Un dipendente del governo americano, Michael Fiola, ha passato sicuramente dei brutti momenti quando è stato licenziato in tronco, ha perso tutti i propri amici e il tribunale ha istituito un procedimento legale contro di lui con l’accusa di detenzione informatica di immagini pedopornografiche.

Il suo portatile, fornito dal datore di lavoro, era stato posto sotto indagine dopo aver riscontrato un uso quattro volte maggiore del normale della connessione ad Internet, come mostrato in una bolletta della società Verizon.

Dalle prime analisi il PC era risultato veicolo di diffusione di pedopornografia. Uno scandalo, che ha spinto immediatamente il DIA (Department of Industrial Accidents) a licenziare in tronco Fiola e a denunciarlo alle autorità competenti.

Con un’accusa del genere la vita cambia radicalmente, sopratutto se la persona sotto accusa non è la persona così come viene dipinta dalle accuse.

Grazie all’intervento di un esperto di analisi forense, e dopo un mese di indagini, è stato provato che il PC era infetto da un trojan che veicolava il trasferimento del materiale pedopornografico in maniera totalmente invisibile al signor Fiola.

L’antivirus, Symantec Corporate Edition, non aveva individuato niente e sembra che, in qualche maniera, la sua configurazione era stata compromessa.

Ora Michael Fiola ha dimostrato la sua estraneità ai fatti, ma la macchia purtroppo indelebile rimane nella figura di una persona che, da un giorno all’altro, si è vista distruggere la propria vita.

La lettura di questa storia porta ad una riflessione: che importanza dà ogni utente al fatto che il proprio PC possa essere infetto?

Sento spesso persone che si preoccupano esclusivamente dei danni che i malware possono arrecare a loro stessi in maniera diretta. Un malware che cancella tutti i file dall’hard disk? Un malware che mostra continuamente popup fastidiosi durante la navigazione? Un malware che ruba le password o i dati bancari? Bisogna correre ai ripari immediatamente! Non fa niente di tutto questo? Va beh, niente di pericoloso.

Non è così che funziona, purtroppo. Se è vero che esistono malware il cui scopo è colpire l’utente in maniera diretta, ci sono tanti altri malware il cui scopo è semplicemente prendere controllo di quanti più pc possibili per poterne poi farne ciò che meglio il malware writer crede.

Prendiamo il caso sopra citato: il malware utilizzava il pc come veicolo di trasmissione e di diffusione di immagini pedopornografiche. Niente di immediato, niente che danneggiasse l’utente direttamente.

Prendiamo Rustock, uno dei rootkit più avanzati. Trasforma il PC in una vera e propria macchina da guerra per inviare spam. Colpisce direttamente l’utente questa cosa? No, a parte un rallentamento di connessione.

Possiamo prendere tanti altri esempi. Il fatto che un malware non faccia danni immediati al sistema, né danni che riguardino l’utente finale, non significa che siano dunque meno gravi di altri malware.

Quando sento dire: “Ma questo malware mi ha rubato le password? Mi ha cancellato file? Mi ha danneggiato direttamente in qualche maniera?” e rispondo “No“, con conseguente risposta: “Ah vabeh, allora capirai“, allora in quel caso capisco quanto ci sia bisogno di sensibilizzare l’utenza generale a questo genere di problematiche.

Un malware può aver trasferito materiale illegale utilizzando il nostro pc. La mattina alle 5 ci vediamo arrivare la polizia postale o la guardia di finanza che sequestra tutto. Come dimostriamo che noi non ne sappiamo niente di tutto ciò?

Rustock è stato uno dei fattori che ha messo in crisi l’Internet italiana lo scorso Dicembre 2006, con le continue richieste che tendevano a saturare i DNS.

Qualunque trojan con funzioni di backdoor che rende il PC parte di una botnet. Il vostro PC potrebbe essere a vostra insaputa uno dei PC che stanno tenendo sotto scacco qualche importante sito web internazionale con attacchi DDoS.

Per questo è molto importante tenere sotto controllo la salute del proprio PC e prendere coscienza di quanto sia importante la sicurezza del sistema. Per sé stessi in primo piano, sicuramente. Ma nel momento in cui ci connettiamo ad Internet, ogni utente è responsabile verso gli altri di ciò che succede e della salute stessa della rete globale.

