Trojan via browser: come si attivano?

[freesailor]

Un'ora fa, navigando con il browser mi sono beccato Security Central.

http://www.myantispyware.com/2010/02...-instructions/

O, meglio: lui ci ha provato, ma la mia fida ZoneAlarm Security Suite mi ha avvertito che cercava di installarsi, ovviamente ho rifiutato e lo str***o non è riuscito ad intrufolarsi nella mia macchina.
Cancellati l'eseguibile, le chiavi di registro e i link che lo str***o è comunque riuscito a creare, fatta anche una passata di Malwarebytes Anti-Malware aggiornato, tutto è stato rapidamente pulito.

Però, siccome è la seconda volta che mi becco un trojan simile semplicemente navigando (la volta scorsa è finita allo stesso modo, ovvero bene: non finirò mai di raccomandare di usare un firewall che ti avverte se c'è un malware che sta cercando di installarsi, è quasi più importante dell'antivirus!), mi è rimasta la curiosità di sapere COME fanno ad attivarsi e a lanciare l'installazione.
In giro vedo ottime istruzioni per rimuoverli, ma non ho trovato nessuno che spieghi i meccanismi di innesco via browser.

Vengono lanciati mediante javascripts?
C'è qualche contromisura preventiva che si può prendere (firewall a parte, che interviene quando il trojan ha già cominciato a cercare di installarsi), in particolare sul browser?
Qualcuno conosce i meccanismi in gioco?

Per la cronaca, il browser che ho usato (e attraverso il quale è arrivato il trojan) è Firefox 3.6.3.

[WarDuck]

Che sistema operativo?

Una delle cose migliori da fare è usare un account con privilegi limitati.

[bender8858]

http://www.wilderssecurity.com/showthread.php?t=241732

Quote:

C'è qualche contromisura preventiva che si può prendere (firewall a parte, che interviene quando il trojan ha già cominciato a cercare di installarsi), in particolare sul browser?

SRP/applocker, sandboxing/hips...

http://www.wilderssecurity.com/showthread.php?t=272191

Ciao

[freesailor]

Quote:

Originariamente inviato da bender8858

http://www.wilderssecurity.com/showthread.php?t=241732



SRP/applocker, sandboxing/hips...

http://www.wilderssecurity.com/showthread.php?t=272191

Ciao

Grazie!

Mooolto interessante (e piuttosto inquietante) ...
Lo leggerò approfonditamente.

[freesailor]

Quote:

Originariamente inviato da WarDuck

Che sistema operativo?

XP SP3

Quote:

Originariamente inviato da WarDuck

Una delle cose migliori da fare è usare un account con privilegi limitati.

Vero.
Anche se scomoda per chi come me "smanetta" di frequente installando tools e utilities.

[c.m.g]

credo che non opera non vrai problemi di questo tipo. anche chrome non è male.

[WarDuck]

Quote:

Originariamente inviato da freesailor

XP SP3
...

Vero.
Anche se scomoda per chi come me "smanetta" di frequente installando tools e utilities.

Anche le cinture di sicurezza sono scomode per chi sale e scende di frequente dalla macchina

E' scomodo su XP cmq, una buona idea sarebbe quella di buttare via quel SO oppure blindarlo e sopportarsi le scomodità .

Fin quando avrai privilegi elevati qualsiasi eseguibile potrà auto-installarsi senza troppi problemi. E quando non verrà rilevato dall'anti-malware, avrai non pochi problemi.

[CaffèRoma]

penso soprattutto via Java e Javascript, ma anche bug nel browser tipo
overflow buffer
Talvolta mi capita che qualche javascript resta impallato nel sistema
operativo e manda la cpu in full load, ed utilizzo Linux.

[Kohai]

Puoi anche dare una lettura
qui -> http://www.hwupgrade.it/forum/showthread.php?t=1955648
qui -> http://www.hwupgrade.it/forum/showthread.php?t=2011681
e qui -> http://www.hwupgrade.it/forum/showthread.php?t=1825614

[freesailor]

Quote:

Originariamente inviato da WarDuck

Anche le cinture di sicurezza sono scomode per chi sale e scende di frequente dalla macchina

E' scomodo su XP cmq, una buona idea sarebbe quella di buttare via quel SO oppure blindarlo e sopportarsi le scomodità .

Fin quando avrai privilegi elevati qualsiasi eseguibile potrà auto-installarsi senza troppi problemi. E quando non verrà rilevato dall'anti-malware, avrai non pochi problemi.

