Malware e virus di giugno secondo Gdata

I Trojan ancora in testa, ma con un lieve calo percentuale

In Giugno il panorama del malware è stato ancora dominato dalla presenza di Trojan che hanno comunque subito una lieve flessione. Lo dimostrano gli ultimi dati provenienti dai G Data Security Labs secondo cui il 28,8% (-2,4% rispetto al mese di Maggio) del malware registrato nell’ultimo mese è costituti proprio da Trojan.

Si registra anche un calo per i Downoader che si attestano al 23,4%. Aumento sensibile, invece, per i Backdoor che passano dal 13,8% al 19,9%. Lieve incremento anche gli Spyware, mentre escono dalla top 5 gli Adware per fare posto ai Worm con il 4,0%. La ricerca di G Data ha analizzato 83.072 tipologie di malware e da qui è stata stilata la classifica delle 5 categorie di più diffuse.

Top 5 malware

Le varie tipologie di malware sono state categorizzate in base al loro meccanismo di diffusione e alla tipologia dei danni provocati.

1. Trojan: 28,8% (-2,4%)

I Trojan (Cavalli di Troia) sono un tipo di malware le cui funzionalità sono nascoste all’interno di un programma apparentemente utile per l’utente. È dunque lo stesso utente che, installando un determinato programma, installa inconsapevolmente anche questo codice maligno che provoca danni al sistema. I Trojan non hanno una dinamica di propagazione propria, come virus e worm, ma sono solitamente inviati via e-mail o diffusi attraverso il file sharing o siti Internet.

2. Downloader: 23,4% (-2,2%)

Il Downloader è un tipo di malware che, come il nome stesso indica, scarica in maniera automatica dei file dannosi da Internet che, di norma, cercano subito di inficiare le impostazioni di sicurezza del Pc.

3. Backdoor: 19,9% (+6,1%)

I Backdoor sono paragonabili a porte di servizio che consentono di superare, in parte o in tutto, le difese di un Pc che così può, di conseguenza, essere controllato da un hacker per via remota. La maggior parte delle volte viene installato un particolare tipo di software e il Pc viene integrato in una Botnet costituita da Pc cosiddetti “zombie” che vengono quindi utilizzati per distribuire spam, rubare dati o eseguire attacchi di tipo DDoS.

4. Spyware: 15,9% (+2,3%)

Gli Spyware sono un tipo di malware il cui fine principale è quello di rubare le informazioni personali dal Pc degli utenti. Queste informazioni includono tutti i tipi di dati personali tra cui password, dati per account bancari o addirittura dati di login per i videogiochi online.

5. Worm: 4,0%

Diversamente da un virus, un worm non è collegato a un file eseguibile. Un worm si propaga trasferendosi su altri Pc attraverso network o connessioni Pc-Pc. Ci sono poi diverse sotto categorie di worm che possono essere classificate in base al loro meccanismo di propagazione: mail-worm, network-worm o P2P-worm.

Top 5 famiglie di virus

Basandosi sulle somiglianze a livello di codice, il malware può essere diviso in varie “ famiglie”:

1. Buzus: 5,2%

I Trojan della famiglia Buzus esaminano il sistema delle ignare vittime alla ricerca di dati personali o informazioni di log in per carte di credito, online banking, mail o Ftp. Inoltre cercano di modificare le impostazioni di sicurezza del sistema per renderlo ancora più vulnerabile.

2. Bifrose: 5,1%

Il Backdoor Bifrose garantisce agli hacker un accesso ai sistemi infetti e li connette a un server IRC attraverso il quale è possibile inviare dei determinati comandi.

3. Hupigon: 4,3%

Quando avviene un’infezione attraverso la variante Ur Hupigon.a vengono scritti nella cartella di sistema i file winreg.exe e notepod.exe. Inoltre avvengono variazioni a livello di registro che assicurano l’esecuzione automatica di winreg.exe ad ogni avvio di sistema.

Alcuni membri della famiglia Hupigon aprono porte TCP per permettere i controllo remoto e l’accesso al file system per consentire di registrare le digitazioni sulla tastiera al fine di rubare dati personali

4. Magania: 3,5%

MagaQuesta famiglia di virus nasce in Cina ed è specializzata nel furto di dati di login per i giochi prodotti dalla taiwanese Gamania.

Di solito questi Trojan sono diffusi attraverso e-mail che contengono un archivio RAR. Una volta eseguito il software maligno viene mostrata un’immagine come esca, mentre in background una serie di files vengono installati nel sistema. Magania, inoltre, si collega a Internet Explorer usando una DLL che consente al Trojan di intercettare il traffico WWW.

5. Poison: 2,5%

Il Backdoor Poison consente accessi remoti non autorizzati ai sistemi delle ignare vittime che poi possono essere utilizzati per attacchi di tipo DDoS (Distributed Denial of Service)

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

La classifica dei malware di giugno di Kaspersky

Kaspersky Lab ci informa con la consueta classifica relativa alla diffusione del malware per il mese di giugno.

