.:: Securnetwork.net Blog – Massimo Rabbi ::.

A quanto pare la frenesia scatenata dalla morte di una celebre star è un buon modo per diffondere il malware.
E i vari cyber-criminali del pianeta lo sanno bene.
Questa volta nel mirino è finito il capitano Jack Sparrow o meglio l’attore Johnny Depp che stando alle indiscrezioni sarebbe morto in un incidente d’auto. “Peccato” che la pagina web che riporta la notizia sia falsa, una simil-CNN.
Tuttavia sembra che il rumor si sia diffuso in fretta e su Twitter non si sia parlato d’altro.

Ecco qua un video di Sophos che mostra come viene attuato l’inganno e installato il malware. Maggiori informazioni sull’accaduto sempre sul blog di Sophos.

Altro “buon” esempio di social engineering!

Trend Micro segnala che il worm Conficker.C (o Downad) ha effettivamente iniziato a scaricare gli aggiornamenti (tanto annunciati).
In ogni caso non da quei siti web che erano sotto controllo ma bensi’ attraverso la sua funzionalità P2P.
Gli esperti hanno rilevato questo comportamento osservando il traffico di rete su un sistema infetto e le modifiche alla cartella Temp di Windows.
A differenza delle altre due varianti, Conficker.C è in grado di stabilire una rete peer-to-peer con gli altri sistemi infetti e puo’ utilizzarla per scaricare ulteriori programmi e/o ricevere comandi remoti.
Stando a quanto rilevato da Trend Micro pare che questa “operazione P2P” sia in piena esplosione.

Nel caso del sistema sotto osservazione è stato rilevato il download e successiva installazione di un aggiornamento criptato da un nodo P2P in Corea.
Il worm è mutato nella variante .E, che mostra nuove caratteristiche.
In particolare tenta di cancellare le proprie tracce, eliminando voci di registro esistenti e utilizzando da quel momento in poi nomi di file e servizi in maniera random.
Il worm si mette in ascolto sulla porta TCP 5114, in attesa di richieste in grado di essere processate dal mini-server HTTP interno.
Si connette a myspace.com, msn.com, ebay.com, aol.com cnn.com al fine di verificare se c’è una connessione Internet attiva.

A quanto pare il worm sta continuando a diffondersi unicamente attraverso la vulnerabilità di Windows.
BitDefender ha fatto sapere che la nuova variante blocca l’accesso non solo al sito web di BitDefender, ma anche a quelli di numerosi security vendors che offrono tools per la rimozione di Conficker in tutte le sue varianti.

Le analisi hanno evidenziato come l’ultima versione di Downad/Conficker dovrebbe disabilitarsi il 3 maggio 2009. Non appare ancora chiaro se siano previsti ulteriori aggiornamenti prima di allora.
Alcuni esperti hanno evidenziato sporadici collegamenti a domini legati alla botnet Waledac.
Anche Symantec ha riscontrato un comportamento analogo.
Un file scaricato da Conficker (484528750.exe) si pensa contenga il bot Waledac.
Tuttavia a parte questo, finora, ne’ Trend Micro, ne’ Symantec si sono sbilanciati circa questa “interconnessione” tra Conficker e Waledac.

Sul sito di Heise Security e’ disponibile una pagina con le principali informazioni su Conficker e collegamenti a test per verificare un’eventuale infezione della propria macchina.
Vengono elencati anche i principali e piu’ importanti tools e scanners per la rimozione.

RIFERIMENTI:
- Conficker now definitely downloading updates, by Heise Security
- The H Security Conficker information site

Felix Leder e Tillmann Werner dell’università di Bonn hanno analizzato il worm Conficker e hanno scoperto che cambia il modo in cui Windows risponde ad alcune chiamate di sistema.
Questa caratteristica puo’ quindi essere sfrutta per individuare in maniera remota i sistemi che sono stati infettati dal worm.

In particolare invocando la funzione NetpwPathCanonicalize(), che contiene la vulnerabilità attraverso cui il worm si diffonde.
Quando la macchina è infetta, Conficker intercetta e gestisce le chiamate a questa funzione, modificando in alcuni casi le risposte.
Affinchè questo test abbia successo è necessario che la porta TCP 445 sia accessibile.
Tipicamente questa porta non è accessibile (e non dovrebbe esserlo) attraverso da Internet.

