Attenzione ai vostri dati bancari con Firefox

Questa volta tocca a Firefox, la segnalazione è arrivata dai ricercatori di BitDefender  un malware attacca il famoso browser.

Il nome è Trojan.PWS.ChromeInject.A e si camuffa da add-on installandosi nella cartella add-on di Firefox, ha spiegato Viorel Canja, responsabile dei BitDefender Lab, e si attiva all'avvio di Firefox.

Come funzione questo malware? Il malware si registra in Firefox fingendo di essere Greasemonkey, un add-on che serve ad aggiungere funzioni mediante script JavaScript alle pagine Web visualizzate con Firefox, e con lo script JavaScript scansiona e identifica più di un centinaio di servizi di Internet banking; alcuni esempi sono:

Barclays, Wachovia, Paypal e Bank of America, banche italiane e servizi finanziari come Poste Italiane, Banca Intesa, Credem, Cariparma, Banca Intesa,, Popolare di Sondrio, Banca Mediolanum, Fineco, Carige e molte altre.

Sul sito BitDefender  l'elenco delle banche a rischio.

Quando lo script riconosce un sito Web, cattura login e password e invia queste informazioni a un server in Russia.

Gli utenti possono comunque evitare l'infezione limitandosi a scaricare software firmato e autenticato.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

Ti scrivono McDonald's o Coca Cola, attenzione sono false e-mail

Attenzione, potreste ricevere un'e-mail che sotto le mentite spoglie di Coca Cola e McDonald's, vi comunica di una promozione per un buono vacanza.

Né dà comunicazione Websense, segnalando di aver individuato questo un nuovo attacco, che sfrutta la popolarità di due noti marchi internazionali.

Il comunicato:

"Circolano false email che apparentemente sembrano provenire da McDonald's e Coca Cola e che invitano l'ignara vittima a scaricare il file allegato alle email per approfittare di una promozione natalizia. In realtà, i file allegati in entrambe le email sono trojan che scaricano a loro volta file maligni sul pc".

Ecco come si mostrano le e-mail:

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

Win32/Meredrop da Lenovo

La pericolosità dei malware è sempre più difficile da contrastare; più si studiano metodi per evitarli e più facilmente vengono elaborati sistemi e strategie per attaccare in ogni modo l'utente.

I mezzi di infezione oggi possono essere in ogni luogo è quindi sempre opportuno tenere gli occhi ben aperti.

Questa volta è stata colpita Lenovo, società internazionale di tecnologie innovative nata dall'acquisizione da parte di Lenovo Group della IBM Personal Computing Division (PCD).

Un software, utilizzato per installare l'accesso di sicurezza (conosciuta anche come chiave di Lenovo Insider) era infetta da un Trojan di nome Win32/Meredrop, noto per diffondersi in maniera molto rapida e invasiva. Il virus si diffonde anche rapidamente tramite USB.

Lenovo ha rimosso velocemente il file pericoloso dal suo sito web, ma il rischio di aver causato molte infezioni è elevato.

Purtroppo sovente si pensa che, frequentando un sito affidabile o prelevando software da compagnie attendibili, non vi siano pericoli, io penso invece che i criminali pensino proprio a loro come primo posto per diffondere malware, vedasi gli attacchi a Google o Facebook e tutto ciò che è o diviene famoso.

Sempre attenzione a tutto!!!

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

I pericoli dell' SMS

Chi utilizza il cellulare, ma oramai sono servizi fruibili anche tramite il web, è soggetto all'uso dell' SMS.

Purtroppo, come ogni cosa che ha successo nel mondo della tecnologia, viene utilizzato dai criminali per creare danni, o invadere la privacy altrui.

Sono di recente venuti a galla alcuni rischi, il primo di cui vi parlo è legato alla privacy; infatti la Polizia Postali di Napoli, è stata subissata da allarmi inerenti ad una nuova tecnica utilizzata per spiare le conversazioni tra gli utenti dei cellulari.

Questo metodo, illegale, di intercettazione avviene tramite l'invio si un SMS contente un virus che si installa nella memoria del vostro telefonino. È sufficiente aprirlo per avviare la procedura di download ed il trojan si installa nella memoria del cellulare.

Questo software sembra sia stato sviluppato proprio per il sistema operativo mobile Symbian, e permette di visualizzare ogni tipo di SMS ricevuto ed inviato dall’apparecchio, di intercettare e ascoltare le telefonate vocali che vengono effettuate, oltre a copiare la rubrica telefonica.

L'operazione della Polizia Postale di Napoli, chiamata "Operazione Polifemo" nelle vesti del Vice questore Domenico Foglia suggerisce di non aprire e scaricare SMS "provenienti da sconosciuti", di disabilitare la funzione Bluetooth quando non viene utilizzata e di non conservare in memoria messaggi provenienti da numeri sconosciuti, ma cancellarli immediatamente. .