La prima tabella si riferisce ai programmi nocivi, adware e programmi potenzialmente pericolosi rilevati e resi inoffensivi al primo trattamento anti-virus da subito, nel quadro dell'azione svolta dal componente di programma “scanner on-access”. L'impiego della metodologia di statistica “on-access” consente di condurre un'immediata analisi dei programmi malware più recenti, dei più pericolosi e dei più diffusi. Tali programmi vengono di fatto bloccati ed inibiti nel momento stesso in cui tentano di avviarsi, o durante il loro download dalla rete sui computer degli ignari utenti.

 

I cambiamenti introdotti nella metodologia di analisi delle minacce, non hanno influito sulla leadership della classifica: Net-Worm.Win32.Kido.ih mantiene saldamente la prima posizione. Inoltre, in questa Top-20 compaiono anche due varianti di tale worm, ovverosia Kido.jq e Kido.ix. Evidentemente, la copiosa presenza di Kido nella classifica sopra riportata, è legata al fatto che i «rappresentanti» di tale famiglia di worm sono soliti diffondersi anche tramite supporti mobili, precedentemente utilizzati su unità sprovviste di un'adeguata protezione anti-virus.

Per gli stessi motivi, compaiono in classifica anche AutoRun.dui e AutoRun.rxx, della famiglia di worm Autorun. Troviamo poi, all'interno di questa Top-20, un Trojan Script di particolare interesse, peraltro attivamente utilizzato dai criminali informatici: Trojan-Downloader.JS.LuckySploit.q (ne parleremo più avanti).

Al ventesimo posto si colloca l'adware Shopper.v, uno dei più famosi programmi nel suo genere (la società che lo ha elaborato, Zango - in precedenza Hotbar - è stata chiusa alcuni mesi fa). Tale applicazione installa toolbar di vario tipo, molto difficili da disinstallare, sia nei browser che nei client di posta: saranno in tal modo mostrati in continuazione all'utente dei banner pubblicitari.

La seconda classifica è stata stilata sulla base dei dati acquisiti grazie alle attività condotte dall'anti-virus web: rispecchia la situazione attualmente presente in ambito Internet. Questa Top-20 è composta dal malware rilevato sulle pagine web, così come da quei software nocivi che cercano subdolamente di infiltrarsi nei computer degli utenti tramite il download dalle pagine Internet. In altre parole, questa seconda classifica fornisce illuminanti risposte a due diverse domande: «Quali sono i programmi nocivi che infettano con maggiore frequenza le pagine web?» e «Qual è il malware più frequentemente scaricato - in maniera consapevole od inconsapevole - dalle pagine Internet nocive ed infette?».

La prima posizione è occupata di diritto dal Trojan Downloader Gumblar.a. L'azione che esso conduce rappresenta un eccellente esempio di drive-by-download. Gumblar.a è uno script codificato di piccole dimensioni: quando viene eseguito, reindirizza l'utente al sito infetto dal quale, a sua volta, viene scaricato ed installato il file nocivo eseguibile.

Quest'ultimo, dopo essere stato installato nel sistema, esercita evidenti effetti sul traffico web dell'utente, modificando ad esempio i risultati delle ricerche eseguite tramite Google; allo stesso modo, ricerca nel computer dell'utente le password relative ai server FTP, per poi successivamente procedere all'infezione di questi ultimi. Si assiste così alla formazione di una botnet costituita da server infettati, grazie alla quale i malintenzionati potranno agevolmente caricare sui computer degli utenti qualsivoglia tipo di programma nocivo.

La quantità di server infetti è davvero enorme: la diffusione del contagio si è finora prodotta proprio tramite quei computer sprovvisti di adeguata protezione anti-virus. Un ulteriore significativo esempio di download drive-by è rappresentato dal Trojan Downloader LuckySploit.q, che si colloca al terzo posto della classifica sopra riportata e fa altresì parte, come abbiamo visto, della prima Top-20. Si tratta di uno script magistralmente offuscato, il quale inizialmente raccoglie tutte le informazioni relative alla configurazione del browser dell'utente, per poi inviarle al sito nocivo, cifrandole tramite chiave RSA diretta. Nel server, tali informazioni vengono poi decifrate mediante chiave RSA inversa e, a seconda della configurazione del browser precedentemente individuata, viene restituito all'utente un intero bouquet di script, i quali sfrutteranno le vulnerabilità presenti nel computer e provvederanno al caricamento in esso di ulteriori programmi malware.

Oltretutto, una combinazione così articolata e mutevole rende di particolarmente difficile un’analisi su campioni dello script iniziale, preposto a raccogliere le informazioni relative al browser: nel caso poi in cui il server che decifra tali informazioni risulti inaccessibile, non sarà possibile nemmeno la ricezione dei dati riguardanti gli script che saranno, nella circostanza, subdolamente inviati all'utente.

Vi è poi tutta una serie di malware che sfruttano proprio le vulnerabilità presenti nei programmi elaborati da alcune delle maggiori software house. La presenza in classifica degli exploit Trojan-Clicker.SWF.Small.b, Exploit.JS.Pdfka.gu, Exploit.JS.Pdfka.lr ed Exploit.SWF.Agent.az è allo stesso tempo indice sia della popolarità che della vulnerabilità dei prodotti Adobe Flash Player e Adobe Reader. Vengono altresì sfruttate vulnerabilità di vario genere insite nelle soluzioni software elaborate da Microsoft: Trojan-Downloader.JS.Major.c, ad esempio, nella sua azione cerca di avvalersi immediatamente di alcune vulnerabilità presenti in varie componenti sia del sistema operativo che delle applicazioni di Microsoft Office.