Potremmo essere anche noi, indirettamente, la causa di una nuova ingestibile ondata di spam.
Potremmo essere anche noi, indirettamente, parte di quei pirati informatici che stanno attaccando da svariate ore siti web istituzionali o servizi online internazionali.
Potremmo essere anche noi, indirettamente, la causa di difficoltà di navigazione online anche per altri.
Potremmo essere anche noi, indirettamente, che alimentiamo il traffico di materiale illegale anche pedopornografico.

Tutto questo sembrerebbe non toccarci in maniera diretta, ma i danni - alla lunga - li paghiamo anche noi, direttamente o non.

Il malware invita l’utente a cliccare su un link, ponendo domande quali “Questa è la tua foto? [link]“. Il file che viene scaricato ha nomi che tentano di ingannare l’utente, facendogli credere si tratti di siti web. Un esempio è il nome 134453_9198[1].JPG-WWW.MYSPACE.COM.

In realtà, il file in questione è un eseguibile (estensione .COM) e il malware - con funzioni di trojan - si connette ad un canale IRC da dove riceve i comandi da eseguire.

La rimozione è veramente semplice ed immediata: dal task manager terminare il processo: wksvcsc.exe, eliminare dunque il file C:\WINDOWS\wksvcsc.exe (che, essendo nascosto, è visibile esclusivamente attivando la visualizzazione dei file nascosti dalle proprietà di visualizzazione cartelle di Windows) ed eliminare dal registro, a questo percorso, HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run il valore Windows UDP Control Services = wksvcsc.exe .

Per coloro che si trovassero in difficoltà anche seguendo queste istruzioni, Prevx CSI permette la rimozione automatica di questa e molte altre infezioni.

Con questo post ho l’occasione di poter esporre il futuro del sito PC Al Sicuro.

Come avrete notato, in questi ultimi mesi i post sono diminuiti in maniera drastica. Ciò non dovrebbe essere necessariamente un male, perché il fatto che io non abbia molto tempo per aggiornare il sito web significa che sono impegnato in altro, cioè - per i più interessati - stiamo lavorando ad alcune interessantissime novità che riguarderanno i prodotti Prevx.

Purtroppo, il moltissimo tempo dedicato alla ricerca e sviluppo - viaggi all’estero e tempo necessario per poter sviluppare qualcosa di succoso - unito al tempo dedicato all’università - poco, in effetti - e, per finire, la mia vita privata, sono tutti fattori che fanno sì che PC Al Sicuro non abbia più gli aggiornamenti che aveva un tempo.

Di questo un pò me ne dispiace, anche perché sono veramente molto contento del successo che il sito web ha raggiunto dopo tanto tempo: più di 341.000 visitatori negli ultimi 12 mesi, una media di circa 28.000 visitatori al mese. Non sono numeri enormi, ma sono molto soddisfacenti per un piccolo sito web amatoriale messo su quasi per caso e seguito nel tempo libero.

Non so che fine farà questo sito ancora, ma so che ha dato tante soddisfazione e di questo ringrazio tutti voi lettori, che con pazienza e fiducia avete continuato a leggere i miei “brevi” articoli.

Avete mai sognato di pulire casa, rispondere al telefono, cambiare canale alla TV e molto altro semplicemente ordinandolo stando comodamente seduti sul divano di casa?

Ecco, non è piu una fantasia. L’autore, non nuovo a pazzie simili, è sempre Michael St. Neitzel, portavoce ufficiale nonché sviluppatore e ricercatore per Frisk Software International (società produttrice del software antivirus F-Prot).

Neitzel ha sviluppato un completo sistema di gestione casalingo, comandato da un’intelligenza artificiale. In altre parole, una donna virtuale tiene sotto controllo tutto quello che si può fare in una casa.

Al solo comando vocale può: pulire casa, fare il caffé, tè, gestire la TV, gestire il PC e telefoni cellulari e molto altro.

Ad esempio: siete sul divano e volete cambiare canale? Basta dire il nome del canale e l’intelligenza artificiale girerà canale per voi. Volete alzare o abbassare il volume, registrare un programma televisivo? Basta dirlo.

Pulire casa? Basta ordinarlo e l’intelligenza artificiale comanderà un minirobot che si prenderà cura di pulire.

Volete controllare le e-mail? Basta dire: “Computer, check my emails“, e il computer leggerà le e-mail piu recenti. Ovviamente potete rispondere dettando. Se invece arriva un’e-mail e nessuno è in casa (l’intelligenza artificiale lo sa, grazie ad un sistema di telecamere e individuazione di movimenti di persone) il computer risponderà alle persone - se sono persone inserite in una lista di persone alle quali rispondere sempre - avvertendo che la persona cercata non è al momento in casa.

