (America On Line) società celeberrima in America per i servizi che offre, e Kaspersky l�??azienda russa leader nel settore degli antivirus.

Una collaborazione fruttuosa che (appunto) ha portato alla creazione di questo interessante software.
Il costo zero del software, distribuito in forma totalmente gratuita, è possibile attraverso la pubblicità e i messaggi che si riceveranno.

Per scaricare il software non è richiesta nemmeno l�??iscrizione ad AOL. L�??antivirus è stato testato da parte dei maggiori siti che si occupano dell�??argomento e ha riportato risultati più che positivi, confermandosi come uno dei migliori sul campo. Il �??motore�?? Kaspersky c�??è e si fa sentire.

Tra i suoi punti di forza, oltre al già citato motore di scansione, troviamo la possibilità di bloccare in tempo reale non solo virus ma anche malware e spyware, l�??aggiornamento in tempo reale, i brevi tempi di scansione, la scansione 24/24 in automatico e molte altre chicche che lo rendono un prodotto veramente interessante.

L�??installazione risulta veramente semplice sui sistemi Microsoft Windows più diffusi: 98, 2000, ME & XP.
Un interessante prodotto che dimostra (ancora una volta più che mai) che le soluzioni alternative e gratuite ai più blasonati e costosi software a pagamento esistono e sono anche ugualmente, se non maggiormente, efficaci.

Active Virus Shield si va a posizionare in un mercato dominato per ora da AVG e da Avast ma a differenza di questi ultimi da la possibilità di essere installato anche in ambiente aziendale (almeno per ora non è vietato).

Tratto da Oneblog.it

Grazie Google

2007-07-09T13:45:00.000+02:00

Della collaborazione del colosso di Mountain View con Stopbadware.org avevamo già accennato qualcosa.

Recenti analisi da parte del motore di ricerca più famoso del mondo hanno messo in evidenza come un�??enorme quantità di pagine web siano potenzialmente dannose per le utenze.
La ricerca è stata condotta su 4,5 milioni di pagine e, di queste, oltre il 10% è risultato positivo ai test.

Spesso (ma non sempre) webmaster e curatori dei siti sono all�??oscuro della presenza di determinato materiale all�??interno delle loro pagine e (spessissimo) sono inconsapevoli dei danni che questo materiale possa arrecare a coloro che visitano il sito.
Ed è qui che entra in scena Google ponendosi come baluardo in difesa della sicurezza (e della privacy) delle utenze meno accorte.

L�??avviso avviene in tempo reale: nel momento in cui cerchiamo qualcosa nel motore di ricerca, sotto al link con i vari risultati ci viene indicato se questi contengano o meno del materiale dannoso che possa arrecare danni alla nostra macchina.

La scritta che compare sotto ai risultati avvisa dunque l�??utente del pericolo nel quale potrebbe incorrere: �??Questo sito potrebbe arrecare danni al tuo computer�??.
Se l�??utente tenta comunque, inavvertitamente o meno, di entrare nel sito, Google rilascia un secondo avviso. L�??utente anziché entrare nel sito si vede �??dirottato�?? su una pagina che avvisa della pericolosità della pagina in oggetto e lascia all�??utente la possibilità di scegliere se entrare (a suo rischio e pericolo) oppure ritornare alla ricerca.

Google inserisce anche un link per StopBadware.org in modo che sia possibile documentarsi sulla cosa.

Il sistema è stato aggiunto alle ricerche da un po�?? di mesi e man mano che i siti vengono analizzati il sistema migliora e aggiunge pagine nella sua black list.
Ogni tanto può succedere qualche falso positivo, è successo anche a blog famosi e a siti puliti.

Un�??iniziativa senza alcun dubbio intelligente che si pone in difesa delle utenze meno accorte che tendono a navigare senza prestare molta attenzione al contenuto delle pagine ma non solo.
Questa collaborazione porta risultati interessanti anche per coloro che pur avendo le protezioni adeguate e pur avendo l�??attenzione adeguata possono rimanere comunque vittima di malware & co.
Un supporto a disposizione di tutti che avvisa senza dare troppo fastidio e lascia sempre e comunque, la possibilità di scegliere se rischiare o meno.

