Allerta arrivano via e-mail Finte bollette e fatture con il virus Cryptolocker

Inserito da 20 Marzo, 2016 (0) Commenti

Si tratta di :Exploits,ICT and Computer Security,Sicurezza

Attenzione alle false bollette Enel o di altri fornitori di energia e servizi o alle fatture “da mittenti sconosciuti” inviate via mail . E’ un periodo di boom per le Finte bollette che arrivano via e-mail

Queste e-mail sono molto pericolose se aperte sul computer della vittima. Il contenuto delle stesse è vario ma sfruttano tecniche e fanno leva sulle debolezze più comuni : la curiosità e la paura di pagare cifre ingiuste ci spingono a cliccare su un qualcosa che è una trappola per il nostro computer.

Cryptolocker

Il virus Cryptolocker non è nuovissimo ma è molto pericoloso perchè impone una sorta di riscatto per avere i nostri dati, una tecnica schifosa una sorta di “pizzo 2.0”.

Il Virus  Cryptolocker; provvede a crittografare tutti i file nel computer e li rende inutilizzabili. Per recuperarli, bisogna pagare un riscatto, in cambio del quale viene fornita una chiave crittografica che rimuove la crittografia dai file. Se l’utente si rifiuta di pagare, entro qualche giorno l’antidoto viene cancellato dai malfattori e possiamo dire addio al contenuto del computer.
Questo tipo di virus è molto pericoloso si diffonde, in modo veloce, anche a tutti quelli collegati attraverso una rete il classico “WORM”.

ATTENZIONE IL VIRUS si è evoluto ed è diventato sempre più letale, colpisce i sistemi Apple e quelli Windows attraverso il desktop remoto, la funzione di gestione remota a distanza.
Il virus adesso non arriva soltanto via mail ma come prevedibile sfrutta vulnerabilità presenti in taluni siti e si insidia anche in server remoti all’insaputa dei titolari degli spazi stessi, infettando chiunque visiti dterminati siti web e abbia un dispositivo anche smartphone vulnerabili. Di solito è più facile essere infettati navigando alla ricerca di contenuti come Film in streaming, programmi tv in diretta, partite di calcio, e contenuti di ogni tipo. Come detto prima non sono riparmiati i device mobili anzi vengono colpiti sia i terminali iPhone che Android e altri molto meno evoluti ma in grado di navigare in rete sfruttando le vulnerabilità note dei vari dispositivi.

 

 

Categories : Exploits,ICT and Computer Security,Sicurezza Tags : , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

facebook e il trojan “Bredolab”

Inserito da 30 Ottobre, 2009 (0) Commenti

Si tratta di :Exploits

attenzione Pericolo per gli utenti di facebook !

se ricevete una mail con oggetto “Password Reset Confirmation Email”

da l’indirizzo apparente service@facebook.com magari con scritto The Facebook Team siete vittime di una tragica presa in giro.

a peggiorare la situazione intervengono alcuni fantomatici esperti che faendosi trascinare dal fatto che questa email sembra vera assicurano che è genuina e tutti potete cliccare su questi messaggi senza incorrere in nessuna minuccia.
Poi si continua nel tam tam che sta investendo la rete si sostiene in diversi siti che solo una decina di software antivirus sono in grado di scovare questo trojan contenuto nel corpo del messaggio perchè solo dopo si capisce leggendo pagine e pagine che c’è qualcosa che non va in questi messaggi misteriosi alcuni in italiano alcuni in inglese che stanno arrivando agli utenti registrati su facebook.

In poche parole è una e-mail che serve per carpire dati sensibili dai vostri account, e accedere al vostro computer il worm Bredolab incluso nel messaggio che viene spacciato per vero diche che per la sicurezza dei propri iscritti è necessario  sostituire utente e password per l’accesso alla piattaforma facebook, ma qui sta la furbata la password da inserire la suggerisce chi ha scritto la mail spacciandosi per il team di facebook.

In poche parole basta che l’utente medio voglia a suo modo approfondire la faccenda e si appresta a cliccare il virus worm entra in azione trasformando il pc in una spazzatura che patcha i file  “svchost.exe” ed “explorer.exe” e facendo tale operazione a volte vengono elusi molti software antivirus che pur restando attivi, non fanno il proprio lavoro es. di norma il firewall legittima il traffico per tali processi considerati parte essenziale del sistema.
Una volta che i software antivirus e i relativi firewall vengono “rincitrulliti” il malware inizia a scaricare altro codice maligno che fa diventare il pc dell’utente una macchina zombie al servizio di terzi.

