Maxtor Basics Personal Storage 3200 con virus in regalo - Una serie di hard disk esterni Maxtor Basics Personal Storage 3200, di taglio di 300 o 500 GB, prodotti da Seagate immessi sul mercato a partire da agosto 2007, conterrebbero il virus Virus.Win32.AutoRun.ah. La segnalazione arriva da Kaspersky Labs che ha immediatamente informato Seagate del problema. Il virus in questione non ha effetti particolarmente dannosi, si incarica di rilevare password di gochi online inviandole su un server in Cina. Tale virus potrebbe inotre disattivare il software antivirus sul sistema. Seagate, non appena scoperta questa infezione, ha bloccato la spedizione dei dispositivi. Tutte le unità ora prodotte dallo stabilimento sono prive di

virus e quelle in magazzino verranno verificate e rielaborate prima di essere rilasciate sul mercato. È tuttavia possibile che alcuni hard disk contaminati siano stati venduti al pubblico prima che il problema fosse scoperto. Per determinare se la propria unità Maxtor Basics Personal Storage 3200 è interessata al problema, è possibile telefonare al Servizio di assistenza clienti di Seagate comunicando la configurazione del sistema e il numero del modello dell'unità. I più diffusi antivirus sono in grado di rilevare e rimuovere questo malware. [Fonte PC Self]

Fa aumentare il numero di file condivisi e produce copie di se stesso. I laboratori Panda segnalano due nuovi virus. Il primo, Bindo.A, è progettato per diffondersi e infettare il maggior numero di computer possibile. Produce copie di se stesso, con nomi come autoply.exe o MSshare.exe, nelle cartelle condivise di alcuni programmi P2P installati dagli utenti. Crea anche un file AUTORUN.INF in tutti i drive nei quali si è copiato, in modo da funzionare ogni volta che vi si accede. E' molto semplice individuare la presenza di questo virus perché fa aumentare il numero di file condivisi nelle cartelle P2P presenti nel computer. Infine, Bindo.A modifica alcuni shortcut sul desktop in modo che abbiano due percorsi di esecuzione: uno originale, e uno che si avvia quando viene fatto partire il programma.
Nuwar.HU è una variante di Storm Worm che approfitta di Halloween per propagarsi. E' in grado di far terminare alcuni tool di sicurezza installati sul computer. Nuwar.HU scarica sul sistema un rootkit con il nome di noskrnl.sys e lo configura come un servizio, in modo che venga messo in funzione automaticamente quando il computer viene avviato. Il virus si diffonde via email con messaggi come "Have a Happy Halloween everyone" oppure "Party on this Halloween", e molti altri. Questi messaggi includono link ad alcune pagine web che mostrano un'animazione con uno scheletro danzante. Se gli utenti la scaricano, il virus infetta il computer e lo trasforma in un sistema zombie al servizio dei pirati informatici. [Fonte Zeus News]

Il trojan che compila i Captcha - In realtà a riempire i moduli è l'utente infetto, attirato dal miraggio di uno strip-tease di una ragazza provocante. Ai virus-writer non manca di certo l'inventiva e una buona dose del senso d'umorismo. Lo hanno dimostrato gli sviluppatori di un nuovo trojan, segnalato dai specialisti di Trend Micro. Chiamato Troj_Captchar.A è stato creato per aggirare un diffuso sistema di protezione dalle registrazioni automatiche. La maggioranza dei server usano una serie casuale di numeri e lettere volutamente distorti od offuscati, per assicurarsi che la registrazione sia effettuata da un uomo e non un computer, o più precisamente un bot. Di regola solamente l'uomo è in grado di leggere tali simboli e inserirli nel campo corrispondente nella pagina di registrazione. E' una versione più moderna del test di Turing per distinguere computer e umani, chiamata più semplicemente Captcha (Completely Automatic Public Turing test to tell Computers and Humans Apart). Il trojan Captchar.A viene scaricato dalla rete da altri trojan o worm già presenti nel sistema Windows e una volta installato si connette a un server remoto. Quando dal server vengono inviati gli immagini Captcha da decifrare, il trojan attiva il suo gioco. L'utente vede sul suo schermo l'immagine di una ragazza in una posa provocante e un invito ad assistere al strip-tease. Inserendo il giusto codice Captcha, la ragazza riappare con meno vestiti addosso e così via. Nel frattempo i dati vengono inviati al server per essere usati per la registrazione automatica delle caselle email. Per il momento non vengono segnalate altre funzioni di questo trojan, e il database di Trend Micro Antivirus è già aggiornato. [Fonte Zeus News]