Anche il Garante della privacy ha aperto un'inchiesta a proposito.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

Nuovo rischio malware su Facebook

Sempre in tema di sicurezza ora parliamo del nuovo virus che circola su Facebook, (famosissimo social network).

Il metodo di contagio consiste nell'arrivo di una richiesta di invito ad essere aggiunto alla propria lista di amici. La pericolosità è in un allegato zip che permetterebbe di vedere la foto del nuovo amico, ma l' allegato è in realtà un Trojan.

Il rischio è elevato in quanto il falso messaggio di Facebook, è stato un inserito un form per il login al sito che effettivamente permette di accedere alle pagine ufficiali di Facebook.

Maggiori informazioni si possono trovare sul sito Websense.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

Trojan Patched_c.YL nessuna paura è un falso positivo

Per tutti i possessori dell'Antivirus Avg, è un periodo difficile.

Qualche giorno fa era impossibile aggiornare il famosissimo antivirus perché veniva segnalato un errore (file .bin mancante).

comunque risolto.

Oggi invece è stato rilasciato un'aggiornamento di DB di virus che conteneva il rilevamento erroneo del file di sistema aaaamon.dll come infetto da Trojan Patched_c.YL . È un Falso Positivo.

Il suggerimento proposto al sito AVG è questo:

Se AVG ha spostato il file in quarantena, ripristinare il file in questo modo:

1. Aprire l'interfaccia di AVG
2. Selezionare dal menù "Cronologia" -> " Quarantena virus"
3. Selezionare il file aaaamon.dll e premere il pulsante in calce

Se il file è stato cancellato:

1. Scaricare il file

http://www.avg.it/download/tools/aaaamon.zip
2. Estrarre il contenuto del file in C:\Windows\System32\

La correzione verrà rilasciata il più presto possibile.

Falsi messaggi di posta, firmati UPS, diffondono il Trojan Agent.JEN

I laboratori di Panda Security hanno rilevato numerose email utilizzate per diffondere il Trojan Agent.JEN.

Questi messaggi fingono di provenire dalla compagnia di spedizioni UPS (United Parcel Service) ed hanno nell’oggetto frasi come“UPS packet N3621583925”. Il testo avvisa gli utenti che non è stato possibile recapitare un pacchetto postale a loro destinato ed invita a stampare una copia della fattura allegata.

Questa fattura è inclusa in un file formato “.zip” che contiene un file eseguibile, in apparenza un documento Word, con un nome come “UPS_invoice”. Se l’utente esegue questo file, introdurrà una copia del Trojan sul proprio computer.

Questo codice maligno riproduce se stesso sul sistema, sostituendo il file Userinit.exe di Windows. Inoltre, esegue il browser di Internet Explorer, l’interfaccia del sistema ed altri processi fondamentali. Per far sì che il PC continui ad operare ed evitare che l’utente si accorga dell’infezione, Agent.JEN copia il file di sistema in un altro luogo, sotto il nome di userini.exe.

Luis Corrons, direttore tecnico dei laboratori di Panda Security afferma “questi sforzi per agire di nascosto sono collegati alla nuova dinamica del malware. I cyber criminali non sono più interessati a fama e notorietà, bensì a ritorni finanziari ottenuti senza farsi scoprire. “

Infine, Agent.JEN si connette ad un dominio russo (già usato da un altro Trojan bancario) sfruttato per inviare una richiesta a un dominio tedesco per scaricare un rootkit, Rootkit/Agent.JEP e un adware, Adware/AntivirusXP2008, rilevati da Panda Security. Ciò aumenta maggiormente il rischio di essere colpiti.

Continua Corrons “abbiamo visto cyber criminali che utilizzano foto erotiche, cartoline romantiche o di Natale, finti trailer di film etc.,. come esca per ingannare gli utenti ad eseguire i file infetti. Non è, invece, molto comune l’uso di falsi messaggi di UPS. Tutto ciò indica che gli autori del malware stanno cercando di sfruttare metodi che non creino sospetti per diffondere le proprie creazioni.”

Maggiori informazioni sono disponibili sui blog di Panda Security.

Panda Security; UPS; Trojan Agent.JEN

È scoppiata la III guerra mondiale? No, è il solito malware

È stata individuata un e-mail che ci avvisa che è scoppiata la terza guerra mondiale per mezzo delle forze armate americane che hanno invaso l'Iran.

Il messaggio all'interno dell e-mail

"Proprio ora US Army's Delta Force e US Air Force hanno invaso l'Iran. Approximately 20000 soldiers crossed the border into Iran and broke down the Iran’s Army resistance. Circa 20000 soldati attraversato la frontiera in Iran e ha rotto il Iran's Army resistenza. The video made by US soldier was received today morning. Il video da soldato statunitense è stato ricevuto oggi mattina. Click on the video to see first minutes of the beginning of the World War III. Fare clic sul video per vedere prima di minuti l'inizio del III guerra mondiale. God save us. ” Dio ci salva ".

e troviamo anche il link a un sito dove potremmo accertarci di ciò che accade tramite un video.

