Alessandro Zanello

Sembra che anche i file .HLP abbiano perso l’innocenza: questo articolo sul sito della McAfee racconta di una tipologia di attacco che coinvolge un file .HLP, anche se solo come contenitore. Il malware è attaccato ad un file legittimo del sistema di aiuto in linea, imepaden.hlp, che continua a funzionare regolarmente. Viene poi creato un file .SYS che viene eseguito come servizio e si maschera da device driver e all’occorrenza riestrae dal file .hlp il carico malevolo “upgraderUI.exe”, che alla fine è una backdoor della famiglia Muster.e di cui già si sapeva, e che viene agganciato tramite la chiave del registry HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run AutoPatch.

Così se si cancella il file .exe e la chiave del registry, il file .sys ricrea il tutto, ed il fatto che di solito si escludono per questioni di efficienza i file .hlp dal novero dei file controllati dall’antivirus rende difficile che si scopra il meccanismo. Un bell’esempio di strategia da hacker.

Ricercatori ed esperti di sicurezza hanno identificato un nuovo attacco capace di infettare  in un mese circa 300.000 pagine web con link che portano i visitatori ad un pagina con un potente cocktail di exploit maliziosi.

L’attacco è iniziato nel tardo novembre e sembra opera di esperti, ma non in questo tipo di tecniche. I siti manomessi contengono un iframe che silenziosamente redirige gli utenti su 318x .com (notare lo spazio inserito appositamente per sicurezza), e da lì su:

aa1100.2288.org/htmlasp /dasp/alt .html

mentre viene poi caricato uno script (js. tongji.linezing.com/ 1358779/tongji.js) usato per il tracking. La procedura sfrutta note vulnerabilità di almeno cinque applicazioni:

continua »

Sandboxie permette di lavorare sul computer in un’area virtuale protetta ed isolata in cui vengono confinate le modifiche a registro e cartelle. E’ molto utile ed efficace per fare prove e per navigare su Internet tutelando privacy e sicurezza.

Molti ad es. fanno uso, spesso senza saperlo nè immaginarlo, di generatori di chiavi di registrazione di applicazioni (keygen) scaricati da Internet che sono anche veicoli di diffusione di virus: eseguirli in questo ambiente sarebbe un buon modo per evitare i danni pianificati dai produttori di malware.

Sandboxie si frappone tra le applicazioni “dubbie” ed il disco rigido, permettendo su quest’ultimo le sole operazioni di lettura e deviando quelle in scrittura in un’area virtuale, dove vengono effettuate in realtà tutte le modifiche.

Queste saranno comunque accessibili esplorando i contenuti dell’area riservata (la sandbox), fin quando non si deciderà di cancellarla. Far girare i software sconosciuti in uno spazio sicuro e indipendente per non rischiare danni è una soluzione potente e facile da usare: chiaramente questo si può ottenere, ed anche in modo più completo, con le tante macchine virtuali disponibili (VirtualBox, VMware, Returnil, ecc.) o con funzioni tipo “Try and Decide” di True Image della Acronis, ma Sandboxie è incomparabilmente più semplice da usare e meno invasivo.

continua »

Sempre più utili, i servizi gratuiti di scansione online in tempo reale di file sospetti come Jotti, NoVirusThanks, VirusTotal e ThreatExpert sono diventati un riferimento: su questi siti si può proporre un file di cui non ci si fida perchè sia analizzato da una ventina o più di antivirus, in modo da avere un quadro complessivo e decidere in base alla percentuale di riconoscimento come minaccia dei vari antivirus utilizzati.

Nell’era del digitale viviamo nell’illusoria convinzione che i nostri dati, siano essi documenti, foto o film, possano essere conservati in eterno. Se una volta la nostra serie TV preferita su videocassetta si poteva danneggiare a causa della fragilità del supporto, con un DVD o un Blu-ray in molti credono di aver messo per sempre al sicuro i loro dati, eppure non è così.

Un CD o DVD ha generalmente una vita garantita di circa dieci anni. È probabile che il supporto possa durare anche qualche anno in più, ma non vi è nulla di certo. I danni si sviluppano dall’esterno verso l’interno della superficie del disco, e se c’erano sopra tanti piccoli file qualcosa forse è recuperabile, mentre se c’era un unico grosso file questo è irrimediabilmente perduto. Continuate a leggere se volete una soluzione più duratura.

continua »

Forse non tutti sanno che anche le chiavi del registro hanno privilegi di accesso, esattamente come file e cartelle. Per questo motivo può accadere che cercando di cancellare una chiave piantata nel registro da un virus non ci si riesca, per le autorizzazioni che l’autore del virus ha volutamente modificato. Di seguito indicazioni per risolvere la questione.

Per variare le autorizzazioni di accesso di una chiave del registro seguire questi passi:

a. avviare l’editor del registro (Start, Run, regedit, e OK oppure Windows-R, Regedit, Invio)
b. trovare e fare click destro sulla chiave del registro e scegliere Autorizzazioni
c. sotto Utenti e gruppi scegliere Administrators
d. sotto Autorizzazioni per Administrators, assicurarsi che la spunta sia su Consenti per le seguenti voci:
• controllo completo
• in lettura
e. fare click su Applica e su OK
f. uscire dall’editor del registro.
continua »

Uno dei più frequenti sistemi di propagazione dei virus oggi è basato sull’autoplay: una chiavetta di memoria USB che avete inserito in un sistema infetto è stata modificata in modo che appena inserita in un sistema con l’autoesecuzione attiva viene avviato un virus che tenta di infettare il sistema ospite. Vi sono contromisure per evitare che questo succeda ma come fare con le chiavette di terzi su cui non avete il controllo ? E’ buona norma disattivare l’autoesecuzione, ma questo è un processo noioso e instabile (bisogna gestire separatamente vari casi di autoplay), a meno di ricorrere ai criteri di gruppo.

Avviate:

gpedit.msc

tramite Start, Esegui o premendo la solita combinazione di tasti Windows-R sta (per Run; Windows è il tasto con la bandierina di Windows, il secondo in basso a sinistra, spesso il terzo sui notebook). continua »