[Ufficiale]Malware ultima Frontiera
 

Ho meditato a lungo prima di scrivere questo post, che vuole proporsi come oppositore ai virus 0day, ovvero in parole semplici cercare e soprattutto cominciare a parlare di nuove tipologie di virus non appena nel mondo si cominciano a diffondere, consapevole del fatto che essendo la rete una prima o poi toccherà farci i conti.
Lancio questo articolo (fonte vnunet.it) come manifesto che meglio esprime le mie idee, ponendo già l'accenno su due nuove categorie di cui non avevo sentito ancora parlare (scareware e ransomware).

spero che questo torni utile a qualcuno (indipendentemente dal fatto che è stato commissionato da un produttore sw av ed in ogni caso una sintesi dello stesso articolo si trova su http://www.ilsole24ore.com/art/SoleO...8c&type=Libero ) e cmq spero quanto prima di aggiungere altre campane.


Links utili:

http://www.ippari.unict.it/infapp/d...ptovirology.pdf (appunti sulla criptovirologia)

http://it.wikipedia.org/wiki/Vishing (per sapere cos'è il vishing)

http://www.viruslist.com/ (per informarsi circa i virus e le loro varianti, molto completo)

http://www.isacaroma.it/ (osservatorio italiano per la sicurezza)

http://vil.nai.com/vil/default.aspx (altro laboratorio di analisi di mcafee)

www.thedailybit.net (emagazine italiano indipendente con ampio risalto alla sicurezza)

http://www.cgisecurity.com/ (per chi opera nel campo della programmazione web potrebbe essere utile questo sito)

http://www.megalab.it/articoli.php?id_canale=2 (sezione sicurezza del sito megalab dove avere informazioni su sw di protezione e nuove minacce).

secunia.com (sito straniero molto utile per conoscere vulnerabilità e cronologia infezioni inviate da vari produttori av.)

grazie x l'interessante segnalazione

Vishing
 

Attenti al vishing, la truffa su Voip
Operatori di falsi call center chiedono i nostri dati personali e bancari.

[ZEUS News - www.zeusnews.it - 11-09-2006]

Foto di Astin le ClercqDopo il boom negativo del phishing (l'email truffaldina con link a falsi siti bancari che chiedono i nostri dati riservati come il Pin, le coordinate bancarie, i dati della carta di credito) arriva il vishing, contrazione fra Voip e phishing. Grazie al Voip i costi di chiamata si sono ridotti notevolmente; inoltre la gente tende a fidarsi più di un operatore che di siti web.

Il "visher" attiva un account Voip in stile Skype e fa partire un sistema di chiamata automatico che contatta le potenziali vittime. Quando una di queste risponde, il sistema riproduce una registrazione che comunica un qualche problema sul conto bancario o sulla carta di credito e chiede di chiamare un numero per risolverlo. Il numero indicato è il numero Voip del visher: chiamandolo si riceve la richiesta registrata di inserire i propri dati privati.

inoltre http://it.wikipedia.org/wiki/Vishing

Spyware: Falsi video Youtube in Myspace diffondono la Zango Cash Toolbar
 

I Websense Security Labs ha rilevato in alcune pagine utente di Myspace la presenza di una serie di video rassomiglianti a quelli utilizzati da Youtube, la cui natura tuttavia è quella di reindirizzare il malcapitato utente, attratto da immagini di natura erotica, nel sito "Yootube.info"

Chiaramente contraffatto per rassomigliare al vero Youtube, il sito contiene al suo interno un serie di pulsanti dal titolo "click here for the full video" (clicca qui per il video completo) che se cliccati aprono un file video Microsoft Windows Media, il quale richiede l’accettazione di una "particolare" licenza per poter avviare la riproduzione delle immagini.

Se accetta si darà il via all’installazione della Zango Cash Toolbar, software classificato da molte società anti-virus come in grado monitorare, controllare e registrare le abitudini di navigazione Internet degli utenti colpiti.

fonte anti-phishing.it

Cybercrimine sempre più organizzato
 

Venerdì 12 Gennaio 2007

Nel 2007, si assisterà al rafforzamento di una nuova economia mondiale del cybercrimine della quale si sono visti i primi segnali già nel corso del 2006. Essa vedrà la creazione di bande criminali organizzate composte da delinquenti comuni e da hacker e dedite all’acquisto, vendita e scambio di “beni” quali toolkit pronti da usare per sferrare cyber-attacchi o codici maligni in grado di sfruttare vulnerabilità sconosciute dei sistemi e del web. Questo è quanto predicono in questo inizio d’anno gli esperti di Websense, la società specializzata nella sicurezza web e nella protezione da minacce interne ed esterne alle organizzazioni.

Per il 2007, Websense prevede inoltre una escalation delle problematiche di sicurezza legate al Web 2.0 a seguito della disponibilità in massa delle nuove tecnologie mirate a rendere il web sempre più dinamico e interattivo.

Nel 2007, le principali preoccupazioni non saranno più worm e virus veicolati via email. Sarà piuttosto il web in generale, con il suo impiego ubiquitario e dinamico, a costituire il principale vettore di infezioni dal sempre più diffuso e sofisticato codice maligno creato allo scopo di rubare informazioni.

Websense prevede inoltre l’emergere di exploit in grado di vanificare la protezione promessa dalle toolbar anti-phishing e di tecniche sempre migliori per l’occultamento dei tentativi di sottrazione di informazioni e dati riservati, nonchè l’ulteriore evoluzione delle BOT net, ovvero delle reti di computer infetti controllati da remoto dai cybercriminali, che le impiegano per sferrare attacchi contro altri sistemi in rete o compiere azioni illecite.

“Il crimine organizzato ha realizzato che il potenziale di sfruttamento illecito di Internet è ancora enorme. I facili guadagni che le organizzazioni criminali vedono a portata di mano rappresentano uno stimolo eccezionale all’affinamento dei metodi di attacco”, spiega Dan Hubbard, responsabile ricerca di Websense. “Tool ed exploit da usare per il furto di informazioni personali, aziendali e finanziarie sono la merce più interessante per i cybercriminali. Nel 2007, le aziende e le organizzazioni di ogni tipo non potranno più trascurare l’attivazione di misure preventive idonee a sventare la nuova ondata di attacchi mirati e occulti che si profila all’orizzonte”.


