Malware di dicembre: Exploit.CplLnk.Gen al vertice per G Data

Malware di dicembre: Exploit.CplLnk.Gen al vertice per G Data

G Data ha reso pubblica la classifica dei malware rilevati nel corso del mese di dicembre. Al primo posto si colloca Exploit.CplLnk.Gen utilizzato anche da Stuxnet

di pubblicata il , alle 09:01 nel canale Sicurezza
 

Nel corso del mese di dicembre 2011 si è registrata la percentuale più bassa della seconda metà 2011 in termini di diffusione dei malware, ma il numero di attacchi rilevato è invece in costante crescita. Sono questi i dati da poco diffusi da G Data e le informazioni utilizzate per realizzare la statistica sono state raccolte utilizzando il software di sicurezza installato sui PC dei propri clienti.

Al primo posto della classifica G Data colloca l'Exploit.CplLnk.Gen utilizzato in passato anche da Stuxnet. ma per completezza vi proponiamo qui di seguito i primi 5 nella classifica e il breve commento degli esperti di G Data.

Exploit.CplLnk.Gen
Questo exploit utilizza una verifica difettosa dei file .lnk e .pif nel trattamento dei collegamenti di Windows ed è nota come CVE-2010-2568 a partire dalla metà del 2011. Non appena una versione manipolata di questi file viene aperta in Windows per visualizzare l'icona inclusa all'interno di Windows Explorer, il codice dannoso viene eseguito all'istante. Questo codice può essere caricato da un file system locale (ad esempio da un dispositivo di archiviazione rimovibile che ospita anche il file .lnk manipolato) o  tramite condivisione WebDAV su Internet.

Trojan.Wimad.Gen.1
Questo Trojan finge di essere un normale file audio .wma anche se uno di quelli che può essere riprodotto solo dopo aver installato un codec/decodificatore speciale sui sistemi Windows. Se un utente esegue il file, l'utente malintenzionato può installare tutti i tipi di codice dannoso sul sistema. I file audio infetti sono principalmente diffusi attraverso le reti di file sharing.

Java.Exploit.CVE-2010-0840.E
Questo programma malware basato su Java è un applet di download che tenta di utilizzare una vulnerabilità (CVE-2010-0840) per aggirare il meccanismo di protezione sandbox e scaricare malware addizionale sul computer. Una volta che l'applet ha ingannato il sandbox, si scarica un file .dll. Questo file non viene eseguito immediatamente ma registrato come un servizio con l'aiuto del Registro di Microsoft Server (regsvr32). Quindi, viene avviato automaticamente all'avvio del sistema.

Win32:DNSChanger-VJ [Trj]
Win32: DNSChanger-VJ [Trj] fa parte di un rootkit che cerca di proteggere altri componenti malware, ad esempio bloccando l'accesso a siti di aggiornamento per gli aggiornamenti di sicurezza e gli aggiornamenti delle firme. Qualsiasi accesso ai siti host sarà risolto a "localhost", che lo renderà, in realtà, irraggiungibile. Questo è il motivo per cui viene chiamato DNSChanger, perché manipola risoluzioni DNS.

Worm.Autorun.VHG
Questo programma software maligno è un worm che si diffonde utilizzando la funzione autorun .inf nei sistemi operativi Windows. Utilizza supporti rimovibili come le unità flash USB o i dischi rigidi esterni. Si tratta di un worm Internet e di rete che sfrutta la vulnerabilità CVE-2008-4250 di Windows.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
SpyroTSK14 Gennaio 2012, 09:19 #1
Scusate per il flame, ma ste cose non le posso vedere!
[FLAME][COLOR="Red"]
ma il bello non è questo, il bello è che il primo, secondo, quarto e quinto sono virus STUPIDI che ci sono da una vita...i file autorun.inf sulle chiavette li facevo io da windows xp quando era appena uscito.

quindi voglio dire, sono tutti bug STUPIDI che potrebbero risolvere, invece...mah lasciamo che faccia tutto l'antivirus e l'utente, tanto...

quello dei codec è una grossa pu**a**ta, che senso ha verificare un codec quando tu stessa microsoft non ne fornisci manco mezzo utile nel download automatici di wmp?