Tratto da Oneblog.it

Un worm al posto di un file Flash

2007-07-03T14:21:00.000+02:00

Se state lavorando al PC e vi trovate di fronte il messaggio �??Error loading flash 10 player. Reistalling may fixed this problem�??, niente paura, il computer non sta dando i numeri, ma semplicemente è stato infettato dal worm Trixcu.A.
Come tutti i worm, anche questo, quando infetta il PC, inizia a fare copie di se stesso in tutte le cartelle del sistema. Inoltre, controlla se il computer infettato è connesso alla rete: in caso positivo inizia a diffondersi anche attraverso di essa.

Riesce ad accedere al registro di Windows e ne modifica alcune chiavi in modo tale da disabilitare le seguenti funzioni:

�??Cerca�?? dal menù Start;
�??Impostazioni accesso ai programmi�??;
�??Task Manager�??;
Il comando �??regedit�?? che apre il registro di Windows.

Una volta apportate le seguenti modifiche, il malware riavvia il sistema eseguendo attraverso la shell di Windows questo comando:
shutdown.exe - s - f - t 1

Se affetti da questo worm, non sarà più possibile visualizzare le estensioni dei file, quindi non si potrà più distinguere un eseguibile da un file di testo ecc: un modo questo per nascondere facilmente codici maligni dietro file apparentemente innocui.

Infine, viene creato un file HTML che visualizza una pagina Web in cui, l�??autore del malware, da pieno sfogo al suo rancore verso tutti i potenti del mondo e ai paesi che sono in guerra.

Tratto da Oneblog.it

Attenzione! Pericolosa email della Microsoft

2007-06-28T20:36:00.000+02:00

Evitate di aprire qualsiasi e-mail o allegato a e-mail intitolata "Microsoft Security Bulletin MS07-0065" e dice di essere un aggiornamento di sicurezza. Il link che contiene porta in realtà un cavallo di troia (trojan horse) e ovviamente non è affatto originato da Microsoft.

Il messaggio è particolarmente persuasivo perché contiene i logo di Microsoft e terminologia dall'aria molto seria e tecnica.

Maggiori dettagli sono qui:

http://www.theregister.co.uk/2007/06/28/outlook_bug_isnot/

http://www.theinquirer.net/default.aspx?article=40648

http://sophos.com/pressoffice/news/articles/2007/06/bogusmspatch.html

Tratto da AttivissimoNewsletter

Il worm del ShutDown

2007-06-25T21:17:00.000+02:00

Continua la diffusione di worm tramite la posta elettronica e i software di messaggistica istantanea. Questa volta il malware in questione si chiama MSNHideOptions.A.worm e attraverso alcuni messaggi di errore avvisa l�??utente che il suo PC è stato infettato.

In pratica i messaggi visualizzati sono i seguenti:

1.Questo è accaduto per la tua curiosità�?� perchè hai cercato di vedere la mia foto
Virus.

2.Questo sistema sta per essere spento. Salvare tutte le operazioni in corso e chiudere tutti i programmi. Tutto il lavoro non salvato verrà perso.

Inoltre insieme a questi avvisi viene mostrato anche un timer che mostra il tempo che resta allo spegnimento del PC. Nonostante i messaggi minacciosi non bisogna avere alcun timore poiché questo codice è stato classificato con una pericolosità bassa: infatti tutti gli antivirus sono in grado di rilevarlo e rimuoverlo.

Oltre a spegnere il computer, MSNHideOptions.A.worm nasconde l�??icona dell�??orologio e del Desktop nella barra delle applicazioni; modifica la pagina iniziale di Internet Explorer e per finire disabilita le seguenti funzioni:

Trova;
Esegui;
Spegni.

Nella cartella principale di Windows vengono generati i file SVCHOST.EXE e MIS CONTACTOS.TXT. Quest�??ultimo serve al salvataggio di tutti gli indirizzi e-mail presenti sul PC. Il primo è una copia del worm, mentre il secondo viene �??letto�?? dal codice maligno in modo da essere inviato a tutti gli indirizzi.

Il malware in questione è stato compresso con UPX (Ultimate Packer for eXecutables), quindi facilmente rilevabile dai vostri antivirus. Se sarete soggetti a tale infezione, niente panico, vi basterà una semplice scansione del sistema.

Tratto da Oneblog.it

Briz.X: il trojan intelligente

2007-06-25T21:14:00.000+02:00

In origine era conosciuto come Briz.A e veniva utilizzato dai cyber criminali per diffondere Trojan su Internet. Ora è stata scoperta la sua variante X che, pur avendo compiti diversi, risulta comunque molto pericolosa.

