Articoli

italiano.bat: OneClick to change the Region and Language on Windows

italiano.bat is a script to change the settings of Windows from another language to Italian.

Change the region and language to Italian (formats, location, currency, keyboard layout and more) and the time zone information to W. Europe Standard Time.

I created this script to speed up the analysis of malware in the Any.run SandBox, some payloads verify the system language. If the target is an Italian user they check that Windows is in Italian, otherwise they do not execute anything.

This script is tested with Windows 7 and can be modified to make it effective in other languages (French, Spanish, etc.).

The script can be downloaded from my GitHub Gist, if you want to collaborate we can create a repository containing multiple languages.

[UPDATES 16/05/2019]

Any.run officially introduced the language change function, only for the HUNTER plan.

/0 Commenti/da

Block e White List per Pi-hole e Ad Blocker

Sicuramente conoscete già il mio forte sostengo al progetto Pi-hole, ne ho ampiamente parlato sul mio blog e su Twitter, assieme a Gabry credo proprio di essere uno dei primi utilizzatori Italiani.

Bando alle ciance, da sempre ho sostenuto che per un utilizzo standard le Block List predefinite erano perfette. Però sono arrivati i primi problemi nella navigazione su Facebook, Instagram, La Stampa e saltuariamente su Twitter. Nel primo caso il mancato caricamento di alcune risorse portava Firefox a bloccarsi oppure i video andavano a scatti, per Instagram e La Stampa non sempre i video venivano caricati mentre per Twitter alcune immagini non venivano caricate. Tutto si risolveva quando mi scollegavo dai DNS di Pi-hole ed usavo quelli di terze parti.

Così ho finalmente voluto provare a mettere mano alle Block List perché ero ormai certo che il problema nascesse da lì, ed effettivamente così è stato.

Le Block List predefinite di Pi-hole sono:

https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
https://mirror1.malwaredomains.com/files/justdomains
https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt
https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt
https://hosts-file.net/ad_servers.txt
http://sysctl.org/cameleon/hosts

Se le analizziamo singolarmente troviamo già qualche dettaglio interessante:

  1. Hosts: è un progetto di Steven Black che raggruppa diverse Block List (Awdware, Malware, Fraud, Scam, Spam, Tracking e Cryptomining) eliminando falsi positivi e costantemente aggiornate. Eventualmente offre anche Block List integrative come Social, Porn, Fake News e Gambling;
  2. Malwaredomains: aggiornate giornalmente con i principali dominii sfruttanti per diffondere malware;
  3. Zeustracker: gestite da Abuse.ch e aggiornate giornalmente con i principali dominii sfruttati nella botnet Zeus;
  4. Lists.disconnect.me: L’ultimo aggiornamento risale al 2016 e non è noto chi le gestisca;
  5. Hosts-file: Lista aggiornata costantemente ma i falsi positivi sono all’ordine del giorno probabilmente non vi è alcuna verifica dei dominii riportati, molto spesso inoltre contiene duplicati della lista di Steven Black;
  6. Sysctl.org: Aggiornate a marzo 2018 e anche in questo caso i dati riportati risultano spesso analoghi alla lista di Steven Black.

Così ho deciso di eliminare le ultime tre liste per i motivi sopra esposti, lasciando solo le prime tre citate. La situazione è migliorata decisamente, non notavo più problemi e tutto sembrava risolto.

Però la curiosità è bastarda 😄 e ho iniziato a cercare altre Block List online, sono incappato in una discussione su Reddit in cui vengono messe in evidenza alcune Block List con relativi commenti.

Inizialmente ho provato il progetto Tspprs, caricando le liste base (Main, Ads, Malware, Fraud, Scam, Spam, Tracking e Crypto) ho avuto un colpo al cuore quando il Raspberry Pi dopo 120gg di uptime è andato in blocco costringendomi ad un reboot forzato. Al riavvio ho scoperto che la lista dei dominii bloccati era passata da circa 130mila a 3milioni! 😮 La cosa mi puzzava tremendamente, dopo 10 minuti di navigazione il risultato è stato il seguente:

  • gstatic.com era contenuto nella lista dei Malware più volte (oltre ovviamente ad essere nella corretta lista Ads);
  • *.amazonaws.com era contenuto nella lista dei Malware;
  • Tutti gli shorturl (bit.ly, bit.do, ecc) erano bloccati;
  • ecc, ecc.

