Malware e virus di giugno secondo Gdata

I Trojan ancora in testa, ma con un lieve calo percentuale

In Giugno il panorama del malware è stato ancora dominato dalla presenza di Trojan che hanno comunque subito una lieve flessione. Lo dimostrano gli ultimi dati provenienti dai G Data Security Labs secondo cui il 28,8% (-2,4% rispetto al mese di Maggio) del malware registrato nell’ultimo mese è costituti proprio da Trojan.

Si registra anche un calo per i Downoader che si attestano al 23,4%. Aumento sensibile, invece, per i Backdoor che passano dal 13,8% al 19,9%. Lieve incremento anche gli Spyware, mentre escono dalla top 5 gli Adware per fare posto ai Worm con il 4,0%. La ricerca di G Data ha analizzato 83.072 tipologie di malware e da qui è stata stilata la classifica delle 5 categorie di più diffuse.

Top 5 malware

Le varie tipologie di malware sono state categorizzate in base al loro meccanismo di diffusione e alla tipologia dei danni provocati.

1. Trojan: 28,8% (-2,4%)

I Trojan (Cavalli di Troia) sono un tipo di malware le cui funzionalità sono nascoste all’interno di un programma apparentemente utile per l’utente. È dunque lo stesso utente che, installando un determinato programma, installa inconsapevolmente anche questo codice maligno che provoca danni al sistema. I Trojan non hanno una dinamica di propagazione propria, come virus e worm, ma sono solitamente inviati via e-mail o diffusi attraverso il file sharing o siti Internet.

2. Downloader: 23,4% (-2,2%)

Il Downloader è un tipo di malware che, come il nome stesso indica, scarica in maniera automatica dei file dannosi da Internet che, di norma, cercano subito di inficiare le impostazioni di sicurezza del Pc.

3. Backdoor: 19,9% (+6,1%)

I Backdoor sono paragonabili a porte di servizio che consentono di superare, in parte o in tutto, le difese di un Pc che così può, di conseguenza, essere controllato da un hacker per via remota. La maggior parte delle volte viene installato un particolare tipo di software e il Pc viene integrato in una Botnet costituita da Pc cosiddetti “zombie” che vengono quindi utilizzati per distribuire spam, rubare dati o eseguire attacchi di tipo DDoS.

4. Spyware: 15,9% (+2,3%)

Gli Spyware sono un tipo di malware il cui fine principale è quello di rubare le informazioni personali dal Pc degli utenti. Queste informazioni includono tutti i tipi di dati personali tra cui password, dati per account bancari o addirittura dati di login per i videogiochi online.

5. Worm: 4,0%

Diversamente da un virus, un worm non è collegato a un file eseguibile. Un worm si propaga trasferendosi su altri Pc attraverso network o connessioni Pc-Pc. Ci sono poi diverse sotto categorie di worm che possono essere classificate in base al loro meccanismo di propagazione: mail-worm, network-worm o P2P-worm.

Top 5 famiglie di virus

Basandosi sulle somiglianze a livello di codice, il malware può essere diviso in varie “ famiglie”:

1. Buzus: 5,2%

I Trojan della famiglia Buzus esaminano il sistema delle ignare vittime alla ricerca di dati personali o informazioni di log in per carte di credito, online banking, mail o Ftp. Inoltre cercano di modificare le impostazioni di sicurezza del sistema per renderlo ancora più vulnerabile.

2. Bifrose: 5,1%

Il Backdoor Bifrose garantisce agli hacker un accesso ai sistemi infetti e li connette a un server IRC attraverso il quale è possibile inviare dei determinati comandi.

3. Hupigon: 4,3%

Quando avviene un’infezione attraverso la variante Ur Hupigon.a vengono scritti nella cartella di sistema i file winreg.exe e notepod.exe. Inoltre avvengono variazioni a livello di registro che assicurano l’esecuzione automatica di winreg.exe ad ogni avvio di sistema.

Alcuni membri della famiglia Hupigon aprono porte TCP per permettere i controllo remoto e l’accesso al file system per consentire di registrare le digitazioni sulla tastiera al fine di rubare dati personali

4. Magania: 3,5%

MagaQuesta famiglia di virus nasce in Cina ed è specializzata nel furto di dati di login per i giochi prodotti dalla taiwanese Gamania.