Quando entrate a casa, il computer saluta, avverte se avete delle e-mail urgenti alle quali rispondere e vi informa di chi vi ha chiamati durante la vostra assenza. Volete richiamare? Basta dire il nome della persona e il PC richiamerà.

La cosa più carina, però, è che il sistema auto-apprende. Questo significa che impara e riconosce le persone. Se vede per la prima volta una persona, inizia una conversazione standard per scoprire chi sia. La volta successiva, il pc saluterà chiamando questa persona per nome e agirà secondo le sue preferenze (esempio: se sà che una persona controlla la propria e-mail appena torna a casa, controllerà le e-mail non appena riconoscerà che quella persona è entrata in casa).

Il computer prepara anche la lista della spesa. Vostra moglie, mentre cucina, dice ad alta voce cosa sta utilizzando? Il pc registra, calcola ciò che viene utilizzato e quanto ne rimane in dispensa, e prepara la lista della spesa.

Se il computer vede qualcuno in casa che non riconosce, può chiamarvi ed informarvi del fatto. Avete dimenticato le luci accese in casa e siete usciti? Il computer vi chiamerà, chiedendovi se può spengere le luci visto che in casa non c’è nessuno.

Siete fuori casa e vi siete scordati di registrare il vostro programma televisivo preferito? Niente paura, basta una chiamata a casa. Il computer risponderà e potete programmare la vostra registrazione.

Al momento sono disponibili piu di 200 funzioni, con le quali questa “donna virtuale” interagisce con la vita reale. Ovviamente il sistema è il cervello che comanda poi tutti i device collegati ad esso. Le connessioni sono tutte effettuate via WiFi e Bluetooth.

Questa è solo una parte delle funzionalità di questo “assurdo” Home System che in questi giorni è finito su giornali e TV islandesi.

Qui sotto un video del sistema in funzione:

Commenti?

Dopo tre mesi, il team che sta alle spalle di questa infezione ha cambiato codice del malware piu volte, tentanto di nascondere ogni volta in maniera migliore la propria creatura.

Inizialmente è stato introdotto un driver per sovrascrivere il MBR, invece di utilizzare le API del Win32 subsystem. In questo modo, è stato tentato di evadere alcuni semplici controlli HIPS che avrebbero individuato un tentativo di accesso in lettura/scrittura a basso livello.

Ora che le società ed alcuni singoli sviluppatori hanno rilasciato dei tool di rimozione per questa infezione, il team ha tentato di cambiare nuovamente le carte in tavola.

Come spiegato in un articolo precedente, l’MBR rootkit modifica le routine IRP_MJ_READ e IRP_MJ_WRITE del driver disk.sys così da poter offuscare la lettura del contenuto del MBR, mostrando invece una versione pulita del Master Boot Record salvata prima dell’infezione.

Ora il gioco è diventato piu sporco. Il rootkit ora modifica in memoria il driver CLASSPNP.sys, poi modifica piu routine IRP_MJ_* del driver disk.sys e fa lo stesso con il driver cdrom.sys.

Per capire meglio il perche di questo comportamento, scendiamo un po piu in dettaglio.

Le routine IRP_MJ_READ/WRITE del driver Disk.sys puntano - in una macchina non infetta - ad una funzione chiamata ClassReadWrite, che è una funzione fornita dal driver CLASSPNP.sys.

Ora, se il rootkit modifica le routine IRP_MJ_READ/WRITE per nascondere il codice nel Master Boot Record, tutto quello che uno sviluppatore deve fare è ritrovare il puntatore all’indirizzo della funzione CLASSPNP!ClassReadWrite e, di conseguenza, leggere il contenuto del MBR senza alterazioni da parte del rootkit.

Ora però sorge il problema: ClassReadWrite non è una funzione esportata dal driver CLASSPNP.sys, e ci sono alcuni modi per poter ritrovare l’indirizzo di questa funzione.

Il primo modo sarebbe quello di effetuare un’analisi del codice della funzione chiamata ClassInitialize. Questa funzione è esportata dal driver CLASSPNP.sys e contiene l’indirizzo originale della funzione ClassReadWrite.

Ecco la prima contromossa usata dal rootkit: il malware modifica la funzione ClassInitialize, in modo tale che non è piu possibile individuare l’indirizzo originale in memoria della funzione ClassReadWrite.