Leder e Werner hanno realizzato uno scanner per dimostrare la veridicità di quanto scoperto.
In collaborazione con Dan Kaminsky, hanno inoltrato l’informazione al Conficker Working Group e altri esperti di sicurezza.
In questo i tool di scansione disporranno presto di questa funzionalità: in particolare Kaminsky ha annunciato estensioni per nmap, Tenable (Nessus), McAfee/Foundstone, ncircle e Qualys.
A quanto pare domani 1 aprile Conficker.C scaricherà da Internet degli aggiornamenti al proprio codice.
Gli effetti di questi updates non sono al momento conosciuti.
Attualmente molti produttori anti-virus offrono tools specifici per rimuovere Conficker.
In ogni caso la soluzione migliore per un sistema infetto è la reinstallazione del sistema operativo e l’eventuale ripristino di una copia “pulita” dei dati di backup.

RIFERIMENTI:
* German researchers develop network scan for Conficker worm, by Heise Security
* Detecting Conficker, announcement from the Honeynet Project.
* Scanner download, a ZIP file.

Giovedi’ 26 marzo, Channel 4 News ha rivelato che il sistema informatico del Parlamento britannico è stato vittima del worm Conflicker.

A parte la conferma dell’attacco subito, nessuna informazione aggiuntiva (es: durata e origine) è stata riportata dai portavoce del parlamento.
Quando è stato chiesto dai giornalisti di Channel 4 la data dell’ultimo aggiornamento del sistema antivirus della rete parlamentare, la risposta è stata un secco “no comment”.
Appare abbastanza chiaro che poichè la maggior parte dei produttori antivirus e antispyware hanno rilasciato firme aggiornate per questo malware sin da novembre 2008, gli aggiornamenti non sono stati effettuati dal personale con regolarità.
Questo fatto lascia alquanto perplessa l’opinione pubblica sulle competenze del personale IT del Parlamento.
Tuttavia la “nota positiva” è che almeno qualcuno aveva l’antivirus aggiornato visto che Conflicker è stato rilevato.

Alla scoperta dell’attacco è stata inviata una mail a tutto lo staff parlamentare con un testo del genere: “Chiediamo dunque che, se si sta utilizzando un PC o computer portatile non autorizzato ad essere connesso alla rete, venga immediatamente disconnesso”.
A quanto pare non è un fenomeno tanto strano (e sconosciuto) che vengano collegate delle macchine prive di autorizzazione, controlli antivirus o firewall.

Qualcuno ha suggerito che l’attacco del worm possa essere in qualche modo legato al summit G20 che si terrà nella città di Londra la prossima settimana.
Pare infatti che il codice di Conflicker contenga una particolare data di attivazione per il 1 aprile, giorno in cui il creatore della botnet dovrebbe prenderne controllo per non si sa quale scopo.

RIFERIMENTI E APPROFONDIMENTI:
* Conficker infects UK parliament: news by Heise Security
* Worth Reading: An Analysis of Conficker-C, by Heise Security.
* Tools to remove Conficker, report by Heise Security.
* Conficker modified for more mayhem, report by Heise Security.

Secunia e IVIZ Techno hanno pubblicato degli advisories riguardanti alcuni virus scanners.
Un controllo ActiveX vulnerabile dello scanner online Trend Micro HouseCall puo’ consentire di infettare un pc semplicemente visitando un sito web malevole.
Il problema è stato riscontrato nelle versioni House Call 6.51.0.1028 e 6.6.0.1278.
Gli utenti dovrebbero rimuovere il file Housecall_ActiveX.dll e visitare nuovamente il sito web House Call cosi’ da installare la versione piu’ recente 6.6.0.1285.

ESET Smart Suite per Windows è invece interessata da un problema riguardante il driver epfw.sys: sarebbe possibile ottenere i privilegi di sistema utilizzando particolari richieste IOCTL.
E’ già stato rilasciato un aggiornamento che fixa il problema.

Per quanto riguarda AVG per Linux è stata riscontrata una falla nel parsing dei pacchetti UPX che potenzialmente puo’ essere usata per code injection exploits.
La versione interessata è la 7.5.51 e non c’è alcuna patch disponibile al momento.
Problemi anche per la versione linux di BitDefender che soffre di integer overflows in fase di analisi di binari PE corrotti compressi con i packers Neolite o ASProtect.
In questo caso pero’ la casa madre ha già fixato il problema nelle versioni successive alla 7.6.0825.
Sempre in ambito Linux problemi di crash per Sophos SAVScan 4.33.0 che nella scansione di alcuni tipi di file compressi (con i packers Armadillo, ASProtect, asprotectSKE, CAB).
A quanto pare sono stati risolti i problemi con i file .CAB ma non con gli altri.
A chiudere la lista una vulnerabilità in Avast per Linux v1.0.8 (trial) già eliminata nelle successive (disponibile per il download la 1.2.0).