Un consiglio analizzate sempre le e-mail che vi arrivano, cercate di scoprire quale server è stato utilizzato prima di ridurre il vostro pc in una specie di vecchio soprammobile o a vostra scelta in una lavabiancheria rotta .

consigli
1) eliminare il messaggio

2) non aprire nessun allegato da sconosciuti
3) non cedere credenziali a terzi e poi gridare al lupo al lupo…
4)lavatevi la faccia prima di mettervi davanti al pc

Categories : Exploits Tags : , , , ,

ATTENZIONE PERICOLOSISSIMO VIRUS CONOSCIUTO COME:Conficker, Downadup e Fido

Inserito da 25 Gennaio, 2009 (0) Commenti

Si tratta di :Exploits,Sicurezza

ATTENZIONE VIRUS PERICOLOSISSIMO !! MASSIMA ALLERTA!!

My table

SI PREGA DI FARE MOLTA ATTENZIONE sta circolando un virus di nuova concezione, questa
creatura è conociuta con il nome “Conficker”, “Downadup” e “Fido” le particolarità di questo virus  worm sono molteplici la notizia è stata diffusa dalla BBC NEWS, non è una bufala e non sto scherzando.

MASSIMA ALLERTA AGGIORNARE SUBITO ANTIVIRUS E PATCHARE IL PROPRIO SISTEMA OPERATIVO WINDOWS SI CONSIGLIA caldamente DI APPLICARE LA PATCH MS08-067 (riferimento in fondo all’articolo) o meglio aggiornare i propri sistemi con windows update.

Tale falla consente ai creatori del virus (gente particolarmente abile e preparata)  di trasformare il proprio pc non aggiornato in uno zombie e scaricare file e quant’altro gli interessa in server esterni che fanno parte di una rete di computer definita botnet, si dice che i pc appartengano a classi diverse dunque irrintracciabili, e che sia prevista la possibilità di registrare in automatico nuovi spazi.

L’infezione avviene anche sfuttando una falla nella funzione autorun (auto avvio, quando si inserisce un supporto tipo pen drivem cd ed altro infetto), in parole semplici basta inserire qualcosa e il pc si infetta il virus agisce sfruttando una vecchia falla di windows per altro già segnalata nel mese di ottobre alla microsoft,  i creatori di questo virus particolarmente intelligente riescono ad impadronirsi del proprio pc per fargli eseguire determinate operazioni a nostra insaputa.

Gli esperti della casa antivirus F-secure confermano che la diffusione del virus sta assumendo dimensioni rilevanti, c’è chi parla di 9 milioni di computer infettati.

I ricercatori della Kaspersky Lab (antivirus russo particolarmente noto per la capacità di individuare mutazioni virali nel codice di tipo shealth) affermano che nelle ultime due settimane il codice maligno del virus sta mutando rapidamente dotandosi di nuove pericolose funzioni, Silvio Passalacqua di www.haox.it consiglia quindi di aggiornare le proprie basi antivirus e di controllare che l’antivirus stesso non sia infetto ed eseguire immediatamete l’aggiornamento del prorprio sistema operativo con windows update.

Articoli e riferimenti esterni (vi assicuro che non è una balla) :

  1. repubblica si è occupato del caso questa traduzione di Fabio Galimberti all’articolo di John Markoff nel New York Times John Markoff è un giornalista e scrittore statunitense specializzato in Informatica. Da anni è la prima firma del New York Times in questo settore. Insieme a Tsutomu Shimomura, contribuì all’arresto del famoso hacker Kevin Mitnick il 15 febbraio 1995.
  2. articolo dettagliato su repubblica (articolo di Vittorio Zambardino –  Parla Alberto Berretti,matematico e docente di sicurezza informatica all’Università Roma “)

SILVIO PASSALACQUA DI WWW.HOAX.IT CONSIGLIA :

  1. patch windows per aggiornare il sistema operativo
  2. Tool ANTIVIRUS della symantec per verificare se si è infetti da questo virus clicca qui per scaricare
Categories : Exploits,Sicurezza Tags : , , , ,

Pericolo nelle Cartoline di auguri e varie e-card natalizie

Inserito da 16 Dicembre, 2008 (0) Commenti

Si tratta di :Bufale e Hoax,News,Sicurezza

L’agenzia reuters ieri alle 18:32 ha sollevato nel web uno stato di allerta relativo alle pericolosità di cartoline virtuali contenenti pericolosi virus  cerchiamo di fare un pò di chiarezza su cosa sta succedendo sul web in questi giorni…

Buon Natale

Reuters scrive : Sicurezza web, attenzione a cartoline di Natale e super-offerte

Avendo letto questa notizia Silvio Passalacqua di Hoax.it dice :

penso sia inutile diffondere “terrorismo psicologico” limitandosi a citare qualche spezzone tratto da websense, la rete è un pericolo questo è risaputo però in questo caso  per reuters era meglio specificare con maggiore incisività l’impatto del problema e magari indicare i sistemi operativi colpiti e poi se proprio si doveva fare l’opera al ompleto era opportuno indicare magari una backlist di siti “cattivi”.

