.:: Securnetwork.net Blog – Massimo Rabbi ::.

Gli sviluppatori SquirrelMail ha annunciato il rilascio della versione 1.4.18 del loro webmail frontend opensource.
Gli update risolvono numerosi problemi di sicurezza, incluse vulnerabilità di tipo XSS (cross-site scripting) e un fix sulla gestione delle sessioni che consentiva di “rubare” le credenziali di login di un utente.
Patchata anche la possibilità eseguire codice server-side: non ci sono molti dettagli a riguardo.
Aggiunti il supporto per tre nuove lingue e miglioramenti ai meccanismi dei filtri e della rubrica.

Link per effettuare il download della nuova versione 1.4.18.

Riferimenti:
– Security Update for SquirrelMail, by Heise Security

Secondo quanto riportato sul wiki di Mozilla, le prossime versioni di Firefox utilizzeranno due processi distinti per interfaccia grafica e gestione dei contenuti web delle pagine.
A differenza di Google Chrome e Internet Explorer 8, i tab non avranno processi dedicati: questa modifica è “prevista” molto più avanti nel tempo.

Gli sviluppatori Mozilla affermano che i vantaggi saranno tutti in performance e stabilità: utilizzare processi separati per l’UI e per i contenuti consentirà di avere un browser che non si blocca quando ci sono problemi con un sito web. Le versioni attuali di Firefox sono costituite da un unico processo.
Un’anteprima semi-funzionante del browser è prevista per metà luglio, seguita dal rilascio della maggior parte del codice per l’inizio di Novembre assieme a tweaks su performace e stabilità.
Ignota invece la data di un rilascio finale.

Mozilla sta altresì prendendo in considerazione l’idea di utilizzare lo stack di rete “preso” da Chromium per rimpiazzare Necko, la loro libreria di rete.

RIFERIMENTI:
- Future Firefox to run separate processes, by Heise Open Source

Twitter ha definitivamente confermato che si è verificato un accesso non autorizzato alla sua interfaccia amministrativa.
Il blog francese Korben ha pubblicato gli screen-shots in cui vengono mostrati i dettagli degli account appartenenti a Ashton Kutcher, Lily Allen, Britney Spears e Barack Obama.
Nelle immagini si vedono statistiche di accesso, indirizzi email, block lists ma non le password.

Stando a quando dichiarato da Graham Cluley di Sophos, il cracker avrebbe avuto accesso all’interfaccia di admin dopo aver indovinato la “domanda segreta” dell’account email di un impiegato di Twitter.
Questo gli ha cosi’ consentito di resettare la password e di individuare le credenziali di login dell’impiegato nella casella di posta.
Twitter afferma, dopo aver esaminato l’accaduto, che solamente dieci account personali sono stati “violati”. In ogni caso non sono state modificate le password o consultati i messaggi personali.
Verrà ora condotto un audit più approfondito di tutti i sistemi interni e verranno adottate ulteriori misure di sicurezza contro tentativi di intrusione.

RIFERIMENTI:
- Twitter vu de l’intérieur – Interface admin piratée !, Korben blog
- Twitter confirms security breach, by Heise Security

Felix Leder e Tillmann Werner dell’università di Bonn hanno analizzato il worm Conficker e hanno scoperto che cambia il modo in cui Windows risponde ad alcune chiamate di sistema.
Questa caratteristica puo’ quindi essere sfrutta per individuare in maniera remota i sistemi che sono stati infettati dal worm.

In particolare invocando la funzione NetpwPathCanonicalize(), che contiene la vulnerabilità attraverso cui il worm si diffonde.
Quando la macchina è infetta, Conficker intercetta e gestisce le chiamate a questa funzione, modificando in alcuni casi le risposte.
Affinchè questo test abbia successo è necessario che la porta TCP 445 sia accessibile.
Tipicamente questa porta non è accessibile (e non dovrebbe esserlo) attraverso da Internet.

