facebook e il trojan “Bredolab”

attenzione Pericolo per gli utenti di facebook !

se ricevete una mail con oggetto “Password Reset Confirmation Email”

da l’indirizzo apparente service@facebook.com magari con scritto The Facebook Team siete vittime di una tragica presa in giro.

a peggiorare la situazione intervengono alcuni fantomatici esperti che faendosi trascinare dal fatto che questa email sembra vera assicurano che è genuina e tutti potete cliccare su questi messaggi senza incorrere in nessuna minuccia.
Poi si continua nel tam tam che sta investendo la rete si sostiene in diversi siti che solo una decina di software antivirus sono in grado di scovare questo trojan contenuto nel corpo del messaggio perchè solo dopo si capisce leggendo pagine e pagine che c’è qualcosa che non va in questi messaggi misteriosi alcuni in italiano alcuni in inglese che stanno arrivando agli utenti registrati su facebook.

In poche parole è una e-mail che serve per carpire dati sensibili dai vostri account, e accedere al vostro computer il worm Bredolab incluso nel messaggio che viene spacciato per vero diche che per la sicurezza dei propri iscritti è necessario  sostituire utente e password per l’accesso alla piattaforma facebook, ma qui sta la furbata la password da inserire la suggerisce chi ha scritto la mail spacciandosi per il team di facebook.

In poche parole basta che l’utente medio voglia a suo modo approfondire la faccenda e si appresta a cliccare il virus worm entra in azione trasformando il pc in una spazzatura che patcha i file  “svchost.exe” ed “explorer.exe” e facendo tale operazione a volte vengono elusi molti software antivirus che pur restando attivi, non fanno il proprio lavoro es. di norma il firewall legittima il traffico per tali processi considerati parte essenziale del sistema.
Una volta che i software antivirus e i relativi firewall vengono “rincitrulliti” il malware inizia a scaricare altro codice maligno che fa diventare il pc dell’utente una macchina zombie al servizio di terzi.

Un consiglio analizzate sempre le e-mail che vi arrivano, cercate di scoprire quale server è stato utilizzato prima di ridurre il vostro pc in una specie di vecchio soprammobile o a vostra scelta in una lavabiancheria rotta .

consigli
1) eliminare il messaggio

2) non aprire nessun allegato da sconosciuti
3) non cedere credenziali a terzi e poi gridare al lupo al lupo…
4)lavatevi la faccia prima di mettervi davanti al pc

ATTENZIONE PERICOLOSISSIMO VIRUS CONOSCIUTO COME:Conficker, Downadup e Fido

ATTENZIONE VIRUS PERICOLOSISSIMO !! MASSIMA ALLERTA!!

SI PREGA DI FARE MOLTA ATTENZIONE sta circolando un virus di nuova concezione, questa
creatura è conociuta con il nome “Conficker”, “Downadup” e “Fido” le particolarità di questo virus  worm sono molteplici la notizia è stata diffusa dalla BBC NEWS, non è una bufala e non sto scherzando.

MASSIMA ALLERTA AGGIORNARE SUBITO ANTIVIRUS E PATCHARE IL PROPRIO SISTEMA OPERATIVO WINDOWS SI CONSIGLIA caldamente DI APPLICARE LA PATCH MS08-067 (riferimento in fondo all’articolo) o meglio aggiornare i propri sistemi con windows update.

Tale falla consente ai creatori del virus (gente particolarmente abile e preparata)  di trasformare il proprio pc non aggiornato in uno zombie e scaricare file e quant’altro gli interessa in server esterni che fanno parte di una rete di computer definita botnet, si dice che i pc appartengano a classi diverse dunque irrintracciabili, e che sia prevista la possibilità di registrare in automatico nuovi spazi.

L’infezione avviene anche sfuttando una falla nella funzione autorun (auto avvio, quando si inserisce un supporto tipo pen drivem cd ed altro infetto), in parole semplici basta inserire qualcosa e il pc si infetta il virus agisce sfruttando una vecchia falla di windows per altro già segnalata nel mese di ottobre alla microsoft,  i creatori di questo virus particolarmente intelligente riescono ad impadronirsi del proprio pc per fargli eseguire determinate operazioni a nostra insaputa.