Tra i nuovi modelli di malware apparsi questa settimana, Panda Security segnala i virus UzaScreener.A, Winko.G e Destructor.A.
UzaScreener.A raggiunge i computer attraverso la cartella My_Personal_Data Windows. Se gli utenti cercano di aprirla, il virus si attiva. Questo codice maligno è creato per riavviare il computer tutte le volte che il codice viene eseguito. Quando il PC subisce questa operazione per dieci volte, il virus sostituisce lo sfondo del sistema con la scritta "U.Z.A. Operating system". Inoltre, il virus modifica l'immagine che appare quando il computer viene acceso e compie azioni maligne per disabilitare il task manager. UzaScreener.A mostra anche il seguente messaggio in codice: "U.Z.A O/S is a virus made by ANJ which is dedicated to his very sweet and lovely wife, AAZ... With lots of love".
Winko.G si diffonde creando copie di se stesso nel maggior numero possibile di drive, compresi i dispositivi estraibili. Realizza anche un file AUTORUN.INF, che entra in funzione tutte le volte che si accede a queste unità. Il codice maligno scarica malware appartenenti alla famiglia dei Trojan Lineage e Gamania, ideati per rubare le password dei giochi online di vari siti. Inoltre, crea nuove entrate nel registro di Windows e cancella quelle che permettono di visualizzare i messaggi di errore del sistema.
Destructor.A genera copie di sé su tutti i drive infettati in modo che il virus entri in funzione quando gli utenti vi accedono. Questo codice maligno attiva molti processi contemporaneamente rallentando il sistema. Inoltre, sostituisce lo sfondo con la scritta Destructor. Crea anche numerose entrate nel registro di Windows che gli permettono di funzionare ogni volta che il sistema viene riavviato e di cambiare la pagina iniziale di Internet Explorer. [Fonte Zeus News]

Pidief.A sfrutta le vulnerabilità di Adobe Reader e Acrobat per controllare i sistemi colpiti. Si sta diffondendo il trojan Pidief.A, che sfrutta le vulnerabilità di Adobe Reader e Acrobat per controllare i sistemi colpiti. Le email indesiderate (spam) vengono utilizzate come meccanismo di diffusione di questo attacco. I sistemi infetti vengono compromessi dagli utenti che eseguono il file Pdf allegato alle email di spam. A lanciare l'allarme è Norman, che spiega il funzionamento del trojan. Il programma maligno sfrutta le vulnerabilità nei programmi Adobe per disattivare il firewall personale di Microsoft e avviare il download del trojan da Internet. Questo trojan potrebbe consentire agli aggressori di prendere il controllo dei sistemi colpiti. Lo spam "nocivo" si riconosce per avere come oggetto INVOICE alacrity, INVOICE depredate o STATEMET indigene. Gli allegati hanno come nome file BILL.pdf, INVOICE.pdf, YOUR_BILL.pdf e STATEMET.pdf. Gli aggiornamenti di Adobe per queste vulnerabilità sono disponibili sul sito web di Adobe. [Fonte Zeus News]

