NEWS SECURITY

SECURITY
News trovata in rete

Phishing e Pharming
i gemelli terribili
Si parla molto e male del primo,
mentre il secondo è assai più cattivo.

10-03-2007

Da sempre i gemelli si assomigliano talmente da venir spesso scambiati l'uno per l'altro. Mentre il phishing consiste nell'ottenere dalle persone dati sensibili in modo fraudolento, cioè spacciandosi per altri o comunque assumendo identità non propria con tecnica definita di "social engineering", il pharming consiste invece nel reindirizzare la richiesta di connessione a un sito web, verso un altro sito web in grado di catturare dati personali del navigatore e di costringerlo ad aprire siti diversi da quello voluto, proponendo ad esempio porno, di e-commerce, online banking e via dicendo.

Il primo gemello con un poco di attenzione può facilmente essere messo nell'angolo, mentre il secondo è assai più sfuggente anche perché firewall, spyware e antivirus non sono cancelletti in grado di impedirgli l'accesso al nostro Pc, proprio per la tecnica stessa con cui vengono "risolti" gli indirizzi Internet da parte dei server DNS.

Tuttavia, a scorrere un blog della Symantec, pare che il professor Markus Jakobsson dell'Università dell'Indiana e Symantec stessa abbiano studiato un rimedio abbastanza semplice e che costa solo... un "grazie", visto che non occorre acquistare pesantissimi (in termini di impegno finanziario e di risorse hardware) antivirus.

Per chi conosce a sufficienza l'angloamericano, una divertente (e ben fatta) animazione è disponibile qui.

Per chi invece non ha voglia di cimentarsi, riassumiamo di seguito le raccomandazioni, ad uso specialmente di chi usa firewall in tecnologia wireless:

- Cambiare la password predefinita del firewall. Pare impossibile, ma sembra che circa il 50% degli utilizzatori non la modifichi mai o non la sappia modificare, anche se basta googlare un po' per averle senza fatica;

- Non aprire siti web che non si conoscono e meno che mai cliccare su collegamenti email ivi contenuti anche se apparentemente richiamano indirizzi a noi familiari;

- Non abilitare javascript di default sul proprio browser; piccolo fastidio, visto che quasi tutti i siti lo richiedono, è abilitarli di volta in volta quando proprio siano necessari per andare avanti nella consultazione.

Dopo le minacce avvocatizie, tante e sotto le più svariate forme, ecco adesso come infettare il proprio pc abboccando ad un presunto verbale di P.M. non pagato
( a Nortek di SiFaMusica Forum)

...da notare che un addetto ai lavori come me, care ragazze, vi può garantire che un Verbale di contravvenzione del 4.12.06 (data riportata nella mail trappola) non può essere certamente oggetto di interessi in quanto, considerati i tempi necessari per la sua scrittura, potrebbe forse essere appena stato notificato al trasgressore. Aggiungendo poi i 60gg di tempo che la legge concede per pagarlo, alla data di oggi (Marzo) nessun interesse potrebbe essere già decorso!!!!!

Alla fine della mail, ci sarebbe un link da cliccare dove poter visualizzare la situazione relativa al fantomatico verbale,..... e lì scatta la fregatura!!!!
Ricordate sempre che qualsiasi atto può essere comunicato, ai fini di valore legale, solo ed esclusivamente a mezzo raccomandata dove la nostra firma di ricevimento ne garantisce l'avvenuta notifica!!!
__________________________________________________________________

Circola anche un altro tentativo di infezione via e-mail, che fa leva sull'autorevolezza apparente del mittente:

----- inizio citazione -------

From: Servizio Riscossioni
Date: December 30, 1955 4:00:00 AM CET
To: [indirizzo della vittima]
Subject: Avviso di sanzione per interessi su insoluto Verbale P.M.
N. 326123-1 del 4.12.2006

Avviso di sanzione per interessi su insoluto Verbale P.M. N.
326123-1 del 4.12.2006

A: [indirizzo della vittima]
Data: 4.12.2006
Oggetto: Verbale P.M. N. 326123-1 del 4.12.2006

La presente per informarLa che la somma di € 2.623,44 dovuta alla nostra società e scaduti in data 10.11.2006 i termini come da nostra informativa precedente e visti maturazione interessi pari al 18,6% per la sua pratica N. 326123-1 sono soggetti a sanzione e decreto ingiuntivo se non corrisposti entro la data 20.12.2006

Maggiori dettagli

Certi di una sua celere risposta la invitiamo a visualizzare i dettagli della sanzione attraverso il nostro servizio automatico (link omesso)

Come agire

Al fine di chiarire la sua posizione qualora non corrispondano le suddette somme a contattare il nostro servizio riscossione crediti.