Leder e Werner hanno realizzato uno scanner per dimostrare la veridicità di quanto scoperto.
In collaborazione con Dan Kaminsky, hanno inoltrato l’informazione al Conficker Working Group e altri esperti di sicurezza.
In questo i tool di scansione disporranno presto di questa funzionalità: in particolare Kaminsky ha annunciato estensioni per nmap, Tenable (Nessus), McAfee/Foundstone, ncircle e Qualys.
A quanto pare domani 1 aprile Conficker.C scaricherà da Internet degli aggiornamenti al proprio codice.
Gli effetti di questi updates non sono al momento conosciuti.
Attualmente molti produttori anti-virus offrono tools specifici per rimuovere Conficker.
In ogni caso la soluzione migliore per un sistema infetto è la reinstallazione del sistema operativo e l’eventuale ripristino di una copia “pulita” dei dati di backup.

RIFERIMENTI:
* German researchers develop network scan for Conficker worm, by Heise Security
* Detecting Conficker, announcement from the Honeynet Project.
* Scanner download, a ZIP file.

Mozilla ha rilasciato la versione 3.0.8 di Firefox.
L’aggiornamento, annunciato martedi’, era previsto per la settimana prossima, ma il pericolosissimo bug scoperto nei giorni scorsi (e relativo exploit) ha costretto a rilasciare in anticipo l’update.

Gli aggiornamenti sono disponibili per le piattaforme Windows, Mac OS X e Linux, e fixano due vulnerabilità.
Uno è per l’appunto il problema legato al parsing XSL, scoperto da Guido Landi e precedentemente segnalato da un utente della comunità Ubuntu come problema di stabilità.
L’altra vulnerabilità riguarda la possibilità di eseguire codice, legata ad un bug del metodo XUL tree. Questo bug è stato reso noto da Nils al Pwn2Own 2009.

Disponibili le Release Notes di Firefox 3.0.8.

RIFERIMENTI:
- Firefox 3.0.8 now available, by Heise Security

Hewlett-Packard ha reso disponibile un tool free per individuare problemi di sicurezza nelle applicazioni Flash.
SWFScan è infatti un tool per sistemi Windows dedicato a tutti quegli sviluppatori Flash interessati a rendere più sicure le proprie realizzazioni in Flash.

Il software una volta preso in input l’SWF da analizzare è in grado di decompilare il bytecode ActionScript 2/3 in codice sorgente originale, permettendone la scansione, alla ricerca di oltre 60 vulnerabilità conosciute.
Il tool è in grado di controllare svariati tipi di vulnerabilità, inclusi problemi di escalation di privilegi cross-domain, cross-site scripting (XSS) e altri leak nella sicurezza di informazioni confidenziali.
A tutto questo si aggiunge un check con le “best practices” di Adobe in fatto di sicurezza.

Stando a quanto riferito da Billy Hoffman, manager dell’HP Web Security Research Group, durante la fase di testing, gli autori hanno scaricato e scansionato col tool oltre 4000 applicazioni Flash in giro per la rete.
All’incirca il 35% di queste viola alcune delle security best practices di Adobe.
Dati sensibili come chiavi di crittazione, username e password sono spesso memorizzate nel codice Flash client-side.
Inoltre su 250 applicazioni con un form di login, ben il 15% conteneva username e password hard-coded.
E’ disponibile un video che dimostra come questi tipi di vulnerabilità in applicativi Flash possono essere sfruttati.

Il tool supporta tutte le versioni pubbliche di Flash e include delle funzionalità in grado di identificare e evidenziare pratiche di programmazione non sicura, suggerendo di volta in volta le best practices.
SWFScan consente agli sviluppatori di fare auditing anche su applicazioni di terze parti, senza avere accesso ai sorgenti originali.
Maggiori informazioni si possono trovare sulla pagina delle FAQ di SWFScan.

RIFERIMENTI:
- HP publishes free security tool for Flash developers, by Heise Security
- Creating more secure SWF web applications, report from Adobe.