Le previsioni di Websense per il 2007

Un sottobosco di economia criminale
Nel 2006, il cyber-crimine ha iniziato ad alzare il tiro. Nel 2007, Websense si aspetta che esso divenga più organizzato ed “efficiente”. In questo contesto di nuova economia criminale, il mercato sommerso del codice finalizzato a sferrare attacchi cosiddetti zero-day (che indirizzano vulnerabilità dei sistemi ancora sconosciute) sarà sempre più vivace. Il che si tradurrà in un aumento e in una maggiore efficacia degli attacchi contro i quali ancora non esistono contromisure mirati a client e server.

Web 2.0: nuova tecnologia, nuovi problemi per la sicurezza
I siti web basati su tecnologia Web 2.0 sono una realtà in crescita, che secondo le stime comprende già l’80 dei primi 20 siti più visitati del web, tra i quali MySpace e Wikipedia. Siti Web 2.0 quali le social network sono particolarmente vulnerabili agli attacchi a causa della natura particolarmente dinamica dei loro contenuti, che ne rende difficile il monitoraggio e la protezione. Sono milioni le vittime potenziali che criminali, spammer e organizzazioni dedite all’adware mirano a raggiungere colpendo tali reti sociali.

Le principali aree di preoccupazione per il Web 2.0:
- Contenuti creati dall’utente: la possibilità sempre maggiore per gli utenti di creare e controllare in modo autonomo contenuti creativi e dinamici accresce i problemi di sicurezza.

- Social Network: l’ampia popolazione di utenti e la possibilità di connettersi l’un l’altro mediante profili e reti farà aumentare le problematiche di sicurezza nell’ambito di tali comunità. Le social network di intrattenimento non saranno però l’unico obiettivo; un altro target appetibile per i cybercriminali sono le reti sociali di persone che si scambiano informazioni e contatti finalizzati alla ricerca di un impiego o allo sviluppo del business.

- Service Oriented Architecture (SOA) e Web Service: Il Web come piattaforma di applicazioni scritte in diversi linguaggi e implementate su diverse piattaforme é diventato realtá, ma l’avvento dei Web Service e dell’interoperabilitá di diversi software e piattaforme condurrà a un aumento dei problemi di sicurezza, poiché un buco di sicurezza attraverso i vari link si propagherá su tutta la catena dei domini coinvolti.

Exploit delle toolbar anti-phishing
Nel 2006, molte note aziende hanno reso disponibili toolbar anti-phishing integrate nel browser, mirate a evidenziare all’utente link e siti sospetti. Websense prevede che alcune di esse saranno oggetto di exploit progettati per disabilitarle e renderle inefficaci nella prevenzione della minaccia phishing.

Miglior occultamento dei dati
Nel 2007, il furto di informazioni perpetrato mediante codice maligno crescerà e i cybercriminali useranno sempre più la crittografia per occultare il codice maligno e bypassare le misure di prevenzione.

Evoluzione delle BOT net
Emergeranno vere e proprie centrali distribuite di comando e controllo delle BOT net e si assisterà sempre più all’impiego di protocolli per il controllo diversi dai tradizionali Internet Relay Chat (IRC) o HTTP. Aumenterà inoltre l’uso della crittografia e la creazione personalizzata di BOT.

--------------------------------------------------------------------------------
www.thedailybit.net

bravo giannola, ottimo lavoro e buone queste segnalazioni!

grazie mille, fa sempre piacere essere utili. ;)

di niente! ;)

Non mi pare sono cose nuove. Mi pare che i pericolosissimi Scareware sono i vecchi popup che fanno installare gli antispyware inutili, i Ransomware, mi pare, sono veramente bastardi, ma anche questi non sono nuovissimi e sono per ovvi motivi molto rari.
Quello che voglio dire e' che chi appunto sfrutta di piu' la paura dei virus, degli spyware e degli ultimi arrivati cyberterroristi sono i nostri carissimi amici, symantec e co. Sono su molti punti in disaccordo con questo articolo: "Le nuove frontiere del Cybercrime", mi sembra di sentire il vicedirettore del corriere della sera su matrix. L' articolo successivo di websense continua sullo stesso filone, cito:
"Nel 2007, le aziende e le organizzazioni di ogni tipo non potranno più trascurare l’attivazione di misure preventive idonee a sventare la nuova ondata di attacchi mirati e occulti che si profila all’orizzonte”.
Misure preventive? Ma chi e' che scrive condolezza reich? :D
Ho suonato la mia campana.
ciao




_____
Kars2

Kars, hai ragione, nulla di nuovo... per noi.
Tieni presente però che è sempre un bene ricordare a tutti cosa abbiamo di fronte quando parliamo di maleware. Questo post aiuterà sicuramente qualcuno a chiarirsi le idee e ad altri a rinfrescarle.

giannola, ottima iniziativa :)

beh io ad esempio non sapevo nemmeno che esistessero adesso invece che so come che esistono e come si comportano sarò in grado anche di riconoscere eventuali nuove varianti.
Credo che come me tanti su questo forum non conoscono l'esistenza di queste forme di malware sia nuove che nuove riedizioni di vecchie tecniche e dunque scopo di questo 3d è allertare gli utenti.

Il grave problema delle botnet
 

Gennaio 13th, 2007

Stavo leggendo ieri sera alcune dichiarazioni di David Dagon, ricercatore del Georgia Institute of Technology, il quale afferma che ben l’11% dei pc che sono su internet - stimati intorno ai 650 milioni - è infetto da malware che trasforma i pc in zombie. Si parla dunque di circa 71 milioni di pc.

