Un'ora fa, navigando con il browser mi sono beccato Security Central.

http://www.myantispyware.com/2010/02/19/how-to-remove-security-central-uninstall-instructions/

O, meglio: lui ci ha provato, ma la mia fida ZoneAlarm Security Suite mi ha avvertito che cercava di installarsi, ovviamente ho rifiutato e lo str***o non è riuscito ad intrufolarsi nella mia macchina.
Cancellati l'eseguibile, le chiavi di registro e i link che lo str***o è comunque riuscito a creare, fatta anche una passata di Malwarebytes Anti-Malware aggiornato, tutto è stato rapidamente pulito.

Però, siccome è la seconda volta che mi becco un trojan simile semplicemente navigando (la volta scorsa è finita allo stesso modo, ovvero bene: non finirò mai di raccomandare di usare un firewall che ti avverte se c'è un malware che sta cercando di installarsi, è quasi più importante dell'antivirus!), mi è rimasta la curiosità di sapere COME fanno ad attivarsi e a lanciare l'installazione.
In giro vedo ottime istruzioni per rimuoverli, ma non ho trovato nessuno che spieghi i meccanismi di innesco via browser.

Vengono lanciati mediante javascripts?
C'è qualche contromisura preventiva che si può prendere (firewall a parte, che interviene quando il trojan ha già cominciato a cercare di installarsi), in particolare sul browser?
Qualcuno conosce i meccanismi in gioco?

Per la cronaca, il browser che ho usato (e attraverso il quale è arrivato il trojan) è Firefox 3.6.3.

Che sistema operativo?

Una delle cose migliori da fare è usare un account con privilegi limitati.

http://www.wilderssecurity.com/showthread.php?t=241732

C'è qualche contromisura preventiva che si può prendere (firewall a parte, che interviene quando il trojan ha già cominciato a cercare di installarsi), in particolare sul browser?


SRP/applocker, sandboxing/hips...

http://www.wilderssecurity.com/showthread.php?t=272191

Ciao

http://www.wilderssecurity.com/showthread.php?t=241732



SRP/applocker, sandboxing/hips...

http://www.wilderssecurity.com/showthread.php?t=272191

Ciao


Grazie!

Mooolto interessante (e piuttosto inquietante) ...
Lo leggerò approfonditamente.

Che sistema operativo?


XP SP3


Una delle cose migliori da fare è usare un account con privilegi limitati.

Vero.
Anche se scomoda per chi come me "smanetta" di frequente installando tools e utilities.

credo che non opera non vrai problemi di questo tipo. anche chrome non è male.

XP SP3
...

Vero.
Anche se scomoda per chi come me "smanetta" di frequente installando tools e utilities.

Anche le cinture di sicurezza sono scomode per chi sale e scende di frequente dalla macchina :asd:

E' scomodo su XP cmq, una buona idea sarebbe quella di buttare via quel SO oppure blindarlo e sopportarsi le scomodità ;).

Fin quando avrai privilegi elevati qualsiasi eseguibile potrà auto-installarsi senza troppi problemi. E quando non verrà rilevato dall'anti-malware, avrai non pochi problemi.

penso soprattutto via Java e Javascript, ma anche bug nel browser tipo
overflow buffer :asd:
Talvolta mi capita che qualche javascript resta impallato nel sistema
operativo e manda la cpu in full load, ed utilizzo Linux. :D

Puoi anche dare una lettura
qui -> http://www.hwupgrade.it/forum/showthread.php?t=1955648
qui -> http://www.hwupgrade.it/forum/showthread.php?t=2011681
e qui -> http://www.hwupgrade.it/forum/showthread.php?t=1825614

Anche le cinture di sicurezza sono scomode per chi sale e scende di frequente dalla macchina :asd:

E' scomodo su XP cmq, una buona idea sarebbe quella di buttare via quel SO oppure blindarlo e sopportarsi le scomodità ;).

Fin quando avrai privilegi elevati qualsiasi eseguibile potrà auto-installarsi senza troppi problemi. E quando non verrà rilevato dall'anti-malware, avrai non pochi problemi.

