Come riportato sul blog ufficiale di Kaspersky lab, è stato rilevato un Trojan identificato con il nome di: Trojan-Ransom.Win32.Seftad.a e Trojan-Ransom.Boot.Seftad.a ed è stato scaricato dal Trojan.Win32.Oficla.cw. Dopo aver infettato il sistema, sovrascrive il Master Boot Record (MBR) con il proprio codice, rendendo così impossibile l’avvio del sistema operativo. All'avio del computer, viene visualizzata una schermata che avvisa l’utente che il PC è stato bloccato e i dati contenuti si dischi rigidi sono stati criptati: per poter risolvere il problema l'utente deve digitare una password che può ottenere soltanto visitando un sito Web, dove i cyber-criminali gli richiederanno un riscatto da 100 $. Nulla di più falso: i dati sugli hard disk non sono stati crittografati e possono essere recuperati collegando il disco rigido ad un altro PC oppure utilizzando un Live CD per accedere a file e cartelle memorizzati su di esso. Il computer dopo tre tentativi d’inserimento della password non andati a buon fine il PC si riavvia e il messaggio ricompare nuovamente sullo schermo. La soluzione, come suggerisce Kaspersky Lab, è a portata di mano: evitando assolutamente di visitare il sito Web, per ripristinare l’MBR originale basta digitare la parola chiave “aaaaaaciip” (senza virgolette). Kaspersky fa sapere anche di avere individuato una nuova versione di Seftad.a, per la quale è necessario utilizzare la password “aaaaadabia” (senza virgolette) per poter ripristinare l’MBR. Se la password non funziona Kaspersky suggerisce di utilizzare il tool Kaspersky Rescue Disk 10.

Microsoft mette in guardia circa un nuovo scareware, Rogue: MSIL/Zeven, in grado di rilevare automaticamente il software di navigazione usato (Internet Explorer, Firefox o Chrome) di un utente e di imitare i relativi avvisi di navigazione su siti non sicuri. L'utente viene avvertito della presenza di una minaccia inesistente con delle false pagine di allarme molto simili a quelle originali, invitandolo a effettuare una scansione e scaricare un antimalware (fasullo) per procedere alla pulizia del sistema dopo aver pagato il costo della registrazione per la versione completa. Ovviamente è tutto falso. La pagina web del rogue antivirus sembra molto simile a quella del sito Microsoft Security Essentials, premi e riconoscimenti ricevuti compresi. La tecnica si basa su un efficace schema di ingegneria sociale che sfrutta la fiducia che gli utenti ripongono nei loro browser. Una tattica simile non era mai stata utilizzata prima d'ora.

Pericolosi worm sfruttano gli IM - messaggistica istantanea. Kaspersky Lab annuncia l'individuazione di una nuova famiglia di worm che si diffondono attraverso numerosi client di messaggistica istantanea come Yahoo! Messenger, Skype, Paltalk Messenger, ICQ, Windows Live Messenger, Google Talk e il client XFire utilizzato da chi gioca on line. Quattro varianti di questo worm sono state finora rilevate dagli esperti di Kaspersky Lab, che hanno chiamato questa nuova famiglia di worm IM-Worm.Win32.Zeroll Quando il worm penetra in un computer, appare nella lista dei contatti di ogni client di messaggistica istantanea e si autoinvia a tutti gli indirizzi che riesce a trovare. L'infezione si verifica quando un utente segue quello che pensa sia un collegamento ipertestuale a un’immagine interessante, e che invece porta di fatto ad un file "maligno". Il collegamento appare in un messaggio istantaneo inviato da una macchina infetta. Questa famiglia di worm IM. IM-Worm.Win32.Zeroll si rende molto particolare perchè può utilizzare 13 lingue diverse inviando a utenti in paesi diversi messaggi in una lingua a loro familiare. Attualmente Messico, Brasile, Perù e Stati Uniti sono i paesi dove si sono verificate il maggior numero di infezioni, ma molti casi sono stati registrati anche in Africa, India e in paesi europei, specialmente in Spagna. IM-Worm.Win32.Zeroll ha una funzionalità backdoor, e ciò significa che può ottenere il controllo di un computer ad insaputa dell'utente. Una volta penetrato in un sistema, il worm contatta un comando a distanza e un centro di controllo. Dopo aver ricevuto le istruzioni dal centro via IRC, IM-Worm.Win32.Zeroll inizia a scaricare altri programmi dannosi. È interessante notare che questo nuovo tipo di worm IM si connette a diversi canali IRC a seconda del paese e dall'applicazione infetta. Ciò significa che un hacker che controlla una rete di computer infetti può classificarli in base al paese e al client IM, inviando comandi diversi, il che è molto utile quando, ad esempio, si vuole diffondere spam a specifici utenti. "Sembra che i creatori del worm siano attualmente nelle fasi iniziali della loro attività criminale", ha affermato Dmitry Bestuzhev, Regional Expert for Latin America di Kaspersky Lab. "Stanno infettando quante più macchine possono, al fine di ottenere buone offerte da altri truffatori per pagamenti per l’installazione, spam e così via". Tutti i prodotti Kaspersky Lab sono in grado di rilevare e neutralizzare con successo la nuova famiglia di worm IM. [Fonte Kaspersky Lab]