Il team di sviluppo di PHP ha rilasciato la nuova versione 5.2.9 includendo oltre 50 bug fixes e alcune patches di sicurezza.
In particolar modo la funzione imagerotate() non effettuava in maniera corretta la validazione dei colori, dando cosi’ modo ad un potenziale attaccante di leggere in maniera arbitraria la memoria e di accedere a informazioni sensibili.
Altamente consigliato l’upgrade alla nuova release.

Riferimenti:
- PHP 5.2.9 Release Announcement
- PHP 5.2.9 published, by Heise Security

E’ già in circolazione un exploit che sfrutta una recente vulnerabilità scoperta in ProFTPD 1.3.1.
Stando all’Internet Storm Center, sarebbero già cominciati i primi tentativi di sfruttare la vulnerabilità per ottenere l’accesso a server ftp in giro per il web.

La falla riguarda i moduli mod_sql_mysql e mod_sql_postgres utilizzati da coloro che hanno abilitato l’autenticazione degli utenti da database SQL.
L’attacco è di tipo SQL injection: mediante username e passwords “creati” usando caratteri multi-byte è possibile bypassare i metodi di “string escaping” e eseguire codice SQL.
Questo puo’ consentire di rilevare ad esempio la lista degli utenti o addirittura di effettuare un reset delle passwords.
Tutte quelle installazioni che usano un’autenticazione utente basata sul s.o. non corrono alcun rischio.

La versione 1.3.2 che corregge il problema è già disponibile.
A breve dovrebbe essere rilasciata anche una patch per le versioni 1.3.1.
A ruota dovrebbe seguire gli aggiornamenti automatici forniti da tutte le maggiori distribuzioni Linux.

Riferimenti:
- Encoding-dependent SQL injection vulnerability, ProFTPD bug report with patch.
- SQL injection vulnerability in ProFTPD closed, by Heise Security

Graham Cluley di Sophos, nel suo blog avverte i lettori del ritorno di attacchi di phishing mediante Google Calendar.
Originariamente scoperto questa estate, il fenomeno riguarda l’uso di inviti ad eventi attraverso Google Calendar con la classica domanda del “verifica il tuo account”.
Agli utenti viene infatti chiesto per accettare l’invito di confermare la loro username, password e data di nascita.

I tentativi di phishing sembrano provenire da account email del tipo:
customerserviceXXXX@gmail.com
dove XXXX è un numero di 4 cifre.
Una volta cliccato, agli utenti viene presentata una vera pagina di evento Google Calendar che contiene numerosi errori grammaticali.
Il contenuto è simile a questo “we are having congestions due to the anonymous registration of Gmail accounts so we are shutting down some Gmail accounts”. Dopo di che viene richiesto di confermare le proprie credenziali.

Informazioni aggiuntive:
- Google Calendar Phishing returns, by Heise Security
- Phishing with Google Calendar, Graham Cluley’s blog

Secunia e IVIZ Techno hanno pubblicato degli advisories riguardanti alcuni virus scanners.
Un controllo ActiveX vulnerabile dello scanner online Trend Micro HouseCall puo’ consentire di infettare un pc semplicemente visitando un sito web malevole.
Il problema è stato riscontrato nelle versioni House Call 6.51.0.1028 e 6.6.0.1278.
Gli utenti dovrebbero rimuovere il file Housecall_ActiveX.dll e visitare nuovamente il sito web House Call cosi’ da installare la versione piu’ recente 6.6.0.1285.

ESET Smart Suite per Windows è invece interessata da un problema riguardante il driver epfw.sys: sarebbe possibile ottenere i privilegi di sistema utilizzando particolari richieste IOCTL.
E’ già stato rilasciato un aggiornamento che fixa il problema.

Per quanto riguarda AVG per Linux è stata riscontrata una falla nel parsing dei pacchetti UPX che potenzialmente puo’ essere usata per code injection exploits.
La versione interessata è la 7.5.51 e non c’è alcuna patch disponibile al momento.
Problemi anche per la versione linux di BitDefender che soffre di integer overflows in fase di analisi di binari PE corrotti compressi con i packers Neolite o ASProtect.
In questo caso pero’ la casa madre ha già fixato il problema nelle versioni successive alla 7.6.0825.
Sempre in ambito Linux problemi di crash per Sophos SAVScan 4.33.0 che nella scansione di alcuni tipi di file compressi (con i packers Armadillo, ASProtect, asprotectSKE, CAB).
A quanto pare sono stati risolti i problemi con i file .CAB ma non con gli altri.
A chiudere la lista una vulnerabilità in Avast per Linux v1.0.8 (trial) già eliminata nelle successive (disponibile per il download la 1.2.0).