Tranquillo, ti assicuro che da me gli eseguibili hanno sempre avuto parecchia difficoltà ad auto-installarsi, XP o non XP e pur con privilegi di amministrazione! ;)
Ripeto: un firewall o una suite di sicurezza che rilevi il tentativo di installazione automatica è un modo molto efficace di evitare questi guai o, almeno, di intercettarli prima che facciano veri danni.
Infatti ero più che altro curioso di sapere come fanno a startare il processo di installazione, piuttosto che come evitare che vada a buon fine.
Comunque nei link indicati ci sono suggerimenti interessanti.

XP lo cestinerò appena passerò ad un sistema un pò più prestante che regga bene Seven 64 bit.

Tranquillo, ti assicuro che da me gli eseguibili hanno sempre avuto parecchia difficoltà ad auto-installarsi, XP o non XP e pur con privilegi di amministrazione! ;)
Ripeto: un firewall o una suite di sicurezza che rilevi il tentativo di installazione automatica è un modo molto efficace di evitare questi guai o, almeno, di intercettarli prima che facciano veri danni.
Infatti ero più che altro curioso di sapere come fanno a startare il processo di installazione, piuttosto che come evitare che vada a buon fine.
Comunque nei link indicati ci sono suggerimenti interessanti.

XP lo cestinerò appena passerò ad un sistema un pò più prestante che regga bene Seven 64 bit.

E' vero ma ti faccio notare che qualora non lo facessero, gli eseguibili hanno accesso completo al sistema.

Questo tenendo conto della non-infallibilità di certi strumenti.

Quello che mi sorprende è che Firefox dovrebbe avere un modello a sandbox per proteggere il sistema per cui mi sembra un po' strano che script particolari possano auto-installare nel sistema qualcosa.

IE con modalità protetta (sfruttando UAC) isola la cartella temporanea dal resto del sistema, impedendo l'esecuzione da essa.

Poi ovviamente con tutti i limiti del caso (ovvero bug ed exploit a parte).

Cmq quello che consiglio è di usare meno estenzioni possibile su Firefox, e i plugin necessari all'uso di tutti i giorni (io ho disattivato Java ad esempio).

E' vero ma ti faccio notare che qualora non lo facessero, gli eseguibili hanno accesso completo al sistema.

Questo tenendo conto della non-infallibilità di certi strumenti.

Quello che mi sorprende è che Firefox dovrebbe avere un modello a sandbox per proteggere il sistema per cui mi sembra un po' strano che script particolari possano auto-installare nel sistema qualcosa.

IE con modalità protetta (sfruttando UAC) isola la cartella temporanea dal resto del sistema, impedendo l'esecuzione da essa.

Poi ovviamente con tutti i limiti del caso (ovvero bug ed exploit a parte).

Cmq quello che consiglio è di usare meno estenzioni possibile su Firefox, e i plugin necessari all'uso di tutti i giorni (io ho disattivato Java ad esempio).

Non per fare il guastafeste, ma nei tre link precedentemente postati si discutono di queste problematiche, specialmente nel topic delle configurazioni di sicurezza.
Ma per tornare alla discussione aperta, volevo precisare:

1) al momento l'unico browser che applica una sandbox durante l'utilizzo e' chrome nelle sue varianti; rimando comunque al thread per maggiori delucidazioni.

2) firefox nudo e crudo non e' al massimo delle sue capacita' di filtraggio e protezioni dai pericoli del web. Le estensioni imprerogabili che riguardano la sicurezza e non solo sono noscript, wot e anche adblock plus. Per chi vuole un browser senza estensioni ma ottimo nativamente contro le varie schifezze della rete c'e' opera. Anche in questo caso rimando ai thread ufficiali aperti perche' comunque tutti quanti abbisognano di alcune semplici variazioni alle impostazioni di default.

3) Al momento utilizzo ancora XP e mi ci trovo benissimo! Comunque sia, la funzione di un firewall con funzioni base e' quella di monitorare il traffico in entrata e in uscita. Il perche' e' dato dal fatto che un eventuale malware installato nella macchina tenterebbe di uscir fuori tramite il nostro computer. Impostando a dovere un firewall, gli si danno le porte che ogni applicazione puo' utilizzare ed avvisa e blocca in caso di tentativo di forzatura di altre porte o di programmi di cui non conosciamo la provenienza.

