Alessandro Zanello

Stanno arrivando in questi giorni sedicenti email fasulle da spedizionieri come UPS e DHL.

Queste email hanno come allegato un file zip contenente un trojan che scarica nascostamente un finto antivirus (Win 7 Anti-Spyware 2011 oppure Win 7 Anti-Virus 2011) che troverà decine di infezioni sul vostro PC e cercherà di convincervi a inserire i dati della vostra carta di credito per registrare l’antivirus ed eliminarle.

Verranno nascostamente effettuate connessioni ai server SMTP di Yahoo, AOL, Gmail, GMX e ad indirizzi IP localizzati in Ucraina e Gran Bretagna, prevedibilmente con l ‘intento di inviare dati privati rubati dal vostro PC.

Inutile precisare che l’unica cosa ad essere eliminata sarà il saldo positivo del vostro conto corrente.

Le email arrivano anche ma non solo da questi indirizzi:

ioprt14@dhl.com
supportmip11@dhl.com
postmail-usid.3949@greensboro.com
dhltrak11@dhl.com
dhltraki1@dhl.com
postmail-usa.8273@omaha.com
infojs@ups.com
adsupport3@ups.com
dfsupports1@ups.com
adminsuppo2@dhl.com
infoad2@ups.com
infoad22@ups.com
postmail-int69136@durham.com

Gli allegati possono avere nome:

Post_Express_Label_No.30845.zip
UPS-document.zip
UPS notification.zip
United Parcel Service Notification Letter.zip
United Parcel Service document.zip
UPSnotify.rar
Post_Express_Label_SER.71816.zip
tracking.zip
Post_Express_Label_VID99184.zip
document.zip
DHL_documents.zip

Il testo inizialmente era del tipo:

“Dear customer. The parcel was send your home address. And it will arrice within 7 bussness day. More information and the tracking number are attached in document below.”

in cui si leggono svariati errori; tuttavia gli errori stanno sparendo negli ultimi messaggi, a significare che la truffa funziona e viene raffinata, per cui ci sarà da stare attenti anche per il futuro.

Tizer™ Rootkit Razor è uno strumento gratuito in grado di rimuovere oggetti malevoli dal vostro computer. Com’è noto, i rootkit si sono evoluti da una forma di protezione dei CD musicali a nuovi strumenti di penetrazione e sono molto difficili da rilevare ed eliminare, tanto che conviene comunque cominciare sempre dal rimuovere il disco sospettato e connetterlo a diverso PC come disco esterno se si vuole avere qualche chance.

Tizer Secure™ Rootkit Razor è in grado di riconoscere ed eliminare molti rootkit; è compatibile con Windows 7, è gratuito per uso personale e più efficace di alcuni prodotti commerciali.

Sembra che anche i file .HLP abbiano perso l’innocenza: questo articolo sul sito della McAfee racconta di una tipologia di attacco che coinvolge un file .HLP, anche se solo come contenitore. Il malware è attaccato ad un file legittimo del sistema di aiuto in linea, imepaden.hlp, che continua a funzionare regolarmente. Viene poi creato un file .SYS che viene eseguito come servizio e si maschera da device driver e all’occorrenza riestrae dal file .hlp il carico malevolo “upgraderUI.exe”, che alla fine è una backdoor della famiglia Muster.e di cui già si sapeva, e che viene agganciato tramite la chiave del registry HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run AutoPatch.

Così se si cancella il file .exe e la chiave del registry, il file .sys ricrea il tutto, ed il fatto che di solito si escludono per questioni di efficienza i file .hlp dal novero dei file controllati dall’antivirus rende difficile che si scopra il meccanismo. Un bell’esempio di strategia da hacker.

Ricercatori ed esperti di sicurezza hanno identificato un nuovo attacco capace di infettare  in un mese circa 300.000 pagine web con link che portano i visitatori ad un pagina con un potente cocktail di exploit maliziosi.

L’attacco è iniziato nel tardo novembre e sembra opera di esperti, ma non in questo tipo di tecniche. I siti manomessi contengono un iframe che silenziosamente redirige gli utenti su 318x .com (notare lo spazio inserito appositamente per sicurezza), e da lì su:

aa1100.2288.org/htmlasp /dasp/alt .html

mentre viene poi caricato uno script (js. tongji.linezing.com/ 1358779/tongji.js) usato per il tracking. La procedura sfrutta note vulnerabilità di almeno cinque applicazioni:

continua »

Sandboxie permette di lavorare sul computer in un’area virtuale protetta ed isolata in cui vengono confinate le modifiche a registro e cartelle. E’ molto utile ed efficace per fare prove e per navigare su Internet tutelando privacy e sicurezza.

Molti ad es. fanno uso, spesso senza saperlo nè immaginarlo, di generatori di chiavi di registrazione di applicazioni (keygen) scaricati da Internet che sono anche veicoli di diffusione di virus: eseguirli in questo ambiente sarebbe un buon modo per evitare i danni pianificati dai produttori di malware.

Sandboxie si frappone tra le applicazioni “dubbie” ed il disco rigido, permettendo su quest’ultimo le sole operazioni di lettura e deviando quelle in scrittura in un’area virtuale, dove vengono effettuate in realtà tutte le modifiche.

Queste saranno comunque accessibili esplorando i contenuti dell’area riservata (la sandbox), fin quando non si deciderà di cancellarla. Far girare i software sconosciuti in uno spazio sicuro e indipendente per non rischiare danni è una soluzione potente e facile da usare: chiaramente questo si può ottenere, ed anche in modo più completo, con le tante macchine virtuali disponibili (VirtualBox, VMware, Returnil, ecc.) o con funzioni tipo “Try and Decide” di True Image della Acronis, ma Sandboxie è incomparabilmente più semplice da usare e meno invasivo.

continua »

Sempre più utili, i servizi gratuiti di scansione online in tempo reale di file sospetti come Jotti, NoVirusThanks, VirusTotal e ThreatExpert sono diventati un riferimento: su questi siti si può proporre un file di cui non ci si fida perchè sia analizzato da una ventina o più di antivirus, in modo da avere un quadro complessivo e decidere in base alla percentuale di riconoscimento come minaccia dei vari antivirus utilizzati.

Forse non tutti sanno che anche le chiavi del registro hanno privilegi di accesso, esattamente come file e cartelle. Per questo motivo può accadere che cercando di cancellare una chiave piantata nel registro da un virus non ci si riesca, per le autorizzazioni che l’autore del virus ha volutamente modificato. Di seguito indicazioni per risolvere la questione.

Per variare le autorizzazioni di accesso di una chiave del registro seguire questi passi:

a. avviare l’editor del registro (Start, Run, regedit, e OK oppure Windows-R, Regedit, Invio)
b. trovare e fare click destro sulla chiave del registro e scegliere Autorizzazioni
c. sotto Utenti e gruppi scegliere Administrators
d. sotto Autorizzazioni per Administrators, assicurarsi che la spunta sia su Consenti per le seguenti voci:
• controllo completo
• in lettura
e. fare click su Applica e su OK
f. uscire dall’editor del registro.
continua »