Falso video su Facebook scarica malware e si sostituisce all'antivirus

L'azienda di sicurezza BitDefender avverte gli utenti di Facebook di prestare attenzione ad un nuovo virus di tipo Trojan, che sta circolando in tutto il sito di social networking. Un video su Facebook viene utilizzato come vettore di infezione per un cavallo di Troia, il componente canaglia AV imita ad arte l'antivirus che avete installato sul vostro sistema e il downloader aggiunge il PC compromesso ad una rete di sistemi infetti che costantemente lo scambiano malware tra di loro. A quanto pare,  il cavallo di Troia chiamato Trojan.FakeAV.LVT fa credere che c'è un proprio filmato che è stato aggiunto su YouTube, ingannando gli ignari utenti mentre navigano su Facebook.

Falso aggiornamento flash player colpisce utenti Firefox e Chrome

I ricercatori di sicurezza GFI avvertono che i criminali informatici stanno spingendo i loro trojan attraverso click fraudolenti (click fraud) hanno adottato tecniche di distribuzione comunemente osservate negli schemi scareware. Prima di tutto, secondo gli esperti, sembra che l'obiettivo siano gli utenti di Chrome e Firefox in particolare, anche se non sono tra i primi browser che vengono sfruttati per distribuire questo tipo di malware con tali schemi. Il trojan, parte della famiglia 2GCash, è distribuito da un dominio resgistrato attraverso un libero provider di DNS dinamico. Il DNS Dinamico è una tecnologia che permette ad un DNS di essere sempre associato all'indirizzo IP di uno stesso host, anche se l'indirizzo viene modificato nel tempo. 

I ricercatori di sicurezza ricercatori non parlano di come gli utenti finali finiscano su questa pagina, ma sono colpiti più probabilmente attraverso diversi redirect, possibilmente dopo aver cliccato su risultati di ricerca dannosi. Un aspetto interessante di questo attacco è che gli utenti di Internet Explorer vengo reindirizzati a usa.gov, un sito web legittimo, mentre le persone che utilizzano altri browser vengono serviti da file dannosi per il download. Per esempio, agli utenti di Google Chrome verrà richiesto di scaricare e installare un aggiornamento di Flash Player chiamato v11_flash_AV.exe, anche se il browser è dotato di un plug-in flash in bundle che viene aggiornato regolarmente.

Comportamento del file:

• Il processo è imballato e / o crittografato utilizzando un processo software di imballaggio
• Scrive la memoria virtuale per un altro processo (Processo Hijacking)
• Aggiunge un prodotto al registro di sistema
• Aggiunge una chiave del Registro di sistema (RunOnce) per avviare programmi in automatico all'avvio del sistema
• Aggiunge una chiave del Registro (RUN) per avviare programmi in automatico allo start up del sistema
• Questo processo crea altri processi su disco
• Termina Processi
• Può comunicare con altri sistemi informatici utilizzando i protocolli HTTP
• Esegue un processo
• Registra un file Dynamic Link Library
• Inietta codice in altri processi
• Esegue DNS per guardare l'IP e risolvere gli indirizzi URL
• Utilizza tecniche rootkit per nascondere la sua presenza, interrogazione o la rimozione

Nel frattempo, gli utenti di Firefox vedranno una nuova falsa pagina che sostiene allo stesso modo che Flash Player è obsoleto. Questa imita la pagina che appare normalmente dopo che Firefox è stato aggiornato ad una nuova versione e svolge effettivamente un controllo per vedere se i plug-in installati sono aggiornati. Tuttavia, nonostante l'avviso circa una vecchia versione di Flash Player, il file servito per il download è chiamato ff-update.exe. Nella finestra di download che verrà visualizzata automaticamente vi verrà chiesto di salvare il file. Se lo farete, allora avrete installato con successo il virus. Entrambi i file di installazione della variante stessa 2GCash, sono dei cavalli di Troia utilizzati per eseguire il click fraud e dirottare i risultati di ricerca degli utenti. In questo modo i cyber-criminali di monetizzano la loro creazione.

Tuttavia, il malware può anche agire come un downloader per ulteriori minacce, compresi gli exploit PDF e scareware. Un aspetto interessante delle varianti 2GCash più recenti è la loro capacità di individuare le macchine virtuali. Questo rende più difficile per i ricercatori la loro analisi perché la maggior parte di loro usa VM. "Tendono inoltre a ruotare quasi tutte le varianti da 6 a 12 ore come metodo per cercare di eludere il rilevamento", avvertono i ricercatori GFI di sicurezza. 

