Panda Security avverte: una vulnerabilità di Adobe Flash viene utilizzata per diffondere il malware

I cyber criminali stanno distribuendo file artigianali .swf (l’estensione di Flash) per sfruttare la nuova vulnerabilità di Adobe Flash in due modi.

In alcuni casi, quando un utente visita una pagina web contenente uno di questi file modificati, il browser legge il codice del file come un comando per scaricare un certo tipo di malware. In altri casi, il codice incluso nel file Flash reindirizza l’utente verso una pagina web infetta progettata, per lanciare nuovi attacchi al sistema e per immettere malware nel computer.

Gli autori hanno progettato i codici con lo scopo di colpire differenti browser. I laboratori di Panda Security hanno già rilevato la diffusione del Trojan Wow.UB, che avviene attraverso questo metodo.

La gamma di codici maligni diffusi con questo procedimento può aumentare notevolmente in poche ore.

“Il file Flash maligno può avere le sembianze di una nuova animazione che gli utenti devono eseguire, o potrebbe essere un’immagine che viene caricata direttamente aprendo la pagina web. In questo modo è difficile sospettare che ci sia un’infezione, poiché la pagina web appare come se fosse legittima”, afferma Luis Corrons, direttore tecnico dei laboratori di Panda Security.

“Il fatto che la vulnerabilità possa essere sfruttata indipendentemente dal browser utilizzato, permette ai cyber criminali di colpire un gran numero di utenti”.

I laboratori di Panda Security consigliano di non aprire file .swf sospetti e di prestare attenzione agli aggiornamenti pubblicati da Adobe per risolvere questo problema.

Maggiori informazioni su Panda Security.

Panda Security: in circolazione il falso windows security center

I laboratori di Panda Security hanno scoperto un nuovo adware, XP-Shield, che si cela sotto le mentite spoglie di Windows Security Center.

Questo tipo di codice maligno, che viene installato dopo l’esecuzione del file XPShieldSetup, crea un shortcut sul desktop e nel menu Start. Il falso Security Center simula un’analisi del computer che avvisa che il sistema è infetto. Per eliminare il malware, viene richiesto agli utenti di acquistare un determinato programma.

Periodicamente, mostra dei popup sullo schermo per ricordare che il PC è stato colpito.

Il programma di fatto non si chiude, ma rimane residente sul sistema.

È possibile che, mentre si visitano diversi siti web, vengano visualizzati alcuni popup che informano che il PC è stato infettato o che non funziona in modo corretto e si consiglia, per risolvere questi problemi, di comprare un programma specifico. È necessario fare attenzione a questo genere di software, che non eliminerà il malware, ma farà perdere solo denaro.

Maggiori informazioni sul sito Panda Security.

Panda Security avverte: gli utenti di YouTube rischiano un attacco phishing

È a rischio anche MySpace. Panda Security evidenzia che numerosi servizi online possono essere colpiti dalle azioni maligne dei cyber criminali.

Come sappiamo, al giorno d’oggi, realizzare un attacco phishing o creare un falso sito web di servizi online è un’attività alla portata di tutti. Non sono, infatti, necessarie elevate capacità o significative risorse finanziarie. Questo genere di attacchi è generalmente collegato solo a fittizi siti web di enti bancari.

Panda Security avvisa, invece, dell’esistenza di kit specifici collegati ad altri servizi online, quali YouTube, MySpace, Gmail, Yahoo, Fotolog, Hi5, etc. che possono essere utilizzati per operazioni di phishing.

Infatti, è possibile trovare informazioni e istruzioni sulle modalità d’uso di questi kit per realizzare attacchi in forum, blog, video online, etc. Inoltre, non solo si possono recuperare le direttive, ma anche i tool stessi, in forma completamente gratuita.

La modalità di azione è simile a quella degli attacchi lanciati contro enti bancari o qualsiasi altro genere di servizio. Utilizzando un tool di mass mailing, un falso messaggio – che finge di essere di un ente reale – viene inviato ad un’estesa lista di indirizzi email.

Al suo interno, contiene un link offuscato dell’URL legittimo che condurrà ad un sito web fittizio, imitazione dell’originale. utenti non sono a conoscenza della frode ed inseriscono i propri dati di login, questi verranno inviati via email al cyber criminale o salvati in un file a sua disposizione.

Gli attacchi di phishing sono in evoluzione e non si nascondono solo in domini simili agli originali. Come riportato nel blog di Dancho Danchev*, è in atto un curioso attacco contro Myspace. In questo caso, il finto sito web è collocato in un profilo del dominio legittimo di Myspace, nel quale il cyber criminale ha inserito un falso login a un servizio di myspace, per ottenere le chiavi di accesso di tutti gli utenti ignari che cercheranno di accedervi per vedere il contenuto del profilo.

Pandasecurity.com

Panda Security: report settimanale sul malware

Il report dei laboratori di Panda Security evidenzia l’attività dei worm Bless.A e VirusRemoval.A e del Trojan Qhost.HU.

Bless.A è un worm che modifica il registro di Windows, cosicché tutte le finestre di Microsoft Internet Explorer avranno il titolo .::Discuss-X SAY MET LEBERAN! [HAPPY LEBERAN ?!], in relazione ad una festività musulmana.

Questo codice crea numerose copie di se stesso sul sistema e genera il file autorun.inf nella root directory di tutti gli hard disk e dei drive condivisi e removibili.