In realtà, cliccando su questo video viene scaricato un trojan, e ci ritroveremmo il nostro computer infettato.

Sempre più subdoli i sistemi per danneggiare i computer e la vita altrui, facendo leva sui sentimenti emozionali delle persone, perché ragionandoci un secondo si arriverebbe alla conclusione che forse un notiziario lo avrebbe comunicato, invece i criminali contato sul fattore emotivo sorpresa dell'utente che incautamente apre l'e-mail dannosa.

Valgono sempre i soliti consigli, non aprite mai le e-mail di sconosciuti, utilizzate un buon anti spam ed eventualmente segnalate all'abuse.

Argomenti correlati:

• Gli insulti spam via e-mail
• Un po' di spam nella mia posta elettronica
• ANCORK DEVELOPMENT Offre lavoro interessante. Attenzione
• E-mail: virus spam e altri pericoli

Panda Security: I Trojan rappresentano più del 60% del malware rilevato nel secondo trimestre del 2008

Il report trimestrale di Panda Security dimostra che oltre il 63% dei codici rilevati da aprile a giugno di quest’anno sono Trojan. Seguono gli adware, con il 22.40%.

Luis Corrons, direttore tecnico dei laboratori di Panda Security afferma “nella situazione attuale, è strano che un solo Trojan colpisca un vasto numero di computer, in quanto potrebbe attirare l’attenzione e non rispondere alle esigenze dei cyber criminali. Per questo motivo, sono stati creati diverse varianti targettizzate che attaccano utenti di un servizio o di una utility specifici, invece di diffondere massicciamente un singolo codice. Questa è la spiegazione del perché i Trojan sono il tipo di malware più rilevato. ”

Analizzando i livelli di infezione verificatisi, il worm Bagle.RP è stato il codice che creato più danni, seguito da Puce.E e Bagle.SP, anch’essi della stessa specie.

I Trojan sono stati anche i responsabili del maggior numero di infezioni nel 2° trimestre di quest’anno, con il 28.7%, seguiti dagli adware, con il 22.03% - che nei tre mesi iniziali del 2008 erano, invece, al primo posto – e dai worm con il 13.52%.

Continua Corrons “i Trojan sono responsabili degli attacchi che sono stati effettuati con migliaia di varianti diverse. I worm, al contrario, operano in maniera differente e probabilmente un solo esemplare può essere la causa di decine di migliaia di infezioni. È per questo che in termini di singoli esemplari di codici maligni i worm sono i più frequenti.”

Trojan bancari

Tra tutti i tipi di Trojan in circolazione, quelli progettati per colpire banche online, piattaforme di pagamento, etc. sono i più pericolosi e vengono denominati Trojan bancari.

Secondo il report di Panda Security, Sinowal, Banbra e Bancos sono le famiglie di Trojan bancari più attive. Anche le altre, Dumador, SpyForms, Bandiv, PowerGrabber e Bankpatch hanno numerose varianti, mentre si è verificato un calo di attività nelle famiglie Briz, Snatch e Nuklus.“

Questo tipo di malware sta causando serie perdite agli utenti di tutto il mondo, considerando che l’utilizzo di servizi bancari online è in forte aumento. Nel 2006, solo negli Stati Uniti, 44 milioni di persone hanno usato questi servizi. Questo presuppone un enorme numero di vittime potenziali per i cyber criminali. Se venissero rubati anche solo 100 dollari all’uno per cento di essi, si arriverebbe a una cifra di 44 milioni di dollari, una somma davvero stimabile. La realtà potrebbe anche essere peggiore” conclude Corrons.

È possibile scaricare il report da http://www.pandalabs.com

Un trojan anche per i router Adsl

Sempre in tema di malware, oggi vi segnalo un trojan che attacca il modem per l'Adsl, segnalato da TrustedSource.

Si chiama DnsChanger, questo infido malware modifica le impostazioni del nostro router/modem. In pratica cambia le impostazioni dei DNS (Domain Name System o Sistema dei Nomi di Dominio), ovvero i server che trasformano nomi host in indirizzi IP e viceversa.

Cosa fa questo malware? Incanala il traffico Internet verso un server ucraino, dirottando il navigatore verso siti contenenti malware o pagine infette da phishing, ingannando l'utente che pensa di navigare sul sito cercato ed invece si trova su una copia artefatta creata appositamente per truffare.

Gli utenti che rischiano di essere infettati sono coloro che non hanno mai cambiato le impostazioni di default dei propri router/modem. Un tipico segno d'infezione con DNSChanger è l'indirizzo IP gamma (85,255 .*.*).

Si possono controllare anche le impostazioni del Registro di sistema, il percorso è il seguente: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters.

Per non rischiare di essere colpiti, è sufficiente cambiare user e password di accesso che per quanto possa risultare banale per molti può tornare utile nei casi di utenti con poca esperienza che non hanno ancora effettuato le modifiche.

