Sicurezza informatica Thread di Informazione sui Virus e sul PC (1 Viewer)

[effezeta]

WORM A PORTA APERTA
-------------------

Scoperto solo qualche ora fa, Alua (noto anche come Bagle.B) ha messo subito in allarme i centri di ricerca delle grandi aziende produttrici di software antivirus. Questo mass-mailing worm si sta infatti diffondendo molto rapidamente ed e' probabile che raggiunga l'Italia nelle prossime ore.

Il pericolo principale che si troveranno ad affrontare i proprietari dei computer infettati da Alua e' l'apertura di una backdoor, ovvero una porta di accesso al computer capace di permettere operazioni potenzialmente pericolose a chi ha messo in circolazione il worm.

Ad essere colpiti sono tutti i sistemi Windows dalla versione 95 in poi.

APPENA SCOPERTO
---------------

Il worm e' stato intercettato dai laboratori di sicurezza soltanto nelle ultime ore e i tecnici sono ancora al lavoro per capirne l'esatto funzionamento. Anche a questo si devono le differenze nei modi in cui i principali produttori di software di sicurezza stanno interpretando questa infezione.

Secondo Trend Micro, ad esempio, l'attuale diffusione del worm e' media ma le sue potenzialita' di diffusione sono elevatissime. Secondo il laboratorio Security Response di Symantec, invece, Alua va considerato un worm di livello 3, su 5 livelli disponibili.

In ogni caso questo worm dovrebbe cessare ogni attivita' il prossimo 25 febbraio 2004, lasciando pero' aperte le backdoor sui computer infetti.

COME RICONOSCERLO
-----------------

Alua e' difficile da riconoscere perche' il soggetto del messaggio di posta elettronica con cui si diffonde puo' essere una frase qualunque, cosi' come il mittente, che e' scelto a caso tra gli indirizzi che il worm riesce a scovare all'interno del sistema infetto (nei file .wab, .txt. htm, .html).

I segni distintivi si trovano pero' nel corpo del messaggio che, pur variando di volta in volta, rimane riconoscibile:

Yours ID (caratteri vari)
- -
Thank

L'allegato si presenta come un file .exe il cui nome e' composto da 7 caratteri.

CHE DANNI PROVOCA
-----------------

Fino ad ora si e' accertata la capacita' di Alua di autoinviarsi attraverso l'email sfruttando direttamente il protocollo SMTP, quello che viene usato per la trasmissione della posta elettronica su Internet.

Ben piu' grave, pero', e' come accennato l'apertura di una backdoor che potrebbe rappresentare un rischio serio per i dati contenuti nel computer. Inoltre, potrebbe consentire l'utilizzo delle macchine infettate per lanciare attacchi di tipo DoS (Denial of Service), che consistono nell'invio ad un determinato server di un numero talmente elevato di richieste da inibirne il funzionamento.

La porta aperta dal worm e' la TCP 8866, chi utilizza un firewall puo' dunque bloccare questa porta per evitare la propagazione di Alua.

COME PROTEGGERSI
----------------

Come sempre il consiglio e' quello di evitare l'apertura di messaggi sospetti, il cui contenuto e' simile a quello descritto nella sezione "Come Riconoscerlo".

Aggiornare il proprio software antivirus controllando che il produttore abbia gia' fornito le chiavi di difesa.

ULTERIORI INFORMAZIONI
----------------------
Per saperne di piu' o per seguire gli sviluppi di questo worm e' possibile collegarsi alle apposite pagine di due dei principali produttori di software antivirus:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.B
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

 

[effezeta]

UN PROBLEMA DI SICUREZZA
------------------------

Microsoft ha annunciato poco fa di aver risolto un problema di sicurezza che riguarda Windows NT ed XP, Windows 2000 e Windows Server 2003.

COSA FARE
---------

Chi possiede uno dei sistemi Windows coinvolti e' invitato a scaricare ed installare in tempi rapidi la patch, cioe' la soluzione messa a punto da Microsoft per risolvere definitivamente una vulnerabilita' del sistema operativo.

QUALI SONO I RISCHI
-------------------

Sulla carta, qualora un malintenzionato prendesse di mira il computer di un utente che non abbia installato la patch, allora potrebbe cancellare file, creare nuovi file, installare ed avviare programmi e fare, in pratica, tutto cio' che con il computer puo' fare normalmente l'utente.

COME INSTALLARE LA PATCH
------------------------

Chi ha configurato il proprio Windows per l'accesso automatico agli aggiornamenti del sistema operativo non dovra' occuparsi di nulla in quanto Windows scarica la patch da se'.