La situazione è effettivamente grave e non è un inno alla vendita di prodotti antivirus, proprio le società di antivirus dovrebbero essere le prime a rivedere le tecnologie per l’individuazione di queste infezioni. La situazione attuale è che vengono isolati ogni giorno migliaia di nuovi malware, ma altrettanti non vengono neanche visti da lontano. Semplicemente perché è umanamente impossibile riuscire ad analizzare tutte le infezioni, farne un’analisi e rilasciare signature a questo ritmo. Senza considerare che - visto l’attuale trend degli attacchi mirati - alcune infezioni molto diffuse difficilmente vengono identificate in tempo dai laboratori di ricerca, perché non sono infezioni sotto l’occhio di tutti in campo internazionale.

Dall’altra parte, i malware writer si stanno attrezzando sempre più per creare ogni giorno nuovi malware, o varianti offuscate, in modo tale da evitare i controlli dei software antivirus. Sono sempre più frequenti malware offuscati da server, in modo che ogni vittima scarichi una versione differente da altri utenti. La semplice tecnologia di individuazione tramite signature, se non arricchita con altre tecniche, sta facendo sentire le proprie debolezze, intrinseche nella natura stessa della tecnologia.

A che pro dunque questo grande movimento dell’underground in termini di malware? Chiaramente a scopo di lucro. Come ho scritto nel report già disponibile qui, i malware writer hanno capito che è possibile fare soldi con le infezioni, i pc sono dappertutto. E come è possibile fare soldi? Nel report ho parlato di dialer principalmente, la modalità probabilmente più veloce di fare soldi e che investe per la maggior parte l’Italia.

Ma un altro grave problema a livello mondiale sono le botnet. Molti pc vengono infettati da rootkit, backdoor e trojan - i primi solitamente per nascondere i secondi - senza che gli utenti se ne rendano conto. Non parlo di utenti singoli, qualcuno può tranquillamente dire “io non sono infetto, mi preoccupo della difesa del mio pc con un antivirus aggiornato, non vedo tutto questo allarme“. Il problema non è quel singolo utente però, ci sono centinaia di migliaia di pc infetti, aziende, enti, ma anche singoli computer desktop casalinghi, che sono infetti a loro insaputa.
Quei pc entrano a far parte di reti mondiali, reti controllate dai creatori di malware. I pc infetti restano in attesa di comandi, di azioni da eseguire.


Non sono fantascienza le botnet, non è fantascienza questa tecnica di fare soldi. Come è possibile fare soldi con le botnet? Basta immaginare una botnet di pc zombie utilizzata come smtp relay server per mandare spam. Migliaia e migliaia di pc che mandano spam a comando. Oppure i ricatti, il pagamento di “pizzo” virtuale. A dicembre c’erano i saldi, le offerte natalizie di attacchi DDoS. Della serie “compra due attacchi DDoS e il terzo è gratis“, questo è quello che avevano intercettato i laboratori Kaspersky.

Nella società odierna lanciare un attacco DDoS contro una società significa provocare un danno in alcune situazioni anche molto grave. Molte sono le compagnie che fanno del web la fonte principale di reddito e i loro server web devono essere sempre raggiungibili. Lanciare un attacco DDoS contro una di esse e chiedere per esempio un riscatto è una delle tecniche utilizzate.

Un esempio sono stati i continui attacchi DDoS che da fine novembre, dicembre e a tutt’oggi sono stati sferrati contro molti siti web. Alcuni server DNS internazionali, l’hoster italiano Tophost - dove è ospitato anche questo sito - alcuni forum e siti internazionali che si occupano di sicurezza informatica. Ma il caso più eclatante è il sito di gmer, l’autore dell’omonimo scanner antirootkit, uno dei più utilizzati a livello mondiale.


Il sito gmer.net è stato attaccato i primi di Dicembre e tutt’ora è sotto attacco DDoS. É stato cambiato server più volte, e nel giro di poche ore tutti i nuovi server sono stati attaccati. Anche i mirror sono stati attaccati.

Non si parla di un attacco semplice, alcuni gestori hanno riportato oltre quattro milioni di hit, circa 600.000 hit ogni ora. Altri hanno registrato un consumo di banda di circa 87GB in meno di cinque ore. Altri server hanno registrato più 8000 bot contemporaneamente all’attacco. In generale un mix di tecniche di attacco differenti e in alcuni casi difficili da filtrare. Un carico spesso ingestibile per la maggior parte dei server.

Un attacco impossibile da gestire e sferrare se non ci fossero molti pc infetti e controllati da remoto. Una realtà, dunque, che sarebbe sbagliato minimizzare.

Cosa succederebbe se invece del sito di gmer venisse attaccato qualche ente istituzionale, finanziario o governativo?
(pcalsicuro.com)

cos'è una botnet ?

Botnet
Da Wikipedia, l'enciclopedia libera.

Una botnet è una rete di computer collegati ad internet che, a causa di falle nella sicurezza o mancanza di attenzione da parte dell'utente e dell'amministratore di sistema, vengono infettati da virus informatici o trojan i quali consentono ai loro creatori di controllare il sistema da remoto. Questi ultimi possono in questo modo sfruttare i sistemi compromessi per scagliare attacchi distribuiti del tipo denial-of-service (DDoS) contro qualsiasi altro sistema in rete oppure compiere altre operazioni illecite, in taluni casi agendo persino su commissione di organizzazioni criminali.