Argomenti correlati:

• Scoperta l’applicazione per la creazione del malware Constructor/Wormer
• Imponente attacco di cybercriminali contro migliaia di siti Web
• Scarichi l'antivirus e ti installi il virus
• Ecco i virus più curiosi del 2007
• Google fornisce agli utenti un form per segnalare siti infetti

Panda Security: report settimanale sul malware

Il report dei laboratori di Panda Security evidenzia l’attività dei worm Bless.A e VirusRemoval.A e del Trojan Qhost.HU.

Bless.A è un worm che modifica il registro di Windows, cosicché tutte le finestre di Microsoft Internet Explorer avranno il titolo .::Discuss-X SAY MET LEBERAN! [HAPPY LEBERAN ?!], in relazione ad una festività musulmana.

Questo codice crea numerose copie di se stesso sul sistema e genera il file autorun.inf nella root directory di tutti gli hard disk e dei drive condivisi e removibili.

Il worm VirusRemoval.A è progettato per cancellare file associati ad altro malware su tutti i drive removibili del computer e crea il file autorun.inf per eseguirsi automaticamente ogni volta che il drive è connesso. Inoltre, modifica la pagina iniziale di Microsoft Internet Explorer e disabilita l’editor del registro di Windows e le task manager.

Infine, il report segnala il Trojan Qhost.HU che si nasconde dietro una pagina web legittima per cambiare il file Host dei PC che vi accedono. Inoltre, gli utenti che cercheranno di entrare in siti Internet di enti bancari, saranno reindirizzati verso pagine create per frodi online in grado di rubare le loro informazioni personali.

Per distrarre l’utente, il Trojan ridirige il browser su una pagina web che mostra un articolo relativo alla morte di un giornalista, mentre contemporaneamente modifica il sistema di Host file senza che il navigatore se ne renda conto.

Maggiori informazioni sul sito Panda Security

G DATA - Cybercrime: ecco i trucchi dei ladri di dati

I criminali utilizzano nuove tattiche per trovare e sottrarre dati.

Ogni anno i cybercriminali causano danni per miliardi di euro grazie al furto, la vendita e l’abuso di dati rubati. Vi sono differenti strategie per impadronirsi di specifiche informazioni o rubare identità online complete ad ignare vittime. Le classiche e-mail di phising fanno ormai parte del repertorio standard di questi criminali. Secondo Ralf Benzmüller, responsabile di G DATA Security Labs, il pharming e il crimeware sono le alternative di maggior successo utilizzate dagli esperti di frodi informatiche. Nel suo Wallpaper di prossima pubblicazione intitolato “Le nuove forme del furto di dati”, l’esperto di G DATA conduce un’approfondita analisi dei trucchi e delle tattiche dei cyber criminali.

Per molte associazioni criminose il furto e la vendita di dati rappresenta il modello di business in grado di garantire il maggior profitto possibile. Questi criminali sono attivi ormai da molti anni ed i membri di quella che potremmo definire la “Cybercrime Generation” hanno da tempo smesso di concentrarsi unicamente sul furto di dati bancari online.

"Molti utenti sottostimano ancora il valore dei loro dati personali. Da un punto di vista generale non c’è virtualmente nessuna applicazione che non possa essere utilizzata e trasformata in denaro sonante. I prezzi sono estremamente variabili e dipendono più che altro dalla qualità dei dati. I pacchetti che contengono centinaia di Mbyte di dati misti, non filtrati o classificati, per esempio, possono essere acquistati per circa 60 euro al mercato nero. Tra questi si possono trovare dati degli account e-mail, dettagli sui pagamenti tramite Paypal o informazioni sull’online banking”, ha dichiarato Ralf Benzmüller, Responsabile di G DATA Security Labs.

In questi ultimi tempi abbiamo notato i maggiori cambiamenti nei trucchi utilizzati dai ladri di dati. Le tradizionali mail di phising sono soltanto uno degli espedienti usati dai criminali per ingannare le vittime e indurle ad accedere a determinate pagine web.“Digitare correttamente un indirizzo internet non è garanzia totale di accedere al sito che volevamo in effetti visitare. I ladri di dati, infatti, sono in grado di dirottare le loro vittime su pagine web fasulle penetrando nei server DNS o utilizzando speciale malware su computer infetti. Perfino gli esperti potrebbero essere tratti in inganno. I dati inseriti in questi siti vengono poi automaticamente inviati ai criminali”, ha dichiarato Ralf Benzmüller.

Crimeware – L’arma più efficace dei criminali.

La diffusione di un gran numero di meccanismi e software di protezione, unita ad una progressiva educazione dell’utente sul pericolo insito nella mail di phising ha indotto I criminali online ad adottare nuove tattiche. Al giorno d’oggi la maggior parte degli attacchi di phising fa leva sui Trojan, Questi particolari programmi sono spesso “usa e getta”, ossia pensati per essere utilizzati una volta sola e poi autodistruggersi dopo aver trasmesso con successo i dati rubati.