Gli altri utenti, invece, possono recarsi sulle pagine di Windows Update ed eseguire la procedura guidata per lo scaricamento e l'installazione dell'update di sicurezza.

Per andare su Windows Update e' sufficiente cliccare su questo link:
http://windowsupdate.microsoft.com/

TRE IN UNA
----------

Oltre alla patch piu' urgente, nello stesso giorno Microsoft ha anche rilasciato due ulteriori patch che possono essere scaricate ed installate esattamente come quella descritta piu' sopra.

ULTERIORI INFORMAZIONI
----------------------

Microsoft ha predisposto una pagina del proprio sito dedicata alle patch:
http://www.microsoft.com/security/security_bulletins/20040210_windows.asp

Da quella pagina e' possibile accedere all'analisi tecnica dei problemi di sicurezza individuati e dei rimedi predisposti.

 

[Argema]

Grazie effe

 

[effezeta]

NON TROPPO PERICOLOSO
---------------------

Seppure sia stato scoperto da poche ore Netsky.B ha gia' dimostrato grandi capacita' di diffusione. Questo mass-mailing worm non provoca particolari danni ed e' noto anche con il nome di Moodown.B. Secondo alcuni le prime infezioni sono state registrate in Giappone e in Germania.

Ad essere colpiti sono i sistemi Windows dalla versione 95 in poi.

DIFFICILE DA INDIVIDUARE
------------------------

Come quasi tutti i recenti worm anche Netsky.B utilizza un mittente a caso per le email che lo contengono. Il soggetto del messaggio con cui arriva puo' essere uno dei seguenti:

fake
hello
hi
information
read it immediately
something for you
stolen
unknown
warning

Il testo del messaggio e il nome dell'allegato possono essere scelti a caso da circa 40 diverse frasi e nomi. L'allegato puo' presentarsi con estensione .exe, .scr, .com o .pif.

COSA FA
-------

Una volta eseguito l'allegato contenente Netsky.B, il sistema viene infettato dal worm che prima procede ad una serie di inserimenti nel registro di configurazione di Windows dove, non contento, cancella anche alcune chiavi utili all'avvio del sistema e all'individuazione del worm.

Al suo avvio, ma solo qualche volta, il worm presenta un finestra con il messaggio "The file could not be opened!" (Il file non puo' essere aperto!).

Il worm copia se stesso in varie directory e tra queste c'e' anche la cartella in cui e' installato Windows, dove si possono trovare 40 file .zip contenenti Netsky.B.

Quindi comincia a cercare negli hard disk del computer gli indirizzi email ai quali si autospedira' utilizzando un proprio SMTP, il protocollo che permette la gestione della posta elettronica su Internet.

Un sistema infetto da Netsky.B si ritrovera' tra i programmi in esecuzione un processo dal nome "AdmSkynetJklS003".

COME PROTEGGERSI
----------------

Come sempre il consiglio e' quello di evitare l'apertura di messaggi sospetti.

Aggiornare il proprio software antivirus controllando che il produttore abbia gia' fornito le chiavi di difesa.

ULTERIORI INFORMAZIONI
----------------------

Per saperne di piu' o per seguire gli sviluppi di questo worm e' possibile collegarsi alle apposite pagine di due dei principali produttori di software antivirus:
http://it.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_NETSKY.B
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

----------------------------------------------------------------------

 

[ragiul]

Ciao effezeta, mi daresti delle informazioni per quanto riguarda un firewall per la connessione adsl?
Ho visto che c'è ne sono parecchi in giro alcuni anche gratis.
So che chiedo troppo ma ne vorrei installere uno che funzioni bene e che costi poco.

ciao e grazie

 

[effezeta]

Ciao effezeta, mi daresti delle informazioni per quanto riguarda un firewall per la connessione adsl?
Ho visto che c'è ne sono parecchi in giro alcuni anche gratis.
So che chiedo troppo ma ne vorrei installere uno che funzioni bene e che costi poco.

ciao e grazie

Ho girato la domanda all'esperto, rimani in attesa

 

[ginus]

Questo è interessante.
L'ho ricevuto nella mia casella e.mail, potrebbe diventare molto utile.
Al momento non ho installato niente di quanto suggerito, sarebbe utile che un esperto vagliasse i consigli dati per vedere se ci può essere qualcosa dietro:


Inviato : lunedì 23 febbraio 2004 10.42.35
Oggetto : SICUREZZA




Dato il dilagare di virus e spam nelle caselle di posta elettronica, ènecessario diffondere informazioni atte ad arginare questi fastidiosi fenomeni.Ecco delle semplici regole che TUTTI dovremmo seguire per la nostra (e non solo)sicurezza in rete: 1. Non usare Outlook: questo è il programma che ha provocato più danni negliultimi anni; uno dei principali problemi è che permette l'esecuzioneindesiderata di script e comandi. Tutti i provider offrono l'accesso tramite weballa propria casella di posta, che è in assoluto il metodo migliore per evitarequalsiasi problema.Se proprio non si può fare a meno di un programma, una valida alternativa èofferta da Thunderbird*, scaricabile gratuitamente da:http://www.mozillaitalia.org/archive/#p3* = per funzionare in una rete locale deve essere correttamente configurato2. Non usare Internet Explorer (se non strettamente necessario): è il browsermeno sicuro del pianeta; molti dialer hanno gonfiato le bollette degli italianiproprio perché esegue codice malevolo, presente sulle pagine Web, senza chel'utente se ne accorga.Firefox* è un browser veloce, affidabile e gratuito che riesce anche a bloccarei fastidiosissimi pop-up: http://www.mozillaitalia.org/archive/#p2I più radicali possono rimuovere completamente Internet Explorer con questautility: http://www.litepc.com/ieradicator.html3. Dotarsi di antivirus: sembra banale, ma molti non hanno questo necessariostrumento installato sui propri computers (sia d'ufficio che di casa).Avast!* è gratuito (per uso personale), in italiano e si aggiornaautomaticamente: http://www.avast.com/i_idt_1016.htmlper attivarlo è necessaria la registrazione:http://www.avast.com/i_kat_207.php?lang=ITA4. Dotarsi di firewall: il computer è dotato di 65000 porte logiche che possonopermettere a malintenzionati di entrare ad insaputa dell'utente. Il Firewall(domestico) è un software che "filtra" e notifica quello che entra ed esce dalcomputer quando si è connessi, consentendo non solo la difesa dai tentativi diattacco rivolti verso il nostro PC, ma anche di identificare e rendere innocual'azione di applicazioni maligne che tentino di comunicare informazionipersonali attraverso la Rete.Sygate Personal Firewall è un sistema certificato, compatibile XP, dotato diottime caratteristiche e naturalmente gratuito:http://smb.sygate.com/products/spf_standard.htmPer verificarne poi l'efficacia potete, dopo averlo installato, eseguire i testdel sito http://www.pcflank.com/ (voce del menù a sinistra denominata 'TestYour System')5. Dotarsi di strumenti "anti-spionaggio": navigando in rete si ricevonoinconsapevolmente dei piccoli programmini, che hanno la funzione di monitoraregusti ed attività degli utenti per comunicarli ad un determinato committente ascopo di marketing. Oltre alla violazione della privacy personale, questapratica è particolarmente grave perché possono essere copiati documenti ed altromateriale riservato. Suggerisco di installare sia Ad-aware* che SpyBot* (sicompletano a vicenda):- http://lavasoft.element5.com/italian/software/adaware/- http://www.safer-networking.org/index.php?page=spybotsd&lang=it* = per funzionare in una rete locale deve essere correttamente configurato6. Windows XP vìola la privacy: questo nuovo sistema operativo ha diversefunzioni implementate per tutelare gli interessi dell'azienda produttrice adinsaputa dell'utente.E` possibile disabilitarne molte con questa utility (disponibile in italiano):http://xp-antispy.org/index.php?option=com_remository&Itemid=26&func=selectcat&cat=17. Veloce sì, ma senza spie: molti software per velocizzare lo scaricamento difiles da internet contengono meccanismi ad-ware. Star Downloader Free* è un buonaccelleratore che non contiene banner né spie: http://www.stardownloader.com/* = per funzionare in una rete locale deve essere correttamente configurato8. Attenzione al P2P ! Alcuni programmi di scambio files, come Kazaa MediaDesktop, contengono funzioni per segnalare cosa si scarica ad enti di controlloe simili.Usare solo applicazioni sicure, come Kazaa Lite K++* (magari coadiuvato da DietK): http://www.kdp.2ya.com/ ( http://www.dietk.com/download.php ) * = per funzionare in una rete locale deve essere correttamente configuratoGli utenti di connessione a banda larga (DSL e superiori) possono invecesfruttare la rete eDonkey col client eMule*: http://www.emuleitalia.net/DC++ è invece una versione alternativa (e miglirata) del client Direct Connect*:http://dcplusplus.sourceforge.net/index.php?page=download* = per funzionare in una rete locale deve essere correttamente configurato9. Attenzione ai player: diversi programmi per ascoltare i files musicali ovedere quelli video, contengono procedure che comunicano ai "siti madre" cosaascoltate o vedete.Media Player Classic è un'ottimo player per ogni tipo di file:http://sourceforge.net/project/showfiles.php?group_id=82303&package_id=8435810. Archiviazione sicura: molti software per la compressione dei files sonodiventati negli ultimi tempi adware o peggio ancora spyware.7-Zip, oltre ad essere gratuito e sicuro, offre livelli di compressioneimbattibili: http://www.7-zip.org/11. Tenersi aggiornati: nessun programma è esente da errori, per cui quandoescono gli aggiornamenti sarebbe opportuno installarli.Non è necessario controllarli quotidianamente, ma almeno una volta ogni quindicigiorni (ogni settimana per antivirus e antispy).12. Connettersi ad internet in modo sicuro: se si utilizza il modem o l'ISDN(sia da casa che dall'ufficio) è necessario accedere con un provider chegarantisca la sicurezza.CheapNet, oltre ad offrire la connessione gratuita, è veloce ed implementa unottimo servizio anti-dialers: http://secur.cheapnet.it/13. Non pubblicare l'email: per essere al riparo dallo spam, è bene dotarsi didue caselle di posta; una principale ed una di servizio (a tal fine si potrebbeusare quella che fornisce CheapNet con la connessione).Usare quella principale per le comunicazioni dirette con persone di cui ci sifida e quella secondaria per "trafficare" in rete (guestbooks, annunci, forums,ecc).In qualsiasi caso è bene "truccare" l'indirizzo, ad esempio modificandolo così:[email protected] --> [email protected]14. Quando si inviano delle circolari (come questa per esempio) è bene nondiffondere gli indirizzi presenti nella rubrica; oltre che violare la privacy,si può incrementare la diffusione dei virus ! Usare sempre il campo 'CCN' (o 'BCC') così i destinatari non visualizzerannol'elenco delle email a cui si è spedito.15. Avere buon senso: se qualcuno propone visite gratuite per siti a pagamento ochiede di inviare i dati personali e della carta di credito, NON FARLO !I siti che vendono merce in rete usano protocolli sicuri per i pagamenti, quindinon inviare i dati se non attraverso un apposito form (l'indirizzo inizia perHTTPS://).16. Non usare i formati Microsoft Office (se non strettamente necessario): inoti macro visus, che si trasmettono attraverso i files di Word, spessoinfettano intere aziende.Salvare in formato RTF che, oltre ad essere compatibile con TUTTI i programmi divideoscrittura esistenti, è immune da questo problema.Per chi usa solo Word ed Excel, c'è anche un'ottima suite da provare -OpenOffice: http://it.openoffice.org/17. Tenere sempre a mente la Netiquette:http://www.bio.unipd.it/local/internet_docs/netiq.html>>> Può inoltrare questa mail (rispettando il punto 14) ai suoi colleghi, amicie conoscenti, così da diffondere la cultura della sicurezza. <<<

