Articoli

AndroTotal: scansione online di APK sospette

AndroTotal
AndroTotal è un servizio gratuito, attualmente in versione Beta, in grado di ispezionare i pacchetti APK alla ricerca di vulnerabilità. I pacchetti APK (Android Package) sono una variante dei pacchetti JAR e vengono distribuiti per l’installazione di applicazioni nel mondo mobile Android.

AndroTotal non è il comune Antivirus da installare sul proprio dispositivo, ma un portale online accessibile da qualsiasi computer in cui caricare e scansionare i file APK. Creato dai laboratori del NECSTLab e DEIB del Politecnico di Milano e pubblicato lo scorso 15 Aprile 2013. Continua a leggere

La Top List dei Malware che chiude il 2011!

 

Bochum (Germania) – 09 gennaio 2012. I GData SecurityLabs rendono nota la lista dei dieci malware più attivi nel mese di dicembre  2011.  La percentuale  di diffusione nel mese conclusivo dell’anno appena trascorso  è la più bassa  ad essere stata registrata nella seconda metà dell’anno.  Di contro, però, il numero di attacchi registrati è cresciuto quasi costantemente e lo scenario dei diversi rilevamenti si fa sempre più ampio.

La classifica si rinnova con l’ingresso di due nuovi malware:  Trojan.IFrame.YX, legato alla diffusione degli adware  e Gen: Variant.Kazy.45847 che attacca il gioco per computer Anno 2070.

Riamane nella top 10, guadagnando adesso, il primo posto, l‘ Exploit.CplLnk.Gen già utilizzato da Stuxnet e ancora attivo; mentre sale in seconda posizione rafforzando, quindi,  la sua persistenza il Trojan.Wimad.Gen.1, file audio diffuso principalmente attraverso le reti di file sharing.

Dettaglio Top 10 dei malware – Dicembre 2011.

Exploit.CplLnk.Gen

Questo exploit utilizza una verifica difettosa dei file .lnk e .pif nel trattamento dei collegamenti di Windows ed è nota come CVE-2010-2568 a partire dalla metà del 2011. Non appena una versione manipolata di questi file viene aperta in Windows per visualizzare l’icona inclusa all’interno di Windows Explorer, il codice dannoso viene eseguito all’istante. Questo codice può essere caricato da un file system locale (ad esempio da un dispositivo di archiviazione rimovibile che ospita anche il file .lnk manipolato) o  tramite condivisione WebDAV su Internet.

Trojan.Wimad.Gen.1

Questo Trojan finge di essere un normale file audio .wma anche se uno di quelli che può essere riprodotto solo dopo aver installato un codec/decodificatore speciale sui sistemi Windows. Se un utente esegue il file, l’utente malintenzionato può installare tutti i tipi di codice dannoso sul sistema. I file audio infetti sono principalmente diffusi attraverso le reti di file sharing.

Java.Exploit.CVE-2010-0840.E

Questo programma malware basato su Java è un applet di download che tenta di utilizzare una vulnerabilità (CVE-2010-0840) per aggirare il meccanismo di protezione sandbox e scaricare malware addizionale sul computer. Una volta che l’applet ha ingannato il sandbox, si scarica un file .dll. Questo file non viene eseguito immediatamente ma registrato come un servizio con l’aiuto del Registro di Microsoft Server (regsvr32). Quindi, viene avviato automaticamente all’avvio del sistema.

Win32:DNSChanger-VJ [Trj]

Win32: DNSChanger-VJ [Trj] fa parte di un rootkit che cerca di proteggere altri componenti malware, ad esempio bloccando l’accesso a siti di aggiornamento per gli aggiornamenti di sicurezza e gli aggiornamenti delle firme. Qualsiasi accesso ai siti host sarà risolto a “localhost”, che lo renderà, in realtà, irraggiungibile. Questo è il motivo per cui viene chiamato DNSChanger, perché manipola risoluzioni DNS.

Worm.Autorun.VHG

Questo programma software maligno è un worm che si diffonde utilizzando la funzione autorun .inf nei sistemi operativi Windows. Utilizza supporti rimovibili come le unità flash USB o i dischi rigidi esterni. Si tratta di un worm Internet e di rete che sfrutta la vulnerabilità CVE-2008-4250 di Windows.

Trojan.AutorunINF.Gen

Si tratta di una rilevazione generica che rileva file autorun.inf dannosi, sia noti che sconosciuti. I file autorun.inf sono file di avvio che possono essere utilizzati come un meccanismo di distribuzione per i programmi informatici maligni su dispositivi USB, supporti rimovibili,  CD e DVD.

Trojan.IFrame.YX

Questa rilevazione è collegata alla potenziale diffusione degli adware ed è stata riscontrata principalmente su siti di hosting gratuito. Viene controllato se l’ IP del visitatore ha già avuto accesso al sito negli ultimi 30 minuti e se il controllo ha esito negativo, il frame avvia la “consegna” di pubblicità che può essere potenzialmente infetta.

