Trojan.MBRLock il trojan che prende di mira il Master Boot Record - Trojan.MBRLockil è un trojan nato da poco tempo ma che si sta diffondendo a macchia d’olio per tutta la rete e che risulta essere pericoloso! Questo trojan prende di mira l'MBR il Master Boot Record L’MBR il settore zero ospitato su un hard disk dove sono contenute una sequenza di comandi utili al caricamento del sistema operativo che viene utilizzato. E’ una parte molto importante, senza di questo un computer non funziona. Generalmente risiede nella memoria ROM, una parte non accessibile al normale utilizzatore di pc perchè programmata in precedenza. Il trojan MBRLock non blocca l’accesso ai dati, né li cancella o li cripta, ma previene solamente il caricamento del sistema operativo. Ma tanto basta a spaventare la maggior parte degli utenti, mettendoli in allarme e convincendoli ad effettuare la “carissima” telefonata.
Il trojan è programmato per capire la provenienza geografica del PC infetto, al fine di mostrare numeri di telefono differenti e specifici (gli utenti maggiormente presi di mira sono quelli italiani, austriaci, svizzeri e belgi).
Il Trojan.MBRLock simula un messaggio di Microsoft che annuncia la scadenza della licenza del sistema operativo Windows. A volte può comparire all’avvio altre invece, se preso più seriamente come infezione, cambia lo sfondo del desktop e inserisce in tutte le directory infettate un file di testo con questo messaggio:

"Attention! Windows activation period is exceeded.
This windows copy is illegal and not registered properly. The further work is not possible. For activating this copy of windows you must enter registration code.
This code you can find in your windows distribution package. If you not find them you can receive it by the phone: 899 *** ***.
Registration code must be entered not later then three days, if it entered later the unlocking is not possible"

A questo punto il messaggio invita a digitare il codice richiesto. Nulla di più falso!
Fortunatamente il codice di sblocco richiesto da MBRLock non è complesso. Il meccanismo di verifica usato dal trojan, infatti, controlla solo la lunghezza del codice inserito: inserendo un qualsiasi codice di 14 cifre (ad esempio "12345678901234") il trojan lo accetta, si auto-rimuove e consente il normale avvio del sistema operativo. Insomma, una grande paura ma fortunatamente nient’altro.
Come eliminare il trojan? Se il nostro PC cade vittima di un’infezione da ransomware, occorre procurarsi un antivirus live partente da cd in grado di analizzare il sistema e trovare eventuali file danneggiati. Un programma consigliato è Kaspersky Rescue Disk. Una volta ottenuto il file .iso, masterizzarlo e impostare come prima unità di avvio quella del cd.
Per impostare l'unità che deve partire per prima sul proprio computer bisogna accedere al BIOS. Accendiamo la macchina, premiamo subito Canc, o F8 o un altro tasto che verrà indicato in basso a sinistra (questo cambia da computer a computer) e dopo l’accesso al BIOS trovare la voce Boot Driver Order e cambiare l’ordine mettendo al primo posto DVD-ROM, confermiamo con F10 e riavviare con il cd inserito.
Nella schermata di Kaspersky, premiamo Invio e selezioniamo Italiano. Lasciamo la prima opzione selezionata (Modalità grafica) e premiamo ancora Invio. Attendiamo che il processo di caricamento termini: quando appare la schermata relativa alla licenza d’uso, premiamo A per accettarla e accedere all’interfaccia principale del programma.
Automaticamente, il Rescue Disk scaricherà le firme virali aggiornate, per garantire sempre la massima protezione. Verrà quindi mostrata la schermata per effettuare la scansione del sistema. Per impostazione predefinita, solo i settori di avvio e gli oggetti nascosti archiviati nell’hard disk verranno analizzati. Se lo desideriamo, spuntiamo tutte le voci presenti per un controllo completo.
A seconda delle opzioni selezionate il controllo potrebbe durare anche diversi minuti. Al termine della scansione, possiamo vedere i risultati dei file messi in quarantena, le minacce rilevate e i virus eliminati semplicemente cliccando in alto su Minacce rilevate e su Rapporto.