Il worm VirusRemoval.A è progettato per cancellare file associati ad altro malware su tutti i drive removibili del computer e crea il file autorun.inf per eseguirsi automaticamente ogni volta che il drive è connesso. Inoltre, modifica la pagina iniziale di Microsoft Internet Explorer e disabilita l’editor del registro di Windows e le task manager.

Infine, il report segnala il Trojan Qhost.HU che si nasconde dietro una pagina web legittima per cambiare il file Host dei PC che vi accedono. Inoltre, gli utenti che cercheranno di entrare in siti Internet di enti bancari, saranno reindirizzati verso pagine create per frodi online in grado di rubare le loro informazioni personali.

Per distrarre l’utente, il Trojan ridirige il browser su una pagina web che mostra un articolo relativo alla morte di un giornalista, mentre contemporaneamente modifica il sistema di Host file senza che il navigatore se ne renda conto.

Maggiori informazioni sul sito Panda Security

Panda Security avverte: Webmaster, controllate le vostre pagine web

Una vulnerabilità degli Internet Information Server permette ai cyber criminali di introdurre il codice maligno SQL per manipolare le pagine web legali.

I laboratori di Panda Security hanno scoperto che gli hacker stanno effettuando un attacco massiccio, facilitati da una vulnerabilità degli Internet Information Server che permette loro di modificare le pagine web. Il risultato è che gli utenti vengono reindirizzati a siti illegali progettati per installare il malware nei computer.

Negli ultimi giorni questo attacco ha colpito 282.000 pagine web, ma il dato potrebbe crescere drasticamente.

A causa di questo problema di sicurezza, i cyber criminali sono in grado di immettere il codice maligno SQL in tutte le pagine presenti in un server web. Questo codice è progettato per reindirizzare gli utenti delle pagine compromesse verso un sito illegale che analizza il sistema per trovare altre vulnerabilità che possano essere utilizzate per scaricare qualsiasi tipo di malware. La situazione è aggravata dal fatto che la maggior parte delle pagine colpite non mostrano elementi sospetti e sono visitate da un elevato numero di utenti.

Come accorgersi se una pagina web è stata manipolata?

Panda Security consiglia a tutti i webmaster che gestiscono pagine web, che appoggiano ad un Internet Information Server, di controllare al più presto che queste non siano state colpite. La procedura da seguire è semplice, poiché si tratta di cercare uno specifico string code nei codici fonte della pagina, associato ad un tag IFRAME.

Lo string è: script src=http://www.nihaorr1.com/1.js

Se lo si individua, occorre eliminarlo immediatamente e avvisare i responsabili della gestione del server nel quale alloggia la pagina, per permettere loro di applicare le corrispondenti misure di sicurezza.

Dato il gran numero di pagine infettate, molti utenti potrebbero essere stati colpiti da ogni tipo di codice maligno, compresi nuovi esemplari non ancora identificati dalle aziende che si occupano di sicurezza. Per verificare se il sistema è stato compromesso, Panda Security consiglia agli utenti di connettersi a http://www.infectedornot.com ed effettuare la scansione gratuita del PC tramite lo scanner online ActiveScan 2.0, una soluzione di sicurezza che opera basandosi sull’Intelligenza Collettiva ed è in grado di individuare molte più minacce rispetto alle altre.

Maggiori informazioni: Panda Security; codice maligno SQL

Panda Security lancia la versione beta di Panda Security Managed Office Protection per le PMI

È possibile scaricare la soluzione gratuitamente sul sito.

Panda Security annuncia la versione beta di Panda Security Managed Office Protection, una nuova e completa soluzione per le piccole e medie aziende, scaricabile gratuitamente da Pandasecurity.

Secondo i dati di Gartner, azienda leader di ricerche e analisi del settore informatico: “il 95% delle PMI possiede un antivirus installato sui loro network, ma il 72% è infetto”.

Malcolm Skinner, VP Products di Panda Security afferma “la presente soluzione è progettata per risolvere questo problema ed offrire alle aziende una protezione completa, senza la necessità di investire in attrezzature dedicate. È un tool che offre un valore aggiunto ai reseller che vogliono garantire servizi di sicurezza ai propri clienti.

Panda Security Managed Office Protection è dotata di una console di gestione remota via web che permetta una configurazione sicura delle risorse informatiche da qualsiasi PC connesso. Inoltre, consente di assegnare profili distinti all’interno dell’organizzazione e di adottare misure di protezione individuali o settoriali. In questo modo si ottiene una gestione completa della sicurezza, senza l’intervento dell’utente e la necessità di investire in server dedicati, riducendo così il costo totale di proprietà.

Utilizzando questa soluzione, la gestione della sicurezza può essere esternalizzata, diminuendo i costi, in quanto non serve personale specializzato. Inoltre, si riduce l’impatto sulle performance del sistema e il consumo delle risorse, per poterle utilizzare in altre operazioni.

Panda Security Managed Office Protection include anche la protezione contro minacce sconosciute ed un firewall personale gestito che assicura la massima salvaguardia per server e workstation.

Continua Malcolm Skinner “usufruendo dei benefici dell’Intelligenza Collettiva, il nuovo modello di sicurezza di Panda, questa soluzione innovativa garantisce alle PMI i più elevati livelli di protezione, uniti ad una gestione semplice e ad un utilizzo minimo delle risorse.

Maggiori informazioni sul sito Pandasecurity.

Panda Security informa sulla comparsa di MSNworm.IE

La multinazionale Panda Security rende nota la comparsa del MSNworm.IE.