Praticamente non riuscivo più ad usare Internet, non ho proseguito la navigazione e sono tornato alle precedenti Block List. Ho capito che il progetto conta a fare dei numeri ma con pochissima qualità.

Successivamente ho scoperto il progetto Firebog, ovvero un fantastico raccoglitore di Block List gratuite. Bene ma ora sono a punto e capo, se le carico tutte rischio di fare la fine di Tspprs, ovvero ottenere una Block List enorme che esponenzialmente mi andrà a creare dei falsi positivi.

Ho quindi deciso di fare un test con Firefox Lightbeam e le Block List di Steven, Malwaredomains e Abuse.ch. Ho aperto alcuni siti internet Italiani notoriamente pieni di pubblicità e tracker (Beppone in pole position) e ho guardato quali dominii avevano in comune finché non ho notato la presenza di un dominio altamente sospetto che non risultava bloccato: advertiser.wbtrk.net. Tutto il resto era corretto.

Basta andare sul sito ufficiale di Webtrekk per capire immediatamente che quel dominio nell’ottica di Pi-hole doveva essere bloccato, ora avevo solo un obiettivo: trovare una Block list che contenesse quel host e che quindi venga ipoteticamente aggiornata molto frequentemente e con attenzione. Riguardando l’elenco pubblicato su Firebog ho fatto tombola.

Squidblacklist è un società che offre Block List gratuite (Ads, Facebook e Malicious) e a pagamento (Clickbait, Porn, Proxies, Tor, ecc ecc) ma che mi sembrano veramente ben realizzate, addirittura in diversi formati (Standard, compatibili con Squid o RouterOS).

Pertanto aggiungendo anche le due block list gratuite di Squid ho raggiunto i 160mila dominii bloccati e attualmente Beppone non mi traccia. 🤘🤘

Per concludere ho aggiunto la mia blocklist sul Phishing che viene aggiornata quotidianamente: phishing.army

Successivamente ho aggiunto la blocklist creata da Hosh per evitare WebMiner e la blocklist creata da Daniel per bloccare ulteriori Ads & Tracking.

Quindi ad oggi sfrutto le seguenti Blocklist (aggiornate al 16 Marzo 2019):

https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
https://mirror1.malwaredomains.com/files/justdomains
https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
https://www.squidblacklist.org/downloads/dg-ads.acl
https://www.squidblacklist.org/downloads/dg-malicious.acl
https://phishing.army/download/phishing_army_blocklist_extended.txt
https://raw.githubusercontent.com/lightswitch05/hosts/master/ads-and-tracking.txt
https://raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/hosts.txt

White List

Voglio inoltre segnalarvi un interessante progetto di Anudeep che permette di aggiungere a PiHole una White List (di default è possibile solo l’inserimento manuale uno ad uno) tramite una lista da lui prestabilita e in costante aggiornamento.

Il suo progetto è disponibile su GitHub dove trovate anche le informazioni per l’installazione.

Porn

Se volete bloccare i siti porno potete usare la Block List estesa di Steven Black oppure quella di Chad Mayfield.

Donate e Tricks Interessanti

Ci tengo a ricordarvi di sostenere il progetto perché se iniziate ad usarlo difficilmente ne farete a meno e quindi una donazione agli sviluppatori è d’obbligo.

Infine per chi è alla ricerca di qualche progetto più corposo da fare con Pi-hole vi segnalo due articoli:

[AGGIORNAMENTO] Articolo aggiornato il 27 Dicembre 2018
Articolo aggiornato il 16 Marzo 2019

/13 Commenti/da

Sulle tracce di un Botmaster…

Heartbleed

Gianni Amato ha pubblicato lo scorso 10 giugno un articolo in cui evidenzia un attacco Malware su base webinject ai danni di tre istituti di credito Italiani, vista la coincidenza dei tre istituti con un precedente caso che ho analizzato lo scorso Febbraio ho voluto approfondire nuovamente la vicenda.