Gli esperti della casa antivirus F-secure confermano che la diffusione del virus sta assumendo dimensioni rilevanti, c’è chi parla di 9 milioni di computer infettati.

I ricercatori della Kaspersky Lab (antivirus russo particolarmente noto per la capacità di individuare mutazioni virali nel codice di tipo shealth) affermano che nelle ultime due settimane il codice maligno del virus sta mutando rapidamente dotandosi di nuove pericolose funzioni, Silvio Passalacqua di www.haox.it consiglia quindi di aggiornare le proprie basi antivirus e di controllare che l’antivirus stesso non sia infetto ed eseguire immediatamete l’aggiornamento del prorprio sistema operativo con windows update.

Articoli e riferimenti esterni (vi assicuro che non è una balla) :

1. repubblica si è occupato del caso questa traduzione di Fabio Galimberti all’articolo di John Markoff nel New York Times John Markoff è un giornalista e scrittore statunitense specializzato in Informatica. Da anni è la prima firma del New York Times in questo settore. Insieme a Tsutomu Shimomura, contribuì all’arresto del famoso hacker Kevin Mitnick il 15 febbraio 1995.
2. articolo dettagliato su repubblica (articolo di Vittorio Zambardino -  Parla Alberto Berretti,matematico e docente di sicurezza informatica all’Università Roma “)
   

SILVIO PASSALACQUA DI WWW.HOAX.IT CONSIGLIA :

1. patch windows per aggiornare il sistema operativo
2. Tool ANTIVIRUS della symantec per verificare se si è infetti da questo virus clicca qui per scaricare

Pericolo nelle Cartoline di auguri e varie e-card natalizie

L’agenzia reuters ieri alle 18:32 ha sollevato nel web uno stato di allerta relativo alle pericolosità di cartoline virtuali contenenti pericolosi virus  cerchiamo di fare un pò di chiarezza su cosa sta succedendo sul web in questi giorni…

Reuters scrive : Sicurezza web, attenzione a cartoline di Natale e super-offerte

Avendo letto questa notizia Silvio Passalacqua di Hoax.it dice :

penso sia inutile diffondere “terrorismo psicologico” limitandosi a citare qualche spezzone tratto da websense, la rete è un pericolo questo è risaputo però in questo caso  per reuters era meglio specificare con maggiore incisività l’impatto del problema e magari indicare i sistemi operativi colpiti e poi se proprio si doveva fare l’opera al ompleto era opportuno indicare magari una backlist di siti “cattivi”.

Precisiamo per dovere di cronaca che l’allarme è stato lanciato da Avg dunque diamo i meriti… ma non è un caso legato a questo natale e non è escluso che venga riproposto nelle altre festività, in parole semplici quando ho letto reuters qui ” in una tecnica chiamata “frammentazione dello script” che consiste nel suddividere il malware in pezzi più piccoli per ingannare iI motore di scansione antivirus.” quasi quasi scoppiavo a ridere… è una banalità il motore antivirus non viene ingannato spezzettando lo script è una castroneria, il motore antivirus non rileva l’antivirus perchè analizzando il corpo del messaggio non trova nulla dunque non essendo il virus dentro l’email è normale che un antivirus comune non rilevi un bel niente… il virus viene di solito ospitato su un server esterno per aggiungere nuove features e aumentare la potenza virale, poi se fossero pirati informatici come dice reuters non sii limiterebbero a scrivere questi virus stupidi . ..d i pirati informatici che nell’immaginario collettivo incutono tanta paura non fanno queste cavolate  la gente che fa queste cose sono solo gente malvagia e con una mente criminale un hacker o un pirata agirebbe  sulla polimorficità e sulla capacità shealth adattando il programma  virus  dinamicamente ai vari os… quiandi sono solo virus stupidi e relativamente facili da rimuovere il cui unico obbiettivo potrebbe essere a titolo di esempio la costruzione di una spam bot per diffondere un worm e impossessarsi di dati sensibili….  era questo che reuters doveva scrivere magari chiedendo a gente Italiana e ben preparata  ma alla fine l’importante è divulgare la notizia e dare l’allarme…. quindi state attenti ma non fatevi prendervi dalla psicosi  !  basta fare attenzione e usare con criterio il computer  magari se uno deve visualizzare cartoline leggere quelle proveneniti da siti fidati e  se proprio avete paura di essere infettati scrivetevi il codice che di solito  inviano per visualizzare la cartolina e digitatelo manualmente direttamente nel sito delle cartoline virtuali, verificando che non si tratti di phishing e non aprendo eventuali allegati sospetti previa scansione antivirus.

