Il malware che colpisce solo Firefox - Un trojan si installa come estensione e ruba tutti i dati relativi ai conti correnti online, anche quelli italiani. Secondo i ricercatori di BitDefender, in Rete si aggira un pericolo che colpisce unicamente gli utenti di Firefox, per i quali è stato appositamente studiato. Loro l'hanno chiamato Trojan.PWS.ChromeInject.A, ma lui preferisce farsi passare per Greasemonkey, una nota estensione per Firefox dalla quale si camuffa, installandosi nella cartella degli add-on. Una volta arrivato lì (o perché un utente distratto l'ha scaricato involontariamente cliccando sul link sbagliato o grazie a un altro malware che sfrutta una vulnerabilità del Pc), usa JavaScript per identificare più di 100 siti Web dedicati al trasferimento di denaro, tra cui PayPal, Barclays e molti altri, tra cui anche quelli di banche italiane; la lista completa si può trovare sul sito di BitDefender. Scovatili, raccoglie i dati di login e le password dell'utente; poi invia le informazioni accumulate a un server in Russia. È importante notare com il trojan non sia presente nei repository di estensioni di Mozilla, ma debba provenire da qualche altra fonte. Per essere sicuri, la prudenza raccomanda di installare solo software firmato, anche se ciò limita fortemente il numero di estensioni installabili. In ogni caso i produttori di antivirus stanno aggiornando i propri database includendo la firma di questo pericoloso malware. [Fonte Zeus News]

Il worm che mette una patch a Windows - Conficker.A sfrutta una vecchia e pericolosa vulnerabilità di Windows, alla quale pone rimedio dopo aver infettato il Pc. È passato più di un mese dal rilascio del bollettino di sicurezza MS08-67, con il quale Microsoft derogava alla propria politica di rilascio mensile degli aggiornamenti pubblicando una patch di emergenza. Eppure, nonostante il tempo trascorso e la solerzia di Redmond, non tutti sono corsi ai ripari: troppi computer sono ancora privi di protezione e per questo ora stanno cadendo vittime del worm Conficker.A. Il primo ad accorgersi della crescita degli attacchi basati sulla vulnerabilità ormai nota è stato Ziv Mador, del Malware Protection Center di Microsoft, subito seguito da McAfee e Symantec (che ha chiamato il worm Downadup). Il malware, una volta trovato un Pc privo dell'aggiornamento, apre una porta a caso, si connette via Http a un server remoto e, per essere sicuro che nessuno venga a dargli fastidio, applica la patch necessaria per la vulnerabilità che esso stesso ha sfruttato, propagandosi poi all'interno della rete locale. Così si stanno moltiplicando le segnalazioni di computer infetti provenienti da diverse parti del mondo: Stati Uniti, Europa occidentale, Giappone, Cina e Brasile sono le zone più colpite. Tutti gli utenti di Windows (dalla versione 2000 fino alla pre-beta di Windows 7) farebbero bene a controllare subito lo stato dei propri sistemi e, se il caso, procedano ad applicare gli aggiornamenti necessari.[Fonte Zeus News]

Obama è un virus ma non è abbronzato - Il malware cavalca l'elezione del neo Presidente Usa. Il malware utilizza il nome di ObamaObama ha vinto, è il nuovo presidente americano: non si parla d'altro in questi giorni, sui media tradizionali, in tv e anche in rete. Ecco, la rete. Come era prevedibile, facendo leva sulla curiosità delle persone, non poteva mancare qualche utilizzo "improprio" del neo presidente Usa sul web. Così è stato subito un fiorire di spam riferito in qualche modo all'elezione del senatore Obama, secondo Sophos addirittura quasi il 60% dello spam circolato in rete nelle ore immediatamente seguenti l'elezione. Da subito hanno preso a circolare email recanti mittenti quali "news@president.com" oppure "news@unitedstates.com" (ma facilmente vi saranno altri indirizzi) che invitano a cliccare su un link per visualizzare il già famoso discorso tenuto dal neo eletto Presidente, consueta scusa per far scaricare e installare all'utente un finto lettore multimediale atto a infettare il Pc con un trojan, identificato da Sophos come Mal/Behav-027 o da F-Secure come PSW:W32/Papras.CL. Il malware in questione avrebbe caratteristiche di rootkit atte a nasconderlo, capacità di agire come backdoor, di memorizzare i tasti premuti nonché ricercare password salvate per inviare poi tutte le informazioni a un server remoto predisposto allo scopo. Naturalmente non poteva essere il solo caso, così Websense riporta di un ulteriore messaggio di spam, che vuole attirare i lettori più curiosi attraverso una, naturalmente finta, intervista al nuovo presidente per installare un vero Trojan Downloader, BarackObama.exe, attraverso il click sull'immancabile link presente. [Fonte Zeus News]

