Grave falla in Java colpisce tutti i browser

È di questi giorni la notizia, data da più fonti, che una nuova vulnerabilità mette a rischio la navigazione con i browser più famosi come: Chrome, Internet Explorer, Firefox.

La grave vulnerabilità è stata scoperta in Java  Runtime Environment, da un ingegnere di Google, Tavis Ormandy, che ha reso pubblica la vulnerabilità.

In pratica basterebbe visitare un sito Web manipolato per compromettere il proprio sistema. Viene anche messa a disposizione una dimostrazione non maligna  che è in grado di attivare la calcolatrice nei prodotti Microsoft Windows.

La vulnerabilità coinvolge tutte le versioni dalla 6 alla 10, incluso l'ultimo Java SE 6 update 19, inoltre la gravità della vulnerabilità consiste nel fatto che non è sufficiente disabilitare il plugin perchè si rimane esposti anche se si è utilizzato Java tempo fa.

In attesa di un aggiornamento riparatore da parte di Sun/Oracle  gli unici suggerimenti possono solo essere di cambiare manualmente le impostazioni sui browser in uso come I.E. e FF.

Per Internet Explorer si dovrà settare un killbit per la classe ActiveX CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA, seguendo le istruzioni fornite dal supporto Microsoft.

Per Firefox invece è necessario andare sul menu Strumenti aprire Componenti aggiuntivi e  e cliccare su Plugin. Qui troverete il Java Deployment Toolkit e lo disattiverete.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Koobface un worm che ritorna

Più che tornare potremmo dire che non se né mai andato, Koobface è un malware che ha preso di mira il famoso Facebook, ma anche altri Social Network e siti.  

A metà anno del 2009, questo worm aveva già subito 575 varianti e solo un mese fa Kaspersky Lab denunciava il raddoppio dei suoi server di comando.

Ora il pericolo arriva da false e-mail in cui il messaggio induce il destinatario a visionare un filmato osé. Il link reindirizza verso un sito Web per visionare un ipotetico filmato chiamato "Video pubblicato da ... Hidden Camera ...". 

Un pop-up avvisa l'utente che per vedere il video è necessario scaricare  un codec.

di ESET

Ed è proprio a questo punto che se l'utente scarica il file e lo esegue,verrà infettato dall'eseguibile Koobface.

Anche qui valgono i soliti consigli :

* prestare attenzione ai link nei messaggi sospetti, anche se il mittente è conosciuto o un amico su Facebook;
* mantenere il browser aggiornato: Firefox 3.x, Internet Explorer 8, Google Chrome, Opera 10, ecc;
* aggiornare sempre il vostro sistema operativo soprattutto se usate Windows;
* aggiornare quotidianamente il vostro software antivirus.


Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

I malware di marzo 2010

Come è di consuetudine, Kaspersky Lab ha redatto la classifica dei malware più diffusi che ci hanno infastidito a marzo 2010.

Questi non sono da considerarsi dei meri elenchi di nomi poco comprensibili, ma un aiuto per capire come i criminali aggrediscono i computer degli utenti ed eventualmente impedire che la cosa capiti anche ai nostri computer.

Le analisi effettuate riportano, nella prima tabella qui sotto, la lista delle maggiori infezioni individuate sui computer degli utenti.

L'analisi di Kaspersky Lab evidenzia la comparsa improvvisa di ben tre versioni del trojan Autorun, si tratta di file autorun.inf-, grazie ai quali si diffondono attraverso le memorie di massa e i dispositivi mobili malware quali P2P-Worm.Win32.Palevo e Trojan-GameThief.Win32.Magania.

Vi è inoltre la comparsa di un nuovo membro della famiglia Packed.

"In questo caso sotto il nome di Packed.Win32.Krap.as (13º posto) si nascondono degli pseudo-antivirus. L'utilizzo da parte dei cybercriminali di wrapper appositamente progettati per file eseguibili è un trend molto evidente degli ultimi tempi. Nuovi metodi usati dai malware più popolari per impacchettare e nascondere le reali funzioni del file agli antivirus e ad altre soluzioni di protezione vengono sviluppati continuamente, ed è questo che genera un ricambio praticamente mensile tra le diverse varianti di Krap e programmi simili."

