Maxtor Basics Personal Storage 3200 con virus in regalo - Una serie di hard disk esterni Maxtor Basics Personal Storage 3200, di taglio di 300 o 500 GB, prodotti da Seagate immessi sul mercato a partire da agosto 2007, conterrebbero il virus Virus.Win32.AutoRun.ah. La segnalazione arriva da Kaspersky Labs che ha immediatamente informato Seagate del problema. Il virus in questione non ha effetti particolarmente dannosi, si incarica di rilevare password di gochi online inviandole su un server in Cina. Tale virus potrebbe inotre disattivare il software antivirus sul sistema. Seagate, non appena scoperta questa infezione, ha bloccato la spedizione dei dispositivi. Tutte le unità ora prodotte dallo stabilimento sono prive di virus e quelle in

magazzino verranno verificate e rielaborate prima di essere rilasciate sul mercato. È tuttavia possibile che alcuni hard disk contaminati siano stati venduti al pubblico prima che il problema fosse scoperto. Per determinare se la propria unità Maxtor Basics Personal Storage 3200 è interessata al problema, è possibile telefonare al Servizio di assistenza clienti di Seagate comunicando la configurazione del sistema e il numero del modello dell'unità. I più diffusi antivirus sono in grado di rilevare e rimuovere questo malware. [Fonte PC Self]

Il trojan che compila i Captcha - In realtà a riempire i moduli è l'utente infetto, attirato dal miraggio di uno strip-tease di una ragazza provocante. Ai virus-writer non manca di certo l'inventiva e una buona dose del senso d'umorismo. Lo hanno dimostrato gli sviluppatori di un nuovo trojan, segnalato dai specialisti di Trend Micro. Chiamato Troj_Captchar.A è stato creato per aggirare un diffuso sistema di protezione dalle registrazioni automatiche. La maggioranza dei server usano una serie casuale di numeri e lettere volutamente distorti od offuscati, per assicurarsi che la registrazione sia effettuata da un uomo e non un computer, o più precisamente un bot. Di regola solamente l'uomo è in grado di leggere tali simboli e inserirli nel campo corrispondente nella pagina di registrazione. E' una versione più moderna del test di Turing per distinguere computer e umani, chiamata più semplicemente Captcha (Completely Automatic Public Turing test to tell Computers and Humans Apart). Il trojan Captchar.A viene scaricato dalla rete da altri trojan o worm già presenti nel sistema Windows e una volta installato si connette a un server remoto. Quando dal server vengono inviati gli immagini Captcha da decifrare, il trojan attiva il suo gioco. L'utente vede sul suo schermo l'immagine di una ragazza in una posa provocante e un invito ad assistere al strip-tease. Inserendo il giusto codice Captcha, la ragazza riappare con meno vestiti addosso e così via. Nel frattempo i dati vengono inviati al server per essere usati per la registrazione automatica delle caselle email. Per il momento non vengono segnalate altre funzioni di questo trojan, e il database di Trend Micro Antivirus è già aggiornato. [Fonte Zeus News]

Tra i nuovi modelli di malware apparsi questa settimana, Panda Security segnala i virus UzaScreener.A, Winko.G e Destructor.A.
UzaScreener.A raggiunge i computer attraverso la cartella My_Personal_Data Windows. Se gli utenti cercano di aprirla, il virus si attiva. Questo codice maligno è creato per riavviare il computer tutte le volte che il codice viene eseguito. Quando il PC subisce questa operazione per dieci volte, il virus sostituisce lo sfondo del sistema con la scritta "U.Z.A. Operating system". Inoltre, il virus modifica l'immagine che appare quando il computer viene acceso e compie azioni maligne per disabilitare il task manager. UzaScreener.A mostra anche il seguente messaggio in codice: "U.Z.A O/S is a virus made by ANJ which is dedicated to his very sweet and lovely wife, AAZ... With lots of love".
Winko.G si diffonde creando copie di se stesso nel maggior numero possibile di drive, compresi i dispositivi estraibili. Realizza anche un file AUTORUN.INF, che entra in funzione tutte le volte che si accede a queste unità. Il codice maligno scarica malware appartenenti alla famiglia dei Trojan Lineage e Gamania, ideati per rubare le password dei giochi online di vari siti. Inoltre, crea nuove entrate nel registro di Windows e cancella quelle che permettono di visualizzare i messaggi di errore del sistema.
Destructor.A genera copie di sé su tutti i drive infettati in modo che il virus entri in funzione quando gli utenti vi accedono. Questo codice maligno attiva molti processi contemporaneamente rallentando il sistema. Inoltre, sostituisce lo sfondo con la scritta Destructor. Crea anche numerose entrate nel registro di Windows che gli permettono di funzionare ogni volta che il sistema viene riavviato e di cambiare la pagina iniziale di Internet Explorer. [Fonte Zeus News]