Una variante del famoso Malware che dal 2004 imperversa su Internet e causa moltissimi danni, da ieri è diventato OpenSource; qualcuno ha messo nella rete BitTorrent il codice sorgente di questo Malware. Il codice sorgente è ben scritto ed è addirittura commentato, quindi può essere studiato per capire come funziona un Malware; la stranezza è che, di solito, i Virus-Writer non rilasciano il codice sorgente delle loro creazioni, quindi sarebbe da chiedere dove hanno trovato questo codice sorgente. Netsky.AE, anche noto come Skybag.a secondo la nomenclatura della società moscovita, è parimenti alla più nota variante .q un mass-mailing worm che si auto-invia ai contatti trovati nella Rubrica di Windows per mezzo del proprio engine SMTP. Il verme è inoltre in grado di copiarsi nelle cartelle condivise di diversi programmi di file sharing e di messaggistica istantanea, e dimostra una certa aggressività nel tentare di terminare i processi appartenenti a svariati software di sicurezza. Variante denominata in base a chi ha fatto il rilevamento nei seguenti modi: W32.Netsky.AD@mm [symantec] WORM_NETSKY.AF [Trend Micro] NetSky.AF [F-Secure] Win32.Netsky.AE [Computer Associates]. Netsky è un worm, con un proprio meccanismo di invio di e-mail, il quale si autoinvia a tutti gli indirizzi che trova in rubrica. Per confondersi meglio preleva dallo stesso indirizzario anche il mittente. Oltre a questo si copia in tutte le cartelle che hanno al nel nome share o sharing dal disco C al Z.

Il gatto malandrino che semina virulenza - Un simpatico micetto diffonde un virus per email, spacciandolo per una super-risata. Si chiama Zhelatin.KI e si diffonde per mezzo di un messaggio senza allegati che arriva nel mailbox con l'invito a cliccare su di un indirizzo IP accompagnato dalla scritta "View your Kitty Card now" cioè più o meno "guarda la foto del tuo gattone". L'indirizzo IP apparentemente conduce al sito SuperLaugh.com dove si vede un gatto che crepa dalle risate; ma se l'incauto clicca sul link contenuto nella pagina, scarica l'eseguibile SuperLaugh.exe che contiene il virus. Per prima cosa cercherà di disattivare tutti i programmi di sicurezza che sarà in grado di trovare, per aprire subito dopo una backdoor che permette di prendere il controllo della macchina a un utente remoto. La trovata è abbastanza ingenua e non dovrebbe fare danni a chi è sufficientemente smaliziato; caso mai il pericolo è in agguato in un momento di noia o di disattenzione, oppure se hanno accesso alla macchina persone meno avvertite come ad esempio i bambini. Vale per tutti il solito consiglio e cioè di non aprire mai le email che arrivano da sconosciuti; al limite usare uno dei tanti programmi che permettono di vederne un'anteprima ancora sul mailserver oppure cancellarli direttamente senza leggerle. [Fonte Zeus News]

Il virus con mire elettorali, il virus che spamma il messenger, il virus che ti cambia la pagina principale di Windows. Panda Security segnala i virus più recenti dai comportamenti a volte bizzarri.
Voter.A è un codice con mire elettorali, poiché è progettato per esporre la foto di un candidato alla presidenza del Kenya tutte le volte che viene messo in funzione (ogni 9 secondi). Il virus modifica il registro in modo da agire ogni volta che il sistema viene riavviato. Per diffondersi, crea delle copie sui drive removibili (chiavette Usb, dischi estraibili e via dicendo) chiamate smss.exe, Raila Odinga.exe o autorun.exe. Crea anche il file autorun.inf in modo da funzionare tutte le volte che il computer rileva un drive removibile.
MSNSend.A si diffonde attraverso i messaggi istantanei inviando un messaggio ai contatti dell'utente infetto connesso. I titoli possono essere, per esempio: "Here are my private pictures for you" oppure "hey i'm going to add this picture of us to my weblog". Il messaggio ha in allegato un file zippato contenente una copia del virus e infetta gli utenti che lo aprono. Questo codice maligno cerca di connettersi a una pagina web specifica per inviare al suo creatore informazioni private sui computer infettati: indirizzi MAC (Media Access Control), network card o interfacce identificatrici. Crea anche una chiave nel registro Windows per assicurarsi il funzionamento tutte le volte che il sistema viene avviato.
Sohanat.DB è progettato per modificare i file host degli utenti in modo che non possano accedere a pagine specifiche, solitamente browser. Inoltre, si connette a un indirizzo web per scaricare una variante di se stesso nel sistema. Sohanat.DB genera diverse modifiche sul registro, ad esempio cambia la pagina iniziale di Windows, disabilita l'editor del registro e il task manager e impedisce agli utenti di accedere alle opzioni del menu iniziale. Crea anche una chiave nel registro Windows per entrare in funzione ogni volta che il sistema viene riavviato. [Fonte Zeus News]

