I malware più pericolosi di novembre

Tutti i mesi vengono redatte le classifiche dei malware più pericolosi, secondo le rilevazioni di Kaspersky, a novembre le classifiche dei top 20 sono due:

La prima riguarda i malware che sono stati riscontrati sui Pc degli utenti;

dove è stato riscontrato un nuovo ingresso che si è subito aggiudicato la seconda posizione: Kido.iq. Malware molto simile a Kido.ir che a settembre era classificato al primo posto.

Altro malware che desta attenzione è il downloader multimediale GetCodec.s che ha risalito molto velocemente la classifica guadagnandosi 9 posizioni. Il riscontro ha portato in evidenza un raddoppio dei computer infetti. GetCodec.s si diffonde insieme al worm P2P-Worm.Win32.Nugg, anche qui vi è l'analogia con la precedente versione, GetCoded.r.

I cybercriminali cercano di diffondere il worm P2P-Worm.Win32.Nugg, utilizzando la rete di scambio file Gnutella.

Nella seconda classifica, invece, vengono segnalati i malware individuati nelle pagine web ed in tutti i tentativi di caricamento tramite le pagine Web.

Qui Kaspersky ci fa notare che Gumblar continua nella sua avanzata in tutto il mondo ed è leader dei malware via Internet, con un distacco notevole sugli altri e una quadruplicazione in termini di quantità di tentativi singoli di scaricamento.

Inoltre sono comparsi anche nella seconda classifica gli pseudo-antivirus.

Per poter visionare il report completo sarà sufficiente visitare la pagine di Kaspersky: Classifica malware - novembre 2009.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

La classifica dei peggiori malware di Ottobre

La classifica di Kaspersky Lab, per il mese di ottobre 2009 dove sono state apportate delle modifiche sul metodo di analisi. Questa nuova classifica viene redatta utilizzando i dati relativi a tutti i prodotti che dispongono del supporto di KSN.

Il primo elenco riporta i programmi pericolosi ed indesiderati che sono stati individuati sui computer degli utenti e neutralizzati al primo contatto.

La seconda tabella, invece, riporta i malware individuati nelle pagine Web nonché tutti quelli i cui tentativi di caricamento avvengono sempre attraverso le pagine Web.

Per vedere il report completo basterà visitare la pagina apposito del sito Kaspersky.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Un nuovo virus infetta le applicazioni create in Delphi

Lo comunica Kaspersky, dove i ricercatori hanno rilevato un nuovo virus Virus.Win32.Induc.a, che si diffonde attraverso CodeGear di Delphi, un ambiente di sviluppo per applicazioni Desktop e Enterprise.

Virus.Win32.Induc.a, infetta tutte le applicazioni create con CodeGear di Delphi.

Il virus, non è comunque ritenuto come una vera e propria minaccia, ma un nuovo metodo di diffusione, infatti il virus è privo di “payload”, l’istruzione che permette a virus e worm di compiere azioni dannose sui computer infetti.

Al momento, il virus sembra un test di nuove routine di infezione, ma è probabile che in futuro venga modificato dai cybercriminali per compiere attacchi veri e propri.

“Virus.Win32.Induc.a. ha grandi opportunità di sviluppo, al momento è però difficile dire con certezza se, e quando, qualcuno lo modificherà per renderlo in grado di compiere azioni dannose” è il commento di David Emm, Senior Regional Researcher di Kaspersky Lab UK.

Virus.Win32.Induc.a sfrutta la possibilità di Delphi di creare file eseguibili in 2 passaggi. Il codice sorgente viene inizialmente compilato per creare dei file .dcu (Delphi compiled unit) intermedi, che vengono poi collegati per creare file Windows eseguibili. Il nuovo virus si attiva non appena viene lanciata un’applicazione infetta. A questo punto il virus controlla se sul computer è installata una delle versioni di Delphi (4.0, 5.0, 6.0 or 7.0). Se il software viene rilevato, Virus.Win32.Induc.a compila il file Delphi Sysconst.pas, producendo una versione modificata del file compilato Sysconst.dcu.

Praticamente tutti i progetti creati in Delphi, includono la linea “use SysConst”; l’infezione di anche un solo modulo dell’ambiente di sviluppo, produce quindi l’infezione di tutte le applicazioni in fase di sviluppo. In altre parole, il file modificato SysConst.dcu causa l’inserimento del virus in tutte le applicazioni create nell’ambiente di sviluppo infetto.

Ovviamente questo virus è già rilevato dai migliori antivirus, Bitdefender.it, Avira e molti altri.

Altre info le trovate sul sito Microsoft.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Svchost.exe quali servizi cela?

Molte persone hanno difficoltà a capire cosa gira sul proprio computer, e non conoscono molti dei processi attivi che girano con nomi, il più delle volte incomprensibili.

Se si apre il Task Manager di Windows [ctrl+alt+can] si noterà che vi sono molti processi attivi, per capire che cosa sono questi processi potete andare sul sito Processlibrary dove troverete la spiegazione di cos'è e a cosa serve il processo sconosciuto.

A volte purtroppo alcuni di questi processi vengono utilizzati dai malware.

Un processo non semplice da comprendere è Svchost.exe, infatti cela una serie di servizi del sistema, un processo generico di Windows per servizi eseguiti da librerie a collegamento dinamico (DLL), tra i quali talvolta si confondono virus e trojan.

Per verificare che sia utilizzato veramente dal S.O. e non da un malware che ne sfrutta i privilegi, si può usare un ottimo tool, Svchost Process Analyzer.

Svchost Process Analyzer, è un software gratuito che non necessità di installazione, ed è in grado di visualizzare cosa si trova dietro ai tanti processi Svchost.exe che compaiono nel Task Manager.

Una volta avviato, analizzerà e creerà la lista dei vostri processi Svchost; nella parte inferiore della finestra troverete un’analisi dettagliata per ogni servizio a cui quel preciso processo fa riferimento.

In questo modo potrete verificare se un worm o un trojan si è installato sul vostro computer, mascherandosi come servizio di Windows, o se i servizi abbinati al processo Svchost.exe sono superflui, ed eventualmente disattivarli dal Pannello di controllo, alla lista dei Servizi di Windows, in modo che non si avvii automaticamente, e liberare risorse.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Minaccia Bredolab via spam

Una pericolosa minaccia, già in circolazione da maggio di quest'anno, sta iniziando a diffondersi a macchia d'olio.

Rilevata dalla nota Societa Trend Micro, che si occupa della sicurezza dei contenuti Internet, viene veicolata tramite allegato spam nelle e-mail.