Tra queste è stata individuata la VirTool.Win32.Obfuscator.hg, un programma offuscato che ha lo scopo di ostacolare le analisi o il rilevamento degli scanner anti-virus. Utilizzano comunemente una combinazione di metodi tra cui la cifratura, compressione, anti-debug e tecniche anti-emulazione. Queste tecniche di offuscamento vengono utilizzate su vari tipi di malware. Il malware che si trova "sotto" può avere virtualmente qualsiasi scopo. In natura, è stato osservato in uso sui membri delle famiglie Win32/Zbot e Win32/FakeRean. Adottare le seguenti misure per aiutare a prevenire l'infezione del computer:

• Attivare un firewall sul computer
• Ricevere gli ultimi aggiornamenti del computer per tutti i vostri software installati
• Utilizzare un software antivirus aggiornato
• Limitare i privilegi dell'utente del computer
• Fare attenzione quando si aprono gli allegati e di accettare trasferimenti di file
• Prestare attenzione quando si clicca su link a pagine web
• Evitare di scaricare software pirata
• Proteggersi contro gli attacchi di social engineering.
• Utilizzare password complesse.

Kaspersky: nuova variante rootkit TDSS da falso update del browser

I laboratori di Kaspersky Lab hanno individuato una seconda variante di propagazione del rootkit TDSS, anche noto come Alureon o TDL3. Questo malware si installa in maniera silenziosa nel sistema operativo e sfugge a molti controlli antivirus andando a modificare o rimpiazzare alcuni file critici dei sistemi Windows. La principale novità della nuova variante di TDSS consiste nell'individuazione dell'eventuale server DHCP impiegato all'interno della rete locale per l'assegnazione automatica degli indirizzi IP ai vari sistemi client di volta in volta connessi, secondo un post sul blog di Kaspersky.

Falso aggiornamento Microsoft via e-mail scarica malware sul computer

Se avete recentemente ricevuto un email da Microsoft, sostenendo che è necessario un aggiornamento di sicurezza, attenzione, questa non è proveniente da Microsoft, ma piuttosto è un tentativo di spam per ottenere il download di malware. A segnalare il nuovo tentativo di scam è la società di sicurezza CISCO. Queste e-mail inviate inizialmente in francese, possono essere visualizzati in diverse lingue. Il nome del file per questo particolare malware è SECURITY_FIX_0231.exe. Già, i produttori di antivirus si sono attivati per fornire aggiornamenti per combattere questa minaccia internet più recente.

Kaspersky Lab presenta la classifica dei malware ad ottobre 2010

Kaspersky Lab, leader riconosciuto nell'ambito della sicurezza IT, sottopone all'attenzione degli utenti le classifiche relative alla diffusione dei diversi tipi di malware nel mese di ottobre. Anche se, in generale, il mese è trascorso in maniera relativamente tranquilla, la società desidera tuttavia richiamare l'attenzione su alcuni avvenimenti interessanti.

All’inizio di ottobre è stato individuato il Virus.Win32.Murofet che ha infettato gran parte dei file PE eseguibili di Windows. La sua caratteristica principale consiste nel rigenerare dei link con l’ausilio di un particolare algoritmo che si basa sull’orario e sulla data attuale del computer infettato. Il virus rileva nel sistema le informazioni relative all’anno, al mese, al giorno e all’ora attuali, rigenera due parole doppie, calcola sulla loro base l’md5, aggiunge una delle possibili aree di dominio (.biz, .org, .com, .net, .info) e aggiunge alla fine della riga "/forum", dopodiché utilizza il link risultante.

È interessante osservare che questo virus non infetta gli altri file eseguibili ed è strettamente legato a Zeus. I link generati non rientrano nella sua infrastruttura, ma attraverso di essi si installano i downloader del bot vero e proprio. Questo virus dimostra l'ingegnosità e lo zelo con i quali i programmatori di Zeus tentano di diffondere la propria creazione in tutto il mondo. Aumenta la diffusione degli archivi fasulli, individuati da noi come Hoax.Win32.ArchSMS. Una volta installatosi, il programma propone all'utente di inviare uno o più messaggi SMS ad un determinato numero a pagamento per ricevere l'archivio contenuto.

Nella maggior parte dei casi, dopo l’invio del messaggio, sullo schermo del computer appaiono visualizzate delle istruzioni per l'uso del tracker contenente i file torrent e/o del link di collegamento al tracker. Le varianti possibili sono davvero numerose, ma il risultato non varia: l’utente perde i suoi soldi e non riceve il file desiderato. Frodi del genere sono apparse in un periodo relativamente recente, vale a dire alcuni mesi fa, ma l'interesse che da allora hanno suscitato nei cybercriminali non cessa come conferma la statistica redatta con l’ausilio di KSN (Kaspersky Security Network).