Un altro modo sarebbe quello di analizzare il driver cdrom.sys. Le routine di dispatch IRP_MJ_READ/WRITE del driver cdrom.sys puntano alla stessa funzione ClassReadWrite. Questo significa che dal driver cdrom.sys sarebbe possibile recuperare l’indirizzo originale della funzione ClassReadWrite.

Seconda contromossa usata dal rootkit: ora, oltre al driver disk.sys, modifica anche cdrom.sys.

Inoltre, il terzo cambio è l’aggiunta di altri hook (inutili dal punto di vista del codice) ad alcune funzioni IRP_MJ_*, hook sembrerebbe aggiunti semplicemente per rendere le cose piu difficili alle società di sicurezza.

Ora le routine di dispatch che il rootkit modifica sono anche:

IRP_MJ_CREATE
IRP_MJ_CLOSE
IRP_MJ_FLUSH_BUFFERS
IRP_MJ_DEVICE_CONTROL
IRP_MJ_INTERNAL_DEVICE_CONTROL
IRP_MJ_SHUTDOWN
IRP_MJ_POWER
IRP_MJ_SYSTEM_CONTROL
IRP_MJ_PNP

La realtà, al momento, è che le società di sicurezza sono indietro rispetto a questa infezione e il team che sta sviluppando il rootkit sta facendo il proprio gioco, vincendo pure. Gran parte dei programmi sviluppati per individuare e rimuovere questa infezione sono stati bypassati da queste ultime release del malware. In aggiunta, il team dietro l’MBR rootkit sembra molto attivo.

La buona notizia, però, è che Prevx CSI riesce ad individuare e rimuovere l’MBR rootkit. Da Gennaio, quando abbiamo aggiunto le routine per l’individuazione e la rimozione di questo rootkit nel nostro engine anti-rootkit, non è stato mai necessario aggiornare o modificare il codice per individuare le nuove varianti della componente rootkit dell’infezione.

Prevx Blog

Un’e-mail proveniente da un sedicente avvocato recita:

Salve,

Il mio nome è Giovanni Maria Valtramonti, le scrivo in quanto risulta che dal suo indirizzo di posta elettronica mi siano state inviate ripetutamente ingiurie ed infamie.
Al fine di porre fine a tale torpiloquio speso nei miei confronti senza nessuna fondata ragione ed ancora, leggendo la posta sul mio computer anche i miei figli, mi sono trovato costretto a sporgere una denuncia nei Suoi confronti tramite una Società di sicurezza informatica ( Network Managment Security ) che si occuperà di confermare la proprietà dell’email incriminata attraverso un servizio di condanna o revoca della suddetta denuncia per atti telematici a mezzo di posta elettronica.

Le ricordo inoltre che il suo computer potrebbe essere infetto e che quindi l’email in questione non appartenga affatto a Lei ed in questo caso le farei le mie scuse per il distrubo

In ogni modo al fine di non far procedere l’avvocato M. Rufchrt della suddetta società con la richiesta, da me effettuata, di risarcimento danni, la consiglio caldamente di prendere contatto attraverso il form che N.M.S. le ha messo a disposizione per procedere all’identificazione di questo indirizzo di email

Cordialmente la saluto Dott.

Giovanni Maria Valtramonti

L’e-mail rimanda, attraverso un link, ad un server ospitato in Cina all’indirizzo IP 220.112.46.132.

La pagina aperta, la cui immagine è esposta qui sotto, richiede la verifica di un indirizzo e-mail.

Il testo recita:

Nel caso che questa email non sia di sua proprietà con buona probabilità il suo Personal Computer potrebbe essere infettato dal virus denominato “EmSender1A04b” la invitiamo per tanto onde evitare altri spiacevoli incovenienti a scaricare il Fix Rilasciato da Digital Riv Solution USA : Fix1A04b

Invita al download di un presunto removal tool, che è in realtà un malware. Tutti i link presenti all’interno della pagina web rimandano al malware riconosciuto da Prevx come Trojan.Hijacker.

Una volta eseguito, il malware cambia la home page di Internet Explorer con il sito web www.tuttoavolonta.com e apre una pagina web all’indirizzo www.internet-explorer.name.