Tale Trojan riesce a rubare un elevato numero di informazioni dai PC infettati, per poi inviarle ad un server dove vengono catalogate sotto forma di file log. In questo lavoro può essere considerato un malware intelligente: le informazioni non vengono incluse nel server alla rinfusa, ma sono catalogate secondo alcune regole di filtraggio (password, username, pin, ecc.).

Il suo autore, ha utilizzato, durante la progettazione, un�??analisi sintattica (o parsing) dedita a leggere i dati secondo un determinato ordine. Questo permette al cracker di trovare con più facilità le informazioni: anche il server sotto accusa contiene al suo interno dei filtri come yahoo.com, ebay.de, ecc.

I computer colpiti da questo Trojan, inoltre, vengono utilizzati dai cyber criminali come proxy per nascondere il loro indirizzo IP. Questo facilità i crimini informatici e rende più difficile l�??intercettazione degli autori.

Tratto da Oneblog.it

Password account online game non sicure

2007-06-25T21:08:00.000+02:00

Pericolo in vista per tutti gli amanti dei games on-line che usano account per connettersi ai server di gioco. A darne la notizia sono i ricercatori di Panda Software, che in questi giorni hanno scoperto un malware creato per il furto di dati di accesso per giocare in rete.

Il codice in questione è il worm Dotex.A che non risulta essere però il vero �??ladro�??: infatti esso si limita a infettare tutto il PC, con le relative periferiche collegate, e a modificare alcune chiavi di registro. Alcune di queste modifiche, disabilitano qualunque tool di sicurezza presente sul computer e permettono l�??esecuzione del malware ad ogni riavvio del sistema.

Inoltre esso stabilisce una connessione con un sito web, dal quale scarica altri due codici maligni ovvero il Trojan QQRob.OI e il worm QQPass.AFD.worm. Il compito di questi ultimi, è quello di connettersi a loro volta ad altri siti per scaricare molte varianti del Trojan Lineage, ossia il vero �??colpevole�?? del furto delle password.

Per appropriarsi delle credenziali di accesso, viene creato il file QWWCKPT.INF dove vengono raccolte tutte le info che in seguito verranno inviate all�??autore del malware. Questo file viene creato nella cartella Programmi ma con attributo �??nascosto�?? cosicché la sua rilevazione risulti essere molto difficile agli occhi degli utenti meno esperti.

In generale possiamo dire che, non solo i file creati dal worm sono ben nascosti, ma anche il malware stesso è difficile da scovare poiché oltre a disabilitare i software di sicurezza, non mostra alcun messaggio che possa far pensare a un�??infezione del PC.

In questa situazione quindi, la soluzione più plausibile è quella della prevenzione: collegare al PC solo periferiche di origini attendibili, fare attenzione a tutto ciò che si inserisce nei lettori CD del computer e, soprattutto, occhio attento alle e-mail con allegati.

Tratto da Oneblog.it

Youtube Upgrade

2007-06-20T14:21:00.000+02:00

Youtube ha da poco sfornato Youtube Remixer, una sezione del proprio sito Web che consente di effettuare montaggi e aggiungere effetti, bordi (ne vedete un esempio qui sopra) e titoli ai propri video senza dover installare software sul proprio computer.

Gli effetti a disposizione sono molto limitati rispetto a quelli offerti dai programmi di editing video veri e propri, ma sono meglio di niente (e sono gratuiti) e possono costituire una prima introduzione al mondo del montaggio: una di quelle cose di cui tanti, troppi filmati amatoriali avrebbero disperato bisogno.

Come nota una recensione su NewTeeVee, l'editing video online non è una novità: lo aveva già alcuni mesi fa Photobucket. Sia come sia, è un nuovo esempio molto potente della nuova tendenza a trasferire le applicazioni dal computer alla Rete. Niente manutenzione, niente backup, niente configurazione: le applicazioni e i dati sono accessibili da qualunque computer con qualunque sistema operativo moderno.

Tratto da Attivissimo

Spabot il malware delle catene

2007-06-18T20:40:00.000+02:00

Si sta diffondendo in rete un malware capace di infettare i PC scaricando al loro interno altri codici maligni. Esso è identificato con il nome Spabot.AS, ed è capace di stabilire connessioni con diversi server per scaricare altri malware.

Uno tra questi è un Trojan che utilizza il client di posta elettronica per inviare spam. Le e-mail inviate da questo malware pubblicizzano dei medicinali: all�??interno vi è un link che dovrebbe portare l�??utente sul sito dove acquistare questi ultimi. In realtà dietro a questo link si cela il malware in questione.