Duqu, il virus nascosto in un file DOC - Nelle ultime ore Symantec ha rilasciato importanti dettagli del Duque, uno dei malware più recente che ha alcune somiglianze con Stuxnet utilizzati per interferire con importanti strutture critiche. Secondo CrySys rilevati da Symantec ci troviamo in un campo molto diverso da quello dei tradizionali malware come Stuxnet Duque. Il malware sfrutta una vulnerabilità nel kernel di Windows e per installarsi usa come vettore dei documenti in .doc appositamente creati e la distribuzione del file potrebbero essere state utilizzata una tecniche di ingegneria sociale e la sua propagazione verso agosto. Quando il software di sicurezza in grado di rilevare vari Duque, ma Symantec invita alla cautela sottolineando che la metodo di distribuzione è stato possibile identificare solo uno di quelli sviluppati dai creatori di malware. CrySyS ha anche identificato il modo in cui Duque è in grado di comunicare con l'organizzazione che lo ha creato usando dei canale per ricevere aggiornamenti. Duque non si connette a un server remoto direttamente ma utilizza la tecnologia P2P per connettersi a un sistema che agisce come un ponte, secondo il comunicato diffuso da Symantec questa soluzione permetterebbe una identificazione più difficile delle macchine utilizzate per gestire eventuali attacchi. Quando Symante ha identificato la presenza di Duque è stata informata la Microsoft del problema. Vista la pericolosità della minaccia, Microsoft ha deciso di pubblicare un aggiornamento temporaneo, in attesa del rilascio di una patch "definitiva", installabile utilizzando un "fix". Gli amministratori di rete potrebbero voler installare l'aggiornamento su quei sistemi che sono più a rischio oppure che contengono dati sensibili adottando così una misura cautelativa prima del rilascio della patch ufficiale. Al momento i casi di PC infetti virus sembrano limitati solo alcune nazioni: diversi casi sono stati confermati da sei organizzazioni in 8 Paesi (Francia, Olanda, Svizzera, Ucraina, India, Iran, Sudan e Vietnam), mentre altre segnalazioni sono arrivate da Austria, Ungheria, Regno Unito e Indonesia.

Arriva dalla Cina Mebromi, il primo rootkit in grado di attaccare il BIOS - L’ultima novità in materia di attacchi informatici è la diffusione di un rootkit Win32/Mebromi che ha come obbiettivo attaccare un componente finora ritenuto sufficientemente sicuro il BIOS. La minaccia riguarda anche il Master Boot Record dell’hard disk utilizzato per l’avvio del sistema operativo ed il kernel di quest’ultimo, mentre appositi strumenti si occupano di infettare una serie di file eseguibili e di scaricare trojan per aprire le porte ad eventuali intrusioni dall’esterno. Per infettare il computer in uso, Mebromi necessita di essere eseguito in modalità kernel e per fare ciò cerca di ottenere i privilegi necessari seguendo due strade diverse: entrambe conducono nella direzione della libreria bios.sys, la quale viene sovrascritta con un nuovo file il quale si occupa di gestire l’infezione inserendo codice maligno all’interno del BIOS. Di qui si passa dunque all’infezione dell’intero sistema, compromettendone in maniera piuttosto pericolosa la sicurezza sin dalle fondamenta. Mebromi può essere dunque considerato il primo rootkit per BIOS in grado di minacciare seriamente gli utenti. Al momento il pericolo risulta essereconfinato soltanto per gli utenti cinesi (il rootkit effettua infatti una scansione per individuare la presenza di due antivirus asiatici) dotati di computer con a bordo una scheda madre con BIOS Award.