Il worm, che da pochi giorni sta circolando, è davvero semplice da riconoscere in quanto raggiunge i Pc degli utenti attraverso il programma MSN Messanger che contine un file. Questo una volta eseguito mostra un’immagine assai bizzarra.

Questo tipo di worm ha un unico obiettivo, quello di colpire il maggior numero di Pc ed nel beve tempo possibile. Una volta che il worm raggiunge la macchina scarica il Trojan backdoor IRCBot.BWB, disegnato per connettere il computer a diversi server IRC e ricevere comandi in controllo remoto.

Are you Infected or Not? Scansione gratuita su: infectedornot.com

Maggiori infoma su Panda Security; MSNworm.IE

Transazioni online sicure con Panda Security for Internet Transactions

Panda Security, uno dei principali produttori di soluzioni antimalware, annuncia la disponibilità a livello mondiale di Panda Security for Internet Transactions, un servizio antifrode per proteggere banche online, piattaforme di pagamento ed e-commerce dal furto d’identità attraverso attacchi malware targhetizzati. Questo servizio avvisa l’azienda quando è in atto un attacco ed offre gli strumenti per identificare e bloccare gli utenti colpiti, riducendo così la possibilità di frodi online.

Panda Security for Internet Transactions è la risposta di Panda Security all’incremento esponenziale di frodi via web. Oggi, oltre il 40% di nuovi tipi di malware sono creati per realizzare truffe attraverso Internet e, secondo uno studio condotto da Gartner, gli attacchi di phishing nel 2007 hanno causato una perdita circa 3.2 miliardi di dollari solo negli Stati Uniti.

“Questa soluzione consente a banche e ad aziende che offrono servizi online di garantire che le transazioni effettuate sui loro siti web non siano compromesse da alcun codice maligno. In questo modo, sarà possibile controllare il livello di sicurezza dei loro clienti e gestire il rischio legato alle transazioni online. Ciò riduce in maniera sensibile la possibilità che operazioni fraudolente vengano portate a termine”, afferma Malcom Skinner, VP Prodotti di Panda Security. “Questo servizio non avvantaggia solo le aziende, ma anche i loro clienti che avranno la sicurezza che nessuno ruberà i loro dati bancari, password etc.” aggiunge Skinner.

Panda Security for Internet Transactions si basa sui benefici dell’Intelligenza Collettiva, un innovativo modello di sicurezza sviluppato da Panda Security. Questo sistema è basato sulla raccolta di informazioni sul malware provenienti dalla comunità di navigatori e sulla loro elaborazione automatica in un nuovo Data Center creato appositamente per questo scopo. I dati sono raccolti sui server di Panda Security e non sui computer dei clienti, in questo modo l’Intelligenza Collettiva ottimizza la capacità di rilevamento delle soluzioni di Panda, riducendo l’utilizzo della banda ed il consumo di risorse dei clienti.

Tra i numerosi vantaggi offerti da questo servizio sono inclusi:

-Diminuzione di truffe online: Panda Security for Internet Transactions fornisce tutti gli strumenti e le informazioni per bloccare azioni fraudolente. Le aziende saranno immediatamente avvertite ogni volta che un attacco di malware targettizzato avrà come obiettivo uno dei loro clienti e verranno forniti i dettagli necessari per agire in tempo. Le società verranno a conoscenza dei metodi di azione del malware e delle soluzioni per proteggersi. Inoltre, potranno impedire che gli utenti infetti accedano al loro sito web, riducendo le conseguenze della frode.

-Controllo e gestione del rischio nelle transazioni online: è l’unico servizio esistente sul mercato che offre informazioni sullo stato di sicurezza dei clienti (Advanced Customer Device Information) utile alle società per creare profili di rischio. In questo modo il servizio potrà essere configurato per controllare l’accesso alle transazioni, concedendo il permesso solo ai clienti che possiedono determinati requisiti di sicurezza.

-Incremento del business grazie ai miglioramenti del livello di sicurezza: la mancanza di fiducia degli utenti nella sicurezza online è una delle prime ragioni della loro reticenza nell’usare i servizi Web. Questo strumento riduce le frodi online e permette alle aziende di offrire ai propri clienti un ambiente sicuro per svolgere transazioni in Internet.

-Diminuzione dei costi operativi: attualmente, non appena gli utenti scoprono che qualcuno sta realizzando un’azione fraudolenta utilizzando la loro identità, si rivolgono alla banca o alla società coinvolta. Di conseguenza, l’istituto di credito o l’azienda è responsabile per le perdite ed i costi associati (risarcimento, assicurazione, etc) e deve garantire che l’attacco non colpisca altri utenti per evitare nuove vittime.

Inoltre, deve individuare il malware responsabile dell’attacco, scoprire come bloccare i suoi effetti, attuare la strategia ed, infine, calcolare l’impatto che esso ha avuto sui clienti e sul lavoro. Ciò richiede, generalmente, un minimo di 48 ore, tempo sufficiente per fare aumentare in modo considerevole le perdite di denaro. Grazie a Panda Security for Internet Transactions questi costi possono essere ridotti in maniera consistente, bloccando le operazioni fraudolente in tempo reale.

Maggiori informazioni le trovate sul siyo: Panda Security for Internet Transactions

Report settimanale sul Malware di Panda Security

Secondo i dati raccolti dai laboratori di Panda Security, il programma spia Virtumonde è stata la minaccia più attiva della scorsa settimana.

Il worm Bagle.HX e l’adware NaviPromo occupano rispettivamente il secondo e il terzo posto della classifica.

Top 10 TotalScan

1. 
   
   Spyware/Virtumonde
2. 
   