Un altro file scaricato da Spabot.AS è una libreria che, una volta copiata nella cartella di sistema di Windows, modifica i livelli LSP (Layered service provider).

Questo è un sistema hardware che controlla tutto il traffico dati in entrata e in uscita dal PC. Una volta ottenuto il controllo di questo sistema, il Trojan sarà in grado di leggere i dati inseriti in Internet Explorer e intercetterà le e-mail di Outlook.

Un buon metodo per difendersi da questo malware, come al solito, è quello di non aprire né e-mail sospette né le junk mail (e-mail spazzatura).

Tratto da Oneblog.it

MSN Photo Virus

2007-06-18T20:38:00.000+02:00

Di recente è stato scoperto un nuovo malware che cela la sua identità dietro un�??immagine .jpg. Si tratta di un worm, catalogato come MSNPhoto.A, che usa il celebre programma di Instant Messagging Windows Live Messenger per diffondersi.

Per creare questo codice maligno è stato usato un packer seguito da una tecnica detta binder: il file eseguibile è stato unito, o per meglio dire nascosto, dietro un file .jpg, in modo da non rivelare la pericolosità del malware agli occhi degli utenti. Questa tecnica si sta diffondendo molto negli ultimi tempi visto che, con il diffondersi del PC e dell�??istruzione informatica, la maggior parte degli utenti non aprono quasi mai file con estensione .exe.

Quando questo worm infetta un computer, chiude tutte le finestre di MSN e invia una copia di se stesso a tutti gli utenti in linea: questi ultimi vengono invitati, da un messaggio, ad aprire il file fotos_posse.zip che nasconde il malware. Inoltre, non sarà possibile chiudere MSN né manualmente, né con l�??ausilio del Task Manager visto che esso viene disabilitato.

Per assicurarsi la sua esecuzione ad ogni ravvio del sistema, questo worm modifica alcune chiavi del registro di Windows. In più, come ciliegina sulla torta, esso si connette, tramite il protocollo HTTP a molti siti per scaricare altri codici maligni. Direi un vero antagonista per gli antivirus e le relative case produttrici di software per la sicurezza.

Secondo Luis Corrons, direttore tecnico dei laboratori Panda, negli ultimi tempi l�??utilizzo dei software per la messaggistica istantanea sta aumentando sia tra gli utenti domestici che tra le grandi aziende. Ed è proprio per questo motivo che i virus writer cercano di diffondere i loro codici utilizzando programmi come MSN, Yahoo, AIM, ecc.

Tratto da Oneblog.it

Screensaver Trojan

2007-06-18T20:32:00.000+02:00

Guai in vista per gli screensaver dei sistemi operativi di casa Microsoft. Il �??cattivo�?? in questione è un Trojan chiamato Ketawa.A: questo malware è in grado di modificare alcuni parametri negli screensaver dei PC.

Dopo aver infettato un computer, questo Trojan apre Internet Explorer e visualizza una pagina in cui viene raccontata una storia divertente su un personaggio indonesiano.

Per diffondersi, questo codice maligno non utilizza mezzi propri ma ha bisogno dell�??intervento degli utenti per passare da un PC all�??altro. Infatti i suoi mezzi di propagazione sono: CD-ROM, e-mail con allegati, ftp, canali IRC, file scambiati tramite i P2P e pennette usb.

Quando il malware riuscirà ad aggirare i sistemi di protezione del computer, modificherà lo screensaver abbreviando il tempo di attivazione e richiedendo la password per disattivarlo. Per fare ciò, crea i file MONTHYEAR.REG e SPY.REG che modificano alcune chiavi del registro di Windows.

Per far si che questi file di registro funzionino ad ogni ravvio del sistema, Ketawa.A crea due file eseguibili nella cartella di Windows: NETMMC.EXE e TOOTSMAN.EXE, ovvero le copie integrali del malware con denominazione diversa. Quindi, anche dopo l�??utilizzo della scansione antivirus, per essere sicuri di aver eliminato l�??infezione, date un occhiata nella cartella Windows per accettarvi dell�??eliminazione di questi due file eseguibili. Nel caso in cui essi si trovano ancora sul PC è bene che li eliminiate manualmente accedendo come utente provvisorio.