Seguendo le tracce del Botmaster e il codice JS pubblicato da Gianni ho capito quanto fosse ben strutturata l’organizzazione criminale alle spalle di questo nuovo caso, gli istituti di credito coinvolti non sono solo Italiani ma sono coinvolti gli istituti dei principali continenti sviluppati. Il botmaster sfrutta diverse tecniche per oscurare il pannello di controllo online e si appoggia a diversi server per rimbalzare i dati provenienti dai bot.

SSL Trusted

Schermata 2015-06-13 alle 12.22.37La raffinatezza del Botmaster la possiamo cogliere già da questa prima immagine, il dominio che viene sfruttato per diffondere il malware e per raccogliere i dati sottratti sfrutta il protocollo SSL con un certificato valido! Il certificato SSL rilasciato da GeoTrust permettono una comunicazione sicura dal sorgente al destinatario (end-to-end) sulla rete fornendo autenticazione, integrità dei dati e cifratura operando al di sopra del livello di trasporto.

Errore 404

Not_Found

Se avete letto l’articolo di Gianni avrete notato che il malware per sottrarre le informazioni bancarie dal portale di csebanking è proviene da questo url: http://………../sajf98wquioijhsa/scripts/csebanking.js ed è pubblicamente consultabile! Conseguentemente anche la sottocartella http://………../sajf98wquioijhsa/ deve esistere, ma invece accedendoci  appare l’errore Not Found. Impossibile? No, è un trucchetto voluto dal botmaster per confonderci le idee! La sottodirectory /sajf98wquioijhsa/ esiste realmente ma è stata creata una regola contenuta in .htaccess per consentire l’accesso alla relativa sottodirectory solo passandoli un valido parametro nella richiesta GET! Se tale parametro non viene passato verremo reindirizzati ad una fittizia pagina x.php la quale genera il layout Not Found.

Ho scoperto questa particolarità tentando di accedere casualmente a qualche pagina nella cartella principale del dominio, come potete vedere dalla precedente immagine accedendo all’indirizzo http://………../script.php mi appare l’errore No Found ma vengono anche fornite le informazioni sul server “Apache/2.2.15 (CentOS) Server at…..” mentre accedendo alla sottodirectory sajf98wquioijhsa/ questa informazioni non appaiono. La pagina Not Found di Apache è solitamente standard per tutto il dominio/server e salvo personalizzazioni contiene anche le informazioni sulla versione di Apache. Notando questa diversità ho voluto indagare scoprendo quanto precedentemente detto.

Gate

In questo screenshot ho voluto farvi un esempio pratico della mia precedente teoria, accedendo normalmente alla pagine http://………../sajf98wquioijhsa/gate visualizziamo l’errore 404 Not Found, se invece alla richiesta GET gli aggiungo uno o più paramenti (es. ?x=yzv&q=werty) correttamente validati dalle regole di .htaccess visualizzo la pagina e la relativa risposta come potete vedere dallo screenshot. In questo caso il sistema ci conferma di aver ricevuto correttamente le credenziali sottratte alla vittima.

Gate_IndexModificando i parametri che vengono convalidati dalle regole di .htaccess sono riuscito ad ottenere una porzione della pagina di index, dove probabilmente vengono memorizzate le credenziali sottratte o reportizzati i bot attivi. Non avendo i pieni diritti di accesso, ovvero non conoscendo le credenziali, la visualizzazione dei dati è limitata alla sola struttura del pannello di controllo.

Secondo Server

BootMaster Panel

Successivamente ho scoperto che il primo server utilizzato dal Botmaster è vulnerabile, sfruttando quindi il data leak ho individuato un secondo server in uso. Questo secondo server riceve i dati dal primo, a tale server non è associato alcun dominio internet secondo il database di Domaintools probabilmente per mantenere il più possibile nascosto tale server.