Modalità di funzionamento e uso

I virus creati per far parte di una botnet, non appena assunto il controllo del sistema, devono poter fornire al proprio autore i dati relativi al sistema infettato. Per fare ciò spesso sfruttano i canali IRC (Internet Relay Chat) e si connettono ad un dato canale, situato su un dato server, il quale spesso è protetto da una password per dare accesso esclusivo all'autore. Tramite il canale di chat l'autore è in grado di controllare contemporaneamente tutti i sistemi infetti collegati al canale (i quali possono essere anche decine di migliaia) e di impartire ordini a questi. Per fare un esempio, con un solo comando potrebbe far partire un attacco DDoS verso un sistema a sua scelta. Le botnet vengono spesso utilizzate anche per altri scopi oltre al DDoS: questi virus sono spesso programmati in modo da spiare il sistema infetto e intercettare password ed altre informazioni utili. Possono anche offrire accesso alle macchine infette tramite backdoor oppure servizi proxy che garantiscono l'anonimato in rete.

quello appena postato è un articolo utile per riflettere sulle parole di alcuni di noi.
E' la dimostrazione pratica di quanto si diceva a proposito del fatto che l'infezione di uno finisce per riguardare tutti noi perchè la rete è una e non si può ragionare "ognuno per se e Dio per tutti".
Bisogna che ognuno faccia la sua parte come nel caso dell'iniziativa per la lotta allo spam di acyd. ;)

e pensa che c'è in giro chi viaggia in internet senza antivirus!!! :O

già, e di gente in giro ce n'è tanta così, credetemi. Lo si può vedere anche qui sul forum :rolleyes: :rolleyes: . A me viene sempre un gran nervoso quando la gente si lamenta dei problemi, non posta nei thread ufficiali e in + non ha nemmeno l'antivirus...bah.. :mbe: :stordita:

tengo costantemente sotto controllo i vari osservatori virus
http://vil.nai.com/vil/Content/v_vul27722.htm

nuovo trojan della famiglia dropper
http://www.viruslist.com/en/viruses/...?virusid=40818
il cui più famoso esponente è conosciuto ad alcuni come optix

Crittovirologia
 

Poichè si prevede (ma speriamo che non si avveri) anche un incremento di crittovirus nei prossimi mesi.
Penso che sia utile (considerato anche che se ne parla davvero poco) anche scaricarsi questo pdf dell'università di catania per avere una idea un più chiara sulla crittovirologia, sui virus corazzati, metamorfici, ecc.


http://www.ippari.unict.it/infapp/di...tovirology.pdf

buona lettura ;)

Anche a me, ma il nervoso mi viene per il motivo opposto. Mi piacerebbe che chiunque potesse navigare tranquillo, anche chi non ha la passione/tempo/voglia di capire come funzionano i computer. Io non so come si pilota un aereo, eppure ogni tanto volo... non so se mi spiego.
So che quello che penso è probabilemte un'utopia, almeno per ora, ma è questo il mondo informatizzato che mi piacerebbe.

certo che siamo proprio messi male su più fronti! :fagiano: :fagiano: :fagiano: :fagiano:

vi spiegate benissimo, però cercate di restare nel seminato plz :)

In ogni caso il documento che ho letto dà da pensare soprattutto per quel che riguarda le conclusioni.

Appunto, son le conclusioni che non mi piacciono, pur condividendole.
Le condivido perchè effettivamente siamo messi talmente male che l'unica soluzione è diventare tutti quantomento "competenti" nel settore sicurezza per evitare i rischi maggiori.
Non mi piace perchè lo trovo assurdo, rischiamo di scaricare tutte le colpe sulla teoria (l'effettiva impossibilità di dimostrare formalmente la sicurezza di un sistema e quindi l'impossibilità di scrivere programmi sicuri) quando invece la STRAGRANDE maggioranza dei bug (senza di essi i virus/maleware vari sarebbero una minaccia estremamente minore) è presente per mancanza di attenzione/tempo da parte di chi sviluppa sw, mancanza magari data dall'obbligo economico di "arrivare prima sul mercato"...
Scusate lo sfogo, ma finchè useremo SW che viene venduto con centinaia di bug conosciuti non patchati per poter vendere prima della concorrenza, affidandoci poi a patch future... bhe non venitemi a dire che è colpa mia che non ho studiato a sufficienza se mi becco un virus.

P.S.: e lo dico in contrasto con i miei interessi visto che senza problemi informatici sarei disoccupato!

http://www.isacaroma.it/html/newsletter/node/476ù
posto questo che aiuta a fare un sunto di eventuali minacce nuove e future.
In più trovo utile il dodecalogo che per prevenire infezioni.
Spero possa essere utile. ;)

secondo il mio modesto parere questo tread dovrebbe essere messo in rilievo ed essere trattato come una sorta di "bollettino di guerra" da leggere!

discorso che condivido per filo e per segno ;)

penso proprio che chiederò ai mod se lo possono spostare nella sezione 3d ufficiali, qua rischia di perdersi.

ottimo lavoro ;)
tieni aggiornato il primo post inserendo man a mano i link al singolo post dei vari malware ;)
sennò diventa una bolgia ;)

grazie a te ed un grazie mille a tutti coloro che hanno già apportato il loro contributo e vorranno contribuire in futuro (o continueranno a farlo) per cercare di diffondere informazioni riguardo alle minacce poco conosciute di eventuale prossima diffusione.

Una piccola mano per arginare in parte il problema significa anche una rete un po più pulita.
E' sempre meglio di niente e se ci aggiungete l'impegno di acyd(con lo spam) e di eraser (con prevx) è già più che qualcosa. ;)

Sul trojan Stration C
 

Gira da un pò questo trojan ma ancora nn è molto diffuso.

Essenzialmente si diffonde via email con intestazioni del tipo "Mail Delivery System", "Mail Transaction Failed" e il testo riporta "Mail Server Report" facendo riferimento ad una mail infettata da un virus e inviata da un account del ricevente.

Il testo avvisa di eseguire il security update di Windows in allegato, che in realtà è una versione dello stesso Stration C, e quindi di riavviare.

Cautela dunque: il file ha una estensione .zip, formato inusuale per i download.

(Csrf) Cross site Request forgery
 

Variante del Cross site scripting (xss)
Usata dagli hacker sui alcuni siti di commercio elettronico e funziona così:
mentre si fanno acquisti l'hacker modifica i dati del modulo per fare l'ordine facendo credere al negozio di essere lui il cliente.
Modifica anche l'indirizzo di consegna, ma non i dati di fatturazione.
In pratica il cliente paga e non gli arriva nemmeno la sua merce e l'hacker ordina invece quello che vuole.

Per utilizzare questo attacco spesso gli hacker sfruttano le implementazioni del server degli script utilizzati dal browser in particolare delle tecnologie web 2.0
(riassunto dalla rivista chip)


http://en.wikipedia.org/wiki/Cross-site_request_forgery

http://www.cgisecurity.com/articles/csrf-faq.shtml

Prudenza quindi anche negli acquisti in rete, verificare sempre che il sito sia sicuro (crittazione a 128bit). ;)

intervento di mausap.