Ulteriori informazioni:
- Vulnerabilities in several virus scanners by Heise Security
- Trend Micro HouseCall “notifyOnLoadNative()” Vulnerability, Secunia advisory
- Bitdefender antivirus for Linux multiple vulnerabilities, iViZ advisory
- ESET Smart Security (epfw.sys) Privilege Escalation Vulnerability, NT Internals advisory
- Sophos Anti-Virus fuzzed CAB archive vulnerability reported; Sophos advisory
- Sophos Antivirus for Linux, iViZ advisory
- AVG antivirus for Linux, iViZ advisory
- Avast antivirus for Linux multiple vulnerabilities, iViZ advisory

Anche se ormai in rete gli utenti AVG troveranno miriadi di topic e post a riguardo volevo scrivere a riguardo anche io, visto che ci ho sbattuto il naso contro proprio stamattina appena arrivato al lavoro.
Ore 9.15 circa, dopo il login apro thunderbird per controllare la posta e vedo che AVG 8 mi fa comparire un popup che indica la presenza di un file infetto. Nella fattispecie il file aaaamon.dll sembra essere infetto da un trojan: “Trojan Horse Patched_c.yl“.
Dapprima il messaggio riguarda il file
C:\windows\system32\aaaamon.dll
e di lì a pochi secondi vedo comparire un secondo avviso per il file
C:\windows\system32\dllcache\aaaamon.dll
Alquanto sorpreso dalla cosa, visto che la sera prima dopo aver installato i classici aggiornamenti del Windows, ero “passato” per le cartelle di sistema senza notare il minimo messaggio, comincio a cercare informazioni su Internet.
Dapprima una “googlata” alla ricerca di info sul file e poi sulla possibilità di un falso positivo.
Avuta conferma che si tratta di un file effettivamente di sistema e che è sconsigliabile rimuoverlo, “pena la stabilità del sistema”, non ho trovato alcuna segnalazione circa la possibilità di un falso positivo.
Quando anche alla mia collega Sara compare lo stesso messaggio (lei pero’ ha installato AVG 7.5) comincio ad avere sempre piu’ il sospetto si tratta di una “svista” dell’antivirus.
Chiedo lumi al buon Vittorio che mi dice che lui non ha notato alcun messaggio avendo installato Nod32.
Procedo quindi ad un compare della sua dll con la mia e sono perfettamente identiche.
Certezza quasi al 99%.
Solamente verso metà mattinata ho visto comparire su Internet i primi post a riguardo.
Qui sotto trovate il link alla KB su sito italiano di AVG con le indicazioni su come comportarsi a riguardo in attesa del rilascio di una patch (non ho ancora avuto di controllare se è già stata rilasciata).

RIFERIMENTI:
- Segnalato falso positivo in file aaaamon.dll, report sul sito di AVG.it

Quella che vado a segnalare oggi è una lista di 4 rescue disk rilasciati gratuitamente da alcune delle piu’ famose firme nel campo degli Antivirus: per l’appunto Kaspersky, BitDefender, F-Secure e Avira.
Questi tipo di cd possono tornare decisamente utile nel caso ci si trovi di fronte a un sistema non piu’ bootabile o cmq altamente instabile (esempio continui crash del processo explorer.exe, la shell di windows).
La procedura è abbastanza semplice:
1. Download della .iso dal sito del produttore
2. Masterizzazione su supporto CD-R o CD-RW
3. Boot da CD
4. Eventuale update online con le ultime firme se previsto dalla versione (non tutti supportano questa features)
5. Scansione e rimozione di antivirus e malware vari

Ogni rescue cd ha i suoi pro e i suoi contro. Il fatto poi di essere “affezzionato utente” dell’uno o dell’altro puo’ sicuramente portare a scegliere su basi personali.
E’ bene quindi chiarire alcune cose fondamentali:
- Kaspersky è sicuramente uno dei migliori antivirus sul mercato (personalmente utilizzo KIS 2009) tuttavia gli aggiornamenti del rescue cd non sono cosi’ frequenti e non c’è un sistema di update automatico
- Avira in base alle classifiche dei vari test antivirus (es: AV-Comparatives) risulta essere da un po’ di tempo a questa parte sempre tra le prime posizioni, molto spesso poco prima o poco dopo Kaspersky in fatto a percentuale di rilevamento. Vengono rilasciate versioni sempre aggiornate (anche su base giornaliera) del del rescue cd tuttavia non è pensabile masterizzare ogni volta un nuovo cd.
- Le soluzioni di BitDefender e F-Secure invece utilizzano un ottimo sistema di update che all’avvio tenta di recuperare basi aggiornate dal sito produttore sfruttando la presenza di una connessione di rete. Le nuove firme eventualmente scaricate vengono salvate in RAMDISK.

E’ abbastanza evidente che i piu’ “completi” risultano essere proprio i rescue disk di BitDefender e F-Secure. A voi comunque la scelta e come si suol dire la “prova su strada”!