   W32/Bagle.HX.worm
3. 
   
   Adware/NaviPromo
4. 
   
   Adware/Comet
5. 
   
   W32/Bagle.RP.worm
6. 
   
   W32/Puce.E.worm
7. 
   
   Adware/Zango
8. 
   
   Adware/Lop
9. 
   
   W32/Bagle.QV.worm
10. 
    
    Adware/Starware

I dati dimostrano che più del 23% di computer dotati di una soluzione di sicurezza ed oltre il 32% di PC non protetti, sono stati colpiti da malware.

Tra i codici apparsi, i laboratori di Panda Security evidenziano il Trojan QQHelper.Z, l’adware AntispywareMaster ed il worm Rungbu.D.

QQHelper.Z è progettato per scaricare due rootkit sui computer per celare la propria attività e rendere più difficile l’individuazione. Questo Trojan si connette ad una pagina web e realizza una serie di modifiche al sistema, inclusa l’aggiunta di un link nella cartella “Preferiti”.

L’adware AntispywareMaster si finge un programma antispyware per ingannare l’utente ad installarlo ed eseguirlo sul proprio PC. Inoltre, crea accessi diretti nel menu Start e sul Desktop. Quando è eseguito, simula un’analisi del computer in cerca di malware, mostrando un risultato fittizio della rilevazione.

Luis Corrons, direttore tecnico dei laboratori di Panda Security afferma “quando abbiamo analizzato questa minaccia, abbiamo trovato un file contenente informazioni relative alle infezioni da visualizzare. Quindi, questo “antispyware” conosce già i codici maligni che rileverà, prima ancora che abbia iniziato l’analisi del computer! È evidente che si tratti di un programma pericoloso.”

Una volta terminata la verifica, l’utente, se cercherà di eliminare le minacce, verrà condotto ad una pagina web sulla quale potrà acquistare il prodotto.

Il worm Rungbu.D è progettato per copiare se stesso su tutti i drive del sistema. Inoltre, modifica alcune chiavi del registro di Windows per realizzare azioni dannose, come nascondere le estensioni dei file, cambiare le icone di Microsoft Word con altre contenute nel codice del worm ed eseguirsi ogni volta che il sistema viene riavviato.

Maggiori informazioni le potete trovare sul sito Panda Security

Foto erotiche di Britney Spears, Angelina Jolie e Scarlett Johansson sono utilizzate come esca per diffondere il Trojan

Coinvolte anche altre celebrità come Rihanna e Shakira.

Il laboratorio di Panda Security, ha rilevato una serie di junk mail (mail spazzatura) che utilizza fotografie erotiche di personaggi famosi come esca per diffondere il Trojan Agent.IMB.

Queste e-mail sono molto semplici: hanno tutte soggetti come: “naked Shakira clip”, “Rihanna exposed” o “Scarlett Johansson spills boobs” ed includono link con il testo ”Download and Watch”.

Non appena gli utenti cliccheranno sul link verrà scaricata una copia del Trojan Agent.IMB sui loro computer. Questo codice maligno realizza, all’interno del sistema, una copia di sé sotto il nome”CbEvtSvc.exe” e crea una funzione con lo stesso nome per diffondersi ogni qual volta il sistema viene riavviato.

“Questa tecnica di ingegneria sociale non è del tutto nuova, ma considerando il numero di cyber-crook che continua ad utilizzarla, è ancora un valido metodo per far cadere gli utenti nella trappola”, afferma Luis Corrons, direttore tecnico dei Laboratori di Panda Security. “I creatori di malware adoperano lo stesso tipo di e-mail per diffondere diversi esemplari di malware e, per questo motivo, non bisogna sorprendersi se si trova junk mail come questa per distribuire altri codici maligni come Trojan dowloader, Trojan bancari, etc”

Per evitare di cadere vittima di questo genere di attacchi, i laboratori di Panda Security consigliano agli utenti di non aprire nessun messaggio e-mail proveniente da mittenti sconosciuti o di cliccare sui link in essi contenuti .

Maggiori informaazioni sul sito Panda Security.

Report Settimanale sul Malware

Secondo i dati registrati questa settimana sul sito Internet “Infected or Not”, il 21% dei computer protetti da soluzioni antivirus sono stati ugualmente colpiti da malware.

“Le tradizionali soluzioni di sicurezza non sono più in grado di sconfiggere a sufficienza il crescente numero di campioni di malware che compaiono ogni giorno. I software tradizionali necessitano di essere integrati con strumenti di sicurezza online idonei ad aumentare la conoscenza di base e a prevenire i danni provocati da nuovi tipi di malware,” afferma Luis Corrons, Direttore Tecnico dei Laboratori di Panda Security.

L’adware Comet, progettato per mostrare annunci pubblicitari tutte le volte che gli utenti navigano nel web, è il codice maligno che questa settimana ha infettato la maggior quantità di computer. I worm Puce.E e Bagle.RP vengono subito dopo nell’elenco.

Top 10 TotalScan

• 1 Adware/Comet
• 2 W32/Puce.E.worm
• 3 W32/Bagle.RP.worm
• 4 Adware/oneStep
• 5 W32/Archivaruis.A.worm
• 6 Adware/Zango
• 7 Adware/Starware
• 8 W32/Bagle.RP.worm
• 9 Trj/Downloader.SZW
• 10 Adware/SpyAxe

Rispetto alle nuove tendenze del malware che sono comparse, il report settimanale elaborato dai Laboratori di Panda Security ha analizzato anche i Trojan Nakuru.A e Selex.B, ed il worm RenameLoi.A

Quando è installato, il Trojan Nakuru.A, rallenta la connessione Internet dei computer colpiti. Esso, inoltre, modifica la finestra di Intenet Explorer includendo il titolo “Welcome to Your New Home Page”.