Nella seconda tabella, invece, troviamo i malware individuati sulle pagine del web e i tentativi di caricamento che avvengono sempre attraverso le pagine visionate sul web.

Anche qui si può visionare in che modo i criminali cercano di prendere possesso delle informazioni sui vostri computer, tramite molte vulnerabilità a volte anche dei browser che usiamo per navigare.

"Iniziamo da una vulnerabilità del tutto nuova CVE-2010-0806 di Internet Explorer, il cui exploit ha raggiunto una notevole diffusione dopo la descrizione forse un po' troppo dettagliata della vulnerabilità effettuata su . Oggi solo i cybercriminali più pigri non usano tali exploit nei propri attacchi: nella Top 20 troviamo due diverse varianti di questo exploit: Exploit.JS.CVE-2010-0806.I (2) e Exploit.JS.CVE-2010-0806.b (10).

La nuova ondata dell'epidemia di Gumblar procede a pieno regime. Oltre alla seconda versione del downloader, che risponde al nome di Gumblar.x e occupa il primo posto in classifica ne è apparsa una nuova identificata come HEUR:Trojan-Downloader.Script.Generic.

L'exploit Aurora.a, di cui abbiamo già parlato, a febbraio, continua ad essere attivamente utilizzato dai criminali informatici, fatto confermato dalla sua ascesa dal 9° al 5° posto.

L'interessante downloader Twetti.a (14° posto in classifica), di cui parlavamo a dicembre, è tornato di nuovo in classifica dopo un'assenza di due mesi. Come nel caso di Gumblar, i cybercriminali si sono presi una breve pausa e poi hanno tentato di infettare di nuovo, con questo malware, la gran parte delle risorse Web.

Anche Exploit.JS.Pdfka.bub (15° posto) è apparso in classifica per una ragione ben precisa: Questo file PDF dannoso è uno dei componenti degli attacchi drive-by, il cui punto di partenza è Twetti.a.

In classifica appaiono anche quattro nuovi rappresentanti della categoria dei modelli standard di pagine Web attraverso cui si diffondono pseudo-antivirus e blocker: Trojan.HTML.Fraud.aj, Trojan.JS.FakeUpdate.ab, Trojan.HTML.Fraud.aq e Trojan.JS.FakeUpdate.aa. "

Ed infine l'elenco dei paesi in cui si riscontra una maggiore quantità di tentativi di infezione via Web.

Gli attacchi che provengono dal Web, come dicevo poc'anzi, utilizzano vulnerabilità soggette ai software di maggiore diffusione. Come riporta il report di Kaspersky queste vulnerabilità solitamente sono sistemate dai produttori dei software, a volte celermente a volte meno, ma il problema della diffusione dei malware è solitamente da imputarsi alla mancata installazione delle patch e correzioni da parte degli utenti.

La maggior parte dei malware sfruttano proprio queste ingenuità o inesperieza degli utenti.

Quindi tenete ben aggiornati i vostri sistemi operativi e programmi che installate sul vostro computer, senza dimenticare i consueti programmi di sicurezza come antivirus, firewall e antimalware di qualunque casa, ma che vi siano.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Facebook attenzione alla falsa e-mail con trojan

Gli utenti di Facebook sono nuovamente in pericolo, questa volta si tratta di spam con virus o trojan, che veicolato tramite e-mail trae in inganno chiedendo di resettare la password dell'account per questioni di sicurezza.

McAfee® falsa e-mail

L'e-mail truffa, è diretta agli utenti del famosissimo Social Network Facebook e cerca di carpire informazioni e dati dagli utenti che potrebbero cascare nel trabocchetto, ma non solo, si trova infatti in allegato anche un file .zip che contiene al suo interno un Trojan chiamato Trojan.Dropper.Oficla.G.

BitDefender®

Se si scaricherà l'allegato, verrà installato sul computer del software dannoso e un programma che ruberà tutte le password non solo quella di Facebook.

Si consiglia di non aprire l'e-mail e soprattutto l'allegato, installare sul pc un buon antivirus e programmi che rendano sicuro il computer.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Koobface raddoppia in sole 48 ore

È di questi giorni la notizia data da Kaspersky Lab sulla scoperta inerente al già conosciuto worm Koobface, quest'ultimo ha raddoppiato il numero dei suoi server di comando e controllo in sole 48 ore.