Tratto da Oneblog.it

Ad-Aware 2007

2007-06-18T20:23:00.000+02:00

Erano passati quasi due anni dal rilascio dell�??ultima versione. Ecco che Lavasoft ha annunciato e reso disponibile, la versione finale di Ad-Aware 2007: uno dei software anti-spyware e anti-malware più diffusi e conosciuti.

Questa nuova versione del prodotto, offre interessanti migliorie per quanto riguarda la tecnologia CSI (Code Sequence Identification), forte anche del motore di scansione completamente rinnovato. Attraverso il CSI, sarebbe possibile secondo la Lavasoft rilevare tutti i malware e spyware recenti o nuovi che non siano presenti nei database delle definizioni.

Tra le funzioni inedite abbiamo trovato particolarmente interessante il TrackSweep, che permette di cancellare le tracce, memorizzate sul sistema, legate ai browser più diffusi (Prevede la compatibilità con Internet Explorer, Mozilla Firefox e Opera), lo sappiamo: non si tratta di una novità eccezionale o di una funzione particolarmente innovativa, certo è che si tratta di un qualcosa di molto utile e comodo.

L�??interfaccia è stata totalmente rinnovata rispetto al passato e presenta anche una diversa impostazione (non manca la possibilità di cambiare skin grafica).

La grafica non è l�??unica cosa che è stata profondamente rinnovata però: anche il sistema degli aggiornamenti è stato rivisto e sistemato. Il meccanismo di gestione degli stessi si basa su �??download incrementali�??, cosa che ottimizza notevolmente i tempi necessari per l�??update.

Ad-Aware 2007 viene distribuito dalla Lavasoft in tre versioni differente, analogamente a quanto avveniva in passato: Free (completamente gratuita ma dalle funzionalità limitate), Plus e Pro.

�? disponibile una tabella comparativa per tutti coloro che volessero confrontare le differenti versioni. Per le utenze residenziali, la versione Free è più che sufficiente.
Le versioni Plus e Pro, permettono di programmare e pianificare le scansioni in maniera del tutto automatica, includono un modulo in grado di controllare e sorvegliare ogni singola modifica applicata al registro di Windows (Ad-Watch RegShield).

La versione �??Pro�?? dispone anche di Ad-Watch Connect, funzionalità che controlla le applicazioni che tentano di connettersi ad altre reti, funzionando come una sorta di firewall.
Al momento il software non risulta compatibile con Windows Vista, la versione compatibile con il nuovo sistema di Microsoft sarà resa disponibile ad Agosto.
Ad-Aware 2007 è in sostanza un buon programma, specie nella versione free, risulta leggero, semplice e funzionale, esattamente come le versioni precedenti rappresenta un software indispensabile per tutte le utenze residenziali che vogliano mantenere protetto il loro PC da malware e spyware.

Tratto da OneBlog.it

Poste Italiane AntiPhishing Email

2007-06-11T14:07:00.000+02:00

Dal gruppo Poste Italiane arriva un aiuto per tutti coloro che ricevono e-mail truffaldine.
Una casella elettronica (info@poste.it) sarà adibita alla ricezione di segnalazioni da parte degli utenti colpiti dal phishing.

Contattando l�??indirizzo sopra citato si potranno ricevere indicazioni utili e consigli per risolvere i problemi causati dalle e-mail fraudolente onde evitare truffe.
Un nuovo aiuto giunge, quindi, da Poste Italiane che sta cercando di tutelare i propri utenti con diversi servizi.
Poste Italiane ha già configurato le caselle e-mail del proprio servizio in modo che gli utenti possano ricevere la posta certificata di BancoPostaonline soltanto da mail server interni. La lotta al phishing continua quindi in modo incessante.
Basti pensare che, da dicembre 2005, è presente una Centrale degli Allarmi Antiphishing, creata per ridurre al minimo il tempo di scoperta degli attacchi. Ciò in modo da eliminare il sito clone nel minor tempo possibile.

Tratto da Oneblog.it

Trojan che fan soldi

2007-06-11T14:05:00.001+02:00

Sta prendendo piede, nelle ultime ore, la rapida diffusione di due Trojan bancari che rubano informazioni riguardanti i conti correnti.

Sono identificati con i nomi BanKey.A e BankFake.A, e celano la loro identità dietro un�??icona uguale a quella di Internet Explorer.