Di solito questi Trojan sono diffusi attraverso e-mail che contengono un archivio RAR. Una volta eseguito il software maligno viene mostrata un’immagine come esca, mentre in background una serie di files vengono installati nel sistema. Magania, inoltre, si collega a Internet Explorer usando una DLL che consente al Trojan di intercettare il traffico WWW.

5. Poison: 2,5%

Il Backdoor Poison consente accessi remoti non autorizzati ai sistemi delle ignare vittime che poi possono essere utilizzati per attacchi di tipo DDoS (Distributed Denial of Service)

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

La classifica dei malware di giugno di Kaspersky

Kaspersky Lab ci informa con la consueta classifica relativa alla diffusione del malware per il mese di giugno.

La prima tabella si riferisce ai programmi nocivi, adware e programmi potenzialmente pericolosi rilevati e resi inoffensivi al primo trattamento anti-virus da subito, nel quadro dell'azione svolta dal componente di programma “scanner on-access”. L'impiego della metodologia di statistica “on-access” consente di condurre un'immediata analisi dei programmi malware più recenti, dei più pericolosi e dei più diffusi. Tali programmi vengono di fatto bloccati ed inibiti nel momento stesso in cui tentano di avviarsi, o durante il loro download dalla rete sui computer degli ignari utenti.

 

I cambiamenti introdotti nella metodologia di analisi delle minacce, non hanno influito sulla leadership della classifica: Net-Worm.Win32.Kido.ih mantiene saldamente la prima posizione. Inoltre, in questa Top-20 compaiono anche due varianti di tale worm, ovverosia Kido.jq e Kido.ix. Evidentemente, la copiosa presenza di Kido nella classifica sopra riportata, è legata al fatto che i «rappresentanti» di tale famiglia di worm sono soliti diffondersi anche tramite supporti mobili, precedentemente utilizzati su unità sprovviste di un'adeguata protezione anti-virus.

Per gli stessi motivi, compaiono in classifica anche AutoRun.dui e AutoRun.rxx, della famiglia di worm Autorun. Troviamo poi, all'interno di questa Top-20, un Trojan Script di particolare interesse, peraltro attivamente utilizzato dai criminali informatici: Trojan-Downloader.JS.LuckySploit.q (ne parleremo più avanti).

Al ventesimo posto si colloca l'adware Shopper.v, uno dei più famosi programmi nel suo genere (la società che lo ha elaborato, Zango - in precedenza Hotbar - è stata chiusa alcuni mesi fa). Tale applicazione installa toolbar di vario tipo, molto difficili da disinstallare, sia nei browser che nei client di posta: saranno in tal modo mostrati in continuazione all'utente dei banner pubblicitari.

La seconda classifica è stata stilata sulla base dei dati acquisiti grazie alle attività condotte dall'anti-virus web: rispecchia la situazione attualmente presente in ambito Internet. Questa Top-20 è composta dal malware rilevato sulle pagine web, così come da quei software nocivi che cercano subdolamente di infiltrarsi nei computer degli utenti tramite il download dalle pagine Internet. In altre parole, questa seconda classifica fornisce illuminanti risposte a due diverse domande: «Quali sono i programmi nocivi che infettano con maggiore frequenza le pagine web?» e «Qual è il malware più frequentemente scaricato - in maniera consapevole od inconsapevole - dalle pagine Internet nocive ed infette?».

La prima posizione è occupata di diritto dal Trojan Downloader Gumblar.a. L'azione che esso conduce rappresenta un eccellente esempio di drive-by-download. Gumblar.a è uno script codificato di piccole dimensioni: quando viene eseguito, reindirizza l'utente al sito infetto dal quale, a sua volta, viene scaricato ed installato il file nocivo eseguibile.

Quest'ultimo, dopo essere stato installato nel sistema, esercita evidenti effetti sul traffico web dell'utente, modificando ad esempio i risultati delle ricerche eseguite tramite Google; allo stesso modo, ricerca nel computer dell'utente le password relative ai server FTP, per poi successivamente procedere all'infezione di questi ultimi. Si assiste così alla formazione di una botnet costituita da server infettati, grazie alla quale i malintenzionati potranno agevolmente caricare sui computer degli utenti qualsivoglia tipo di programma nocivo.