Tirando le somme, si può senz'altro asserire che in questi ultimi tempi si osserva distintamente la tendenza, da parte dei cybercriminali, ad utilizzare in maniera sempre più marcata le varie tipologie del subdolo ma astuto metodo di download drive-by, per infettare i computer degli utenti: è proprio questo, oramai, l'orientamento imperante nel Web. In ragione di quanto sopra esposto, risulta pertanto sempre più indispensabile, per gli utenti, effettuare tempestivamente l'installazione degli aggiornamenti riguardanti sia il sistema operativo che i programmi da essi utilizzati; è in egual modo strettamente necessario, ovviamente, procedere sempre agli aggiornamenti del proprio programma anti-virus.

D'ora in poi, la nostra rassegna mensile sul malware includerà un ulteriore elemento innovativo, ovverosia la classifica relativa ai paesi in cui è stato riscontrato il maggior numero di tentativi di infezione tramite web:

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Router nuovamente a rischio worm

Alcuni mesi fa veniva segnalato l'alto rischio di attacchi ai router che utilizzavano come password la parola chiave standard.

Come si temeva, il worm si è evoluto, ed ora è in grado di colpire tutti i router dotati di “processore MIPS”.  Lo scopo del Worm è quello di rendere i router dei BOT in grado di lanciare attacchi DDoS.

L’azienda D-Link ha deciso di non prendere sotto gamba il problema e per proteggere i propri modelli, ha introdotto sui propri router dei filtri per l’autenticazione CAPTCHA.

Pare però che, da una ricerca effettuata dalla società SourceSec, sia emersa una falla che affligge questo tipo di filtro. In caso di un attacco worm, che avviene tramite codice JavaScript visitando i siti che contengono il malware, la pagina delle impostazioni del router viene caricata e l’azione del codice permette di oltrepassare la protezione.

Se vi foste accorti di essere infetti da questo tipo di worm, sarà sufficiente effettuare un Hard Reset del router.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Continua ad impensierire il virus Gumblar

Sophos rinnova l'allarme, per il Trojan JSRedir-R, più comunemente conosciuto come Gumblar.

Gli esperti di Sophos identificano una nuova pagina web infetta ogni 4,5 secondi, un dato tre volte superiore rispetto al 2007.

Ultimamente quasi la metà di tutte le infezioni identificate sui siti web è stata causata da Troj/JSRedir-R.

JSRedir-R, identificato su siti web legittimi che generano molto traffico, carica contenuti malevoli all'insaputa degli utenti da siti di terzi. Il malware può quindi essere usato per rubare dati sensibili a scopo di lucro, perpetrare furti d'identità o manipolare i risultati dei motori di ricerca.

Walter Narisoni, Sales Engineer Manager di Sophos Italia dichiara:

"Il problema sta nel fatto che troppi utenti continuano a pensare di non correre alcun rischio navigando in Internet, ma considerato che il numero dei siti legittimi infettati da malware è in aumento, è giunta l'ora di prendere coscienza dei rischi."

 continua sostenendo che i criminali informatici

"non smetteranno di bersagliare Internet, poiché si sta dimostrando un mezzo efficace per diffondere malware. Per combattere questo fenomeno, è indispensabile dotarsi di prodotti in grado di esaminare ogni sito web prima di permetterne la consultazione".

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Google falsi link infetti nelle ricerche, colpa di Gumblar

Un virus crea scompiglio nelle ricerche di Google, si chiama Gumblar.

Alcune società di sicurezza, tra cui US-CERT (unità anti-crisi informatica federale USA) e Sophos segnalano l'incredibile diffusione del worm Gumblar (o Troj/JSRedir-R).

Il virus era stato segnalato a marzo su molti siti di settore, ed erano stati esclusi dai propri database i siti infetti da parte degli stessi responsabili security di Google.

La ricerca condotta dagli esperti dei laboratori di Sophos ha messo in evidenza come Gumblar abbia ripreso la sua attività cambiando il dominio su cui si trovava il codice maligno.

Questo worm sfrutta le vulnerabilità dei file PDF e di Flash Player per diffondersi e dopo aver infettato i computer degli utenti, riesce, rubando le credenziali di login FTP dalle vittime ad alterare i risultati della ricerca su Google infettando siti grazie a Codice JavaScript "offuscato" che viene impiegato per scaricare sul sistema client del visitatore contenuti provenienti da terze parti.

I rischi sono spam, phishing per tentare di rubare i dati di login della propria banca e via dicendo.

Secondo la società di sicurezza Sophos, Gumblar sarebbe responsabile del 42% delle infezioni sul web nelle ultime settimane.

Cosa fare per evitare di infettare il proprio Pc, aggiornare immediatamente il programma di Adobe con le ultime patch rilasciate.

