Bloggitup

Copioeincollo da oneitsecurity.

Se state lavorando al PC e vi trovate di fronte il messaggio “Error loading flash 10 player. Reistalling may fixed this problem”, niente paura, il computer non sta dando i numeri, ma semplicemente è stato infettato dal worm Trixcu.A.

Infine, viene creato un file HTML che visualizza una pagina Web in cui, l’autore del malware, da pieno sfogo al suo rancore verso tutti i potenti del mondo e ai paesi che sono in guerra.

Beh, la pagina web di attacco ai “potenti” del mondo ed ai paesi guerrafondai tutto sommato potrebbe anche avevre dei contenuti condivisbili, se non nascesse da un inzozzamento generalizzato del PC…

Leggo su oneitsecurity e riporto fedelmente:

Non si tratta di un discendente del mago Casanova, ma di un Trojan che si nasconde dietro un fasullo file .avi. Quest’ultimo, chiamato Harrenix.A, prende il nome dal film “Harry Potter e l’ordine della Fenicia” che sarà nelle sale il prossimo luglio.

Il file in questione dovrebbe mostrare il trailer del film, ma in realtà una volta aperto mostra il seguente errore:

Unsupported MPEG codec Error: Harry Potter l’Ordine della Fenicia. Go to official web site http://harrypotter.warnerbross.it

Mentre mostra questo avviso, il malware scarica all’interno del PC un altro codice maligno rilevato come Dialer.KJD. Esso cerca una connessione tradizionale analogica e, nel caso in cui la trova, inizia a fare telefonate verso numeri esteri, gonfiando enormemente la bolletta del telefono.

L’autore di questo codice è stato molto furbo nel farlo passare inosservato: infatti, se l’utente visita il sito riportato nel messaggio di errore, potrà tranquillamente visualizzare il trailer. In tal modo, gli utenti meno esperti penseranno veramente che è avvenuto un’errore per cui non può essere visualizzato il filmato.

Il malware crea il file DLD.EXE in una cartella temporanea, il file HARRY_POTTER_ALERT_EXE ed il file SCM.EXE nella cartella Application Data/Microsoft. Questi ultimi due servono rispettivamente a far apparire il messaggio di errore e ad avviare il dialer.

Per diffondersi, questo codice utilizza le e-mail con allegati, canali IRC, software di P2P, CD-ROM e siti Web che permettono il download di file attraverso il protocollo FTP.

Attenti quindi a ciò che scaricate, a volte, dietro un film pirata, si può nascondere un malware.

Attenzione! Un nuovo alert sulla sicurezza arriva da Trend Micro. Oltre diecimila (10.000!!!) siti web, prevalentemente di viaggi, ma anche di aziende automotive, di musica e cinema, di servizi per il lavoro, di cui l’80% italiani, hanno subito il contagio di un trojan, chiamato “The Italian Job”, che ruba dati riservati e li invia a un server di Chicago. I siti maggiormente contagiati sarebbero quelli ospitati sui server di Aruba. Secondo il portavoce della società, David Perry, questo attacco informatico sarebbe uno dei più grandi e pericolosi mai verificatisi. La Polizia postale fino ad ora non ha però confermato la notizia.

Pericolo in arrivo quindi per chi deve ancora prenotare le vacanze e pensa di farlo partendo dalla classica ricerca sul web…

La maggior parte dei siti contagiati sono registrati nel dominio .it, come ad esempio www.adriahotel.it e www.bestoftuscany.it. Il trojan, secondo le prime indiscrezioni, partirebbe da un tag maligno di tipo “iframe” (identificato come “Trojan.Mpkit!html”) inserito nelle pagine e registrerebbe i dati personali dei visitatori, compresi quelli delle carte di credito utilizzate per pagare i soggiorni turistici, e li invierebbe in un server dall’altra parte del Pianeta.

Maggiori dettagli tecnici QUI

Malgrado 1 milione di download in 48 ore (vedi Post su Melamorsicata) sembri testimoniare il contrario, Safari per Windows sarà quasi certamente un flop.
Apple da sempre è risultata vincente quando ha combattuto sul suo terreno. Viceversa, combattendo “in casa” dei propri avversari ha sempre pagato pegno.

Questo è valso nel settore dei Personal computer: tutti i competitor si scannavano sui cosiddetti IBM-Compatibili, mentre Apple conquistava ampie quote di mercato con i propri personal computer ed il proprio sistema operativo.

Ancora più evidente quello che è accaduto con l’iPod: il mercato dei Media Player Portatili è stato costruito dalla Apple. Il software iTunes, diffusissimo, è di proprietà della casa di Cupertino che controlla in larga parte la ditribuzione della musica digitale.

Stessa cosa cercherà di fare con iPhone, con il quale non cercherà la competizione diretta nel mercato dei telefoni cellulari.

Con Safari, Apple cerca invece la competizione in un mercato saturo non creato nè controllato da lei e rischia di avere risultati fallimentari, peggiori rispetto a quelli ottenuti da QuickTime “contro” Windows Media Player, Real Player ed altri prodotti simili.