Istituti di Credito Coinvolti (e non solo)

Attraverso il leak di memoria estratto dalla vulnerabilità ho potuto, in una analisi durata poco più di 2h, recuperare un’importante lista degli istituti di credito coinvolti in questa operazione. Il botmaster è in grado di sottrarre informazioni dei seguenti istituti, e non solo:

  1. https://www.nwolb.com
  2. https://bankingportal.sparkasse-essen.de/
  3. http://www.co-operativebank.co.uk/
  4. https://www.csebanking.it
  5. https://banking.credem.it
  6. https://www.chebanca.it
  7. https://banking.postbank.de
  8. https://www.rbsdigital.com
  9. https://finanzportal.fiducia.de/
  10. http://www.assist.ru/index.html
  11. https://www.fineco.it/
  12. https://www.citibank.ru
  13. https://www.paypal.com/
  14. https://www.usbank.com/
  15. http://libertyreserve.com
  16. http://www.mbna.co.uk/
  17. http://www.ebay.com
  18. http://www.ebay.fr
  19. http://www.poste.it
  20. http://wachovia.com
  21. http://www.ybonline.co.uk/
  22. http://www.banquepopulaire.fr
  23. https://www.cmb.fr
  24. http://www.credit-agricole.fr/
  25. https://www.labanquepostale.fr/
  26. https://www.secure.bnpparibas.net/
  27. https://www.ing.nl
  28. https://www.discover.com/
  29. https://www.credit-du-nord.fr/
  30. https://www.caisse-epargne.fr
  31. https://www.exabanque.net
  32. https://www.norisbank.de/
  33. https://bankofamerica.com
  34. https://www.chase.com/
  35. https://www.koodomobile.com/
  36. http://www.scotiabank.com
  37. http://www.bancopopular.es
  38. https://www.creval.it
  39. http://www.mybusinessbank.co.uk
  40. http://www.intesasanpaolo.com/

Come avrete notato in questa lista vi sono prevalentemente Istituti di Credito ma anche altri servizi come PayPal, Liberty Reserve che era moneta elettronica ora posta sotto sequestro ed eBay. La lista è bella numerosa e probabilmente con analisi sul target di 24h avrei estrapolato altri target.

Conclusione

La cronaca di questi ultimi dieci giorni ci ha dimostrato quanto è proficua l’attiva di un Phisher o di un Botmaster, in un breve tempo sono riusciti a trafugare 6 milioni di euro. L’indagine ha portato a un raid multiplo in 58 diversi luoghi d’Europa, dove i criminali informatici operavano per effettuare soprattutto attacchi di tipo phishing, ottenendo così i dati d’accesso dagli stessi proprietari degli account per poi trafugare i soldi dalle banche.

Questi avvenimenti ci insegnano sempre più che l’utente finale deve imparare a navigare su internet e a proteggersi da queste minacce molto proficue, bisogna inoltre intensificare i controlli da parte delle istituzioni per fermare questi criminali.

Volutamente ho evitato di scrivere dettagli e passaggi tecnici che mi hanno permesso di estrarre l’elenco degli istituiti, meglio non dare troppi vantaggi al Botmaster! 😉

/7 Commenti/da

Aspetti di sicurezza in Android: Sviluppo e Implementazione di un Malware

Android SMS Malware: Facebook and WhatsApp account theft

Con piacere vi riporto un riassunto della Tesi di Laurea discussa da Fabrizio Severino tenta al Corso di Laurea in Sicurezza dei sistemi e delle reti informatiche.

