Bloggitup

Leggo su oneitsecurity e riporto fedelmente:

Non si tratta di un discendente del mago Casanova, ma di un Trojan che si nasconde dietro un fasullo file .avi. Quest’ultimo, chiamato Harrenix.A, prende il nome dal film “Harry Potter e l’ordine della Fenicia” che sarà nelle sale il prossimo luglio.

Il file in questione dovrebbe mostrare il trailer del film, ma in realtà una volta aperto mostra il seguente errore:

Unsupported MPEG codec Error: Harry Potter l’Ordine della Fenicia. Go to official web site http://harrypotter.warnerbross.it

Mentre mostra questo avviso, il malware scarica all’interno del PC un altro codice maligno rilevato come Dialer.KJD. Esso cerca una connessione tradizionale analogica e, nel caso in cui la trova, inizia a fare telefonate verso numeri esteri, gonfiando enormemente la bolletta del telefono.

L’autore di questo codice è stato molto furbo nel farlo passare inosservato: infatti, se l’utente visita il sito riportato nel messaggio di errore, potrà tranquillamente visualizzare il trailer. In tal modo, gli utenti meno esperti penseranno veramente che è avvenuto un’errore per cui non può essere visualizzato il filmato.

Il malware crea il file DLD.EXE in una cartella temporanea, il file HARRY_POTTER_ALERT_EXE ed il file SCM.EXE nella cartella Application Data/Microsoft. Questi ultimi due servono rispettivamente a far apparire il messaggio di errore e ad avviare il dialer.

Per diffondersi, questo codice utilizza le e-mail con allegati, canali IRC, software di P2P, CD-ROM e siti Web che permettono il download di file attraverso il protocollo FTP.

Attenti quindi a ciò che scaricate, a volte, dietro un film pirata, si può nascondere un malware.

Attenzione! Un nuovo alert sulla sicurezza arriva da Trend Micro. Oltre diecimila (10.000!!!) siti web, prevalentemente di viaggi, ma anche di aziende automotive, di musica e cinema, di servizi per il lavoro, di cui l’80% italiani, hanno subito il contagio di un trojan, chiamato “The Italian Job”, che ruba dati riservati e li invia a un server di Chicago. I siti maggiormente contagiati sarebbero quelli ospitati sui server di Aruba. Secondo il portavoce della società, David Perry, questo attacco informatico sarebbe uno dei più grandi e pericolosi mai verificatisi. La Polizia postale fino ad ora non ha però confermato la notizia.

Pericolo in arrivo quindi per chi deve ancora prenotare le vacanze e pensa di farlo partendo dalla classica ricerca sul web…

La maggior parte dei siti contagiati sono registrati nel dominio .it, come ad esempio www.adriahotel.it e www.bestoftuscany.it. Il trojan, secondo le prime indiscrezioni, partirebbe da un tag maligno di tipo “iframe” (identificato come “Trojan.Mpkit!html”) inserito nelle pagine e registrerebbe i dati personali dei visitatori, compresi quelli delle carte di credito utilizzate per pagare i soggiorni turistici, e li invierebbe in un server dall’altra parte del Pianeta.

Maggiori dettagli tecnici QUI

Malgrado 1 milione di download in 48 ore (vedi Post su Melamorsicata) sembri testimoniare il contrario, Safari per Windows sarà quasi certamente un flop.
Apple da sempre è risultata vincente quando ha combattuto sul suo terreno. Viceversa, combattendo “in casa” dei propri avversari ha sempre pagato pegno.

Questo è valso nel settore dei Personal computer: tutti i competitor si scannavano sui cosiddetti IBM-Compatibili, mentre Apple conquistava ampie quote di mercato con i propri personal computer ed il proprio sistema operativo.

Ancora più evidente quello che è accaduto con l’iPod: il mercato dei Media Player Portatili è stato costruito dalla Apple. Il software iTunes, diffusissimo, è di proprietà della casa di Cupertino che controlla in larga parte la ditribuzione della musica digitale.

Stessa cosa cercherà di fare con iPhone, con il quale non cercherà la competizione diretta nel mercato dei telefoni cellulari.

Con Safari, Apple cerca invece la competizione in un mercato saturo non creato nè controllato da lei e rischia di avere risultati fallimentari, peggiori rispetto a quelli ottenuti da QuickTime “contro” Windows Media Player, Real Player ed altri prodotti simili.