Aggiunge tra i siti web ritenuti attendibili da Internet Explorer i seguenti siti:

• www.katasearch.com
• www.preferiti-windows.com
• www.qoogler.com
• www.tuttoavolonta.com

(Attenzione: Sebbene siano tutti momentaneamente non raggiungibili, è fortemente sconsigliata la navigazione all’interno dei siti web sopra citati)

In caso il computer sia connesso tramite modem analogico 56k, viene creato il file etc.exe sotto C:\WINDOWS\system32\winsvc\svc\ e vengono creati i seguenti collegamenti:

• sul desktop

Mutandine usate.lnk
Adult Frind Finder.lnk
Google.lnk


• Menu Avvio

Campionato 2008.lnk


• su Risorse del Computer

Internet per Adulti

Il dialer può effettuare chiamate ai seguenti numeri di telefono:

• 899451111
• 899032548
• 899399385
• 899702085
• 899707778

Può creare dei file .pbk, utilizzati come rubrica per la chiamata analogica, con nome random all’interno della directory di sistema di Windows.

Prevx CSI individua e rimuove l’infezione.

Per rimuovere le icone sul desktop e dal menu avvio basta cliccare sopra di esse con il tasto destro del mouse e poi “Elimina”. Per rimuovere invece l’icona “Internet per Adulti” da Risorse del Computer è necessario lavorare nel registro di sistema come illustrato qui sotto.

• Start - Esegui - “regedit” (premere invio)
• Navigare fino alla chiave di registro HKEY_CLASSES_ROOT\CLSID\, identificare la sottochiave {16C7013F-912E-42ac-AA8E-A10A180DFF51}, tasto destro su di essa e poi “Elimina”
• navigare fino alla chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\
  MyComputer\NameSpace e rimuovere la sottochiave {16C7013F-912E-42ac-AA8E-A10A180DFF51}

Basta cercare indietro nel tempo, anche in questo sito web, per vedere come questa tipologia di infezione sia attiva già dal passato 2006. Stessi siti web, una lista abbastanza ampia di numeri 899 utilizzati dal malware, una tipologia di attacco che è studiata esplicitamente per il territorio italiano. Dei dati almeno interessanti da cui poter partire per qualche indagine.

Non so se delle indagini siano mai state effettuate a riguardo, se polizia postale o gat abbiano mai controllato questa situazione. Quello che è sicuro è che ogni tot mesi queste e-mail e questo malware tornano liberamente a farsi sentire.

Da Brain in poi sono stati migliaia i virus che hanno utilizzato la stessa tecnologia (o più avanzate) per rimanere invisibili agli occhi dell’utente e degli scanner antivirus, alterando le funzioni basilari e compromettendo così il funzionamento del sistema operativo.

Era il tempo di Brain, Stoned, Tequila e tanti altri famigerati nomi. Questa tipologia di infezione con il passare degli anni scomparse, lasciando il posto ad altri tipi di malware.

Oggi la tipologia di infezione più complessa è senza ombra di dubbio il rootkit. Techicamente parlando, le modalità con cui un rootkit compromette a basso livello il sistema operativo è allo stesso tempo affascinante e pericoloso.

Abbiamo avuto modo di vedere differenti tecniche di attacco utilizzate per compromettere il sistema operativo e nascondere le componenti dell’infezione all’interno del pc. Ogni volta, tuttavia, la guerra è stata combattuta dall’interno del sistema operativo, una continua guerra tra i ricercatori delle società antivirus e malware writer per riuscire a garantirsi il controllo del pc. Solo ultimamente abbiamo visto alcuni proof of concept di rootkit che possono compromettere la macchina fuori da Windows - vedi SubVirt di Microoft o la Bluepill di Joanna Rutkowska. Entrambi i progetti molto molto interessanti ma, fortunatamente, restano al momento solo proof of concepts - ciò significa che il malware in the wild dovrebbe avere la priorità.

Qualcosa però sta cambiando. Nel 2005 alcuni ricercatori della eEye Digital Security pubblicarono un nuovo progetto, chiamato BootRoot. Il progetto era essenzialmente un nuovo tipo di rootkit che tentava di compromettere Windows dall’esterno, sovrascrivendo il Master Boot Record con del codice che aveva la capacità di modificare il driver di Windows ndis.sys sin dall’avvio.

Qualche giorno fa GMER, l’autore di uno dei più noti tool antirootkit gratuiti, ha pubblicato un’interessante e dettagliata analisi di ciò che potrebbe diventare il nuovo trend delle infezioni: sfortunatamente, quel proof of concept chiamato BootRoot è ora in the wild.

Posso confermare la diffusione in the wild di questa infezione perché abbiamo ricevuto delle segnalazioni durante lo stesso periodo segnalato da GMER nella propria analisi. GMER riporta inoltre che la scoperta è stata effettuata da due membri del MR Team, Tammy e MJ.