I malware più intelligenti come le diverse varianti di Bancos o Nurech sono in grado di manipolare il contenuto dei siti digitati ed inserire i propri campi di richiesta dati se non addirittura intere pagine web. I dati così inseriti vengono poi inviati sia ai server autentici che a quelli dei criminali. In questo modo la truffa viene perpetrata in modo tale che la vittima non si accorga di nulla se non dopo che del denaro venga effettivamente prelevato dal suo conto.

Educazione e protezione.

L’adozione di un’efficace suite di sicurezza che combini antivirus, antiphising, firewall e protezione dallo spam, dovrebbe essere obbligatoria per gli utenti. Secondo una ricerca condotta da G DATA a Febbraio 2008 quasi la metà di tutti gli utenti Pc navigano in Internet privi di adeguata protezione, diventando così facile preda per i lati di dati.

Prendere sotto gamba il problema della sicurezza dei dati e una mancata conoscenza delle strategie adottate dai criminali online consente ai membri della cosiddetta “e-crime society” di continuare a fare i propri sporchi affari con una certa tranquillità.

Crimeware Top Five:

Ogni giorno compaiono nuove varianti di malware capace di rubare dati.

Questa è una lista dei più comuni:

• OnLineGames - 31.2 % - Cerca password per I giochi online e poi le invia poi ai criminali

• Magania - 19.1% - Ruba I dati di login dei giochi online del produttore Taiwanese Gamania


• Banker - 9.9% - Intercetta tutti I dati personali inseriti quando si accede alle pagine internet per fare operazioni bancarie online


• Ldpinch - 7.4% - Cerca e ruba password nelle impostazioni dei più comuni browser come pure nei client e-mail, programme di istant messaging, Ftp o dialer. In aggiunta installa un backdoor e altro malware


• Zbot - 2.6%- Ruba I dati dei moduli compilati per l’online banking e la Protected Storage area

Link: Sito Ufficiale G DATA

Foto erotiche di Britney Spears, Angelina Jolie e Scarlett Johansson sono utilizzate come esca per diffondere il Trojan

Coinvolte anche altre celebrità come Rihanna e Shakira.

Il laboratorio di Panda Security, ha rilevato una serie di junk mail (mail spazzatura) che utilizza fotografie erotiche di personaggi famosi come esca per diffondere il Trojan Agent.IMB.

Queste e-mail sono molto semplici: hanno tutte soggetti come: “naked Shakira clip”, “Rihanna exposed” o “Scarlett Johansson spills boobs” ed includono link con il testo ”Download and Watch”.

Non appena gli utenti cliccheranno sul link verrà scaricata una copia del Trojan Agent.IMB sui loro computer. Questo codice maligno realizza, all’interno del sistema, una copia di sé sotto il nome”CbEvtSvc.exe” e crea una funzione con lo stesso nome per diffondersi ogni qual volta il sistema viene riavviato.

“Questa tecnica di ingegneria sociale non è del tutto nuova, ma considerando il numero di cyber-crook che continua ad utilizzarla, è ancora un valido metodo per far cadere gli utenti nella trappola”, afferma Luis Corrons, direttore tecnico dei Laboratori di Panda Security. “I creatori di malware adoperano lo stesso tipo di e-mail per diffondere diversi esemplari di malware e, per questo motivo, non bisogna sorprendersi se si trova junk mail come questa per distribuire altri codici maligni come Trojan dowloader, Trojan bancari, etc”

Per evitare di cadere vittima di questo genere di attacchi, i laboratori di Panda Security consigliano agli utenti di non aprire nessun messaggio e-mail proveniente da mittenti sconosciuti o di cliccare sui link in essi contenuti .

Maggiori informaazioni sul sito Panda Security.

Report Settimanale sul Malware

Secondo i dati registrati questa settimana sul sito Internet “Infected or Not”, il 21% dei computer protetti da soluzioni antivirus sono stati ugualmente colpiti da malware.

“Le tradizionali soluzioni di sicurezza non sono più in grado di sconfiggere a sufficienza il crescente numero di campioni di malware che compaiono ogni giorno. I software tradizionali necessitano di essere integrati con strumenti di sicurezza online idonei ad aumentare la conoscenza di base e a prevenire i danni provocati da nuovi tipi di malware,” afferma Luis Corrons, Direttore Tecnico dei Laboratori di Panda Security.

L’adware Comet, progettato per mostrare annunci pubblicitari tutte le volte che gli utenti navigano nel web, è il codice maligno che questa settimana ha infettato la maggior quantità di computer. I worm Puce.E e Bagle.RP vengono subito dopo nell’elenco.

Top 10 TotalScan

• 1 Adware/Comet
• 2 W32/Puce.E.worm
• 3 W32/Bagle.RP.worm
• 4 Adware/oneStep
• 5 W32/Archivaruis.A.worm
• 6 Adware/Zango
• 7 Adware/Starware
• 8 W32/Bagle.RP.worm
• 9 Trj/Downloader.SZW
• 10 Adware/SpyAxe

Rispetto alle nuove tendenze del malware che sono comparse, il report settimanale elaborato dai Laboratori di Panda Security ha analizzato anche i Trojan Nakuru.A e Selex.B, ed il worm RenameLoi.A

Quando è installato, il Trojan Nakuru.A, rallenta la connessione Internet dei computer colpiti. Esso, inoltre, modifica la finestra di Intenet Explorer includendo il titolo “Welcome to Your New Home Page”.