Selex.B dall’altra parte, è un Trojan concepito per prelevare le informazioni dal sistema per inviarle al suo creatore; in questo modo, il Trojan ruba dai computer colpiti gli indirizzi email necessari per fare spamming. Per ingannare gli utenti, la prima volta che esso appare, mostra una finestra di dialogo che sembra che stia scaricando un download manager chiamato: “Fastlane Downloader 3.34b”.

Il worm RenameLoi.A, invece, quando viene eseguito per la prima volta, mostra, effettuando un suono, uno schermo Internet con sfondo verde e testo religioso, che si predispone come home page e pagina di ricerca di Internet Explorer, e che compare ogni volta che il PC viene riavviato. Quando il computer è acceso, appare un altro schermo con il testo”[Day of judgment]”. Per diffondersi, questo worm realizza delle copie di sé dai drive removibili sul computer e sul sistema. Inoltre, esso modifica il browser Internet e la pagina di ricerca e porta a termine azioni fastidiose e maligne.

Pe maggiori informazione potete consultare il sito Panda Security.

Report settimanale sul malware

I dati raccolti questa settimana sul sito Infected or Not rivelano che il 25.41% dei PC con soluzione di sicurezza installata è colpito da virus.

“A causa della grande quantità di nuovi malware in circolazione ogni giorno, i laboratori di sicurezza sono saturi e gli antivirus non possono più essere aggiornati in tempo. Per questo motivo i prodotti tradizionali devono essere supportati da tool online in grado di avere accesso ad una vasta base di informazioni e di rilevare un maggior numero di codici maligni”, spiega Luis Corrons, direttore tecnico dei laboratori di Panda Security.

Tra i mille tipi di codici maligni apparsi questa settimana, è da sottolineare il Trojan Bankolimb.AF e il worm Autorun.RS. Quando quest’ultimo viene avviato, scarica due file nel computer progettati per rubare le password dei giochi online.

“L’uso di codici in grado di rubare le password, una caratteristica più spesso associata ai Trojan, è una tendenza in crescita. La ragione è che i worm, diversamente dai Trojan, si possono diffondere da soli, con un vantaggio effettivo per i cyber criminali”, afferma Corrons.

Il furto delle password dei giochi online è motivato dal potenziale ritorno finanziario che ciò può generare. Questi giochi comprendono livelli e punteggi che possono essere raggiunti solo attraverso l’abilità e l’esperienza. Per questo, molti utenti sono disposti a pagare attraverso forum, pagine web, etc… I cyber criminali approfittano subito di questa situazione.

Il Trojan Bankolimb.AF rilascia numerose library sul computer, una delle quali è registrata come BHO (Browser Helper Object). Ciò gli permette di monitorare l’attività in Internet degli utenti, controllando quando accedono alle pagine dei servizi bancari, e di aggiungere campi di form visibili su queste pagine in modo da raccogliere informazioni aggiuntive.

Il Trojan cattura le battiture sulla tastiera per rubare le password inserite. Successivamente, invia le informazioni al suo creatore facendo l’upload del file con i dati al server.

Link: report malware; 25.41% dei PC

Report settimanale sul Malware

Secondo i dati raccolti nell’ultima settimana sul sito Internet “Infected or Not” di Panda Security (www.infectedornot.com), il 26.05% dei PC dotati di una soluzione di sicurezza è stato colpito da codici maligni.

Luis Corrons, direttore tecnico dei laboratori di Panda Security afferma “molti utenti pensano che possedere un antivirus sia sufficiente. Tuttavia, non tutte le soluzioni proteggono allo stesso modo e non sempre garantiscono una difesa totale. Per essere più sicuri, i prodotti tradizionali devono essere implementati con analisi online on demand realizzate da strumenti che offrono una maggiore capacità di rilevazione.

Per quanto riguarda i codici più attivi della scorsa settimana, l’adware Comet, che mostra messaggi pubblicitari durante la navigazione, è primo in classifica. Seguono i worm Bagle.RP e Puce.E, che utilizzano le proprie capacità per diffondersi.

1. Adware Comet
2. Worm Bagle.RP
3. Worm Puce.E
4. Adware Starware
5. Spyware Virtumonde
6. Worm Archivarius.A
7. Worm Bagle.SB
8. Trojan Rebooter.J
9. Worm Bagle.RC
10. Adware SaveNow

In base alle nuove scoperte di questa settimana, i laboratori di Panda Security evidenziano EbayRob.B e WinFake.A.

Il Trojan EbayRob.B è progettato per il furto di dati inseriti in form di siti come eBay, che vengono poi inviti via email agli autori del malware. Inoltre, il codice modificherà il Registro di Windows per catalogarsi come un servizio ed eseguirsi così automaticamente ogni volta che il sistema viene avviato. Modifica i file host per reindirizzare l’accesso a una serie di siti Internet sul PC colpito, per essere in grado di monitorare le visite.

Quando viene eseguito dall’utente, EbayRob.B mostra numerose immagini di automobili.

Winfake.A è un worm che attacca tutti i drive disponibili. Blocca il funzionamento di alcune utility, funzioni (come regedit) o la console di Windows ed il normale utilizzo della clipboard.