La stretta interazione con l’utente e il sistema operativo dei dispositivi mobile (smartphone o tablet) consente alle applicazioni (APP) di accedere a molti più dati rispetto a un browser web internet tradizionale. Da recenti studi, infatti, è emerso che chi possiede un dispositivo mobile ha normalmente attive in media circa 20 applicazioni, alcune delle quali sono in grado di raccogliere in maniera illecita grandi quantità di dati personali accedendo alle raccolte di foto, video, dati di localizzazione , informazioni bancarie, contatti, cronologia di navigazione etc. Oggi giorno gli utenti tendono a delegare la gestione di molti aspetti della propria vita, sia personale che professionale, alle nuove tecnologie senza preoccuparsi della privacy personale. I rischi e le minacce in cui un utente può incorrere per un uso non accorto o non regolamentato delle mobile apps derivano da mancanza di “trasparenza” nelle modalità e nella finalità di raccolta dei dati, incapacità o impossibilità da parte degli interessati di esercitare o recuperare il “controllo” sui propri dati e sul modo in cui vengono comunicati a terzi e infine la mancanza di nozioni tecniche basilari di “sicurezza informatica”.
Spesso, a fronte della fornitura di applicazioni in via del tutto gratuita, le case produttrici o fornitrici della APP acquisiscono una serie di dati personali dell’utente senza fornire adeguate istruzioni circa il relativo trattamento. Molte volte capita che lo stesso utente, pur di utilizzare il servizio offerto, sia disposto a cedere le informazioni e i dati personali (propri o di terzi) in suo possesso, senza preoccuparsi delle eventuali conseguenze pregiudiziali. Lo scopo principale del mio lavoro di tesi è quello di fornire una buona base tecnica di Android con l’obiettivo di suscitare negli utenti la consapevolezza dei rischi connessi all’installazione di applicazioni senza che si presti la dovuta attenzione ai permessi richiesti, oppure il rischio che si corre nel lasciare incustodito il proprio dispositivo. Durante il mio lavoro di tesi ho studiato il funzionamento e la diffusione del malware in ambiente Android, analizzando nel dettaglio il sistema operativo anche dal punto di vista della sicurezza.
In particolare, ho studiato come i dispositivi con Androind possono avere “coscienza” di tutto quello che hanno attorno e a stretto contatto con il mondo reale. Durante il lavoro di tesi ho anche fornito una descrizione degli aspetti legali, del concetto di privacy in Italia e del parere dei garanti europei in merito alla protezione dei dati personali. La parte pratica della tesi comprende lo sviluppo e l’implementazione di un semplice malware, dimostrando che tramite il servizio SMS offerto dall’operatore e le autorizzazioni di base per la lettura e la ricezione dei messaggi è possibile rompere i sistemi di sicurezza di altri servizi che l’utente utilizza, come ad esempio WhatsApp e Facebook, e di conseguenza rubare la sua identità digitale. Per concludere il lavoro di tesi ho realizzato anche delle linee guida che consentono sia agli utenti che agli sviluppatori di APP di preservare il più possibile la privacy per enfatizzare il concetto di privacy dy design

Video Simulazione

Inoltre è disponibile la Presentazione della Tesi e l’Indice della Tesi!
/1 Commento/da

AndroTotal: scansione online di APK sospette

AndroTotal
AndroTotal è un servizio gratuito, attualmente in versione Beta, in grado di ispezionare i pacchetti APK alla ricerca di vulnerabilità. I pacchetti APK (Android Package) sono una variante dei pacchetti JAR e vengono distribuiti per l’installazione di applicazioni nel mondo mobile Android.

AndroTotal non è il comune Antivirus da installare sul proprio dispositivo, ma un portale online accessibile da qualsiasi computer in cui caricare e scansionare i file APK. Creato dai laboratori del NECSTLab e DEIB del Politecnico di Milano e pubblicato lo scorso 15 Aprile 2013. Continua a leggere

/2 Commenti/da

Analisi della rete e del RAT DarkComet

Arbor Networks ha pubblicato sul proprio blog un’analisi relativa alle tracce lasciate in rete dai  Remote Access Trojan (RAT),  dei programmi malware che consentono  di acquisire da remoto il controllo del computer attraverso la connessione Internet.

Questi tool rappresentano una vera minaccia alla sicurezza in quanto riescono a spiare password e qualsiasi combinazione di tasti, controllano  i file in upload e in download, sottraggono documenti sensibili e possono inoltre scaricare e  installare altri malware , il tutto all’insaputa dell’utente.