Un trojan in alcuni GPS TomTom
 

Roma, 30/01/2007 - Prima di partire per la prossima gita fuori porta, controllate che il navigatore GPS non sia infetto da malware e virus informatici. Allarma e fa discutere le società di sicurezza la notizia della commercializzazione del primo "TomTom con virus", inclusivo di software malevoli pensati, neanche a dirlo, per colpire i PC basati sui sistemi operativi della famiglia Windows.


Mentre scriviamo la società produttrice della famosa linea di navigatori non ha ancora rilasciato comunicazioni ufficiali al grande pubblico: l'infezione interesserebbe una partita di dispositivi della serie TomTom GO 910 prodotta tra settembre e novembre 2006 che, se collegati ad un PC dotato di antivirus, farebbero scattare la protezione in tempo reale di quest'ultimo.

In particolare, l'antivirus segnalerebbe come infetti i file copy.exe e host.exe, presenti sulla directory radice del disco fisso integrato nel TomTom, contenenti rispettivamente il file virus Win32.Perlovga.A e il trojan horse TR/Drop.Small.qp. I malware, stando a quanto segnala il weblog di F-Secure, sono ben noti sin da gennaio 2005 (il trojan) e da giugno 2006 (il virus), e a quanto assicurano gli esperti, sono da considerarsi rischi di basso profilo per il sistema degli utenti.

Non correrebbe poi rischi il dispositivo in sé, non facendo parte della dotazione standard del navigatore i due file eseguibili infetti. Ma c'è chi si meraviglia perché la società che produce i TomTom non abbia ancora preso posizione sulla cosa. Stando a quanto riportato inizialmente da DaniWeb, dopo la segnalazione dell'inghippo la società ha inviato una stringata mail con la descrizione del problema, contenente infine il consiglio di lasciar cancellare i bacilli al software antivirus.

Ad ora, non è stato pubblicato alcun avviso sul sito web del navigatore né risultano annunci ufficiali sul potenziale allarme. Ma va detto che non è certo il primo della serie: ha fatto storia l'individuazione, l'ottobre scorso, di un malware in alcuni iPod di Apple, e prima ancora la scoperta di un keylogger, software spione sniffa-informazioni, nei lettori MP3 distribuiti da McDonalds Japan.

Alfonso Maruccia (punto informatico)

Update ore 17

Sul proprio sito, TomTom ha ora pubblicato un'analisi del problema. L'azienda consiglia di aggiornare i propri software antivirus o di ricorrere al check antivirus gratuito offerto da alcune importanti società di settore.

Quarta falla zero-day in Word
 

Roma - Symantec ha recentemente scoperto un nuovo cavallo di Troia, battezzato Mdropper.m, capace di sfruttare un'inedita vulnerabilità di MS Word 2000. Quest'ultima si aggiunge alle altre tre falle zero-day scoperte a dicembre e tuttora senza patch.

Il nuovo trojan si cela all'interno di un documento Word e viene eseguito quando l'utente apre il file. Una volta in memoria, Mdropper.m crea una backdoor utilizzabile da un cracker per accedere al sistema da remoto.

In questo advisory Microsoft ha confermato l'esistenza del problema, ma ha anche spiegato che il bug interessa esclusivamente l'ormai anziano Word 2000. Alcuni esperti di sicurezza sostengono tuttavia che l'exploit può causare qualche noia anche agli utenti di Word 2002 e Word 2003, questo a causa di un anomalo consumo di risorse di calcolo.

FrSIRT e Secunia giudicano la falla di Word 2000 della massima pericolosità.

Gli esperti affermano che bug come questi vengono generalmente utilizzati dai cracker per ottenere il pieno controllo di un sistema vulnerabile da remoto.

(punto informatico)

sono felice di segnalare; che da la bellezza di 2 settimane tutti gli osservtori ativirus concordano sul fatto che non ci siano grandi epidemie in corso. chi vole andare a prendersi una birra faccia pure

offro io :D

Gromozon all'attacco di nuovo
 

Una nuova enorme quantita' di siti civetta con exploit è presente su google.
Quindo mi raccomando di fare molta attenzione.

Occhio a ----mprogrammi.net---- che è molto facile finirci sopra.

----www.msnwm.com--- è un altro sito di gromozon

Questi sono nuovi di zecca.

.......theheretik.us/
.......vegnews.com/
.......softwaregarden.com
........cowpalace.com/
.........cahme.org/
.........ai-tech.com/
.........cgexpo.com/

ma è impossibile postarli tutti.

c'è anche un dialerino tanto per non farsi mancare nulla, sexo.exe (ma fortunamente mi pare che venga per riconosciuto da quasi tutti gli antivirus)

Gli Ip da bloccare

209.85.0.0 - 209.85.127.255 Everyones Internet USA
65.23.128.0 - 65.23.159.255 Datarealm Internet Services USA
64.111.192.0 - 64.111.223.255 ISPrime, Inc. USA

NON ANDATECI ASSOLUTAMENTE e se proprio dovete mai senza aver disabiltato java e js se ci andate con Firefox. Con I.E. è da masochisti!!!!!!

La backlist degli Ip usati dai russi di gromozon cresce sempre.

Due bug congelano Windows Mobile
 

2/2/07 Cupertino (USA) - Gli smartphone e i PDA su cui gira Windows Mobile contengono due bug che potrebbero renderli facile bersaglio di attacchi di tipo denial of service. A dirlo è la nota società di sicurezza Trend Micro, che negli scorsi giorni ha pubblicato un paio di advisory dove spiega che entrambi i problemi possono causare il completo blocco del dispositivo.

I bug interessano le versioni 5.0 e 2003 di Windows Mobile e sono contenuti nella versione pocket di Internet Explorer e in Pictures and Video, l'applicazione dedicata alla riproduzione dei contenuti multimediali.