SEGUE ARTICOLO INTEGRALE DI REUTERS

MILANO (Reuters) – Nonostante il Natale sia ormai alle porte e Internet rappresenti uno dei mezzi più diffusi per scambiarsi gli auguri, è bene fare attenzione a bigliettini elettronici, screensaver con Babbo Natale ma anche a siti Web su cui acquistare regali che potrebbero nascondere gravi minacce per la sicurezza dei computer.Con il 66% degli internauti che quest’anno intende usare il Web per i regali di Natale, anche navigare online diventa rischioso, secondo quanto riferito in una nota da Websense, leader nelle protezioni per la navigazione sul Web.

Secondo Websense anche siti al di sopra di ogni sospetto possono essere bersaglio di attacchi che possono installare sui pc degli internauti “in modo inconsapevole applicazioni maligne, magari travestite da screensaver di Babbo Natale”.

Anche le classiche mail che contengono un link da cui scaricare una cartolina di Natale digitale possono rappresentare una minaccia. “Guardatevi dalle cartoline di auguri che arrivano da ‘un amico’, ‘un collega’, ‘un membro della famiglia’potrebbe non trattarsi di loro”, avvisa Websense.

Meglio evitare di aprire anche mail con allegati dal contenuto divertente e all’apparenza interessante, come file animati con la neve che cade o slitte di Babbo Natale che volano sui tetti.

“(Questi dispositivi) catturano gli occhi dell’utente e lo distraggono, mentre avviene l’installazione occulta di un virus chiamato ‘cavallo di Troia’…è uno dei tipi di attacchi via email più usati sotto Natale”, dice Websense.

Oltre agli attacchi, i cyber criminali cercano di penetrare nei pc anche offrendo “false soluzioni” come pop-up che diagnosticano finti virus e offrono una scansione gratuita del pc alla ricerca di possibili intrusioni.

E ancora, uno dei più recenti vettori di attacco consente ai malintenzionati di aggirare le protezioni antivirus, in una tecnica chiamata “frammentazione dello script” che consiste nel suddividere il malware in pezzi più piccoli per ingannare iI motore di scansione antivirus.

Per chi naviga in rete alla ricerca di regali è bene guardarsi da offerte troppo allettanti: occhio agli acquisti online a prezzi da super saldo, possono essere solo un modo per i cyber criminali per impossessarsi dei dati della vostra carta di credito, secondo Websense.

Secondo statistiche fornite da Google, quest’anno il 66% del popolo della rete intende usare il Web per gli acquisti di Natale, il 77% pensa che acquisterà online la metà o più dei propri doni natalizi e l’86% userà il Web per raccogliere informazioni sui possibili regali prima di acquistarli in negozio.

MS Windows Wormable Vulnerability, Out-of-Band Patch Released (MS08-067)

Threat Type: Malicious Web Site / Malicious Code

Websense® Security Labs^TM has received reports of exploits circulating in the wild that take advantage of a serious Windows vulnerability. Microsoft just released an out-of-band patch to address this just hours ago (see MS08-067).