Attraverso un allegato e-mail in cui appare una fattura per l'acquisto di un laptop, si rischia di infettare il proprio computer, perchè in realtà è una backdoor rilevata come BKDR_BREDOLAB.AL, in grado di scaricare anche un Trojan RENOS (i Trojan RENOS sono noti per scaricare file, in genere antivirus fasulli).

Secondo Trend Micro, è probabile che i criminali che stanno dietro alle attività attribuite alle campagne Zeus abbiano incluso un altro modulo nei loro deployment.

“Da questa minaccia ci aspettiamo conseguenze sempre più gravi per gli utenti Internet di tutto il mondo”, ha dichiarato Ivan Macalintal, Research Program Manager di Trend Micro.

A questo nuovo modulo è stato dato il nome di BREDOLAB; la scorsa settimana i ricercatori Trend Micro ne hanno segnalato nuove molteplici varianti rilevate nelle maggiori campagne criminali come le campagne spam che prendevano di mira UPS e DHL.

Per infiltrarsi nei PC, BREDOLAB utilizza gli exploit più recenti (come PDF, SWF) su siti Web pericolosi e allegati distribuiti tramite spam. Il suo obiettivo principale è quello di fungere da downloader; per ora la minaccia è stata principalmente osservata in associazione con antivirus fasulli, rootkit, spambot (come Cutwail) e altri programmi per la sottrazione di informazioni.

Una volta innescato il processo, il malware BREDOLAB inizia a comunicare con un kit di gestione backend che automatizza quello che viene scaricato, installato ed eseguito sui PC infetti.

Come sempre i consigli sono i soliti. Non aprire e-mail sconosciute, dotarsi di un buon antivirus aggiornato ed avere tutti scaricato tutti gli aggiornamentio relativi al proprio sistema operativo.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

I top malware di luglio segnalati da Kaspersky

Ecco la classifica relativa alla diffusione del malware nel mese di luglio 2009. Ricordiamo che tali classifiche vengono stilate mensilmente, sulla base dei dati acquisiti tramite Kaspersky Security Network (KSN).

La prima Top20 contiene programmi malware, adware, programmi potenzialmente pericolosi e indesiderati che sono stati identificati e neutralizzati utilizzando lo scanner “on-access”. Le statistiche “on-access” permettono di analizzare i programmi malware più recenti, nel momento stesso in cui vengono rilevati sui computer degli utenti, o quando vengono scaricati dalla Rete.

Nel mese di luglio sono avvenuti pochi cambiamenti nella prima classifica, Kido e Sality occupano ancora le posizioni di testa con un notevole scarto. In termini assoluti però, le cifre dei programmi nocivi più popolari sono leggermente diminuite. Probabilmente, ciò è dovuto al fatto che nel pieno dell’estate gli utenti trascorrono meno tempo al computer e, di conseguenza, diminuisce la quantità di malware che li colpisce.

A differenza della prima, la seconda classifica è molto più interessante. Presenta i dati elaborati dal componente web anti-virus e mostra il panorama delle minacce online.

La seconda Top20, risponde in pratica a due domande: “Quale malware infetta più degli altri le pagine web?” e “Qual è il codice maligno più scaricato dalle pagine infette? (con la consapevolezza dell’utente o senza).

Scorrendo la tabella, notiamo subito tre rappresentanti degli script exploit DirektShow. Sulla vulnerabilità di Internet Explorer sfruttata da questo script, abbiamo fornito delle informazioni dettagliate all’interno del nostro blog (scritto in lingua inglese). Considerando che la maggior parte dei navigatori utilizza Internet Explorer, non sorprende che lo sfruttamento di tale vulnerabilità sia divenuto un metodo molto popolare tra i criminali informatici. Ultimamente abbiamo riscontrato la tendenza a suddividere gli script in più parti: è così per DirektShow, la cui pagina principale contiene un link ad un altro script, dal quale viene scaricato uno shellcode con relativo carico “maligno”.

All’ottavo posto Trojan-Downloader.JS.ShellCode.i è lo shellcode più diffuso, impiegato negli attacchi che sfruttano le vulnerabilità di IE. Questo metodo non presenta difficoltà, anche se non si rivela molto conveniente per chi lo impiega: lo script con shellcode può essere sostituito in qualsiasi momento, senza che il link alla pagina principale cambi. Tale struttura complica, se non rende addirittura impossibile, l’analisi e l’ulteriore rilevamento di tali malware.

È noto che per semplificare la distribuzione del malware (nello specifico di ransomware nella forma di applicazioni anti-virus non autorizzate), si usa spesso un modello standard. Trojan-Downloader.HTML.FraudLoad.a è un esempio di questo approccio, si tratta proprio di uno di questi modelli standard. Questo tipo di malware sta diventando sempre più popolare nel mondo del cybercrime, il risultato di questa tendenza è osservabile nell’enorme numero di siti web che annunciano all’utente lo stato di infezione e pericolo del computer, chiedendo di scaricare programmi che spesso pongono una sera minaccia alla sicurezza dell’utente.

Alla ventesima posizione, troviamo Trojan-Downloader.JS.Iframe.bew, proprio uno degli script usati per scaricare malware da questi siti.

La seconda classifica, offre una panoramica delle minacce più recenti delle tendenze sul loro sviluppo. In primo luogo, i criminali informatici si stanno concentrando sulla ricerca di nuove vulnerabilità tra i software più diffusi, allo scopo di sfruttarle per ottenere l’infezione dei computer tramite uno o più programmi “maligni”.

Inoltre, i cybercriminali tentano di nascondere la propria attività in modo da passare inosservati. Tutto ciò complica la vita anche all’utente più esperto che, navigando in Internet senza gli aggiornamenti del sistema operativo (le patch) o con un anti-virus non aggiornato, potrebbe trovarsi a navigare in “acque infestate”.

Paesi in cui si osserva una maggior quantità di tentativi di infezione via web:

Sul sito si può trovare il report ufficiale.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Le minacce del secondo trimestre 2009, spam e botnet

Secondo il report di McAfee, ci porta a conoscenza dell'andamento del malware relativo al secondo trimestre del 2009, dove lo spam è aumentato del 141% dal mese di marzo, ma evidenzia anche l’allarmante espansione di botnet e di minacce di malware AutoRun, ovvero ad esecuzione automatica.

Oltre 14 milioni di computer sono stati colpiti da botnet di criminali informatici, superando di un ulteriore 16% la crescita del trimestre precedente. Il report ha confermato le previsioni di McAfee del primo trimestre secondo cui l’ondata di botnet avrebbe ridefinito i livelli massimi di spam, superando il precedente picco di ottobre 2008, prima della chiusura di McColo, l’ISP che distribuiva spam.