Il codice appare sotto le sembianze di un’icona di Microsoft Word chiamata Love. Una volta eseguito, creerà varie copie di se stesso sul sistema, denominate con titoli di canzoni per cercare di invitare l’utente ad aprirle.

Maggiori informazioni sono disponibili sull’Encyclopedia di Panda Security

Report Settimanale sul Malware

Secondo i dati raccolti questa settimana sul sito Internet “Infected or Not” di Panda Security, l’adware NaviPromo è stato il codice più attivo degli ultimi giorni.

L’adware è un tipo di malware che ha come particolarità il lancio di annunci pubblicitari mostrati durante la navigazione. Alcuni, inoltre, spiano l’attività Internet degli utenti. Nella classifica del malware più attivo nella scorsa settimana, sono presenti ben 9 esemplari di questo genere. L’unica eccezione è il programma Virtumonde, che occupa la seconda posizione.

TotalScan Top 10

1. Adware/NaviPromo
2. Spyware/Virtumonde
3. Adware/OnlineAddon
4. Adware/VideoAddon
5. Adware/SecurityError
6. Adware/Zango
7. Adware/Lop
8. Adware/PurityScan
9. Adware/SaveNow
10. Adware/Gator

In base alle nuove tendenze evidenziate questa settimana, i laboratori di Panda Security sottolineano le azioni dei Trojan Keylogger.DB, Banker.KTG, MonaRona.A e del worm FakeDeath.A.

Keylogger.DB è diffuso sfruttando la vulnerabilità di Access, applicazione per database di Microsoft, scoperta di recente da Panda Security (http://pandalabs.pandasecurity.com/archive/New-MS-Access-exploit.aspx). Questo Trojan è progettato per recuperare la battitura della tastiera e memorizzare così alcune informazioni digitate dall’utente in alcune pagine web.

Banker.KTG è diffuso attraverso tecniche di ingegneria sociale. In questo caso, l’esca è un link di collegamento ad un video che si riceve con un messaggio di posta elettronica. Quando si tenta di vederne il contenuto, appare un messaggio di errore nel quale si comunica che poterlo visualizzare è necessario scaricare un codec video. Se si procede, in realtà verrà introdotto sul PC una copia del Trojan Nabload.DCH.

Luis Corrons, direttore tecnico dei laboratori di Panda Security afferma “per evitare che sospetti, una volta che il Trojan sarà scaricato sul computer, condurrà l’utente ad un video di Internet. Inoltre, scaricherà sul sistema una copia del Trojan bancario Banker.KTG”.

Questo codice è progettato per il furto di dati inseriti attraverso tastiere virtuali, uno dei metodi di sicurezza utilizzati da molti siti di enti bancari. Il suo metodo di diffusione ricorda quello di Orkut.AT, che veniva distribuito attraverso la rete sociale Orkut.

Anche il Trojan MonaRona.A utilizza tecniche di ingegneria sociale tramite il download dell’applicazione Unigray. Una volta scaricato, mostra un messaggio di avviso, identificandosi come un virus che è stato creato per protestare contro la violazione dei diritti umani. Il suo obiettivo è di realizzare azioni pericolose, come disattivare il Task Manager o portare a termine i processi di alcune applicazioni.

Inoltre, i laboratori di Panda Security hanno rilevato l’invio di e-mail che annunciano la morte di Fidel Castro per diffondere esemplari del worm FakeDeath.A.

Il messaggio contiene un link ad un presunto video, aperto il quale l’utente sarà infettato. Per cercare di ingannare i navigatori, il codice mostra una falsa notizia sulla morte di Castro. Questo worm scarica molteplici copie di se stesso che si copiano nelle cartelle condivise delle applicazioni P2P e crea una chiave nel Registro di Windows per eseguirsi ogni volta che il sistema viene avviato.

Link: Panda Security

Scoperta una nuova vulnerabilità in Microsoft Access sfruttata per attaccare i PC

I laboratori di Panda Security hanno rilevato una nuova vulnerabilità nel noto software Microsoft Access. Ecco quale falla è stata riscontrata e come veniva utilizzata.

Si tratta di un problema di sicurezza, simile a quello scoperto qualche mese fa, denominato CVE-2007-6026, che colpisce la medesima libreria msjet40.dll, ma in un altro punto.

La situazione è aggravata dal fatto che i cyber-criminali utilizzano queste falle per installare malware silenzioso sui computer. In questo caso, Panda Security ha rilevato che la vulnerabilità è usata per diffondere il pericoloso Trojan Keylogger.DB, progettato per rubare dati confidenziali degli utenti attraverso il recupero della battitura sulla tastiera.

Questa falla di sicurezza è sfruttata attraverso file pericolosi di Access (.mdb), costruiti appositamente, contenenti il codice maligno.

Luis Corrons, direttore tecnico dei laboratori di Panda Security afferma:

“ogni volta che compare una vulnerabilità di questo genere, i cyber-criminali cercano di trarne il maggiore vantaggio. Ci sarà, quindi, la possibilità che vengano diffusi numerosi file di Access che non solo contengono il Trojan, ma anche altri tipi di minacce.”

Per non cadere vittime di questo problema di sicurezza, Panda Security consiglia agli utenti di non aprire file sospetti - ricevuti o scaricati da Internet – e di aggiornare le soluzioni di protezione, soprattutto fino a quando non sarà disponibile una patch per risolvere questa vulnerabilità.

Maggiori informazioni sul sito Panda Security.

I Trojan si confermano come i codici più attivi anche nel mese di Febbraio

I Trojan si confermano come i codici più attivi anche nel mese di Febbraio. Aumentati anche gli attacchi causati da worm in grado di rubare dati confidenziali.