Cordiali saluti

Avv. Cons. Dpe Giordano Lanza

Una variante dello "Storm worm" infetta forum e blog


Aveva preso a diffondersi sfruttando la drammaticità degli eventi determinatisi nei Paesi nordeuropei dopo l'arrivo, a fine Gennaio scorso, dell'uragano battezzato "Kyrill". Mediante l'utilizzo di tecniche di ingegeneria sociale, gli autori dello "Storm worm" tentavano di indurre l'utente all'apertura dei file nocivi allegati al messaggio di posta elettronica.
Cominciarono successivamente a prender piede diverse varianti del worm (alcune di esse utilizzavano anche i client di messaggistica istantanea come mezzo per la propria diffusione) fino a quella da poco scoperta e catalogata dai vari produttori di soluzioni antivirus come "MeSpam" o "Cimuz".
Il malware è particolarmente pericoloso perché è in grado di installarsi sul sistema sotto forma di LSP ("Layered Service Provider"). Come un parassita, "MeSpam" può quindi intercettare ed analizzare tutto il traffico di rete intervenendo attivamente sui pacchetti in uscita. Il malware, ad esempio, può aggiungere del contenuto nocivo ad un messaggio che l'utente è in procinto di pubblicare su forum e blog online.
"MeSpam" rileva se l'utente stia partecipando ad una discussione su un forum vBulletin o phpBB ed aggiunge, agendo a basso livello, link ad oggetti pericolosi. Il worm può anche modificare i testi di messaggi di posta elettronica inviati da web tramite i servizi GMail, Yahoo Mail, AOL e simili.
Facendo una ricerca mediante il motore di ricerca Google abbiamo verificato come già siano centinaia e centinaia i link aggiunti da "MeSpam" nei vari forum e blog a livello mondiale.
Lo zampino del malware è facilmente riconoscibile per la presenza di un testo, in calce al messaggio, simile ai seguenti:
LOL! You must see this! /[postcards_domain]
Dont forget to see /[postcards_domain]
lol, look /[postcards_domain]
have you seen this? /[postcards_domain]
LOOL!!! /[postcards_domain]
just look /[postcards_domain]
:-) /[postcards_domain]
I link non debbono essere visitati per alcun motivo.
Per tutti i dettagli sulle tecniche utilizzate dai malware per diffondersi ed insediarsi sul sistema, vi consigliamo la lettura di questi articoli.
Facendo riferimento a questa pagina, è possibile visionare l'analisi di "MeSpam" pubblicata da Symantec.

Per la rimozione della minaccia, Symantec suggerisce di disabilitare temporaneamente la funzionalità "Ripristino configurazione di sistema" di Windows, aggiornare le definizioni antivirus, effettuare una scansione approfondita del sistema. Qualora il software antivirus dovesse informare l'utente circa l'impossibilità di eliminare alcuni file perché in uso, si dovrà avviare la scansione completa servendosi della "modalità provvisoria". Al riavvio del sistema è possibile che vengano visualizzati messaggi d'errore facenti riferimento a file non più presenti: è possibile ignorare per il momento i vari messaggi d'allerta.
Symantec consiglia quindi l'eliminazione della seguente chiave dal registro di sistema: HKEY_LOCAL_MACHINE\SOFTWARE\WinSock2\Buibert quindi la reinstallazione del protocollo TCP/IP (Pannello di controllo, Connessioni di rete, Connessione alla rete locale LAN, finestra Proprietà, Installa, Protocollo, Aggiungi..., Disco driver..., portarsi all'interno della cartella %Windir%\inf, selezionare il Protocollo Internet TCP/IP, confermare premendo il pulsante OK quindi riavviare il computer).

E' possibile verificare la presenza di LSP maligni con il software "HijackThis". Questa utilità inserisce le minacce LSP nel gruppo O10 ma è altamente sconsigliabile premere il pulsante Fix checked: si causerebbero problemi di instabilità all'intero sistema. Per rimuovere questi componenti maligni è possibile servirsi dell'ultima versione di SpyBot disponibile, assicurandosi di aggiornarla tramite la funzione Cerca aggiornamenti, Scarica aggiornamenti integrata nel software. In alternativa, è possibile usare il programma LSPfix, distribuito da Cexx.org.

News del 24-3-07 trovata in rete

L'angolo dei cattivi

Site Advisor ha stilato una classifica dei paesi a rischio di malware, dalle isole di Tokelau in poi.


Secondo McAfee, i siti non offrono la medesima ricorrenza di minacce a causa di virus o spyware ma, sulla base statistica delle ricorrenze riscontrabili nelle estensioni dei nomi, il navigatore non correrebbe alcun rischio sui siti istituzionali (.gov) mentre altri presentano percentuali di rischio anche molto alte.

Ad esempio, chi naviga in siti con estensione .tk, che contraddistingue l'arcipelago di Tokelau, un insieme di atolli corallini a nord di Samoa, sulla carta viaggia in acque pericolose (rischio stimato oltre il 10%) mentre calma piatta offrono gli stati nordeuropei con percentuali di rischio poco sopra lo zero.

Nel mezzo, quanto già si sospettava: Romania e Russia che viaggiano attorno al 5% mentre Italia e Francia sorprendentemente si tengono su livelli medio-bassi con l'1 e rotti per cento; sarà colpa della scarsa informatizzazione anche a livello universitario.

Stranamente bassa anche la percentuale accreditata a Israele (.il) che con soltanto lo 0,5% viene classificato assai più virtuoso degli USA, anche se stimiamo che sia solo più bravo a nascondersi; infatti un tempo come patria dei virus non era inferiore a nessuno.

Nell'insieme, altra sorpresa nel rilevare come l'abusata estensione .com sia meno mal frequentata di .info; o forse no, visto che i "confezionatori di pacchi" ben sanno come proprio i meno informati siano poi quelli che più incoscientemente rendono disponibili a chiunque i propri dati personali.

Violato il sito di Monster con un trojan ad hoc
Hacker in cerca di "lavoro" fanno incetta di dati personali nel popolare sito di e-recruitment.

Security

News 22-08-2007

Il sito di e-recruitment MonsterMonster è stato preso di mira da alcuni spammer, che hanno ottenuto qualcosa come un milione e seicentomila nomi, indirizzi email e numeri di telefono degli utenti.