Nuova variante del temuto virus informatico netsky - Una variante del famoso Malware che dal 2004 imperversa su Internet e causa moltissimi danni, da ieri è diventato OpenSource; qualcuno ha messo nella rete BitTorrent il codice sorgente di questo Malware. Il codice sorgente è ben scritto ed è addirittura commentato, quindi può essere studiato per capire come funziona un Malware; la stranezza è che, di solito, i Virus-Writer non rilasciano il codice sorgente delle loro creazioni, quindi sarebbe da chiedere dove hanno trovato questo codice sorgente. Netsky.AE, anche noto come Skybag.a secondo la nomenclatura della società moscovita, è parimenti alla più nota variante .q un mass-mailing worm che si auto-invia ai contatti trovati nella Rubrica di Windows per mezzo del proprio engine SMTP. Il verme è inoltre in grado di copiarsi nelle cartelle condivise di diversi programmi di file sharing e di messaggistica istantanea, e dimostra una certa aggressività nel tentare di terminare i processi appartenenti a svariati software di sicurezza. Variante denominata in base a chi ha fatto il rilevamento nei seguenti modi: W32.Netsky.AD@mm [symantec] WORM_NETSKY.AF [Trend Micro] NetSky.AF [F-Secure] Win32.Netsky.AE [Computer Associates]. Netsky è un worm, con un proprio meccanismo di invio di e-mail, il quale si autoinvia a tutti gli indirizzi che trova in rubrica. Per confondersi meglio preleva dallo stesso indirizzario anche il mittente. Oltre a questo si copia in tutte le cartelle che hanno al nel nome share o sharing dal disco C al Z.

Il gatto malandrino che semina virulenza - Un simpatico micetto diffonde un virus per email, spacciandolo per una super-risata. Si chiama Zhelatin.KI e si diffonde per mezzo di un messaggio senza allegati che arriva nel mailbox con l'invito a cliccare su di un indirizzo IP accompagnato dalla scritta "View your Kitty Card now" cioè più o meno "guarda la foto del tuo gattone". L'indirizzo IP apparentemente conduce al sito SuperLaugh.com dove si vede un gatto che crepa dalle risate; ma se l'incauto clicca sul link contenuto nella pagina, scarica l'eseguibile SuperLaugh.exe che contiene il virus. Per prima cosa cercherà di disattivare tutti i programmi di sicurezza che sarà in grado di trovare, per aprire subito dopo una backdoor che permette di prendere il controllo della macchina a un utente remoto. La trovata è abbastanza ingenua e non dovrebbe fare danni a chi è sufficientemente smaliziato; caso mai il pericolo è in agguato in un momento di noia o di disattenzione, oppure se hanno accesso alla macchina persone meno avvertite come ad esempio i bambini. Vale per tutti il solito consiglio e cioè di non aprire mai le email che arrivano da sconosciuti; al limite usare uno dei tanti programmi che permettono di vederne un'anteprima ancora sul mailserver o cancellarli direttamente senza leggerle. [Fonte Zeus News]