Due nuovi ceppi di malware stanno infettando la Rete: sono i Trojan LunchLoad.A e FakeGoogleBar.M, segnalati dai laboratori Panda Security. FakeGoogleBar.M è realizzato per alterare la toolbar di Google. Quando non è installato sul Pc, vengono creati altri file che gli permettono di operare lo stesso. Le azioni maligne iniziano con la scrittura di alcuni Windows Registry che permettono a una libreria Dll di essere iniettata nel browser, in modo che, quando è in uso, il Trojan si metta in funzione. Il Trojan è anche in grado di aprire una porta sul computer e stabilire una connessione http attraverso la quale inviare al suo creatore informazioni riservate. Per ottenere questo dato, FakeGoogleBar.M registra le parole inserite dall'utente nei motori di ricerca come Google o Yahoo. Inoltre, copia tutti gli URL che contengono parole chiavi come "bank" o ".gov".

Queste informazioni rubate sono mandate all'autore del malware attraverso un sito web creato appositamente. LunchLoad.A raggiunge i sistemi con il nome di backup2_36. Quando è attivo scarica numerosi file che contengono i dati necessari all'autore per identificare il malware con il quale connettersi al computer. Per effettuare la connessione, il Trojan si allaccia a un server dal quale riceve le informazioni sul tipo di codice maligno da scaricare, su quando farlo funzionare e via dicendo. Inoltre, registra gli indirizzi MAC di ogni computer infettato. [Fonte ZeusNews]

Un nuovo worm ha fatto capolino sul web distinguendosi per la propria natura particolarmente antipatica e potenzialmente oltremodo dannosa. Il nome dato dalla è Symantec: W32/Deletemp3 un worm che come fine ultimo ha la cancellazione di tutti i file musicali .mp3 contenuti sul pc. Potenzialmente a rischio tutti gli utenti in ambiente Windows. Il worm non ha al momento ampia diffusione ed il pericolo risulta essere pertanto limitato. Il worm risulta inoltre estremamente semplice da eliminare ed il possesso di antivirus Symantec aggiornato è quanto sufficiente e necessario per garantire lunga vita ai propri file. Una particolare cautela va riposta nel particolare sistema di moltiplicazione adottato dal worm: la duplicazione è portata avanti trasmettendo il file di autorun su drive esterni, il che mette a rischio ogni contatto con drive esterni e dunque con la gran parte dei player Mp3 in commercio. Il danno potenziale non è da sottovalutare: nel momento in cui si conserva una copia unica della propria discografia sull'hard disk, l'eliminazione dei file cancella la possibilità di accedere al brano imponendone un nuovo acquisto. Per collezioni particolarmente ampie, insomma, un minimo rischio va moltiplicato per l'alto valore relativo dei file e l'attenzione da riporre deve essere proporzionata al danno potenziale ottenibile. Symantec ha messo a disposizione una completa scheda tecnica sul worm con tanto di dati aggiornati sull'espansione dell'infezione, modalità di attacco e dettagli tecnici per l'eliminazione. [Fonte HTML.it]

HTML_IFRAME.CU - The Italian Job - Nuovo e potenzialmente pericoloso cavallo di troia in rapida diffusione. HTML_IFRAME.CU, così battezzato da Trend Micro, si è scatenato infettando pare oltre 4.000 siti italiani (molti, sembra, ospitati da un unico provider) di prevalente natura commerciale o dedicati all´intrattenimento e al turismo, ma sembrerebbe possa aver colpito, ad oggi, all´incirca 10.000 siti di svariate nazionalità. Il JavaScript virale, forzato da abili crackers su server web normalmente al di sopra di ogni sospetto a causa di una falla in Microsoft Internet Information Services, sfrutta alcune differenti vulnerabilità (da tempo risolte) di Internet Explorer per potersi installare nel sistema vittima semplicemente accedendo al sito infetto, creando (secondo il parere di McAfee) la seguente directory in caso di avvenuta infezione: C:\Sys{4 caratteri a caso}.exe Una volta insediatosi andrà a scaricare ed installare ulteriori ospiti indesiderati, in modo da poter attivare le procedure per cui è stato concepito: funzionalità di keylogging in grado di intercettare l´immissione via tastiera di password, numeri di carta di credito, dati sensibili. Si raccomanda di aggionare Internet Explorer specie se azione da tempo non messa in pratica, nonchè di provvedere all´aggiornamento delle definizioni del proprio antivirus. Windows Vista parrebbe essere immune alla minaccia.

