Prendo spunto da un post fatto dal mio collega Chris Morris sul blog di Prevx, il quale mi ha ispirato una riflessione che in pochi tra i normali utenti di pc solitamente fanno.

Un dipendente del governo americano, Michael Fiola, ha passato sicuramente dei brutti momenti quando è stato licenziato in tronco, ha perso tutti i propri amici e il tribunale ha istituito un procedimento legale contro di lui con l’accusa di detenzione informatica di immagini pedopornografiche.

Il suo portatile, fornito dal datore di lavoro, era stato posto sotto indagine dopo aver riscontrato un uso quattro volte maggiore del normale della connessione ad Internet, come mostrato in una bolletta della società Verizon.

Dalle prime analisi il PC era risultato veicolo di diffusione di pedopornografia. Uno scandalo, che ha spinto immediatamente il DIA (Department of Industrial Accidents) a licenziare in tronco Fiola e a denunciarlo alle autorità competenti.

Con un’accusa del genere la vita cambia radicalmente, sopratutto se la persona sotto accusa non è la persona così come viene dipinta dalle accuse.

Grazie all’intervento di un esperto di analisi forense, e dopo un mese di indagini, è stato provato che il PC era infetto da un trojan che veicolava il trasferimento del materiale pedopornografico in maniera totalmente invisibile al signor Fiola.

L’antivirus, Symantec Corporate Edition, non aveva individuato niente e sembra che, in qualche maniera, la sua configurazione era stata compromessa.

Ora Michael Fiola ha dimostrato la sua estraneità ai fatti, ma la macchia purtroppo indelebile rimane nella figura di una persona che, da un giorno all’altro, si è vista distruggere la propria vita.

La lettura di questa storia porta ad una riflessione: che importanza dà ogni utente al fatto che il proprio PC possa essere infetto?

Sento spesso persone che si preoccupano esclusivamente dei danni che i malware possono arrecare a loro stessi in maniera diretta. Un malware che cancella tutti i file dall’hard disk? Un malware che mostra continuamente popup fastidiosi durante la navigazione? Un malware che ruba le password o i dati bancari? Bisogna correre ai ripari immediatamente! Non fa niente di tutto questo? Va beh, niente di pericoloso.

Non è così che funziona, purtroppo. Se è vero che esistono malware il cui scopo è colpire l’utente in maniera diretta, ci sono tanti altri malware il cui scopo è semplicemente prendere controllo di quanti più pc possibili per poterne poi farne ciò che meglio il malware writer crede.

Prendiamo il caso sopra citato: il malware utilizzava il pc come veicolo di trasmissione e di diffusione di immagini pedopornografiche. Niente di immediato, niente che danneggiasse l’utente direttamente.

Prendiamo Rustock, uno dei rootkit più avanzati. Trasforma il PC in una vera e propria macchina da guerra per inviare spam. Colpisce direttamente l’utente questa cosa? No, a parte un rallentamento di connessione.

Possiamo prendere tanti altri esempi. Il fatto che un malware non faccia danni immediati al sistema, né danni che riguardino l’utente finale, non significa che siano dunque meno gravi di altri malware.

Quando sento dire: “Ma questo malware mi ha rubato le password? Mi ha cancellato file? Mi ha danneggiato direttamente in qualche maniera?” e rispondo “No“, con conseguente risposta: “Ah vabeh, allora capirai“, allora in quel caso capisco quanto ci sia bisogno di sensibilizzare l’utenza generale a questo genere di problematiche.

Un malware può aver trasferito materiale illegale utilizzando il nostro pc. La mattina alle 5 ci vediamo arrivare la polizia postale o la guardia di finanza che sequestra tutto. Come dimostriamo che noi non ne sappiamo niente di tutto ciò?

Rustock è stato uno dei fattori che ha messo in crisi l’Internet italiana lo scorso Dicembre 2006, con le continue richieste che tendevano a saturare i DNS.

Qualunque trojan con funzioni di backdoor che rende il PC parte di una botnet. Il vostro PC potrebbe essere a vostra insaputa uno dei PC che stanno tenendo sotto scacco qualche importante sito web internazionale con attacchi DDoS.