Due nuovi ceppi di malware stanno infettando la Rete: sono i Trojan LunchLoad.A e FakeGoogleBar.M, segnalati dai laboratori Panda Security. FakeGoogleBar.M è realizzato per alterare la toolbar di Google. Quando non è installato sul Pc, vengono creati altri file che gli permettono di operare lo stesso. Le azioni maligne iniziano con la scrittura di alcuni Windows Registry che permettono a una libreria Dll di essere iniettata nel browser, in modo che, quando è in uso, il Trojan si metta in funzione. Il Trojan è anche in grado di aprire una porta sul computer e stabilire una connessione http attraverso la quale inviare al suo creatore informazioni riservate. Per ottenere questo dato, FakeGoogleBar.M registra le parole inserite dall'utente nei motori di ricerca come Google o Yahoo. Inoltre, copia tutti gli URL che contengono parole

chiavi come "bank" o ".gov". Queste informazioni rubate sono mandate all'autore del malware attraverso un sito web creato appositamente. LunchLoad.A raggiunge i sistemi con il nome di backup2_36. Quando è attivo scarica numerosi file che contengono i dati necessari all'autore per identificare il malware con il quale connettersi al computer. Per effettuare la connessione, il Trojan si allaccia a un server dal quale riceve le informazioni sul tipo di codice maligno da scaricare, su quando farlo funzionare e via dicendo. Inoltre, registra gli indirizzi MAC di ogni computer infettato. Alla fine della scorsa settimana, Microsoft ha pubblicato quattro patch News del 17/09/07 di sicurezza per rafforzare i punti deboli delle sue soluzioni. Uno di questi riguarda Microsoft Agent ed è stato classificato come essenziale. Può infatti accadere che un attentatore metta in funzione codici arbitrari su sistemi vulnerabili. Gli altri sono stati classificati come importanti e si riferiscono a Visual Studio, Windows Services per UNIX, MSN Messenger e Windows Live Messenger. [Fonte ZeusNews]

Un nuovo worm ha fatto capolino sul web distinguendosi per la propria natura particolarmente antipatica e potenzialmente oltremodo dannosa. Il nome dato dalla è Symantec: W32/Deletemp3 un worm che come fine ultimo ha la cancellazione di tutti i file musicali .mp3 contenuti sul pc. Potenzialmente a rischio tutti gli utenti in ambiente Windows. Il worm non ha al momento ampia diffusione ed il pericolo risulta essere pertanto limitato. Il worm risulta inoltre estremamente semplice da eliminare ed il possesso di antivirus Symantec aggiornato è quanto sufficiente e necessario per garantire lunga vita ai propri file. Una particolare cautela va riposta nel particolare sistema di moltiplicazione adottato dal worm: la duplicazione è portata avanti trasmettendo il file di autorun su drive esterni, il che mette a rischio ogni contatto con drive esterni e dunque con la gran parte dei player Mp3 in commercio. Il danno potenziale non è da sottovalutare: nel momento in cui si conserva una copia unica della propria discografia sull'hard disk, l'eliminazione dei file cancella la possibilità di accedere al brano imponendone un nuovo acquisto. Per collezioni particolarmente ampie, insomma, un minimo rischio va moltiplicato per l'alto valore relativo dei file e l'attenzione da riporre deve essere proporzionata al danno potenziale ottenibile. Symantec ha messo a disposizione una completa scheda tecnica sul worm con tanto di dati aggiornati sull'espansione dell'infezione, modalità di attacco e dettagli tecnici per l'eliminazione. [Fonte HTML.it]

HTML_IFRAME.CU - The Italian Job - Nuovo e potenzialmente pericoloso cavallo di troia in rapida diffusione. HTML_IFRAME.CU, così battezzato da Trend Micro, si è scatenato infettando pare oltre 4.000 siti italiani (molti, sembra, ospitati da un unico provider) di prevalente natura commerciale o dedicati all´intrattenimento e al turismo, ma sembrerebbe possa aver colpito, ad oggi, all´incirca 10.000 siti di svariate nazionalità. Il JavaScript virale, forzato da abili crackers su server web normalmente al di sopra di ogni sospetto a causa di una falla in Microsoft Internet Information Services, sfrutta alcune differenti vulnerabilità (da tempo risolte) di Internet Explorer per potersi installare nel sistema vittima semplicemente accedendo al sito infetto, creando (secondo il parere di McAfee) la seguente directory in caso di avvenuta infezione: C:\Sys{4 caratteri a caso}.exe Una volta insediatosi andrà a scaricare ed installare ulteriori ospiti indesiderati, in modo da poter attivare le procedure per cui è stato concepito: funzionalità di keylogging in grado di intercettare l´immissione via tastiera di password, numeri di carta di credito, dati sensibili. Si raccomanda di aggionare Internet Explorer specie se azione da tempo non messa in pratica, nonchè di provvedere all´aggiornamento delle definizioni del proprio antivirus. Windows Vista parrebbe essere immune alla minaccia.