Koobface colpisce siti internet come Facebook o Twitter e riesce a usarli come proxy per i suoi server di comando e controllo.

Dalle indagini condotte dal team Kaspersky Lab è emerso che in sole 48 ore, il numero dei server infettati è cresciuto da 71 a 142.

Kaspersky Lab fornisce anche alcuni suggerimenti agli utenti per difendersi da questo tipo di minacce:

* State attenti ai link nei messaggi sospetti, anche se il mittente è uno dei vostri fidati amici su Facebook.
* Utilizzate un browser aggiornato: Firefox 3.x, Internet Explorer 8, Google Chrome, Opera 10, ecc
* Divulgate il meno possibile informazioni personali. Non date il vostro indirizzo di casa, numero di telefono o altre informazioni private.
* Mantenete il vostro software antivirus aggiornato per evitare che le nuove versioni di malware possano attaccare il computer.

Maggiori dettagli sul sito Kaspersky Lab.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Nuova falla per Microsoft colpisce Internet Explorer 6 e 7

Proprio in concomitanza del patch day si viene a conoscenza di un avviso di sicurezza diramato da Microsoft che interessa il browser Internet Explorer 6 e 7.

Dalle indagini condotte da Microsoft, non risultano essere compromessi Internet Explorer 8 e Internet Explorer 5.01 Service Pack 4 in Microsoft Windows 2000 Service Pack 4.

La vulnerabilità rilevata permetterebbe l'esecuzione codice dannoso in modalità remota, la causa è imputabile a un puntatore non valido utilizzato in Internet Explorer.

In attesa di una patch straordinaria per risolvere il problema, Microsoft consiglia di passare alla versione Internet Explorer 8, oppure di passare a Protected Mode in Internet Explorer su Windows Vista e Windows nei sistemi operativi successivi che contribuisce a limitare l'impatto della vulnerabilità, di prestare più attenzione nell'apertura delle email in formato HTML su Outlook e di non cliccare su link poco sicuri, di disattivare i controlli ActiveX e degli script attivi per impedire di essere sottoposti ad eventuali attacchi.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Ripulire il pc con Kaspersky Virus Removal Tool

Ecco un prodotto che diventa davvero utile se dovete ripulire un computer di qualche amico o se volete effettuare un secondo controllo sul vostro computer.

Si tratta di Kaspersky Virus Removal Tool, un utility in grado di eliminare malware di ogni genere.

Se sorgono dubbi sull'efficacia del proprio antivirus, o solamente per scrupolo si volesse verificare la pulizia del proprio computer da virus e malware, le alternative sono la scansione on-line (solitamente lunghissima), oppure l'installazione di un secondo antivirus sul computer (soluzione vivamente sconsigliata a causa di probabili problemi di incompatibilità).

Con Kaspersky Virus Removal Tool, invece è possibile effettuare un controllo accurato e veloce, una volta terminato il suo lavoro, il prodotto ti propone la sua (opzionale) disinstallazione.

Il tool, gratuito, si installa in una cartella a scelta da cui viene eseguito, e come già detto non si può aggiornare, ma basta scaricare l'ultima versione, ne vengono rilasciate varie versioni durante la giornata, per essere certi di avere il prodotto ottimale .

Maggiori info sul sito kaspersky.com.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Debellate due botnet: Waledac e Mariposa

In questi giorni sono state fermate due importanti botnet una dal nome Mariposa e l'altra Waledac.

La prima è stata debellata dalle autorità spagnole che hanno arrestato tre uomini. La maxi-operazione è stata condotta con la collaborazione dell'Fbi. La botnet, di cui si hanno notizie già dal 2008, aveva infettato più di 13 milioni di computer in 190 Paesi tramite un virus trojan.

Grazie all’enorme numero di computer infettati (una botnet è una rete di computer collegati ad internet che fanno parte di un insieme di computer controllato da un'unica entità), la rete poteva procedere a attacchi contro determinati server, inviare spam, sottrarre dati personali o finanziari.

Approfondimenti sul sito Pandalabs.