Per questo è molto importante tenere sotto controllo la salute del proprio PC e prendere coscienza di quanto sia importante la sicurezza del sistema. Per sé stessi in primo piano, sicuramente. Ma nel momento in cui ci connettiamo ad Internet, ogni utente è responsabile verso gli altri di ciò che succede e della salute stessa della rete globale.

Potremmo essere anche noi, indirettamente, la causa di una nuova ingestibile ondata di spam.
Potremmo essere anche noi, indirettamente, parte di quei pirati informatici che stanno attaccando da svariate ore siti web istituzionali o servizi online internazionali.
Potremmo essere anche noi, indirettamente, la causa di difficoltà di navigazione online anche per altri.
Potremmo essere anche noi, indirettamente, che alimentiamo il traffico di materiale illegale anche pedopornografico.

Tutto questo sembrerebbe non toccarci in maniera diretta, ma i danni - alla lunga - li paghiamo anche noi, direttamente o non.

Non pensavo dovessi scrivere questo post in effetti, ma viste le numerose richieste di aiuto che mi sono arrivate mi vedo costretto ad aggiornare su questo nuovo malware che si sta diffondendo dal 31 Maggio scorso via MSN.

Il malware invita l’utente a cliccare su un link, ponendo domande quali “Questa è la tua foto? [link]“. Il file che viene scaricato ha nomi che tentano di ingannare l’utente, facendogli credere si tratti di siti web. Un esempio è il nome 134453_9198[1].JPG-WWW.MYSPACE.COM.

In realtà, il file in questione è un eseguibile (estensione .COM) e il malware - con funzioni di trojan - si connette ad un canale IRC da dove riceve i comandi da eseguire.

La rimozione è veramente semplice ed immediata: dal task manager terminare il processo: wksvcsc.exe, eliminare dunque il file C:\WINDOWS\wksvcsc.exe (che, essendo nascosto, è visibile esclusivamente attivando la visualizzazione dei file nascosti dalle proprietà di visualizzazione cartelle di Windows) ed eliminare dal registro, a questo percorso, HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run il valore Windows UDP Control Services = wksvcsc.exe .

Per coloro che si trovassero in difficoltà anche seguendo queste istruzioni, Prevx CSI permette la rimozione automatica di questa e molte altre infezioni.

Con questo post ho l’occasione di poter esporre il futuro del sito PC Al Sicuro.

Come avrete notato, in questi ultimi mesi i post sono diminuiti in maniera drastica. Ciò non dovrebbe essere necessariamente un male, perché il fatto che io non abbia molto tempo per aggiornare il sito web significa che sono impegnato in altro, cioè - per i più interessati - stiamo lavorando ad alcune interessantissime novità che riguarderanno i prodotti Prevx.

Purtroppo, il moltissimo tempo dedicato alla ricerca e sviluppo - viaggi all’estero e tempo necessario per poter sviluppare qualcosa di succoso - unito al tempo dedicato all’università - poco, in effetti - e, per finire, la mia vita privata, sono tutti fattori che fanno sì che PC Al Sicuro non abbia più gli aggiornamenti che aveva un tempo.

Di questo un pò me ne dispiace, anche perché sono veramente molto contento del successo che il sito web ha raggiunto dopo tanto tempo: più di 341.000 visitatori negli ultimi 12 mesi, una media di circa 28.000 visitatori al mese. Non sono numeri enormi, ma sono molto soddisfacenti per un piccolo sito web amatoriale messo su quasi per caso e seguito nel tempo libero.

Non so che fine farà questo sito ancora, ma so che ha dato tante soddisfazione e di questo ringrazio tutti voi lettori, che con pazienza e fiducia avete continuato a leggere i miei “brevi” articoli.

Avverto a priori che questo argomento esula dalla sicurezza informatica

Avete mai sognato di pulire casa, rispondere al telefono, cambiare canale alla TV e molto altro semplicemente ordinandolo stando comodamente seduti sul divano di casa?