Ma vi è anche la possibilità di segnalare a Google i falsi link infetti che si trovano nelle proprie ricerche Per farlo è sufficiente segnalarlo al link Spamreport.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Le minacce del primo trimestre del 2009

Nel Report di McAfee relativo alle minacce del primo trimestre del 2009 risultano 12 milioni gli indirizzi Ip che sono controllati da botnet.

Da gennaio di quest'anno i cibercriminali sono riusciti ad impossessarsi di ben 12 milioni indirizzi Ip per utilizzare computer “zombie” infetti; si presume che questo attacco massicio sia dovuto alla chiusura lo scorso novembre di un ISP centrale da cui veniva distribuito spam.

Si stima che la chiusura lo scorso novembre 2008 di McColo Corp. abbia abbassato i livelli di spam di circa il 60%, ma i volumi di spam stanno crescendo man mano che i criminali informatici creano nuove modalità per inviare grandi moli di email. La rapida espansione di botnet minaccia di superare i livelli di spam precedenti. Infatti, i volumi di spam erano diminuiti di circa il 70% da quando McColo è stato messo offline. Rispetto allo stesso trimestre dell’anno scorso, i volumi di spam sono diminuiti del 20% nel 2009 e del 30% rispetto al terzo trimestre del 2008, che ha riscontrato i più elevati volumi trimestrali a oggi registrati.

Il report rivela inoltre che:

• Il virus Koobface ha fatto la sua ricomparsa, e più di 800 nuove varianti del virus sono state scoperte durante il solo mese di marzo
• I server con contenuti legittimi sono divenuti meno popolari tra gli scrittori di malware per distribuire contenuti illegali e malevoli
• I cybercriminali stanno utilizzando maggiormente le tecniche di reindirizzamento degli URL e siti Web 2.0 per camuffare la loro ubicazione
• Confrontato con il panorama complessivo, il worm Conficker rappresenta un piccolo sottoinsieme di tutti i report sulle minacce. Il malware basato su Autorun, un vettore utilizzato da certe varianti di Conficker, rappresentava solo il 10% di tutte le rilevazioni riportare durante il primo trimestre.

Il report completo in italiano è disponibile sulsito McAfee.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Conficker un worm più vivo che mai

Conficker continua inarrestabile a mietere vittime, silenziosamente ma non per questo è da considerarsi meno pericoloso e subdolo.

Nonostante tutti gli allarmi lanciati, secondo un rapporto Symantec si  stima che i computer infetti salgono a 50.000 ogni giorno creando milioni di computer che lavorano all'insaputa degli utenti inviando spam ed infettando altri PC.

Un virus che sta scalando le classifiche portandosi al 6° posto nella lista dei virus più pericolosi della storia.

Ha cominciato a diffondersi alla fine del 2008 avvalendosi di una vulnerabilità che affliggeva il sistema operativo Microsoft.

Questa è una mappa termica della diffusione delle Conficker dal mese di febbraio.

La stessa Microsoft rilasciò la patch di sicurezza in tempo utile, oltre ad aver piazzato una taglia a chi fornisse aiuti per debellare questo pericoloso worm, ma a causa degli aggiornamenti non effettuati dagli utenti, Conficker ha potuto insinuarsi su moltissimi computer.

Ecco alcuni metodi per eliminare l'infezione:

- Verificare se siete infetti in questa pagina, in base a quante immagini vedrete saprete il vostro grado di infrazione;

- Aggiornare il sistema con la patch di sicurezza Microsoft KB958644 x32 (MS08-067) o x64 (MS08-067);

Qui invece una serie di Tool per la rimozione del virus.

- McAfee Conficker Detection Tool;
- Symantec 32.Downadup Tool;
- BitDefender rimozione Conficker Tool;
- Rimozione Conficker F-Secure Tool.

Maggiori info su SRI International.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Facebook phishing infetta 200 milioni di utenti

Non c'è pace per il famoso Social Network, si passa dalle denuce per  foto di pazienti pubblicate, a quelle per di diffamazione ma la cosa più grave sono i continui attacchi di phishing.

Questa settimana passata alcuni cracker hanno lanciato un attacco contro i 200 milioni di utenti iscritti a Facebook, rubando password ad alcuni di loro.

Il metodo è sempre lo stesso, tramite pagine false di Facebook (phishing), inducono gli utenti ad inserire i loro dati per accedere al loro account, per poi rubare indirizzi e-mail ed inviare il fastidiosissimo spam.

Questi attacchi sfruttano applicazioni che sono malevole, e puntano tutte a domini con estensione.im, tipo www.151.im, www.121.im e www.123.im) queste false applicazioni sono grado di corrompere un account e prenderne il possesso, in questo modo possono attaccare tutti i vostri contatti senza tanti problemi.

Anche Panda Security ha rilevato dei pericoli che affliggono Facebook, è stata rilevata una nuova variante del worm Boface.

Questo malware chiede scaricare ed installare falsi programmi antivirus ingannando gli utenti, perchè li induce a pensare che sul loro computer vi sia veramente un virus, portandoli ad acquistare un falso antivirus.