A poche ore dall’annuncio di Steve Jobs riguardante la grande sicurezza del nuovo browser per Windows “già dal giorno uno”, sono stati rilevati ben 18 “buchi” di sicurezza (poi risolti). Questo ha causato una proliferazione di commenti di presa in giro e messa in ridicolo del browser da parte della comunità dei bloggers.

Se con un media player come QuickTime Apple ha potuto comunque ottenere una quota di mercato sviluppando l’interfaccia utente in autonomia, nel settore dei browser web dovrà seguire la strada Microsoft se non vorrà essere mangiata viva.

Attenzione, dopo il bombardamento di false e-mail provenienti da banche e Poste Italiane, ora è la volta di falsi bollettini di sicurezza apparentemente provenienti da Microsoft.

I falsi bollettini si presentano come messaggi di posta con oggetto: “Cumulative Security Update for Internet Explorer”. Nel testo il solito link “malizioso”, questa volta con il testo “Download this update”… Se cliccate indovinate un po’ cosa succederà? Un bellissimo Trojan-Downloader.Win32.Agent.avk si installerà nel vostro personal computer!

Ormai penso che anche l’utente più sprovveduto abbia imparato a non cliccare su strani link contenuti in messaggi e-mail ambigui… La musica è sempre la stessa: antivirus sempre aggiornati (fatelo almeno una volta al giorno), sistemi operativi ed applicazioni sempre con le ultime patch di sicurezza, grande attenzione nelle frequentazioni sul web ed eliminazione di e-mail dai contenuti ambigui (anche se provenienti da mittenti conosciuti!).

Dopo l’uscita di Google secondo cui un web server basato su IIS di Microsoft avrebbe il doppio di possibilità di ospitare Malware rispetto a motori Open Source come Apache, un gruppo di ricercatori mette in guardia da errate interpretazioni delle statistiche: i problemi di IIS potrebbero non essere legati a responsabilità di Microsoft…

I problemi infatti potrebbero essere legati a una errata configurazione o da software di terze parti. Il dato su cui bisogna riflettere è quello secondo il quale l’80% dei web server che ospitano malware è costituito da IIS 6.0, versione la cui reputazione in termini di sicurezza è riconosciuta come molto buona.

Una delle cause del dato statistico rilevato è risultata essere l’installazione di licenze software non originali di Windows Server 2003: questo provoca il mancato aggiornamento del sistema operativo e la mancata chiusura di falle di sicurezza di IIS.

Alcuni dei ricercatori spiegano anche che il malicious code può essere inserito nel web server attraverso applicazioni non-Microsoft installate sulla macchina IIS.

Altri pareri autorevoli indicano il possibile problema non tanto in relazione al web server IIS, quanto nella maggior probabilità di ottenere degli exploit sulla piattaforma Windows rispetto ai sistemi operativi (tipicamente Unix) ospiti di Apache o di altri motori http Open Source.

Il tema è aperto, anche se diventa difficile e poso significativo analizzare le statistiche scindendo i problemi di IIS da quelli del sistema operativo della casa di Redmond: IIS potrà anche essere sicurissimo, ma non può fare a meno di Windows e dei suoi exploit.

Microsoft non ha ancora preso una posizione ufficiale sul tema, ma una domanda nasce spontanea: questi ricercatori sono realmente indipendenti? Quando c’è in mezzo il nostro amico Bill Gates, il dubbio è d’obbligo.

Riprendo da one it security

Un nuovo Trojan sta diffondendosi tra i PC che supportano il sistema operativo di casa Microsoft.

Si chiama Conycspa.AJ e, una volta infettato il computer, inizia a far apparire finestre pop-up che pubblicizzano dei farmaci.

Per fare ciò esso modifica alcuni permessi nel registro di Windows permettendo in questo modo al browser di connettersi a siti specifici che contengono altro malware.

Inoltre, questo Trojan scarica dalla rete un grande numero di codici maligni:

* mm4839.exe che invia spam attraverso le e-mail;
* i Trojan Stox.A e Cimuz.El;
* i cookie Drive Cleaner e MediaPlex;
* DriveCleaner, WinAntivirus2006 e PsKill.J che sono molto pericolosi per l’hardware del PC.