Precisiamo per dovere di cronaca che l’allarme è stato lanciato da Avg dunque diamo i meriti… ma non è un caso legato a questo natale e non è escluso che venga riproposto nelle altre festività, in parole semplici quando ho letto reuters qui ” in una tecnica chiamata “frammentazione dello script” che consiste nel suddividere il malware in pezzi più piccoli per ingannare iI motore di scansione antivirus.” quasi quasi scoppiavo a ridere… è una banalità il motore antivirus non viene ingannato spezzettando lo script è una castroneria, il motore antivirus non rileva l’antivirus perchè analizzando il corpo del messaggio non trova nulla dunque non essendo il virus dentro l’email è normale che un antivirus comune non rilevi un bel niente… il virus viene di solito ospitato su un server esterno per aggiungere nuove features e aumentare la potenza virale, poi se fossero pirati informatici come dice reuters non sii limiterebbero a scrivere questi virus stupidi . ..d i pirati informatici che nell’immaginario collettivo incutono tanta paura non fanno queste cavolate  la gente che fa queste cose sono solo gente malvagia e con una mente criminale un hacker o un pirata agirebbe  sulla polimorficità e sulla capacità shealth adattando il programma  virus  dinamicamente ai vari os… quiandi sono solo virus stupidi e relativamente facili da rimuovere il cui unico obbiettivo potrebbe essere a titolo di esempio la costruzione di una spam bot per diffondere un worm e impossessarsi di dati sensibili….  era questo che reuters doveva scrivere magari chiedendo a gente Italiana e ben preparata  ma alla fine l’importante è divulgare la notizia e dare l’allarme…. quindi state attenti ma non fatevi prendervi dalla psicosi  !  basta fare attenzione e usare con criterio il computer  magari se uno deve visualizzare cartoline leggere quelle proveneniti da siti fidati e  se proprio avete paura di essere infettati scrivetevi il codice che di solito  inviano per visualizzare la cartolina e digitatelo manualmente direttamente nel sito delle cartoline virtuali, verificando che non si tratti di phishing e non aprendo eventuali allegati sospetti previa scansione antivirus.

SEGUE ARTICOLO INTEGRALE DI REUTERS

MILANO (Reuters) – Nonostante il Natale sia ormai alle porte e Internet rappresenti uno dei mezzi più diffusi per scambiarsi gli auguri, è bene fare attenzione a bigliettini elettronici, screensaver con Babbo Natale ma anche a siti Web su cui acquistare regali che potrebbero nascondere gravi minacce per la sicurezza dei computer.Con il 66% degli internauti che quest’anno intende usare il Web per i regali di Natale, anche navigare online diventa rischioso, secondo quanto riferito in una nota da Websense, leader nelle protezioni per la navigazione sul Web.

Secondo Websense anche siti al di sopra di ogni sospetto possono essere bersaglio di attacchi che possono installare sui pc degli internauti “in modo inconsapevole applicazioni maligne, magari travestite da screensaver di Babbo Natale”.

Anche le classiche mail che contengono un link da cui scaricare una cartolina di Natale digitale possono rappresentare una minaccia. “Guardatevi dalle cartoline di auguri che arrivano da ‘un amico’, ‘un collega’, ‘un membro della famiglia’potrebbe non trattarsi di loro”, avvisa Websense.

Meglio evitare di aprire anche mail con allegati dal contenuto divertente e all’apparenza interessante, come file animati con la neve che cade o slitte di Babbo Natale che volano sui tetti.

“(Questi dispositivi) catturano gli occhi dell’utente e lo distraggono, mentre avviene l’installazione occulta di un virus chiamato ‘cavallo di Troia’…è uno dei tipi di attacchi via email più usati sotto Natale”, dice Websense.

Oltre agli attacchi, i cyber criminali cercano di penetrare nei pc anche offrendo “false soluzioni” come pop-up che diagnosticano finti virus e offrono una scansione gratuita del pc alla ricerca di possibili intrusioni.