Badbunny, il primo virus worm per OpenOffice - Colpisce la piattaforma open source su macchine Windows, Linux e Mac, replicandosi e scaricando un'immagine pornografica. OpenOffice da oggi un po' più simile a Microsoft Office: secondo quanto annunciato da Sophos, infatti, è nato il primo virus specifico per questa piattaforma. E tanto per non fare preferenze, colpisce tanto gli utenti Windows quanto quelli Mac e Linux. Il virus worm, noto come SB/Badbunny-A, utilizza le routine di scripting di OpenOffice per scaricare un'immagine di un uomo vestito da coniglio con una donna in abiti succinti. Se l'utente apre il file badbunny.odg (Odg è il formato nativo di OpenOffice Draw), oltre a visualizzare l'immagine infetta il Pc dell'utente, eseguendo una sequenza di macro che è differente a seconda del sistema operativo utilizzato.
Sui sistemi Windows, il worm crea il file drop.bad, che viene poi spostato all'interno del file system.ini del software di chat mIRC (se presente sul Pc). Inoltre crea badbunny.js, un file che se eseguito si replica all'interno di altri Javascript.
Sui sistemi Linux, il worm crea lo script di XChat badbunny.py, oltre al file badbunny.pl che infetta altri file in Perl.
Sui sistemi Mac Os, il worm crea uno script Ruby (badbunny.rb oppure badbunnya.rb).
Gli script vengono utilizzati per replicare il virus, oltre a tentare di trasferire via DCC (un protocollo usato su IRC) il file badbunny.odg. Il virus worm non è stato classificato come molto pericoloso, e attualmente non se ne conosce la diffusione; pare che gli autori abbiano inviato il worm direttamente ai laboratori Sophos. Graham Cluley, consulente tecnico senior dell'azienda, ha commentato che probabilmente autori di virus più "motivati" finanziariamente non avrebbero incluso un'immagine scabrosa e avrebbero scelto un software più diffuso di OpenOffice. [Fonte ZeusNews]

In rapidissima diffusione in queste ultime ore una mail di fasulla provenienza Disney che invita a visionare, in allegato, il trailer dell´ultimo film della saga dei "Pirati dei Caraibi". Il file allegato, un archivio zippato, NON contiene alcun trailer bensì un file eseguibile virale dal nome Official_Trailer_Pirates_of_the_Caribbean_At_World´s_End.exe
come si può anche osservare dall´immagine che ho realizzato dopo l´estrazione del virus dall´archivio compresso, archivio che porta il medesimo nome del trojan che giace all´interno. NON vi è alcuna possibilità di infezione a meno di non cliccare volontariamente sul file .exe per mandarlo in esecuzione.

Attivazione di Windows a pagamento: attenti al phishing - La segnalazione arriva direttamente dai laboratori Symantec i quali sul finire del mese di aprile hanno rilevato la diffusione di un nuovo malware votato al phishing che presentatosi agli utenti come una schermata di attivazione del proprio Microsoft Windows sottrae con l’inganno il numero di carta di credito della sprovveduta vittima. Il malware identificato con il nome di Trojan.Kardphisher è grande appena 1Mb d è in grado di funzionare su Windows 95, 98, NT, 2000, XP e Server 2003. Una volta installato nel sistema, subito dopo il primo riavvio mostra una scherma di Windows, assolutamente identita all’originale, nella quale viene richiesto all’utente di riattivare la propria copia del software dato che il suo numero di attivazione risulta già impiegato da un altro utente. Per far questo è necessario inserire tuttavia i dati della propria carta di credito, i quali si promette non verranno utilizzati (We will ask for you billing details, but your credit card will NOT be charged). Ovviamente è falso. Nel caso in cui l’utente decida di non riattivare il propria copia, il malware provvede allo spegnimento automatico del sistema, bloccando al tempo stesso l’utilizzo del Task Manager, quindi per la malcapitata vittima l’unica possibilità è sottostare alle richieste del phisher. Inoltre sempre secondo quanto fornito dalla Symantec anche il nuovo sistema operativo di casa Microsot, Vista risulterebbe vulnerabile al problema, nonostante il malware non sia in grado in questa versione di bloccare il task manager. L’unica soluzione per la rimozione del malware è accedere in Windows in modalità provvisoria e cancellare le stringhe create nel registro dallo stesso codice maligno. Ecco come si presenta il Trojan.Kardphisher, in due immagini fornite dal sito web Symantec.com:[Anti-Phishing] - Vedi immagini 1 - 2

