Vai al contenuto
Conficker batte anche Windows 7, se l’utente aiuta

Conficker batte anche Windows 7, se l’utente aiuta

Windows 7 vulnerabile a Conficker: è ora di pensionare l’Autoplay?

F-Secure segnala che il trucchetto d’ingegneria sociale usato da Conficker funziona anche con Windows 7.

Se si inserisce una penna USB infetta in una macchina Windows 7, compare la finestra di Autoplay, che chiede all’utente cosa fare. La finestra contiene un’opzione-trappola: è la prima nella figura qui accanto, che sembra essere un invito ad aprire una cartella (dunque un gesto che riteniamo innocuo) ma in realtà esegue Conficker.

In Windows Vista l’opzione-trappola può saltare all’occhio maggiormente, perché la dicitura “Open folder to view files” è sempre in inglese (è hardcoded nella riga Action dell’autorun.inf scritto da Conficker) a prescindere dalla lingua del sistema operativo ospite. Presumo che chi sta collaudando Windows 7 abbia invece scelto la versione inglese, nella quale la trappola si mimetizza molto bene. Quanti, infatti, noteranno che sopra l’icona autentica di Windows c’è scritto “Install or run program”?

The Register suggerisce che visto che Windows 7 è ancora in beta, ci sia ancora tempo per modificare il modo in cui funziona l’Autoplay e renderlo un grimaldello meno efficace, o per eliminarlo del tutto. Credo che saremmo in tanti a rinunciare volentieri alla relativa comodità di questo automatismo in cambio di una maggiore sicurezza.

Intanto arrivano segnalazioni di danni causati da Conficker e soprattutto dalla scelleratezza dei manager responsabili per l’aggiornamento dei computer. Sempre secondo The Register, la rete informatica degli ospedali di Sheffield, nel Regno Unito, ha oltre 800 PC infetti, grazie anche al fatto che era stata presa la decisione di disattivare gli aggiornamenti di sicurezza su tutti e 8000 i PC della rete dopo che nella settimana di Natale i PC di una sala operatoria si erano riavviati nel bel mezzo di un intervento chirurgico. Brr.

Come se non bastasse, un’epidemia di Conficker sembra essere la causa dei guai ai sistemi informatici della Marina Militare britannica. Sì, perché le navi da guerra e i sommergibili di Sua Maestà usano NavyStar/N*, un sistema basato su PC Windows standard. Siamo in buone mani: chi ha bisogno di missili e soldati, quando grazie all’incoscienza dei governanti basta un virus informatico per seminare la confusione nelle forze armate del nemico? Evidentemente nessun ministro della difesa guarda Battlestar Galactica.

Aggiornamento: istruzioni Microsoft sbagliate (2009/01/21)

Il CERT avvisa che le istruzioni di Microsoft per disabilitare l’Autoplay/Autorun sono sbagliate:

According to Microsoft, setting the NoDriveTypeAutorun registry value to 0xFF “disables Autoplay on all types of drives.” Even with this value set, Windows may execute arbitrary code when the user clicks the icon for the device in Windows Explorer.

Le istruzioni corrette secondo il CERT sono indicate nell’avviso. Grazie a Luigi per la segnalazione. In sintesi: copiate e incollate le tre righe seguenti nel Blocco Note di Windows e salvatele con il nome autorun.reg.

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@=”@SYS:DoesNotExist”

In Esplora Risorse, fate doppio clic su questo file. Poi riavviate Windows.

Aggiornamento (2009/01/22): Microsoft ha corretto le istruzioni

Microsoft ha pubblicato le istruzioni corrette e aggiornate in inglese; la versione italiana è per ora una traduzione automatica non molto comprensibile.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Virus nelle multe, nuove frontiere del social engineering

Virus nelle multe, nuove frontiere del social engineering

Quando il virus arriva su carta

Nuove frontiere delle aggressioni virali: il SANS Institute segnala che a Grand Forks, nel North Dakota, vari automobilisti hanno trovato sui propri veicoli dei volantini che li avvisavano di un’infrazione al codice della strada dovuta al modo in cui avevano parcheggiato e li invitavano a visitare un sito specifico (che non cito qui) per vedere immagini dell’infrazione.