L'altra botnet sconfitta si chiama Waledac che ha portato alla chiusura di 277 domini collegati a questa rete criminale. L'artefice questa volta è Microsoft che con l'auito di alcuni partner e l'ausilio dei suoi legali sono riusciti ad ottenere da un giudice la soppressione dei domini incriminati.

Anche questa botnet aveva reso possibile, grazie ad una rete di pc attivabili da remoto, di inviare moltissime e-mail di spam e attacchi DDoS e altre minacce informatiche.

Dopo l'ingiunzione del 22 febbraio scorso, molti dei sistemi di controllo della botnet sono stati disattivati, ma non ha ripulito i computer infettati, infatti, Microsoft consiglia di seguire i suggerimenti della guida pubblicata sul suo sito dedicato alla sicurezza su Internet e scaricare il proprio tool per l'individuazione di malware.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Microsoft, bloccare pc infetti

Se i pc sono infetti vanno messi in quarantena. L'idea suggerita alla RSA Conference è di Scott Charney (vicepresidente Microsoft dell'area Trustworthy Computing), il quale lancia l'idea di bloccare l'accesso a Internet ai computer infetti.

L'ipotesi scaturisce dall'associazione di quarantena sanitaria; se una persona ha una malattia infettiva viene separata dalle altre persone per evitare il contagio, curata e poi reinserita nella società. Analoga fine dovrebbero fare i computer infetti che, verrebbero bloccati dagli ISP per il tempo necessario ad essere ripuliti.

Un computer infetto, oltre a creare malfunzionamenti, può essere un rischio per la privacy dell'utente dello stesso, ma è soprattutto un veicolo di infezione per altri computer collegati alla rete, contribuendo all'aumento della diffusione di virus, spam, worm, malware e altre minacce informatiche.

Per bloccare questa situazione verrebbero chiamati in causa i provider che dotandosi di strumenti idonei, verificherebbero se i computer sono sterili o infetti nel momento in cui si collegano alla rete.

Questa l'idea sottoposta. Ora al di la del fatto che sicuramente avere meno pc infetti in rete sarebbe davvero una gran cosa, vogliamo davvero che i provider ci siano così tanto con il fiato sul collo?

Forse si dovrebbe trovare un sistema che permetta all'utente di prendere consapevolezza dell'uso di un computer in rete ed i rischi che corre, l'idea di una sconnessione forzata potrebbe creare dei grossi problemi, magari impossibilità di effettuare un pagamento on-line improrogabile o ancora una prenotazione medica alla quale non vi è altra possibilità che la rete, il rischio di violazione della privacy da parte degli ISP, e non per ultimo l'errore che può capitare da parte di un software che monitora un computer reputandolo infetto quando non lo è. Davvero molte le incognite su questa nuova idea, voi cosa ne pensate?

Altre info su Cnet.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Un sito in aiuto ai tifosi dei mondiali di calcio

Tra qualche mese, esattamente l'11 giugno prossimo inizieranno i mondiali di calcio e moltissimi appassionati di questo sport potrebbero essere le vittime di possibili frodi o minacce veicolate tramite il web.

Symantec, avendo rilevato che anche altri eventi sportivi sono stati obiettivo degli autori di malware e degli spammer, ha deciso che monitorerà attentamente le attività pericolose su Internet collegate ai mondiali di calcio, ma ha anche dedicato un sito su cui fornirà dati, commenti, consigli sul tema della sicurezza e link utili dedicati a tutti gli appassionati di calcio che navigano su Internet a caccia di notizie, biglietti e informazioni riguardanti il torneo.

Il sito si chiama 2010netthreat e sarà un valido aiuto per tutti gli appassionati di calcio, in questo modo eviteranno di accedere a siti fasulli o a truffe ordite per poter impossessarsi di dati importanti.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Botnet Chuck Norris attacca i router

Alcuni ricercatori hanno scoperto una botnet che colpisce i router mal configurati, la botnet è stata chiamata Chuck Norris visto che il suo sviluppatore (un italiano), ha inserito nel codice sorgente la dedica “in nome di Chuck Norris”.