E' iniziato tutto con una campagna di phishing avente come target gli utenti di Monster. Gli spammer, spacciandosi per Monster e mettendo online un sito fasullo, hanno inviato un'email contentente l'invito a scaricare un nuovo software per la ricerca di lavoro, che in realtà era un trojan.

Il trojan, battezzato Infostealer.Monstres, era appositamente appositamente studiato per carpire agli utenti i dati di accesso al popolare sito di recruitment online. Gli utenti che hanno scaricato e installato questo file hanno automaticamente fornito agli spammer username e password per accedere legittimamente al sito di Monster. Una volta entrati nel sito, per i truffatori è stato facile fare incetta di dati personali di altri utenti.

"Quello di cui stiamo parlando non è un attacco diretto al nostro sito" ha detto Patrick Manzo, vice presidente della sezione Sicurezza e prevenzioni frodi di Monster. "Chiamiamo queste persone con il loro nome, ossia dei criminali: criminali che hanno ottenuto i dati di accesso dei nostri utenti, probabilmente da loro medesimi".

Manzo ha tenuto a precisare che la fuga di informazioni non ha evidenziato buchi nel sistema di Monster, visto che gli hacker entravano tramite username e password legittimi. Tuttavia Monster rivedrà il proprio sistema di sicurezza e sta già allertando gli utenti a essere più vigili nel fornire informazioni personali a sconosciuti.

Un altro effetto del worm installato sui Pc degli utenti è di criptare sui loro PC le cartelle contenenti foto e musica, chiedendo agli utenti un "riscatto" di 150 dollari per poter accedere nuovamente ai file: una forma di attacco particolarmente odiosa.

Il primo a segnalare il worm è stato Amada Hidalgo di Symantec, che nei giorni scorsi ha scritto un articolo sul blog aziendale, informando di quanto stava succedendo. "Un database così ampio di dati personali è il sogno di ogni spammer" ha dichiarato Hidalgo. Finora comunque non sono stati segnalati casi di furto di identità, ossia di utilizzo illecito dei dati personali ottenuti.

Dave Cole di Symantec ha precisato che non si era mai visto prima un attacco del genere indirizzato ai siti di e-recruitment. "I truffatori si stanno indirizzando verso terreni fruttiferi: in passato non era questo il tipo di informazioni che veniva rubato".

Silvia Zanella, responsabile dell'ufficio comunicazione di Monster Italia, ha dichiarato che gli utenti italiani possono stare tranquilli in quanto il problema ha riguardato solo gli Stati Uniti. "Non abbiamo ricevuto segnalazioni di furti di dati personali dei nostri utenti in Italia, né in tutta Europa: il fenomeno pare circoscritto al solo sito statunitense. La privacy degli utenti italiani di Monster è salvaguardata".

Chi si fida di Net-Jokes
Un piccolo esempio di spam malizioso, tratto da una serie infinita.

Security

News 22-08-2007

Circola in queste ore l'ennesimo spam travestito da servizio, che tenta di carpire l'attenzione, la curiosità e la fiducia del ricevente. Il mittente si presenta come Net-Jokes; l'email che appare nell'intestazione del messaggio è arusa.kocevar@fmal.fujitsu.com.

Stavolta l'utente, magari distratto dal generale clima vacanziero, è indotto a ritenere di aver richiesto l'attivazione di un account e di essersene dimenticato, come spesso accade, e viene invitato a visitare un certo sito, il che pare aver a che fare con la "registrazione" necessaria.

Raccomandiamo di non visitare il sito nel testo che segue e di non installare l'applet indicata. Ecco l'email della quale diffidare:


Welcome Member,
Welcome To Net-Jokes.
Confirmation Number: 8455119482473
Login ID: user8241
Your Temp. Password ID: ui683
Be Secure. Change your Login ID and Password. Click here to enter our secure server: 86.130.251.199/
Welcome,
Membership Services
Net-Jokes
Il link porta a una pagina web alla quale si legge un invito a installare l'applet Secure Login.

L'Url dell'applet in questione è 86.130.251.199/applet.exe. Ci siamo ben guardati dall'installarla e questo è il consiglio che vi diamo.

New Security reperita nel web
pertanto il copyright e del rispettivo autore


Il trojan che compila i Captcha

In realtà a riempire i moduli è l'utente infetto, attirato dal miraggio di uno strip-tease di una ragazza provocante.

News 20-11-2007

Ai virus-writer non manca di certo l'inventiva e una buona dose del senso d'umorismo. Lo hanno dimostrato gli sviluppatori di un nuovo trojan, segnalato dai specialisti di Trend Micro. Chiamato Troj_Captchar.A è stato creato per aggirare un diffuso sistema di protezione dalle registrazioni automatiche.

La maggioranza dei server usano una serie casuale di numeri e lettere volutamente distorti od offuscati, per assicurarsi che la registrazione sia effettuata da un uomo e non un computer, o più precisamente un bot.

Di regola solamente l'uomo è in grado di leggere tali simboli e inserirli nel campo corrispondente nella pagina di registrazione. E' una versione più moderna del test di Turing per distinguere computer e umani, chiamata più semplicemente Captcha (Completely Automatic Public Turing test to tell Computers and Humans Apart).

Il trojan Captchar.A viene scaricato dalla rete da altri trojan o worm già presenti nel sistema Windows e una volta installato si connette a un server remoto. Quando dal server vengono inviati gli immagini Captcha da decifrare, il trojan attiva il suo gioco.