Ecco, non è piu una fantasia. L’autore, non nuovo a pazzie simili, è sempre Michael St. Neitzel, portavoce ufficiale nonché sviluppatore e ricercatore per Frisk Software International (società produttrice del software antivirus F-Prot).
Read the rest of this entry »

Dall’inizio del nuovo anno una nuova tipologia di rootkit è stata scoperta in the wild. l’MBR Rootkit, il rootkit che infetta il Master Boot Record per nascondersi all’interno di Windows, ha fatto molto parlare di sé e ha fatto sorgere molte discussioni sul futuro dei nuovi malware, a causa del suo nuovo approccio mai utilizzato prima se non per alcuni proof of concepts.

Dopo tre mesi, il team che sta alle spalle di questa infezione ha cambiato codice del malware piu volte, tentanto di nascondere ogni volta in maniera migliore la propria creatura.

Inizialmente è stato introdotto un driver per sovrascrivere il MBR, invece di utilizzare le API del Win32 subsystem. In questo modo, è stato tentato di evadere alcuni semplici controlli HIPS che avrebbero individuato un tentativo di accesso in lettura/scrittura a basso livello.
Read the rest of this entry »

Un’e-mail, di stampo simile alle vecchie e-mail che girano saltuariamente da due anni a questa parte, sta arrivando nelle caselle degli italiani.

Un’e-mail proveniente da un sedicente avvocato recita:

Salve,

Il mio nome è Giovanni Maria Valtramonti, le scrivo in quanto risulta che dal suo indirizzo di posta elettronica mi siano state inviate ripetutamente ingiurie ed infamie.
Al fine di porre fine a tale torpiloquio speso nei miei confronti senza nessuna fondata ragione ed ancora, leggendo la posta sul mio computer anche i miei figli, mi sono trovato costretto a sporgere una denuncia nei Suoi confronti tramite una Società di sicurezza informatica ( Network Managment Security ) che si occuperà di confermare la proprietà dell’email incriminata attraverso un servizio di condanna o revoca della suddetta denuncia per atti telematici a mezzo di posta elettronica.

Le ricordo inoltre che il suo computer potrebbe essere infetto e che quindi l’email in questione non appartenga affatto a Lei ed in questo caso le farei le mie scuse per il distrubo

In ogni modo al fine di non far procedere l’avvocato M. Rufchrt della suddetta società con la richiesta, da me effettuata, di risarcimento danni, la consiglio caldamente di prendere contatto attraverso il form che N.M.S. le ha messo a disposizione per procedere all’identificazione di questo indirizzo di email

Cordialmente la saluto Dott.

Giovanni Maria Valtramonti

L’e-mail rimanda, attraverso un link, ad un server ospitato in Cina all’indirizzo IP 220.112.46.132.
Read the rest of this entry »

Dobbiamo fare qualche passo indietro, sfogliare le pagine della nostra memoria per ricordarsi di Brain, il primo virus per IBM-PC documentato. Brain era un boot sector virus con tecnologia stealth, capace di nascondersi prendendo il controllo dell’INT 13h, un interrupt utilizzato per il controllo diretto dell’accesso ai dischi. Ogni qualvolta si tentava di leggere il settore di boot del disco infetto, Brain mostrava la copia originale del boot sector.

Da Brain in poi sono stati migliaia i virus che hanno utilizzato la stessa tecnologia (o più avanzate) per rimanere invisibili agli occhi dell’utente e degli scanner antivirus, alterando le funzioni basilari e compromettendo così il funzionamento del sistema operativo.
Read the rest of this entry »

Sono giorni che PC Al Sicuro non viene aggiornato. Purtroppo gli impegni lavorativi mi hanno impedito di aggiungere nuove notizie, sebbene possiate trovare miei nuovi post nel blog di Prevx.

Siamo arrivati alla fine dell’anno, e come era lecito pensare, il team che è alle spalle di del worm Storm si è rifatto vivo. Dal 23 Dicembre sono stati aperti infatti numerosi domini direttamente collegati al worm, nei quali è possibile scaricare il malware sottoforma di cartoline di auguri, prima per Natale e poi per il nuovo anno.

La particolarità del rilascio di questo malware sta nel fatto che gli autori hanno pensato di utilizzare tecniche in classico stile polimorfico per evitarne la semplice individuazione da parte delle società di antivirus. In altre parole il malware muta, ricompresso direttamente dai server, in un lasso di tempo di pochi minuti, garantendo così una sorta di “unicità” del sample ad ogni download.

Read the rest of this entry »