Questi i link per scaricare le immagini dei rispettivi CD:
- Avira AntiVir Rescue System: download iso
- BitDefender RescueCD v2: download iso
- F-Secure Rescue CD 3.00: download iso
- Kaspersky KAV Rescue 2008: download iso

AVG Technologies, produttore dell’omonimo software per la sicurezza su internet, annuncia che il suo prodotto, AVG Free 8.0, è stato scaricato da più di un milioni di utenti italiani attraverso www.html.it nel giro di un solo mese, dal 14 giugno al 14 luglio 2008.

AVG Free risulta così l’applicazione più scaricata in assoluto in un periodo di tempo così breve (v. http://download.html.it). Da aprile, quando è stato lanciato il prodotto in inglese sul mercato, gli italiani che lo hanno scaricato da html.it sono circa 3.300.000.

L’altissimo numero di download raggiunto conferma quanto AVG sia davvero apprezzato dagli utenti. AVG Free è il software più scaricato su html.it tra il 14 Giugno e il 14 Luglio 2008. Solo un altro anti-virus è presente nella top-ten del sito. Si tratta di Avast, che occupa la nona posizione e che raggiunge solamente il 20 per cento dei download registrati da AVG nello stesso periodo.

AVG Free offre protezione di base contro virus e spyware, insieme alla componente di navigazione sicura fornita dalla tecnologia brevettata da AVG LinkScanner®. La versione free non include la componente di navigazione sicura proattiva, che fa parte del modulo completo di LinkScanner® e si può trovare invece inclusa nei prodotti AVG destinati al commercio. AVG Free non fornisce inoltre protezione contro hackers, keyloggers, spam, attacchi di phishing e download di file infetti.

Ulteriori dettagli e informazioni sui prodotti AVG sono reperibili sul sito www.avg.it.

AVG Free 8.0 è realizzato per l’utilizzo personale e non commerciale su singoli computer che supportano Windows 2000, XP o Vista ed è attualmente disponibile in inglese, giapponese e italiano. Sebbene AVG Technologies non offra supporto per l’utilizzo di AVG Free 8.0, l’azienda ospita un sito web e un forum per favorire la diffusione del supporto fornito da parte degli utenti, all’indirizzo http://free.avg.it (che è assimilabile a free.avg.com per questioni di corporate appearance).

FONTE: Comunicato stampa di AVG Technologies

Alcuni anni fa (nel 2003) molti fans dei Simpons alla loro lista dei contatti AIM aggiunsero “Chunkylover53″ dopo aver saputo che il produttore dello show rispondeva online alle domande degli spettatori facendo le veci di Homer e usando l’account “Chunkylover53@aol.com”.
Lo screen name è rimasto inattivo sin da allora, fino a quando qualche giorno fa il messaggio “away” (non al computer) di Chunkylover53 è apparso indicando la possibilità di vedere in anteprima su Internet una nuova puntata dei Simpsons.
Naturalmente non esiste alcun video. Si tratta chiaramente di un file .exe infetto che una volta eseguito installa un Trojan trasformando la macchina in uno zombie pc appartenente ad una botnet turca, stando a quanto dichiarato da FaceTime.

FONTE:
- Homer Simpson and the Kimya Botnet, by FaceTime Security Labs Blog

In occasione dei prossimi convegni sulla computer security, vari hackers/security researchers stanno preparando il proprio materiale in tema di rootkits.
Sebastian Muñiz di Core Security ha sviluppato un rootkit per i router Cisco e sta pensando di presentarlo all’EuSecWest Conference che si terrà a Londra il 21 e 22 di maggio.
Sherri Sparks e Shawn Embleton di Clear Hat Consulting sfruttano un operational mode poco conosciuto dei processori Intel per nascondere il codice. Il loro lavoro sarà presentato alla conferenza Black Hat USA 08 il 6-7 agosto al Caesars Palace Hotel and Casino di Las Vegas.

Il rootkit sviluppato da Sparks e Shawn usa il System Management Mode (SMM) dei processori Intel per nascondere in memoria un key logger.
Il System Management Mode è pensato per individuare e reagire a eventi di sistema come errori della memoria e del chipset, estendendo le funzionalità della scheda madre e gestendo il controllo della temperatura e dell’alimentazione.
SMM è implementato su tutti i moderni processori x86 e x64, inclusi quelli prodotti da Via e AMD.
Il sistema operativo non è in grado di interrompere una chiamata SMM.
Quando il processore riceve un System Management Interrupt (SMI) non-maskable, viene sospesa l’esecuzione del s.o. stesso e dei programmi, salvato lo stato della macchina, ed eseguito il codice da una zona di memoria privilegiata e nascosta.
Uno dei pericoli è che il codice non può accedere alcun drivers del sistema operativo in modalità SMM, ma deve “dialogare” direttamente con l’hardware.