Questa botnet infetta Router e Modem DSL Linux vulnerabili, diffondendo un worm che permette agli aggressori di eseguire comandi da remoto sui sistemi colpiti, scaricare ed eseguire altri malware e il lancio denial-of-service (DOS) attacchi contro altri sistemi.

I Router colpiti sono quelli mal configurati, ovvero che mantengono come accesso quello di default, siccome la botnet risiede nella RAM dei router/modem viene eliminata con un semplice riavvio, quindi cambiare immediatamente la password del vostro router e tenere aggiornato il firmware.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Nuovo pericolo con Internet Explorer

È stata riscontrata una nuova falla che coinvolge il browser Internet Explorer nelle versioni 6, 7, 8 installate sul sistema operativo Xp.

Microsoft è a conoscenza di questo bug, segnalato già da qualche settimana. Il bug consiste in una vulnerabilità che permetterebbe, tramite un sito maligno modificato, l’esecuzione di codice dannoso sul sistema grazie  all'apertura di un pop-up in cui viene richiesto di premere il tasto F1 (per chi non lo sapesse è il metodo per aprire la guida in linea da qualunque applicazione).

Anche se al momento non risultano attacchi in corso, si consiglia di fare attenzione se dovesse apparire eventualmente un pop-up con questa richiesta.

Attualmente la vulnerabilità è in fase di studio e magari potrebbe essere risolta brevemente con gli aggiornamenti consueti attesi per il 9 di questo mese.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Dal 1° marzo si potrà scegliere il browser

Proprio in questi giorni sul web vi sono molte notizie che riportano l'evento relativo al Ballot Screen, ovvero dal 1° marzo ogni utente potrà scegliere con quale browser navigare su Internet anche se avrà comperato il sistema operativo di Microsoft. Infatti precedentemente a questa data, si era obbligati ad usare il browser di default che Microsoft forniva con il sistema operativo ed in seguito, se si voleva, si cercava un prodotto più confacente ai propri gusti.

Ora dopo una sentenza durata anni, si avrà la possibilità di scegliere con quale browser navigare, allego un'immagine di come si presenterà:

Ballot Screen

Come per ogni evento importante potrebbe essere preso di mira dai cybercriminali per installare malware sui computer degli utenti, quindi:

• prestare attenzione alla cura grafica della pagina;
• verificare che l'aggiornamento provenga da Windows Up-date;
• verificare la firma digitale Microsoft;
• il linguaggio utilizzato deve essere quello impostato sul sistema operativo in uso;
• La scelta dei browser vi viene proposta solo una volta al primo riavvio del PC dopo aver installato l'aggiornamento del ballot screen;

Maggiori dettagli sul sito EUROPA, il portale dell'Unione europea.
 
Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Falsa e-mail Facebook con oggetto Update Account Agreement

Sta circolando in questi giorni una falsa e-mail che sembra arrivare dal Facebook Team, ma non è così,  in cui nel messaggio viene comunicato che, a causa di alcune modifiche da apportare al proprio account, è necessario scaricare ed installare il file agreement.exe in allegato alla e-mail, altrimenti l'account di Facebook sarà limitato, vengono anche fornite le istruzioni dettagliate su come farlo.

Falsa email Facebook (Foto PandaLabs)

Se si scaricherà ed aprirà il file, si installerà sul computer il SecurityTool rogue antivirus, che però è un virus.

Il programma inizierà a mostrare messaggi di avviso di infezione fastidiosi, riavvierà il computer, appariranno le fastidiose schermate blu, ed impedirà il normale lavoro del pc infetto.

A darne notizia PandaLabs sul suo Blog, dove sono già stati rilevate 16.000 e-mail false solo nel giorno di lunedì 15 febbraio 2010.

Si ricorda che il Team di Facebook, non invia questo tipo di messaggio sugli aggiornamenti tramite e-mail, perchè lo fa direttamente all'interno della pagina del vostro account di Facebook.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Un worm si diffonde con il P2P, le e-mail e Social Network

Un nuovo malware si sta diffondendo tramite le reti P2P e la posta elettronica, si chiama Skybot.AKB ed è stato scoperto dai laboratori di Panda Security.