In realtà il sito usa un trucco psicologico per installare un virus, o meglio un trojan horse, denominato Vundo, che si spaccia per un antivirus. Gli aggiornamenti dei principali antivirus (quelli veri!) sono già in grado di riconoscere questo attacco decisamente originale.

L’aspetto del sito-trappola è quello di un servizio dedicato alla pubblicazione di foto di infrazioni automobilistiche: per consultarlo, chiede di installare un apposito programma, PictureSearchToolbar.exe, che in realtà inietta nel computer della vittima (se si tratta di una macchina Windows che visita il sito con Internet Explorer) una DLL ostile dal nome generato a caso.

A sua volta, questa DLL scarica di nascosto da Childhe.com un’altra DLL. Al riavvio del computer, durante la navigazione in Internet compare un falso avviso di sicurezza, che informa l’utente di “vari segni della presenza di virus e malware” e offre una scansione gratuita del computer infetto. Cliccando su OK, la vittima viene portata a un sito che ospita un antivirus fasullo, che in realtà fa da talpa per infettare il computer della vittima con ogni sorta di porcherie.

E’ la prima volta, a quanto mi risulta, che una campagna d’infezione virale sfrutta un oggetto del mondo reale a basso costo come un foglio di carta (ci sono precedenti a base di penne USB infette lasciate in giro, ma sono approcci costosi). Altre immagini di questa nuova tecnica, come la schermata qui sopra, sono pubblicate da McAfee.

L’attacco gioca dunque sulla pressione psicologica doppiamente (oddio, ho preso una multa; oddio, ho il computer infetto) per scavalcare le difese informatiche dell’utente e depositare nel suo computer un malware che per il resto segue uno schema già visto, quello del falso antivirus: la novità sta nell’esca cartacea.

Visto che quest’attacco richiede manovalanza sul posto e permette di circoscrivere il tentativo d’intrusione a una zona geografica ben precisa, viene da chiedersi se la scelta di Grand Forks sia mirata. Il nome della località è infatti ben noto a chi si occupa di sicurezza militare strategica, perché è quello dell’unica base di missili antimissili nucleari mai installata dagli Stati Uniti: i missili sono stati poi smantellati, ma la base rimane ed ora è candidata ad essere l’area di collaudo dei nuovi aerei senza pilota. Un caso?

Comunque sia, provo una certa invidia per la genialità di questi criminali e non posso fare a meno di pensare che sarebbe una bella forma di vendetta verso gli idioti che parcheggiano come se fossero i padroni del mondo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
My.barackobama.com, trappola presidenziale

My.barackobama.com, trappola presidenziale

Barack attack!

Nell’era di Internet, la popolarità di un presidente americano si misura anche dal numero di trappole informatiche che lo coinvolgono. Websense riferisce che il sito My.barackobama.com, creato come luogo d’incontro virtuale per i sostenitori del neoeletto Barack Obama, in stile MySpace, viene sfruttato dagli aggressori per iniettarvi delle immagini che sembrano video di Youtube, con l’invito a cliccarvi sopra. Chi clicca viene portato a un sito che fa finta di essere Youtube (esteticamente è identico) ed è pieno di immagini porno. Cliccando sui filmati si viene invitati a scaricare un “codec” che servirebbe per vedere i video ma in realtà è un software ostile: un trojan horse. Altri dettagli tecnici sono disponibili presso Vil.nai.com.

Il trucchetto del codec non è originale; la novità sta nello sfruttamento di un sito molto visibile e di ottima reputazione. Gli aggressori hanno infatti disseminato di link alle pagine taroccate di My.barackobama.com i commenti dei blog e i forum in giro su Internet, sapendo che gli utenti, vedendo che il link porta a un sito affidabile, saranno portati a cliccarvi sopra.

