| |
|
 |
 |
|
|
|
|
|
|
Clampi, il
virus informatico
che ruba i dati bancari
online -
Un nuovo "trojan"
è in grado
di colpire gli utenti
che visitano siti
finanziari e qui effettuano
operazioni. Casi negli
Usa e nel Regno Unito.
Ma il pericolo - avvisano
gli esperti - è
globale. UNA NUOVA
minaccia si aggira
per il cyberspazio,
andando a colpire
quanto di più
riservato e prezioso
gli utenti trattano
in rete: il loro denaro.
Si tratta di un trojan
(un tipo di malware,
software maligno)
chiamato Clampi, in
grado di impossessarsi
dei dati (password,
codici e informazioni
di vario genere) che
gli utenti inseriscono
compiendo operazioni
finanziarie online.
Il software, che viene
scaricato inconsapevolmente
nel pc, giace latente
finché l'utente
accede alla sua banca
online, alla sua carta
di credito o ad altri
siti finanziari. Così
il trojan riesce a
catturare login e
password inseriti
dai clienti per eseguire
le loro operazioni
e li reinvia ad un
server controllato
da hacker e cyber-criminali
che possono usare
le informazioni estorte
illegalmente per accedere
ai conti degli utenti
o per effettuare acquisti
con le carte di credito.
L'allarme è
stato lanciato da
Symantec, azienda
che produce programmi
di protezione per
i computer. La minaccia
- va detto - riguarda
gli utenti Windows,
il sistema operativo
della Microsoft. [ Fonte
Repubblica Segue articolo]
|
|
|
|
| |
| |
|
|
|
Sembra un'estensione
di Firefox ma è
uno spyware
- Si installa fingendo
di essere un aggiornamento
di Adobe Flash e spedisce
ai suoi creatori tutte
le ricerche effettuate
con Google. Sta iniziando
a diffondersi un malware
specifico per Firefox:
spacciandosi per un
aggiornamento del
plugin di Adobe Flash
si installa e aggiunge
una nuova voce all'elenco
delle estensioni.
Battezzato Tspy_Ebod.A
da Trend Micro, questo
spyware raccoglie
tutte le ricerche
effettuate con Google
usando Firefox e le
invia a un server.
Inoltre inserisce
delle pubblicità,
che vanno a sostituirsi
a quelle legittime,
nelle pagine dei risultati
di Google. Sempre
secondo Trend Micro,
Ebod.A si diffonde
tramite post nei forum,
che invitano a scaricare
l'aggiornamento di
Flash. Oltre a ribadire
l'ovvia raccomandazione
di non installare
software (nemmeno
add-on per Firefox)
da fonti non sicure,
occorre segnalare
un modo abbastanza
semplice per scoprire
se si è infetti.
L'add-on aggiunto
dal malware si mostra
nella lista delle
estensioni (anziché
in quella dei plugin,
dove si trova invece
il vero Flash plugin)
sotto la voce Adobe
Flash Player 0.2.
Nonostante la descrizione
faccia poi riferimento
alla versione 10,
è proprio quello
0.2 che deve mettere
in guardia gli utenti.
[ Fonte
Zeus News] |
|
|
|
| |
| |
|
|
|
Il
trojan che registra
le telefonate di Skype
- Peskyspy
salva le chiamate
in formato Mp3 e poi
le invia via Internet
al suo creatore. Salvi
solo gli utenti di
Linux e Mac Os X.
La sicurezza delle
telefonate tramite
VoIp ha subito un
duro colpo dopo il
rilascio di un trojan
in grado di registrare
le chiamate di Skype
in formato Mp3, crittografarle
e inviarle via Internet.
Il suo autore è
il programmatore svizzero
Ruben Unteregger,
che ha pubblicato
sotto Gpl il codice
sorgente del proprio
lavoro sul sito Megapanzer.
Le società
che si occupano di
sicurezza sono già
al lavoro nella realizzazione
delle firme per consentire
ai programmi antivirus
di riconoscere il
trojan, che Symantec
ha ribattezzato Peskyspy.