Ultimamente viene affiancato al firewall (nasce cioe' gia' cosi' dalla casa o gli viene affiancato un programma di terze parti) un modulo hips il quale scatta una foto del nostro sistema operativo e monitorizza tutto cio' che accade diventandone parte integrante.
Se qualcosa, qualsiasi cosa dovesse cambiare, esso tramite avvisi ci informa di cio' e ci chiede cosa vogliamo fare. In questo caso, dobbiamo essere capaci di dare una risposta valida, altrimenti si rischia di fare ancora piu' danno.
Ma se qualcuno vuole sapere cosa accade dentro la sua macchina, attualmente l'hips e' l'unico che sia in grado di farlo affiancato naturalmente con altri software di sicurezza all'occorrenza.

Ultima cosa: da non confondersi tra i due linguaggi java e javascript. Infatti pur avendo la medesima radice, hanno funzioni completamente diverse. Il piu' "pericoloso" se vogliamo dir cosi' tra i due e' il secondo perche' puo' effettuare autonomamente delle operazioni dentro il nostro elaboratore.
Se si deve disabilitare qualcosa allora sara' il javascript, ma cosi' facendo moltissime pagine internet saranno impossibilitate a leggersi o far vedere filmati e/o foto.
Quanto appena detto da considerarsi molto allo spiccio ;)

Rimando anche in questo caso ai thread di cui sopra per maggior informazioni.

Saluti. :)

1) al momento l'unico browser che applica una sandbox durante l'utilizzo e' chrome nelle sue varianti; rimando comunque al thread per maggiori delucidazioni.

Mi permetto una precisazione. Questo non è del tutto vero. Anche Internet Explorer 8 utilizza un design a sandbox, grazie al Mandatory Integrity Control *(incluso in Windows Vista/7 ma non in Windows XP). Tutto ciò che viene eseguito da Internet Explorer è eseguito ad un livello di integrità inferiore al normale (plugin compresi, cosa che su Chrome non è fatta se non esplicitamente richiesta). Ciò permette di limitare i danni di un eventuale malware eseguito automaticamente a causa di un bug del browser.

La grossa differenza è che mentre Chrome funziona alla stessa maniera su Windows XP,Vista e 7, garantendo su tutti lo stesso livello di protezione, Internet Explorer 8 funziona in modalità "protetta" solo su Windows 7 e Vista (meglio su 7, visto che questo sistema operativo corregge alcune lacune di Vista)

* Ovviamente dò per scontato che il browser è stato eseguito da account limitato o da account protetto da UAC

Mi permetto una precisazione. Questo non è del tutto vero. Anche Internet Explorer 8 utilizza un design a sandbox, grazie al Mandatory Integrity Control *(incluso in Windows Vista/7 ma non in Windows XP). Tutto ciò che viene eseguito da Internet Explorer è eseguito ad un livello di integrità inferiore al normale (plugin compresi, cosa che su Chrome non è fatta se non esplicitamente richiesta). Ciò permette di limitare i danni di un eventuale malware eseguito automaticamente a causa di un bug del browser.

La grossa differenza è che mentre Chrome funziona alla stessa maniera su Windows XP,Vista e 7, garantendo su tutti lo stesso livello di protezione, Internet Explorer 8 funziona in modalità "protetta" solo su Windows 7 e Vista (meglio su 7, visto che questo sistema operativo corregge alcune lacune di Vista)

* Ovviamente dò per scontato che il browser è stato eseguito da account limitato o da account protetto da UAC

Ci mancherebbe altro, puoi permetterti ogni precisazione che vuoi, da te come da altri utenti del tuo calibro c'e' solo da imparare :)
Io, come ho scritto prima, utilizzando ancora windows xp home edition le cose che so le imparo e le leggo dal nostro forum oppure in rete, ma non ho una "presa diretta" utilizzando un sistema operativo oramai "vecchiotto".