Ulteriori informazioni:
- Vulnerabilities in several virus scanners by Heise Security
- Trend Micro HouseCall “notifyOnLoadNative()” Vulnerability, Secunia advisory
- Bitdefender antivirus for Linux multiple vulnerabilities, iViZ advisory
- ESET Smart Security (epfw.sys) Privilege Escalation Vulnerability, NT Internals advisory
- Sophos Anti-Virus fuzzed CAB archive vulnerability reported; Sophos advisory
- Sophos Antivirus for Linux, iViZ advisory
- AVG antivirus for Linux, iViZ advisory
- Avast antivirus for Linux multiple vulnerabilities, iViZ advisory

Alcuni impiegati della compagnia americana di fonia mobile Verizon Wireless hanno avuto accesso in modo non autorizzato ad un account telefonico del neo-presidente eletto Barack Obama, dando una sbirciata tra i “dati personali”.
In una nota stampa, la compagnia ha fatto sapere che l’account è rimasto inattivo per parecchi mesi e che Obama l’ha usato unicamente per effettuare traffico voce da un normale cellulare: non quindi un Blackberry o uno smartphone in grado di supportare e-mail e servizi dati di ultima generazione.

Il numero dei dipendenti un po’ troppo curiosi non è stato reso noto, tuttavia la compagnia sta investigando a riguardo. Gli impiegati un po’ troppo zelanti sono stati momentaneamenti sospesi.
Questo spiacevole episodio mette nuovamente in evidenza il problema della sicurezza nelle comunicazioni per chi ricopre cariche cosi importanti.
La necessità inoltre di archiviare documenti ufficiali quali le stesse e-mails, porterà sicuramente Obama dal 20 gennaio 2009 (data di insediamento alla Casa Bianca) in poi a valutare soluzioni alternativa al semplice Blackberry di cui sembra fare parecchio uso negli ultimi tempi.

RIFERIMENTI:
- Verizon staff break into Obama’s cell phone account, by Heise Security
- Personal Cell Phone Account of President-Elect Obama Accessed by Unauthorized Employees

Un gruppo di crackers sarebbe riuscito a rubare informazioni ad una società che fabbrica missili e armi e con sede in Corea del Sud. Stando alle notizie trapelate l’operazione sarebbe stata possibile grazie all’installazione di malware nei sistemi informatici della compagnia.

Il National Security Research Institute avrebbe infatti riferito che la rete informatica oggetto di questi attacchi è quella della LIGNex1 Hyundai Heavy Industries, società che produce missili teleguidati, armi terra-aria, navi da guerra e sottomarini.

Un portavoce ha detto che “i possibile sospetti ricadono su black hat cinesi o nord coreani, ma non è ancora certo quali informazioni sia state effettivamente rubate… La peggiore delle ipotesi è che siano stati sottratti i blueprints di alcuni missili e della nave Aegis”.
Quel che invece è sicuro è che la backdoor è stata installata già a marzo ed è stata individuata solamente il mese scorso.

FONTI E APPROFONDIMENTI:
- Hackers penetrate South Korean missile manufacturer, by The Register
- South Korean defence suppliers uncover malicious code
- Defense Industries Assailed by Hackers

Personalmente ho utilizzato Prototype abbastanza da ritenerlo un ottimo “strumento” per realizzare piccole “chicche” in Ajax o per semplici operazioni quali il classico “document.getElementById()”.
Mi sono capitate però sottomano un paio di pagine interessanti.
Nella fattispecie:
- Dojo vs JQuery vs MooTools vs Prototype Performance Comparison
- SlickSpeed Selectors Test
Inutile dire che la lettura e l’esecuzione dei test ha scatenato in me un grosso interesse: in particolare verso Dojo che a quanto pare sembra il “migliore” di tutti.
Prototype invece non esce molto bene classificandosi in coda.
Giusto per sfizio mi sa daro’ un occhio a Dojo.