F-Secure fa inoltre
sapere che il programma
di Unteregger, oltre
a registrare le chiamate
e inviarle alla prima
occasione, è
dotato anche di funzionalità
di backdoor. La possibilità
di scaricare il codice
sorgente del trojan
espone al rischio
che da adesso inizino
a proliferare molte
varianti personalizzate
di questo malware,
mentre Unteregger
non vede particolari
problemi. Già
prima di rivelare
al mondo il codice
aveva detto in un'intervista:
"Il codice sarà
pubblicato, sarà
analizzato non appena
caricherò i
binari, le compagnie
antivirus creeranno
le fime, il malware
sarà identificato,
fermato e cancellato,
se cercherà
di infettare un sistema".
Le uniche a essere
contente dell'esistenza
di Peskyspy saranno
probabilmente le forze
dell'ordine tedesche,
da tempo preoccupate
dall'impossibilità
di intercettare Skype.
Il loro peggior problema
consisterà
probabilmente nel
dover ascoltare tutte
le conversazioni prima
di scovare qualcosa
di utile. In ogni
caso, il software
di Unteregger è
un problema solo per
chi usa Skype sotto
Windows: Linux e Os
X sono immuni da questo
malware. [ Fonte
Zeus News] |
|
|
|
| |
| |
|
|
|
Il virus
perfetto per gli
innamorati insicuri
o delusi
- Un eseguibile
sospetto permetterebbe
di "leggere
gli Sms". Sorpresa,
è un virus!
Una nuova ondata
di malware si abbatte
stavolta sui curiosi
e di tutti quelli
che, a torto o a
ragione, per mestiere
o diffidenza, non
riescono a fare
a meno di spiare
il prossimo. La
curiosità
uccise il gatto
recita un noto proverbio
di origine inglese;
ma evidentemente
viene altrettanto
spesso dimenticato
o almeno messo da
parte con una scusa
o con l'altra magari
accampando discutibili
ragioni. Forse è
per questo che da
ultimo si assite
a una recrudescenza
dell'infastazione
di Waledac,
una botnet tanto
più pericolosa
in quanto pare sia
usata da bande di
cybercriminali per
compiere operazioni
illecite di vario
tipo mediante la
creazione di una
rete di computer
parassitati i cui
utenti non si accorgono
dell'infestazione.
Anche se ormai tutti
i migliori antivirus
sono in grado di
rilevare la minaccia,
la disinfezione
non è mai
facile anche perché
spesso rimangono
sparse qua e là
tracce di codice
probabilmente inettive
ma che comunque
sono in grado di
scatenare allarmi.
Da ultimo, avverte
Websense, sta diffondendosi
via email un'ammiccante
spam che propone,
con una strizzatina
d'occhio, di scaricare
in prova un eseguibile
che permetterebbe
di "leggere
gli Sms". La
proposta fa leva
tanto sulla curiosità
quanto sul comunissimo
senso d'insicurezza
degli innamorati,
proponendo un'allusiva
vignetta; ma scagli
la prima pietra
chi non ha mai desiderato,
almeno una volta,
di conoscere i "contatti"
del capufficio o
sentire cos'avranno
di così importante
da sussurrarsi le
ragazze di casa.
D'altra parte la
botnet, che prende
il nome da una stringa
particolare che
compare nei Pc infestati,
è stata molto
attiva nella prima
metà dell'anno
presentando, nelle
email, vari link
a finti disastri
comunicati da una
sedicente agenzia
di stampa Reuters,
a siti per creare
bigliettini d'auguri
e, da ultimo, perfino
in occasione della
ricorrenza del 4
Luglio per l'Indipendence
Day statunitense.