Per il resto, le cose appena dette da te non sapevo proprio :D

Ciaooo

Premesso che rimando qualsiasi approfondimento al 3D dei browser che mi sembra la sede più opportuna inserisco qualche considerazione.
E' palese che il browser sia la prima linea difensiva,quindi non solo occorre sceglierlo bene ma occorre anche settarlo in modo appropriato.
Se all'apparenza Opera sembrerebbe un browser facile da usare in sicurezza vi assicuro che non è così.
Manca una funzionalità di allerta prevenzione siti web pericolosi,l'installazione di WOT ha una funzionaltà limitata rispetto a quella presente in altri browser,la gestione di file con estensione sopratutto di immagini è inappropriata.
Quindi è l'utente che con la sua capacità deve sopperire alle mancanze che spesso specie in settaggi non a default si deve per giunta sobbarcare anche una malvisualizzazione/funzionamento (risolvibile specie più spesso con la funzione mascherati) di molti più siti web rispetto ai soliti che non funzionano in alcun modo con questo browser.

Adesso faccio anche un paragone inappropriato quindi correggetemi se sbaglio.

Anche mettendo in conto una minore diffusione di Opera rispetto a FF mi sembra che il problema lamentato dall'utente che leggo spesso in utenti che usano FF sia non presente in Opera.
Da questo punto quindi ritengo che l'uso di FF quasi a default sia certamente più rischioso di Opera nelle medesime condizioni.
Devo ammettere che in tanti anni di utilizzo di Opera mai ho lamentato il problema dell'utente che ha aperto questo 3D.

E per finire qualche considerazione.

Il settaggio di tutti i browser in modo più consono ad una maggiore navigazione web sicura è certamente gestibile con maggiore difficoltà dagli utenti.
Devo ammettere però che se dovessi stilare una lista metterei in primissima posizione proprio Chrome rispetto agli altri.
Cioè anche con settaggi più restrittivi è quello gestibile con maggiore facilità da utenti di media capacità.
Quindi per me risulta quello più performante se paragoniamo il rapporto sicurezza facilità di uso.
Poi è palese che ogni browser ha i suoi punti di debolezza e forza. ;)

Mi permetto una precisazione. Questo non è del tutto vero. Anche Internet Explorer 8 utilizza un design a sandbox, grazie al Mandatory Integrity Control *(incluso in Windows Vista/7 ma non in Windows XP). Tutto ciò che viene eseguito da Internet Explorer è eseguito ad un livello di integrità inferiore al normale (plugin compresi, cosa che su Chrome non è fatta se non esplicitamente richiesta). Ciò permette di limitare i danni di un eventuale malware eseguito automaticamente a causa di un bug del browser.

La grossa differenza è che mentre Chrome funziona alla stessa maniera su Windows XP,Vista e 7, garantendo su tutti lo stesso livello di protezione, Internet Explorer 8 funziona in modalità "protetta" solo su Windows 7 e Vista (meglio su 7, visto che questo sistema operativo corregge alcune lacune di Vista)

* Ovviamente dò per scontato che il browser è stato eseguito da account limitato o da account protetto da UAC

e come si fa ad abilitare questa feature anche su chrome?:confused:

e come si fa ad abilitare questa feature anche su chrome?:confused:

Bisogna eseguire Chrome con il parametro --safe-plugins. Però occhio, non tutti i plugin sono studiati per lavorare nella sandbox di Chrome, per cui qualcuno di questi potrebbe non funzionare correttamente e/o crashare

Bisogna eseguire Chrome con il parametro --safe-plugins. Però occhio, non tutti i plugin sono studiati per lavorare nella sandbox di Chrome, per cui qualcuno di questi potrebbe non funzionare correttamente e/o crashare

Vero.
L'ho sperimentato sulla mia pelle (1 settimana),il browser qualche volta ha avuto comportamenti inusuali che non ho approfondito più di tanto per il fatto che uso la dev.
C'è da dire che il parametro è molto di moda trà alcuni utenti su W.