Il metodo di diffusione può ricondursi o ad un falso invito per l'uso dei Social Network come Twitter e Hi5, o ad una ingannevole e-mail che sembra arrivare da Google in risposta a una domanda di lavoro.

da Panda Security via Flickr

Il codice maligno si installa sul computer fingendo di essere un estensione di Firefox security.

da Panda Security (estensione)

I messaggi rilevati sono sul tipo:

• Jessica would like to be your friend on hi5;
• You have received A Hallmark E-Card;
• Shipping update for your Amazon.com order 254-71546325-658732;
• Thank you from Google;
• Your friend invited you to twitter.

Dopo essersi installato sul computer, quando l'utente cercherà una parola dell'elenco qui sotto, verrà indirizzato a siti web diversi da quelli che si cercavano. 

Airlines, Amazon, Antivir, Antivirus, Baseball, libri, Casino, Chrome, Cialis, Cigarettes, Comcast, Craigslist, di credito, Incontri, Design, Dottore, Explorer, Fashion, Finanza, Firefox, Flifhts, Flower, Calcio, Gioco d'azzardo, Gifts, Grafica, Salute, Hotel, Assicurazioni, Iphone, Prestiti, Medicale, Militare, Mobile, Money, ipoteche, Cinema, Musica, Myspace, Opera, Pharma, Pocker, Scuola, Software, Sport, Spybot, Spyware, Trading, Tramadol, Viaggi, Twitter, Verizon, Video, Virus, le vocazioni, Sfondi, Weather.

Inoltre il worm al fine di ridurre l’efficacia dell' individuazione, disattiva il servizio dei report di errori di Windows o il servizio utenti per il controllo accessi (UAC) e aggiunge un eccezione al firewall di Windows, così da assicurarsi la possibilità inviare dati.

Via Panda Security.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Schermata blu dopo update Microsoft, è colpa di un rootkit

Dopo l'ultimo aggiornamento Microsoft patch MS10-015, alcuni utenti in possesso del sistema operativo Windows Xp, ma potrebbe presentarsi anche con i sistemi Windows 2000, Windows Vista, Windows Server 2008 e Windows 7 32bit e Windows 7, hanno avuto dei problemi a causa di un crash del sistema che genera una schermata blu che impedisce il riavvio del sistema.

schermata blu dopo patch MS10-015

Dopo la segnalazione di alcune case di sistemi per la sicurezza come Symantec, è stata indentificata la causa che è da imputare ad un Rootkit maligno installato sul computer in oggetto.

Questo rootkit, già segnalato da Dr.Web e Prevx lo scorso novembre, e poco considerato dalle maggiori case di sicurezza,  si sta diffondendo silenziosamente.

Grazie all'ultimo aggiornamento Microsoft è venuto alla luce questo pericoloso malware che pare riesca ad insediarsi e infettare uno specifico driver di sistema e di filtrare l'I/O del disco fisso risultando impossibile per la maggior parte dei software di sicurezza leggere il disco al di sotto di questo meccanismo di filtraggio.

Ma la cosa ancor più sbalorditiva è che gli stessi autori del rootkit chiamato TDL3 o con il nome di TDSS o Tidserv, si sono immediatamente attivati per risolvere il problema dei crash.

Ovviamente non era nei loro progetti sviluppare malware che generasse il crash di sistema, perchè in questo modo è stato messo eccessivamente in luce .

Al momento la distribuzione automatica della patch in oggetto è stata sospesa, e Microsoft sta lavorando per risolvere il problema.

Comunque è possibile grazie a Kaspersky, che ha rilasciato uno strumento gratuito, la rimozione del malware evitando la schermata blu e permettendo la corretta installazione della patch e la risoluzione del problema.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

I malware di gennaio 2010

Ecco una delle liste dei malware che ci hanno maggiormente infastidito nel primo mese di quest'anno.

La classifica, stilata ed elaborata dalla famosa casa di sicurezza Kaspersky Lab, ci porta a conoscenza dll'evolversi della situazione inerente ai malware e virus in circolazione sul web in modo da poter fronteggiare in modo più sicuro la nostra navigazione. Conoscendo, informandosi e soprattutto prevenendo.

Malware individuati nei computer degli utenti

Nella prima tabella troviamo i programmi dannosi e potenzialmente indesiderati che sono stati individuati sui computer degli utenti e neutralizzati al primo contatto.