Non è nota al momento la funzione di questo software ostile, che è un file .exe su misura per Windows. Gli utenti Mac e Linux non sono quindi vulnerabili a questa minaccia. Per gli utenti Windows resta sempre valido il consiglio di non scaricare ed eseguire nulla che non provenga da fonti tradizionali: perché mai un sito di Barack Obama dovrebbe chiederci di installare un programma?

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Finite le epidemie di virus? Non proprio

Finite le epidemie di virus? Non proprio

Zitto zitto, Conficker infetta tre milioni e mezzo di utenti

Anche a voi pare strano che da un bel po’ di tempo a questa parte non ci siano più le epidemie di virus informatici che periodicamente si scatenavano in passato? Infatti ci sono ancora, ma sono diventate più discrete, ora che lo scopo delle infezioni non è fare danni visibili, ma introdursi di soppiatto per poi usare il sistema infetto per altri crimini.

F-Secure segnala appunto Conficker, noto anche come Downadup, che si aggira per la Rete da novembre scorso e sfrutta una vulnerabilità di Windows (la MS08-067) che Microsoft ha già corretto da tempo (da ottobre 2008). L’ultimo conteggio indica che i PC infettati nel mondo sono oltre tre milioni e mezzo.

E’ una stima piuttosto precisa, perché una delle caratteristiche di Conficker è quella di “chiamare casa”: dopo essersi insediato nel computer della vittima, si collega automaticamente a vari siti, dai quali scarica un programma ostile scelto dai suoi padroni. Una tecnica in sé non nuova, ma proposta qui con una variante che la rende molto più pericolosa che in passato.

Infatti gli altri virus che “chiamavano casa” potevano essere bloccati in un modo molto semplice: i responsabili della sicurezza di Internet facevano bloccare l’accesso al sito chiamato dal virus, che così non poteva più scaricare nulla o prendere ordini dai suoi malvagi creatori. Una decapitazione efficace e radicale che invece non fa un baffo a Conficker, perché questo virus (più propriamente un worm, visto che si autopropaga) si collega ogni giorno a un sito differente.

Conficker sa a quale sito collegarsi perché contiene, come dice F-Secure, “un algoritmo complesso che cambia quotidianamente e si basa sui timestamp di siti pubblici come Google.com e Baidu.com. Con questo algoritmo, il worm genera molti nomi di dominio possibili ogni giorno. Centinaia di nomi, come : qimkwaify .ws, mphtfrxs .net, gxjofpj .ws, imctaef .cc, and hcweu .org (F-Secure li scrive spaziandoli per motivi di sicurezza). Così diventa impossibile farli chiudere tutti per tempo, anche perché molti di questi nomi non vengono neanche attivati e registrati. Ai criminali basta invece scegliere uno solo di questi nomi, registrarlo e collocarvi il proprio sito e software per avere pieno accesso ai computer delle vittime. Astuto.

Questo sistema è però sfruttabile anche da società di sicurezza come appunto F-Secure, che è riuscita a prevedere alcuni di questi nomi di dominio e li ha registrati e attivati: si è così infiltrata e riesce a monitorare l’infezione. In teoria potrebbe anche agire sui computer infettati, ma sarebbe contro le regole (sarebbe un’intrusione). Da qui deriva il conteggio preciso delle vittime. Symantec ha pubblicato i dati di un monitoraggio analogo.

L’altra particolarità di Conficker è l’ingegneria sociale che adopera per convincere le sue vittime: come spiega Sans.org, questo worm non si limita a sfruttare la falla MS08-067 sui computer non aggiornati (e chi non li ha aggiornati è un incosciente), ma tenta di scoprire per forza bruta le password di amministratore sulle reti locali, si propaga utilizzando le condivisioni di rete locale e soprattutto infetta i dispositivi rimovibili (penne USB, dischi esterni) creandovi un particolare file autorun.inf e depositandovi una DLL.