Bisogna eseguire Chrome con il parametro --safe-plugins. Però occhio, non tutti i plugin sono studiati per lavorare nella sandbox di Chrome, per cui qualcuno di questi potrebbe non funzionare correttamente e/o crashare

Ah credo di aver capito, quindi su ubuntu mi basterebbe crearmi un lanciatore con il comando "chromium --safe-plugins", giusto?
Mentre su windows come si dovrebbe fare? Non pensi che tutto sommato sia più conveniente sandboxarlo dall'esterno con sandboxie? o sarebbe ridondante?
:)

interessante :)

Ho scritto due righe a riguardo qui https://www.pcalsicuro.com/main/2010/05/le-sandbox-sulla-strada-dei-browser/

Ho scritto due righe a riguardo qui https://www.pcalsicuro.com/main/2010/05/le-sandbox-sulla-strada-dei-browser/

Bravo Eraser molto interessante.;)
In effetti oggi giorno chi usa Opera e Firefox non può esimersi dall'abbinare al suo uso anche Sandboxie.
A tal proposito inserisco in queste pagine un dubbio,dubbio che mi porta sempre a preferire Opera ovviamente.
Chrome ha uno sviluppo continuo ed incessante,le estensioni che ogni utente usa un pò meno.
Già questo binomio può a volte apparire problematico.
Poi c'è l'aspetto che hai così bene evidenziato tu.
Si è vero qualche volta se specie l'utente usa qualche userscript anche con Opera è possibile che un upgrade di versione possa dare problemi.
L'ho evidenziato io stesso nel 3D dei browser con Wot.
Ma la mancanza di estensioni evita un duplice problema.

Quindi per farla breve preferisco usare Opera come browser predefinito perchè attualmente lo reputo anche e sopratutto più affidabile della "star del momento".
Magari entro poco tempo questo concetto sarà superato ed anche Sampei......:)

p.s. Per il certificato PCAlS con Opera nulla da fare (non ci sentono mi pare) occorre quindi inserire la spunta nella casella "ricorda la scelta"....ma è un palliativo.....sarebbe tanto semplice la strada retta !!!!

Ho scritto due righe a riguardo qui https://www.pcalsicuro.com/main/2010/05/le-sandbox-sulla-strada-dei-browser/

Ciao eraser, come hai messo su il link ho letto immediatamente l'articolo, molto interessante come dice il nostro sampei :D
Ascolta, approfitto della tua gentilezza per chiederti una cosa, piu' che altro per dissolvere ogni dubbio al riguardo possibilmente.

Utilizzo windows xp home edition 32 bit, firefox con le estensioni classiche per la sicurezza ed in piu' ho il browser in modalita' protetta sotto Online Armor oltre che navigare con sandbox.

Ecco la mia domanda e' questa: la modalita' protetta di OA, sarebbe come o si avvicina oppure non ha nulla a che fare con i diritti limitati di chrome e i.e. di cui parli nel tua articolo? Sempre che tu conosca il firewall in oggetto :D , se cosi' non fosse, ritiro subito la domanda.... ;)

Praticamente la mia curiosita' e' quella di sapere a che livello di sicurezza mi trovo con il browser sotto tale modalita'.

Spero di non essere OT :stordita:

@eraser: il fatto che l'eseguibile di Chrome sia in una cartella (%AppData%) in cui l'utente ha pieno accesso, non lo rende in qualche modo "vulnerabile"?

@eraser: il fatto che l'eseguibile di Chrome sia in una cartella (%AppData%) in cui l'utente ha pieno accesso, non lo rende in qualche modo "vulnerabile"?

Il processo che è a "contatto" con il web è il processo già sandboxato di Chrome, quindi già con privilegi di molto limitati e IL settato su basso. Di conseguenza qualsiasi cosa potesse accadere lì, exploit di qualsiasi tipo, non ci si potrebbe muovere da lì. Anche un eventuale malware eseguito da lì, erediterebbe i privilegi (nulli) del processo che l'ha eseguito, cioè il processo in sandbox.

Mettiamo pure che un eventuale malware potesse venire eseguito grazie ad un exploit (difficile [da notare: non impossibile] visto che il job object che racchiude il processo permette un solo processo e nessun processo figlio). Nell'assurda situazione del genere, già con un IL settato su basso non potrebbe accedere a nessun altro processo se non ad altri processi con IL configurato su basso, ma anche se iniettasse qualcosa lì starebbe sempre allo stesso punto.