I primi cinque programmi in classifica mantengono, come ormai da tre mesi, un notevole vantaggio sugli altri.

Tuttavia a Gennaio ci sono state ben 7 new entry, fatto piuttosto insolito. Subito dietro ai cinque leader sono apparsi due script downloader, che per la prima volta appaiono in questa classifica ma erano già presenti in quella dei malware diffusi via Internet.

Tra le novità troviamo ben tre varianti di Trojan.Win32.Autorun. Si tratta di file autorun.inf che si diffondono sulle memorie di massa e i dispositivi mobili tristemente famosi P2P-Worm.Win32.Palevo e Trojan-GameThief.Win32.Magania (per ulteriori informazioni su alcuni rappresentanti di questi malware: Palevo, Magania).

Il linguaggio degli script è AutoIt, del quale abbiamo già parlato in precedenza, è diventato molto popolare: nella Top 20 sono apparsi dal nulla due nuovi rappresentanti di malware sviluppati usando questo linguaggio, Packed.Win32.Krap.l e Worm.Win32.AutoIt.tc.

Malware diffusi via Internet

La seconda tabella descrive la situazione relativa a Internet. In questa classifica si trovano infatti malware individuati su Internet o i cui tentativi di download avvengono attraverso le pagine Web.

La seconda tabella, come in precedenza, è un florilegio di esempi delle opere dei cybercriminali.

Tra le novità troviamo Trojan.JS.Iframe.hw (4œ posto), TrojanDownloader.JS.Agent.ewo (6œ), e Trojan-Downloader.JS.Pegel.c (17œ) , tutti esempi di script downloader dello stesso tipo che ridirigono gli utenti ad altri script di malware che sfruttano le vulnerabilità di diversi prodotti software.

Trojan.JS.Fraud.s, che occupa il 15œ posto, è un altro esempio di modello di pagina Web standard attraverso il quale si diffondono gli pseudo-antivirus.

Le restanti novità sono esempi assortiti di script downloader con cui altri malware infettano i computer degli utenti.

Segnaliamo inoltre che la seconda epidemia di Gumblar si è placata abbastanza in fretta. Ci sarà una terza ondata? Solo il tempo lo dirà.

Nel complesso, il trend non cambia. I malware, come in precedenza, si diffondono attivamente grazie ai dispositivi mobili e alle memorie di massa, inoltre si scaricano e installano grazie agli script downloader e, in gran parte, sfruttano le vulnerabilità dei software più diffusi.

I paesi in cui si riscontra una maggiore quantità di tentativi di infezione via web sono:

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Microsoft aggiornamento gennaio 2010

Come di consuetudine il primo martedì del mese è la giornata dedicata agli aggiornamenti Microsoft; questo è anche il primo dell'anno è sarà costituito da una sola patch.

Visitando il sito Microsoft Security Bulletin Advance Notification si potrà verificare che la vulnerabilità è ritenuta critica solo per i sistemi Windows 2000, bassa per gli altri sistemi.

Microsoft, inoltre, rilascerà una versione aggiornata del Microsoft Windows Malicious Software Removal Tool su Windows Update, Microsoft Update, Windows Server Update Services e il Download Center.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Attenzione alle cartoline digitali natalizie

Tra pochissimi giorni è Natale, e molte persone utilizzano le cartoline elettroniche per mandare gli auguri alle persone care o ad amici.

Purtroppo però, come per ogni evento importante o festività, i cybercriminali ne approffitano per inviare spam e in coincidenza con l’arrivo del nuovo anno useranno e-card contraffatte e pagine web modificate per distribuire malware ed infettare così i computer degli utenti per poi prenderne il controllo.

Gli esperti di G Data hanno catalogato un numero molto elevato di varianti relative a cartoline elettroniche di auguri per Natale e per il nuovo anno.

Ralf Benzmüller, Manager di G Data Security Labs: “Il numero delle e-card di auguri contraffatte non è cambiato in maniera rilevante rispetto all’anno passato, ma come sempre assistiamo a un aumento significativo delle stesse durante il periodo natalizio. I criminali online, infatti, puntano molto su questo mezzo per ottenere risultati dal momento che in questo periodo le persone sono più predisposte a cliccare, magari senza pensarci, su file allegati o link che rimandano a siti web di auguri.