Tranquillo, ti assicuro che da me gli eseguibili hanno sempre avuto parecchia difficoltà ad auto-installarsi, XP o non XP e pur con privilegi di amministrazione!
Ripeto: un firewall o una suite di sicurezza che rilevi il tentativo di installazione automatica è un modo molto efficace di evitare questi guai o, almeno, di intercettarli prima che facciano veri danni.
Infatti ero più che altro curioso di sapere come fanno a startare il processo di installazione, piuttosto che come evitare che vada a buon fine.
Comunque nei link indicati ci sono suggerimenti interessanti.

XP lo cestinerò appena passerò ad un sistema un pò più prestante che regga bene Seven 64 bit.

[WarDuck]

Quote:

Originariamente inviato da freesailor

Tranquillo, ti assicuro che da me gli eseguibili hanno sempre avuto parecchia difficoltà ad auto-installarsi, XP o non XP e pur con privilegi di amministrazione!
Ripeto: un firewall o una suite di sicurezza che rilevi il tentativo di installazione automatica è un modo molto efficace di evitare questi guai o, almeno, di intercettarli prima che facciano veri danni.
Infatti ero più che altro curioso di sapere come fanno a startare il processo di installazione, piuttosto che come evitare che vada a buon fine.
Comunque nei link indicati ci sono suggerimenti interessanti.

XP lo cestinerò appena passerò ad un sistema un pò più prestante che regga bene Seven 64 bit.

E' vero ma ti faccio notare che qualora non lo facessero, gli eseguibili hanno accesso completo al sistema.

Questo tenendo conto della non-infallibilità di certi strumenti.

Quello che mi sorprende è che Firefox dovrebbe avere un modello a sandbox per proteggere il sistema per cui mi sembra un po' strano che script particolari possano auto-installare nel sistema qualcosa.

IE con modalità protetta (sfruttando UAC) isola la cartella temporanea dal resto del sistema, impedendo l'esecuzione da essa.

Poi ovviamente con tutti i limiti del caso (ovvero bug ed exploit a parte).

Cmq quello che consiglio è di usare meno estenzioni possibile su Firefox, e i plugin necessari all'uso di tutti i giorni (io ho disattivato Java ad esempio).

[Kohai]

Quote:

Originariamente inviato da WarDuck

E' vero ma ti faccio notare che qualora non lo facessero, gli eseguibili hanno accesso completo al sistema.

Questo tenendo conto della non-infallibilità di certi strumenti.

Quello che mi sorprende è che Firefox dovrebbe avere un modello a sandbox per proteggere il sistema per cui mi sembra un po' strano che script particolari possano auto-installare nel sistema qualcosa.

IE con modalità protetta (sfruttando UAC) isola la cartella temporanea dal resto del sistema, impedendo l'esecuzione da essa.

Poi ovviamente con tutti i limiti del caso (ovvero bug ed exploit a parte).

Cmq quello che consiglio è di usare meno estenzioni possibile su Firefox, e i plugin necessari all'uso di tutti i giorni (io ho disattivato Java ad esempio).

Non per fare il guastafeste, ma nei tre link precedentemente postati si discutono di queste problematiche, specialmente nel topic delle configurazioni di sicurezza.
Ma per tornare alla discussione aperta, volevo precisare:

1) al momento l'unico browser che applica una sandbox durante l'utilizzo e' chrome nelle sue varianti; rimando comunque al thread per maggiori delucidazioni.

2) firefox nudo e crudo non e' al massimo delle sue capacita' di filtraggio e protezioni dai pericoli del web. Le estensioni imprerogabili che riguardano la sicurezza e non solo sono noscript, wot e anche adblock plus. Per chi vuole un browser senza estensioni ma ottimo nativamente contro le varie schifezze della rete c'e' opera. Anche in questo caso rimando ai thread ufficiali aperti perche' comunque tutti quanti abbisognano di alcune semplici variazioni alle impostazioni di default.

3) Al momento utilizzo ancora XP e mi ci trovo benissimo! Comunque sia, la funzione di un firewall con funzioni base e' quella di monitorare il traffico in entrata e in uscita. Il perche' e' dato dal fatto che un eventuale malware installato nella macchina tenterebbe di uscir fuori tramite il nostro computer. Impostando a dovere un firewall, gli si danno le porte che ogni applicazione puo' utilizzare ed avvisa e blocca in caso di tentativo di forzatura di altre porte o di programmi di cui non conosciamo la provenienza.