L'utente vede sul suo schermo l'immagine di una ragazza in una posa provocante e un invito ad assistere al strip-tease. Inserendo il giusto codice Captcha, la ragazza riappare con meno vestiti addosso e così via.

Nel frattempo i dati vengono inviati al server per essere usati per la registrazione automatica delle caselle email. Per il momento non vengono segnalate altre funzioni di questo trojan, e il database di Trend Micro Antivirus è già aggiornato.

New Security reperita nel web
pertanto il copyright e del rispettivo autore

Un trojan nei Pdf

Pidief.A sfrutta le vulnerabilità di Adobe Reader e Acrobat per controllare i sistemi colpiti.

News 20-11-2007

Si sta diffondendo il trojan Pidief.A, che sfrutta le vulnerabilità di Adobe Reader e Acrobat per controllare i sistemi colpiti. Le email indesiderate (spam) vengono utilizzate come meccanismo di diffusione di questo attacco. I sistemi infetti vengono compromessi dagli utenti che eseguono il file Pdf allegato alle email di spam.

A lanciare l'allarme è Norman, che spiega il funzionamento del trojan. Il programma maligno sfrutta le vulnerabilità nei programmi Adobe per disattivare il firewall personale di Microsoft e avviare il download del trojan da Internet. Questo trojan potrebbe consentire agli aggressori di prendere il controllo dei sistemi colpiti.

Lo spam "nocivo" si riconosce per avere come oggetto INVOICE alacrity, INVOICE depredate o STATEMET indigene. Gli allegati hanno come nome file BILL.pdf, INVOICE.pdf, YOUR_BILL.pdf e STATEMET.pdf.

Gli aggiornamenti di Adobe per queste vulnerabilità sono disponibili sul sito web di Adobe.

New Security reperita nel web
pertanto il copyright e del rispettivo autore


Maxtor, hard disk con virus
Alcuni modelli della serie Personal Storage 3200 sono stati venduti con all'interno un virus che minaccia i giocatori di World of Worcraft.

News 21-11-2007

Non è un periodo fortunato per i clienti di Seagate: dopo i difetti negli hard disk dei MacBook, i Kaspersky Labs hanno segnalato la presenza di un virus in alcuni prodotti.

A essere incriminati sono i dischi esterni della serie Maxtor Basics Personal Storage 3200, come si legge nel comunicato ufficiale rilasciato da Seagate.

In particolare, alcune unità prodotte in Cina e messe sul mercato a partire dall'agosto scorso ospitano il virus Win32.AutoRun.ah, il quale cerca le password per i giochi online e le invia a un server cinese. In aggiunta, il virus disattiva altri malware analoghi e tenta di mettere fuori gioco eventuali software antivirus presenti nel sistema.

I giochi interessati sono tutti cinesi, meno una notevole eccezione: World of Wordcraft. Gli altri sono WSGame, 91.com,QQ, Woool, rxjh.17game.com, TianLongBaBu, AskTao e Perfect World (Wanmei Shijie).

Se si possiede un antivirus aggiornato, questi rileverà l'intruso e l'eliminerà. Qualora tuttavia si sia in dubbio e ci si chieda se la propria unità possa essere una di quelle infette o meno, è possibile contattare il servizio di assistenza clienti e comunicare il numero di serie del drive.

Seagate assicura che le nuove unità sono ora prive di virus e, pertanto, i nuovi acquirenti possono stare tranquilli.

New Security reperita nel web
pertanto il copyright e del rispettivo autore


Si diffonde un malware per Mac OS X

Il trojan RsPlug chiede di installare plugin, inserire password di amministrazione e concedere i diritti di amministrazione. Eppure a cascarci sono in molti.

News 21-11-2007

Gli esperti di sicurezza hanno scoperto di recente un nuovo trojan sviluppato appositamente per il famoso sistema operativo Mac OS X. Denominato RsPlug, si trasmette principalmente attraverso i siti web porno.

Le funzionalità di questo trojan sono semplici: redirezionare i dati diretti verso i siti quali eBay, PayPal e altri di carattere finanziario, ai siti di phishing, oppure contenenti le pubblicità porno.

Il metodo di installazione non si può di certo definire facile: durante il tentativo di visualizzare un filmato su uno dei siti infetti, l'utente si trova reindirizzato su una pagina contenente l'avviso della necessità di installare un plugin per il lettore multimediale Quick Time. Accettando, parte il download di un file con l'estensione Dmg. Una volta installata, l'applicazione cambia i Dns del proprio Mac, esponendo così la macchina alle minacce.

Il particolare sta nel fatto che per installare il trojan l'utente dovrebbe compiere una quantità di varie azioni per essere pronto a crearsi danni, tra cui anche quella di inserire la password di amministratore e i privilegi di root. Ma nonostante tutto i creatori di virus per Mac non si scoraggiano e continuano a modificare e migliorare i codici.

Gli specialisti di F-Secure hanno individuato altri varianti di RsPlug che non sono ancora riconosciute dagli antivirus. I siti che trasmettono il codice nocivo si contano già a migliaia.

New Security reperita nel web
pertanto il copyright e del rispettivo autore

Il gatto malandrino che semina virulenza

Un simpatico micetto diffonde un virus per email, spacciandolo per una super-risata.

News 21-10-2007

Si chiama Zhelatin.KI e si diffonde per mezzo di un messaggio senza allegati che arriva nel mailbox con l'invito a cliccare su di un indirizzo IP accompagnato dalla scritta "View your Kitty Card now" cioè più o meno "guarda la foto del tuo gattone".