 

[liviped]

Ciao Effezeta,

E' da circa un mese che puntualmente, una volta al giorno, a volte anche due, mi appare un pop-up a piena pagina di un sito di giochi. Quando lo chiudo si toglie la connessione e dopo qualche secondo si connette lui ( invece di connessione remota mi appare ND è connesso - penso sia un dialler). Aggiungo che ho Norton Antivirus ed anche Check-Bo.


Spero che tu o qualcun'altro mi possa aiutare. Grazie.

liviped

 

[percefal]

Ciao effezeta, mi daresti delle informazioni per quanto riguarda un firewall per la connessione adsl?
Ho visto che c'è ne sono parecchi in giro alcuni anche gratis.
So che chiedo troppo ma ne vorrei installere uno che funzioni bene e che costi poco.

ciao e grazie

Ho girato la domanda all'esperto, rimani in attesa

Effezeta, preferisci una fattura per ogni prestazione, o una fattura cumulativa a fine mese?




Per Ragiul: Agnitum Outpost free

 

[effezeta]

Effezeta, preferisci una fattura per ogni prestazione, o una fattura cumulativa a fine mese?

Non ricordo devo chiedere al Boss, credo che la contabilità la registrino ogni quinquennio e i pagamenti vengano effettuati nell'esercizio successivo, salvo approvazione

Non è così Argema?