Badbunny, il primo virus worm per OpenOffice - Colpisce la piattaforma open source su macchine Windows, Linux e Mac, replicandosi e scaricando un'immagine pornografica. OpenOffice da oggi un po' più simile a Microsoft Office: secondo quanto annunciato da Sophos, infatti, è nato il primo virus specifico per questa piattaforma. E tanto per non fare preferenze, colpisce tanto gli utenti Windows quanto quelli Mac e Linux. Il virus worm, noto come SB/Badbunny-A, utilizza le routine di scripting di OpenOffice per scaricare un'immagine di un uomo vestito da coniglio con una donna in abiti succinti. Se l'utente apre il file badbunny.odg (Odg è il formato nativo di OpenOffice Draw), oltre a visualizzare l'immagine infetta il Pc dell'utente, eseguendo una sequenza di macro che è differente a seconda del sistema operativo utilizzato.
Sui sistemi Windows, il worm crea il file drop.bad, che viene poi spostato all'interno del file system.ini del software di chat mIRC (se presente sul Pc). Inoltre crea badbunny.js, un file che se eseguito si replica all'interno di altri Javascript.
Sui sistemi Linux, il worm crea lo script di XChat badbunny.py, oltre al file badbunny.pl che infetta altri file in Perl.
Sui sistemi Mac Os, il worm crea uno script Ruby (badbunny.rb oppure badbunnya.rb).
Gli script vengono utilizzati per replicare il virus, oltre a tentare di trasferire via DCC (un protocollo usato su IRC) il file badbunny.odg. Il virus worm non è stato classificato come molto pericoloso, e attualmente non se ne conosce la diffusione; pare che gli autori abbiano inviato il worm direttamente ai laboratori Sophos. Graham Cluley, consulente tecnico senior dell'azienda, ha commentato che probabilmente autori di virus più "motivati" finanziariamente non avrebbero incluso un'immagine scabrosa e avrebbero scelto un software più diffuso di OpenOffice. [Fonte ZeusNews]

In rapidissima diffusione in queste ultime ore una mail di fasulla provenienza Disney che invita a visionare, in allegato, il trailer dell´ultimo film della saga dei "Pirati dei Caraibi". Il file allegato, un archivio zippato, NON contiene alcun trailer bensì un file eseguibile virale dal nome Official_Trailer_Pirates_of_the_Caribbean_At_World´s_End.exe
come si può anche osservare dall´immagine che ho realizzato dopo l´estrazione del virus dall´archivio compresso, archivio che porta il medesimo nome del trojan che giace all´interno. NON vi è alcuna possibilità di infezione a meno di non cliccare volontariamente sul file .exe per mandarlo in esecuzione.