I ricercatori McAfee hanno inoltre rilevato che, nell’arco di 30 giorni, il malware AutoRun ha infettato oltre 27 milioni di file. Questo tipo di malware, che sfrutta le funzionalità Auto-Run di Windows, non richiede alcuna azione da parte dell’utente per attivarsi, e spesso viene diffuso tramite dispositivi USB portatili. Il tasso di rilevamento supera del 400% persino il devastante worm Conficker, rendendo AutoRun il tipo di malware numero uno rilevato nel mondo.

L’aumento di attività a livello di bot e spam a cui si è assistito nel corso degli ultimi tre anni è allarmante, e la minaccia del malware ad esecuzione automatica continua a crescere,” ha affermato Mike Gallagher, Senior Vice President and Chief Technology Officer dei McAfee Avert Labs. “L’espansione di queste infezioni ci ricorda il preoccupante danno potenziale che può essere causato da computer non protetti nelle nostre case e sul posto di lavoro.”

La crescita di Botnet genera nuovi attacchi cibernetici e l’aumento di spam.

Altri quattordici milioni di computer sono stati trasformati in botnet questo trimestre, arrivando a una media di oltre 150.000 computer infettati quotidianamente, o al 20% dei personal computer acquistati ogni giorno (Fonte: Gartner 2009). La Corea del Sud è stata interessata dal più ampio aumento di attività di bot, con un aumento del 45% di nuovi computer infettati nel corso dell’ultimo trimestre. Tali botnet sono state utilizzate per eseguire attacchi DDoS contro la Casa Bianca, il New York Stock Exchange e il sito web del governo sud coreano a inizio luglio.

Se la crescita in Sud Corea è significativa, rappresenta meno del 4% di tutti i nuovi bot nel mondo. Gli Stati Uniti rappresentano il 15% di nuovi computer zombie.

L’espansione di botnet rappresenta inoltre il motore principale della crescita di volume di spam, che è ora al 92% di tutte le e-mail. I volumi di spam hanno ora superato del 20% i record più elevati, crescendo a una velocità costante di circa il 33% ogni mese. In altri termini, i volumi di spam crescono di oltre 117 miliardi di email ogni giorno.

Crimine informatico “as a service”.

Mentre il numero di botnet continua a crescere, gli scrittori di malware hanno iniziato a offrire software malevolo “as a service” a coloro che controllano le botnet. Attraverso lo scambio o la vendita di risorse, i criminali informatici distribuiscono istantaneamente nuovo malware a un pubblico più vasto. Programmi come Zeus – strumento di semplice utilizzo per la creazione di Trojan – continuano a rendere sempre più facile la creazione e la gestione di malware.

I cybercriminali puntano a Twitter e ai Social Network.

Negli ultimi tre mesi, l’aumento di popolarità ha reso Twitter un nuovo obiettivo per i cybercriminali. Malware come il worm “Mikeey” e nuove varianti del Trojan Koobface attaccano gli utenti attraverso messaggi tweet e URL abbreviati. Gli account di spam su Twitter stanno diventando sempre più diffusi. Gli account amministrativi di Twitter sono stati inoltre colpiti in diverse occasioni, offrendo ai criminali informatici accesso ad account privati di celebrità e politici, come Britney Spears e Barack Obama, permettendo persino la pubblicazione sul Web di documenti finanziari e informazioni strategiche sensibili.

Facebook e MySpace rimangono forti vettori di attacco per i cybercriminali. A maggio, i messaggi sui social network hanno diretto gli utenti a 4300 nuovi file Koobface.

Il report completo di McAfee sulle minacce per il secondo trimestre 2009 è disponibile in .pdf.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

I malware che ci hanno perseguitato a giugno

Ecco la lista dei malware di giugno fornita da G Data, nota azienda che fornisce prodotti per la sicurezza dei computer.

Questo mese passato hanno predominato i trojan, dove si registra anche un calo per i Downloader che si attestano al 23,4% ed un aumento sensibile, invece, per i Backdoor che passano dal 13,8% al 19,9%. Lieve incremento anche gli Spyware, mentre escono dalla top 5 gli Adware per fare posto ai Worm con il 4,0%.

L'analisi è stata effettuata su 83.072 tipologie di malware e da qui è stata stilata la classifica delle 5 categorie di più diffuse.

Top 5 malware

Le varie tipologie di malware sono state categorizzate in base al loro meccanismo di diffusione e alla tipologia dei danni provocati.

1.Trojan: 28,8% (-2,4%)

I Trojan (Cavalli di Troia) sono un tipo di malware le cui funzionalità sono nascoste all’interno di un programma apparentemente utile per l’utente. È dunque lo stesso utente che, installando un determinato programma, installa inconsapevolmente anche questo codice maligno che provoca danni al sistema. I Trojan non hanno una dinamica di propagazione propria, come virus e worm, ma sono solitamente inviati via e-mail o diffusi attraverso il file sharing o siti Internet.

2.Downloader: 23,4% (-2,2%)

Il Downloader è un tipo di malware che, come il nome stesso indica, scarica in maniera automatica dei file dannosi da Internet che, di norma, cercano subito di inficiare le impostazioni di sicurezza del Pc.

3.Backdoor: 19,9% (+6,1%)

I Backdoor sono paragonabili a porte di servizio che consentono di superare, in parte o in tutto, le difese di un Pc che così può, di conseguenza, essere controllato da un hacker per via remota. La maggior parte delle volte viene installato un particolare tipo di software e il Pc viene integrato in una Botnet costituita da Pc cosiddetti “zombie” che vengono quindi utilizzati per distribuire spam, rubare dati o eseguire attacchi di tipo DDoS.

4.Spyware: 15,9% (+2,3%)

Gli Spyware sono un tipo di malware il cui fine principale è quello di rubare le informazioni personali dal Pc degli utenti. Queste informazioni includono tutti i tipi di dati personali tra cui password, dati per account bancari o addirittura dati di login per i videogiochi online.

5.Worm: 4,0%

Diversamente da un virus, un worm non è collegato a un file eseguibile. Un worm si propaga trasferendosi su altri Pc attraverso network o connessioni Pc-Pc. Ci sono poi diverse sotto categorie di worm che possono essere classificate in base al loro meccanismo di propagazione: mail-worm, network-worm o P2P-worm.

Top 5 famiglie di virus

Basandosi sulle somiglianze a livello di codice, il malware può essere diviso in varie “ famiglie”:

1.Buzus: 5,2%

I Trojan della famiglia Buzus esaminano il sistema delle ignare vittime alla ricerca di dati personali o informazioni di log in per carte di credito, online banking, mail o Ftp. Inoltre cercano di modificare le impostazioni di sicurezza del sistema per renderlo ancora più vulnerabile.