La quantità di server infetti è davvero enorme: la diffusione del contagio si è finora prodotta proprio tramite quei computer sprovvisti di adeguata protezione anti-virus. Un ulteriore significativo esempio di download drive-by è rappresentato dal Trojan Downloader LuckySploit.q, che si colloca al terzo posto della classifica sopra riportata e fa altresì parte, come abbiamo visto, della prima Top-20. Si tratta di uno script magistralmente offuscato, il quale inizialmente raccoglie tutte le informazioni relative alla configurazione del browser dell'utente, per poi inviarle al sito nocivo, cifrandole tramite chiave RSA diretta. Nel server, tali informazioni vengono poi decifrate mediante chiave RSA inversa e, a seconda della configurazione del browser precedentemente individuata, viene restituito all'utente un intero bouquet di script, i quali sfrutteranno le vulnerabilità presenti nel computer e provvederanno al caricamento in esso di ulteriori programmi malware.

Oltretutto, una combinazione così articolata e mutevole rende di particolarmente difficile un’analisi su campioni dello script iniziale, preposto a raccogliere le informazioni relative al browser: nel caso poi in cui il server che decifra tali informazioni risulti inaccessibile, non sarà possibile nemmeno la ricezione dei dati riguardanti gli script che saranno, nella circostanza, subdolamente inviati all'utente.

Vi è poi tutta una serie di malware che sfruttano proprio le vulnerabilità presenti nei programmi elaborati da alcune delle maggiori software house. La presenza in classifica degli exploit Trojan-Clicker.SWF.Small.b, Exploit.JS.Pdfka.gu, Exploit.JS.Pdfka.lr ed Exploit.SWF.Agent.az è allo stesso tempo indice sia della popolarità che della vulnerabilità dei prodotti Adobe Flash Player e Adobe Reader. Vengono altresì sfruttate vulnerabilità di vario genere insite nelle soluzioni software elaborate da Microsoft: Trojan-Downloader.JS.Major.c, ad esempio, nella sua azione cerca di avvalersi immediatamente di alcune vulnerabilità presenti in varie componenti sia del sistema operativo che delle applicazioni di Microsoft Office.

Tirando le somme, si può senz'altro asserire che in questi ultimi tempi si osserva distintamente la tendenza, da parte dei cybercriminali, ad utilizzare in maniera sempre più marcata le varie tipologie del subdolo ma astuto metodo di download drive-by, per infettare i computer degli utenti: è proprio questo, oramai, l'orientamento imperante nel Web. In ragione di quanto sopra esposto, risulta pertanto sempre più indispensabile, per gli utenti, effettuare tempestivamente l'installazione degli aggiornamenti riguardanti sia il sistema operativo che i programmi da essi utilizzati; è in egual modo strettamente necessario, ovviamente, procedere sempre agli aggiornamenti del proprio programma anti-virus.

D'ora in poi, la nostra rassegna mensile sul malware includerà un ulteriore elemento innovativo, ovverosia la classifica relativa ai paesi in cui è stato riscontrato il maggior numero di tentativi di infezione tramite web:

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

G Data: lotteria della cybermafia in cerca di prede

Gli esperti di sicurezza di G Data prendono contatto con i criminali online...

Diventare ricco vincendo di milioni al Lotto è il sogno di tantissime persone. Non è un caso, dunque, se l’ultima ondata di spam promette proprio la realizzazione di questo sogno. Nelle mail che stanno arrivando nelle caselle di tutto il mondo viene promesso un premio di 2.35 milioni di euro con il solo obbligo di prendere contatto telefonicamente con il mittente. Secondo quanto accertato dalla polizia, lo scopo è quello di effettuare trasferimenti bancari fraudolenti o riciclare di denaro sporco. G Data ha investigato e ha provato a contattare di persona questa fantomatica società European Lotto Monitoring che ha sede a Madrid.