Laboratori di Panda Software hanno scoperto un nuovo tipo di malware “ricattatore”: Sinowal.FY. Questo codice maligno cifra i file degli utenti per impedirne l’accesso e richiede un riscatto per consegnare un tool di decodifica, oltre alla chiave di decifrazione. Quando Sinowal.FY si installa su un sistema, codifica ogni singolo documento presente sull’hard disk e crea un file nominato “read_me.txt” che contiene le richieste dell’hacker rapitore. Infatti, esso include un testo con la pretesa di pagamento di un riscatto di 300 dollari per “liberare” i file. “Questo Trojan appartiene alla famiglia Sinowal, tradizionalmente usata per rubare password e coordinate bancarie. In aggiunta, Sinowal.FY ricatta gli utenti dopo aver criptato i loro dati per impedirne l’accesso. Si tratta di un altro esempio di come gli autori di malware stiano cercando di ottenere il maggior beneficio possibile da ogni codice maligno creato”, spiega Luis Corrons, Direttore Tecnico dei Laboratori di Panda Software. Inoltre, per velocizzare il pagamento, nel testo è indicata una data limite, oltrepassata la quale tutti i dati saranno persi. In realtà questo non è vero, poiché tutto il contenuto criptato rimane sul computer. Questo tipo di “sequestro” non è una novità. La famiglia di Trojan PGPCoder ha una grande esperienza in questo campo e ha reso le sue tecniche di codifica sempre più difficili da superare. Ransom.A, invece, minacciava di cancellare un file ogni 30 minuti, ma richiedeva un riscatto molto basso, solo 10 dollari e 99 centesimi. Archiveus.A è stato forse uno dei casi più strani poiché non chiedeva denaro agli utenti, bensì di acquistare prodotti da una determinato negozio online. La cosa più importante da fare per contenere questo tipo di infezioni è dotarsi di un buona soluzione di sicurezza preventiva che impedisca a questi ed altri codici maligni di raggiungere il sistema. [Panda Security]

In occasione del "patch day" del 14 ottobre sta girando una email apparentemente firmata da Microsoft che però contiene un trojan. Il patch day mensile, ossia il giorno in cui Microsoft rilascia gli aggiornamenti di sicurezza per i propri prodotti, deve sembrare un ottimo momento per diffondere malware spacciandosi per l'azienda di Redmond. In queste ore, infatti, diversi utenti stanno segnalando a Microsoft di aver ricevuto un'email che sostiene di contenere un aggiornamento di sicurezza rilasciato dall'azienda stessa; in allegato c'è un file eseguibile. A peggiorare la situazione c'è il fatto che la missiva sembra firmata da Steve Lipner esponsabile dei programmi di sicurezza di Microsoft - e presenta quella che sembra una firma Pgp perfettamente in regola. Il file allegato, come si può immaginare, contiene un trojan, identificato come Trojan.Backdoor.Haxdoor, che consente di prendere da remoto il controllo del Pc. Microsoft, naturalmente, non distribuirà mai i propri aggiornamenti di sicurezza via email. [Fonte Zeus News]

Un virus nei pc dello spazio Gammina.AG colpisce la Iss - Anche la ISS, ossia la Stazione Spaziale Internazionale, è stata colpita da un virus informatico. E' il laboratorio più protetto, il più controllato, il più seguito in tutte le molteplici operazioni eppure uno dei tanti virus che abitualmente entrano nei computer di casa e uffici è arrivato fin lassù, a 400 chilometri d'altezza. Il virus è stato messo in luce dai tecnici di Terra della Nasa all'inizio di agosto, mentre facevano una verifica sui computer di bordo per testare la loro efficienza. Il virus ha come obiettivo quello di rubare le parole d'accesso ai più popolari giochi online. Chiamato Gammina.AG, invia ripetutamente username e password rubate ai server che gestiscono i giochi, creando loro problemi di non poco conto. Si accanisce soprattutto sui giochi noti come Maple Story, HuangYi Ondine e Talesweaver. Purtroppo, a bordo della stazione orbitante non lo si può facilmente debellare perché i computer della ISS non prevedono l'uso di antivirus. Il tutto è stato scoperto dal sito SpaceRef e la Nasa ha confermato quanto è stato pubblicato [La Repubblica]