Sophos segnala il Worm Silly che sfrutta le Memorie USB - Secondo quanto riporta l'azienda antivirus Sophos un avviso è stato divulgato dell'esistenza di un nuovo worm che si diffonde sfruttando i drive rimovibili come le chiavette USB, in controtendenza con i metodi più recentemente adottati dai virus writer per la distribuzione dei loro codici. Secondo quanto riporta l'azienda antivirus Sophos, W32/SillyFD-AA si lancia automaticamente quando una periferica rimovibile infetta viene collegata al computer, sfruttando un file autorun.inf nascosto, creato specificatamente per questo scopo. Il worm è in grado di rilevare drive rimovibili nel sistema (floppy disk, memorie USB, etc.) ed infettarli in modo da garantire l'esecuzione di una copia del codice nocivo al successivo collegamento dei dispositivi a PC Windows. SillyFD-AA si autocopia nei drive rimovibili in un file nascosto "handydriver.exe", ed invarie cartelle nel sistema ospite. Inoltre modifica il titolo delle finestre di Internet Explorer aggiungendo la frase "Hacked by 1BYTE" e modifica varie chiavi di registro per disattivare la visualizzazione dei file nascosti in Explorer e bloccare Regedit. Gli utenti dei computer, ad ogni modo, dovrebbero prestare molta attenzione nel collegare dispositivi non conosciuti nei loro PC, dato che potrebbero essere infettate da codici nocivi. Secondo Sophos, man mano che un numero maggiore di aziende adotta strumenti di difesa per proteggersi da virus e malware "email-aware", i cybercriminali stanno cercando altre strade di attacco meno protette per infettare utenti innocenti, come appunto le ormai popolarissime chiavette USB. Cluley aggiunge: "In questo esempio, la modifica del titolo delle finestre del browser Internet Explorer dovrebbe essere un chiaro segnale per la maggior parte delle persone che qualcosa non stia andando per il verso giusto … Inoltre indica che questa particolare variante del worm non è stata scritta con intenzioni completamente clandestine. Un criminale più motivato ed arguto non avrebbe fatto sapere in maniera così ovvia che il PC è stato violato, ma avrebbe rubato in maniera silente dal PC senza lasciare questo tipo di indizi". Gli esperti di Sophos consigliano agli utenti di disabilitare la funzioni di autorun di Windows in modo tale che i dispositivi rimovibili come chiavette USB e CDROM non vengano lanciati automaticamente quando collegati al PC. Qualsiasi dispositivo di storage collegato ad un computer dovrebbe essere inoltre analizzato in cerca di virus e altri malware prima di essere utilizzato. Floppy disk, CD ROM, chiavi USB, dischi rigidi esterni ed altri simili dispositivi sono tutti in grado di portare con se codici nocivi ed eventualmente infettare i computer di utenti incolpevoli. Sophos incoraggia le aziende a lasciare che i propri software antivirus si aggiornino automaticamente, ed a difendersi con soluzioni robuste contro virus, spyware, cybercriminali e spam. [Fonte Sophos]