Può scrivere soltanto in specifiche chiavi di registro e può soltanto accedere a determinate cartelle. Può eseguire altri processi, ma erediterebbero anch'essi lo stesso IL.

Tutto questo già solo con l'IL settato su basso. Chrome va oltre, configurando uno speciale token. Ad esempio su XP è:


Regular Groups
Logon SID : mandatory
All other SIDs : deny only, mandatory
Restricted Groups
S-1-0-0 : mandatory
Privileges
None


Quindi i processi di navigazione di Chrome avranno questo token. Anche volendo che un malware riuscisse a essere eseguito, gli verrebbero tagliate le gambe grazie al fatto che (almeno di default) nessuna risorsa è accessibile con questo token.

Ciao eraser, come hai messo su il link ho letto immediatamente l'articolo, molto interessante come dice il nostro sampei :D
Ascolta, approfitto della tua gentilezza per chiederti una cosa, piu' che altro per dissolvere ogni dubbio al riguardo possibilmente.

Utilizzo windows xp home edition 32 bit, firefox con le estensioni classiche per la sicurezza ed in piu' ho il browser in modalita' protetta sotto Online Armor oltre che navigare con sandbox.

Ecco la mia domanda e' questa: la modalita' protetta di OA, sarebbe come o si avvicina oppure non ha nulla a che fare con i diritti limitati di chrome e i.e. di cui parli nel tua articolo? Sempre che tu conosca il firewall in oggetto :D , se cosi' non fosse, ritiro subito la domanda.... ;)

Praticamente la mia curiosita' e' quella di sapere a che livello di sicurezza mi trovo con il browser sotto tale modalita'.

Spero di non essere OT :stordita:

Mi dispiace veramente tanto, ma non conosco la sandbox di OA :stordita: :(

Però posso vedere di cosa si tratta. Più tardi ci do un occhio e ti faccio sapere :)

Ho scritto due righe a riguardo qui https://www.pcalsicuro.com/main/2010/05/le-sandbox-sulla-strada-dei-browser/

grande eraser, come sempre :)

cmq a questo punto su linux mi sono creato un lanciatore col comando chromium-browser --safe-plugins %U e per funzionare apparentemente funziona, spero che il comando così com'è sia giusto e attui sul serio l'isolamento dei plugin :stordita: su windows invece non saprei come modificare il collegamento:fagiano: quindi per il momento vado avanti con firefox+sandboxie :D

Aehm, giusto per onor di cronaca, non so cosa faccia --safe-plugins su Linux e se funzioni :D Penso di si, ma devo ammettere che Linux non è il mio campo principale, per cui non saprei dare una risposta :)

Aehm, giusto per onor di cronaca, non so cosa faccia --safe-plugins su Linux e se funzioni :D Penso di si, ma devo ammettere che Linux non è il mio campo principale, per cui non saprei dare una risposta :)

d'oh :doh: peccato :( cmq ho la sensazione che funzioni...di solito quando un comando è sbagliato i programmi non partono e/o spunta un messaggio di errore nel terminale... cmq, su windows invece come faccio a impostare il collegamento per farlo partire con quella opzione? :stordita:

Tasto destro sull'icona di Chrome, proprietà e su destinazione aggiungi in fondo al percorso --safe-plugins :)

p.s. Per il certificato PCAlS con Opera nulla da fare (non ci sentono mi pare) occorre quindi inserire la spunta nella casella "ricorda la scelta"....ma è un palliativo.....sarebbe tanto semplice la strada retta !!!!

Lo so :( Purtroppo quelli di Opera sono gli unici che non accettano questa Certificate Authority :(

Tasto destro sull'icona di Chrome, proprietà e su destinazione aggiungi in fondo al percorso --safe-plugins :)

perfetto grazie :D

Mi dispiace veramente tanto, ma non conosco la sandbox di OA :stordita: :(

Però posso vedere di cosa si tratta. Più tardi ci do un occhio e ti faccio sapere :)

Non preoccuparti fa nulla, era piu' una curiosita' ;)
Buon fine settimana, ciao! :)