E' stato scoperto da recente, dai laboratori di Panda Security, un nuovo trojan Ranson.AN. Questo trojan, dopo aver infettato un computer, visualizza un messaggio, all’apparenza proveniente da Microsoft, col quale avvisa l’utente che la copia di Windows che sta utilizzando non è originale e che è necessario sborsare entro 48 ore 100 euro con la propria carta di credito per acquistare la licenza del sistema operativo ed evitare azioni legali oltre che il blocco del computer.
L'avviso del trojan fa leva sul senso di colpa, se davvero la copia di Windows non è originale, dell’utente che, preso dal panico, finisce per cliccare sul link proposto dal trojan e ritrovarsi su un sito malevolo con tanto di logo Microsoft che verrà usato dai criminali informatici per rubare i dati della carta di credito del malcapitato una volta che questi li avrà digitati.
Gli utenti caduti nella trappola vengono poi avvertiti che entro 24 ore riceveranno tramite email un codice di sblocco da inserire nella schermata del trojan. Secondo quanto riferisce Panda Security, tale codice di sblocco esiste veramente ed è il seguente: QRT5T5FJQE53BGXT9HHJW53YT.
Da quanto è stato riferito riferito da Panda Security attualmente ha come obiettivo principale gli utenti spagnoli tedeschi (le schermate sono infatti nella loro lingua) e si diffonde tramite email spam e i canali P2P.

Attenti a Morto “W32/Morto.A e Worm: W32/Morto.B" - In questi giorni è stato rilevato dai laboratori della software house F-Secure un nuovo worm. Il worm è un Backdoor e si chiama Morto “W32/Morto.A e Worm: W32/Morto.B” che infetta workstation e server Windows. Esso utilizza un nuovo vettore di diffusione che non abbiamo mai visto prima: RDP. RDP è l'acronimo di Remote Desktop Protocol. Windows ha un supporto integrato per il protocollo di connessione tramite Desktop remoto di Windows. Una volta abilitato un computer per l'utilizzo remoto, è possibile utilizzare qualsiasi altro computer per accedervi. Quando ci si connette a un altro computer con questo strumento, è possibile utilizzare da remoto il computer, proprio come se si usasse un computer locale. Una volta che una macchina viene infettato, il worm Morto inizia la scansione della rete locale per trovare le macchine che hanno la Connessione desktop remoto abilitato. Questo crea un aumento di traffico per la porta 3389/TCP, che è la porta RDP. Una volta connessi ad un sistema remoto, è possibile accedere alle unità di quel server attraverso condivisioni di Windows, come \ \ tsclient \ ce \ \ tsclient \ d per i drive C: e D:, rispettivamente. Morto utilizza questa funzionalità per copiare se stesso nella macchina di destinazione. Lo fa con la creazione di un disco temporaneo di cui alla lettera A: e la copia di un file chiamato A.dll ad esso. L'infezione creerà molti nuovi file sul sistema compresi \ windows \ system32 \ sens32.dll e \ Windows \ pagine web offline \ cache.txt Morto può essere controllato da remoto. Questo avviene attraverso diversi server alternativi, tra cui jaifr.com e qfsl.net.

Michael Jackson è vivo, dice lo spammer ma i link sono tossici e portano a siti contenenti backdoor In occasione del secondo anniversario della morte di Micheal Jackson, tutto il mondo ha reso omaggio all'artista scomparso il 25 giugno 2009. E anche gli spammer hanno ben pensato di «ricordare» la figura del cantante statunitense, secondo quanto riportato da Kaspersky Lab. Numerosi messaggi di posta indesiderata in lingua inglese hanno riportato il più sensazionale degli scoop: «Attenzione!!! Michael Jackson è vivo! Abbiamo trovato prove più che evidenti: il re della musica non è affatto morto». Il testo inserito nel messaggio è seguito da appositi link, preposti a condurre immediatamente il destinatario della e-mail di spam verso siti specifici contenenti un file nocivo chiamato Backdoor.Win32.mIRC-based; quest'ultimo darebbe ai malintenzionati l'opportunità di assumere da remoto il controllo di ogni computer infettato. Negli stessi giorni alcuni spammer cinesi hanno invece ben pensato di reclamizzare, con i loro messaggi distribuiti in Rete, varie raccolte musicali contenenti le più celebri canzoni di Jackson, dimostrando un grande opportunismo. [Fonte Zeus News]