Attenti W32/Stuxnet-B che frutta una falla dei S.O. Microsoft - Un nuovo pericolo rivelato da Sophos, società attiva a livello mondiale nel settore della sicurezza informatica, minaccia milioni di utenti di Windows. Si tratta di un rootkit, ossia un software in grado di nascondere i processi o i programmi sul computer, che si installa automaticamente da qualsiasi supporto di memoria USB, anche quando le funzioni Autorun e Autoplay di Windows sono disattivate. Il file maligno, chiamato W32/Stuxnet-B rootkit da Sophos, sfrutta una falla dei sistemi operativi Microsoft: sotto accusa questa volta sono le modalità di gestione dei file .LNK, ossia i collegamenti ai file originali. È sufficiente che l'utente esplori la cartella di root del drive USB per infettare il sistema operativo: una volta installatosi, il rootkit entra in modalità nascosta (stealth mode) e può essere utilizzato da hacker e cybercriminali per sottrarre dati sensibili e informazioni personali. Microsoft ha pubblicato il Security Advisory (2286198) in cui descrive il bug e i possibili rischi. Inoltre nel bollettino l’azienda di Redmond suggerisce di disabilitare la visualizzazione dei collegamenti e il servizio WebClient. In alto possiamo vedere un filmato dimostrativo creato da Sophos in cui viene spiegato il problema. Microsoft al momento ha rilasciato solo un fix-it come rimedio a questa vulnerabilità, mentre una vera e propria patch forse verrà rilasciata in occasione del “Patch Day” di agosto.

Attenti ad Alureon, l'ultima minaccia per Windows Xp - Il colosso di Redmond sta combattendo contro il malware Alureon, in grado di rubare i numeri delle carte di credito e di impedire l'avvio dei computer - Gli utenti di Windows XP sono in allerta. La causa è un insidioso malware che, per ironia della sorte, è facilitato proprio da un aggiornamento della stessa Microsoft. Se ne parla in rete da febbraio, quando la patch MS10-021 ha aggiornato gli ancora numerosissimi utenti di questo sistema operativo. È infatti in questo mese che il virus è stato in grado di raggiungere il cuore dei computer, il Kernel, per poi provocarne lo stallo totale. Lo chiamano la schermata blu della morte. È simile a quella di avvio del pc, ma in realtà è sintomo del malware chiamato Alureon o anche TDL3 Rootkit. Solo ora Microsoft interviene con dichiarazioni ufficiali, dopo essersi rinchiusa in un iniziale silenzio, cercando fra le altre cose di arginare la diffidenza verso gli aggiornamenti che periodicamente diffonde. Avverte infatti che non installarli è una scelta molto rischiosa, anche se gli effetti del virus lo sembrano altrettanto, essendo in grado di rubare username, password e numeri di carte di credito. Microsoft sta ponendo rimedio attraverso la modifica delle patch diffuse dal 16 aprile in poi. Queste ultime, le MS10-015, impediscono l'installazione dell'aggiornamento in caso di concomitanza con un rootkit o qualche altro virus in grado di compromettere la macchina. Lo scopo è di non complicare la situazione di un computer già in difficoltà, di impedire la famigerata schermata blu e di avere l'inconfutabile conferma dell'infezione. Questi interventi rimangono però preventivi ed è per questo che l'aggiornamento contiene uno strumento per esaminare il Kernel e rimuovere il malware. [Fonte Corriere della Sera]

Il virus Sality.ag arresta l'antivirus - Kaspersky Labs ha scoperto un virus in grado di disabilitare l’antivirus stesso installato sul PC. Si tratta in pratica di una nuova versione del virus polimorfico Sality.aa il più diffuso virus polimorfico attualmente in circolazione, che attacca i sistemi installando una propria DLL e un driver per filtrare il traffico Internet. La particolarità più pericolosa è nella DLL: essa è utilizzato per respingere alcuni tipi di software di sicurezza e di firewall. E per farlo segue la strada più semplice: punta a chiudere qualsiasi tipo di finestra e processo che ha nel nome possibili associazioni con i diversi prodotti di sicurezza in circolazione. Termina inoltre TaskManager e UAC, e si carica su "SystemCurrentControlSetControlSafeBoot" in modo da far partire il proprio driver anche in modalità provvisoria.

Il worm "Koobface", segnalato in diffusione sul popolare sito di social networking Facebook (ma anche su MySpace) a fine Ottobre, continua a destare preoccupazione tra gli esperti di sicurezza. Koobface agisce inviando automaticamente messaggi "attraenti" agli amici presenti nella lista contatti dell'utente infettato tramite il sistema di messaging di Facebook. I messaggi sono costruiti per invogliare i destinatari ad aprirli e leggerne il contenuto. Questi messaggi "spam" includono titoli come "Paris Hilton Tosses Dwarf on the Street", "You look just awesome in this new movie", "You must see it", etc. I destinatari vengono indotti a visitare un sito web (attualmente esistono diversi host compromessi) che richiede il download di un aggiornamento fasullo per Adobe Flash player (un messaggio informa l'utente che la versione del player è vecchia e richiede un aggiornamento). Il presunto update "flash_player.exe" è in realtà una variante del codice worm Koobface. Se l'ignaro utente decide di eseguire il file scaricato riceve un messaggio di errore d'installazione fasullo. In realtà il malware si installa correttamente nel sistema vittima ed inizia a mettere in atto il suo payload che include il caricamento di un proxy server al successivo riavvio della macchina. Koobface si pone in ascolto sulla porta TCP 9090 e esegue il proxing dell'intero traffico HTTP cosa che permette di dirottare le destinazioni di navigazione dell'utente (come le ricerche su Google, Yahoo, MSN, e Live.com) verso siti scelti dai cybercriminali (come find-www.net) allo scopo di perpetrare crimini come "ad hijacking" e "click fraud". [tweakness.net]