Secondo i dati raccolti potrebbero essere oltre due milioni di utenti del social network già infetti ed i veicoli di infezione sono: i messaggi e-mail con allegati, file scaricati da Internet, trasferimenti di file via FTP, canali IRC, condivisione di file tramite P2P.

Qui sotto un immagine del falso messaggio:

E qui sotto l'immagine di un falso filmato di YouTube (denominato "YuoTube"):

Anche qui potrebbe essere richiesto di installare un applicativo o un codec di cui dovremmo essere sprovvisti secondo il messaggio, cliccando su installa si scarica il malware che ci avvisa che siamo infetti e che per rimediare ci consiglia di scaricare il falso antivirus.

Ecco come si presenta la pagina che richiede di scaricare l'antivirus:

I consigli di Panda Security sono:

1) Non cliccare su link sospetti o da fonti non attendibili. Questo consiglio dovrebbe essere applicato a tutti i messaggi ricevuti tramite Facebook, e attraverso qualunque altre rete sociale, ma anche per i messaggi via e-mail.

2) Se si clicca su tale link, controllare attentamente la pagina di destinazione l'indirizzo web in alto. Se non lo riconoscete, chiudete subito il browser.

3) Anche se non appare nulla di strano nella pagina di destinazione, ma vi viene chiesto di scaricare qualche applicazione, software o altro, non accettare.

4) Se, tuttavia, si è già cliccato, scaricato e installato qualche file eseguibile, e il computer inizia a lanciare messaggi dicendo che si è "infetti" e che si deve acquistare un antivirus. Non comprate e scaricate nulla, soprattutto non date i vostri riferimenti bancari. Scaricate un software di sicurezza, valido e conosciuto la stessa Panda Security fornisce una soluzione per la sicurezza online gratis come Panda ActiveScan.

Maggiori info sul sito Panda Security.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Il software per spiare gli sms è un virus

Se ricevete un'e-mail che vi promette un software in grado di spiare gli sms di vostri conoscenti o partner, diffidate, è un virus.

Non ditemi che non avete mai provato un piccolo sentimento di gelosia riguardo al vostro partner, o magari siete degli irriducibili curiosi dei fatti altrui, fate attenzione.

L'allarme arriva da Websense Security Labs che ci porta a conoscenza di una e-mail spam che punta proprio sul sentimento della gelosia e della curiosità; l'e-mail porta a un sito e a un'applicazione che se scaricata promette la lettura degli sms inviati e ricevuti da chi vorresti sorvegliare.

ThreatSeeker ha individuato migliaia di email di spam che utilizzano questo tema, il virus è una nuova variante di Waledac, e sembra che non tutti gli antivirus siano in grado di verificare il pericolo.

L'oggetto dell' e-mail è: "Sei proprio sicuro di volerlo sapere?", il messaggio invece riporta: "Scarica il programma che ti consente di leggere gli SMS", corredato da immagini inequivocabili che stimolano a scaricare il software maligno.

L'alert di Websense Security Labs .

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

Microsoft aiuta Facebook ad eliminare il virus Koobface

Per contrastare il diffondersi del virus Koobface, Microsoft e Facebook si sono alleate.

La diffusione, avvenuta tramite il popolare social network, per mezzo di falsi messaggi da parte di persone, dove il virus è già installato ed ha infettato il loro computer.

Nonostante il team di Facebook Security abbia rilevato il virus e ripristinato velocemente gli account dei suoi utenti, alcuni computer sono rimasti comunque infetti da Koobface, e quindi hanno continuato a diffondere il virus su Facebook.

Microsoft cercherà di eliminare il virus direttamente dai computer infetti, con i prossimi aggiornamenti, il virus è presente in oltre 20.000 versioni differenti.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

Conficker si aggiorna via P2P

Il tanto temuto Conficker torna a far parlare di se, dopo l'allarme del 1° aprile, è nuovamente mutato. La nuova variante è stata chiamata WORM_DOWNAD.E.

Trend Micro segnala che il worm si sta aggiornando via peer-to-peer tra i computer infetti, rilasciando nel contempo un payload al momento sotto analisi.

I ricercatori Trend Micro avrebbero scoperto un nuovo file sospetto all'interno della cartella dei file temporanei di Windows.

È emerso un tentativo da parte del componente scaricato di connessione ad un domino appartenente alla nota botnet Waledac (goodnewsdigital(dot)com), al fine di scaricare un altro file criptato.

Il componente scaricato sembrerebbe appartenere alla famiglia dei keylogger, programma in grado di rubare dati sensibili dalle macchine infette.

La nuova variante WORM_DOWNAD.E si attiva utilizzando un filename e un nome di servizio casuali per poi collegarsi ai seguenti siti: MySpace.com, MSN.com, eBay.com, CNN.com e AOL.com.

Anche McAfee rivela la nuova variante come W32/Conficker.worm.gen.d e Sophos come W32/ConfDr-Gen_W32/Confick-D.

Come già detto precedentemente, anche questa nuova variante è una minaccia solamente per chi è già stato infettato da Conficker e comunque sprovvisto della patch di sicurezza Microsoft MS08-067 rilasciata il 23 di ottobre 09.