Il bug di IE, di tipo stack overflow, potrebbe essere innescato dall'apertura di una pagina Web maligna e causare la chiusura improvvisa del browser nonché l'instabilità del sistema. Per far tornare il dispositivo a funzionare correttamente è necessario riavviarlo.

Il bug di Pictures and Video è invece innescato dall'apertura di una immagine JPEG malformata e, secondo Trend Micro, può congelare l'intero sistema per circa 10-15 minuti: dal momento che in questo lasso di tempo non appare alcun messaggio di errore, l'utente potrebbe pensare ad un crash e riavviare il dispositivo perdendo eventualmente dati e messaggi non salvati.

Fortunatamente nessuno dei due bug può essere utilizzato per compromettere la sicurezza del sistema.

Microsoft ha dichiarato che sta investigando sui due problemi e di essere pronta, nel caso ce ne fosse bisogno, a distribuire ai produttori di device un firmware aggiornato da mettere a disposizione dei loro utenti. Fino al rilascio di una patch, Trend Micro suggerisce agli utenti di non aprire pagine Web sconosciute e immagini JPEG provenienti da fonti non affidabili.


INOLTRE:
Nelle scorse ore diverse fonti, tra cui Symantec e FrSIRT, hanno segnalato una vulnerabilià zero-day di Word che, se inedita, sarebbe la quinta nel giro di due mesi: l'ultima è stata scoperta solo pochi giorni fa. Un portavoce di Microsoft ha però affermato che, dalle prime indagini, sarebbe emerso che la nuova vulnerabilità è in realtà "un doppione", ovvero un problema già pubblicamente noto. In ogni caso, FrSIRT riporta che il bug - classificato critical - non è ancora stato corretto.

Secondo Symantec, la debolezza interessa Word 2003, 2002 e 2000 e viene attualmente sfruttata da un worm, battezzato Mdropper.X, che si cela all'interno di un allegato di posta elettronica.

(punto informatico)

Top Ten di mcAfee
 

Non è di prima mano ma reputo sia utile a fini conoscitivi. ;)

30/11/2006
McAfee ha reso note le sue previsioni su quali saranno le 10 principali minacce di sicurezza nel 2007 stilate da McAfeeâ Avert Labs. Secondo i dati e con oltre 217.000 diverse tipologie di minacce note e altre non ancora identificate, è chiaro che il malware viene rilasciato sempre più da criminali professionisti e organizzati.
I siti web che “rubano” le password sono in aumento
Nel 2007 saranno sempre più frequenti attacchi che cercano di catturare l’identità e la password degli utenti visualizzando una pagina di sign-in fasulla e aumenteranno quelli volti a colpire servizi online popolari come eBay. Come testimoniato dagli attacchi di phishing che hanno seguito l’uragano Katrina, si prevede anche un maggior numero di attacchi che si avvantaggiano della volontà e disponibilità della gente di aiutare i bisognosi. Per contro, il numero degli attacchi contro gli ISP dovrebbe diminuire mentre gli attacchi volti a colpire il settore finanziario rimarranno stabili.

Lo spam, e in particolare lo spam di immagini, è in crescita
Nel novembre 2006, lo spam di immagini ha rappresentato oltre il 40% dello spam totale ricevuto, rispetto a meno del 10% di un anno fa. Lo spam basato su immagini ha una dimensione tipica che è tre volte maggiore a quella di spam basato su testo, perciò si tratta di un aumento significativo nella larghezza di banda utilizzata dai messaggi di spam classici.

La popolarità dei video sul Web li renderà un obiettivo degli cracker
Il crescente utilizzo di formati video su siti di social networking come MySpace, YouTube e VideoCodeZone porterà gli autori di malware a cercare di penetrare all’interno di una rete ampia. Diversamente dalle situazioni che coinvolgono gli allegati email, la maggior parte degli utenti avrà la tendenza ad aprire file multimediali senza alcuna esitazione. Inoltre, poiché il video è un formato semplice da utilizzare, funzionalità come il padding, pubblicità pop-up e reindirizzamento URL diventano gli strumenti di distruzione ideali per gli autori di malware. Insieme, tali problematiche rendono molto probabile un efficace successo degli scrittori di codice malevolo che sfruttano il media malware.

Il worm W32/Realor, scoperto all’inizio di Novembre 2006 da McAfee Avert Labs, rappresenta un caso recente di media malware. Il worm è in grado di lanciare siti web malevoli senza indicazioni da parte dell’utente, esponendo così gli utenti all’attacco di bot o ladri di password caricati su tali siti. Altro media malware come Exploit-WinAmpPLS potrebbe installare di nascosto dello spyware con un’interazione minima da parte dell’utente. Con la diffusione sul web di reti per la condivisione di video e filmati, la possibilità di catturare l’attenzione di un vasto pubblico inciterà gli autori di malware a sfruttare tali canali per ottenere un guadagno economico.

Crescono gli attacchi mobile
Le minacce mobile continueranno a crescere di pari passo con la convergenza tra piattaforme diverse. L’utilizzo della tecnologia degli smartphone ha giocato un ruolo fondamentale nel passaggio delle minacce da PC multifunzione, semi-stazionari a dispositivi palmari “indossabili”. Con l’incremento nella diffusione di connessioni BlueTooth, SMS, instant messaging, email, WiFi, USB, audio, video e Web crescono le possibilità di contaminazione incrociata dei diversi dispositivi.

Il 2006 è stato testimone dei tentativi da parte degli autori di malware mobile di realizzare vettori d’infezione PC-verso-telefono e telefono-verso-PC. Il vettore PC-verso-telefono è stato realizzato creando MSIL/Xrove.A, un malware .NET che può infettare uno smartphone tramite ActiveSync. I vettori telefono-verso-PC esistenti al momento sono in uno stadio ancora primitivo, per esempio quelli che infettano tramite schede di memoria rimovibili. Comunque, McAfee prevede che il secondo livello successivo verranno raggiunto nel corso del 2007.