Alla CanSecWest Conference del 2006, Loic Duflot ha presentato un articolo in cui mostra come i superusers possano innalzare i propri privilegi grazie a SMM su un sistema OpenBSD. Al tempo pero’ non fu reso pubblico alcun rootkit per SMM.

Il rootkit per l’IOS Cisco sviluppato da Sebastian Muñiz di Core Security Technologies presumibilmente gira su diverse versioni del sistema operativo.
Un attaccante deve prima di tutto ottenere l’accesso alla macchina che vuole compromettere, magari mediante una vulnerabilità nota (della particolare versione) e code injection.
Il codice viene quindi memorizzato nel firmware e immediatamente eseguito una volta che il device viene riavviato.
Apparentemente, i router Cisco possono essere controllati e monitorati senza che nessuno se ne accorga.
Muñiz ha già fatto sapere che non rilascierà il codice sorgente per questo rootkit.

Preoccupante inoltre come recentemente, l’FBI abbia individuato moduli e appliances Cisco piratati, utilizzati dal governo e dai militari. L’ipotesi alquanto preoccupante è che qualcuno stia già utilizzando questi devices per scopi di spionaggio.
Il rootkit di Muñiz potrebbe dimostrare come questo pericolo non sia solamente teorico, ma effettivamente reale, anche Cisco non ha individuato nulla di anomalo nei dispositivi sequestrati dall’FBI.

Va ricordato a riguardo quanto successe in occasione del Black Hat 2005, quando Michael Lynn parlò di alcune vulnerabilità dei router Cisco che consentivano l’injection e l’esecuzione di codice malevole.
Cisco scatenò l’inferno tentando di impedire a Lynn di fare la presentazione, addirittura intentandogli causa.
L’avvocato Jennifer Granick di Electronic Freedom Foundation (EFF), che rappresentò Lynn nel caso contro Cisco, avverte che la cosa potrebbe ripetersi, con Cisco che potrebbe intentare causa contro Muñiz per violazione di segreti commerciali.
A quanto pare però Muñiz non sembra molto preoccupata dalla cosa visto la brutta figura che ci fece Cisco nel 2005.
Dice infatti: “Cisco si definisce come una società molto vicina e amichevole nei confronti di chi svolge ricerca… Ci penseranno bene prima di intentare un’azione legale.”.

FONTI:
* Security Researcher to release Cisco rootkit at EUSecWest, news sul blog di Nathan McFeters
* A New Breed of Rootkit: The System Management Mode (SMM) Rootkit, annuncio della presentazione di Shawn Embleton e Sherri Sparks al BlackHat USA 08
* Hackers present new rootkit techniques, by Heise Security

I creatori del noto software anti-spyware SpyBot Search&Destroy si son dati da fare e hanno realizzato un aggiornamento sotto forma di plugin che consente di cercare e individuare eventuali rootkits.
Il tool può essere eseguito anche come programma standalone.

RootAlyzer, questo il nome del software, è ancora in fase di sviluppo ma può essere scaricato gratuitamente dal forum di Spybot Search&Destroy. Agisce controllando il registro, il file system e i processi in esecuzione alla ricerca di incoerenze e utilizzi sospetti di chiamate di sistema di vario tipo e API Win32 (possibile segnale di rootkits “a bordo”).

Per effettuare il download del programma cliccate qui.

RIFERIMENTI:
- L’annuncio sul sito di Spybot Search&Destroy
- Spybot Search&Destroy learns to sniff out rootkits, by Heise Security

La società di sicurezza Finjan ha scoperto sul web un database contenente all’incirca 8700 account ftp rubati e appartenenti a siti web, alcuni dei quali di “alto profilo”: società governative, servizi finanziari, fornitori tecnologi e industriali oltre a vari security vendors.
La maggior parte appartiene a organizzazioni dislocate negli Stati Uniti e Russia, con l’Australia e i paesi asiatici del pacifico al secondo posto.

Il database sembra sia stato ricavato mediante l’uso di Neosploit versione 2, uno fra i numerosi toolkits automatici che facilitano attacchi di tipo iframe injection sui server web per la distrubuzione di trojans.
Di origine chiaramente russa il software è caratterizzato da una interfaccia utente ben realizza che include anche un “servizio statistiche”.

Nel suo “Malicious Page of the Month” di febbraio, Finjan descrive in maniera approfondita il “crimeware tool”, incluso un componente chiamato FTP-Toolz pack 2.7, che in aggiunta ad installare iframes, può importare e esportare liste di account da database come quello scoperto di recente.