L'indirizzo IP apparentemente conduce al sito SuperLaugh.com dove si vede un gatto che crepa dalle risate; ma se l'incauto clicca sul link contenuto nella pagina, scarica l'eseguibile SuperLaugh.exe che contiene il virus.

Per prima cosa cercherà di disattivare tutti i programmi di sicurezza che sarà in grado di trovare, per aprire subito dopo una backdoor che permette di prendere il controllo della macchina a un utente remoto.

La trovata è abbastanza ingenua e non dovrebbe fare danni quanto meno tra i lettori di Zeus News che sono sufficientemente smaliziati; caso mai il pericolo è in agguato in un momento di noia o di disattenzione, oppure se hanno accesso alla macchina persone meno avvertite come ad esempio i bambini.

Vale per tutti il solito consiglio e cioè di non aprire mai le email che arrivano da sconosciuti; al limite usare uno dei tanti programmi che permettono di vederne un'anteprima ancora sul mailserver o cancellarle direttamente senza leggerle.

New Security reperita nel web
pertanto il copyright e del rispettivo autore


Fiorella e il malware a luci rosse

21 Novembre 2007 ore 13:17

Molti italiani si sono visti ultimamente recapitare nella propria casella di posta elettronica un messaggio particolare, il quale invita a visualizzare il video a luci rosse 'de Fiorella'. Si tratta di un escamotage per infettare i computer con un malware.
Le caselle di posta elettronica di molti italiani sono state ultimamente invase da una mail molto particolare firmata da Gianni A. Perutti, il quale invita molto esplicitamente a scaricare un filmato al cui interno vengono rappresentate le gesta espressamente erotiche di una fantomatica ragazza chiamata Fiorella. Il link proposto non presenta però lo stuzzicante video, ma cerca invece di infettare i computer dei più curiosi con un malware.
Il testo integrale della mail è il seguente:

Oggetto: Ecco quel che ti ho promesso

«Ciao Ragazzi, non mi sono scordato della promessa di Sabato sera… Ecco il video de Fiorella! Non mi importa se lo scopre, visto che lei non ha avuto nessun problema a scoparsi 7 uomini assieme. Quindi se volete farlo girare no problem ok? [segue link] Ciao a presto! Gianni A. Perutti»

Come illustrato chiaramente all'interno di un post pubblicato su "PC al Sicuro”, il file coso.asx a cui punta il link provoca l'esecuzione di Windows Media Player, chiaro segnale per l'utente dell'imminente visualizzazione del filmato. Al posto delle immagini di Fiorella apparirà però un messaggio ad indicare la mancanza nel sistema del codec video necessario a visualizzare il filmato richiesto. Nel caso si decidesse nel proseguire con l'installazione di quest'ultimo, verrà scaricato nel sistema un file astutamente chiamato "codec_8-2.exe". Non si tratta però di un vero codec, ma di un malware camuffato, il quale provvederà ad installare nella directory di sistema di Windows un Browser Helper Object denominato wbspark.dll.
Sono ancora pochi i programmi in grado di identificare il Browser Helper Object; Prevx ad esempio lo riconosce come Adware.BHO.gen. Il dropper incaricato di installare il malware invece è più largamente riconosciuto dai principali antivirus in commercio.
Viene quindi caldamente sconsigliata la navigazione sul server freemoviepro.com (210.14.129.3), ricco di sottodomini ricollegabili allo stesso falso codec.

Dì la tua: commenta la notizia

Re: Virus Sample

Nel messaggio riporta questo testo:

The sample file you sent contains a new virus version of mydoom.j.
Please clean your system with the attached signature.

in allegato c'è il file DATFILES.ZIP spacciato per un cleaner.

Non aprite assolutamente l'allegato è un virus.
Eliminate immediatamente il messaggio se eventualmente lo ricevete.

Questa email gira dal mese di Aprile ed e' lunga 41K, non e' quindi una novita' di ora, ma comunque si vede che qualcuno e' ancora infetto e si sta riproponendo. Il virus contenuto è l'ormai notissimo Netsky che tutti gli antivirus dovrebbero immediatamente rilevare.

Attenzione a Milena

Segnalatomi da un amico admin del forum di grafica a cui partecipo

Un redattore della rubrica "Un trucco al giorno", ha ricevuto questa e-mail:

“Ciao come va tutto ok?? Spero di si..Perdonami del ritardo ma nn avevo tempo di farmi fare le foto..eccole qui in allegato caso mai non le visualizzi scaricale da…” (segue indirizzo…). Firmato Milena.

Nessuno conosceva sta Milena, ma il linguaggio usato amichevole, ha fatto pensare ad una trappola. Il redattore ha scaricato l’allegato per esaminarlo ed ecco la sorpresa:
si trattava di un’applicazione nascosta con estensione .jpg, quella delle foto, e se la vittima ingannata avesse cliccato per vederle, avrebbe attivato il virus con tutte le gravi conseguenze del caso.
Fortunatamente, con un antivirus aggiornato, è stato riconosciuto come malware e bloccato.

Oltre a questa mail, ne stanno giungendo altre anche a me, in inglese, sempre sul tema...
"sono una ragazza stanca e voglio divertirmi con te,.... clicca questo link per vedere le mie foto nude..."

OKKIOOOOOOOOOO!!!!!!!

New reperita nel web

Dalla Russia con amore

Arriva Cyberlove, un malware evoluto che riesce a
trafugare dati personali e sensibili agli incauti naviganti.