A poche ore dall’annuncio di Steve Jobs riguardante la grande sicurezza del nuovo browser per Windows “già dal giorno uno”, sono stati rilevati ben 18 “buchi” di sicurezza (poi risolti). Questo ha causato una proliferazione di commenti di presa in giro e messa in ridicolo del browser da parte della comunità dei bloggers.

Se con un media player come QuickTime Apple ha potuto comunque ottenere una quota di mercato sviluppando l’interfaccia utente in autonomia, nel settore dei browser web dovrà seguire la strada Microsoft se non vorrà essere mangiata viva.

Attenzione, dopo il bombardamento di false e-mail provenienti da banche e Poste Italiane, ora è la volta di falsi bollettini di sicurezza apparentemente provenienti da Microsoft.

I falsi bollettini si presentano come messaggi di posta con oggetto: “Cumulative Security Update for Internet Explorer”. Nel testo il solito link “malizioso”, questa volta con il testo “Download this update”… Se cliccate indovinate un po’ cosa succederà? Un bellissimo Trojan-Downloader.Win32.Agent.avk si installerà nel vostro personal computer!

Ormai penso che anche l’utente più sprovveduto abbia imparato a non cliccare su strani link contenuti in messaggi e-mail ambigui… La musica è sempre la stessa: antivirus sempre aggiornati (fatelo almeno una volta al giorno), sistemi operativi ed applicazioni sempre con le ultime patch di sicurezza, grande attenzione nelle frequentazioni sul web ed eliminazione di e-mail dai contenuti ambigui (anche se provenienti da mittenti conosciuti!).

Dopo l’uscita di Google secondo cui un web server basato su IIS di Microsoft avrebbe il doppio di possibilità di ospitare Malware rispetto a motori Open Source come Apache, un gruppo di ricercatori mette in guardia da errate interpretazioni delle statistiche: i problemi di IIS potrebbero non essere legati a responsabilità di Microsoft…

I problemi infatti potrebbero essere legati a una errata configurazione o da software di terze parti. Il dato su cui bisogna riflettere è quello secondo il quale l’80% dei web server che ospitano malware è costituito da IIS 6.0, versione la cui reputazione in termini di sicurezza è riconosciuta come molto buona.

Una delle cause del dato statistico rilevato è risultata essere l’installazione di licenze software non originali di Windows Server 2003: questo provoca il mancato aggiornamento del sistema operativo e la mancata chiusura di falle di sicurezza di IIS.

Alcuni dei ricercatori spiegano anche che il malicious code può essere inserito nel web server attraverso applicazioni non-Microsoft installate sulla macchina IIS.

Altri pareri autorevoli indicano il possibile problema non tanto in relazione al web server IIS, quanto nella maggior probabilità di ottenere degli exploit sulla piattaforma Windows rispetto ai sistemi operativi (tipicamente Unix) ospiti di Apache o di altri motori http Open Source.

Il tema è aperto, anche se diventa difficile e poso significativo analizzare le statistiche scindendo i problemi di IIS da quelli del sistema operativo della casa di Redmond: IIS potrà anche essere sicurissimo, ma non può fare a meno di Windows e dei suoi exploit.

Microsoft non ha ancora preso una posizione ufficiale sul tema, ma una domanda nasce spontanea: questi ricercatori sono realmente indipendenti? Quando c’è in mezzo il nostro amico Bill Gates, il dubbio è d’obbligo.

Riprendo da one it security

Un nuovo Trojan sta diffondendosi tra i PC che supportano il sistema operativo di casa Microsoft.

Si chiama Conycspa.AJ e, una volta infettato il computer, inizia a far apparire finestre pop-up che pubblicizzano dei farmaci.

Per fare ciò esso modifica alcuni permessi nel registro di Windows permettendo in questo modo al browser di connettersi a siti specifici che contengono altro malware.

Inoltre, questo Trojan scarica dalla rete un grande numero di codici maligni:

* mm4839.exe che invia spam attraverso le e-mail;
* i Trojan Stox.A e Cimuz.El;
* i cookie Drive Cleaner e MediaPlex;
* DriveCleaner, WinAntivirus2006 e PsKill.J che sono molto pericolosi per l’hardware del PC.

Questo malware è stato progettato per impedirne la rimozione una volta infettato un PC. Infatti, Windows possiede un sistema (Windows File Protection) capace di rimpiazzare le librerie infette. Purtroppo questo Trojan è immune a questa tecnologia in quanto fa una copia di se stesso nella cartella dei file di ripristino. In questo modo quando Windows si accorgerà di un file infetto tenterà di ripristinarlo ma, invece di inserire una nuova libreria, metterà quella creata ad hoc dal malware.

Un’altra funzionalità attribuitagli è quella di creare un Browser Helper Object capace di monitorare tutte le operazioni effettuate con Internet Explorer. Inoltre riesce a modificare anche il firewall aprendo una porta che gli permette di scaricare nuovo codice maligno ogni qual volta si avvia una sessione.

Intanto pensiamo a mantenere il nostro sistema sempre patchato ed aggiornato, poi disabilitiamo il ripristino di Windows… e incrociamo le dita…