La Top List dei Malware che chiude il 2011!
Bochum (Germania) – 09 gennaio 2012. I GData SecurityLabs rendono nota la lista dei dieci malware più attivi nel mese di dicembre 2011. La percentuale di diffusione nel mese conclusivo dell’anno appena trascorso è la più bassa ad essere stata registrata nella seconda metà dell’anno. Di contro, però, il numero di attacchi registrati è cresciuto quasi costantemente e lo scenario dei diversi rilevamenti si fa sempre più ampio.
La classifica si rinnova con l’ingresso di due nuovi malware: Trojan.IFrame.YX, legato alla diffusione degli adware e Gen: Variant.Kazy.45847 che attacca il gioco per computer Anno 2070.
Riamane nella top 10, guadagnando adesso, il primo posto, l‘ Exploit.CplLnk.Gen già utilizzato da Stuxnet e ancora attivo; mentre sale in seconda posizione rafforzando, quindi, la sua persistenza il Trojan.Wimad.Gen.1, file audio diffuso principalmente attraverso le reti di file sharing.
Dettaglio Top 10 dei malware – Dicembre 2011.
Exploit.CplLnk.Gen
Questo exploit utilizza una verifica difettosa dei file .lnk e .pif nel trattamento dei collegamenti di Windows ed è nota come CVE-2010-2568 a partire dalla metà del 2011. Non appena una versione manipolata di questi file viene aperta in Windows per visualizzare l’icona inclusa all’interno di Windows Explorer, il codice dannoso viene eseguito all’istante. Questo codice può essere caricato da un file system locale (ad esempio da un dispositivo di archiviazione rimovibile che ospita anche il file .lnk manipolato) o tramite condivisione WebDAV su Internet.
Trojan.Wimad.Gen.1
Questo Trojan finge di essere un normale file audio .wma anche se uno di quelli che può essere riprodotto solo dopo aver installato un codec/decodificatore speciale sui sistemi Windows. Se un utente esegue il file, l’utente malintenzionato può installare tutti i tipi di codice dannoso sul sistema. I file audio infetti sono principalmente diffusi attraverso le reti di file sharing.
Java.Exploit.CVE-2010-0840.E
Questo programma malware basato su Java è un applet di download che tenta di utilizzare una vulnerabilità (CVE-2010-0840) per aggirare il meccanismo di protezione sandbox e scaricare malware addizionale sul computer. Una volta che l’applet ha ingannato il sandbox, si scarica un file .dll. Questo file non viene eseguito immediatamente ma registrato come un servizio con l’aiuto del Registro di Microsoft Server (regsvr32). Quindi, viene avviato automaticamente all’avvio del sistema.
Win32:DNSChanger-VJ [Trj]
Win32: DNSChanger-VJ [Trj] fa parte di un rootkit che cerca di proteggere altri componenti malware, ad esempio bloccando l’accesso a siti di aggiornamento per gli aggiornamenti di sicurezza e gli aggiornamenti delle firme. Qualsiasi accesso ai siti host sarà risolto a “localhost”, che lo renderà, in realtà, irraggiungibile. Questo è il motivo per cui viene chiamato DNSChanger, perché manipola risoluzioni DNS.
Worm.Autorun.VHG
Questo programma software maligno è un worm che si diffonde utilizzando la funzione autorun .inf nei sistemi operativi Windows. Utilizza supporti rimovibili come le unità flash USB o i dischi rigidi esterni. Si tratta di un worm Internet e di rete che sfrutta la vulnerabilità CVE-2008-4250 di Windows.
Trojan.AutorunINF.Gen
Si tratta di una rilevazione generica che rileva file autorun.inf dannosi, sia noti che sconosciuti. I file autorun.inf sono file di avvio che possono essere utilizzati come un meccanismo di distribuzione per i programmi informatici maligni su dispositivi USB, supporti rimovibili, CD e DVD.
Trojan.IFrame.YX
Questa rilevazione è collegata alla potenziale diffusione degli adware ed è stata riscontrata principalmente su siti di hosting gratuito. Viene controllato se l’ IP del visitatore ha già avuto accesso al sito negli ultimi 30 minuti e se il controllo ha esito negativo, il frame avvia la “consegna” di pubblicità che può essere potenzialmente infetta.
Application.Keygen.BG
Si tratta di un generatore di chiavi molto popolare nelle reti P2P e siti warez in quanto consente (presumibilmente) l’uso di software altrimenti a pagamento. L’esecuzione di questa applicazione non è solo una questione legale, ma ha molti rischi connessi alla sicurezza.
Java.Trojan.Downloader.OpenConnection.A
Questo Trojan downloader si trova in applet Java manipolate sui siti web. Quando l’applet viene scaricata, viene generata una URL dai parametri dell’applet. Il downloader la utilizza per scaricare un file maligno eseguibile sul computer dell’utente e avviarne l’esecuzione. Questi file possono essere di qualsiasi tipo di software dannoso. Il downloader sfrutta la vulnerabilità CVE-2010-0840 al fine di bypassare la sandbox di Java e quindi scrivere i dati locali.
Gen: Variant.Kazy.45847
Gen: Variant.Kazy.45847 appartiene al gruppo di programmi potenzialmente indesiderati (PUP). Si tratta di un file .dll di nome solidcore32.dll, che viene utilizzato per crepare il gioco per computer Anno 2070. La modifica del file di gioco viene rilevato come dannoso.