[Fonte
Zeus News]
|
|
|
|
| |
| |
|
:: |
Lo
SPAM di Michael Jackson |
|
|
|
La
morte del "re
del Pop", Michael
Jackson, a creato
grande shock in tutto
il mondo. Solo dopo
circa 8 ore della
sua scomparsa, SophosLabs
ha assistito alla
prima ondata di messaggi
di spam che utilizzano
la triste notizia
in oggetto e parte
del corpo per raccogliere
le vittime 'degli
indirizzi email. In
questo tipo di messaggio
di spam, lo spammer
sostiene lei ha informazioni
vitali circa la morte
di Michael Jackson
per condividere con
qualcuno, vale a dire
voi. Il corpo del
messaggio di spam
non contiene alcun
invito a liccare sul
dei link come url,
e-mail o numero di
telefono. E l'indirizzo
di posta elettronica
da del messaggio è
falso. Lo spammer,
tuttavia, può
facilmente raccogliere
gli indirizzi e-mail
dei destinatari attraverso
un indirizzo e-mail
gratuito @live.com,
qualora gli utenti
rispondano al messaggio. |
|
|
|
| |
| |
|
|
|
Una
nuova minaccia potrebbe
colpire gli utenti
del web italiani.
E’ stata appena
rilevata (ore 1.34)
un e-mail dall’eloquente
titolo “BERLUSCONI
SORPRESO A LETTO CON
UNA SUA ESCORT DA
UN GIORNALISTA”
che invita l’utente
a visionare un video
nel quale il presidente
del consiglio è
in piacevole compagnia
di una escort. Si
tratta in realtà
di una trappola per
la diffusione del
worm Kolab. L’utente
cliccando nell’apposito
link presente nell’e-mail
è condotto
in una falsa versione
di Youtube (youtorube.com),
dove il video promesso
è momentaneamente
non visibile in quanto
necessita da parte
dell’utente
del download di un
apposito codec
wmpcodec.exe
ossia il malware.
Il quale è
rilevato, secondo
Virustotal.com, da
un numero troppo basso
di software anti-viru....Vai
alla fonte per saperne
di più [ Fonte
Anti-Phishing Italia]
|
|
|
|
| |
| |
|
|
|
Da una ricerca di
Sophos, Gumblar (o
Troj/JSRedir-R), risulta
il malware più
diffuso. Il 42% delle
infezioni nel mondo
sono legate a Gumblar,
che sarebbe il worm
maggiormente diffuso
al mondo secondo Sophos.
Il segreto di questo
successo è
dovuto al metodo di
diffusione: il malware
si insidia all'interno
di pagine web insospettabili
e, grazie a codice
JavaScript, scarica
del software malevolo.
Altri metodi di infezioni
sono le falle di Adobe
Reader o Flash presenti
nelle vecchie versioni
dei programmi non
aggiornati.A questo
punto si passa alla
seconda fase: vengono
rubati i dati di connessione
alla casella di posta
o a un server Ftp
e inizia la diffusione
tramite il computer
infetto, sniffando
anche i dati della
Lan a cui si è
collegati e installando
un proxy sulla porta
7171. Anche le ricerche
fatte su Google vengono
alterate, rimandando
l'utente a siti illegali.
[ Fonte
Zeus News]
|
|
|
|
| |
| |
|
|
|
|
|
|
Arriva
il virus che
colpisce gli
innamorati
spioni
- L'allarme
viene lanciato
dai Websense
Security Labs:
si tratta
di una mail
spam che fa
leva, appunto,
sulla gelosia
e sulla curiosità
di chi vuole
"farsi
i fatti altrui".
Arriva con
l'oggetto
"Sei
proprio sicuro
di volerlo
sapere?";
all'interno
della mail,
un breve messaggio,
"Scarica
il programma
che ti consente
di leggere
gli SMS",
e un link.
Cliccando
sul link,
si arriva
a un sito
che offre
di scaricare
e provare
per 30 giorni
un’applicazione
che consentirebbe
di dare una
sbirciatina
agli sms inviati
dal proprio
partner (o
da chiunque).
Per rendere
più
accattivante
il tutto,
la pagina
contiene fumetti
di innamorati
(presumibilmente
infedeli)
|
intenti a
scambiarsi
romantici
messaggi via
telefonino
(vedi l’immagine
sotto). Naturalmente,
il programma
che si scarica
è in
realtà
un virus,
in grado di
trasformare
il pc in un
nodo della
temibile botnet
Waledac, una
rete di computer
connessi via
internet controllati
da remoto
da un’entità
del cybercrimine,
che può
utilizzarli
per sferrare
attacchi ad
altri sistemi
o compiere
varie operazioni
illecite più
o meno gravi.