Attivazione di Windows a pagamento: attenti al phishing - La segnalazione arriva direttamente dai laboratori Symantec i quali sul finire del mese di aprile hanno rilevato la diffusione di un nuovo malware votato al phishing che presentatosi agli utenti come una schermata di attivazione del proprio Microsoft Windows sottrae con l’inganno il numero di carta di credito della sprovveduta vittima. Il malware identificato con il nome di Trojan.Kardphisher è grande appena 1Mb d è in grado di funzionare su Windows 95, 98, NT, 2000, XP e Server 2003. Una volta installato nel sistema, subito dopo il primo riavvio mostra una scherma di Windows, assolutamente identita all’originale, nella quale viene richiesto all’utente di riattivare la propria copia del software dato che il suo numero di attivazione risulta già impiegato da un altro utente. Per far questo è necessario inserire tuttavia i dati della propria carta di credito, i quali si promette non verranno utilizzati (We will ask for you billing details, but your credit card will NOT be charged). Ovviamente è falso. Nel caso in cui l’utente decida di non riattivare il propria copia, il malware provvede allo spegnimento automatico del sistema, bloccando al tempo stesso l’utilizzo del Task Manager, quindi per la malcapitata vittima l’unica possibilità è sottostare alle richieste del phisher. Inoltre sempre secondo quanto fornito dalla Symantec anche il nuovo sistema operativo di casa Microsot, Vista risulterebbe vulnerabile al problema, nonostante il malware non sia in grado in questa versione di bloccare il task manager. L’unica soluzione per la rimozione del malware è accedere in Windows in modalità provvisoria e cancellare le stringhe create nel registro dallo stesso codice maligno. Ecco come si presenta il Trojan.Kardphisher, in due immagini fornite dal sito web Symantec.com: [Anti-Phishing]

Sophos segnala il Worm Silly che sfrutta le Memorie USB - Secondo quanto riporta l'azienda antivirus Sophos un avviso è stato divulgato dell'esistenza di un nuovo worm che si diffonde sfruttando i drive rimovibili come le chiavette USB, in controtendenza con i metodi più recentemente adottati dai virus writer per la distribuzione dei loro codici. Secondo quanto riporta l'azienda antivirus Sophos, W32/SillyFD-AA si lancia automaticamente quando una periferica rimovibile infetta viene collegata al computer, sfruttando un file autorun.inf nascosto, creato specificatamente per questo scopo. Il worm è in grado di rilevare drive rimovibili nel sistema (floppy disk, memorie USB, etc.) ed infettarli in modo da garantire l'esecuzione di una copia del codice nocivo al successivo collegamento dei dispositivi a PC Windows. SillyFD-AA si autocopia nei drive rimovibili in un file nascosto "handydriver.exe", ed invarie cartelle nel sistema ospite. Inoltre modifica il titolo delle finestre di Internet Explorer aggiungendo la frase "Hacked by 1BYTE" e modifica varie chiavi di registro per disattivare la visualizzazione dei file nascosti in Explorer e bloccare Regedit. Gli utenti dei computer, ad ogni modo, dovrebbero prestare molta attenzione nel collegare dispositivi non conosciuti nei loro PC, dato che potrebbero essere infettate da codici nocivi. Secondo Sophos, man mano che un numero maggiore di aziende adotta strumenti di difesa per proteggersi da virus e malware "email-aware", i cybercriminali stanno cercando altre strade di attacco meno protette per infettare utenti innocenti, come appunto le ormai popolarissime chiavette USB. Cluley aggiunge: "In questo esempio, la modifica del titolo delle finestre del browser Internet Explorer dovrebbe essere un chiaro segnale per la maggior parte delle persone che qualcosa non stia andando per il verso giusto … Inoltre indica che questa particolare variante del worm non è stata scritta con intenzioni completamente clandestine. Un criminale più motivato ed arguto non avrebbe fatto sapere in maniera così ovvia che il PC è stato violato, ma avrebbe rubato in maniera silente dal PC senza lasciare questo tipo di indizi". Gli esperti di Sophos consigliano agli utenti di disabilitare la funzioni di autorun di Windows in modo tale che i dispositivi rimovibili come chiavette USB e CDROM non vengano lanciati automaticamente quando collegati al PC. Qualsiasi dispositivo di storage collegato ad un computer dovrebbe essere inoltre analizzato in cerca di virus e altri malware prima di essere utilizzato. Floppy disk, CD ROM, chiavi USB, dischi rigidi esterni ed altri simili dispositivi sono tutti in grado di portare con se codici nocivi ed eventualmente infettare i computer di utenti incolpevoli. Sophos incoraggia le aziende a lasciare che i propri software antivirus si aggiornino automaticamente, ed a difendersi con soluzioni robuste contro virus, spyware e spam. [Fonte Sophos]