E’ stato rilevato che il 23.70 per cento degli attacchi registrati in febbraio da ActiveScan, lo scanner online di Panda Security, sono stati provocati da Trojan. Il numero delle infezioni generate da questa tipo di codice sembrano, comunque, essersi un po’ ridimensionato negli ultimi mesi, rispetto alla costante crescita rilevata nel 2007.

I worm, tuttavia, sono aumentati per il secondo mese consecutivo dal 15 al 17.60 per cento, mentre gli adware mantengono stabile la loro percentuale (pari al 20,71 degli attacchi riscontrati in febbraio). “Il grande boom di worm è il risultato dell’aumento delle loro capacità. Infatti, fino a poco tempo fa, la maggior parte di questi codici erano progettati solo per diffondersi da un computer all’altro. Negli ultimi mesi, invece, si è verificato un forte incremento di esemplari capaci di rubare dati sensibili, attività che in passato era riconducibile solo a Trojan e spyware.

Questo processo di ibridazione rende molto più difficile classificare i tipi di malware in una categoria piuttosto che in un’altra”, afferma Luis Corrons, direttore tecnico dei laboratori di Panda Security.

Per quanto riguarda i codici maligni più attivi in febbraio, in vetta alla classifica troviamo il Trojan Downloader.MDW, progettato per scaricare altri esemplari di malware sul computer colpito. Secondo il worm Bagle.RC, mentre il worm Lineage.GXD, creato per colpire gli utenti del gioco online Lineage, è al terzo.

[Tipo - Nome]

• Troyan - Downloader.MDW
• Worm - Bagle.RC.
• Worm - Lineage.GXD.
• Worm - Bagle.RP.
• Worm - Lineage.HJT.
• Worm - Perlovga.A.
• Worm - Bagle.HX.
• Worm - Lineage.HIC.
• Worm - Puce.E.
• Worm - Lineage.HJB.

“Come si può notare, la maggior parte di malware attivo rilevato in questo mese è rappresentato da worm. I dati raccolti confermano l’aumento di attacchi provocati da questo tipo di codici” afferma Corrons.

Maggiori informazioni sul sito Panda Security.

Report Settimanale sul Malware

Secondo i dati raccolti questa settimana sul sito Internet “Infected or Not” di Panda Security (www.infectedornot.com), il 27.82 per cento dei computer protetti da soluzioni antivirus sono comunque colpiti dal malware.

“Ciò è dovuto al fatto che ogni giorno compaiono alcune centinaia di nuovi tipi di malware e i software tradizionali di sicurezza non sono in grado di proteggere gli utenti in modo efficace. Questa nuova emergenza richiede un approccio innovativo, come TotalScan di Panda Security , una soluzione online che può rilevare semplicemente e con rapidità quasi tre milioni di differenti esemplari di malware, grazie al proprio accesso ad una base di conoscenza molto elevata ”,

afferma Luis Corrons, direttore tecnico dei Laboratori di Panda Security.

Questa settimana rispetto ai codici maligni più dannosi, in vetta alla classifica si trova Virtumonde spyware, seguito da due varianti del worm Bagle.

TotalScan Top 10

1. Spyware/Virtumonde
2. W32/Bagle.HX.worm
3. W32/Bagle.RC.worm
4. W32/Autorun.PX.worm
5. W32/Puce.E.worm
6. Adware/Comet
7. Adware/Zango
8. Adware/SaveNow
9. W32/Bagle.RP.worm
10. Adware/CWF

In base alle nuove tendenze evidenziate questa settimana, i laboratori di Panda Security sottolineano le azioni del Trojan Banetmex.A e dei worm Xorer.O e Archivarius.A

Il Trojan Banetmex.A è progettato per inviare messaggi di phishing agli indirizzi e-mail in modo da rubare i dati confidenziali degli utenti dai computer colpiti. Questo trojan, sottrae anche informazioni sensibili per accedere a determinate organizzazioni, reindirizzando gli utenti colpiti verso pagine false che assomigliano a pagine originali di alcune banche. I dati riservati inseriti vengono inviati ai cyber-crook. Inoltre, Banetmex.A scarica il Trojan backdoor Sdbot.LQZ da una determinata pagina web.

Il malware appartenete a questa famiglia è progettato per bloccare programmi di sicurezza informatica e controllare a distanza il PC colpito.

Il worm Xorer.O crea una copia di se stesso nella root directory di tutti i driver. Scarica anche una serie di file nel sistema e si connette alle pagine web per fare il download di alcuni file maligni, incluso un suo aggiornamento. Tra questi file si trova il Trojan alg.exe, progettato per agire come un router e monitorare il traffico del network, ciò permette di introdurre un piccolo codice HTML nelle pagine visitate dall’utente. Il codice mostra una piccola cornice che assomiglia ad una finestra di dialogo, con annunci pubblicitari messi a caso, situata nel fondo destro della pagina. “Società immorali pagano i cyber-criminali per mostrare le loro inserzioni in questo modo. Di conseguenza, gli ideatori di malware guadagnano dalle loro azioni.”, afferma Luis Corrons, direttore tecnico dei Laboratori di Panda Security. Xorer.O usa un rootkit per nascondere tutti i file scaricati o immessi nel sistema.

Il worm Archivarius.A, dall’altra parte, si diffonde attraverso i network P2P. Per fare ciò, riproduce una sua copia nella cartella “I miei Download”, attribuendo centinaia di nomi diversi ai programma IT, giochi, codecs, etc. In questo modo, quando gli utenti proveranno a scaricare uno dei programmi, una copia del worm verrà introdotta nel computer e si attiverà una volta che il programma entra in funzione.