Per verificare se il vostro sistema è a rischio di infezione dal WORM_DOWNAD.E visitate il sito [Trend Micro], per eliminare il worm Conficker Tool rimozione [BitDefender] e Tool Rimozione [F-Secure]

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

A marzo incremento di Trojan

Oggi siamo subissati da notizie che trattano di malware di vario genere, ma in dettaglio cosa sono questi malware?

Il panorama è ampio, una volta si parlava solo di virus ed era sufficiente un buon antivirus e un firewall, oggi invece il panorama si è allargato e bisogna prestare attenzione a moltissime forme di malware.

Secondo il report di G Data Security Labs, marzo è stato funestato da Trojan con un picco del 33% a seguire i Downloader con un significativo 25,7%, seguiti dai Backdoor con il 14,2%.

La ricerca a riportato 113.046 tipologie di malware e da qui è stata stilata la classifica delle 5 categorie di più diffuse.

1. Trojan: 33%

I Trojan (Cavalli di Troia) sono un tipo di malware le cui funzionalità sono nascoste all’interno di un programma apparentemente utile per l’utente. È dunque lo stesso utente che, installando un determinato programma, installa inconsapevolmente anche questo codice maligno che provoca danni al sistema. I Trojan non hanno una dinamica di propagazione propria, come virus e worm, ma sono solitamente inviati via e-mail o diffusi attraverso il file sharing o siti Internet.

2. Downloader: 25,7%

Il Downloader è un tipo di malware che, come il nome stesso indica, scarica in maniera automatica dei file dannosi da Internet che, di norma, cercano subito di inficiare le impostazioni di sicurezza del Pc.

3. Backdoor: 14,2%

I Backdoor sono paragonabili a porte di servizio che consentono di superare, in parte o in tutto, le difese di un Pc che così può, di conseguenza, essere controllato da un hacker per via remota. La maggior parte delle volte viene installato un particolare tipo di software e il Pc viene integrato in una Botnet costituita da Pc cosiddetti “zombie” che vengono quindi utilizzati per distribuire spam, rubare dati o eseguire attacchi di tipo DDoS.

4. Spyware: 12,6%

Gli Spyware sono un tipo di malware il cui fine principale è quello di rubare le informazioni personali dal Pc degli utenti. Queste informazioni includono tutti i tipi di dati personali tra cui password, dati per account bancari o addirittura dati di login per i videogiochi online.

5. Adware: 7,8

Gli Adware registrano le attività e i processi di un Pc tra cui, ad esempio, il comportamento degli utenti in rete. Se si presenta un’opportunità adatta, vengono quindi mostrati messaggi pubblicitari mirati. In altri casi, invece, vengono manipolati i risultati delle ricerche sul web in modo che la vittima sia indirizzata su certi prodotti o servizi che possano fruttare denaro a chi ha diffuso il malware. In moltissimi casi questo avviene senza che l’utente se ne renda conto.

Basandosi sulle somiglianze a livello di codice, il malware può essere diviso in varie “ famiglie”:

1. Monder: 7,0%

La numerose varianti di Monder sono essenzialmente dei Trojan che manipolano le impostazioni di sicurezza sui sistemi infettati rendendoli così suscettibili di ulteriori attacchi. Un’infezione aggiuntiva può avere luogo anche attraverso Adware, soprattutto tramite falsi software di sicurezza. Alla vittima viene di norma raccomandato di fare una scansione del proprio sistema con il suggerimento di eliminare le infezioni acquistando la versione “full” del presunto software per la sicurezza immettendo i dati della propria carta di credito su uno sito web creato appositamente.

2. Obfuscated: 5,5%

Questa famiglia di virus si distingue per il codice camuffato in una maniera che è tipica del malware. Per esempio, dannosi codici Javascript possono essere mimetizzati attraverso funzioni matematiche che vengono ritradotte nel codice originario solo dopo l’esecuzione.

3. Superjuan: 4,7%

Si tratta di un Adware che linka all’interno del browser utilizzando un Browser Helper Object (BHO). Oltre a mostrare pop pubblicitari, alcuni esponenti di questa famiglia sono linkati ai cosiddetti scareware o rogueware. Alla vittima viene segnalata la presenza di infezioni per eliminare le quali è necessario acquistare un software fornendo i dati della propria carta di credito.

4. Hupigon: 4,6%

Quando avviene un’infezione attraverso la variante Ur Hupigon.a vengono scritti nella cartella di sistema i file winreg.exe e notepod.exe. Inoltre avvengono variazioni a livello di registro che assicurano l’esecuzione automatica di winreg.exe ad ogni avvio di sistema.

Alcuni membri della famiglia Hupigon aprono porte TCP per permettere i controllo remoto e l’accesso al file system per consentire di registrare le digitazioni sulla tastiera al fine di rubare dati personali.

5. Swizzor: 4,1%

Le numerose varianti si Swizzor appartengono alla categoria degli Adware e generano, attraverso una manipolazione del browser, pop up pubblicitari non voluti.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

Rootkits neppure la formattazione li ferma

I Rootkits, sono tra le ultime minacce di questi anni e terribilmente difficili da eliminare. Dei ricercatori argentini hanno trovato il sistema per far si che dei Rootkits sopravvivano ad una formattazione del PC.