i dns? ma dai...manco il file host sanno proteggere figuriamoci le configurazioni o i relativi instradamenti.

i file lnk, i link! ca**o! nemmeno i collegamenti riescono a fare. vabbè.[/COLOR]
[/FLAME]
djfix1314 Gennaio 2012, 09:48 #2
su sistemi vista-windows7 e UAC attivo la modifica di file Host (o meglio tutti i file presenti in windows e program files e $User$/AppData ) visualizza un avviso di sicurezza a video anche se eseguito in background da software malevolo.

ad ogni modo rispondendo al flame la microsoft ha risolto questi problemi da molto tempo:
problema sui link: risolto si tutti i sistemi agosto 2010
problema dei codec: WMP scarica automaticamente codec SOLO da Microsoft! (poi quello che ci ficca dentro l'utente da terze parti non è garantibile OVVIO)
problema java (non dipendente da microsoft: basta tenere aggiornato Java Oracle e l'UAC attivo.
problema DNS Host: basta tenere attivo UAC
problema autorun: risolto ancora nell' ottobre 2008 e di cui windows 7 NON è affetto!!

cioè vuol dire che se gli attacchi sono più frequenti su questi Exploit è colpa degli Utenti che NON aggirnano Windows e software correlati...al di là di ogni sistema Antivirus.

come esperimento in questo periodo noto come Windows8 sia attualmente Immune da ogni Attacco/Exploit attuale.
Basta aggiornare sempre tutto (che è pure automatico) e problemi non se ne verificano.
bondocks14 Gennaio 2012, 11:51 #3
Aggiornare?

Gli aggiornamenti non servono a niente,appesantiscono solo il pc!

P.S: Naturalmente sto scherzando...
SpyroTSK14 Gennaio 2012, 12:09 #4
lo sò benissimo che sono stati risolti -.-'
ma sono talmente vecchi questi bug che era anche ora di sistemarli.

I link: http://www.microsoft.com/security/p...in32%2FCplLnk.A

quello dei codec di wmp è un'esempio lampante, si ok scarichi i codec dal sito MS ma se nel file specifico di scaricarlo da un'altra fonte, lui lo fà e scarica roba che non dovrebbe...quindi perchè esiste ancora questa funzione di scaricare i codec da terze parti?

I dns host di cui parlavo prima era una battuta :P nel senso che il virus di cui si parlava sopra (dnschanger) cambia i dns...non modifica il file hosts: http://www.microsoft.com/security/p...32%2FAlureon.BU

il virus di java, ci stà, non è un problema ms, infatti l'ho escluso dal mio post

l'autorun era prevedibile che venisse sfruttato in questo frangente, io l'ho usato nel 2002 (ovviamente solo su xp) per non far accedere a mio fratello in una chiavetta contentente dei dati di lavoro che avevo (bastava fare "tasto dx->esplora", ma non lo sapeva :P), ed era (e ho ancora) una fantastica chiavetta da 256mb costata ben 250€).
Symonjfox14 Gennaio 2012, 13:22 #5

Tanti miei clienti...

Tanti miei clienti non hanno mai aggiornato il JAVA e hanno preso un sacco di virus.
Inoltre perchè li prendono?
Perchè "stavo cercando un programma per scaricare i film" ...

Per gli autorun.inf, io ho installato PANDA USB VACCINE e mi sono vaccinato tutte le mie chiavette perchè ero stufo che ogni volta che le usavo sui pc dei miei clienti, me le trovavo infette.
giamaica15 Gennaio 2012, 17:59 #6

Maledetto Windows!!!!

Ho appena finito di smadonnare sul PC nel salotto. Mi sono beccato il Java Exploit da internet explorer 9 e windows 7 ultimate 64 bit. Il computer era aggiornato, ma mancavano e ultimissime patch di gennaio. Grazie a questa falla qualche simpaticone all'avvio del sistema apre una finestra a schermo intero di explorer con una pagina web che dice che la polizia ti ha bloccato il computer per attività illecite e se vuoi sbloccarlo devi pagare 100 euro. L'interfaccia non risponde iu' e non puoi ne chiudere la finestra nè aprire altri programmi. Non si avvia nemmeno il task manager. Se vi succede vi consiglio di riavviare e immediatamente dopo essersi loggati a windows premete ctr-alt-canc e provate a lanciare il task manager prima che parte il malware. Se siete rapidi si aprirà una finestra di explorer e potrete fare il browsing dei file. Dovete cancellare nella cartella esecuzione automatica del vostro utente il link al file exe malevolo che risiede nella directory tmp.