Qualcuno di voi ha esperienze a riguardo ? Consigli ?

Il security provider Websense ha individuato un caso riuscito di DNS cache poisoning nei confronti dei name servers di uno dei piu’ grandi ISP cinesi.
Gli utenti Netcom infatti sono stati re-indirizzati verso pagine contenenti exploits per RealPlayer, MS Snapshot Viewer, Adobe Flash Player e Microsoft Data Access Components.

I crackers non hanno modificato i record di siti web importanti, ma hanno semplicemente modificato l’indirizzo della pagina pubblicitaria dell’ISP.
La maggior parte dei clienti arriva a questa pagina quando per esempio sbaglia a digitare l’url di un qualsiasi sito web. Gli ISP usano questo metodo di redirection, conosciuto anche come Typosquatting, per pubblicizzare la disponibilità di domini e di prodotti correlati.
A seguito dell’attacco tuttavia i clienti non raggiungono la pagina del provider, bensi’ una serie di pagine contraffatte e riempite di ogni sorta di trojan e malware.

Molto probabile quindi che i name servers di Netcom non siano stati adeguatamente patchati.
Gli unici attacchi “ufficiali” di cache-poisoning sono stati quelli che hanno visto coinvolta AT&T.
All’ultima conferenza Black Hat, Dan Kaminsky ha riportato lo stato attuale di patching dei sistemi delle compagnie all’interno della Fortune 500: il risultato è che attualmente il 70% di essi hanno applicato le dovute contromisure mediante aggiornamenti mirati.

Riferimenti:
* DNS poisoners hijack typo domains, by Heise Security
* China Netcom DNS cache poisoning, warning from Websense

Da un po’ di tempo a questa parte ho abbandonato definitivamente Dreamweaver come ambiente di sviluppo web e php.
Visto che per lavoro utilizzo quotidianamente Eclipse, ho pensato di impiegare questo ottimo IDE oltre che per lo sviluppo J2EE anche per piccoli progetti PHP.
E l’ho fatto mediante Aptana.
Aptana Studio è un IDE per lo sviluppo web e ajax, Eclipse-based, che puo’ essere utilizzato come applicazione standalone oppure come plugin per una installazione esistente di Eclipse.
Io ho appunto optato per quest’ultima soluzione.
Per incorporarlo in una installazione già esistente di Eclipse (nel mio caso una Eclipse Europa 3.3) è sufficiente seguire le istruzioni reperibili a questo indirizzo.
Una volta fatto questo per avere a disposizione anche strumenti e funzionalità di sviluppo PHP è sufficiente integrare l’apposito plugin (qui le istruzioni).

Dopo questa digressione su Aptana, tornando all’argomento vero e proprio del post, volevo porre l’accento su un bug che interessa la modalità di editing via FTP.
Per comodità e rapidità puo’ rivelarsi necessario intervenire direttamente via ftp su un sito/webapp già presente per modificare alcuni file o aggiungerne di nuovi in maniera immediata.
Nel far questo bisogna prestare attenzione al fatto che di default Aptana crea i nuovi file con permessi settati a 666 o rw-rw-rw.
Questa soluzione puo’ pero’ creare problemi in alcuni contesti.
Molti servizi di hosting infatti per motivi di sicurezza precludono la possibilità di impostare per file e cartelle il (w)rite bit per “All Users” e “Group Users”.
Questo comportamento è dovuto spesso all’uso di suphp (modulo per apache) o altri tool simili.
Accedendo quindi alla propria pagina php ci si potrà cosi’ trovare di fronte ad un bel messaggio d’errore “Server 500…etc.etc.”.
Va detto che per le modifiche sui file non v’è alcun problema (almeno non l’ho riscontrato), pero’ per i nuovi file che vengono creati si.
La soluzione sta quindi nel modificare a mano i permessi per i nuovi files a 644 o rw-r–r– o caricarli via qualche client ftp come Filezilla.