L’infezione si diffonde attraverso alcuni siti web che ospitano exploit studiati per infettare pc con software e/o sistema operativo non aggiornati. Questa tipologia di infezione è stata vista spesso in azione durante il 2006 e 2007 - Gromozon è solo uno dei vari esempi.

Gran parte dei siti web monitorati che vengono utilizzati per diffondere questa infezione sono iniettati in iframe nascosti all’interno di pagine web compromesse - una tattica molto diffusa negli ultimi periodi.

Abbiamo visto che uno dei paesi più esposti all’attacco è l’Italia, poiché i siti web ospitanti il malware sono stati più volte utilizzati in vari attacchi locali durante i quali sono stati compromessi siti web.

Una volta che il dropper viene eseguito, sovrascrive il master boot record con il proprio codice e memorizza una copia del mbr originale al settore 62 del disco, appendendo il vecchio mbr a del codice proprio. Codice del malware viene aggiunto anche nei settori 60 e 61. Il driver del rootkit viene poi scritto in uno spazio libero e inutilizzato dell’hard disk, solitamente gli ultimi settori del disco. Il codice scritto nel MBR sarà responsabile del caricamento del driver vero e proprio nel sistema.

Al successivo riavvio del sistema (il malware può programmare un reboot automaticamente) il codice scritto nel master boot record prende il controllo dell’Int 13h in modo tale da poter controllare qualunque cosa venga caricata dal sistema operativo. Questa posizione gli permette di poter modificare il kernel on-the-fly non appena viene letto dall’hard disk.

Il codice modifica il kernel in modo tale che il driver del rootkit sia caricato nel sistema. Nessuna chiave di registro è necessaria, nessun file è presente.

Per nascondersi all’interno di Windows, il rootkit modifica le routine IRP_MJ_READ e IRP_MJ_WRITE del driver disk.sys, responsabile in Windows dell’accesso ai dischi. Quando si tenta di leggere il Master Boot Record, il rootkit mostrerà come risposta il codice memorizzato al settore 62, cioè il codice originale. In aggiunta, il driver è responsabile di alcune connessioni verso host remoti. La maggior parte del codice del MBR utilizzata dal malware è stata spudoratamente copiata dal progetto BootRoot.

In alcuni test preliminari Windows Vista è risultato solo parzialmente vulnerabile: se l’UAC è disabilitato, il rootkit può sovrascrivere il Master Boot Record ma, se l’UAC è abilitato, il tentativo viene bloccato. Inoltre, anche se il codice viene scritto nel MBR, il rootkit non riesce a prendere il controllo del sistema a causa del processo di boot differente da Windows XP a Windows Vista. Il malware, che riconosce il giusto codice da modificare nel kernel attraverso una signature, non riesce nell’intento poiché la signature non è valida per Windows Vista.

Tecniche da vecchia scuola? La tipologia di attacco è molto simile a Brain e ad altri vecchi virus, tuttavia il concetto in sé di rootkit è vecchio.

Ora che questa tipologia di rootkit è in the wild dovremo aspettarci una nuova ondata di attacchi simili, soprattutto perché gran parte delle attuali tecnologie antirootkit sono inefficaci contro questa minaccia.

In aggiunta a tutto ciò gran parte delle soluzioni antirootkit falliscono tutt’ora ad individuare correttamente alcuni rootkit che agiscono dall’interno di Windows, anche perché i malware writer possono utilizzare diversi trucchi e tecniche molto difficili da individuare.

Ora la battaglia sta lasciando il campo del sistema operativo e si sta spostando all’esterno.

(Prevx blog)

Siamo arrivati alla fine dell’anno, e come era lecito pensare, il team che è alle spalle di del worm Storm si è rifatto vivo. Dal 23 Dicembre sono stati aperti infatti numerosi domini direttamente collegati al worm, nei quali è possibile scaricare il malware sottoforma di cartoline di auguri, prima per Natale e poi per il nuovo anno.

La particolarità del rilascio di questo malware sta nel fatto che gli autori hanno pensato di utilizzare tecniche in classico stile polimorfico per evitarne la semplice individuazione da parte delle società di antivirus. In altre parole il malware muta, ricompresso direttamente dai server, in un lasso di tempo di pochi minuti, garantendo così una sorta di “unicità” del sample ad ogni download.