Ultimamente viene affiancato al firewall (nasce cioe' gia' cosi' dalla casa o gli viene affiancato un programma di terze parti) un modulo hips il quale scatta una foto del nostro sistema operativo e monitorizza tutto cio' che accade diventandone parte integrante.
Se qualcosa, qualsiasi cosa dovesse cambiare, esso tramite avvisi ci informa di cio' e ci chiede cosa vogliamo fare. In questo caso, dobbiamo essere capaci di dare una risposta valida, altrimenti si rischia di fare ancora piu' danno.
Ma se qualcuno vuole sapere cosa accade dentro la sua macchina, attualmente l'hips e' l'unico che sia in grado di farlo affiancato naturalmente con altri software di sicurezza all'occorrenza.

Ultima cosa: da non confondersi tra i due linguaggi java e javascript. Infatti pur avendo la medesima radice, hanno funzioni completamente diverse. Il piu' "pericoloso" se vogliamo dir cosi' tra i due e' il secondo perche' puo' effettuare autonomamente delle operazioni dentro il nostro elaboratore.
Se si deve disabilitare qualcosa allora sara' il javascript, ma cosi' facendo moltissime pagine internet saranno impossibilitate a leggersi o far vedere filmati e/o foto.
Quanto appena detto da considerarsi molto allo spiccio

Rimando anche in questo caso ai thread di cui sopra per maggior informazioni.

Saluti.

[eraser]

Quote:

Originariamente inviato da Kohai

1) al momento l'unico browser che applica una sandbox durante l'utilizzo e' chrome nelle sue varianti; rimando comunque al thread per maggiori delucidazioni.

Mi permetto una precisazione. Questo non è del tutto vero. Anche Internet Explorer 8 utilizza un design a sandbox, grazie al Mandatory Integrity Control *(incluso in Windows Vista/7 ma non in Windows XP). Tutto ciò che viene eseguito da Internet Explorer è eseguito ad un livello di integrità inferiore al normale (plugin compresi, cosa che su Chrome non è fatta se non esplicitamente richiesta). Ciò permette di limitare i danni di un eventuale malware eseguito automaticamente a causa di un bug del browser.

La grossa differenza è che mentre Chrome funziona alla stessa maniera su Windows XP,Vista e 7, garantendo su tutti lo stesso livello di protezione, Internet Explorer 8 funziona in modalità "protetta" solo su Windows 7 e Vista (meglio su 7, visto che questo sistema operativo corregge alcune lacune di Vista)

* Ovviamente dò per scontato che il browser è stato eseguito da account limitato o da account protetto da UAC

[Kohai]

Quote:

Originariamente inviato da eraser

Mi permetto una precisazione. Questo non è del tutto vero. Anche Internet Explorer 8 utilizza un design a sandbox, grazie al Mandatory Integrity Control *(incluso in Windows Vista/7 ma non in Windows XP). Tutto ciò che viene eseguito da Internet Explorer è eseguito ad un livello di integrità inferiore al normale (plugin compresi, cosa che su Chrome non è fatta se non esplicitamente richiesta). Ciò permette di limitare i danni di un eventuale malware eseguito automaticamente a causa di un bug del browser.

La grossa differenza è che mentre Chrome funziona alla stessa maniera su Windows XP,Vista e 7, garantendo su tutti lo stesso livello di protezione, Internet Explorer 8 funziona in modalità "protetta" solo su Windows 7 e Vista (meglio su 7, visto che questo sistema operativo corregge alcune lacune di Vista)

* Ovviamente dò per scontato che il browser è stato eseguito da account limitato o da account protetto da UAC

Ci mancherebbe altro, puoi permetterti ogni precisazione che vuoi, da te come da altri utenti del tuo calibro c'e' solo da imparare
Io, come ho scritto prima, utilizzando ancora windows xp home edition le cose che so le imparo e le leggo dal nostro forum oppure in rete, ma non ho una "presa diretta" utilizzando un sistema operativo oramai "vecchiotto".