Una volta cliccata l�??icona, l�??utente si troverà davanti un ipotetico sito bancario in cui vengono chieste informazioni private (numero di conto corrente, password, etc.); dopo aver inserito queste info, egli visualizzerà un messaggio d�??errore e sarà reindirizzato su un sito bancario vero: questo accorgimento permette ai due trojan di sfuggire all�??attenzione degli utenti meno esperti.

Una volta rubate le informazioni, i trojan le inviano ai loro autori attraverso una e-mail. La metodologia di invio è però diversa tra i due: BankFake.A usa il protocollo SMTP e non usa il criptaggio delle informazioni; BankKey.A invece, utilizza un�??account Gmail unito ad un Web template creato dal malware stesso.

Questi malware utilizzano varie metodologie per diffondersi: e-mail con allegati, trasferimenti di archivi attraverso il protocollo FTP, programmi di P2P e canali di IRC. Per questo attenti a tutto quello che scaricate sul vostro PC, in special modo il messaggio è rivolto a tutti coloro che non hanno attivato la scansione antivirus dei file scaricati tramite P2P.

Tratto da Oneblog.it

Un worm romantico

2007-06-11T13:58:00.000+02:00

Si tratta di un worm che dopo aver infettato un PC, inizia a far apparire messaggi romantici con l�??ausilio di vari programmi (Notepad, Internet Explorer, ecc.).

E�?? stato catalogato con il nome W32/Ridnu.D.worm, che a mio avviso non è poi tanto romantico.

Si comporta in modo strano: a differenza degli odierni malware, che tentano in tutti i modi di non essere rilevati, questo worm fa tutto il possibile per attirare l�??attenzione degli utenti.

A primo impatto, W32/Ridnu.D.worm modifica la GUI di Windows, apre il vano del lettore CD, spegne il monitor ogni 5 secondi e rinomina la cartella dei documenti.

Se si apre il Notepad su un sistema infetto, il malware inizia a scrivere messaggi romantici casuali.

Ecco alcuni esempi:

I have been poisoned by your love!
I will take you to our utopia!
I�??m falling in love with you!

Altre azioni fastidiose vengono effettuate con l�??esecuzione di Internet Explorer: viene aperta una pagina Web che mostra vari ringraziamenti da parte del virus writer. Inoltre, usando la funzionalità �??esegui�?? dal menù Start di Windows, si vedrà apparire all�??interno della stringa il messaggio �??Mr Coolface!�??.

Starete pensando che in fin dei conti si tratta di un worm abbastanza innocuo?

Non direi, infatti, dopo aver modificato la chiave di registro HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run, che gli permette l�??esecuzione a ogni avvio di Windows, esso inizia a comportarsi come un vero worm, facendo una copia di se stesso su tutte le periferiche collegate al PC. Ancora modifica la chiave di registro HKEY_CLASSES_ROOT\ piffile\ shell\ open\ command\(Default) = %1 %* con HKEY_CLASSES_ROOT\ piffile\ shell\ open\ command\(Default) = C:\explorer.exe %1 %*: in questo modo il worm si attiverà ogni qual volta veranno eseguiti file con estensioni .bat, .com e .pif.

Infine W32/Ridnu.D.worm si comporta anche come un virus, inserendo il proprio codice all�??interno di tutti i file dei programmi che si trovano all�??interno delle cartelle aperte dall�??utente. Sarà pure vero che questo malware è �??romantico�??, ma è anche vero che dà molti grattacapi agli sfortunati che lo incontrano.

Occhio quindi se si apre una finestrella di MSN, con la ragazza che più vi piace, che vi invia messaggi d�??amore�?� potrebbe non essere lei ;)

Tratto da Oneblog.it

Javascript Zombie

2007-06-11T13:56:00.000+02:00

Il sito TCSDaily è stato preso di mira da alcuni cracker che ne hanno modificato uno javascript per permettere il download di un Trojan sui PC dei visitatori.

Questo javascript invoglia il browser dell�??utente a scaricare il malware
Trojan.Downloader.Small.BIB, ospitato su un sito Web cinese. Il Trojan non combina grandi danni, si limita a modificare alcune chiavi del registro di Windows per permettere la sua esecuzione a ogni ravvio del sistema. La sua pericolosità risiede nel fatto che la stragrande maggioranza degli antivirus non riesce a rilevarlo vista la sua semplicità di azione.