Alfredo Ortega e Anibal Sacco della società Core Security Technologies, sono riusciti a fare in modo che dopo la formattazione rootkit non venga nemmeno sfiorato, l'hanno fatto infettando il BIOS (il cuore del funzionamento del PC) del PC.

Infatti se pensiamo a quando formattiamo il pc, sappiamo bene che lavoriamo sull'hard disk e che non interveniamo sul Bios, ma non solo, solitamente l'antivirus o altri programmi di sicurezza non controllano il Bios, lasciando, ovviamente indenne il Rootkit.

Da tenere presente che al momento gli attacchi ai Bios non sono facili, richiedono accesso fisico alla macchina oppure un determinato exploit, ma potrebbero aprirsi nuove strade in futuro.

Il rapporto è consultabile tramite questo file .PDF.

Altre info sul sito SecurityFocus e sul sito Threatpost (in inglese).

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

Altro rischio per Facebook torna Koobface

Dopo le finte applicazioni per tentare di rubare i dati personali, rispunta l'ombra di Koobface su Facebook.

Non è un gioco di parole, per chi non ne fosse a conoscenza, il virus Koobface era apparso l'anno scorso, ed è tornato sotto forma di una nuova variante proprio in questi giorni.

A darne notizia è l'azienda di sicurezza Trend Micro.

Il contagio avviene tramite un falso messaggio proveniente da un amico Facebook, in questo messaggio vi è contenuto un link a un video on-line, se si clicca si vedrà il nome ed una foto del amico,con una richiesta di cliccare il pulsante "install".

A quel punto la vittima verrà indirizzata ad un sito per il download di un file "setup.exe", l'eseguibile della nuova variante del worm, classificata come Worm_Koobface.az. Il rischio è comunque da considerarsi valido anche per altri siti di social networking.

È possibili trovare maggiori informazioni sulla pagina dedicata alla sicurezza di Facebook.

Ignorate questo tipo di messaggio per evitare eventuali contagi.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

Il virus che infetta grazie all'SMS

La segnalazione arriva da Fortinet, società specializzata in sicurezza informatica, che attraverso il suo FortiGuard Global Security Research Team ha rilevato un virus che infetta i cellulari via SMS.

Il worm in questione si chiama Yzes.A e si diffonde, appunto, tramite gli SMS. È conosciuto come "Sexy View" ma il suo vero nome è SymbOS/Yxes.A.

Al momento sfrutta i dispositivi con sistema operativo Symbian S60 3RD Edition (come il Nokia 3250), ma la minaccia potrebbe comunque estendersi anche ad altri dispositivi.

Come funziona questo virus? In modo molto semplice, una volta attivato sul cellulare, copia i numeri telefonici della rubrica, ed invia un SMS contenente un indirizzo web pericoloso, se il ricevente decide di cliccarci su, verrà indirizzato ad un sito malevolo che installerà una copia del virus sul nuovo cellulare.

Il virus è in grado di rubare i dati del possessore, come il numero seriale del telefono, i codici di abbonamento, i dati dell'utente e via dicendo, per poi inviare a un server di raccolta centrale, tutte queste preziose informazioni.

Il rischio di questo virus, oltre ai danni ed alla perdita di dati importanti, deriva dalla caratteristica che questo software potrebbe permettere di ricevere comandi in remoto per modificare le sue caratteristiche, a questo punto sarebbe molto più difficile l'identificazione, Guillaume Lovet, senior manager del gruppo di ricerca di Fortinet ha infatti affermato «Siamo a un passo dalla realizzazione di un botnet per dispositivi mobili».

Visti i danni che provoca una situazione simile su internet c'è da augurarsi che gli utenti diventino sempre più diffidenti nelle loro azioni.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

Microsoft mette una taglia al creatore del worm Conficker/Downadup

Già a gennaio avevo segnalato la minaccia, piuttosto grave che circolava in rete: il worm Conficker/Downadup.

Purtroppo già al momento di quella segnalazione i computer infetti erano moltissimi, ma sembra che l'infezione stia continuando a diffondersi attaccando pc non aggiornati ed inoltre il virus ha la proprietà di potersi diffondere anche tramite penne USB.

La stessa Microsoft aveva rilasciato una patch specifica "MS08-067", il 23 di ottobre; proprio il mancato aggiornamento del sistema operativo ha permesso a questo virus di divenire uno dei peggiori malware in circolazione.

Microsoft in collaborazione con ICANN, NeuStar, VeriSign, CNNIC, Afilias, Public Internet Registry, Global Domains International, M1D Global, AOL, Symantec, F-Secure, ISC, ricercatori di Georgia Tech, The Shadowserver Foundation, Arbor Networks e Support Intelligence, sta cercando di capire il funzionamento del worm e le modalità di propagazione dell’epidemia virale.

Ma per Microsoft non è sufficiente, e come fece già nel 2005 per il worm Sasser, ha deciso di mettere una taglia di ben 250.000 dollari a chi potrà dare informazioni utili per portare all'arresto e alla condanna del creatore e del responsabile del lancio di Conficker/downadup.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

La multa per divieto di sosta ti infetta il pc

Da che mondo è mondo i truffatori sono sempre esistiti, più o meno audaci ci sono e bisogna fare i conti con loro. Oggi, ovviamente non si deve più dare attenzione solo al mondo reale, ma anche al mondo virtuale e sovente questi due mondi si fondo insieme per trarre in inganno chiunque, non solo gli sprovveduti.