Selex.B dall’altra parte, è un Trojan concepito per prelevare le informazioni dal sistema per inviarle al suo creatore; in questo modo, il Trojan ruba dai computer colpiti gli indirizzi email necessari per fare spamming. Per ingannare gli utenti, la prima volta che esso appare, mostra una finestra di dialogo che sembra che stia scaricando un download manager chiamato: “Fastlane Downloader 3.34b”.

Il worm RenameLoi.A, invece, quando viene eseguito per la prima volta, mostra, effettuando un suono, uno schermo Internet con sfondo verde e testo religioso, che si predispone come home page e pagina di ricerca di Internet Explorer, e che compare ogni volta che il PC viene riavviato. Quando il computer è acceso, appare un altro schermo con il testo”[Day of judgment]”. Per diffondersi, questo worm realizza delle copie di sé dai drive removibili sul computer e sul sistema. Inoltre, esso modifica il browser Internet e la pagina di ricerca e porta a termine azioni fastidiose e maligne.

Pe maggiori informazione potete consultare il sito Panda Security.

Nuovo porno malware usa Britney Spears e Paris Hilton

Milioni di e-mail infette promettono di mostrare personaggi famosi come Britney Spears o Paris Hilton in pose sessualmente esplicite.

G DATA Security Labs ha rilevato come, a partire da ieri, i criminali online abbiano iniziato ad inviare milioni di e-mail di spam contenenti un link che rimanda a un sito infetto e potenzialmente molto dannoso.

La promessa degli spammer risulterebbe molto allettante in quanto garantirebbe la visione di un certo numero di filmati pornografici aventi come protagonisti Britney Spears, Paris Hilton, Shakira è altri personaggi dello star system. Va però evidenziato come gli utenti siano invece reindirizzati non certo a questi video, ma a un sito Internet contenente un trojan downloader.

Le soluzioni di G DATA per la sicurezza hanno individuato il codice maligno come Trojan-Downloader.Win32.Agent.djj.È importante che chi riceve questa e-mail la cancelli immediatamente senza leggerla e non scarichi assolutamente il file eseguibile (.exe) sul proprio Pc.

Le mail sono riconoscibili dai seguenti oggetti:

-New Britney P*ssy shot

-Naked Shakira Clip

-Paris gives BJ to Justin Timberlake

-Shakira porno clip

-Rihanna exposed

Il testo della e-mail è invece solitamente di questo tipo: "Download and Watch".

I link contenuto rimanda poi al sito xxxpiedi.it.

Link: Sito Ufficiale G DATA

Report settimanale sul malware

I dati raccolti questa settimana sul sito Infected or Not rivelano che il 25.41% dei PC con soluzione di sicurezza installata è colpito da virus.

“A causa della grande quantità di nuovi malware in circolazione ogni giorno, i laboratori di sicurezza sono saturi e gli antivirus non possono più essere aggiornati in tempo. Per questo motivo i prodotti tradizionali devono essere supportati da tool online in grado di avere accesso ad una vasta base di informazioni e di rilevare un maggior numero di codici maligni”, spiega Luis Corrons, direttore tecnico dei laboratori di Panda Security.

Tra i mille tipi di codici maligni apparsi questa settimana, è da sottolineare il Trojan Bankolimb.AF e il worm Autorun.RS. Quando quest’ultimo viene avviato, scarica due file nel computer progettati per rubare le password dei giochi online.

“L’uso di codici in grado di rubare le password, una caratteristica più spesso associata ai Trojan, è una tendenza in crescita. La ragione è che i worm, diversamente dai Trojan, si possono diffondere da soli, con un vantaggio effettivo per i cyber criminali”, afferma Corrons.

Il furto delle password dei giochi online è motivato dal potenziale ritorno finanziario che ciò può generare. Questi giochi comprendono livelli e punteggi che possono essere raggiunti solo attraverso l’abilità e l’esperienza. Per questo, molti utenti sono disposti a pagare attraverso forum, pagine web, etc… I cyber criminali approfittano subito di questa situazione.

Il Trojan Bankolimb.AF rilascia numerose library sul computer, una delle quali è registrata come BHO (Browser Helper Object). Ciò gli permette di monitorare l’attività in Internet degli utenti, controllando quando accedono alle pagine dei servizi bancari, e di aggiungere campi di form visibili su queste pagine in modo da raccogliere informazioni aggiuntive.

Il Trojan cattura le battiture sulla tastiera per rubare le password inserite. Successivamente, invia le informazioni al suo creatore facendo l’upload del file con i dati al server.