Si deve inoltre menzionare che in ottobre l'azienda Microsoft ha battuto il suo record per quanto riguarda il numero di patch rilasciate. Il 12 ottobre infatti sono stati rilasciati 16 bollettini di sicurezza, riguardanti ben 49 vulnerabilità diverse. Lo scorso record era stato stabilito in agosto, ma le vulnerabilità allora riparate erano solo 34. Ciò indica che i cybercriminali sfruttano attivamente i difetti dei prodotti di questo colosso del software per attuare i loro propositi. Per esempio, il famoso worm Stuxnet al momento della sua comparsa sfruttava quattro vulnerabilità ancora non coperte dallo "zero-day".

Nel bollettino di ottobre è stata corretta la terza vulnerabilità sfruttata da Stuxnet, mentre una delle quattro resta ancora scoperta. Nella prima tabella sono elencati i programmi dannosi e potenzialmente indesiderati che sono stati individuati e neutralizzati sui computer degli utenti. Nel mese appena trascorso non si sono verificati cambiamenti significativi nella tabella. A guidare la classifica sono come sempre Kido, Sality, Virut, CVE-2010-2568.

Vale la pena rilevare un aumento della quantità di individuazioni del wrapper maligno Packed.Win32.Katusha.o (al 6° posto), sfruttato dai programmatori di virus per proteggere e diffondere i falsi antivirus. Il Worm.Win32.VBNA.a (20° posto) è analogo al malware precedente, ma è tuttavia scritto in linguaggio Visual Basic di alto livello. Nelle TOP 20 passate, i due packer sono stati descritti in maggior dettaglio. La seconda tabella descrive la situazione su Internet.

In questa classifica si trovano infatti malware che sono stati individuati nelle pagine Web nonché tutti quelli i cui tentativi di caricamento avvengono sempre attraverso le pagine Web. Nel mese passato non ci sono stati cambiamenti significativi in tabella: come in precedenza ai vertici della classifica troviamo gli exploit CVE-2010-0806 e gli adware FunWeb.

Tuttavia notiamo la comparsa di alcuni curiosi esemplari. Individuato poco più di un mese fa, l’Exploit.Win32.CVE-2010-2883.a, che sfrutta la rispettiva vulnerabilità, si è piazzato al 17° posto. Si può quindi dire che i cybercriminali hanno introdotto questo exploit nella loro dotazione in tempi relativamente brevi. La falla è situata nella biblioteca vulnerabile cooltype.dll, facente parte di Adobe Reader, mentre la vulnerabilità vera e propria consiste nell'elaborazione non corretta di un file di script appositamente creato.

Se si considera la diffusione geografica dell’Exploit.Win32.CVE-2010-2883.a, è evidente che è stato riscontrato con maggiore frequenza negli USA, nel Regno Unito e in Russia. Evidentemente, i cybercriminali contavano sul fatto che in questi Paesi si sarebbe concentrata la maggior parte di computer senza patch per Adobe Reader.

Lo script maligno Trojan.JS.Redirector.nj (7° posto) è situato in alcuni siti pornografici e invia un messaggio all’utente invitandolo a spedire un SMS a un determinato numero a pagamento per utilizzare la risorsa. Lo script è strutturato in modo tale che per chiudere la pagina si deve utilizzare il task manager o un programma con funzione analoga.

In classifica anche il Trojan.JS.Agent.bmx (9° posto), un exploit classico per browser che scarica un trojan downloader, che a sua volta riceve un elenco di ben trenta link che portano a diversi malware. Tra di essi il Trojan-GameThief.Win32.Element, il Trojan-PSW.Win32.QQShou, il Backdoor.Win32.Yoddos, il Backdoor.Win32.Trup, il Trojan-GameThief.Win32.WOW, ecc.

Al primo posto si riconferma lo script della famiglia FakeUpdate, il Trojan.JS.FakeUpdate.bp, anch'esso contenuto in siti pornografici, che invita a scaricare un video porno. Tuttavia quando l’utente cerca di vedere il filmato, appare una finestra pop-up che informa che per riprodurre il video è necessario scaricare un nuovo player.

Le ricerche hanno dimostrato che l’installer, oltre a contenere il player legittimo Fusion Media Player 1.7, contiene anche un trojan che modifica il file hosts. Questo trojan imposta l’indirizzo IP del computer locale 127.0.0.1 come molti siti diffusi e installa sul computer infetto il web server locale, dopodiché quando si tenta di accedere a uno dei siti intercettati, nel browser dell’utente viene visualizzata la richiesta di pagamento per poter vedere il filmato pornografico.