La truffa di cui vi parlo oggi è stata segnalata nella città di Grand Forks (Stati Uniti), ma pare circolino già multe finte recapitate anche in Italia.

In cosa consiste questa truffa? In pratica viene lasciata una finta multa sul parabrezza dell'auto, segnalando una violazione di divieto di sosta.

Su questo foglio, vi sono riportate le istruzioni che indicano di collegarsi ad un sito per vedere le foto che confermano la violazione e le informazioni per pagare la presunta multa.

In realtà si scaricherà una toolbar il cui eseguibile è denominato PictureSearchToolbar.exe.

Quando il computer si riavvierà verrà segnalato all'utente un allert (falso, infatti si tratta di un trojan chiamato Vundo) di un virus dove verrà richiesto di installare un software anti-virus, ovviamente falso pure quello.

Il Sans Institute, l'agenzia che si occupa della sicurezza in rete, ne illustra brevemente le fasi.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

Il 2009 ci porta virus -Conficker, trojan -W32.waledac, spam e phishing

Anche quest'anno i malware non ci risparmiano, si incomincia da un aumento spaventoso di spam dopo una brevissima pausa causata dalla chiusura di un hosting, McColo Corporation.

Poi si passa al phishing, grazie alla grande risonanza e dall'aumento esponenziale di utenti, i Social Network (tipo Facebook) sono diventati pericolosi. Tramite chat o e-mail viene richiesto direttamente il nuovo inserimento dei dati che per un errore di configurazione sono andati persi o magari reindirizzando l'incauto utente su una pagina identica a quella di login di Facebook. Qui verrà richiesto di inserire mail e password. Infatti capita che loschi individui si spaccino per altre persone al fine di carpire dati, informazioni e tutto ciò che può essere utile per rubarvi quei quattro soldini che avete duramente guadagnato.

Con l'ultimo avvento Americano, invece, rischiamo grazie a false notizia sul neoeletto presidente Obama, un'email che afferma la rinuncia alla presidenza di Obama, potrebbe infettare il computer grazie a trojan W32.waledac. Evitate come sempre di cliccare sui link che porterebbero a siti compromessi. Ovviamente per evitarlo è importante avere sempre il computer aggiornato e protetto.

Ma non ci risparmiano neppure i virus, la minaccia più grave in questi giorni è causata da Conficker. Questo virus pare abbia già infettato moltissimi pc non aggiornati (si parla di 9 milioni e non di sassolini), inoltre sembra non esserne immune neppure il nuovo sistema operativo (ancora in beta) della Microsoft, Windows 7.

Downadup Conficker si insinua all’interno di un computer, favorendo così il download di virus e altri file. Questo virus che sta rientrando tra i più prolifici della storia, riesce ad infettare i computer che non sono stati aggiornati , infatti la patch protettiva "MS08-067", risale al 23 di ottobre, ma anche l'assenza di protezioni, come per esempio un antivirus, rischia di compromettere il computer.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

Facebook colpito da un virus e un bug

I malanni di stagione mi hanno impedito di informarvi sulle ultime novità di queste settimane, ma siccome la maggior parte riguardano la sicurezza, sempre meglio un post in più che uno in meno.

Passiamo subito ad un problema che finalmente è stato risolto, si tratta del bug che affliggeva il noto social networking chiamato Facebook ed a un pericoloso worm.

Da un po' di tempo Facebook era stato presa di mira da un worm dal nome non tanto fantasioso ma alquanto pericoloso Koobface.

Questo worm ha infettato più di 120 milioni di utenti di Facebook tramite il sistema di messaggeria del social network. Koobface infatti si diffonde tramite l'invio di messaggi inviati agli amici delle persone il cui PC è stato infettato. I destinatari vengono invogliati da messaggi allettanti a visitare un sito web che richiede il download di un aggiornamento fasullo per Adobe Flash player. Ed ecco che il pc era infettato.

Facebook, nella sezione dedicata alla sicurezza, fornisce istruzioni per la rimozione dell'infezione da "Koobface".

Ma i problemi di Facebook non sono finiti, infatti già ad agosto è stato scoperto un bug, di cui i responsabili di Facebook ne sono stati informati grazie a delle segnalazioni a loro inoltrate. La falla è di tipo cross-site scripting (XSS) e permette di far credere all'utente di essere su una pagina di Facebook, quando invece non è così.

Finalmente dopo un'articolo di The Register  suggerito dall'informatore del bug, sembra che questa falla sia stata chiusa.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

Apple rimossa pagina dove consiglia l'antivirus

Pofferbacco, proprio ieri sera ho scritto di un comunicato della Apple, che consigliava di utilizzare l'antivirus ai propri utenti e stamane è stata rimossa.

Per dovere di cronaca, cercando su Google la pagina cache, ve la ripropongo, ed ecco l'immagine in caso non si potesse più vdere neppure quella.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.