2.Bifrose: 5,1%

Il Backdoor Bifrose garantisce agli hacker un accesso ai sistemi infetti e li connette a un server IRC attraverso il quale è possibile inviare dei determinati comandi.

3.Hupigon: 4,3%

Quando avviene un’infezione attraverso la variante Ur Hupigon.a vengono scritti nella cartella di sistema i file winreg.exe e notepod.exe. Inoltre avvengono variazioni a livello di registro che assicurano l’esecuzione automatica di winreg.exe ad ogni avvio di sistema. Alcuni membri della famiglia Hupigon aprono porte TCP per permettere i controllo remoto e l’accesso al file system per consentire di registrare le digitazioni sulla tastiera al fine di rubare dati personali

4.Magania: 3,5%

Questa famiglia di virus nasce in Cina ed è specializzata nel furto di dati di login per i giochi prodotti dalla taiwanese Gamania. Di solito questi Trojan sono diffusi attraverso e-mail che contengono un archivio RAR. Una volta eseguito il software maligno viene mostrata un’immagine come esca, mentre in background una serie di files vengono installati nel sistema. Magania, inoltre, si collega a Internet Explorer usando una DLL che consente al Trojan di intercettare il traffico WWW.

5.Poison: 2,5%

Il Backdoor Poison consente accessi remoti non autorizzati ai sistemi delle ignare vittime che poi possono essere utilizzati per attacchi di tipo DDoS (Distributed Denial of Service)

Maggiori info sul sito G Data.
Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Malware e virus di giugno secondo Gdata

I Trojan ancora in testa, ma con un lieve calo percentuale

In Giugno il panorama del malware è stato ancora dominato dalla presenza di Trojan che hanno comunque subito una lieve flessione. Lo dimostrano gli ultimi dati provenienti dai G Data Security Labs secondo cui il 28,8% (-2,4% rispetto al mese di Maggio) del malware registrato nell’ultimo mese è costituti proprio da Trojan.

Si registra anche un calo per i Downoader che si attestano al 23,4%. Aumento sensibile, invece, per i Backdoor che passano dal 13,8% al 19,9%. Lieve incremento anche gli Spyware, mentre escono dalla top 5 gli Adware per fare posto ai Worm con il 4,0%. La ricerca di G Data ha analizzato 83.072 tipologie di malware e da qui è stata stilata la classifica delle 5 categorie di più diffuse.

Top 5 malware

Le varie tipologie di malware sono state categorizzate in base al loro meccanismo di diffusione e alla tipologia dei danni provocati.

1. Trojan: 28,8% (-2,4%)

I Trojan (Cavalli di Troia) sono un tipo di malware le cui funzionalità sono nascoste all’interno di un programma apparentemente utile per l’utente. È dunque lo stesso utente che, installando un determinato programma, installa inconsapevolmente anche questo codice maligno che provoca danni al sistema. I Trojan non hanno una dinamica di propagazione propria, come virus e worm, ma sono solitamente inviati via e-mail o diffusi attraverso il file sharing o siti Internet.

2. Downloader: 23,4% (-2,2%)

Il Downloader è un tipo di malware che, come il nome stesso indica, scarica in maniera automatica dei file dannosi da Internet che, di norma, cercano subito di inficiare le impostazioni di sicurezza del Pc.

3. Backdoor: 19,9% (+6,1%)

I Backdoor sono paragonabili a porte di servizio che consentono di superare, in parte o in tutto, le difese di un Pc che così può, di conseguenza, essere controllato da un hacker per via remota. La maggior parte delle volte viene installato un particolare tipo di software e il Pc viene integrato in una Botnet costituita da Pc cosiddetti “zombie” che vengono quindi utilizzati per distribuire spam, rubare dati o eseguire attacchi di tipo DDoS.

4. Spyware: 15,9% (+2,3%)

Gli Spyware sono un tipo di malware il cui fine principale è quello di rubare le informazioni personali dal Pc degli utenti. Queste informazioni includono tutti i tipi di dati personali tra cui password, dati per account bancari o addirittura dati di login per i videogiochi online.

5. Worm: 4,0%

Diversamente da un virus, un worm non è collegato a un file eseguibile. Un worm si propaga trasferendosi su altri Pc attraverso network o connessioni Pc-Pc. Ci sono poi diverse sotto categorie di worm che possono essere classificate in base al loro meccanismo di propagazione: mail-worm, network-worm o P2P-worm.

Top 5 famiglie di virus

Basandosi sulle somiglianze a livello di codice, il malware può essere diviso in varie “ famiglie”:

1. Buzus: 5,2%

I Trojan della famiglia Buzus esaminano il sistema delle ignare vittime alla ricerca di dati personali o informazioni di log in per carte di credito, online banking, mail o Ftp. Inoltre cercano di modificare le impostazioni di sicurezza del sistema per renderlo ancora più vulnerabile.

2. Bifrose: 5,1%

Il Backdoor Bifrose garantisce agli hacker un accesso ai sistemi infetti e li connette a un server IRC attraverso il quale è possibile inviare dei determinati comandi.

3. Hupigon: 4,3%

Quando avviene un’infezione attraverso la variante Ur Hupigon.a vengono scritti nella cartella di sistema i file winreg.exe e notepod.exe. Inoltre avvengono variazioni a livello di registro che assicurano l’esecuzione automatica di winreg.exe ad ogni avvio di sistema.

Alcuni membri della famiglia Hupigon aprono porte TCP per permettere i controllo remoto e l’accesso al file system per consentire di registrare le digitazioni sulla tastiera al fine di rubare dati personali

4. Magania: 3,5%

MagaQuesta famiglia di virus nasce in Cina ed è specializzata nel furto di dati di login per i giochi prodotti dalla taiwanese Gamania.

Di solito questi Trojan sono diffusi attraverso e-mail che contengono un archivio RAR. Una volta eseguito il software maligno viene mostrata un’immagine come esca, mentre in background una serie di files vengono installati nel sistema. Magania, inoltre, si collega a Internet Explorer usando una DLL che consente al Trojan di intercettare il traffico WWW.

5. Poison: 2,5%

Il Backdoor Poison consente accessi remoti non autorizzati ai sistemi delle ignare vittime che poi possono essere utilizzati per attacchi di tipo DDoS (Distributed Denial of Service)

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

La classifica dei malware di giugno di Kaspersky

Kaspersky Lab ci informa con la consueta classifica relativa alla diffusione del malware per il mese di giugno.