Questo malware è stato progettato per impedirne la rimozione una volta infettato un PC. Infatti, Windows possiede un sistema (Windows File Protection) capace di rimpiazzare le librerie infette. Purtroppo questo Trojan è immune a questa tecnologia in quanto fa una copia di se stesso nella cartella dei file di ripristino. In questo modo quando Windows si accorgerà di un file infetto tenterà di ripristinarlo ma, invece di inserire una nuova libreria, metterà quella creata ad hoc dal malware.

Un’altra funzionalità attribuitagli è quella di creare un Browser Helper Object capace di monitorare tutte le operazioni effettuate con Internet Explorer. Inoltre riesce a modificare anche il firewall aprendo una porta che gli permette di scaricare nuovo codice maligno ogni qual volta si avvia una sessione.

Intanto pensiamo a mantenere il nostro sistema sempre patchato ed aggiornato, poi disabilitiamo il ripristino di Windows… e incrociamo le dita…

Questa mi piace un po’ meno…

L’ad di Google Eric Schmidt rivela il futuro del motore di ricerca: profilare i navigatori per organizzare la loro vita quotidiana…

L’obiettivo di Google dei prossimi cinque anni è quello di diventare il «Grande Fratello» della nostra vita quotidiana. Lo rivela Eric Schmidt, amministratore delegato del principale motore di ricerca del mondo, secondo il quale il futuro della sua impresa e quindi di Internet sarà quello di massimizzare la raccolta delle informazioni personali degli utenti, per utilizzarle nell’organizzazione via Internet della loro vita quotidiana.

Alla domanda su cosa farà Google nei prossimi anni, Schmidt risponde: “Siamo solo agli albori della nostra missione di organizzare l’insieme delle informazioni mondiali. Gli algoritmi saranno migliorati e andremo avanti nella raccolta personalizzata delle informazioni. L’obiettivo è quello di rendere Google in grado di chiedere agli utenti: «Cosa farete domani? Che lavoro state cercando?»”

L’obiettivo dichiarato pare quindi essere quello di consentire ai motori di ricerca di dare risposte agli utenti in cerca di lavoro e, nello stesso tempo, di fornire loro risposte sul miglior modo di organizzare il tempo libero, in base ai gusti personali di ognuno.

L’obiettivo reale purtroppo è quello di allargare il proprio business, offrendo, sulla base dei dati personalizzati ricevuti, pubblicità personalizzata e come tale molto più efficace per gli inserzionisti e molto più redditizia per i motori di ricerca. “Adesso – spiega Schmidt – non siamo in grado di dare risposta neanche alle domande più semplici perché non sappiamo niente dei gusti personali degli utenti. E questo è l’aspetto più importante del nostro business del futuro e della nostra futura espansione”.

Google, che ovviamente non è sola sulla strada dell’utilizzo dei dati personalizzati, su questo terreno ha già cominciato a rendere conto alle Authority per la tutela della privacy.

Francamente la cosa, che da un lato mi affascina rappresentando un progresso nella applicazione pratica delle enormi potenzialità di strumenti ancora assolutamente sottoutilizzati, da un altro punto di vista mi inquieta. Ma il progresso penso debba prevalere: la nostra “profilazione” può rappresentare un prezzo da pagare per avere servizi che tutto sommato possono migliorare la nostra esistenza…

Finalmente il Blog ufficiale di Google Italia si apre ai commenti e lo fa senza praticamente senza moderazione!! Stefano Hesse, Corporate Communications & Public Affairs Manager di Google Italia, presentando la novità ne spiega le origini e la filosofia:

“In Google siamo fermamente convinti che l’ascolto sia fondamentale: sia quando incontriamo i candidati durante un colloquio di lavoro, sia in ogni momento di condivisione di idee, problemi, progetti all’interno dei nostri team, l’ascolto è sempre un valore fondamentale.

Come ogni casa che si rispetti, anche la nostra ha delle regole: ovviamente chiare, e poche. Diciamo che nella casa può entrare chi vuole, basta che sia educato e non invogli nessun’altro a uscire, cercando di rimanere all’interno dell’argomento di discussione, in modo che tutti possano beneficiarne e prendere parte al discorso. Fine delle regole. Essendo facili da rispettare, sono sicuro che potremo spendere il nostro tempo sul blog comunicando con voi e ascoltando cosa avete da dire, ma soprattutto da dirvi. Ci piacerebbe che in questa piazza le persone si incontrassero condividendo interessi comuni.”