APPROFONDIMENTI:
- Over 8000 ftp credentials found on crimeware database, by Heise Security
- Malicious Page of the Month – February 2008, report by Finjan

Il fatto che Windows sia il sistema sicuramente più diffuso è dato di fatto, così come che la maggior parte del malware e dei virus sviluppati dai vari crackers abbia come target piattaforme Microsoft, Vista o Xp che sia.
Spesso si scatenano su forum, blog, siti tecnici o meno vere e proprie guerre di religione tra i vari “taleban linux” e “taleban windows”.
Gli uni a sostenere Windows è meglio di Linux perchè blablabla, gli altri viceversa a dire Windows è una ciofecca usate Linux se volete essere dei “veri fighi”, superprotetti da qualsiasi minaccia.
Quello che penso è che non esiste un sistema operativo che possa definirsi “MIGLIORE” di altri, ognuno nel bene e nel male ha i suoi pregi e difetti.
Per motivi di lavoro uso Windows XP (in particolare) quasi tutto il tempo. Ai tempi dell’università ho smanettato parecchio con Linux, in tutte le varie salse: anche qui sul numero di distribuzioni Linux che prolificano si potrebbe aprire un dibattito.
Così come mi diverto ogni tanto a provare le varie security-distro Backtrack, Hakin9, Helix, Phlak e chi più ne ha più ne metta, anche se ormai il tempo è quello che è. Ho installato e mantenuto un serverino a casa con OpenBSD 3.9 per alcuni mesi, fino alla rottura di un disco
L’indole da smanettone ti porta poi a provare anche s.o. non troppo diffusi: il mitico QNX o il buon vecchio BeOS (ora rimpiazzato da Haiku).
Di tutti quanti ti fai un’impressione, a volte più o meno superficiale per questioni di tempo o per via di un primo impatto non troppo positivo.

Quando ho letto questa news su Heise Security riguardo il moltiplicarsi di macchine Linux che “entrano a far parte” delle cosiddette botnets, un po’ mi è venuto da sorridere.
Pensavo a come molto spesso si decanti tanto la superiorità di Linux (per carità molto spesso a ragione), e poi si legga come una backdoor (Linux/Rst-B backdoor) di ben 6 anni fa sia il motivo principale del problema.
L’indagine realizzata da Sophos evidenzia come stia aumentando il numero di Linux servers che vengono infettati e diventino a tutti gli effetti zombies pc nelle mani di crackers sparsi nel globo pronti ad utilizzarli come nodi per gli attacchi più svariati (spam, DDoS, etc.).
Come suggerisce l’articolo già solo il fatto di avere anche su Linux installato un antivirus basterebbe ad evitare tutto ciò, visto che la vulnerabilità in questione è individuabile da tutti gli antivir in circolazione.
Tra quelli free ricordiamo:
* Avira: Avira AntiVir PersonalEdition Classic
* AVG Technologies (formerly Grisoft) AVG Anti-Virus Free Edition 7.5 for Linux
* Avast: avast! Linux Home Edition Download
* F-Prot: F-PROT Antivirus for Linux Workstations
* ClamAV: Clam AntiVirus

La verità è quella racchiusa in una frase che fa il giro della rete da anni e che sembra estratta da un vecchio proverbio: “l’unico sistema sicuro è quello spento“.
D’altronde anche Windows può essere reso un po’ più sicuro in pochi passaggi:
- lavorare sempre e cmq con un account non privilegiato, si puo’ fare tutto dal programmare al giocare
- installare un buon firewall e antivirus
- installare un paio di tools per la rilevazione di spyware e malware
Ci vuole poi cosi’ tanto?

APPROFONDIMENTI:
* Sophos: Linux machines hijacked for botnets, by Heise Security
* Botnets, a free tool and 6 years of Linux/Rst-B, blog entry by Sophos
* Botnet study: bots spread through old loopholes

A quanto pare recentemente (28 gennaio scorso) StopBadware, l’iniziativa creata da varie società IT e istituzioni, ha classificato il noto software RealPlayer come “badware”.
Questo nomignolo viene affibiato a tutti quei software come spyware, adware e malware di vario tipo che “spiano nel tempo” la navigazione degli utenti (tracciandone le abitudini), generano una miriade di finestre popup contenenti pubblicità e nei casi peggiori addirittura tentano di intercettare le password memorizzate sui computer infetti.

Il motivo per cui StopBadware ha classificato RealPlayer 10.5 come badware è perchè il software in questione non espone in maniera chiara all’utente finale che viene installato anche un adware. Il componente pubblicitario è il cosiddetto RealPlayer Message Center. L’EULA (End User License Agreement) per RealPlayer indica che questo componente fornisce aggiornamenti importanti/utili. In realtà Message Center continua a mostrare un fastidioso avviso se gli utenti non registrano i propri dati personali creando un account su RealNetworks.

