Segnalata dai laboratori PandaLabs l'arrivo di un nuovo trojan, PGPCoder.B, progettato per “ricattare” gli utenti. L'estorsione si attiva il momento in cui l’utente va a eseguire l’allegato al messaggio, il trojan cripta tutti i file che trova nel PC con determinate estensioni ed esige l’acquisto di un’applicazione per far tornare il PC allo stato originale. Dopo la cifratura dei file, viene visualizzato un file di testo con il seguente messaggio:
Some files are coded.
To buy decoder mail: md56@mail.ru
with subject: PGPcoder md56
La diffusione del trojan attualmente è molto limitata. PGPCoder.B infatti non ha la capacità di autoinviarsi via posta elettronica, ma deve essere distribuito direttamente dall’autore. Può comunque diffondersi anche tramite FTP, download via Internet, sistemi peer-to-peer. Le piattaforme interessate sono: Windows 2003/XP/2000/NT/ME/98/95

Divulgato dai laboratori PandaLabs un nuovo Trojan - Sikou.A -, che si diffonde attraverso un documento di Microsoft Word. Il Trojan è stato trovato in un documento di Word progettato per sfruttare la vulnerabilità MS03-037 di Microsoft che consente al Trojan di accedere al sistema nel momento in cui l'utente apre il documento. Una volta avviato inizia la sua installazione inserendo una copia di sé nella cartella del sistema e installando due file, uno dei quali contiene la funzioni del Trojan, l'altro è invece un driver che permette di nascondere le attività del codice maligno all'utente del sistema, così da rendere complicata la rilevazione del malware. Il Trojan una volta installato e nascosto cerca di accedere a un file di testo collegato ad un indirizzo Internet, che contiene un secondo indirizzo e una porta dove accederà in un secondo momento. Questo file può essere aggiornato periodicamente dall'autore del malware, in modo che le localizzazioni alle quali accede il Trojan varino e sia più complesso neutralizzarlo. Le piattaforme interessate sono: Windows XP/2000/NT/ME/98

Se avete la vostra casella invasa di e-mail, allora è probabile che si tratti di spam prodotti da sistemi "infettati" dal trojan Sober.Q.
Infatti alcune varianti del worm Sober in questi giorni hanno infettato ben l'80% dei PC, proponendosi all'ignaro utente con delle e-mail esca del tipo: "Complimenti, hai vinto due biglietti per i prossimi mondiali di calcio". Adesso, il trojan Sober.Q, ha iniziato ad inviare spam utilizzando i sistemi precedentemente infettati dalla variante Sober S.
L'oggetto dei messaggi inviati da Sober.Q può contenere uno dei seguenti testi (ma sono possibili anche molte altre varianti):
'4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass'
'Auf Streife durch den Berliner Wedding'
'Auslaender bevorzugt'
'Deutsche Buerger trauen sich nicht ...'
'Auslaenderpolitik'
'Blutige Selbstjustiz'
'Dresden 1945'
'Gegen das Vergessen'
'Deutsche werden kuenftig beim Arzt abgezockt'
'Tuerkei in die EU'
'Vorbildliche Aktion'
'60 Jahre Befreiung: Wer feiert mit?'
'Multi-Kulturell = Multi-Kriminell'
'Turkish Tabloid Enrages Germany with Nazi Comparisons'
'The Whore Lived Like a German'
'Armenian Genocide Plagues Ankara 90 Years On'
'Schily ueber Deutschland'
Una riflessione da fare è quella di prendere in seria considerazione la soluzione di installare un antispam. Software consigliato

L'azienda Trend Micro informa l'utenza di una una nuova minaccia, di livello medio, di un un worm che contiene al proprio interno un programma spyware. Il worm si diffonde via posta elettronica con nomi di vari subject (details, girls, image, love, message, giusto per citarne alcuni) e un allegato in formato zip. Una volta avviato, il worm deposita una propria copia nella cartella di sistema di Windows usando un nome di file casuale. La caratteristica da sottolineare è che il worm registra nella cartella di sistema anche un file DLL che corrisponde a un componete di IESpy, un programma spyware. Wurmark.J è in grado di memorizzare i tasti digitati dall’utente, salvando i log all’interno di una cartella di un file DLL casuale.