I domini tutt’ora aperti sono i seguenti:

• merrychristmasdude.com
• uhavepostcard.com
• happycards2008.com
• newyearcards2008.com
• newyearwithlove.com
• freshcards2008.com
• familypostcards2008.com
• hellosanta2008.com
• happysantacards.com

I siti vengono tutt’ora tenuti online grazie ad una tecnica di gestione dei DNS denominata Fast Flux.

È chiaro che l’obiettivo, inizialmente il Natale, è stato poi spostato verso il nuovo anno, visti i cambi di nome dell’eseguibile del malware da stripshow.exe, happy2008.exe, happy-2008.exe, happynewyear2008.exe, happy_2008.exe.

Le e-mail che arrivano utilizzano per la maggior parte una di queste frasi come oggetto dell’e-mail o testo, anche combinate insieme e recanti il link ad uno dei siti web sopra elencati:

• Happy New Year To You!
• Wishes for the new year
• Opportunities for the new year
• New Year Postcard
• New Year Ecard
• New Year wishes for you
• Happy New Year To You!
• Message for new year
• Blasting new year
• As you embrace another new year
• It’s the new Year
• As the new year…
• Happy 2008 To You!
• Joyous new year
• Lots of greetings on new year
• A fresh new year

Questa nuova ondata del worm Storm - nuova perché quest’anno è stato tempestato di ondate simili da parte dello stesso malware - ha visto il rilascio di differenti varianti in pochi giorni con centinaia di sottovarianti polimorfiche per ognuna di queste.

Questa ondata, che tutt’ora sta andando avanti, si può sostanzialmente dividere in due macro periodi: il primo, in cui il worm ha utilizzato tecniche di infezione standard, e la seconda in cui ha fatto uso - come solito del team - di un rootkit per infettare e nascondere i file.

Prendo come esempio la release utilizzante il rootkit, poiché più interessante. Una volta eseguito il file iniziale, verrà creato un nuovo servizio di sistema e un driver sotto la directory di sistema di Windows, il cui nome può avere come prefisso una di queste strighe:

• init
• clean
• bldy
• ortyeras
• kalleny
• kirjtkkd

Il driver prende il controllo delle seguenti API native di Windows: ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryDirectoryFile. Lo scopo è ovviamente quello di nascondere le chiavi di registro e i file facenti parte dell’infezione.

Come effetto secondario, il rootkit nasconderà qualsiasi file contenga una delle stringhe sopra elencate all’interno del proprio nome.

Il rootkit successivamente inietta del codice all’interno del processo services.exe. Il codice iniettato si prende cura di catturare gli indirizzi e-mail dai file aventi le seguenti estensioni:

• .adb
• .asp
• .cfg
• .cgi
• .dat
• .dbx
• .dhtm
• .eml
• .htm
• .jsp
• .lst
• .mbx
• .mdx
• .mht
• .mmf
• .msg
• .nch
• .ods
• .oft
• .php
• .pl
• .sht
• .shtm
• .stm
• .tbb
• .txt
• .uin
• .wab
• .wsh
• .xls
• .xml

La routine di spam eviterà di invare e-mail agli indirizzi di posta elettronica contenenti una di queste stringhe:

• @avp.
• @foo
• @iana
• @messagelab
• @microsoft
• abuse
• admin
• anyone@
• bsd
• bugs@
• cafee
• certific
• contract@
• feste
• free-av
• f-secur
• gold-certs@
• google
• help@
• icrosoft
• info@
• kasp
• linux
• listserv
• local
• news
• nobody@
• noone@
• noreply
• ntivi
• panda
• pgp
• postmaster@
• rating@
• root@
• samples
• sopho
• spam
• support
• unix
• update
• winrar
• winzip

Il payload comprende l’apertura random di una porta UDP in modo tale che il PC infetto entri a far parte della grande botnet creata dal worm. La porta aperta viene riportata in un file denominato [prefisso].config all’interno della directory di sistema di Windows - ove [prefisso] è uno dei prefissi sopra elencati.

Prevx riconosce al momento tutte le varianti polimorfiche del worm come Stormy:Worm-All Variants e Prevx CSI, tool per controllare in maniera del tutto gratuita la presenza di infezioni all’interno del PC, individua inoltre il rootkit attivo nel sistema.

Sebbene l’attacco sembra stia lentamente scemando, raccomandiamo di porre la massima attenzione a strane e-mail che invitano al download di cartoline di auguri virtuali, soprattutto se scritte in lingua inglese.