Link: report malware; 25.41% dei PC

Report settimanale sul Malware

Secondo i dati raccolti nell’ultima settimana sul sito Internet “Infected or Not” di Panda Security (www.infectedornot.com), il 26.05% dei PC dotati di una soluzione di sicurezza è stato colpito da codici maligni.

Luis Corrons, direttore tecnico dei laboratori di Panda Security afferma “molti utenti pensano che possedere un antivirus sia sufficiente. Tuttavia, non tutte le soluzioni proteggono allo stesso modo e non sempre garantiscono una difesa totale. Per essere più sicuri, i prodotti tradizionali devono essere implementati con analisi online on demand realizzate da strumenti che offrono una maggiore capacità di rilevazione.

Per quanto riguarda i codici più attivi della scorsa settimana, l’adware Comet, che mostra messaggi pubblicitari durante la navigazione, è primo in classifica. Seguono i worm Bagle.RP e Puce.E, che utilizzano le proprie capacità per diffondersi.

1. Adware Comet
2. Worm Bagle.RP
3. Worm Puce.E
4. Adware Starware
5. Spyware Virtumonde
6. Worm Archivarius.A
7. Worm Bagle.SB
8. Trojan Rebooter.J
9. Worm Bagle.RC
10. Adware SaveNow

In base alle nuove scoperte di questa settimana, i laboratori di Panda Security evidenziano EbayRob.B e WinFake.A.

Il Trojan EbayRob.B è progettato per il furto di dati inseriti in form di siti come eBay, che vengono poi inviti via email agli autori del malware. Inoltre, il codice modificherà il Registro di Windows per catalogarsi come un servizio ed eseguirsi così automaticamente ogni volta che il sistema viene avviato. Modifica i file host per reindirizzare l’accesso a una serie di siti Internet sul PC colpito, per essere in grado di monitorare le visite.

Quando viene eseguito dall’utente, EbayRob.B mostra numerose immagini di automobili.

Winfake.A è un worm che attacca tutti i drive disponibili. Blocca il funzionamento di alcune utility, funzioni (come regedit) o la console di Windows ed il normale utilizzo della clipboard.

Il codice appare sotto le sembianze di un’icona di Microsoft Word chiamata Love. Una volta eseguito, creerà varie copie di se stesso sul sistema, denominate con titoli di canzoni per cercare di invitare l’utente ad aprirle.

Maggiori informazioni sono disponibili sull’Encyclopedia di Panda Security

Report Settimanale sul Malware

Secondo i dati raccolti questa settimana sul sito Internet “Infected or Not” di Panda Security, l’adware NaviPromo è stato il codice più attivo degli ultimi giorni.

L’adware è un tipo di malware che ha come particolarità il lancio di annunci pubblicitari mostrati durante la navigazione. Alcuni, inoltre, spiano l’attività Internet degli utenti. Nella classifica del malware più attivo nella scorsa settimana, sono presenti ben 9 esemplari di questo genere. L’unica eccezione è il programma Virtumonde, che occupa la seconda posizione.

TotalScan Top 10

1. Adware/NaviPromo
2. Spyware/Virtumonde
3. Adware/OnlineAddon
4. Adware/VideoAddon
5. Adware/SecurityError
6. Adware/Zango
7. Adware/Lop
8. Adware/PurityScan
9. Adware/SaveNow
10. Adware/Gator

In base alle nuove tendenze evidenziate questa settimana, i laboratori di Panda Security sottolineano le azioni dei Trojan Keylogger.DB, Banker.KTG, MonaRona.A e del worm FakeDeath.A.

Keylogger.DB è diffuso sfruttando la vulnerabilità di Access, applicazione per database di Microsoft, scoperta di recente da Panda Security (http://pandalabs.pandasecurity.com/archive/New-MS-Access-exploit.aspx). Questo Trojan è progettato per recuperare la battitura della tastiera e memorizzare così alcune informazioni digitate dall’utente in alcune pagine web.

Banker.KTG è diffuso attraverso tecniche di ingegneria sociale. In questo caso, l’esca è un link di collegamento ad un video che si riceve con un messaggio di posta elettronica. Quando si tenta di vederne il contenuto, appare un messaggio di errore nel quale si comunica che poterlo visualizzare è necessario scaricare un codec video. Se si procede, in realtà verrà introdotto sul PC una copia del Trojan Nabload.DCH.

Luis Corrons, direttore tecnico dei laboratori di Panda Security afferma “per evitare che sospetti, una volta che il Trojan sarà scaricato sul computer, condurrà l’utente ad un video di Internet. Inoltre, scaricherà sul sistema una copia del Trojan bancario Banker.KTG”.

Questo codice è progettato per il furto di dati inseriti attraverso tastiere virtuali, uno dei metodi di sicurezza utilizzati da molti siti di enti bancari. Il suo metodo di diffusione ricorda quello di Orkut.AT, che veniva distribuito attraverso la rete sociale Orkut.