The remote code execution vulnerability is found in netapi32.dll, and carries a severity rating of “Critical” by Microsoft, affecting even fully patched Windows machines. This vulnerability (CVE-2008-4250) allows malicious hackers to write a worm (self-propagating malicious code without need for any user interaction), by crafting a special RPC request. A successful exploitation would result in the complete control of victim machine.

To date, we have seen attacks installing a Trojan (Gimmiv) upon successful exploitation. At the time of this alert, only 25% of 36 anti-virus vendors could detect this malicious code. Blocking TCP ports 139 and 445 at the firewall is only a partial solution because most desktops have file/printer sharing turned on. The out-of-band patch release by Microsoft testifies to the severity of this vulnerability and the urgency for an immediate fix.

Websense is monitoring the development of this attack, and has classified the corresponding Web sites and malicious code that the exploit downloads.

More information:

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4250

http://blogs.technet.com/mmpc/archive/2008/10/23/get-protected-now.aspx

http://blogs.technet.com/swi/archive/2008/10/23/More-detail-about-MS08-067.aspx

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Un virus, malware, worm arriva nella stazione spaziale Internazional della Nasa

La stazione spaziale Internazionale è stata infettata da un virus, non mi sembra una cosa strana perchè informandosi bene si scopre che la Nasa per la ISS utilizza Windows come sistema operativo, la responsabile del contagio sarebbe una penna usb che portata a bordo da un astronauta, ha infettato i sistemi.. questo è altamente probabile ma io mi chiedo e se c’è qualche zampino di un hacker in fondo è normale che pur complessi questi sistemi e superprotetti hanno un accesso remoto..
Si dice che il sistema ha infettato aree non critiche, e minimizzando sostengono che è infetto una minima parte usata per per l’invio delle e-mail sulla terra e per la programmazione dell’alimentazione degli astronauti, chissà qualche spammer avrà voluto varcare i confini dello spazio ? pure sullo spazio ??? vanno a fare spam ? sebbene ci siano 400 km di distanza è una cosa normale visto che si utilizza un sistema che essendo usato da moltissimi utenti ben si presta ad essere infettato… non solo per la sua diffusione ma anche per la facilità nell’eseguire operazioni basta una svista e parte un click, mentre in sistemi tipo linux o unix o in generale open source cose del genere non succedono anche perchè in genere un computer dovrebbe fare una cosa e bene specialmente se destinato alla Nasa si presume che a bordo ci sia gente capace di usare altri sistemi… e poi perchè usare software proprietario ????? perchè non personalizzare qualche distro su misura ??? ottimizando le risorse ? domande a cui nessuno forse mi darà una risposta ma questa cosa era già successo… non è la prima volta che capita ….
io consiglierei alla nasa di utilizzare una distribuzione unix o linux e personalizzarla spendendo pochissimo potrebbero avere un sistema personalizzato e non una cosa di massa… che ne dite di dare qualcosina a una dozzina di programmatori con le palle ? e cambiare sistema operativo ?

Fake Twitter Profile Links To Worm

A fake profile on blogging site Twitter has a Flash Player link that installs a worm which can steal a user’s personal data.

First it was Facebook and MySpace, where messages from “friends” contained a link to install the latest Flash Player – which proved to be a worm that made the user’s computer part of a botnet. Now it’s micro-blogging site Twitter – which is the first time the site has been attacked.

The BBC reports that security company Kaspersky Lab says a fake profile on Twitter purports to have a link to a porn video. Instead it loads a fake version of Flash that in fact contains programs capable of stealing personal data. Kaspersky also discovered the worms on Facebook and MySpace.

The fake profile is in Portuguese with a name that translates to “pretty rabbit.” It exhorts people to click on the link and download Flash to view the video. The problem only affects PCs running Windows.

Alexander Gostev, a senior virus analyst at Kaspersky Lab, said:

“Unfortunately, users are very trusting of messages left by friends on social networking sites so the likelihood of a user clicking on a link like this is very high.”

Written by Christopher Nickson August 06, 2008

Source : http://news.digitaltrends.com/