Anche lo SMiShing, che prevede che le tradizionali tecniche di phishing tramite email vengano sfruttano via SMS (da qui la definizione di SMiShing invece di phishing), vivrà un aumento.

Inoltre, per il 2007 si prevede un aumento anche del malware mobile a fini di lucro. La prospettiva è cambiata con il Trojan J2ME/Redbrowser Trojan un programma Trojan horse che finge di accedere a pagine web WAP (Wireless Access Protocol) tramite messaggi SMS. In realtà, invece di recuperare le pagine WAP, invia messaggi SMS a numeri telefonici a tariffa maggiorata, costando così all’utente molto più di quanto previsto. Anche un secondo J2ME, Wesber, comparso nel corso del 2006, invia messaggi a un numero SMS a tariffa maggiorata.

La fine del 2006 ha registrato un turbine di offerte di spyware nel mondo mobile. La maggior parte vengono creati per monitorare numeri telefonici e registri di chiamate SMS, o per rubare messaggi SMS inoltrandoli a un altro telefono. Uno spyware in particolare, SymbOS/Flexispy.B, è in grado di attivare remotamente il microfono del dispositivo della vittima, permettendo ad altri di origliare le conversazioni di quella persona. Ci sono altri spyware che possono attivare la macchina fotografica. McAfee prevede che l’offerta di spyware commerciale volto a colpire i dispositivi mobile crescerà nel corso del 2007.

L’adware si diffonderà ampiamente
Nel 2006, McAfee Avert Labs ha registrato un aumento dei programmi indesiderati o Potentially Unwanted Programs (PUPs) commerciali, e una crescita ancora maggiore in tipologie correlate di Trojan malevoli, in particolare keylogger, password-stealer, bot e backdoor. Inoltre, è in aumento l’uso improprio di software commerciale da parte del malware che implementa, controllandoli da remoto, adware, keylogger e software di controllo remoto.


Furto d’identità e perdita dei dati continueranno a essere un problema pubblico
Secondo l’U.S. Federal Trade Commission, ogni anno circa 10 milioni di americani sono vittime di frodi legate all’identità. Alla radice di questi crimini vi è spesso la perdita di un computer, perdita di backup o sistemi informatici compromessi. Mentre McAfee prevede che il numero di vittime rimarrà stabile, aziende che rendono pubblica la perdita o il furto di dati, un crescente numero di furti informatici e attacchi di cracker su sistemi ATM e di pagamento, e la segnalazione di furti di laptop che contengono dati confidenziali continueranno a fare di questo argomento un elemento di preoccupazione pubblica.

Anche i bot aumenteranno
I Bot, programmi informatici che eseguono task automatici, sono in crescita, ma si sposteranno da meccanismi di comunicazioni che sfruttano Internet Relay Chat (IRC) verso metodi meno invadenti. Anche i cosiddetti “Muli” continueranno a costituire un aspetto importante nei piani per guadagnare denaro tramite bot. Si tratta di lavori da svolgere a casa che vengono offerti attraverso siti web dall’aspetto estremamente professionale, tramite annunci economici e anche tramite instant messaging (IM). Questi rappresentano un elemento cruciale del motivo per cui così tante bot sono in grado di essere eseguiti da qualunque posto nel mondo. Per poter ottenere merce (spesso da rivendere) o denaro con credenziali di carte di credito rubate, i ladri devono sottostare a normative più severe se i beni devono andare in altre nazioni. Per aggirare tali normative, utilizzano i cosiddetti “muli” all’interno delle nazioni d’origine.

Il ritorno del malware parassitario
Sebbene il malware parassitario conti poco meno del 10% di tutto il malware (il 90% del malware è statico), sembra che sia tornato di moda. Gli agenti infettanti parassiti sono virus che modificano i file esistenti su un disco, inseriscono codice all’interno del file laddove si trova. Quando l’utente esegue il file infetto, parte anche il virus. W32/Bacalid, W32/Polip e W32Detnat sono tre parassiti infettanti polimorfi popolari identificati nel 2006 che hanno funzionalità stealth e cercano di scaricare i Trojan da siti web compromessi.

All’inizio di questo mese, McAfee Avert Labs ha anche tracciato e monitorato il payload implementato da W32/Kibik.a, un exploit parassita e zero-day che include euristica rootkit, rilevamento comportamentale e blacklist di indirizzi IP che sono stati l’argomento di discussione della comunità della sicurezza negli anni recenti. W32/Kibik.a fa un interessante tentativo di sopravvivere nel panorama competitivo odierno. Dall’installazione silenziosa tramite un exploit zero-day, a permanenza e attività silenziose e ricerche Google silenziose e apparentemente innocenti; W32/Kibik.a potrebbe essere l’inizio di un nuovo trend per il 2007 nel malware scalabile controllato da remoto (noto anche come botnet). Non sorprende che, grazie ai suoi elementi clandestini, pochi fornitori di sicurezza ad oggi abbiamo rilevato o trovato una cura per W32/Kibik.a.

I rootkit cresceranno sulle piattaforme a 32-bit
Ma cresceranno anche le funzionalità di protezione e remediation. Sulle piattaforme a 64-bit, in particolare Vista, i trend del malware sono difficili da prevedere in attesa dei tassi di utilizzo della piattaforma a 64-bit, ma in generale McAfee Avert Labs prevede:

Le vulnerabilità continuano a preoccupare
Si prevede che il numero delle vulnerabilità rese note aumenterà nel 2007. A questo punto del 2006, Microsoft ha annunciato 140 vulnerabilità attraverso il suo programma mensile di patch. McAfee Avert Labs prevede che tale cifra aumenterà a causa del crescente utilizzo di "fuzzer" che rendono possibile test su larga scala delle applicazioni, e a causa del programma di ricompensa che premia i ricercatori che trovano delle vulnerabilità.

(i-dome.com)

Le difese di Windows Vista
 

Webroot Software, società leader nello sviluppo di software antispyware per aziende, utenti individuali e PMI, ha messo in evidenza la potenziale inefficacia delle funzionalità di blocco di Windows Defender, la lentezza negli aggiornamenti delle definizioni e le deboli capacità antivirus nelle componenti anti-spyware e antivirus di default del sistema operativo Microsoft Windows Vista e della suite Live OneCare.