Per il resto, le cose appena dette da te non sapevo proprio

Ciaooo

[sampei.nihira]

Premesso che rimando qualsiasi approfondimento al 3D dei browser che mi sembra la sede più opportuna inserisco qualche considerazione.
E' palese che il browser sia la prima linea difensiva,quindi non solo occorre sceglierlo bene ma occorre anche settarlo in modo appropriato.
Se all'apparenza Opera sembrerebbe un browser facile da usare in sicurezza vi assicuro che non è così.
Manca una funzionalità di allerta prevenzione siti web pericolosi,l'installazione di WOT ha una funzionaltà limitata rispetto a quella presente in altri browser,la gestione di file con estensione sopratutto di immagini è inappropriata.
Quindi è l'utente che con la sua capacità deve sopperire alle mancanze che spesso specie in settaggi non a default si deve per giunta sobbarcare anche una malvisualizzazione/funzionamento (risolvibile specie più spesso con la funzione mascherati) di molti più siti web rispetto ai soliti che non funzionano in alcun modo con questo browser.

Adesso faccio anche un paragone inappropriato quindi correggetemi se sbaglio.

Anche mettendo in conto una minore diffusione di Opera rispetto a FF mi sembra che il problema lamentato dall'utente che leggo spesso in utenti che usano FF sia non presente in Opera.
Da questo punto quindi ritengo che l'uso di FF quasi a default sia certamente più rischioso di Opera nelle medesime condizioni.
Devo ammettere che in tanti anni di utilizzo di Opera mai ho lamentato il problema dell'utente che ha aperto questo 3D.

E per finire qualche considerazione.

Il settaggio di tutti i browser in modo più consono ad una maggiore navigazione web sicura è certamente gestibile con maggiore difficoltà dagli utenti.
Devo ammettere però che se dovessi stilare una lista metterei in primissima posizione proprio Chrome rispetto agli altri.
Cioè anche con settaggi più restrittivi è quello gestibile con maggiore facilità da utenti di media capacità.
Quindi per me risulta quello più performante se paragoniamo il rapporto sicurezza facilità di uso.
Poi è palese che ogni browser ha i suoi punti di debolezza e forza.

[Blue Spirit]

Quote:

Originariamente inviato da eraser

Mi permetto una precisazione. Questo non è del tutto vero. Anche Internet Explorer 8 utilizza un design a sandbox, grazie al Mandatory Integrity Control *(incluso in Windows Vista/7 ma non in Windows XP). Tutto ciò che viene eseguito da Internet Explorer è eseguito ad un livello di integrità inferiore al normale (plugin compresi, cosa che su Chrome non è fatta se non esplicitamente richiesta). Ciò permette di limitare i danni di un eventuale malware eseguito automaticamente a causa di un bug del browser.

La grossa differenza è che mentre Chrome funziona alla stessa maniera su Windows XP,Vista e 7, garantendo su tutti lo stesso livello di protezione, Internet Explorer 8 funziona in modalità "protetta" solo su Windows 7 e Vista (meglio su 7, visto che questo sistema operativo corregge alcune lacune di Vista)

* Ovviamente dò per scontato che il browser è stato eseguito da account limitato o da account protetto da UAC

e come si fa ad abilitare questa feature anche su chrome?

[eraser]

Quote:

Originariamente inviato da Blue Spirit

e come si fa ad abilitare questa feature anche su chrome?

Bisogna eseguire Chrome con il parametro --safe-plugins. Però occhio, non tutti i plugin sono studiati per lavorare nella sandbox di Chrome, per cui qualcuno di questi potrebbe non funzionare correttamente e/o crashare

[sampei.nihira]

Quote:

Originariamente inviato da eraser

Bisogna eseguire Chrome con il parametro --safe-plugins. Però occhio, non tutti i plugin sono studiati per lavorare nella sandbox di Chrome, per cui qualcuno di questi potrebbe non funzionare correttamente e/o crashare

Vero.
L'ho sperimentato sulla mia pelle (1 settimana),il browser qualche volta ha avuto comportamenti inusuali che non ho approfondito più di tanto per il fatto che uso la dev.
C'è da dire che il parametro è molto di moda trà alcuni utenti su W.

[Blue Spirit]

Quote:

Originariamente inviato da eraser

Bisogna eseguire Chrome con il parametro --safe-plugins. Però occhio, non tutti i plugin sono studiati per lavorare nella sandbox di Chrome, per cui qualcuno di questi potrebbe non funzionare correttamente e/o crashare

Ah credo di aver capito, quindi su ubuntu mi basterebbe crearmi un lanciatore con il comando "chromium --safe-plugins", giusto?
Mentre su windows come si dovrebbe fare? Non pensi che tutto sommato sia più conveniente sandboxarlo dall'esterno con sandboxie? o sarebbe ridondante?

[xcdegasp]

interessante