News 24-12-2007

La minaccia è concreta perché un'ennesima versione di malware sembra veramente in grado di procurare seri inconvenienti. Il software sarebbe in grado di emulare quasi perfettamente il comportamento umano, riuscendo a sostenere conversazioni credibili con i frequentatori dei siti specializzati in incontri, e poco importa se per cercare l'anima gemella per una serata, un fine settimana o tutta la vita.

La nuova generazione di processori veloci a basso costo ha reso possibile la realizzazione di forme insospettabili di intelligenza artificiale; ma la realizzazione in sé non è nuova, in quanto già da molti anni era disponibile sul web il demo di un programma in grado di fornire una quindicina di risposte alternative abbastanza compatibili con l'argomento della conversazione.

Cyberlove è assai più evoluto, essendo in grado di condurre una conversazione sia dai toni soft che su tematiche assai più "concrete" e senza mezzi termini o giri di parole; ma comunque sempre con l'intento di portare gli incauti a comunicare in qualche modo i propri dati personali e sensibili, inviandoli quindi al server comprese le eventuali foto messe in rete.

Se veramente il software fosse in grado di sostenere una decina di conversazioni in contemporanea, il possibile danno è facilmente immaginabile, tanto più che i frequantatori di siti dedicati a relazioni interpersonali hanno la falsa percezione di non correre alcun rischio finché non avvenga fisicamente l'incontro.

Tanto più concretamente, se corrispondesse al vero la capacità di adeguare tono e contenuti all'andamento della conversazione, saranno a rischio non solo adulti consapevoli, per i quali si potrebbe arguire che, tutto sommato, se la sono proprio andata a cercare.

Il vero pericolo sta nei possibili agguati dei pedofili, genìa diffusissima in rete e contro la quale i giovanissimi sono a rischio totale non essendo in grado di valutare con chi o cosa si trovino a contatto, e tanto meno il perché.

Perciò in attesa di trovare un sistema per arginare questa ennesima dimostrazione di quanto sia divenuta perigliosa la navigazione sul web, occorre esercitare la massima attenzione per non incorrere in spiacevolissime ed a volte irreparabili conseguenze.

I virus più curiosi del 2007

Sull'onda della moda. Il sequestro. Il buon samaritano. Aiuto! traduzioni. La campagna elettorale. Una misera imitazione. Lo spione. Il favolista. Il quizzone.

News 31-12-2007

Diffidate dei regali di provenienza dubbiaPanda ha stilato la classifica dei virus più interessanti e curiosi di quest'anno appena trascorso. Eccone alcuni.

Sull'onda della moda

Il trojan Aifone.A è stato senza dubbio il codice nocivo piu tecnologico tra quelli scoperti negli ultimi mesi. Subito dopo il lancio sul mercato di iPhone di Apple, questo trojan si è occupato delle "pubbliche relazioni", facendo pubblicità a questo prodotto, infettando nel frattempo gli ignari utenti.

Il sequestro

Sinowal.FY è un trojan usato per la cifratura dei file trovati nel computer infetto che costringe l'utente ad acquistare una speciale utility per poterli decifrare. Un vero e proprio sequestratore, che usa i file in qualità di ostaggi.

Il buon samaritano

RogueMario.A è un worm che dopo aver infettato un Pc tenta di divertire l'utente. E' usato per l'installazione sulla macchina infetta di una delle versioni del famoso gioco Mario Bros. Che carino!

Aiuto! Traduzioni

I worm come MSNFunny.B, Mimbot.A o MsnSend.A sarebbero stati benvenuti in una qualsiasi agenzia delle comunicazioni internazionali, perche sono capaci di mandare i messaggi in una dozzina di varie lingue. Le frasi potrebbero anche non essere formulate molto bene, però un passo alla volta, no?

La campagna elettorale

Voter.A è un worm con un alto senso civico. Invita i cittadini del Kenya a prendere parte elezioni (appena concluse, n.d.r.) e a dare un voto per uno dei deputati. La tecnologia purtroppo è molto fastidiosa: ogni 9 secondi sullo schermo del Pc infetto appare la foto del candidato e i slogan politici. Una campagna di dubbio successo.

Una misera imitazione

Sohanat.DB blocca i motori di ricerca, caricando una sua imitazione della pagina principale di Google. L'utente, facendo la ricerca e visitando un qualsiasi sito proposto da simil-Google, si ritrova ogni sorta di infezioni sul Pc. Peccato per la grafica più che approssimativa. Dai, ragazzi: un po' più di attenzione ai dettagli, che così non ci casca nessuno!

Lo spione

AttachMsngr.G è un trojan con una grande sete di conoscenza: infatti registra qualsiasi cosa faccia l'utente sul Pc infetto, a cominciare dai tasti pigiati e finendo con le conversazioni avute su MSN Messenger.

Il favolista

CivilArmy.B è un worm che sa... raccontare le fiabe. Prima di informare l'utente che il suo Pc è infetto racconta una romantica favola di due innamorati. Forse è un modo di attirare l'attenzione al seguito, ma forse no.

Il quizzone

Trojan LiveDeath.A, dopo aver infettato un Pc, apre la console di comando e costringe l'utente di rispondere a una serie di domande del tipo: "Qual è il tuo colore preferito?" La curiosità sta nel fatto che indipendentemente dal vostro colore preferito, il Pc alla fine del quiz si spegnerà lo stesso.

new reperita nel web pertanto rimane del legittimo proprietario

Il trojan Storm rovina la festa degli innamorati

La ricorrenza di San Valentino messa a rischio da una nuova variante di Storm, un botnet che da anni crea non pochi problemi ai disattenti.