RealPlayer 11 dal canto suo non informa l’utente che il player Rhapsody (utile per l’online music store di RealNetworks) viene installato, ma non rimosso quando si va ad effettuare la disinstallazione del prodotto.
Nessun avviso ne’ in fase di installazione, ne’ in fase di disinstallazione avverte l’utente del legame che c’è tra RealPlayer e il Rhapsody Player.

Attualmente la versione 10.5 viene installata anche attraverso il Mozilla Plugin Finder, mentre la 11 è disponibile per il download direttamente sull’homepage di RealPlayer.
StopBadware sconsiglia quindi vivamente l’installazione di questo software e in particolare di queste versioni fino a quando RealNetworks non risponderà alla segnalazione rilasciando una versione pulita del proprio programma.

In alternativa è possibile usare VLC Mediaplayer per ascoltare musica in formato RealMedia, prestando però attenzione ai data stream RTSP visto che il software soffre ancora di un bug scoperto qualche settimana fa.
Altra possibilità è l’uso di Real Alternative, player che incorpora i codec RealPlayer, tuttavia senza il permesso di RealNetworks.
Risulta evidente che si tratta di una soluzione non propriamente legale

RIFERIMENTI:
- StopBadware initiative rates RealPlayer as “badware”, by Heise Security
- RealPlayer, report by StopBadware

Grisoft ha reso disponibile e scaricabile a tutti la beta della nuova versione di AVG, la 8 per l’appunto.
Il software a quanto dichiarato offre nuove funzionalità e sembra sia stato riscritto quasi completamente.
AVG 8 si presenta con una nuova interfaccia.

Le nuove features includono un modulo per il controllo web e per il traffico di instant messaging, il filtro per gli script LinkScanner sviluppato dalla neo-acquisita Exploit Prevention Labs, e un componente anti-rootkit.
Il nuovo motore di scansione si presuppone abbia migliorato l’euristica e le capacità di individuare nuovi virus.
Migliorata a quanto si dice anche la velocità e diminuito il consumo di risorse.
Nonostante l’interfaccia sia stata pensata per rendere più semplice l’accesso alle varie funzioni per gli utenti meno esperti, è ancora possibile accedere dal menu alle funzionalità avanzate.
Per dare uno sguardo da vicino alla nuova versione è sufficiente registrarsi e scaricare la beta.
Le versioni supportate di Windows sono Windows 2000,2003,XP,Vista e le versioni 64-bit di XP, Vista, 2000 Server, 2003.
AVG 8 beta rimarrà disponibile per il download fino al 1 marzo 2008.

RIFERIMENTI:
- Public beta for AVG 8: news by Heise Security
- Download AVG 8 beta (necessaria registrazione)

Symantec ha reso disponibile la beta di Norton 360 Versione 2.
La suite di sicurezza all-in-one è costituita dai seguenti moduli: antivirus e antispyware, personal firewall, intrusion prevention, anti-phishing. E’ inoltra inclusa anche una funzionalità di clean-up del sistema operativo e un modulo per il backup.

Nella versione 2, sono stati introdotti componenti addizionali come il Browser Defender che in Internet Explorer tenta di identificare e prevenire i tentativi di installazione automatica di malware. Presente anche un gestore di passwords per memorizzare i propri account e per la compilazione assistita/automatica durante la navigazione.
E infine stando a quanto dichiarato la funzionalità di backup sarebbe ora in grado di creare copie su dischi Blu-ray e su iPod.

La fase di beta sembra durerà per circa 4 settimane.
La versione finale dovrebbe comparire dopo poche settimane, il tempo di ultimare gli ultimi fixing e processi minori come la localizzazione.

LINK PER IL DOWNLOAD: Norton 360 V2 Beta

Alwil ha rilasciato di recente un aggiornamento per il proprio engine di scansione avast! in modo da correggere almeno due bugs di sicurezza.
L’engine antivirus utilizzato in versioni precedenti alla 4.7.1098 di avast! 4 Home e Professional edition è vulnerabile a potenziali attacchi che prendano di mira l’unpacker per file .tar e .rar.
Stando al report almeno nel caso della vulnerabilità riguardante i file .tar, aprire una mail “infetta” o visitare un sito appositamente modificato è sufficiente per incappare nel bug e vedere il proprio sistema compromesso.

Ad ogni modo gli utenti avast! dovrebbero aver già ricevuto la versione aggiornata 4.7.1098 attraverso il sistema di automatic update.
Detto questo, esistono pero’ altri software che utilizzano il motore avast! ma non è chiaro se utilizzino gli unpackers di avast! oppure i propri.
Un esempio sono GDATA AntiVirusKit 2007 e 2008 che utilizzano l’engine avast e sono di conseguenza anch’essi vulnerabili. Anche GDATA sta pensando di distribuire un aggiornamento tra il sistema di update automatico.