Attualmente infatti a quanto pare non v’è possibilità di cambiare i permessi dei file direttamente da Aptana o almeno questa funzionalità è preclusa per gli utenti della Community Edition.
Gli utenti della versione Pro invece possono intervenire seguendo queste istruzioni.

Sul forum di supporto di aptana si trovano parecchi topic a riguardo, tant’è che è stata aperta anche una segnalazione (STU-1792) sull’apposito sistema di bug tracking.
A quanto pare con la prossima versione 1.2 di Aptana dovrebbe venire introdotta una finestra di opzioni per consentire di impostare i permessi di default da assegnare ai nuovi file remoti.

Concludo semplicemente confermando la bontà di questo plugin e il consiglio per chi sviluppa webapp in Java di integrarlo comunque visto l’ottimo sistema di code assist/formatting e syntax highlighting/validation per i linguaggi Javascript, Html e Css.

In un security bullettin, gli sviluppatori del CMS Drupal hanno reso noto alcuni problemi di sicurezza che interessano le versioni 5.x e 6.x. Le maggior parte sono state classificate come “highly critical”.

Accanto ad un problema di cross-site scripting (XSS), vengono elencate due possibili attacchi di tipo cross-site request forgery (CSRF).
Problemi per il modulo di upload di Drupal 6 che contiene vulnerabilità che rendono possibile un’escalation di privilegi da parte degli utenti che hanno impostato il permesso “upload files”.
Altra vulnerabilità legata l’upload riguarda il modulo BlogAPI che non effettua una corretta validazione delle estensioni dei file caricati.

Disponibili per il download le versioni aggiornate 5.10 e 5.4 e le relative patches per versioni precedenti.

RIFERIMENTI:
* Security updates for Drupal CMS, by Heise Security
* SA-2008-047 – Drupal core – Multiple vulnerabilities, security advisory by the developers

Gli sviluppatori del noto CMS Joomla hanno fatto sapere che è già in circolazione un pericoloso exploit che sfrutta una vulnerabilità presente nelle versioni del software dalla 1.5.x alla 1.5.5.
Il bug riguarda la funzionalità di password reset e potenzialmente può consentire ad un utente di ottenere l’accesso amministrativo al CMS.

Quando viene richiesto un password reset viene inviato via mail un token.
Il problema risiede nel sistema di validazione del token quando questo viene presentato dall’utente: la falla consente infatti ad un utente non autorizzato e non autenticato di effettuare il reset della password del primo utente abilitato.
Tipicamente il primo utente attivo è quello dell’amministratore: ecco spiegata la pericolosità del bug.
Il team di Joomla fa notare come cambiando lo username dell’account di amministratore può limitare l’impatto del problema visto che l’attaccante sa solamente che sta andando a resettare la password del primo account registrato e deve indovinarne il login name.

Consigliatissimo quindi l’upgrade alla versione 1.5.6 o l’applicazione diretta della patch all’installazione esistente.
E’ necessario intervenire sul file: /components/com_user/models/reset.php
Aggiungere dopo global $mainframe, alla linea 113, il seguente snippet di codice:

if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}


Riferimenti:
- Joomla suffers already-exploited critical vulnerability, by Heise Security
- Joomla 1.5.x Remote Admin Password Change, by Milw0rm

AVG Technologies, produttore dell’omonimo software per la sicurezza su internet, annuncia che il suo prodotto, AVG Free 8.0, è stato scaricato da più di un milioni di utenti italiani attraverso www.html.it nel giro di un solo mese, dal 14 giugno al 14 luglio 2008.

AVG Free risulta così l’applicazione più scaricata in assoluto in un periodo di tempo così breve (v. http://download.html.it). Da aprile, quando è stato lanciato il prodotto in inglese sul mercato, gli italiani che lo hanno scaricato da html.it sono circa 3.300.000.