Nonostante avessi avira antivir attivo e aggiornato questo scherzetto mi è costato 2 ore di tempo perso per capire come potevo sbloccare il computer. Se una cosa capita ad un utente non troppo esperto rischia di fargli perdere giorni e giorni o di fargli formattare tutto per disperazione. Non è ammissibile che su un sistema operativo sia cosi' facile eseguire codice malevolo e bloccare completamente l'utilizzo dell'interfaccia utente!!!
giamaica15 Gennaio 2012, 18:43 #7
Originariamente inviato da: SpyroTSK
il virus di java, ci stà, non è un problema ms, infatti l'ho escluso dal mio post


A si? E di chi sarebbe il problema se il sistema operativo ti consente di registrare un servizio e caricare un file exe nella tmp richiamato all'avvio del sistema e di lanciare una finestra di explorer a schermo intero che ti blocca totalmente il computer?

Vado sugli stessi siti anche con un mac e su una partizione del Pc uso Linux, strano che queste porcherie capitano sempre e solo su microsoft ...
bobby7531 Gennaio 2012, 16:21 #8
Originariamente inviato da: giamaica
Ho appena finito di smadonnare sul PC nel salotto. Mi sono beccato il Java Exploit da internet explorer 9 e windows 7 ultimate 64 bit. Il computer era aggiornato, ma mancavano e ultimissime patch di gennaio. Grazie a questa falla qualche simpaticone all'avvio del sistema apre una finestra a schermo intero di explorer con una pagina web che dice che la polizia ti ha bloccato il computer per attività illecite e se vuoi sbloccarlo devi pagare 100 euro. L'interfaccia non risponde iu' e non puoi ne chiudere la finestra nè aprire altri programmi. Non si avvia nemmeno il task manager. Se vi succede vi consiglio di riavviare e immediatamente dopo essersi loggati a windows premete ctr-alt-canc e provate a lanciare il task manager prima che parte il malware. Se siete rapidi si aprirà una finestra di explorer e potrete fare il browsing dei file. Dovete cancellare nella cartella esecuzione automatica del vostro utente il link al file exe malevolo che risiede nella directory tmp.

Nonostante avessi avira antivir attivo e aggiornato questo scherzetto mi è costato 2 ore di tempo perso per capire come potevo sbloccare il computer. Se una cosa capita ad un utente non troppo esperto rischia di fargli perdere giorni e giorni o di fargli formattare tutto per disperazione. Non è ammissibile che su un sistema operativo sia cosi' facile eseguire codice malevolo e bloccare completamente l'utilizzo dell'interfaccia utente!!!

a mio suocero è capitato con WinXP e Firefox con Avira attivo...non credo sia andato a cercarsela, potrebbe essere stato qualche link o allegato email?
L'ha portato in assistenza per 2 volte nel giro di 1 settimana e gli hanno chiesto 60€!Però gli hanno anche installato Norton...WOW
Il mio pc ha la stessa configurazione software, ma ho Avira completo e non free...
Ma cosa sarebbe questo Java Exploit e come si previene/elimina?
gxxx31 Gennaio 2012, 20:14 #9
Originariamente inviato da: Symonjfox
Tanti miei clienti non hanno mai aggiornato il JAVA e hanno preso un sacco di virus.
Inoltre perchè li prendono?
Perchè "stavo cercando un programma per scaricare i film" ...

Per gli autorun.inf, io ho installato PANDA USB VACCINE e mi sono vaccinato tutte le mie chiavette perchè ero stufo che ogni volta che le usavo sui pc dei miei clienti, me le trovavo infette.



è proprio vero: "tutti i problemi di un pc risiedono tra la sedia e il monitor"

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^