Maggiori informazioni sul sito Panda Security.

Panda Security partecipa al ”e–crime congress 2008”

Luis Corrons, direttore tecnico dei Laboratori di Panda Security specializzati nell’analisi e nel rilevamento del malware, prenderà parte alla sesta edizione del ”e – crime congress”, un evento internazionale che si terrà a Londra il 5 e il 6 marzo 2008.

In questa occasione, Corrons illustrerà l’attuale situazione del cyber crimine e descriverà le nuove tendenze del malware.

“La mia presentazione comprenderà esempi reali di cyber – crime avvenuti negli ultimi mesi e i loro effetti. Esaminerò anche le minacce che aumenteranno durante l’anno e quelle che gli utenti e le società dovranno affrontare, come pagine web pericolose, attacchi targhettizzati e l’uso crescente di reti di bot”,

spiega Corrons.

L’evento di quest’anno si focalizzerà su una gestione efficace dei rischi associata agli attacchi web – based sempre più sofisticati che colpiscono gli utenti domestici, i network aziendali e le infrastrutture. Descriverà il modo in cui le società dovrebbero prepararsi per affrontare le minacce emergenti ed esistenti (Trojan, reti di bot, spyware, phising e pharming automatizzati, etc.), per prevenire le frodi online e salvaguardare la reputazione aziendale, aiutandole a capire l’impatto della perdita dei dati e i modi nei quali queste minacce possono essere evitate.

Le sessioni e i seminari educativi tenuti da professionisti ed esperti internazionali, insieme alle analisi obiettive effettuate dai fornitori leader di servizi, tra i quali Panda Security, si focalizzeranno sulle più recenti metodologie e soluzioni che possono essere applicate dalle società e dalle organizzazioni per fermare il crimine informatico.

Per maggiori informazioni sull’evento

Gli hacker provano le loro “creazioni” prima di diffonderle

I cyber criminali si consultano in Rete. Obiettivo: ispirarsi ai metodi di analisi delle soluzioni di sicurezza per diffondere il malware con successo.

Da un’indagine realizzata dai laboratori di Panda Security è emerso che i cyber criminali stanno sviluppando degli strumenti per provare il funzionamento del malware da loro creato prima di diffonderlo. L’analisi ha dimostrato che i criminali della Rete stanno collaborando tra di loro, consultandosi in forum e pagine web, per realizzare dei metodi di analisi che replicano quelli utilizzati dalle soluzioni di sicurezza. L’obiettivo è quello di verficare che, al momento della diffusione, non esita nessun prodotto capace di rilevare il malware, evitando così l’insuccesso.

Come spiega Luis Corrons, direttore tecnico dei Laboratori di Panda Security:

E’ una tipologia di strumento molto simile a quella legale chiamata “VirusTotal”, sviluppata da Hispasec. Di fatto l’aumento di interesse su questo tipo di tool coincide con la possibilità di eliminare l’opzione “non distribuire”, che consente di analizzare un file, senza inviare il r isultato della scansione alle compagnie produttrici di soluzioni di sicurezza.

Lo sviluppo di questi metodi è in linea con la nuova dinamica del malware: i cyber criminali non puntano più a creare grandi epidemie e a diventare famosi, ma a passare inosservati. Per questa ragione, cercano di provare che le loro soluzioni non possono essere rilevate da nessuna compagnia prima della diffusione.

Aggiunge Corrons:

anche se il malware creato può essere scoperto da una o due aziende di sicurezza, gli hacker possono decidere di diffonderlo ugualmente, sapendo di colpire quegli utenti che usano tecnologie di protezione differenti”.

Maggiori informazioni su questo tema si possono trovare sul BLOG dei Laboratori di Panda Security.

Essendo un comunicato stampa vengono riportati i dati come sono stati scritti, anche se, come sempre, vengono confuse le due parole: hacker e cracker.

Report settimanale sul malware di Panda Security

Questa settimana i Laboratori di Panda Security analizzano il trojan Percoban.A e i virus Manclick.A e Dung.A

Percoban.A raggiunge il sistema sotto forma di un file Word. Una volta eseguito, realizza una copia di se stesso con nomi tipo Rahasiamu.exe o Jangan Dibuka.exe. e crea un’entrata nel registro di Windows in modo da funzionare ad ogni inizio di sessione. Inoltre, disabilita l’editor del registro e nasconde l’opzione di ricerca del menu di avvio.

Manclick.A è un worm che colpisce il computer con le sembianze di una cartella di Windows e, una volta eseguito, si presenta come la pagina di ricerca Google, simile a quella originale. Se l’utente compie una ricerca, i risultati potrebbero indirizzarlo a siti web maligni dai quali verrà scaricato malware o altre azioni maligne.
Questo virus realizza molte copie di se stesso nel sistema e modifica due entrate del registro per entrare in funzione ad ogni riavvio. Inoltre, cancella alcune entrate del registro di Windows per impedire che il sistema si possa avviare utilizzando i modi sicuri esistenti.

Dung.A è un worm che si comporta come il precedente e raggiungendo con un’icona di una cartella di Windows. Questo codice maligno apre un varco aleatorio del sistema e rimane in attesa di ricevere ordini. Crea copie di se stesso e modifica due entrate del registro di Windows per avviarsi ad ogni inizio di sessione.

Maggiori informazioni su Panda Security.