PC Al Sicuro, invece, vuole augurare a tutti - non come i falsi auguri del worm Storm - un felice anno nuovo, che sia ricco di felicità e di successo per tutti.

È passato poco tempo dal rilascio di Prevx CSI, uno scanner free disponibile a tutti studiato per analizzare ed eventualmente segnalare infezioni attive nel sistema.

Questa nuova release di Prevx CSI però include notevoli migliorie, che fanno diventare il tool un ottimo complemento free alla protezione antivirus già installata nel sistema.

Prevx CSI è stato per gran parte riscritto, includendo le seguenti nuove funzionalità:

• Supporto per connessioni tramite Proxy
• Prevx CSI può essere installato nel sistema
• Supporto per scansioni pianificate
• Aggiunte nuove locazioni controllate durante la scansione
• Scansione anti rootkit per la ricerca e la rimozione di rootkit attivi
• Routine di update del tool in caso di aggiornamenti disponibili
• Routine di cleanup dalle infezioni integrata nel tool (*)

Il tool Prevx CSI è completamente gratuito per quanto riguarda la scansione e l’individuazione di malware attivi nel sistema. Tuttavia la funzione di cleanup necessita di una licenza a pagamento, acquistabile da qui

Il tool è installabile gratuitamente, è possibile inoltre scegliere - oltre alla pianificazione di scansioni - se visualizzare o meno un’icona nella system tray per avere Prevx CSI sempre a portata di mano. Il fatto che sia presente un’icona nella system tray non indica che sia presente una protezione in tempo reale. Prevx CSI è studiato esclusivamente come complemento on-demand delle proprie soluzioni antivirus, e come tale risulta essere il meno invasivo possibile.

Prevx CSI è ben diverso da Prevx 2.0. Prevx 2.0 continua ad essere il software di protezione completo, con controllo in tempo reale, behavior blocker avanzato, euristica estesa.

La tecnologia anti rootkit integrata in Prevx CSI è tutt’ora in fase beta, sebbene sia difficile definire quando possa essere rilasciata una versione finale visto che necessita - come tutte le tecnologie - di essere ritoccata e migliorata continuamente, di pari passo con lo sviluppo di nuovi rootkit. La tecnologia ha permesso di individuare e rimuovere con pochi click rootkit quali Unreal.A, Rustock.B, Srizbi, BadRKDemo, Pandex, Vanquish, DialCall, FuTO, Phide_Ex e molti altri.

Prevx CSI è disponibile da QUI.

Come nota finale, il nome non è Prevx CSI+ bensì il classico Prevx CSI.

Il comunicato stampa è disponibile a questo indirizzo.

Durante la dimostrazione sono state simulate due situazioni di vita reale: nella prima, un qualsiasi direttore di una società durante una sosta per il caffé al bar vede che vengono distribuite in omaggio delle flash memory stick U3 4GB SanDisk e ne prende una. La seconda situazione vede invece una connessione Wi-Fi malconfigurata, o meglio configurata con sistema di codifica WEP.

Nella prima situazione, non appena il direttore inserisce nel pc la nuova e fiammante flash memory stick il pc cade vittima di un trojan che ruba informazioni riservate. Nel giro di pochi secondi Jacques ha iniziato infatti a ricevere email da un server remoto che reindirizzava tutti i tasti premuti da questo presunto direttore e catturati dal trojan.

In aggiunta, l’attacker ha la possibilità di vedere ogni file all’interno del PC e può rubare qualunque file egli voglia. Come sottolineato anche da Microsoft, se il laptop fosse stato utilizzato per lavoro, l’intera società sarebbe stata compromessa. E tutto a causa di un laptop non adeguatamente protetto.

Nella seconda dimostrazione, Jacques ha mostrato come sia possibile sfruttare una connessione Wi-Fi protetta con WEP per i propri fini. Dopo essere riuscito ad entrare nella rete, Erasmus ha cambiato le impostazioni dei DNS all’interno del router (come è solito di molte aziende, username e password del pannello di amministrazione vengono lasciati di default) in modo tale che la vittima venisse reinderizzata verso siti web ospitanti malware. Una volta che il trojan è stato iniettato nel pc, nuovamente l’attacker ha il controllo completo del computer.

Secondo una stima effettuata da Get Safe Online, a causa delle frodi online in media ogni persona perde ogni anno circa 875£ - circa 1220€.

L’articolo completo, redatto da PC Advisor, è disponibile a questo link.