L’osservazione di Arbor si concentra in particolare sul RAT Dark Comet, un software di semplice utilizzo recentemente balzato agli onori della cronaca dopo essere stato utilizzato anche dal Governo Siriano per spiare i propri oppositori politici. Nel blog post si analizzano diverse campagne Dark Comet , tra cui una probabilmente realizzata in Italia, e vengono individuati alcuni indicatori come password e indirizzi IP  per tentare di comprendere le motivazioni e l’origine degli attacchi.

L’analisi integrale è consultabile direttamente sul blog di Arbor Networks.

/0 Commenti/da

Android e la vulnerabilità della tecnologia NFC

Charlie Miller durante il recente Black Hat di Las Vegas ha dimostrato com’è possibile controllare i dispositivi Android attraverso la tecnologia NFC.

Sfruttando la tecnologia Android Beam è possibile indirizzare il dispositivo Android ad un sito internet malevole che sfrutta una vulnerabilità del Browser stock per installare nello Smartphone un Malware ottenendo la possibilità di consultare senza autorizzazione cookie e pagine web visitate. Se l’utente ha inoltre acconsentito all’installazione di applicazioni di terze parti è possibile prendere il controllo completo del telefono.

La vulnerabilità è stata dimostrata sulla linea di Smartphone Nexus supportata direttamente da Google, la versione più vulnerabile è Gingerbread, Ice Cream Sandwich risolve alcune vulnerabilità del Browser che rendono più difficile lo sfruttamento della falla mentre non sono stati effettuati test sulla recente versione Jelly Bean.

Via | The Inquirer

/0 Commenti/da

PEFrame – Analisi statica di malware

PEFrame è una nuova utility scritta da Gianni Amato in grado di effettuare una analisi statica di un Malware. Il software scritto in python e quindi multi-os offre le seguenti opzioni:

  • Hash MD5 & SHA1
  • PE file attributes
  • Version info & metadata
  • PE Identifier Signature
  • Section analyzer
  • Imported DLLs & API functions
  • Search for suspicious API & sections
  • Dumping all the information
  • Extract all the string
  • Extract all the url
  • Reverse Hex dump
  • List Entry instances

Potete scaricare gratuitamente il software attraverso Google Code.

/0 Commenti/da

La Top List dei Malware che chiude il 2011!

 

Bochum (Germania) – 09 gennaio 2012. I GData SecurityLabs rendono nota la lista dei dieci malware più attivi nel mese di dicembre  2011.  La percentuale  di diffusione nel mese conclusivo dell’anno appena trascorso  è la più bassa  ad essere stata registrata nella seconda metà dell’anno.  Di contro, però, il numero di attacchi registrati è cresciuto quasi costantemente e lo scenario dei diversi rilevamenti si fa sempre più ampio.

La classifica si rinnova con l’ingresso di due nuovi malware:  Trojan.IFrame.YX, legato alla diffusione degli adware  e Gen: Variant.Kazy.45847 che attacca il gioco per computer Anno 2070.

Riamane nella top 10, guadagnando adesso, il primo posto, l‘ Exploit.CplLnk.Gen già utilizzato da Stuxnet e ancora attivo; mentre sale in seconda posizione rafforzando, quindi,  la sua persistenza il Trojan.Wimad.Gen.1, file audio diffuso principalmente attraverso le reti di file sharing.

Dettaglio Top 10 dei malware – Dicembre 2011.

Exploit.CplLnk.Gen

Questo exploit utilizza una verifica difettosa dei file .lnk e .pif nel trattamento dei collegamenti di Windows ed è nota come CVE-2010-2568 a partire dalla metà del 2011. Non appena una versione manipolata di questi file viene aperta in Windows per visualizzare l’icona inclusa all’interno di Windows Explorer, il codice dannoso viene eseguito all’istante. Questo codice può essere caricato da un file system locale (ad esempio da un dispositivo di archiviazione rimovibile che ospita anche il file .lnk manipolato) o  tramite condivisione WebDAV su Internet.