RIFERIMENTI:
* Security update for avast! anti-virus, by Heise Security
* Version 4.7.1098, avast! 4 Home/Professional revision history
* Avast! AntiVirus TAR Processing Remote Heap Corruption, security advisory from Nevis Labs

Apple ha rilasciato l’aggiornamento firmware 1.1.2 per l’iPhone e iPod Touch, che corregge le falle scoperte nella libreria TIFF, usate dai possessori di iPhone per eseguire codice di terze parti e personale.
Una volta installato da iTunes, l’aggiornamento impedisce l’esecuzione di codice di terze parti sfruttando files TIFF manipolati.
La falla è stata sfruttata in alcune occasioni da utenti malintenzionati per fare injection di codice arbitrario sul dispositivo.

Gli utenti iPhone desiderosi di far girare le proprie applicazioni personali dovranno attendere ora il rilascio del Software Development Kit (SDK), in programma per febbraio 2008.
Detto questo sono pero’ in circolazione su internet nei vari siti e forum dedicati, le istruzioni su come installare l’aggiornamento senza perdere la possibilità di far girare codice di terze parti (vedi Unofficial Apple Weblog).
L’aggiornamento è invece una priorità di sicurezza per tutti coloro che usano l’iPhone o l’iPod Touch per navigare su Internet.

LINKS:
- About the security content of iPhone v1.1.2 and iPod Touch v1.1.2 Updates, Apple’s security advisory
- Apple closes TIFF hole in iPhone, news by Heise Security

I Kaspersky Lab hanno rilasciato una versione aggiornata del proprio controllo ActiveX che viene installato sul pc degli utenti che usano il Kaspersky Online Scanner.
La nuova versione del componente (kavwebscan.dll) è la 5.0.98.0 e risolve alcuni bug critici che possono essere sfruttati per eseguire codice arbitrario, per esempio quando un ignaro utente sta visitando un sito web, appositamente modificato, con Internet Explorer.

Stando all’advisory pubblicato da iDefense, la vulnerabilità è dovuta ad errori format string in svariate funzioni del controllo.
L’esistenza di una vulnerabilità è stata confermata nella versione 5.0.93.0, ma è probabile interessi anche versioni precedenti.
Per controllare la versione installata sul proprio pc, è possibile controllare direttamente nella cartella
C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner
Nel caso la versione dell’ActiveX non venga mostrata direttamente nel filename è possibile, previo click col tasto destro sull’icona, analizzare il tab “Proprietà”.
Il consiglio è che chiunque utilizzi l’Online Scanner aggiorni immediatamente il controllo.
Per installare l’ultima versione è sufficiente lanciare lo scanner. Un’altra opzione è naturalmente quella di cancellare la dll vulnerabile.

LINKS:
- Kaspersky Lab announces the release of a new version of its free Kaspersky Online Scanner
- Kaspersky Web Scanner ActiveX Format String Vulnerability, iDefense Advisory
- Kaspersky Online Scanner installed vulnerable ActiveX control , by Heise-Security

E’ stato scoperto di recente un nuovo tipo di worm, che tenta di cancellare tutti i file MP3 che riesce a individuare all’interno del pc di un utente.
Per fare ciò il worm, chiamato W32/Deletemp3.worm (McAfee), W32.Deletemusic (Symantec) o Win32/AutoRun, si comporta in maniera molto simile a W32/Napir-B, che salì alla ribalta verso la metà del 2005.

Una volta infettato il sistema,Deletemp3, che è stato programmato in Delphi, si aggiunge nell’autostart di Windows in maniera da potersi riattivare ogni qualvolta il pc viene riavviato.
McAfee fa notare come, poichè i percorsi del programma sono fissi, il worm non funziona correttamente in Windows 2000.
Disattiva inoltre il Task Manager e il menu contestuale per le cartelle in Windows Explorer.
Fatto questo procede a cancellare tutti gli mp3 che individua sul disco.
Per propagarsi inoltre, Deletemp3 crea i files autorun.inf e csrss.exe su tutti gli eventuali hard-disk da E: a O:.
Con i dispositivi rimovibili infatti il malware viene eseguito in maniera automatica sfruttando l’autorun, ad esempio inserendo una chiavetta usb infetta.
Il livello di diffusione del virus è tuttavia molto basso e la maggior parte degli antivirus già dispongono delle firme per individuarlo.

LINKS:

• W32/Deletemp3.worm, Malware description from McAfee
• New malware deletes MP3 files , news su Heise Security