Le parole di Hesse mi portano spontaneamente alcune considerazioni, al di là del tema specifico. Il successo delle aziende sempre più sarà vincolato alla visione innovativa, aperta, coraggiosa ed etica dei propri manager; per questo ritengo che il mondo dell’impresa in Italia dovrà realmente attraversare quella fase di profondo ripensamento di sè stessa che finora ha sempre cercato di rimandare. Dovrà finalmente mettere in pratica quelle che finora sono state solo belle parole, scrollandosi di dosso una volta per tutte gli stereotipi dell’impresa padronale del passato. I buoni esempi di successo sono sotto gli occhi di tutti, basta solo avere un po’ di coraggio: chi per primo saprà innovare la propria visione dell’impresa, si troverà al passo con i tempi, chi arriverà tardi avrà solo butte sorprese!

Leggo su One IT Security.

Basta poco per conoscere le classiche tecniche di attacco informatico, o quantomeno per averne sentito parlare. Da oggi però, alle tristemente note forme di phishing, spamming, spoofing, pharming, ecc., si aggiunge l’emergente Search Engine Poisoning.

Questa nuova tecnica è stata studiata da Websense Security che ha prodotto un articolo sul tema, dettagliandone anche gli aspetti tecnici.

Per comprendere bene il punto di attacco della Search Engine Poisoning è sufficiente tradurne letteralmente il significato: avvelenamento dei motori di ricerca. In pratica, seguendo quanto affermato da Websense, gli ideatori di questa nuova minaccia hanno studiato con attenzione gli algoritmi di ranking dei principali motori di ricerca e sono riusciti nel tempo a produrre un sistema per scalare rapidamente le vette delle classifiche. In questo modo riescono a posizionare tra i primi posti un sito fasullo, simile nel link e nell’aspetto, al sito originale. L’utente cercando sulla rete una determinata parola chiave trova così un link errato tra le prime posizioni e vieni quindi inconsapevolmente spinto all’errore.

Chiaramente il sito ingannevole, un volta attirato il visitatore, cerca di offrire un trojan in grado di connettersi a computer sparsi in tutto il mondo che a loro volta tentano di scaricare altri ulteriori file contenenti codice malizioso.

Il primo allarme fu dato da Sunbelt che notò, nel mese di Marzo, che Microsoft Windows Live Search restituiva siti maligni quando venivano cercate particolari keyword molto comuni, come “Banca NomeBanca Roma” oppure “Banca NomeBanca Milano”, ecc. Più tardi gli allarmi si estesero anche a Yahoo! e ultimamente sono stati trovati dei casi anche per Google.

Attenzione quindi a questa nuova minaccia e, almeno fino a quando questo fenomeno non verrà ben definito, occhio anche alla corretta dicitura dell’URL.

Un aggiornamento delle definizioni per il diffuso SW antivirus di Symantec sta causando il blocco di migliaia di PC in Cina. Il blocco avviene non appena l’Antivirus intercetta due .dll critiche di Windows e le identifica come malware, impedendone l’accesso da parte del sistema operativo. Il problema riguarda la versione Cinese di Windows XP SP2: i prodotti Symantec che utilizzano il motore Norton Antivirus, erroneamente rilevano due file di sistema, il Netapi32.dll ed il Isasrv.dll, come Trojan horse Backdoor.Haxdoor e sposta i file stessi in quarantena. Senza questi due componenti Windows XP non potrà più avviarsi regolarmente, neppure in Safe Mode!

Symantec ha prontamente rilasciato una versione corretta del file delle definizioni antivirus che però trova efficacia solo in quei PC che non sono stati riavviati dopo l’aggiornamento con il bug.
Infatti il riavvio di Windows XP senza le due .dll di sistema causa un BSOD; a questo punto l’unico modo per ripristinare il sistema operativo è l’utilizzo della Console di recovery di Windows XP tramite la quale, a linea di comando, è possibile copiare le due .dll dal Restore CD alla cartella System32.

Migliaia di utenti, specialmente utenti Enterprise, si sono rivolti alla Rising Antivirus, azienda Cinese specializzata in sicurezza informatica, per chiedere aiuto su come effettuare il recovery del proprio PC.

I più maliziosi, come me, sospettano che l’accaduto possa non essere casuale: il dato statistico sul numero di PC affetti dal problema può essere interessante per capire (e far capire ai cinesi) quale può essere la portata della dipendenza informatica della Cina dagli US…