News 27-01-2008

Si calcola che nel mondo il virus Storm (siglato VME-711 da Common Malware Enumaration) e le sue varianti, da Small.dam a Nuwar o Peacomm, abbia attaccato da 10 a un centinaio di milioni di computer, diffondendo ben oltre un miliardo di messaggi infetti.

Perché il worm si attiva eseguendo un allegato all'email, può presentarsi con nomi diversi ma nella maggioranza dei casi svela la sua presenza a causa del file wincom32.sys; per altro l'infezione è quasi inavvertibile perché non causa malfunzionamenti o rallentamenti delle macchine infestate.

I normali antivirus solitamente riescono a debellarlo completamente, ma continua a diffondersi per colpa dei creduloni e dei disattenti, oppure di chi lascia la propria macchina non sorvegliata.

Ovviamente vengono impiegate tecniche di social engineering per indurre i destinatari ad aprire le email infette; dopo aver sfruttato il tema dei disastri naturali, ora è il momento di San Valentino, e già cominciano a diffondersi i messaggi portanti l'invito ad aprire un messaggio inviato da innamorati segreti.

Un commento all'ondata (per altro ripetitiva, si era già verificato un fatto analogo negli anni scorsi) si trova sul blog di Dmitri Gryaznov, un ricercatore di McAfee Avert Labs; tuttavia occorre ripetere che è pericoloso scaricare email da sconosciuti e pericolosissimo aprirle.

Molto meglio leggere l'intestazione sul mailserver ed eventualmente cancellarle con i programmi appositi; ne esistono di ottimi gratuiti o a pagamento. E se proprio ci facciamo prendere la mano dalla curiosità, non scarichiamo mai in formato Html e non apriamo mai gli allegati: anche l'innocente Rich Text Format potrebbe rivelarsi meno innocuo di quanto si pensi.

new reperita nel web pertanto rimane del legittimo proprietario

News 13-03-2008


Torna l'Ecobufala della Eolo
A volte ritornano. La fregnaccia dell'energia pulita quasi gratis ricompare nelle nostre mailbox. Ce ne libereremo mai?

Tra le catene di sant'Antonio più fastidiose ci sono senz'altro quelle indirizzate a un pubblico ambientalista: le cosiddette eco-bufale, tanto più odiose quanto più la vittima è sensibile a questo tipo di tematiche. Come le altre e-bufale, anche queste contengono il meccanismo virale di propagazione, l'inutilità dell'appello, indignazione quanto basta e una dose abbondante di teoria del complotto, che non guasta mai.

Il testo che in questi giorni ci sta ri-martellando le mailbox (in realtà la sua comparsa risale al 2006) dice: "Eolo, la vettura che avrebbe fatto a meno della benzina è stata fatta sparire. Perché?" Un vero toccasana per i nostri problemi energetici e ambientali: "Leggerissima e ultraresistente, capace di fare 100 Km con 0,77 euro, poteva raggiungere una velocità di 110 Km/h e funzionare per più di 10 ore consecutive nell'uso urbano."

I più attenti lettori la ricorderanno più volte citata su Zeus News, come quando, nel lontano 2004, esprimemmo alcuni dubbi sull'attendibilità tecnica di quanto diffuso a mezzo stampa, e profeticamente scrivemmo "L'impressione è che di queste Eolo, prima o poi, dovrà occuparsi il nostro servizio Antibufala". Eccoci qui, dunque.

Il target della catena, è chiaro, sono tutte le persone eco-sensibili che, all'uscita delle prime notizie, avevano accarezzato l'idea di un'auto anticonformista, minimale, ecologica e pure economica (diciotto milioni di lire per l'acquisto e millecinquecento lire per percorrere cento chilometri).

In realtà la Eolo ha avuto una storia tutt'altro che misteriosa: presentata nel dicembre del 2001 al Motorshow di Bologna, riuscì ad avere diversi milioni di euro di finanziamento dalla Ue per aprire, almeno formalmente, alcune fabbriche in Europa. Tra queste, quella italiana non produsse nemmeno un'auto, e così sembra fecero tutte le altre.

Nonostante il successo mediatico e commerciale, i prototipi mostrati in giro non entusiasmarono mai: rumore e problemi di raffreddamento funestarono la buona volontà di chi effettuava le prove. Raffreddarla non era difficile, in realtà: il gas, espandendosi, congelava tutte le tubazioni dell'aria compressa, rendendo la macchina inservibile.

Il progetto, inoltre, non si può dire sia stato boicottato dal grande giro dell'industria automobilistica, visto che il colosso indiano Tata, annunciò l'anno scorso di aver rilevato il brevetto per la produzione in serie della Eolo. Maggiori informazioni sulla bufala le trovate qui.

Problemi tecnici a parte, il difetto sta nel manico. Come tutti i vettori energetici, come l'idrogeno o l'energia elettrica, l'aria compressa sposta il problema dell'inquinamento dal tubo di scappamento alla centrale elettrica, senza risolverlo. In più, il ciclo della Eolo deve scontare, rispetto ai colleghi, una perdita di rendimento assai più consistente.

Come sempre, invitiamo tutti a non far circolare le dannate catene di sant'Antonio via mail, che spesso ci rendono complici della circolazione di una menzogna e in ogni caso, quando va bene, ci fanno fare la figura dei cyber-fresconi indignati. Interessante è, comunque, analizzare le cause psico-sociologiche del successo di questa bufala.