Per definizione, qualsiasi file autorun.inf viene eseguito automaticamente dalla funzione Autoplay di Windows quando si inserisce un disco o un CD/DVD o una penna USB (bella furbata, direte voi). Questo vuol dire che se inserite nel vostro computer Windows una penna USB infettata da Conficker, Windows aprirà automaticamente il file autorun.inf scritto dal worm e ne eseguirà le istruzioni.

Per esempio, sotto Windows Vista verrà presentata automaticamente una finestra come questa:

Qui scatta l’ingegneria sociale: la prima icona etichettata innocuamente “Open folder to view files” (“apri la cartella per visualizzare i file”) sembra appartenere a Windows, e in effetti è così, ma è stata richiamata da Conficker, che la usa come travestimento. Cliccando sull’icona, infatti, verrà lanciato Conficker e il computer verrà infettato.

I rimedi contro questo genere di infezione sono molteplici:

  • aggiornare Windows con gli aggiornamenti automatici e gratuiti di sicurezza
  • usare un antivirus aggiornato per scandire tutto quello che viene inserito o collegato al computer
  • disabilitare funzioni intrinsecamente pericolose, come l’Autoplay (le istruzioni sono facilmente reperibili in Rete a seconda della versione di Windows, per esempio qui)
  • evitare l’uso promiscuo di penne USB (per esempio per scambiarsi file fra amici o colleghi)
  • non cliccare prima di riflettere sul senso del messaggio sullo schermo

Una chicca finale: secondo The Register, Conficker evita di attaccare computer che si trovano in Ucraìna. Questo potrebbe indicare dove risiedono i suoi padroni.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Koobface, virus su misura per Facebook

Koobface, virus su misura per Facebook

Virus sociali per reti sociali: Koobface

Circola già da agosto Koobface, un virus (più propriamente un worm) costruito specificamente per fare vittime fra gli utenti dei siti di social networking, come Facebook e Myspace, ma da pochi giorni è in giro una sua nuova variante che ha raggiunto una certa notorietà perché ne hanno parlato i media generalisti.

Koobface sfrutta l’ingegneria sociale (social engineering) per propagarsi. Arriva alla vittima sotto forma di un messaggio apparentemente proveniente da un amico di Facebook della vittima. Il messaggio è in inglese, e già questo dovrebbe mettere sul chi vive l’utente italofono: dice cose del tipo “sembri buffo in questo nuovo video” oppure “sei eccezionale in questo nuovo video”.

Se la vittima clicca sul link presente nel messaggio, viene portata a un sito che sembra essere Youtube e ha un nome che inizia per http://youtube, ma è in realtà un sito-trappola. Qui le viene proposto di vedere il video, ma la visualizzazione non funziona e viene proposto di installare un aggiornamento del player Flash. Se la vittima accetta, il suo computer viene infettato e a partire dal successivo riavvio tutti i dati delle sue navigazioni (siti visitati, cookie, login, password, numeri di carta di credito, messaggi personali) vengono trasmessi di nascosto ai padroni del virus.

Il virus colpisce esclusivamente gli utenti di Windows (tutte le versioni) ed è contrastabile con una sana vigilanza e con un antivirus aggiornato.

Ancora una volta, il grimaldello preferito dagli untori della Rete per scardinare le difese informatiche delle vittime è la psicologia: si crea una situazione emotivamente coinvolgente (in questo caso si fa leva su curiosità e/o imbarazzo) e si approfitta della fiducia che inevitabilmente tendiamo a porre nei messaggi che ci arrivano, almeno in apparenza, da persone che conosciamo.

Fonti: Kaspersky, Kaspersky (versione agostana), Symantec, Cnet, BBC.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Homer Simpson come trappola virale

Homer Simpson come trappola virale

Siete fan dei Simpson? Occhio ai messaggi che arrivano da Homer

La fantasia e la creatività degli aggressori informatici non conosce limiti. Arriva da Spywareguide.com la segnalazione che sta circolando un virus, denominato Kimya, che si spaccia per una puntata inedita dei Simpsons e arriva dall’indirizzo di e-mail usato da Homer Simpson in una puntata di qualche tempo fa: chunkylover53@aol.com.