Metodologia
La Malware Information Initiative (MII) si basa sulla forza della community online community ed ogni utente delle soluzioni di sicurezza di G Data ne può far parte. L’unico prerequisito è quello di attivare questa funzione all’interno dei programmi G Data. Se un attacco malware viene respinto questo evento viene riportato in maniera completamente anonima ai G Data SecurityLabs dove i dati vengono archiviati ed analizzati statisticamente.
Hacker Highschool – Una guida completa al mondo Hacker
Il progetto Hacker High School ha l’intento di fornire materiali istruttivi sul mondo dell’Hacking partendo dalle basi dell’etica Hacker affrontando i principali argomenti.
L’obbiettivo è quello di formare gli utenti sul mondo della Sicurezza Informatica scoprendo le principali tematiche partendo da una corretta etica Hacker, passando dalle porte e servizi di rete per finire in un capitolo dedicato alla legislatura.
Il progetto vede il patrocinio della ISECOM e anche se è datato (2005) è ancora ad oggi un ottima guida per tutti gli aspiranti Hacker, la versione Italiana è stata realizzata grazie alla partecipazione di:
Raoul Chiesa, ISECOM
Doriano Azzena, centro CSAS del progetto Dschola IPSIA Castigliano – Asti
Sophia Danesino, centro CSAS del progetto Dschola ITIS Peano – Torino
Nadia Carpi, centro CSAS del progetto Dschola ITIS Peano – Torino
Fabrizio Sensibile, OPST&OPSA Trainer, @ Mediaservice.net Srl, Torino – ISECOM Authorized
Training Partner
Claudio Prono, @ Mediaservice.net Srl, Torino – ISECOM Authorized Training Partner
È possibile scaricare i dodici capitoli del manuale attraverso i seguenti link:
| Lezione 01 – Essere un hacker | 26-01-05 |
| Lezione 02 – Windows e Linux | 26-01-05 |
| Lezione 03 – Porte e Protocolli | 26-01-05 |
| Lezione 04 – Servizi e Connessioni | 26-01-05 |
| Lezione 05 – Identicazione del Sistema | 26-01-05 |
| Lezione 06 – Malware (Virus, Trojan, etc.) | 26-01-05 |
| Lezione 07 – Analisi di un attacco | 26-01-05 |
| Lezione 08 – Digital Forensics “casalinga” | 26-01-05 |
| Lezione 09 – Sicurezza nell’E-mail e Privacy | 27-01-05 |
| Lezione 10 – Sicurezza Web e Privacy | 24-07-06 |
| Lezione 11 – Le Password | 27-01-05 |
| Lezione 12 – Internet: Legislazione ed Etica | 31-07-06 |
Un Malware potrebbe colpire i device Jailbroken di Apple
Il ricercatore indiano Atul Alex ha annunciato di dimostrare durante il MalCon 2011 un nuovo Malware in grado di introdursi in un dispositivo Apple iOS non solo compromettendo la privacy dell’utente con la possibilità di estrapolare informazioni sensibili ma sarà possibile prendere il pieno controllo del dispositivo.
I dispositivi vulnerabili sono tutti quelli dotati di iOS, compreso il recentissimo iOS 5, pertanto iPod Touch, iPad, iPhone e Apple TV . Il Malware sarà in grado di controllare il dispositivo tramite SMS, accedere alle eMail e alle Note, recuperare dati sensibili contenuti nel dispositivo (foto, registrazioni, video, ecc ecc), registrare le telefonate e visualizzare istantaneamente l’interazione dell’utente con il dispositivo attraverso una VNC.
È possibile essere infettati dal Malware accedendo semplicemente ad una pagina WEB e uno script creato ad hoc provvederà all’installazione del virus che risulterà completamente invisibile all’utente.
Gli utenti vulnerabili sono esclusivamente quelli in possesso di un dispositivo Jailbroken, ovvero con i permessi di root abilitati, lo stesso ricercatore dichiara:
“Apple products are extremely secure by design. The malware works on jailbroken devices – something which over 90% of users have. If your device is not jailbroken, you have nothing to worry about!”.
La dimostrazione della vulnerabilità avverrà il prossimo 26 Novembre 2011 durante il MalCon, conferenza internazionale dei Malware.
[VIDEO] Analisi dell’attacco alla RSA
In diversi luoghi ho parlato dell’attacco avvenuto alla RSA Security lo scorso Giugno 2011 oggi voglio invece mostrarvi un video realizzato da J. Oquendo nel quale viene analizzata la prima fase dell’attacco. Per introdursi nell’azienda è stata utilizzata la tecnica di Spear Phishing inviando ad un dipendente della nota società di sicurezza informatica una eMail contenente una file Excell nel quale vi era con codice VBScript che sfruttava una falla 0Day di Adobe Flash Player.
Grazie a questa escalation è stato possibile accedere ai sistemi interni della RSA Security sottraendo una o più Master Key in grado di generare i codici dei Token OTP (One Time Password).
Nel video vengono utilizzate le principali tecniche ed utility di OSINT (Open Source INTelligence).
uTorrent sotto attacco, il software rimpiazzato da un Malware!
Nella nottata il famoso portale uTorrent è stato preso di mira da ignari cracker che hanno provveduto a sostituire i file eseguibili del noto software di p2p con un malware denominato “Security Shield”.
L’attacco è accaduto alle 4:20 am (ora del Pacifico) e dopo due ore il server è stato correttamente ripristinato, ma chi in quell’intervallo ha scaricato il software rischia di infettare il proprio sistema con il malware.
Inizialmente sembrava che anche il portale BitTorrent fosse stato vittima dell’attacco ma il comunicato stampa ufficiale ha scongiurato tale possibilità.
Potete leggere tutti i dettagli dell’evento sul comunicato stampa ufficiale.