La mail spam
che promette
il falso programma
per leggere
gli sms altrui.
A oggi, poco
più
del 30% degli
antivirus
è in
grado di individuare
e bloccare
la minaccia.
Che non è
certo isolata:
secondo le
statistiche
relative al
mese di marzo
rilasciate
da Websensem
società
specializzata
in tecnologie
per la sicurezza
di web ed
email, l’87,2%
delle mail
che raggiungono
i nostri pc
sono spam
e il 20% di
queste contiene
link a siti
maligni, in
grado di infettare
in vari modi
i nostri sistemi.Certo,
al di là
del fastidio
dei minuti
passati a
cancellare
lo spam, gli
utenti internet
si sono fatti
sempre più
furbi e abili
a individuare
mail sospette.
Eppure, secondo
Websense molti
potrebbero
essere attratti
dall’ultimo
degli attacchi
della “banda”
Waledac, la
cui tecnica
è già
stata utilizzata
un altro paio
di volte dall’inizio
del 2009:
con la mail
contenente
notizie di
disastri di
vario tipo
apparentemente
proveniente
dalla Reuters
e con il finto
kit da scaricare
per creare
il perfetto
biglietto
d’auguri
per San Valentino.
[ Fonte:
Affaritaliani.it]
|
|
|
|
|
| |
| |
|
:: |
Win32/FakeXPA
e Win32/FAkeSecSen |
|
|
Microsoft:
"Attenti allo
schareware"
- Se, mentre navigate,
un pop-up vi segnala
un virus nel Pc, non
credetegli: il file
che vi farà
scaricare conterrà
il vero malware, che
sottrarrà i
vostri dati personali.
La più grande
minaccia della seconda
metà 2008 non
è stata rappresentata
da un worm o un virus
- o, almeno, non da
un worm o un virus
nel senso tradizionale.
Secondo il Microsoft
Security Intelligence
Report ciò
che maggiormente gli
utenti devono temere
è lo scareware
(da to scare, spaventare).
Con la parola scareware
si intende quel software
che si presenta tramite
pop-up o banner durante
la navigazione spacciandosi
per un programma di
sicurezza (antivirus,
antispyware) e asserendo
di aver trovato una
minaccia sul Pc, per
liberarsi della quale
occorrerà scaricare
un particolare file.
Ovviamente il file
scaricato (spesso
dopo aver pagato tramite
carta di credito)
non sarà un
vero programma anti-malware:
nel migliore dei casi
sarà semplicemente
inutile; nel peggiore,
installerà
nel Pc un ospite indesiderato
che andrà a
caccia di dati personali
da spedire al proprio
creatore. Secondo
Microsoft tra le minacce
peggiori dell'ultimo
semestre del 2008
ci sono Win32/FakeXPA
e Win32/FAkeSecSen
- individuate su 1,5
milioni di computer
e pertanto entrate
di diritto nella Top
Ten dei pericoli digitali
- ma soprattutto Win32/Renos,
uno scareware che
ha infettato 4,4 milioni
di computer crescendo
del 70% rispetto alla
prima metà
dell'anno. Il consiglio
per fronteggiare queste
minacce è non
fidarsi dei messaggi
che appaiono durante
la navigazione e che
tentano di spaventare
gli utenti millantando
la presenza di pericolosi
virus: meglio affidarsi
ai software conosciuti,
gratuiti o a pagamento,
e lasciare a loro
il compito di effettuare
una scansione piuttosto
che credere ciecamente
a un'oscura utility
mai sentita prima.
Naturalmente, poi,
è sempre buona
norma applicare tutte
le patch: Microsoft
ha rilevato che il
91% degli attacchi
diretti contro Office
riguardavano vulnerabilità
per le quali la soluzione
era a disposizione
da più di due
anni. [ Fonte
Zeus News]
|
|
|
|
| |
| |
|
|
|
All'armi,
Conficker si è
attivato
- Il temuto worm è
entrato in attività:
scarica un aggiornamento
via peer to peer e
installa un keylogger
che tenta di rubare
i dati sensibili.