Il virus di Homer Simpson - Una minaccia informatica tutta gialla. Qualche giorno fa Homer Simpson ha rivelato in un episodio del cartone animato il proprio indirizzo email: chunkylover53@aol.com. I fan hanno subito incominciato a scrivere a questo indirizzo, al quale rispondeva Matt Selma, sceneggiatore e produttore della saga. Il problema è sorto quando qualcuno ha creato su AIM l'account chunkylover53, rimanendo però inattivo per un po' di tempo, facendo rimanere con il fiato sospeso i fan, che speravano di chattare con Homer. Dopo qualche tempo l'account si è riattivato, inviando a tutti i contatti il trojan kimya.exe e dicendo che il programma serviva a vedere un episodio del cartone animato. Il software però anda messaggi di errore particolari e infetta il Pc, aprendo delle porte Tcp per le connessioni remote e permettendo a un malintenzionato di sfruttate il computer infetto a suo piacimento. [Fonte Zeus News]

(Il virus che ti ricatta - Ransomware! - Decisamente cattivello questo Gpcode, un virus che non si limita (per così dire) a fare danni al computer, ma lucchetta i vostri dati (documenti, foto, e altro) con una cifratura sofisticatissima con chiave a 1024 bit: se volete riaverli, dovete pagare i gestori del virus, come racconta Kaspersky. La lunghezza della chiave significa che la decifrazione per forza bruta è sostanzialmente impossibile, per cui l'unica maniera per riavere i propri dati sembra essere quella di pagare il riscatto. Il virus si fa riconoscere perché aggiunge l'estensione "._CRYPT" in fondo all'estensione preesistente dei file che ha lucchettato e poi colloca nella medesima cartella/directory un file "!_READ_ME_!.txt" che spiega come procedere per far avere il riscatto. Chiaramente, in casi come questi la prevenzione è la miglior cura: tutti i principali antivirus riconoscono Gpcode nelle sue tante varianti, e vale sempre la raccomandazione di non eseguire software di provenienza non sicura, come il software piratato o gli allegati, anche se arrivano tramite amici. [Fonte Zeus News]

Il trojan che attacca il modem Adsl di casa - Cambiando le impostazioni dei server Dns del router, redirige il traffico Internet verso siti pericolosi. Si chiama DnsChanger il pericolo che attualmente si sta diffondendo nella Rete: è un trojan e le sue vittime designate sono i router. Come il nome stesso indica, l'obiettivo di questo malware è modificare le impostazioni dei Dns (Domain Name System, cioè Sistema dei Nomi di Dominio, il sistema che trasforma gli indirizzi mnemonici - come zeusnews.it - in indirizzi numerici) ridirigendo le richieste a un server malevolo sito in Ucraina. Il pericolo deriva dal fatto che in questo modo potenzialmente ogni computer connesso a Internet rischia di essere dirottato verso siti contenenti malware o pagine che assomigliano a quelle originali ma sono state create a scopo di phishing. Se si è colpiti, anche i nomi di dominio che non esistono verranno risolti facendo puntare il browser verso pagine pericolose. La buona notizia è che per ora DnsChanger è in grado di sfruttare solo alcune interfacce web di pochi modelli tramite un attacco basato su dizionario. Gli esperti di TrustedSource, però, temono che presto queste limitazioni saranno superate. Gli utenti più a rischio, naturalmente, sono coloro che non hanno mai cambiato le impostazioni di default dei propri router, che per le operazioni di amministrazione spesso usano l'utente admin e nessuna password, o una password uguale al nome dell'utente. Se si teme di essere stati infettati, si possono controllare le proprie impostazioni: su macchine Windows - suggerisce il team di TrustedSource - occorre verificare le chiavi di registro DhcpNameServer e NameServer che si raggiungono dal percorso:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. Sintomo di infezione è infatti la visualizzazione del range di indirizzi incriminato: 85.255.*.*. [Fonte Zeus News]