Un'enorme disponibilità di energia a basso costo, il petrolio, ci ha abituati a non pensare all'energia come a una risorsa scarsa. Così non sopportiamo l'idea di rinunciare alla nostra mobilità insostenibile. Non stiamo parlando di Suv: tra non molto anche condurre un'utilitaria sarà un problema.

Come pensiamo di poter alimentare una macchina che ha un motore da 18 kW con una carica notturna fatta con un contatore da 3 kW? Come abbiamo scritto altrove, "siamo come bambini, ora che vediamo il fondo del barile ci attacchiamo a ogni cagata che esce sui giornali: la fusione fredda, l'idrogeno, l'aria compressa, gli aquiloni solari. E chi sbugiarda queste bufale, è autore di complotti, al soldo dei petrolieri."

L'almanacco 2008 dei virus
I virus più striscianti, il più pulito, il sequestratore, i più romantici, il più informativo, gli impostori, il più disonesto, il profeta dell'Apocalisse, il maialino cool e il più chiassoso.

Nei primi sei mesi del 2008 sono comparsi numerosi nuovi e curiosi codici maligni. I laboratori di Panda Security ci hanno inviato un elenco che contiene gli esemplari di malware più divertenti e interessanti in circolazione.

I più striscianti

MalwareProtector2008 e AdvancedXpFixer riempiono i computer di bug. Per essere precisi, scarafaggi virtuali "mangiano" il desktop. In realtà, l'obiettivo è convincere gli utenti che il Pc è infetto (non sempre è vero) e spingerli ad acquistare la soluzione di sicurezza offerta da questo adware.

Il più pulito

Tixcet.A è un worm che adora pulire gli hard disk. Non sarà difficile immaginare quanto gli utenti apprezzeranno questa attività, quando si accorgeranno che tutti i loro file sono stati cancellati!

Il sequestratore

PGPCoder.E è un nuovo esemplare di codice rapitore che tiene in ostaggio i dati di un computer e chiede un riscatto. Nello specifico, utilizza un algoritmo per crittare tutte le informazioni ed esige denaro per fornire le chiavi per decrittarle. È un esempio significativo di come i crimini della vita reale si riflettano su quella del Web.

I più romantici

Nuwar.OL, Nuwar.Ql (conosciuti anche come Storm Worm) e Valentin.E sono worm che sfruttano le pene d'amore. Questi codici utilizzano temi romantici per ingannare gli utenti e infettare i loro computer.

Il più informativo

Talvolta, gli autori di codici maligni includono funzionalità davvero inaspettate. Romeo.C, mostrando news di attualità, realizza azioni pericolose. Forse anche alcune delle vittime sono state impressionate da questo nuovo programma che tiene diligentemente aggiornati sulle ultime notizie.

Gli impostori

Manclick.A, Manclick.B e Manclick.C si fingono programmi diversi, ingannando gli utenti, convinti di installare un'applicazione legittima, invece di un malware. Inoltre, reindirizzano i navigatori su false pagine Web, legate a servizi bancari, per raccogliere informazioni da usare per frodi online.

Il più disonesto

FakeDeath.A è un worm che annuncia la morte di Fidel Castro per ingannare gli utenti e colpire il loro PC. E' bene ricordare che non si può sempre credere a tutto ciò che si legge!

Il profeta dell'Apocalisse

Il worm RenameLoi.A, quando viene eseguito, produce un fastidioso rumore e mostra un messaggio relativo all'Anticristo e al giorno del Giudizio Universale.

Il maialino cool

Quando gli utenti eseguono il file che contiene questo codice maligno, il worm MSNWorm.El mostra una foto di un maialino truccato, con occhiali da sole e gioielli al collo.

Il più chiassoso

BeepBeep.A ama attirare l'attenzione su di sé e ogni volta che gli utenti accedono a una cartella di Windows o del sistema, emette una serie di segnali acustici noiosi (beep).

Il falso YouTube

News del 15-09-2008 reperita nel web


Il falso YouTube che diffonde malware
In pochi minuti si può realizzare una finta copia di YouTube
per ingannare gli utenti.

Il tempo dei creatori di malware solitari, artigianali, esperti programmatori
che portavano avanti i propri loschi piani nascondendosi dallo sguardo
delle società produttrici di antivirus - se mai c'è stato - è ormai finito.

La creazione e la distribuzione di malware va assumendo
connotati sempre più professionali:
un business in cui appaiono strumenti user friendly,
facili da usare, per colpire con il minimo sforzo gli ingenui utenti della Rete.

L'ultimo tool di questo tipo, segnalato da Panda Security,
si chiama YTFakeCreatore, dove "YT" sta per YouTube.

Si tratta di un programma che permette la creazione semplice
e veloce di un sito in tutto e per tutto identico a YouTube,
solo che è falso e spaccia malware.

Tramite pochi click e l'inserimento di qualche breve testo il sito-trappola è pronto.
Poi non resta che attirare gli utenti (magari con un bel link che arriva via posta
promettendo qualche filmato particolarmente interessante)
e le vittime che giungeranno sulla pagina artefatta troveranno un gentile invito
a scaricare un plug-in per poter visualizzare il filmato.

Il plug-in, naturalmente, sarà uno spyware, un trojan o qualche altra schifezza del genere,
e del filmato non vi sarà alcuna traccia; un messaggio d'errore
presenterà una scusa plausibile per spiegare la mancanza.
Gli utenti, però, a quel punto avranno ben altro di cui preoccuparsi,
sempre che se siano accorti che qualcosa non va.