E ancora, uno dei più recenti vettori di attacco consente ai malintenzionati di aggirare le protezioni antivirus, in una tecnica chiamata “frammentazione dello script” che consiste nel suddividere il malware in pezzi più piccoli per ingannare iI motore di scansione antivirus.

Per chi naviga in rete alla ricerca di regali è bene guardarsi da offerte troppo allettanti: occhio agli acquisti online a prezzi da super saldo, possono essere solo un modo per i cyber criminali per impossessarsi dei dati della vostra carta di credito, secondo Websense.

Secondo statistiche fornite da Google, quest’anno il 66% del popolo della rete intende usare il Web per gli acquisti di Natale, il 77% pensa che acquisterà online la metà o più dei propri doni natalizi e l’86% userà il Web per raccogliere informazioni sui possibili regali prima di acquistarli in negozio.

Categories : Bufale e Hoax,News,Sicurezza Tags : , , , , , , , ,

MS Windows Wormable Vulnerability, Out-of-Band Patch Released (MS08-067)

Inserito da 24 Ottobre, 2008 (0) Commenti

Si tratta di :Sicurezza

Threat Type: Malicious Web Site / Malicious Code

Websense® Security LabsTM has received reports of exploits circulating in the wild that take advantage of a serious Windows vulnerability. Microsoft just released an out-of-band patch to address this just hours ago (see MS08-067).

The remote code execution vulnerability is found in netapi32.dll, and carries a severity rating of “Critical” by Microsoft, affecting even fully patched Windows machines. This vulnerability (CVE-2008-4250) allows malicious hackers to write a worm (self-propagating malicious code without need for any user interaction), by crafting a special RPC request. A successful exploitation would result in the complete control of victim machine.

To date, we have seen attacks installing a Trojan (Gimmiv) upon successful exploitation. At the time of this alert, only 25% of 36 anti-virus vendors could detect this malicious code. Blocking TCP ports 139 and 445 at the firewall is only a partial solution because most desktops have file/printer sharing turned on. The out-of-band patch release by Microsoft testifies to the severity of this vulnerability and the urgency for an immediate fix.

Websense is monitoring the development of this attack, and has classified the corresponding Web sites and malicious code that the exploit downloads.

More information:

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4250

http://blogs.technet.com/mmpc/archive/2008/10/23/get-protected-now.aspx

http://blogs.technet.com/swi/archive/2008/10/23/More-detail-about-MS08-067.aspx

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Categories : Sicurezza Tags : , , , , , , , , , , , , , , , , , , , , , ,

Un virus, malware, worm arriva nella stazione spaziale Internazional della Nasa

Inserito da 30 Agosto, 2008 (0) Commenti

Si tratta di :Sicurezza

NASA virus

La stazione spaziale Internazionale è stata infettata da un virus, non mi sembra una cosa strana perchè informandosi bene si scopre che la Nasa per la ISS utilizza Windows come sistema operativo, la responsabile del contagio sarebbe una penna usb che portata a bordo da un astronauta, ha infettato i sistemi.. questo è altamente probabile ma io mi chiedo e se c’è qualche zampino di un hacker in fondo è normale che pur complessi questi sistemi e superprotetti hanno un accesso remoto..
Si dice che il sistema ha infettato aree non critiche, e minimizzando sostengono che è infetto una minima parte usata per per l’invio delle e-mail sulla terra e per la programmazione dell’alimentazione degli astronauti, chissà qualche spammer avrà voluto varcare i confini dello spazio ? pure sullo spazio ??? vanno a fare spam ? sebbene ci siano 400 km di distanza è una cosa normale visto che si utilizza un sistema che essendo usato da moltissimi utenti ben si presta ad essere infettato… non solo per la sua diffusione ma anche per la facilità nell’eseguire operazioni basta una svista e parte un click, mentre in sistemi tipo linux o unix o in generale open source cose del genere non succedono anche perchè in genere un computer dovrebbe fare una cosa e bene specialmente se destinato alla Nasa si presume che a bordo ci sia gente capace di usare altri sistemi… e poi perchè usare software proprietario ????? perchè non personalizzare qualche distro su misura ??? ottimizando le risorse ? domande a cui nessuno forse mi darà una risposta ma questa cosa era già successo… non è la prima volta che capita ….
io consiglierei alla nasa di utilizzare una distribuzione unix o linux e personalizzarla spendendo pochissimo potrebbero avere un sistema personalizzato e non una cosa di massa… che ne dite di dare qualcosina a una dozzina di programmatori con le palle ? e cambiare sistema operativo ?