La prima tabella si riferisce ai programmi nocivi, adware e programmi potenzialmente pericolosi rilevati e resi inoffensivi al primo trattamento anti-virus da subito, nel quadro dell'azione svolta dal componente di programma “scanner on-access”. L'impiego della metodologia di statistica “on-access” consente di condurre un'immediata analisi dei programmi malware più recenti, dei più pericolosi e dei più diffusi. Tali programmi vengono di fatto bloccati ed inibiti nel momento stesso in cui tentano di avviarsi, o durante il loro download dalla rete sui computer degli ignari utenti.

 

I cambiamenti introdotti nella metodologia di analisi delle minacce, non hanno influito sulla leadership della classifica: Net-Worm.Win32.Kido.ih mantiene saldamente la prima posizione. Inoltre, in questa Top-20 compaiono anche due varianti di tale worm, ovverosia Kido.jq e Kido.ix. Evidentemente, la copiosa presenza di Kido nella classifica sopra riportata, è legata al fatto che i «rappresentanti» di tale famiglia di worm sono soliti diffondersi anche tramite supporti mobili, precedentemente utilizzati su unità sprovviste di un'adeguata protezione anti-virus.

Per gli stessi motivi, compaiono in classifica anche AutoRun.dui e AutoRun.rxx, della famiglia di worm Autorun. Troviamo poi, all'interno di questa Top-20, un Trojan Script di particolare interesse, peraltro attivamente utilizzato dai criminali informatici: Trojan-Downloader.JS.LuckySploit.q (ne parleremo più avanti).

Al ventesimo posto si colloca l'adware Shopper.v, uno dei più famosi programmi nel suo genere (la società che lo ha elaborato, Zango - in precedenza Hotbar - è stata chiusa alcuni mesi fa). Tale applicazione installa toolbar di vario tipo, molto difficili da disinstallare, sia nei browser che nei client di posta: saranno in tal modo mostrati in continuazione all'utente dei banner pubblicitari.

La seconda classifica è stata stilata sulla base dei dati acquisiti grazie alle attività condotte dall'anti-virus web: rispecchia la situazione attualmente presente in ambito Internet. Questa Top-20 è composta dal malware rilevato sulle pagine web, così come da quei software nocivi che cercano subdolamente di infiltrarsi nei computer degli utenti tramite il download dalle pagine Internet. In altre parole, questa seconda classifica fornisce illuminanti risposte a due diverse domande: «Quali sono i programmi nocivi che infettano con maggiore frequenza le pagine web?» e «Qual è il malware più frequentemente scaricato - in maniera consapevole od inconsapevole - dalle pagine Internet nocive ed infette?».

La prima posizione è occupata di diritto dal Trojan Downloader Gumblar.a. L'azione che esso conduce rappresenta un eccellente esempio di drive-by-download. Gumblar.a è uno script codificato di piccole dimensioni: quando viene eseguito, reindirizza l'utente al sito infetto dal quale, a sua volta, viene scaricato ed installato il file nocivo eseguibile.

Quest'ultimo, dopo essere stato installato nel sistema, esercita evidenti effetti sul traffico web dell'utente, modificando ad esempio i risultati delle ricerche eseguite tramite Google; allo stesso modo, ricerca nel computer dell'utente le password relative ai server FTP, per poi successivamente procedere all'infezione di questi ultimi. Si assiste così alla formazione di una botnet costituita da server infettati, grazie alla quale i malintenzionati potranno agevolmente caricare sui computer degli utenti qualsivoglia tipo di programma nocivo.

La quantità di server infetti è davvero enorme: la diffusione del contagio si è finora prodotta proprio tramite quei computer sprovvisti di adeguata protezione anti-virus. Un ulteriore significativo esempio di download drive-by è rappresentato dal Trojan Downloader LuckySploit.q, che si colloca al terzo posto della classifica sopra riportata e fa altresì parte, come abbiamo visto, della prima Top-20. Si tratta di uno script magistralmente offuscato, il quale inizialmente raccoglie tutte le informazioni relative alla configurazione del browser dell'utente, per poi inviarle al sito nocivo, cifrandole tramite chiave RSA diretta. Nel server, tali informazioni vengono poi decifrate mediante chiave RSA inversa e, a seconda della configurazione del browser precedentemente individuata, viene restituito all'utente un intero bouquet di script, i quali sfrutteranno le vulnerabilità presenti nel computer e provvederanno al caricamento in esso di ulteriori programmi malware.

Oltretutto, una combinazione così articolata e mutevole rende di particolarmente difficile un’analisi su campioni dello script iniziale, preposto a raccogliere le informazioni relative al browser: nel caso poi in cui il server che decifra tali informazioni risulti inaccessibile, non sarà possibile nemmeno la ricezione dei dati riguardanti gli script che saranno, nella circostanza, subdolamente inviati all'utente.

Vi è poi tutta una serie di malware che sfruttano proprio le vulnerabilità presenti nei programmi elaborati da alcune delle maggiori software house. La presenza in classifica degli exploit Trojan-Clicker.SWF.Small.b, Exploit.JS.Pdfka.gu, Exploit.JS.Pdfka.lr ed Exploit.SWF.Agent.az è allo stesso tempo indice sia della popolarità che della vulnerabilità dei prodotti Adobe Flash Player e Adobe Reader. Vengono altresì sfruttate vulnerabilità di vario genere insite nelle soluzioni software elaborate da Microsoft: Trojan-Downloader.JS.Major.c, ad esempio, nella sua azione cerca di avvalersi immediatamente di alcune vulnerabilità presenti in varie componenti sia del sistema operativo che delle applicazioni di Microsoft Office.

Tirando le somme, si può senz'altro asserire che in questi ultimi tempi si osserva distintamente la tendenza, da parte dei cybercriminali, ad utilizzare in maniera sempre più marcata le varie tipologie del subdolo ma astuto metodo di download drive-by, per infettare i computer degli utenti: è proprio questo, oramai, l'orientamento imperante nel Web. In ragione di quanto sopra esposto, risulta pertanto sempre più indispensabile, per gli utenti, effettuare tempestivamente l'installazione degli aggiornamenti riguardanti sia il sistema operativo che i programmi da essi utilizzati; è in egual modo strettamente necessario, ovviamente, procedere sempre agli aggiornamenti del proprio programma anti-virus.

D'ora in poi, la nostra rassegna mensile sul malware includerà un ulteriore elemento innovativo, ovverosia la classifica relativa ai paesi in cui è stato riscontrato il maggior numero di tentativi di infezione tramite web:

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Router nuovamente a rischio worm

Alcuni mesi fa veniva segnalato l'alto rischio di attacchi ai router che utilizzavano come password la parola chiave standard.