Con un po' di ritardo
sulla data prevista,
Conficker ha iniziato
a muoversi: le macchine
infette stanno scaricando
un aggiornamento che,
secondo le analisi
di Trend Micro, contiene
un keystroke logger
(un programma che
registra tutti i tasti
premuti). L'update
all'ultima versione
è distribuito
tramite peer to peer,
non via Http; Conficker-E
sembra progettato
per disattivarsi il
3 maggio, interrompendo
l'attività
di keylogging ma lasciando
comunque i Pc controllabili
dall'attaccante. Inoltre,
il nuovo Conficker
si mette in comunicazione
con dei server associati
al malware Waledac
e alla botnet Storm.
Per ora non ci sono
invece prove che il
temuto worm venga
usato per l'invio
di spam (come si pensava),
per lanciare attacchi
di tipo Dos o per
altre attività
distruttive: si limita
soltanto a rubare
i dati sensibili captando
le pressioni dei tasti.
[ Fonte
Zeus News]
|
|
|
|
| |
| |
|
|
|
Neeris, il
worm che imita Conficker
- Risale a quattro
anni fa ma è
tornato dopo aver
imparato dal collega
più giovane
a sfruttare l'ormai
nota vulnerabilità
di Windows MS08-67.
Il successo di Conficker,
uno dei worm più
diffusi, è
servito da lezione:
non agli utenti, che
avrebbero potuto imparare
ad applicare le patch
al momento giusto,
ma ai creatori di
malware, che hanno
deciso di duplicarne
le tecniche. Se Conficker
è riuscito
a diffondersi così
capillarmente sfruttando
una vecchia vulnerabilità,
forse vale la pena
di adottare lo stesso
sistema: questo devono
aver pensato gli autori
di Neeris, un worm
che risale al 2005
e che è tornato
ora in circolazione
armato del necessario
per approfittare della
falla MS08-67. È
Microsoft stessa ad
avvisare della presenza
di questa vecchia
e nuova minaccia che
si diffonde via Msn
Messenger e installa
una backdoor sui Pc
infetti. A parte la
segnalazione dell'invio
di un file Zip via
Messenger da parte
di uno dei contatti
o di attività
Tftp sconosciuta registrata
nei log del software
di messaggistica,
Neeris non provoca
sintomi nei computer
colpiti. Un antivirus
aggiornato e l'installazione
della veneranda patch
sono la cura per questo
male. [ Fonte
Zeus News]
|
|
|
|
| |
| |
|
|
|
Un worm per
i router
- Psyb0t è
il un worm che invece
di attaccare i Pc
attacca i dispositivi
per la connessione
a internet come router
e modem DSL. Il worm
cerca di violare le
assword ed entrare
nei sistemi. Per poter
essere attaccati,
gli apparecchi devono
disporre di un pannello
di controllo accessibile
dalla Wan; pare che
tra i dispositivi
sensibili vi siano
10 modelli di Netgear,
30 modelli di Linksys
e altri 15 di svariate
marche che in comune
hanno la piattaforma
MIPS.Sono stati già
colpiti 100mila reti,
che però avevano
come difetto nella
maggior parte dei
casi la password inserita
di default, che quindi
non era stata modificata
dagli utenti; inoltre
Psyb0t analizza server
con MySQL e phpMyAdmin
in cerca di vulnerabilitàQualora
riscontriate l'impossibilità
di navigare e problemi
sulle porte 80, 22
e 23, è possibile
che siate infetti
dal worm: dovrete
quindi aggiornare
il firmware e riconfigurare
il modem/router, avendo
cura di cambiare la
password di accesso.
[ Fonte
Zeus News]
|
|
|
| |
| |
|
|
|
Il trojan
che minaccia l'intera
Lan - Basta
un solo computer infetto
per mettere in pericolo
tutti i Pc della rete
locale, anche quelli
che non usano Windows.
Il Sans Internet Storm
Center avvisa che
una nuova variante
del malware Trojan.Flush.M,
scoperto all'inizio
di dicembre, sta iniziando
a diffondersi e mette
potenzialmente in
pericolo ogni Pc connesso
a una rete locale,
indipendentemente
dal sistema operativo.