Categories : Sicurezza Tags : , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Fake Twitter Profile Links To Worm

Inserito da 6 Agosto, 2008 (0) Commenti

Si tratta di :Exploits,News

A fake profile on blogging site Twitter has a Flash Player link that installs a worm which can steal a user’s personal data.

First it was Facebook and MySpace, where messages from “friends” contained a link to install the latest Flash Player – which proved to be a worm that made the user’s computer part of a botnet. Now it’s micro-blogging site Twitter – which is the first time the site has been attacked.

The BBC reports that security company Kaspersky Lab says a fake profile on Twitter purports to have a link to a porn video. Instead it loads a fake version of Flash that in fact contains programs capable of stealing personal data. Kaspersky also discovered the worms on Facebook and MySpace.

The fake profile is in Portuguese with a name that translates to “pretty rabbit.” It exhorts people to click on the link and download Flash to view the video. The problem only affects PCs running Windows.

Alexander Gostev, a senior virus analyst at Kaspersky Lab, said:

“Unfortunately, users are very trusting of messages left by friends on social networking sites so the likelihood of a user clicking on a link like this is very high.”

Written by Christopher Nickson August 06, 2008

Source : http://news.digitaltrends.com/

Categories : Exploits,News Tags : , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Internet:Fbi vs Facebook, e’ virus Si chiama Storm Worm e arriva con posta elettronica

Inserito da 5 Agosto, 2008 (0) Commenti

Si tratta di :Exploits,News,Sicurezza

ATTENZIONE E’ UN VIRUS PERICOLOSO
Si chiama Storm Worm e arriva con posta elettronica

508F73188D2323C1A926357EDFFD9F

WASHINGTON, 31 LUG – L’Fbi invita gli utenti della rete a stare in guardia da un nuovo virus comparso di recente nella posta elettronica, Storm Worm.Si tratta di un software maligno o malware che si cela in una e-mail dal titolo accattivante: ‘Fbi contro Facebook’. Rimandando a un presunto articolo, il link presente all’interno causa l’infezione del computer che diventa subito parte di una rete di computer infetti controllata da un remoto criminale della rete.

ANSA

WASHINGTON, JUL 31 – The Fbi invites network users to be alerted by a new virus appeared recently in the mail, Storm Worm. Is a malicious software or malware that is hidden in an e-mail titled captivating : ‘Fbi against Facebook’. inside the body there are a link that make infected pc because the computer immediately becomes part of a network of infected computers controlled by a remote criminal network.

Categories : Exploits,News,Sicurezza Tags : , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Antivirus

Inserito da 6 Luglio, 2008 (0) Commenti

Si tratta di :
Elenco Antivirus, si può leggere dalle relative pagine le caratteristiche…
Esistono ottimi antivirus che pur non essendo particolamente pubblicizzati hanno un ottimo livello di
rilevazione di ogni sorta di codice maligno, virus, trojan, worm ed altro.
Installare un antivirus dipende dal tipo di pc, dall’utilizzo che se ne fa, in realtà si dovrebbe scegliere
l’antivirus in base al tipo di lavoro e in base al sistema operativo
Antivirus Versione Gratuita
testare l’antivirus e la protezione real time se presente
digitare in un nuovo file di testo la stringa: X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
rinominare il file .com
Questo è una stringa universale che serve a testare l’antivirus senza essere infettati, non si tratta di un virus, non provoca nessun danno al sistema serve solo ad essere usato per testare il buon funzionamento del sistema antivirus.
Categories : Tags : , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Sulle tracce di MyDoom con Nmap

Inserito da 3 Novembre, 2007 (0) Commenti

Si tratta di :Sicurezza

Sulle tracce di MyDoom con Nmap

di Maurizio Anconelli

Il ritardo con il quale è stata rilasciata la signature per MyDoom da parte della maggior parte di aziende produttrici di antivirus ha contribuito non poco alla vasta diffusione del worm. A causa di ciò, anche chi ha una rete monitorata da un sistema antivirus costantemente aggiornato si è trovato probabilmente alle prese con qualche istanza di questo simpatico bruco. Nonostante i vari programmi di monitoraggio su rete Microsoft, il buon vecchio Nmap su una stazione Linux si è dimostrato il migliore e più veloce strumento per scovare le stazioni infette in un dominio Windows 2000.