Come si temeva, il worm si è evoluto, ed ora è in grado di colpire tutti i router dotati di “processore MIPS”.  Lo scopo del Worm è quello di rendere i router dei BOT in grado di lanciare attacchi DDoS.

L’azienda D-Link ha deciso di non prendere sotto gamba il problema e per proteggere i propri modelli, ha introdotto sui propri router dei filtri per l’autenticazione CAPTCHA.

Pare però che, da una ricerca effettuata dalla società SourceSec, sia emersa una falla che affligge questo tipo di filtro. In caso di un attacco worm, che avviene tramite codice JavaScript visitando i siti che contengono il malware, la pagina delle impostazioni del router viene caricata e l’azione del codice permette di oltrepassare la protezione.

Se vi foste accorti di essere infetti da questo tipo di worm, sarà sufficiente effettuare un Hard Reset del router.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Panda Security, 5000 video su YouTube a rischio i commenti

Sono oltre 5000 i video su YouTube con commenti contenenti link che conducono a pagine sviluppate per scaricare malware.

I post incriminati sono quasi tutti filmati a sfondo erotico ed il link, secondo l'analisi presentata da Panda Security, sembra collegare ad una pagina web legale con contenuti pornografici.

Il contagio avviene quando si clicca su link, venendo indirizzati ad una pagina che sembra originale, ma in realtà è contiene codici pericoli una volta scaricati sul proprio computer.

Viene infatti richiesto il download di un file per visualizzare il video. Se si prosegue, si scaricherà una copia del falso antivirus PrivacyCenter. 

Come già spiegato, questi falsi programmi fingono di rilevare molti virus, proponendo all'utente la possibilità di acquistare il falso antivirus a pagamento per eliminarli.

Luis Corrons, direttore tecnico dei laboratori di Panda Security afferma “la tecnica di utilizzare commenti pericolosi su YouTube non è nuova. Ciò che preoccupa è la quantità di link rilevati che conducono alla stessa pagina web. Questo significa che i cyber criminali stanno sfruttando strumenti automatici per pubblicare questi commenti.”

Maggiori info sul sito Panda Security. 

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Facebook phishing infetta 200 milioni di utenti

Non c'è pace per il famoso Social Network, si passa dalle denuce per  foto di pazienti pubblicate, a quelle per di diffamazione ma la cosa più grave sono i continui attacchi di phishing.

Questa settimana passata alcuni cracker hanno lanciato un attacco contro i 200 milioni di utenti iscritti a Facebook, rubando password ad alcuni di loro.

Il metodo è sempre lo stesso, tramite pagine false di Facebook (phishing), inducono gli utenti ad inserire i loro dati per accedere al loro account, per poi rubare indirizzi e-mail ed inviare il fastidiosissimo spam.

Questi attacchi sfruttano applicazioni che sono malevole, e puntano tutte a domini con estensione.im, tipo www.151.im, www.121.im e www.123.im) queste false applicazioni sono grado di corrompere un account e prenderne il possesso, in questo modo possono attaccare tutti i vostri contatti senza tanti problemi.

Anche Panda Security ha rilevato dei pericoli che affliggono Facebook, è stata rilevata una nuova variante del worm Boface.

Questo malware chiede scaricare ed installare falsi programmi antivirus ingannando gli utenti, perchè li induce a pensare che sul loro computer vi sia veramente un virus, portandoli ad acquistare un falso antivirus.

Secondo i dati raccolti potrebbero essere oltre due milioni di utenti del social network già infetti ed i veicoli di infezione sono: i messaggi e-mail con allegati, file scaricati da Internet, trasferimenti di file via FTP, canali IRC, condivisione di file tramite P2P.

Qui sotto un immagine del falso messaggio:

E qui sotto l'immagine di un falso filmato di YouTube (denominato "YuoTube"):

Anche qui potrebbe essere richiesto di installare un applicativo o un codec di cui dovremmo essere sprovvisti secondo il messaggio, cliccando su installa si scarica il malware che ci avvisa che siamo infetti e che per rimediare ci consiglia di scaricare il falso antivirus.

Ecco come si presenta la pagina che richiede di scaricare l'antivirus:

I consigli di Panda Security sono:

1) Non cliccare su link sospetti o da fonti non attendibili. Questo consiglio dovrebbe essere applicato a tutti i messaggi ricevuti tramite Facebook, e attraverso qualunque altre rete sociale, ma anche per i messaggi via e-mail.

2) Se si clicca su tale link, controllare attentamente la pagina di destinazione l'indirizzo web in alto. Se non lo riconoscete, chiudete subito il browser.

3) Anche se non appare nulla di strano nella pagina di destinazione, ma vi viene chiesto di scaricare qualche applicazione, software o altro, non accettare.

4) Se, tuttavia, si è già cliccato, scaricato e installato qualche file eseguibile, e il computer inizia a lanciare messaggi dicendo che si è "infetti" e che si deve acquistare un antivirus. Non comprate e scaricate nulla, soprattutto non date i vostri riferimenti bancari. Scaricate un software di sicurezza, valido e conosciuto la stessa Panda Security fornisce una soluzione per la sicurezza online gratis come Panda ActiveScan.

Maggiori info sul sito Panda Security.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

McAfee una vulnerabilità né mina la credibilità

I luoghi dove meno è indicato trovare vulnerabilità sono i siti che forniscono sicurezza per il proprio computer. Non è la prima volta e non sarà l'ultima che produttori di antivirus siano soggetti ad attacchi, questa volta è toccato al portale McAfee che è risultato vulnerabile ad attacchi di tipo cross-site scripting (XSS). 

Falle corrette, almeno per quanto segnalato sul sito Cnet.com.

Dal sito di McAfee, gli utenti venivano reindirizzati a falsi siti web appositamente creati per infettare i malcapitati con trojan e malware.

La cosa grave è che McAfee si occupa di controllare i portali, proprio per rilevare eventuali buchi nella sicurezza di questo tipo.

Falle di questo tipo creano sicuramente molti danni al livello di immagine per siti il cui scopo e proteggere. 

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

I CAPTCHA di Google nel mirino degli spammer

I CAPTCHA di Google sono aggirabili da un nuovo worm chiamato W32.Gaptcha.Worm, lo ha scoperto una società vietnamita di sicurezza Bkis Honeypot. Il worm è stato classificato con un livello di pericolosità medio.

I CAPTCHA sono quelle finestrelle in cui l'utente deve scrivere lettere o numeri presenti in una sequenza che appaiono distorti o offuscati sullo schermo.