IM-Worm:W32/Pykse.A il nuovo malware "scuote" Skype - Ancora gli utenti Skype nel mirino di un nuovo segnalato da F-Secure. Il virus si presenta con un messaggio, trasmesso attraverso la finestra "chat" del client VoIP, che invita a visitare un sito web straniero. Si presenta Ad una prima occhiata il link potrebbe apparire benigno poiché sembra far riferimento ad un file remoto con estensione .jpg. In realtà, sebbene il file scaricato raffiguri in effetti una giovane donna in abiti molto succinti, il worm provvede a scaricare anche il suo codice nocivo vero e proprio. Facendo leva, poi, sulle API di Skype, il malware provvede a spedirsi a tutti i contatti presenti nella "rubrica" del client VoIP. Lo stato dell'utente viene inoltre posto sulla modalità DND ("Do Not Disturb") in modo da prevenire l'arrivo di eventuali notifiche che potrebbero insospettire l'utente vittima. Sul sito di F-Secure è possibile visionare un'immagine che mostra un esempio di reindirizzamento che viene effettuato a partire dall'indirizzo visualizzato nel messaggio proposto inizialmente all'utente verso il codice malware vero e proprio. (F-Secure)

Trendi Micro segnala il ritorno di Looked, con una nuova variante PE_LOOKED.RI-O, file virus che lo scorso anno è stato protagonistadi una divulgazione notevole di Spyware che rubavano informazioni. La nuova variante funziona esattamente come la quella dei malware il codice maligno, una volta arrivato sul sistema via download o e-mail e mandato in esecuzione, si assicura prima di tutto l'esecuzione ad ogni avvio, copiando una replica del proprio codice nella posizione %Windows%\uninstall\RUNDL132.EXE e creando la seguente chiave di registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
load = "%Windows%\uninstall\RUNDL132.EXE"

In più viene rilasciato il componente %Windows%\RichDll.DLL, responsabile per le routine di propagazione via risorse condivise nel network di appartenenza. Una volta preso il possesso della macchina, LOOKED.RI-O cerca file eseguibili con estensione .exe su tutti i drive esistenti nell'intervallo di volumi C: - Z:, e prova appunto a propagarsi in rete usando i nomi utente administrator e guest con password vuota. In aggiunta, il virus prova a terminare i processi appartenenti al software Kingsoft Antivirus Service, e a connettersi a diversi indirizzi per scaricare nuovo malware.

Symantec segnala invece un trojan che prende di mira i file multimediali dell'utente e un rootkit capace di camuffarsi tra i codici maligni in the wild. Trojan.Killwma è un cavallo di troia che volta eseguito non resiede in memoria, ma infetta creando un'operazione pianificata per venire lanciato ogni 5 minuti. Nello stesso istante dell'esecuzione scatta il payload, e il malware cerca all'interno di tutte le cartelle dei dischi locali i file in formato WMA, cancellandone l'header e rendendoli di fatto inutilizzabili.
Hacktool.Unreal.A risulta il meno pericoloso stando alle informazioni pubblicate della Symantec l'agente infettivo è identificato in un proof of concept creato per nascondere la propria presenza alle attuali tecniche anti-rootkit impiegate dai software di sicurezza. Una volta in esecuzione, Unreal.A si installa come servizio all'interno dell'ADS (Alternate Data Stream) C:\:unreal.sys, impossibile da individuare da Esplora Risorse e, pare, anche con programmi specifici per rootkit. Il rootkit crea inoltre le seguenti sottochiavi di registro associate al servizio:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Unreal]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UNREAL]

Segnalazione di un pericolosissimo trojan che sta invadendo la rete, nome colloquiale "Storm Worm" alias : Trojan.Downloader-647, Trojan.DL.Tibs.Gen!Pac13, W32/Small.DAM. Il riferimento è al recente ciclone/uragano che ha colpito l´europa e che ha in allegato nella mail una serie di file *.exe che installano il trojan. Storm Worm è un trojan che giunge in forma di allegato ad una e-mail ed è in grado di installarsi sul sistema dell'utente e nascondersi dall'individuazione eseguendo un rootkit. Il trojan può essere utilizzato dall'aggressore per eseguire e installare diversi altri tipi di malware. Altri malware possono essere utilizzati per eseguire azioni nocive sul computer dell'utente o per ricevere informazioni confidenziali contenute nel computer, come credenziali di login o dati finanziari. Il Worm è stato segnato con la sigla CME-711 dal progetto Common Malware.