"L’inganno non è nuovo, ma la cosa interessante è che questa volta i criminali online hanno lasciato un vero numero di telefono. Di solito i criminali mirano ad impossessarsi di dati personali o bancari da utilizzare poi per frodi o riciclaggio di denaro sporco. L’ultima ondata di spam è probabilmente una campagna orchestrata per favorire il riciclaggio. In questi casi è sempre meglio non rispondere alle e-mail e, anzi, cancellarle immediatamente”, ha dichiarato Ralf Benzmüller, Manager of G Data Security Labs.

G Data però ha voluto andare più a fondo e per questo motivo ha chiamato il numero di telefono riportato in queste mail di spam e che rimanda a una presunta società con sede in Madrid. Al telefono ha risposto un gentile signore che parlava un tedesco stentato e che si è presentato come Randy Peters, rappresentante della società European Lotto Monitoring. Quest’uomo ha dichiarato di non poter dare direttamente informazioni sulla vincita perché il suo compito era quello di raccogliere soltanto dei dati. Ha comunque confermato che la somma di 2.35 milioni di cui si parlava nella mail è corretta, sebbene l’importo totale potesse al momento subire delle variazioni.

G Data a questo punto ha inviato le informazioni raccolte alle forze dell’ordine preposte.

Questo il riassunto della telefonata con RANDY PETERS:

G Data: Salve, sto parlando con la European Lotto Monitoring Unit? Ho ricevuto una vostra comunicazione secondo cui avrei vinto un premio.

RANDY PETERS: Con chi vuole parlare? La capisco poco…

G Data: Ho appena ricevuto una mail da Mr Hernandez e sono molto contento di sapere che ho vinto a una lotteria. Volevo quindi capire ora cosa devo fare.

RANDY PETERS: Ah lei sta chiamando in seguito alla mail di Lotto Monitoring. Qual è il suo nome?

G Data: Il mio nome è A.....

RANDY PETERS: Può ripetere cortesemente? Il mio tedesco non è molto buono…

Sullo sfondo si sente il rumore di una tastiera di Pc su cui si sta digitando. Apparentemente sembra che il nostro interlocutore stia cercando il nome che abbiamo dato in un qualche database in modo tale da trovare una corrispondenza con qualche lista di distribuzione di spam.

RANDY PETERS: Sfortunatamente non riesco a trovare il suo nome. Forse dovrebbe darmi un numero telefonico.

- Diamo quindi al nostro interlocutore un numero telefonico approntato per queste occasioni. -

G Data: è vera la cifra totale della vincita? Sono davvero 2.35 milioni di euro?

RANDY PETERS: Sì, certamente. È così. Stiamo raccogliendo tutti I dati per mandarli a Lotto Monitoring per completare la pratica e quindi trasferire il denaro.

G Data: Quanto ci vorrà? Avrò tutto il denaro?

RANDY PETERS: Sì, certamente. Non posso darle l’ammontare preciso, dal momento che il premio deve essere diviso. Potrebbe essere di meno. Ho bisogno ora del suo indirizzo, numero di telefono e conto corrente bancario per avviare tutta la procedura. Come le ho detto io mi occupo solamente di raccogliere i dati per poi inoltrarli a chi di dovere.

G Data: C’è per caso da pagare qualcosa? Non so come funzionano queste cose…. Sa, ho sentito di alcune storie sulle frodi informatiche…

RANDY PETERS: No, no lei riceverà semplicemente il denaro vinto. Sarà accreditato sul suo conto nelle prossime settimane. Non c’è nulla da pagare, se non un fee per tutta la procedura. Questo si traduce nel 3.5 % della sua vincita che dovremmo detrarre dalla soma totale. Può dunque darmi I suoi dati?

G Data: La linea è un po’ disturbata, possa mandare I miei dati via e-mail all’indirizzo di Mr Hernandez?

RANDY PETERS: Sì va bene. Si assicuri di mandare tutti i dati così potrà avere la prima tranche del denaro in una settimana. Dovrà poi solo trasferire il fee richiesto per l’operazione una volta ricevuto.

A questo punto G Data interrompe la comunicazione.

Maggiori info sul sito ufficiale G Data.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Siti irraggiungibili, 4 soluzioni

Oggi vi voglio parlare di alcuni siti abbastanza utili, per monitorare siti che improvvisamente risultano offline. A volte può capitare che visitando il vostro sito preferito anziché aprirsi come sempre, si apre una pagina di errore o appare la scritta "sito temporaneamente irraggiungibile". I motivi possono essere molti, il server è down, oppure il sito ha una larghezza di banda limitata, una manutenzione temporanea, etc.