Una volta che il worm Gaptcha ha infettato il computer, aprirà una finestra di Internet Explorer e si collegherà alla pagina di Gmail che permette di registrare un nuovo account.

Dopo aver creato un nuovo account, verrà bypassato il filtro CAPTCHA scaricando nella cartella dei file temporanei l’immagine dei caratteri da riconoscere, dopodiché verrà inviata l’immagine ad un potente server remoto che la interpreta e rimanda al computer infettato. Una volta riconosciuta e quindi decodificata potrà creare un enorme numero di account.

Appena Google si accorgerà dell'anomalia dell'account, disabiliterà la registrazione per impedire che l’utente possa accedere agli account Gmail esistenti o crearne di nuovi da quell’indirizzo IP, che verrà bloccato nelle liste di Google.

Lo scopo è di inviare spam che verrà difficilmente filtrato dato che proviene da una mail di Google.

Ma Google, non si dà per vinta ed è già in corso lo studio per un nuovo metodo di protezione dei CAPTCHA capovolgendo le immagini.

I ricercatori Rich Gossweiler, Maryam Kamvar e Shumeet Baluja dichiarano:

«Questo processo richiede un’analisi sul complesso contenuto di un’immagine, un compito che gli umani di solito svolgono efficientemente, a differenza delle macchine. Data una grande disponibilità di immagini, come quella che si ottiene attraverso una ricerca sul Web, noi usiamo alcuni sistemi automatici per l’individuazione dell’orientamento al fine di eliminare quelle immagini che in automatico possono essere facilmente orientate in maniera corretta. Quindi applichiamo un meccanismo di ‘social feedback’ per verificare che le restanti immagini abbiano un giusto orientamento riconoscibile dall’uomo. I principali vantaggi del nostro Captcha, rispetto alle tradizionali tecniche di riconoscimento testo, sono che è indipendente dalla lingua, non richiede l’inserimento di testo (per esempio per gli apparecchi mobili) e impiega un diverso settore per la generazione Captcha, oltre l’offuscamento dei caratteri. Questo Captcha si presta ad una rapida implementazione e ha un bacino di immagini utilizzabili pressoché infinito».

Per ora la cosa migliore è avere sempre aggiornati i nostri programmi di sicurezza installati sul computer, in primis l'antivirus.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

McAfee dichiara guerra al cybercrimine

Nel 2008 si è registrato negli Stati Uniti un aumento del 33% rispetto al 2007, del numero delle segnalazioni di crimini online. A comunicarlo è l'FBI (Federal Bureau of Investigation) e la NW3C (White Collar Crime Center).

Per combattere questi crimini che sono sempre più numerosi, McAfe ha messo a disposizione un nuovo servizio di controllo che ha chiamato Cybercrime Response Unit (CRU) .

L'intento di McAfee è di dare una mano agli utenti un po' meno scaltri, un mezzo che permetta di controllare il proprio computer senza cadere nelle trappole di finti programmi proposti in rete.

L’iniziativa coinvolge le forze dell’ordine, il mondo accademico, i service provider, il governo, l’industria della sicurezza e della società nel suo complesso in modo da poter fornire indagini e azioni giudiziarie contro il crimine informatico online.

L'iniziativa comprende anche un tool per poter verificare se il vostro computer è infetto da qualche malware, che potrebbe spiare il vostro Pc e magari rubarvi i vostri dati se non peggio.

In pratica il sito permette all'utente di spiegare quali problemi ha riscontrato, quali siano i dubbi nell'uso del proprio sistema e per affidare il proprio hard disk all'analisi remota. (disponibile solo in inglese e per Internet Explorer, la versione per Firefox è in fase di sviluppo).

Il servizio mette a disposizione anche un numero verde (866-694-8804) al quale rivolgersi per eventuali ulteriori chiarimenti, al momento è valido solo per i residenti negli Stati Uniti.

Il progetto  completo è consultabile sul sito McAfee.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

I criminali informatici sfruttano il marchio Ford

I malintenzionati, come è ormai noto sfruttano qualunque cose per portare a termine i loro obiettivi, neppure una grossa casa di automobili come Ford può esserne immune, ma i falsi domini che sfruttano questo marchio sono più di un milione.

I laboratori di Panda Security segnalano un attacco Blackhat SEO (Search Engine Optimization) che sfrutta il nome della casa automobilistica Ford per diffondere malware nella rete.

La ricerca ha portato a conoscenza che dei criminali informatici hanno manipolano i risultati dei motori di ricerca per diffondere codici pericolosi.

Targeted Blackhat SEO Attack against Ford Motor Co. from Panda Security on Vimeo.

Quando l'utente cerca informazioni riguardanti il marchio Ford e clicca su uno dei risultati manipolati, viene reindirizzato a una pagina Web, dove viene proposta la visualizzazione di un video. Aprendo questo file, verrà richiesto il download di un altro programma, un falso antivirus.

Un metodo che per i più esperti è già noto.

I laboratori di Panda Security hanno individuato MSAntiSpyware2009 e Anti-Virus-1, due falsi antivirus.

La falsa segnalazione porta a credere all'utente di essere stato infettato da un malware offrendo la possibilità, attraverso messaggi pop-up e banner, ,di acquistare la versione a pagamento del falso antivirus, comunicando che, in caso negativo, il codice impedirà il normale funzionamento del computer, per costringere così gli utenti a comprare il prodotto fasullo.

Luis Corrons, direttore tecnico dei laboratori di Panda Security afferma “questi codici maligni sono realizzati per generare profitti economici per i loro autori, convincendo gli utenti, attraverso l’inganno, ad acquistare il prodotto a pagamento”.

Maggiori informazioni sul sito Pandasecurity. 

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

Conficker si aggiorna via P2P

Il tanto temuto Conficker torna a far parlare di se, dopo l'allarme del 1° aprile, è nuovamente mutato. La nuova variante è stata chiamata WORM_DOWNAD.E.

Trend Micro segnala che il worm si sta aggiornando via peer-to-peer tra i computer infetti, rilasciando nel contempo un payload al momento sotto analisi.

I ricercatori Trend Micro avrebbero scoperto un nuovo file sospetto all'interno della cartella dei file temporanei di Windows.

È emerso un tentativo da parte del componente scaricato di connessione ad un domino appartenente alla nota botnet Waledac (goodnewsdigital(dot)com), al fine di scaricare un altro file criptato.

Il componente scaricato sembrerebbe appartenere alla famiglia dei keylogger, programma in grado di rubare dati sensibili dalle macchine infette.

La nuova variante WORM_DOWNAD.E si attiva utilizzando un filename e un nome di servizio casuali per poi collegarsi ai seguenti siti: MySpace.com, MSN.com, eBay.com, CNN.com e AOL.com.