Una volta infettato un PC, Trojan.Downloader.Small.BIB inizia a scaricare altro malware dallo stesso sito cinese sotto accusa. I codici maligni in questione sono:

la backdoor Backdoor.Poisonivy.M;
l�??adware Adware.Bho.WOX;
il keylogger Trojan.Pws.OnlineGames.AUD;
il Trojan Trojan.Agent.ADL.

Quest�??ultimo malware, scarica da un�??altro sito un�??ulteriore codice maligno identificato con il nome Backdoor.Hupigon.YEO.

Quindi aggiornate continuamente i sistemi di protezione del vostro PC, navigate su siti sicuri e soprattutto prima di eseguie uno script Java e/o anche un controllo Activex, assicuratevi che provengano da fonti attendibili.

Tratto da OneBlog.it

Perchè 1? Meglio 6!

2007-06-08T15:56:00.000+02:00

Microsoft giungerà il secondo martedì di Giugno, ovvero in data 12/06. Secondo tradizione il gruppo ha anzitempo rilasciato, all'interno della Microsoft Security Bulletin Advance Notification, i primi dettagli sommari relativi agli aggiornamenti che verranno distribuiti indicando come l'update sarà nella circostanza costituito da 6 patch di sicurezza coinvolgenti peraltro anche Windows Vista.

Quattro vulnerabilità su sei andranno a risolvere problemi catalogati come "critici" dal team di sicurezza di Redmond (il massimo livello di pericolosità). Nei casi più pericolosi le vulnerabilità permettono l'esecuzione di codice da remoto e ad essere coinvolti sarebbero in particolare Windows, Internet Explorer, Outlook Express e Windows Mail. Il resto dei bollettini propongono una patch «important» relativa a Office Visio ed una «moderate» relativa ancora al SO Windows.

Per la prima volta, in base ai recenti cambiamenti di policy stabiliti dal gruppo, Microsoft rilascia nella propria comunicazione anticipata numerosi dettagli relativi alla pericolosità delle vulnerabilità specificando i software coinvolti. Ovviamente non sono rilasciati i dettagli dei bug, i quali saranno diramati solo in concomitanza con la release delle patch. Dalla tabella emerge comunque come Windows Vista (tanto nella versione standard quanto nella x64 Edition) sia coinvolto dagli aggiornamenti con i bollettini identificati nelle numerazioni 4 e 5, in entrambi i casi con pericolosità moderata. Più grave, invece, la vulnerabilità in Windows Mail corretta proprio sull'ultima versione del sistema operativo di Redmond. Una delle vulnerabilità critiche coinvolge trasversalmente tutte le versioni di Internet Explorer, ivi compreso IE7.

Tratto da Html.it

I kit per "pescare" con tutta facilità

2007-06-08T15:52:00.000+02:00

Almeno il 92% dei siti di phishing è stato messo in piedi a partire da kit di assemblaggio: non si tratta cioè dell'astuta e abile costruzione di un esperto pirata informatico, ma la gran parte dei siti truffaldini sarebbe bensì frutto del lavoro meccanico fattibile da qualsiasi utilizzatore medio di computer, il tutto a partire da componenti che si trovano in rete.

A formalizzare la scoperta è stato uno studio commissionato da Internet Security Systems, una sussidiaria della IBM che ha esaminato 3544 siti di phishing trovando che 3256 erano fatti in modo da essere architettabili anche da hacker alle prime armi. La chiave di tutto sta nel fatto che i siti in questione fanno capo in molti casi ad un medesimo server, quello appunto del kit utilizzato. Accade così che i 3256 siti preassemblati rilevati siano ospitati su solo 100 domini registrati, la maggior parte dei quali (il 44%) facenti capo ad indirizzi di Hong Kong. Al contrario i 288 siti di phishing costruiti "a mano" fanno capo a 276 domini.

Il punto della storia lo fa a PcPro Gunter Ollman, direttore della sicurezza strategica di IBM quando spiega: «la differenziazione tra gli host che ospitano kit di phishing e quelli che non ne ospitano è importante. Nella mia mente è una differenza analoga a quella che si fa nella prevenzione classica agli attacchi hacker contando gli attacchi effettivi o quelli che lanciano unicamente delle sonde esplorative».

Per quanto concernente l'organizzazione di una strategia di difesa, avere attacchi di massa conformati a standard condivisi è una situazione in qualche modo ostacolabile: la differenziazione creata dalle soluzioni individuali è, al contrario, un elemento aggiuntivo di difficoltà che impone soluzioni ad hoc per ogni tipo di offesa.

Tratto da Html.it