Application.Keygen.BG

Si tratta di un generatore di chiavi molto popolare nelle reti P2P e siti warez in quanto consente (presumibilmente) l’uso di software altrimenti a pagamento. L’esecuzione di questa applicazione non è solo una questione legale, ma ha molti rischi connessi alla sicurezza.

Java.Trojan.Downloader.OpenConnection.A

Questo Trojan downloader si trova in applet Java manipolate sui siti web. Quando l’applet viene scaricata, viene generata una URL dai parametri dell’applet. Il downloader la utilizza per scaricare un file maligno eseguibile sul computer dell’utente e avviarne l’esecuzione. Questi file possono essere di qualsiasi tipo di software dannoso. Il downloader sfrutta la vulnerabilità CVE-2010-0840 al fine di bypassare la sandbox di Java e quindi scrivere i dati locali.

Gen: Variant.Kazy.45847

Gen: Variant.Kazy.45847 appartiene al gruppo di programmi potenzialmente indesiderati (PUP). Si tratta di un file .dll di nome solidcore32.dll, che viene utilizzato per crepare il gioco per computer Anno 2070. La modifica del file di gioco viene rilevato come dannoso.
Metodologia
La Malware Information Initiative (MII) si basa sulla forza della community online community ed ogni utente delle soluzioni di sicurezza di G Data ne può far parte. L’unico prerequisito è quello di attivare questa funzione all’interno dei programmi G Data. Se un attacco malware viene respinto questo evento viene riportato in maniera completamente anonima ai G Data SecurityLabs dove i dati vengono archiviati ed analizzati statisticamente.

 

Hacker Highschool – Una guida completa al mondo Hacker

Il progetto Hacker High School ha l’intento di fornire materiali istruttivi sul mondo dell’Hacking partendo dalle basi dell’etica Hacker affrontando i principali argomenti.
L’obbiettivo è quello di formare gli utenti sul mondo della Sicurezza Informatica scoprendo le principali tematiche partendo da una corretta etica Hacker, passando dalle porte e servizi di rete per finire in un capitolo dedicato alla legislatura.

Il progetto vede il patrocinio della ISECOM e anche se è datato (2005) è ancora ad oggi un ottima guida per tutti gli aspiranti Hacker, la versione Italiana è stata realizzata grazie alla partecipazione di:

Raoul Chiesa, ISECOM
Doriano Azzena, centro CSAS del progetto Dschola IPSIA Castigliano – Asti
Sophia Danesino, centro CSAS del progetto Dschola ITIS Peano – Torino
Nadia Carpi, centro CSAS del progetto Dschola ITIS Peano – Torino
Fabrizio Sensibile, OPST&OPSA Trainer, @ Mediaservice.net Srl, Torino – ISECOM Authorized
Training Partner
Claudio Prono, @ Mediaservice.net Srl, Torino – ISECOM Authorized Training Partner

È possibile scaricare i dodici capitoli del manuale attraverso i seguenti link:

Lezione 01 – Essere un hacker 26-01-05
Lezione 02 – Windows e Linux 26-01-05
Lezione 03 – Porte e Protocolli 26-01-05
Lezione 04 – Servizi e Connessioni 26-01-05
Lezione 05 – Identicazione del Sistema 26-01-05
Lezione 06 – Malware (Virus, Trojan, etc.) 26-01-05
Lezione 07 – Analisi di un attacco 26-01-05
Lezione 08 – Digital Forensics “casalinga” 26-01-05
Lezione 09 – Sicurezza nell’E-mail e Privacy 27-01-05
Lezione 10 – Sicurezza Web e Privacy 24-07-06
Lezione 11 – Le Password 27-01-05
Lezione 12 – Internet: Legislazione ed Etica 31-07-06

Vunerabilità in Facebook – Allegare file EXE nei messaggi privati

 

Nathan Power della SecurityPentest ha individuato una vulnerabilità nel processo di caricamento dei file sul noto social network Facebook. È comunemente possibile utilizzare Facebook Messanger per inviare file ad amici ma il sistema impediva di caricare file con estensione .EXE in quanto considerati portatori di virus.

Le ricerche effettuate da Nathan hanno sottolineato la possibilità di caricare un file eseguibile (.exe) grazie ad un semplicissimo escamotage, basta infatti aggiungere uno spazio al termine dell’estensione perché l’uploader di Facebook validasse il file. Per esempio il file “sono_un_virus.exe” non viene accettato mentre “sono_un_virus.exe ” viene processato senza problemi.

Se a questa vulnerabilità viene aggiunta la caratteristica di Windows di auto eliminare eventuali spazi contenuti nell’estensione dei file è possibile capire la pericolosità di questa procedura.