Un trojan infetta forum e guestbook -Vulnerabili in particolare i siti che usano PhpBB: una volta compromessi, tentano di infettare gli utenti. Un attacco Web ha compromesso oltre mezzo milione di pagine online. Sui siti colpiti è stato inserito uno script maligno (JS_SMALL.QT) derivante da una implementazione inadeguata del pacchetto phpBB, un noto software per la gestione di forum. Collegandosi a un sito infetto, gli utenti vengono a loro volta contagiati con una variante della famiglia ZLOB (TROJ_ZLOB.CCW) che finge di installare un codec video. Quando i visitatori scaricano i falsi codec video, effettuano in realtà il download di alcuni Trojan: TROJ_DNSCHANG.CS, TROJ_ALUREON.AE, TROJ_ALUREON.AH e TROJ_ALUREON.AI. Queste tipologie di Trojan sono note per modificare il server DNS e i settaggi del browser del sistema coinvolto nell'attacco, rendendolo quindi vulnerabile anche a ulteriori minacce. Molti siti sono già stati compromessi con messaggi di spam fasulli con contenuti farmaceutici e pornografici. Pare che la prima infezione di questo tipo sia avvenuta a febbraio 2008 e gli episodi di infezione avrebbero riguardato forum e guest book, le cui pagine online sono ora inaccessibili in quanto reindirizzano automaticamente gli utenti verso un sito pornografico per il download di un finto codec video. Il codice malware risiede su server situati a Columbus (in Ohio), a Concord (in California) e a Mosca. Questo attacco è molto probabilmente opera di una organizzazione cyber-criminale russa/ucraina già responsabile durante lo scorso anno della serie di attacchi con il trojan ZLOB. Ivan Macalintal di Trend Micro ha commentato: "Questo attacco è del tutto simile a quelli che rileviamo sul Web a livello mondiale; è sufficiente visitare un sito infetto per essere dirottati verso altre destinazioni online dalle quali vengono scaricate diverse forme di malware". [Fonte Zeus News]

Zeus, il malware con l'Eula - Se acquisti quel trojan, devi sottostare a determinate condizioni dei creatori. Altrimenti chiamano... l'Antivirus. Anche i creatori di malware hanno a cuore la tutela della proprietà intellettuale. In particolare, chi ha scritto il codice malevolo noto come Zeus (e che Symantec identifica come Infostealer.Banker.C) vi ha allegato una vera e propria licenza d'uso (o Eula: End User License Agreement). Il cliente che ha acquistato Zeus non ha dunque alcun diritto di "distribuirlo con scopi commerciali non connessi alla vendita iniziale; esaminare il codice sorgente; usare il prodotto per controllare altre botnet; inviare il prodotto alle società produttrici di antivirus". Non potendo poi sperare di ottenere alcuna tutela legale per ovvi motivi, i programmatori si sono attrezzati in maniera alternativa: spiegano infatti che chi contravviene agli accordi "perde ogni supporto tecnico" e inoltre "il codice binario del suo bot verrà immediatamente inviato alle società produttrici di antivirus". Secondo Symantec, però, queste minacce non hanno avuto un grande effetto: il pacchetto Zeus viene liberamente scambiato all'interno dell'ambiente dei creatori di malware, senza che gli autori originari siano riusciti a fare alcunché. Inutile specificare che il sito di informatica Zeus News non ha nulla a che vedere con questi signori. [Fonte Zeus News]

Il trojan che fa man bassa su eBay - Si esegue all'avvio di Windows e intercetta quanto viene inserito nei form. EbayRob.B e WinFake.A. sono le nuove minacce di questa settimana segnalate da Panda Security. Il trojan EbayRob.B è progettato per il furto di dati inseriti in form di siti come eBay, che vengono poi inviti via email agli autori del malware. Inoltre, il codice modificherà il Registro di Windows per catalogarsi come un servizio ed eseguirsi così automaticamente ogni volta che il sistema viene avviato. Il trojan inoltre modifica i file host per reindirizzare l'accesso a una serie di siti Internet sul PC colpito, per essere in grado di monitorare le visite. Quando viene eseguito dall'utente, EbayRob.B mostra numerose immagini di automobili. Winfake.A è un worm che attacca tutti i drive disponibili. Blocca il funzionamento di alcune utility, funzioni (come regedit) o la console di Windows ed il normale utilizzo della clipboard. Il codice appare sotto le sembianze di un'icona di Microsoft Word chiamata Love. Una volta eseguito, creerà varie copie di se stesso sul sistema, denominate con titoli di canzoni per cercare di invitare l'utente ad aprirle. [Fonte Zeus News]