"Apprezziamo Microsoft per i sostanziali miglioramenti e le eccellenti nuove funzionalità offerte da Windows Vista. Le differenti applicazioni integrate, i miglioramenti a livello di networking ed il più avanzato supporto grafico lo rendono un prodotto degno di nota", ha detto Gerhard Eschelbeck, CTO e SVP of engineering di Webroot Software. "Detto questo, vogliamo che gli utenti abbiano chiare le limitazioni del sistema operativo Vista, e siano consapevoli del fatto che le applicazioni di blocco del malware ed i programmi antivirus di default di Microsoft potrebbero non proteggerli completamente. Con la sempre maggiore ingegnosità e ostinazione dei cyber criminali e dei creatori di malware, è fondamentale che gli utenti adottino un'ulteriore e provata soluzione di sicurezza in grado di proteggerli in tempo reale da ogni forma di spyware e virus."

Deboli capacità di blocco dello spyware
Durante i test realizzati dal team Threat Research di Webroot è emerso che Windows Defender non è stato in grado di bloccare l'84% di un campione che comprendeva 15 tra le più comuni varianti di spyware e malware esistenti. Esaminandone la capacità di bloccare spyware e malware prima che abbia infettato la macchina dell'utente, il team Threat Research di Webroot ha scoperto che le prestazioni di Windows Defender non sono state al livello di molte applicazioni di sicurezza di terze parti, compreso lo stesso programma anti-spyware di Webroot, Spy Sweeper. Minacce di vario tipo – tra cui adware, programmi potenzialmente indesiderati (PUP, o Potentially Unwanted Programs), system monitor, keylogger e trojan – sono rimaste nell'ambiente di test senza che fossero trovate da Windows Vista. Uno dei PUP testati è stato in grado di installarsi con i privilegi di administrator, avviarsi e catturare dati immessi dalla tastiera senza alcuna reazione dell'ambiente operativo Windows XP, e senza che Defender lo identificasse come applicazione in esecuzione.

La lentezza negli aggiornamenti delle definizioni crea vulnerabilità
Le inefficienze nel sistema di sicurezza di Windows Vista vanno oltre i problemi nel blocco degli spyware. Attualmente Microsoft pubblica aggiornamenti alle definizioni dello spyware per il suo prodotto Windows Defender ogni sette-dieci giorni. Se questo può sembrare un ritmo adeguato, il team Threat Research di Webroot identifica in media ogni mese 3.000 nuove tracce di spyware ed altre applicazioni indesiderate, e rilascia ogni ora o ogni giorno, sulla base delle necessità, aggiornamenti alle definizioni dello spyware.

Un antivirus potenzialmente sensibile a costi aggiuntivi
Webroot segnala che le debolezze di sicurezza nel sistema operativo Windows Vista non si limitano allo spyware, ma potrebbero esporre l'utente anche a pericoli derivanti da virus e da altre forme di malware. Secondo una ricerca eseguita da analisti ed aziende leader nel settore degli antivirus, il sistema operativo Microsoft Windows Vista è potenzialmente sensibile ad alcune delle più comuni minacce virus e malware a causa di problemi legati al controllo dell'accesso degli utenti e all'incapacità di identificare alcuni virus comuni. Inoltre, la protezione antivirus per gli utenti di Microsoft Vista non è gratuita. Per ottenere protezione antivirus, devono infatti acquistare la suite Microsoft Live OneCare al prezzo di 49,95 dollari.

"Comprendiamo che l'obiettivo principale di Microsoft sia quello di realizzare un nuovo sistema operativo in grado di migliorare in generale l'ambiente di elaborazione a disposizione degli utenti, e crediamo che Windows Vista sia in questo senso un ottimo risultato", aggiunge Eschelbeck. "Ma, come azienda in prima fila nella battaglia contro lo spyware ed il crimine informatico, crediamo fortemente che per offrire agli utenti di Internet la migliore protezione, la sicurezza debba essere la priorità assoluta. Contiamo sul fatto che, comunicando queste possibili debolezze nella sicurezza del sistema operativo Windows Vista, gli utenti siano in grado di prendere decisioni maggiormente informate sulle proprie necessità di sicurezza."

Per sapere di più sui prodotti Webroot e sulle necessità di sicurezza legate al passaggio a Vista, è possibile visitare www.webroot.com/vista.


(i-dome.com)

Ancora vulnerabilità in Java Runtime Environment e JDK: è bene correre ai ripari
 

Sun Microsystems, così come le varie aziende attive nel campo della sicurezza informatica, lanciano l'allerta circa una nuova pericolosa vulnerabilità scoperta nel Java Runtime Environment (JRE), nello specifico all'interno delle versioni "5.0 update 9" e precedenti, 1.4.2_12 e precedenti, 1.3.1_18 e precedenti.

La falla, appena messa a nudo, è stata subito marcata da Secunia come "altamente critica" (ved. questo bollettino): il rischio è infatti elevatissimo dato che, visitando un sito web con una versione "datata" di JRE, si potrebbe vedere eseguire codice potenzialmente dannoso sul proprio sistema. Un aggressore potrebbe sfruttare il problema semplicemente creando un'immagine GIF, confezionata "ad arte", inserendola per esempio in una normale pagina web.

Sempre all'interno di Sun JRE e JDK, appena poco meno di un mese fa, erano state rilevate altre vulnerabilità particolarmente critiche: alcune di esse possono essere sfruttate da remoto per danneggiare il contenuto del sistema-vittima oppure per acquisire privilegi più elevati (applet maligne, potrebbero quindi essere in grado, di leggere e scrivere file sul personal computer dell'utente od avviare operazioni pericolose).

Tutti gli utenti sono invitati ad aggiornarsi alle versioni più recenti, esenti da problemi. Sun caldeggia la disinstallazione delle precedenti release e l'adozione della JRE 5.0 (versione 1.5.0_10; denominata anche "1.5 Update 10").
(ilsoftware.it)