La vulnerabilità scoperta lo scorso 28 Ottobre 2011 è però già stata fixata da Facebook, ad oggi non è possibile utilizzare questo trucco.

uTorrent sotto attacco, il software rimpiazzato da un Malware!

Nella nottata il famoso portale uTorrent  è stato preso di mira da ignari cracker che hanno provveduto a sostituire i file eseguibili del noto software di p2p con un malware denominato “Security Shield”.

L’attacco è accaduto alle 4:20 am (ora del Pacifico) e dopo due ore il server è stato correttamente ripristinato, ma chi in quell’intervallo ha scaricato il software rischia di infettare il proprio sistema con il malware.

Inizialmente sembrava che anche il portale BitTorrent fosse stato vittima dell’attacco ma il comunicato stampa ufficiale ha scongiurato tale possibilità.

Potete leggere tutti i dettagli dell’evento sul comunicato stampa ufficiale.

,

Rootkit Hunter – Lo scanner dei Rootkit

Rootkit Hunter è un software grazie al quale è possibile individuare all’interno del proprio sistema Unix eventuali RootKit. I RootKit permettono ad un malintenzionato a di avere accesso completo, di root, alla nostra macchina permettendoli di utilizzare a proprio piacimento il terminale.

RkHunter si basa principalmente su cinque fattori per determinare la vulnerabilità:

  • Comparazione del Hash MD5;
  • Analisi dei file comunemente utilizzati dai rootkit;
  • Analisi di eventuali stringhe sospette nei moduli LKM e KLD;
  • Analisi dei file invisibili;
  • Analisi dei permessi dei file

Installarlo è veramente facile, basterà effettuare il Download del software dal sito ufficiale, una volta scaricato procediamo all’estrazione dell’archivio e procediamo all’installazione da riga di comando digitando:

$ sudo ./installer.sh –install

per avviare la scansione del sistema invece basterà imputare il seguente comando

$ sudo rkhunter –check

automaticamente verrà generato un dettagliato report ad analisi conclusa.

RkHunter permette di individuare eventuali minacce ma non permette l’eliminazione, la quale sarà a nostra cura una volta determinato il nome del rootkit che ci ha infettato.

Microsoft elimina l’Autorun delle chiavi USB

Dopo quello che The Register definisce “un decennio di abusi”, Microsoft ha finalmente deciso di rimuovere Autorun dalle vecchie versioni di Windows, fermando così uno dei metodi preferiti di propagazione dei creatori di worm e altri malware. La decisione è arrivata definitivamente ieri, quando l’azienda di Redmond ha pubblicato un aggiornamento che ha cambiato il comportamento di Windows Server 2008 e delle versioni precedenti del sistema operativo quando una chiave USB o altre memorie portatili vengono collegati al PC.

Il funzionamento di Autorun era come abbiamo detto potenzialmente pericoloso, non solo per i singoli computer ma anche per gli altri a esso in qualche modo collegati: l’esecuzione senza filtri del codice scritto nel file autorun.inf (come quello che vedete qui sopra) ha infatti contribuito in maniera decisiva a far sì che Conficker colpisse milioni e milioni di PC. Già cambiata con l’Autoplay delle ultime versioni di Windows, la funzionalità rimaneva ancora in vita su quelle più vecchie, che tramite Windows Update saranno ora costrette a scaricare l’aggiornamento.

Jerry Bryant di Microsoft ha ribadito il concetto con queste parole:

“Crediamo sia il momento giusto nell’industria per diffondere questo cambiamento e avere un impatto sul modo in cui i malware si diffondono. È un qualcosa che aiuterà sicuramente nella protezione dell’ecosistema

A qualcuno (me compreso) la mossa potrà sicuramente sembrare in ritardo, ma Bryant giustifica la scelta con l’opposizione da parte di alcuni partner di Microsoft che usavano il vecchio Autorun per installare programmi forniti insieme al loro stesso hardware. Pur avendo fatto un importante passo eliminando questa funzionalità per le memorie, resterà nei prossimi mesi anche da prendere lo stesso tipo di provvedimento nei confronti dei supporti ottici, non coinvolti nella modifica appena compiuta ad Autorun. Comunque sia, se avete un PC con installata una vecchia versione di Windows, potete sempre ricorrere al fai da te.

Fonte | Downloadblog

Spanair 5022 del 20 agosto 2008, si schiantò a causa di un Trojan!

Il volo 5022 della Spanair si è schiantato al suolo il 20 agosto 2008 subito dopo il decollo, l’aereo avrebbe dovuto compiere la tratta dall’aeroporto di Madrid all’aeroporto di Las Palmas de Gran Canaria.

Secondo El Pais il computer centrale, responsabilie delle verifiche tecniche e della segnalazioni di eventuali problemi sarebbe stato infettato da un trojan ed avrebbe provocato il mancato allarme dei problemi che affliggevano l’aereo.

Via | DownloadBlog