Anche McAfee rivela la nuova variante come W32/Conficker.worm.gen.d e Sophos come W32/ConfDr-Gen_W32/Confick-D.

Come già detto precedentemente, anche questa nuova variante è una minaccia solamente per chi è già stato infettato da Conficker e comunque sprovvisto della patch di sicurezza Microsoft MS08-067 rilasciata il 23 di ottobre 09.

Per verificare se il vostro sistema è a rischio di infezione dal WORM_DOWNAD.E visitate il sito [Trend Micro], per eliminare il worm Conficker Tool rimozione [BitDefender] e Tool Rimozione [F-Secure]

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

A marzo incremento di Trojan

Oggi siamo subissati da notizie che trattano di malware di vario genere, ma in dettaglio cosa sono questi malware?

Il panorama è ampio, una volta si parlava solo di virus ed era sufficiente un buon antivirus e un firewall, oggi invece il panorama si è allargato e bisogna prestare attenzione a moltissime forme di malware.

Secondo il report di G Data Security Labs, marzo è stato funestato da Trojan con un picco del 33% a seguire i Downloader con un significativo 25,7%, seguiti dai Backdoor con il 14,2%.

La ricerca a riportato 113.046 tipologie di malware e da qui è stata stilata la classifica delle 5 categorie di più diffuse.

1. Trojan: 33%

I Trojan (Cavalli di Troia) sono un tipo di malware le cui funzionalità sono nascoste all’interno di un programma apparentemente utile per l’utente. È dunque lo stesso utente che, installando un determinato programma, installa inconsapevolmente anche questo codice maligno che provoca danni al sistema. I Trojan non hanno una dinamica di propagazione propria, come virus e worm, ma sono solitamente inviati via e-mail o diffusi attraverso il file sharing o siti Internet.

2. Downloader: 25,7%

Il Downloader è un tipo di malware che, come il nome stesso indica, scarica in maniera automatica dei file dannosi da Internet che, di norma, cercano subito di inficiare le impostazioni di sicurezza del Pc.

3. Backdoor: 14,2%

I Backdoor sono paragonabili a porte di servizio che consentono di superare, in parte o in tutto, le difese di un Pc che così può, di conseguenza, essere controllato da un hacker per via remota. La maggior parte delle volte viene installato un particolare tipo di software e il Pc viene integrato in una Botnet costituita da Pc cosiddetti “zombie” che vengono quindi utilizzati per distribuire spam, rubare dati o eseguire attacchi di tipo DDoS.

4. Spyware: 12,6%

Gli Spyware sono un tipo di malware il cui fine principale è quello di rubare le informazioni personali dal Pc degli utenti. Queste informazioni includono tutti i tipi di dati personali tra cui password, dati per account bancari o addirittura dati di login per i videogiochi online.

5. Adware: 7,8

Gli Adware registrano le attività e i processi di un Pc tra cui, ad esempio, il comportamento degli utenti in rete. Se si presenta un’opportunità adatta, vengono quindi mostrati messaggi pubblicitari mirati. In altri casi, invece, vengono manipolati i risultati delle ricerche sul web in modo che la vittima sia indirizzata su certi prodotti o servizi che possano fruttare denaro a chi ha diffuso il malware. In moltissimi casi questo avviene senza che l’utente se ne renda conto.

Basandosi sulle somiglianze a livello di codice, il malware può essere diviso in varie “ famiglie”:

1. Monder: 7,0%

La numerose varianti di Monder sono essenzialmente dei Trojan che manipolano le impostazioni di sicurezza sui sistemi infettati rendendoli così suscettibili di ulteriori attacchi. Un’infezione aggiuntiva può avere luogo anche attraverso Adware, soprattutto tramite falsi software di sicurezza. Alla vittima viene di norma raccomandato di fare una scansione del proprio sistema con il suggerimento di eliminare le infezioni acquistando la versione “full” del presunto software per la sicurezza immettendo i dati della propria carta di credito su uno sito web creato appositamente.

2. Obfuscated: 5,5%

Questa famiglia di virus si distingue per il codice camuffato in una maniera che è tipica del malware. Per esempio, dannosi codici Javascript possono essere mimetizzati attraverso funzioni matematiche che vengono ritradotte nel codice originario solo dopo l’esecuzione.

3. Superjuan: 4,7%

Si tratta di un Adware che linka all’interno del browser utilizzando un Browser Helper Object (BHO). Oltre a mostrare pop pubblicitari, alcuni esponenti di questa famiglia sono linkati ai cosiddetti scareware o rogueware. Alla vittima viene segnalata la presenza di infezioni per eliminare le quali è necessario acquistare un software fornendo i dati della propria carta di credito.

4. Hupigon: 4,6%

Quando avviene un’infezione attraverso la variante Ur Hupigon.a vengono scritti nella cartella di sistema i file winreg.exe e notepod.exe. Inoltre avvengono variazioni a livello di registro che assicurano l’esecuzione automatica di winreg.exe ad ogni avvio di sistema.

Alcuni membri della famiglia Hupigon aprono porte TCP per permettere i controllo remoto e l’accesso al file system per consentire di registrare le digitazioni sulla tastiera al fine di rubare dati personali.

5. Swizzor: 4,1%

Le numerose varianti si Swizzor appartengono alla categoria degli Adware e generano, attraverso una manipolazione del browser, pop up pubblicitari non voluti.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

La Cina spia un migliaio di pc nel mondo

Un gruppo di ricercatori canadesi del Munk Centre (Università di Toronto), ha portato alla luce una rete di spionaggio informatico da parte di hacker cinesi che da almeno due anni stanno spiano circa 1300 computer in ogni parte del mondo. I paesi controllati risultano essere un centinaio.

Il network, battezzato Ghostnet, utilizza potenti malware, in grado persino di accendere i microfoni e le webcam dei computer controllati per registrare le conversazioni a voce, da questi computer piratati, sembrano essere stati sottratti dati importanti, e documenti di governativi.

I siti compromessi appartengono ad ambasciate, ministeri degli esteri, uffici governativi di moltissime nazionalità come: Iran, Lettonia, Bangladesh, Filippine, Latvia, Brunei, Indonesia, Barbados, Bhutan, ma anche delle ambasciate di India, Sud Corea, Germania e Pakistan, Romania, Cipro, Malta, Thailandia, Taiwan, Portogallo, Bruxelles, Londra e New York.

Sembra che anche il computer del Dalai Lama è stato preso di mira.

Ulteriori approfondimenti si possono trovare sul sito della CNN.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.