Trojan.Wimad.Gen.1

Questo Trojan finge di essere un normale file audio .wma anche se uno di quelli che può essere riprodotto solo dopo aver installato un codec/decodificatore speciale sui sistemi Windows. Se un utente esegue il file, l’utente malintenzionato può installare tutti i tipi di codice dannoso sul sistema. I file audio infetti sono principalmente diffusi attraverso le reti di file sharing.

Java.Exploit.CVE-2010-0840.E

Questo programma malware basato su Java è un applet di download che tenta di utilizzare una vulnerabilità (CVE-2010-0840) per aggirare il meccanismo di protezione sandbox e scaricare malware addizionale sul computer. Una volta che l’applet ha ingannato il sandbox, si scarica un file .dll. Questo file non viene eseguito immediatamente ma registrato come un servizio con l’aiuto del Registro di Microsoft Server (regsvr32). Quindi, viene avviato automaticamente all’avvio del sistema.

Win32:DNSChanger-VJ [Trj]

Win32: DNSChanger-VJ [Trj] fa parte di un rootkit che cerca di proteggere altri componenti malware, ad esempio bloccando l’accesso a siti di aggiornamento per gli aggiornamenti di sicurezza e gli aggiornamenti delle firme. Qualsiasi accesso ai siti host sarà risolto a “localhost”, che lo renderà, in realtà, irraggiungibile. Questo è il motivo per cui viene chiamato DNSChanger, perché manipola risoluzioni DNS.

Worm.Autorun.VHG

Questo programma software maligno è un worm che si diffonde utilizzando la funzione autorun .inf nei sistemi operativi Windows. Utilizza supporti rimovibili come le unità flash USB o i dischi rigidi esterni. Si tratta di un worm Internet e di rete che sfrutta la vulnerabilità CVE-2008-4250 di Windows.

Trojan.AutorunINF.Gen

Si tratta di una rilevazione generica che rileva file autorun.inf dannosi, sia noti che sconosciuti. I file autorun.inf sono file di avvio che possono essere utilizzati come un meccanismo di distribuzione per i programmi informatici maligni su dispositivi USB, supporti rimovibili,  CD e DVD.

Trojan.IFrame.YX

Questa rilevazione è collegata alla potenziale diffusione degli adware ed è stata riscontrata principalmente su siti di hosting gratuito. Viene controllato se l’ IP del visitatore ha già avuto accesso al sito negli ultimi 30 minuti e se il controllo ha esito negativo, il frame avvia la “consegna” di pubblicità che può essere potenzialmente infetta.

Application.Keygen.BG

Si tratta di un generatore di chiavi molto popolare nelle reti P2P e siti warez in quanto consente (presumibilmente) l’uso di software altrimenti a pagamento. L’esecuzione di questa applicazione non è solo una questione legale, ma ha molti rischi connessi alla sicurezza.

Java.Trojan.Downloader.OpenConnection.A

Questo Trojan downloader si trova in applet Java manipolate sui siti web. Quando l’applet viene scaricata, viene generata una URL dai parametri dell’applet. Il downloader la utilizza per scaricare un file maligno eseguibile sul computer dell’utente e avviarne l’esecuzione. Questi file possono essere di qualsiasi tipo di software dannoso. Il downloader sfrutta la vulnerabilità CVE-2010-0840 al fine di bypassare la sandbox di Java e quindi scrivere i dati locali.

Gen: Variant.Kazy.45847

Gen: Variant.Kazy.45847 appartiene al gruppo di programmi potenzialmente indesiderati (PUP). Si tratta di un file .dll di nome solidcore32.dll, che viene utilizzato per crepare il gioco per computer Anno 2070. La modifica del file di gioco viene rilevato come dannoso.
Metodologia
La Malware Information Initiative (MII) si basa sulla forza della community online community ed ogni utente delle soluzioni di sicurezza di G Data ne può far parte. L’unico prerequisito è quello di attivare questa funzione all’interno dei programmi G Data. Se un attacco malware viene respinto questo evento viene riportato in maniera completamente anonima ai G Data SecurityLabs dove i dati vengono archiviati ed analizzati statisticamente.

 

/0 Commenti/da