ZeroAccess: malware capace di bypassare e disattivare i software di sicurezza - "ZeroAccess implementa tutta una serie di caratteristiche uniche nel loro genere che rendono il malware molto pericoloso, vettore per altre infezioni". La più grossa novità riguarda il modo con il quale il rootkit conserva file di configurazione, malware e dati proteggendoli con un algoritmo crittografico. ZeroAccess è ora in grado di creare e utilizzare una directory nascosta all'interno della cartella di sistema Windows.
La cartella creata da ZeroAccess è visibile con i comuni strumenti di sistema, ma cercando di accedervi iniziano le prime difficioltà: alla cartella corrisponde un link simbolico a un percorso inesistente e in questo modo tutti metodi di accesso a livello di filesystem vengono esclusi. Ma se anche si riuscisse a entrare nella cartella i dati in essa contenuti risulterebbero crittografati con modalità differenti rispetto al passato: la chiave ora è creata in modo autonomo su ogni sistema infetto, quindi non è più presente un elemento come in passato e questo ovviamente complica il lavoro di individuazione e studio del malware.
Il nome della cartella in cui il rootkit archivia i propri elementi ha questa struttura: C:\WINDOWS\$NtUninstallKBxxxxx$, dove la serie di caratteri x indicano un numero generato in base alle caratteristiche del sistema infetto. I più attenti avranno notato una somiglianza di questa struttura rispetto a quanto fatto da Windows per l'uninstall dei propri update. Gli esperti di Prevx, in un documento da poco reso pubblico, fanno notare che per molti aspetti ricalca il comportamento del rootkit TDL3. Sia quest'ultimo che ZeroAccess, infatti, memorizzano i rispettivi codici nocivi del filesystem, utilizzano l'algoritmo crittografico RC4, scelgono in modo casuale un driver di sistema da infettare ed usano un meccanismo di filtraggio delle azioni dirette al disco fisso (l'approccio impiegato da ZeroAccess ne rende, per il momento, più semplice il riconoscimento rispetto a TDL3 ma Giuliani ipotizza un intervento correttivo da parte degli autori del malware).
"ZeroAccess, così come TDL rootkit, è un tipo di infezione particolarmente insidiosa che va ad alterare il funzionamento del kernel di Windows. Per arrivare a ciò ha bisogno di privilegi che normalmente solo un account amministratore ha o dovrebbe avere. Per questo motivo è sempre bene utilizzare un account utente dotato di privilegi ridotti e, se si utilizza Windows Vista o Windows 7, non disabilitare lo User Account Control (UAC)". Tra gli altri suggerimenti per evitare l'infezione, l'esperto di Prevx rammenta note, ma troppo spesso dimenticate, linee guida: "non scaricare materiale da siti web non sicuri o materiale non controllato da reti peer to peer, evitare di navigare su siti contenenti materiale illegale e, cosa molto importante, mantenere sempre aggiornato il proprio sistema operativo con le ultime patch a disposizione e controllare sempre evenuali nuove release dei software installati. Infine, ovviamente, installare un software antivirus e controllare che sia sempre aggiornato".
Per chi volesse vedere all'opera questo malware è disponibile su YouTube un video molto interessante.

E' stato individuato dagli esperti di sicurezza del Microsoft Malware Protection Centeruna una nuova variante del malware bootkit Trojan:Win32/Popureb.E. Il virus, è una sorta di ibrido tra un malware di tipo Boot-sector e un rootkit, individua un’operazione di riscrittura del Master Boot Record o di altri settore di disco, immediatamente si occupa di rimpiazzare tale operazione di scrittura con una di lettura. Il sistema, tuttavia, non appare in grado di intercettare lo scambio e quindi dà per buona l’operazione di riscrittura avviata. Secondo la macchina, dunque, l’operazione è andata a buon fine, ma in realtà alcun dato risulterà sovrascritto sul disco. L'unico modo per rimediare è l'utilizzo di un disco di ripristino di Windows per mezzo del quale si può effettuare, tramite la Windows Recovery Console, il fix dell'MBR.