Cosa fare a questo punto? Per evitare di aspettare che la situazione si ripristini, andando a controllare continuamente, potete provare ad utilizzare una di queste soluzioni.

Installare un estensione per il browser Firefox, che vi permetterà di rimanere aggiornati sullo stato di un sito web. Si chiama Mr. Uptime, e una volta installato, quando vi troverete sul sito offline, potrete aggiungerla alla lista delle pagine che l’addon dovrà tenere sotto controllo. Appena la pagina tornerà online, sarete avvisati, grazie all’apertura di una scheda con la pagina che avevate messo in coda.

Altro servizio gratuito di monitoraggio e controllo siti è Site Monitor. Una volta su sito è sufficiente inserire l'indirizzo da monitorare, la vostra e-mail, il sito verrà monitorato ogni 15 minuti, controllando che sia raggiungibile e Online, quando lo sarà riceverete un'e.mail di avviso.

Altro comodo servizio per il browser Firefox, è Coral, una grande rete P2P per la distribuzione libera di contenuti, creata per migliorare l'accessibilità dei contenuti Web. In pratica se vuoi accedere a una pagina Web che al momento é lenta o irraggiungibile, basta utilizzare la "Coral cache", aggiungendo al link originale .nyud.net.

Per esempio http://www.coralcdn.org/ diventa http://www.coralcdn.org.nyud.net/, andando sul sito si trovano i plug-in necessari.

Ma potrebbe anche capitare che siate solo voi a non riuscire a visualizzare il sito in questione oppure che sia realmente down il server che lo ospita. Per verificarlo basterà andare sul sito Downforeveryoneorjustme.

Una volta digitato l’indirizzo del sito che non riuscite a caricare ed il servizio vi dirà immediatamente se il sito è down oppure no.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Google elimina gli aggiornamenti in background

Gli aggiornamenti automatici sono da sempre un problema, tornano utili per chi si dimentica di aggiornare i programmi sul proprio computer, ed in questo modo si risolvono i bug che permettono di infettare moltissimi computer, ma sono anche ritenuti invasi da molti utenti, soprattutto quando questi non sono comunicati all'utente.

Proprio in questi giorni fervono discussioni sull'aggiornamento che Microsoft ha effettuato il 9 giugno, che nonostante il proprio sistema fosse configurato per non installare in automatico degli update, l'aggiornamento si è attivato ugualmente, confermato dalla Società di Redmond.

Al di là delle discussioni che potrebbero sorgere, non è la prima volta e non sarà l'ultima.

Anche Google, come molte altre aziende che forniscono software, quali per esempio gli antivirus, utilizza la funzione Google Up-date in background, fino ad oggi.

Andando incontro alle richieste degli utenti, il colosso di Mountain View, ha apportato delle modifiche al funzionamento di questo meccanismo, il software di aggiornamento ora utilizzerà la funzionalità "Operazioni pianificate" di Windows per eseguirsi ad intervalli regolari.

Lo potete verificare andando su pannello di controllo e appunto operazioni pianificate, troverete la voce Google Software Up-date.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Grave falla di sicurezza per Microsoft

Altra falla per Microsoft che coinvolge i browser I.E. 6 e 7, dove è stato scoperto un bug che mette a rischio il Video ActiveX Control.

La stessa Microsoft ne dà comunicazione con due avvisi, il primo è del 3 di giugno 971778, il secondo del 6 luglio 972890 descrive che il problema risiede in una componente di DirectShow che interessa i sistemi operativi Microsoft Windows XP e Windows Server 2003.

In attesa della patch, che probabilmente sarà pronta tra qualche settimana, per risolvere momentaneamente questo problema da Redmond suggeriscono l'utilizzo dei tool automatici Fix it di cui vi avevo parlato all'inizio dell'anno. I fix it sono 972890 e 971778.

Si ricorda che è importante aggiornare l’antivirus, in quanto molti produttori hanno già aggiornato i propri software e sono in grado di riconoscere e bloccare l'exploit.

Altre info da Secunia e McAfee.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.