Una delle poche certezze nei primi attimi di allerta mondiale è stata la porta 3127 aperta sul sistema colpito. La pericolosità di una backdoor sempre in ascolto è ovvia ma avere una porta aperta ben definita può dimostrarsi un ottimo parametro segnalatore del virus, una specie di led rosso fra una marea di lucine verdi. Conoscendo le caratteristiche del bersaglio dobbiamo quindi scegliere uno strumento adeguato che ci permetta nel più breve tempo possibile il rilevamento dei sistemi colpiti, senza ovviamente correre rischi o aggravare la situazione.

La scelta della stazione di partenza ricade ovviamente su una Linux-box ben attrezzata, dalla quale è possibile muoversi nel sistema senza correre rischi. Nella prima risposta ad una infezione su sistemi Microsoft è, infatti, sempre consigliabile agire da una piattaforma differente, in modo da non incorrere negli stessi problemi dei sistemi colpiti. Lo scanner scelto non può essere che Nmap di Fyodor, presente praticamente in ogni distribuzione Linux, scaricabile comunque dal sito insecure.org .

Per controllare un singolo host lanciamo nmap con i seguenti parametri :

nmap -sS -T4 -p 3127 192.168.0.10

-sS sta per scansione SYN, -T4 è la velocità di scansione (la massima è 5), -p indica il numero della porta.

L’output sarà il seguente :

Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-01-27 09:17 CET

Interesting ports on 192.168.0.10:

PORT—STATE—SERVICE

3127/tcp closed unknow

Lo stato della porta (closed in questo caso) ci dirà se il virus è presente o meno. Se il risultato fosse ‘open’ è conveniente eseguire uno spegnimento immediato della stazione colpita e procedere alla disinfezione manuale o attraverso i vari pacchetti di rimozione distribuiti dai produttori di antivirus.

Possiamo agevolmente scansire un’intera rete di pc col seguente comando:

nmap -sS -T4 -p 3127 192.168.0.0/24

Se la porta 3127 fosse già occupata il worm ne sceglie un’altra nel range 3128-3199, conviene quindi estendere la ricerca a queste porte:

nmap -sS -T4 -p 3127-3199 192.168.0.0/24

Evitiamo l’opzione -v (verbose) in modo da avere una visione immediata dello stato della porta.

Ok, neanche il tempo di divertirci con la prima versione che è già in pista Mydoom.B. Le porte scelte dalla mutazione del lombrico sono oltre alla 3127 : 80, 1080,3128,8080,10080. Possiamo semplicemente aggiungere le porte alla lista ma, se avessimo una sottorete di classe B con svariati server web e proxy in ascolto, come possiamo distinguere con immediatezza se il servizio in ascolto sia o meno il worm o un server appropriato?

E’ qui che entra in gioco una delle ultime funzionalità di Nmap: la scansione del servizio (Version Detection). Possiamo ora interrogare una porta aperta in modo da conoscere quale server la stia utilizzando. Tutto ciò grazie ad un database con le siganture di risposta della maggior parte dei servizi conosciuti. Il comando che ci serve è –sV.

nmap -sV -T4 -p 80,8080 192.168.0.1

Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-01-27 09:17 CET

Interesting ports on 192.168.0.10:

PORT—-STATE—-SERVICE—VERSION

80/tcp open http Microsoft IIS webserver 5.0

8080/tcp open http-proxy Microsoft ISA Server http proxy

In questo caso nmap ha trovato le porte 80 e 8080 in ascolto e le ha interrogate in modo da conoscere il reale processo server che ha aperto il servizio, scoprendo così un server web IIS e il proxy di casa Microsoft ISA Server.

La versione finale della nostra stringa di ricerca sarà quindi il seguente:

nmap -sV -T4 -p 3127-3199,80,8080,1080,10080 192.168.0.0/24

Possiamo fare ancora meglio. Aggiungendo la signature del worm al database nmap-service-probes, sarà nmap stesso ad avvisarci della presenza del virus. Il file nmap-service-probes si trova nella directory /usr/local/share/nmap/ o /usr/share/nmap/ a seconda della distribuzione. Trovato il file aggiungiamo le seguenti righe (tutto ciò che è preceduto da # è un commento):

######   MyDoom  #######
Probe TCP return-enter q|n|
ports 80,1080,3127,3128,8080,10080 
match mydoom m/^x04x5bx00x00x00x00x00x00$/ v/original///

Attenzione alle tre barre rovesciate (///) finali che segnalano il termine della signature.

Categories : Sicurezza Tags : , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,