L’altissimo numero di download raggiunto conferma quanto AVG sia davvero apprezzato dagli utenti. AVG Free è il software più scaricato su html.it tra il 14 Giugno e il 14 Luglio 2008. Solo un altro anti-virus è presente nella top-ten del sito. Si tratta di Avast, che occupa la nona posizione e che raggiunge solamente il 20 per cento dei download registrati da AVG nello stesso periodo.

AVG Free offre protezione di base contro virus e spyware, insieme alla componente di navigazione sicura fornita dalla tecnologia brevettata da AVG LinkScanner®. La versione free non include la componente di navigazione sicura proattiva, che fa parte del modulo completo di LinkScanner® e si può trovare invece inclusa nei prodotti AVG destinati al commercio. AVG Free non fornisce inoltre protezione contro hackers, keyloggers, spam, attacchi di phishing e download di file infetti.

Ulteriori dettagli e informazioni sui prodotti AVG sono reperibili sul sito www.avg.it.

AVG Free 8.0 è realizzato per l’utilizzo personale e non commerciale su singoli computer che supportano Windows 2000, XP o Vista ed è attualmente disponibile in inglese, giapponese e italiano. Sebbene AVG Technologies non offra supporto per l’utilizzo di AVG Free 8.0, l’azienda ospita un sito web e un forum per favorire la diffusione del supporto fornito da parte degli utenti, all’indirizzo http://free.avg.it (che è assimilabile a free.avg.com per questioni di corporate appearance).

FONTE: Comunicato stampa di AVG Technologies

Alcuni anni fa (nel 2003) molti fans dei Simpons alla loro lista dei contatti AIM aggiunsero “Chunkylover53″ dopo aver saputo che il produttore dello show rispondeva online alle domande degli spettatori facendo le veci di Homer e usando l’account “Chunkylover53@aol.com”.
Lo screen name è rimasto inattivo sin da allora, fino a quando qualche giorno fa il messaggio “away” (non al computer) di Chunkylover53 è apparso indicando la possibilità di vedere in anteprima su Internet una nuova puntata dei Simpsons.
Naturalmente non esiste alcun video. Si tratta chiaramente di un file .exe infetto che una volta eseguito installa un Trojan trasformando la macchina in uno zombie pc appartenente ad una botnet turca, stando a quanto dichiarato da FaceTime.

FONTE:
- Homer Simpson and the Kimya Botnet, by FaceTime Security Labs Blog

Innanzitutto parto col ringraziare il mio collega Massimo Zugno aka Zuegg per avermi segnalato come fixare questo fastidiosissimo problema.
Riassumendo: dopo aver reinstallato la IE Developer Toolbar di Microsoft (il “Firebug” per IE giusto per intenderci) ho cominciato a notare ogni volta che avviavo Internet Explorer 7, la comparsa di una fastidiosissima popup che chiede l’avvio di uno dei debugger tra quelli installati nel sistema.
Questo comportamento è tipico quando un’applicazione va in crash o si verificano errori che si vuole magari andare a debuggare usando il debugger di Visual Studio per esempio.
Accortomi che il problema derivava dalla fantomatica IE Dev Toolbar ho chiesto al buon Massimo se era mai incappato nel problema.
Ecco quindi che mi accenna al fatto che aveva proceduto al patching “manuale” della dll IEDevToolbar.dll proprio per far scomparire questo fastidioso popup.
Le istruzioni su come effettuare le modifiche sono disponibili su questa pagina.
Riassumendo:
1. Chiudere eventuali istanze aperte di Internet Explorer.
2. Individuare il file C:\Programmi\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
3. Utilizzare un tool come Resource Extractor per Total Commander o XN Resource Editor (io ho usato questo) per individuare ed estrarre la risorsa TXT/235/1033
4. Aprire con un qualsiasi editor di testo il file estratto che chiameremo 235.txt e individuare la sezione di codice:

5. Modificare la riga segnata in rosso aggiungendo un blocco try-catch.
6. Salvare il file 235.txt e rimpiazzare la “vecchia” risorsa del file originale con quella nuova.

Da adesso in poi non dovreste più vedere alcun popup
Grazie ancora a Massimo!