Virus viaggia nei portafoto digitali - Come infettare un computer con un... portafoto? Nuove frontiere dei virus informatici: adesso anche i portafoto digitali, quegli aggeggi così simpatici da regalare che mostrano le foto digitali in sequenza, possono trasportare virus. La notizia arriva dal San Francisco Chronicle ed è confermata dai produttori di antivirus, come McAfee, che lo identifica con il nome W32/Autorun.worm.e. La CA lo chiama Win32/Mocmex.AM, mentre TrendMicro lo designa WORM_AGENT.TBH. Si tratta di un trojan horse, un cavallo di Troia, che raccoglie le password usate per i giochi via Internet. E' in grado di riconoscere e bloccare molti degli antivirus più diffusi e di scavalcare la sicurezza e il firewall di Windows. Fatto questo, scarica da Internet dei file e li nasconde nel computer infetto, e si diffonde duplicandosi su qualsiasi dispositivo di memoria rimovibile (penne USB e, inevitabilmente, anche cornici digitali, appunto). Secondo la Computer Associates è opera di un gruppo specifico di aggressori con sede in Cina, ed è stato avvistato nelle cornici digitali di varie marche, in compagnia di altri virus. Proteggersi da queste antipatiche creature non è semplice, se usate Windows, il sistema operativo per il quale è progettato questo cavallo di Troia. Si può disabilitare l'Autorun, che è la funzione di Windows che esegue automaticamente i programmi che si trovano sui dispositivi che vengono collegati al computer (un altro colpo di genio dei progettisti Microsoft), ma non è detto che basti. Conviene controllare le cornici digitali usando un computer Apple o un PC con su Linux e un antivirus aggiornato: una raccomandazione valida per qualsiasi dispositivo di memoria. [Fonte Zeus News]

La morte di Benazir Bhutto sfruttata da un virus - L'omicidio della leader pakistana viene sfruttato per veicolare software infetto. Secondo quanto riporta una nota di Websense, alcuni siti web stanno sfruttando la morte della politica pakistana per introdurre trojan horse nelle macchine dei visitatori inconsapevoli. Visitando i siti viene chiesto di scaricare un controllo ActiveX al fine di visualizzare il video dell'attentato; ma il malware in questione è un programmino Javascript (Troj.Small) che appena installato aprirebbe diverse porte, permettendo l'accesso da parte di server appositamente allestiti allo scopo di autoreplicarsi su altri ospiti. Tuttavia il danno maggiore deriva dal fatto che il trojan permette sia di prendere il controllo del Pc ospite per diffondere spam, sia per rubare login di accesso ai servizi internet, codici bancari e numeri di carte di credito, oltre a diffondere il contenuto della corrispondenza personale. Per finire, il programma scarica altri file infetti: Worm_Hitapop.o e e Troj_agent.affr. Se il proprio Pc è stato usato di recente per scaricare informazioni sull'omicidio della candidata pakistana, è opportuno verificare ed eventualmente ripulire dal virus. [Fonte Zeus News]

Il trojan Storm rovina la festa degli innamorati - La ricorrenza di San Valentino messa a rischio da una nuova variante di Storm, un botnet che da anni crea non pochi problemi ai disattenti. Si calcola che nel mondo il virus Storm (siglato VME-711 da Common Malware Enumaration) e le sue varianti, da Small.dam a Nuwar o Peacomm, abbia attaccato da 10 a un centinaio di milioni di computer, diffondendo ben oltre un miliardo di messaggi infetti. Perché il worm si attiva eseguendo un allegato all'email, può presentarsi con nomi diversi ma nella maggioranza dei casi svela la sua presenza a causa del file wincom32.sys; per altro l'infezione è quasi inavvertibile perché non causa malfunzionamenti o rallentamenti delle macchine infestate. I normali antivirus solitamente riescono a debellarlo completamente, ma continua a diffondersi per colpa dei creduloni e dei disattenti, oppure di chi lascia la propria macchina non sorvegliata. Ovviamente vengono impiegate tecniche di social engineering per indurre i destinatari ad aprire le email infette; dopo aver sfruttato il tema dei disastri naturali, ora è il momento di San Valentino, e già cominciano a diffondersi i messaggi portanti l'invito ad aprire un messaggio inviato da innamorati segreti. Un commento all'ondata (per altro ripetitiva, si era già verificato un fatto analogo negli anni scorsi) si trova sul blog di Dmitri Gryaznov, un ricercatore di McAfee Avert Labs; tuttavia occorre ripetere che è pericoloso scaricare email da sconosciuti e pericolosissimo aprirle. Molto meglio leggere l'intestazione sul mailserver ed eventualmente cancellarle con i programmi appositi; ne esistono di ottimi gratuiti o a pagamento. E se proprio ci facciamo prendere la mano dalla curiosità, non scarichiamo mai in formato Html e non apriamo mai gli allegati: anche l'innocente Rich Text Format potrebbe rivelarsi meno innocuo di quanto si pensi. [Fonte Zeus News]