Anche il Trojan MonaRona.A utilizza tecniche di ingegneria sociale tramite il download dell’applicazione Unigray. Una volta scaricato, mostra un messaggio di avviso, identificandosi come un virus che è stato creato per protestare contro la violazione dei diritti umani. Il suo obiettivo è di realizzare azioni pericolose, come disattivare il Task Manager o portare a termine i processi di alcune applicazioni.

Inoltre, i laboratori di Panda Security hanno rilevato l’invio di e-mail che annunciano la morte di Fidel Castro per diffondere esemplari del worm FakeDeath.A.

Il messaggio contiene un link ad un presunto video, aperto il quale l’utente sarà infettato. Per cercare di ingannare i navigatori, il codice mostra una falsa notizia sulla morte di Castro. Questo worm scarica molteplici copie di se stesso che si copiano nelle cartelle condivise delle applicazioni P2P e crea una chiave nel Registro di Windows per eseguirsi ogni volta che il sistema viene avviato.

Link: Panda Security

Scoperta una nuova vulnerabilità in Microsoft Access sfruttata per attaccare i PC

I laboratori di Panda Security hanno rilevato una nuova vulnerabilità nel noto software Microsoft Access. Ecco quale falla è stata riscontrata e come veniva utilizzata.

Si tratta di un problema di sicurezza, simile a quello scoperto qualche mese fa, denominato CVE-2007-6026, che colpisce la medesima libreria msjet40.dll, ma in un altro punto.

La situazione è aggravata dal fatto che i cyber-criminali utilizzano queste falle per installare malware silenzioso sui computer. In questo caso, Panda Security ha rilevato che la vulnerabilità è usata per diffondere il pericoloso Trojan Keylogger.DB, progettato per rubare dati confidenziali degli utenti attraverso il recupero della battitura sulla tastiera.

Questa falla di sicurezza è sfruttata attraverso file pericolosi di Access (.mdb), costruiti appositamente, contenenti il codice maligno.

Luis Corrons, direttore tecnico dei laboratori di Panda Security afferma:

“ogni volta che compare una vulnerabilità di questo genere, i cyber-criminali cercano di trarne il maggiore vantaggio. Ci sarà, quindi, la possibilità che vengano diffusi numerosi file di Access che non solo contengono il Trojan, ma anche altri tipi di minacce.”

Per non cadere vittime di questo problema di sicurezza, Panda Security consiglia agli utenti di non aprire file sospetti - ricevuti o scaricati da Internet – e di aggiornare le soluzioni di protezione, soprattutto fino a quando non sarà disponibile una patch per risolvere questa vulnerabilità.

Maggiori informazioni sul sito Panda Security.

I Trojan si confermano come i codici più attivi anche nel mese di Febbraio

I Trojan si confermano come i codici più attivi anche nel mese di Febbraio. Aumentati anche gli attacchi causati da worm in grado di rubare dati confidenziali.

E’ stato rilevato che il 23.70 per cento degli attacchi registrati in febbraio da ActiveScan, lo scanner online di Panda Security, sono stati provocati da Trojan. Il numero delle infezioni generate da questa tipo di codice sembrano, comunque, essersi un po’ ridimensionato negli ultimi mesi, rispetto alla costante crescita rilevata nel 2007.

I worm, tuttavia, sono aumentati per il secondo mese consecutivo dal 15 al 17.60 per cento, mentre gli adware mantengono stabile la loro percentuale (pari al 20,71 degli attacchi riscontrati in febbraio). “Il grande boom di worm è il risultato dell’aumento delle loro capacità. Infatti, fino a poco tempo fa, la maggior parte di questi codici erano progettati solo per diffondersi da un computer all’altro. Negli ultimi mesi, invece, si è verificato un forte incremento di esemplari capaci di rubare dati sensibili, attività che in passato era riconducibile solo a Trojan e spyware.

Questo processo di ibridazione rende molto più difficile classificare i tipi di malware in una categoria piuttosto che in un’altra”, afferma Luis Corrons, direttore tecnico dei laboratori di Panda Security.

Per quanto riguarda i codici maligni più attivi in febbraio, in vetta alla classifica troviamo il Trojan Downloader.MDW, progettato per scaricare altri esemplari di malware sul computer colpito. Secondo il worm Bagle.RC, mentre il worm Lineage.GXD, creato per colpire gli utenti del gioco online Lineage, è al terzo.

[Tipo - Nome]

• Troyan - Downloader.MDW
• Worm - Bagle.RC.
• Worm - Lineage.GXD.
• Worm - Bagle.RP.
• Worm - Lineage.HJT.
• Worm - Perlovga.A.
• Worm - Bagle.HX.
• Worm - Lineage.HIC.
• Worm - Puce.E.
• Worm - Lineage.HJB.

“Come si può notare, la maggior parte di malware attivo rilevato in questo mese è rappresentato da worm. I dati raccolti confermano l’aumento di attacchi provocati da questo tipo di codici” afferma Corrons.

Maggiori informazioni sul sito Panda Security.