Il veicolo d'attacco
è sempre Windows:
una volta infettato
un Pc che usa il sistema
di Microsoft, il trojan
crea un server Dhcp
sulla macchina colpita
e si sostituisce a
quello legittimo della
Lan. Ogni computer
riceverà dal
server fasullo l'indirizzo
Ip e le informazioni
sui Dns da utilizzare,
che porteranno l'utente
su siti-trappola realizzati
così bene da
essere difficilmente
identificabili. Anche
i Pc non infettati
direttamente dal virus,
a questo punto, saranno
un pericolo per i
propri utenti. Rispetto
alla variante precedente,
questa versione rende
più difficile
da individuare il
server Dhcp fraudolento,
non specificando più
un nome di dominio
Dns. Oltre alle usuali
raccomandazioni per
evitare l'infezione
dei sistemi Windows,
in questo caso diventa
utile tenere sotto
controllo le impostazioni
dei server Dns e,
se possibile, indicare
gli indirizzi manualmente.
Attualmente gli indirizzi
usati da Trojan.Flush.Dns
sono 64.86.133.51
e 63.243.173.162:
è possibile
metterli in una blacklist,
ma è molto
probabile che in una
successiva versione
del malware cambino.
[ Fonte
Zeus News]
|
|
|
|
|
| |
| |
|
|
|
Un verme su
Facebook chiede la
vostra amicizia: che
fare? - Avrete
ricevuto anche voi
richieste di amicizia
da persone poco piacevoli.
Il dilemma è:
accettare o no? Quando
il "verme"
è informatico,
come in questo caso,
meglio declinare l'invito.
La segnalazione arriva
da Trend
Micro: la nuova
minaccia si chiama
Worm_Koobface.Cz e
si diffonde tramite
i social network e
in particolare Facebook
(Koobface è
infatti l'anagramma
di Facebook). All'utente
viene sottoposto un
video, poi viene invitato
a scaricare un plugin
per visualizzarlo,
modalità già
usata in passato.
La novità sta
nel fatto che nella
pagina visitata viene
riproposto il nome
del visitatore, rendendo
più ingannevole
la Url e permettendo
così l'esecuzione
di codice maligno.Nelle
ultime ore sono stati
identificati varie
centinaia di Ip che
ospitano l'eseguibile
e il codice Html,
rendendo più
difficile ostacolarne
la diffusione. Una
volta installato,
il worm ricerca se
sono presenti sul
Pc dell'utente i cookie
di social network
come Facebook e Myspace
per identificare i
dati di accesso e
per diffondersi poi
ai contatti dell'utente.
[ Fonte
Zeus News]
|
|
|
|
| |
| |
|
|
|
Il virus che
attacca tramite Php,
Asp e Html
- Per diffondersi
colpisce i server
web, poi infetta i
file eseguibili sul
Pc. Virut
è
tornato: il malware
noto anche come Virux
si sta ripresentando
in una nuova incarnazione
battezzata da Microsoft
Virus: Win32/Virut.BM
e che è particolarmente
pericolosa perché
per diffondersi ha
la bella idea di infettare
i server Web. Script
Asp, Php o semplice
Html: tutto va bene
a questo virus per
includere un iframe
nella pagina e infettare
i Pc degli utenti,
colpendo i file eseguibili
presenti, colpendo
di preferenza i file
di sistema come explorer.exe
e winlogon.exe. L'iframe
cerca di dirigere
i visitatori su zief.pl
(sito che non è
proprio il caso di
visitare, neanche
se spinti dalla curiosità),
il quale tenterà
di sfruttare varie
vulnerabilità
nei browser e nelle
applicazioni installate
sul Pc dell'utente.
Le macchine infette
si riconoscono dalla
presenza di una backdoor
tramite la quale il
malware cerca di connettersi
a diversi server sulla
porta 80. [ Fonte
Zeus News]
|
|
|
|
| |
| |
|
 |
|
 |
|
|
|
|
 |
|
Segnala errore sito