Particolare attenzione al campo “oggetto”

I veri provider di cartoline elettroniche di auguri mettono sempre il nome completo del mittente nell’oggetto della mail. Cartoline di auguri che provengono “da un amico” o “da un vicino di casa” o perfino “da un collega” o da qualsiasi altra fonte anonima dovrebbero essere ignorate e immediatamente cancellate. Errori di battitura e di grammatica nell’oggetto della mail o nel testo stesso sono un altro indizio chiaro della falsità del messaggio.

Cancellare gli allegati e attenzione ai link

In alcune mail la cartoline di auguri si presenta come un semplice file allegato. Queste e-card vanno immediatamente cancellate. I veri provider che offrono questo servizio non mandano mai cartoline di auguri sotto forma di allegato.

Bisognerebbe fare attenzione anche a quelle mail che invitano a cliccare un link e quindi scaricare un file. I siti che possono apparire in questo caso, sebbene ad un primo colpo d’occhio possano sembrare normali, nascondono solitamente del malware che viene scaricato nel computer dell’utente.

Un altro mezzo per infettare i pc di chi riceve una e-card è una richiesta di update del flash player, di vari mp3 player piuttosto che di un particolare codec. Una volta che viene aperta la falsa pagina web di auguri si apre di norma un pop up che invita a scaricare un update per determinati software. In questo caso non bisogna scaricare mai nulla perché gli update software genuini non si presentano via pop up e di norma si scaricano direttamente dal sito Internet del produttore.

Siti infetti di e-card

I rischi di infezione non si nascondono soltanto nelle cartoline inviate via mail. G Data ha scoperto anche un certo numero di siti internet infetti che propongono l’invio di cartoline di auguri. Tramite uno script mascherato presente nel sito il browser viene reindirizzato su un determinato server e quindi il Pc viene infettato con un’infezione di tipo drive-by.

Le conseguenze di un’infezione

In alcuni casi un virus o un cavallo di Troia possono infettare il sistema attraverso uno dei tanti varchi aperti e quindi registrare i dati personali dell’utente.

In altri casi i computer possono essere inseriti all’interno di una botnet e quindi controllati da remoto dai criminali. In questo caso vengono a loro volta spesso utilizzati come mezzo per distribuire altro spam e malware.

Suggerimenti per la sicurezza

-Cancellare le e-card provenienti da mittenti anonimi senza neppure leggerle

-E-card con numerosi errori di battitura o di grammatica vanno cancellate immediatamente

-Cancellare le e-mail che presentano cartoline di auguri sotto forma di allegato

-Non cliccare mai su alcun link presente nelle mail senza prima averne considerato le eventuali conseguenze

-Effettuare l’upload di software solo direttamente dal sito del produttore e non attraverso pop up.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

McAfee ci segnala quali sono i siti più pericolosi

McAfee ha stilato il report annuale in cui vengono segnalati i siti più pericolosi in tutto il mondo.

Quest'anno il dominio più pericoloso è stato il Camerun Africa (. Cm), che ha superato il dominio Hong Kong (.hk) che lo vedeva al primo posto l'anno scorso.

Anche il dominio web commerciale (.com), è balzato dal nono al secondo posto tra i domini più pericolosi, mentre i siti web governativi (.gov) risultano avere il dominio generico più sicuro, il domino che risulta meno pericoloso è invece il Giappone.

“Questo report sottolinea come i cybercriminali siano in grado di modificare velocemente le loro tattiche per mietere più vittime possibili ed evitare di essere scoperti. L’anno scorso, Hong Kong rappresentava il dominio più pericoloso, mentre quest’anno è decisamente più sicuro”,

ha affermato Mike Gallagher, chief technology officer dei McAfee Labs.

“I criminali informatici prendono di mira le nazioni dove la registrazione dei siti è più economica e conveniente e che pongono il minor rischio di essere scoperti”.

Potete trovare il report completo (in inglese) sul sito McAfee, dove è stilata e descritta ampiamente tutta la situazione ed eventuali soluzioni per navigare al sicuro.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.