L’indirizzo esisteva realmente ed era stato attivato dall’autore e produttore dei Simpsons Matt Selman; chi lo contattava riceveva una risposta personale da Selman, con grande gioia dei fan; ma l’esperimento, realizzato nel 2003, è stato sommerso da migliaia di mail, per cui Selman ha dovuto rinunciare a rispondere a tutti (info tratta da una guida molto interessante, al limite dell’ossessivo, ai riferimenti a Internet nei Simpson, disponibile qui). Nel frattempo, però, molti utenti del sistema di messaggistica AIM (AOL Instant Messenger) di Aol.com, molto popolare negli Stati Uniti, avevano incluso l’indirizzo fra i propri contatti.

L’indirizzo chunkylover53@aol.com è rimasto dormiente per un bel po’, fino a quando è ricomparso pochi giorni fa fra gli utenti attivi nella messaggistica di AOL. Compariva un messaggio che comunicava l’assenza dell’utente ma includeva anche un invito a scaricare da un apposito link una “nuova puntata esclusiva dei Simpson, disponibile solo su Internet, che viene rilaciata soltanto ai fan su Internet”.

Il link porta a un file di circa 150 kilobyte, di nome kimya.exe, che non è affatto una puntata inedita ma un virus che dopo una serie di messaggi d’errore svuota lo schermo, rendendo necessario un riavvio (il virus agisce soltanto su Windows). Il computer infettato entra a far parte di una botnet turca e resta in attesa di ordini dal suo nuovo proprietario virale.

La morale è sempre la stessa: non cliccate mai sui link che vi arrivano da sconosciuti via mail o nei messaggi istantanei, specialmente se promettono qualcosa di allettante, munitevi di un antivirus e tenetelo aggiornato. Ma non delegate tutto all’antivirus: la prima linea di difesa del vostro computer siete voi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Lo strano appello per Stephany

Se cercate di trovare Stephany, trovate virus

Da un paio di giorni sta circolando un e-mail di appello per una bambina scomparsa di otto anni, Stephany, accompagnato da un numero di telefono e da un indirizzo di e-mail da contattare.

Bonjour

A la datte de 10/11/2007 ma fille Stephany agé de 8 ans a désparu

Je prie toute personne qui la vue de me cantater

Tél: 003365848589
Mail:benoit_franc@orange.fr

merçi de bien vouloir passer le message a vous contacte SVp

SA PHOTO http://doiop.com/stephany.jpeg

La stranezza di un appello sgrammaticato già suggerisce che non tutto sia regolare, ma la sua vera natura (anomala e pericolosa, a differenza dei soliti appelli) emerge quando si clicca, come è istintivo fare, sul link che dovrebbe portare alla foto di Stephany: invece di portare a http://doiop.com/stephany.jpeg, porta in realtà a http://skyper11.dyndns.ws/Stephany.jpg.zip, ossia a un file ZIP, non a una foto.

Al momento in cui scrivo, il link non funziona (il server non risponde), ma alcune versioni di quest’appello hanno allegato il file corrispondente al link. Scompattando il file ZIP (non fatelo se non siete sicuri di quello che fate, specialmente sotto Windows!), si ottengono due file: staphay.jpg e picture.lnk. Secondo il servizio di test di Kaspersky, il file staphay.jpg non è un’immagine, ma un virus, specificamente quello denominato Backdoor.Win32.Poison.cus, che agisce come una backdoor: si collega a un sito dal quale cerca di scaricare uno script che poi prende il controllo del computer infettato, scarica file da Internet e li esegue, fornendo all’aggressore informazioni sul computer della vittima.

Il virus ha effetto soltanto sui computer che usano Windows e viene rilevato da un buon antivirus. La fantasia dei creatori di virus si dimostra ancora una volta non solo priva di limiti, ma anche priva di scrupoli: far leva sui buoni sentimenti e sull’altruismo della gente, nascondendo un virus dentro un appello per una bambina scomparsa, è di una meschinità smisurata.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.