La software house Trend Micro informa che un virus come Crowt.B non è da sottovalutarsi sebbene non sia stato attribuito un livello di rischio alto ma può causare danni per le sue potenzialità di diffusione. Il virus Crowt.B, infatti, una volta eseguito, deposita diversi suoi file nocivi all'interno del sistema quindi - tramite il suo motore SMTP integrato - comincia ad inviare e-mail ai contatti di posta elettronica reperiti nella rubrica di Outlook. Il testo dei messaggi inviati è composto estrapolando informazioni dal sito news.google.com.
Il worm non si limita semplicemente a l'ivio di e-mail ma apre anche una backdoor sul computer infettato che grazie ad essa è possibile da un remoto che un utente malintenzionato possa essere in grado di copiare file, verificare la versione del sistema operativo in uso, eseguire processi, cancellare i cookie, scaricare file, registrare la sequenza dei tasti premuti dall'utente, catturare screenshot sul pc "vittima", terminare applicazioni, chiudere e riavviare il sistema. Inoltre il worm rappresenta anche un rischio per il file HOSTS memorizzato che è possibile trovare in locazioni differenti a seconda della versione di Windows che si sta utilizzando (in Windows NT/2000/XP/2003 è in genere salvato nella cartella C:\WINDOWS\SYSTEM32\DRIVERS\ETC mentre in Windows 9x/ME nella cartella d'installazione di Windows); infatti può modificare il contenuto interno in modo tale che digitando gli URL di siti web famosi e fidati, potrebbe ritrovarsi su siti maligni senza accorgersene. Si suggerisce di tenere sotto controllo il contenuto del vostro file HOSTS.

La Websense Security Labs lancia un allarme su false e-mail che invitano gli utenti ad aggiornare Windows. Il messaggio dall'apparenza inostile e che sembra provenire da Microsoft, contiene un link a un sito ospitato in Australia con una intefaccia del tutto simile alla pagina per gli aggiornamenti del sito Microsoft corretto. L’utente è invitato a scaricare l’aggiornamento denominato Wupdate-20050401.exe ma che in realtà contiene un trojan (Troj/DSNX-05) che una volta installato sulla macchina apre una backdoor che consentirebbe a un cracker di entrare nel sistema ospite e di controllarlo da remoto. Inoltre iltrojan prende possesso di tutte le risorse di sistema, andando ad attivare processi in continuazione. Si consiglia di prestare molta attenzione alle e-mail ricordando che la Redmond non dispone delle e-mail degli utenti Windows.

Nuovo virus per Smartphone che si chiama Frontal.A. La F-Secure ha recentemente scoperto un Trojan in grado di infettare i sistemi Smartphone con sistema operativo Symbian. Questo virus, in grado di attaccare e corrompere i file .sis dell'SO, compromette talmente il sistema da non consentirgli più di riavviarsi alla successiva accensione dell'unità. Inoltre, come se non fosse sufficiente il danno arrecato, corrompe "l'application manager" di modo che, fintanto che l'infezione è in corso, si rende impossibile installare o disinstallare ulteriori applicativi. Il suo metodo di attacco fortunosamente non è analogo a quello addottato dagli ancora più pericolosi Commwarrior.A e Mabir.A, capaci di diffondersi tramite MMS e Bluetooth; infatti in questo caso l'unico sistema per contrarlo è quello di far girare un eseguibile già infetto, o sorgente, scaricato dalla rete o pervenuto tramite mail. Attualmente però l'unico metodo di rimozione consiste nell'eseguire una formattazione completa dell'SO, cosa che risulta certamente scomoda e fastidiosa, dato che può comportare la perdita di preziosi dati.

Un nuovo virus che si chiama Mabir che attacca i cellulari con sistema operativo Symbian Serie 60, fratello maggiore di Cabir, il worm utilizza per diffondersi oltre al Bluetooth anche gli MMS. Quando Mabir.A infetta il cellulare, inizia a cercare telefonini con Bluetooth attivo nelle vicinanze, per poi inviare i file SIS infetti. Il nome dei file inviati è caribe.sis, lo stesso di Cabir, ma Mabir infetta altri telefoni anche via SMS e MMS. Ogni volta che un messaggio arriva sul cellulare infetto, Mabir risponde al mittente inviando un MMS con allegato il file info.sis. L’MMS è privo di testo. Cancellando l’allegato senza installare il file SIS, il worm non può infettare il telefonino. Il nuovo virus non crea danni e può essere rimosso con appositi programmi. I principali produttori di antivirus hanno già provveduto ad aggiornare le definizioni dei file. E’ consigliabile per chi possiede un cellulare Symbian serie 60 con Bluetooth, mettere il terminale in modalità invisibile e non installare file SIS di dubbia provenienza. /R3 [Articolo originale]