Alessandro Zanello

Uno dei più frequenti sistemi di propagazione dei virus oggi è basato sull’autoplay: una chiavetta di memoria USB che avete inserito in un sistema infetto è stata modificata in modo che appena inserita in un sistema con l’autoesecuzione attiva viene avviato un virus che tenta di infettare il sistema ospite. Vi sono contromisure per evitare che questo succeda ma come fare con le chiavette di terzi su cui non avete il controllo ? E’ buona norma disattivare l’autoesecuzione, ma questo è un processo noioso e instabile (bisogna gestire separatamente vari casi di autoplay), a meno di ricorrere ai criteri di gruppo.

Avviate:

gpedit.msc

tramite Start, Esegui o premendo la solita combinazione di tasti Windows-R sta (per Run; Windows è il tasto con la bandierina di Windows, il secondo in basso a sinistra, spesso il terzo sui notebook). continua »

Gli antivirusattuali basano la loro capacità di cattura di virus sul riconoscimento di firme (riconoscimento di un frammento di codice tipico di uno specifico virus) ma anche, vista la frequenza dei virus polimorfici (che cambiano casualmente parte del loro codice) sulle tecniche euristiche, cioè sul riconoscimento dei comportamenti malevoli.

In altri termini, un programma che riconosca decodificandole le password di accesso ai siti del vostro programma di trasferimento FTP verrebbe probabilmente etichettato come infetto da almeno metà degli antivirus a disposizione. Se poi l’exe è stato crittato per difesa e/o compresso l’identificazione come minaccia è scontata, di solito con la tipica dicitura “probabilmente una variante di Win32.Hack” o qualcosa di simile.

Gli antivirus di oggi non sono come quelli di una volta, che quando dicevano che si trattava di un virus così era.

continua »

Nuove iniziative truffaldine da parte di Conficker: se la vostra macchina è infetta probabilmente vedrete apparire la pubblicità di un finto software antivirus, che per $49.95 vi pulirebbe il PC da ogni minaccia.

In realtà è solo un tentativo di phishing: se vedete il popup in questione non premete alcun tasto per chiuderlo ma chiudete direttamente l’istanza del navigatore con il task manager (CTRL-ALT-CANC).

Come i siti dei maggiori produttori di antivirus documentano, se portate a termine l’acquisto i dati della vostra carta di credito verranno a breve usati, ma non da voi !

In caso di dubbio potete provare a scaricare e usare lo strumento specifico di rimozione di Conficker di Eset, che trovate qui.

Ricercatori Symantec hanno scoperto un collegamento diretto tra un file nascosto in copie pirata di Apple iWork 09 e Adobe PhotoShop scaricate via p2p da Bit Torrent quel che sembra il primo attacco botnet su Mac OS X in grado di lanciare assalti denial-of-service (DDoS).

Nell’ultimo numero di Virus Bulletin (per abbonati), due ricercatori hanno scoperto due varianti malware — OSX.Iservice e OSX.Iservice.B — che usano diverse tecniche per ottenere la password utente e controllare il Mac infetto.

Sembra che di persone che hanno scaricato il torrent infetto ce ne siano migliaia; come pareva logico pensare, quindi, la mitica invulnerabilità ai virus dei Mac era per buona parte basata sulla legge dei grandi numeri: ora che le macchine sono leggermente più diffuse si cominciano a vedere gli stessi fenomeni tipici del mondo dei PC.

ZDNet, SoftSecurity e CBCNews

Aggiornamento: per sapere se siete infetti basta creare un conto gratuito su OpenDNS ed entrarvi. Un banner vi avviserà se dalla vostra rete partono richieste “sospette” che potrebbero identificarvi come infettati dal Worm.

Prepariamoci al 1° aprile, la data in cui il fatidico Conficker/Downadup/Kido nella sua terza versione dovrebbe cominciare a fare il suo prossimo tentativo di danneggiare milioni di computer. Sembra che la minaccia sia seria, o perlomeno le software house degli antivirus come Symantec e CA gli danno credito.

Per prima cosa aggiorniamo il sistema operativo andando sul sito Microsoft e scaricando la patch di sicurezza connessa a questo rischio (Microsoft MS08-067) per la nostra versione del S.O. (ad esempio per Windows XP SP2 la pagina Microsoft®  qui, una copia locale del file è qui).

Il worm Conficker.C è stato infatti progettato per bloccare l’accesso ai siti di sicurezza, come quello Microsoft e agli aggiornamenti di sicurezza delle principali software house antimalware, tra cui CA. Una volta infettato il pc viene intaccata la sua configurazione di sicurezza, alterando il registro di sistema, disabilitando servizi importanti e cancellando definitivamente i punti di “Ripristino di Configurazione di Sistema” con lo scopo di evitare che la vittima riattivi una configurazione precedente del sistema non infetta.

Accertiamoci poi che il nostro antivirus sia aggiornato; per ogni evenienza sono disponibili qui parecchie risorse per il riconoscimento e la rimozione del worm.

Per saperne di più andate qui; per saperne parecchio di più visitate questo sito.

Un nuovo tipo di attacco sfrutta un esempio di social engineering: un messaggio email (spam) avvisa di un’esplosione con molte vittime nei pressi del destinatario, chiedendo notizie sulla sua salute.

In realtà tutto è finto, i link portano ad un sito simulato della Reuters su cui sono in agguato minacce predisposte per l’infezione, sotto forma della richiesta di scaricare un aggiornamento di Flash Player che null’altro è che una variante del virus Waledac.

L’imitazione del sito non è granché, ma quello che è interessante è l’uso di un algoritmo di geolocalizzazione per far sì che il messaggio riporti come località dove è avvenuta l’esplosione il nome di una città vicina al destinatario del messaggio, mentre questo sta visitando il sito degli untori.

Sophos riconosce il malware come Mal/WaledPak-E.

Altre notizie sul blog della SophosLabs, su The Register e su WebSense.

Le reti sociali stanno diventando una forma sostitutiva di email, come dimostra il successo continuo di Facebook, Yammer, Twitter, LinkedIn e Friendfeed, tanto da diventare una nuova forma di comunicazione.

Decine di milioni di persone usano questi siti solo per aggiornare i propri dati e farli vedere a chiunque, sia nel campo privato che professionale, facendone una forma nuova di comunicazione.

Con più di 175 milioni di utenti Facebook guida il gruppo di questi servizi, il cui fascino sembra risiedere particolarmente nel fatto che a differenza della posta elettronica, in cui chi ha qualcosa da dire deve assumere un ruolo attivo inviando il messaggio ai destinatari che individua come interessati, in questo caso il ruolo è passivo: si mettono le informazioni in linea su Facebook, ad es., ed il gioco è fatto, chiunque le può leggere.

L’immediatezza ed ubiquità di questa soluzione stanno facendo sì che molti la usino invece dell’email, tanto che l’aspetto di questi servizi sta sempre più avvicinandosi a quello delle interfacce WebMail che tutti conosciamo.

Un problema che sicuramente deriverà da queste nuove interpretazioni  di uso di questi servizi sociali sono le vulnerabilità conseguenti, che vedranno in futuro certamente altri attacchi come quelli già attuati.

Riferimenti: BBC