Lo staff di PC Al Sicuro augura a tutti i lettori un felice e sereno Natale

Ok, dopo alcuni giorni che ho lanciato il sasso e nascosto la mano lasciando spazio alla fantasia degli utenti, posso parlare un pò meglio di cosa si tratta Prevx “CSI+”.

È passato poco tempo dal rilascio di Prevx CSI, uno scanner free disponibile a tutti studiato per analizzare ed eventualmente segnalare infezioni attive nel sistema.

Questa nuova release di Prevx CSI però include notevoli migliorie, che fanno diventare il tool un ottimo complemento free alla protezione antivirus già installata nel sistema.

Prevx CSI è stato per gran parte riscritto, includendo le seguenti nuove funzionalità:

• Supporto per connessioni tramite Proxy
• Prevx CSI può essere installato nel sistema
• Supporto per scansioni pianificate
• Aggiunte nuove locazioni controllate durante la scansione
• Scansione anti rootkit per la ricerca e la rimozione di rootkit attivi
• Routine di update del tool in caso di aggiornamenti disponibili
• Routine di cleanup dalle infezioni integrata nel tool (*)

Il tool Prevx CSI è completamente gratuito per quanto riguarda la scansione e l’individuazione di malware attivi nel sistema. Tuttavia la funzione di cleanup necessita di una licenza a pagamento, acquistabile da qui

Il tool è installabile gratuitamente, è possibile inoltre scegliere - oltre alla pianificazione di scansioni - se visualizzare o meno un’icona nella system tray per avere Prevx CSI sempre a portata di mano. Il fatto che sia presente un’icona nella system tray non indica che sia presente una protezione in tempo reale. Prevx CSI è studiato esclusivamente come complemento on-demand delle proprie soluzioni antivirus, e come tale risulta essere il meno invasivo possibile.

Prevx CSI è ben diverso da Prevx 2.0. Prevx 2.0 continua ad essere il software di protezione completo, con controllo in tempo reale, behavior blocker avanzato, euristica estesa.

La tecnologia anti rootkit integrata in Prevx CSI è tutt’ora in fase beta, sebbene sia difficile definire quando possa essere rilasciata una versione finale visto che necessita - come tutte le tecnologie - di essere ritoccata e migliorata continuamente, di pari passo con lo sviluppo di nuovi rootkit. La tecnologia ha permesso di individuare e rimuovere con pochi click rootkit quali Unreal.A, Rustock.B, Srizbi, BadRKDemo, Pandex, Vanquish, DialCall, FuTO, Phide_Ex e molti altri.

Prevx CSI è disponibile da QUI.

Come nota finale, il nome non è Prevx CSI+ bensì il classico Prevx CSI.

Il comunicato stampa è disponibile a questo indirizzo.

La scorsa settimana, Jacques Erasmus, direttore del centro ricerche Prevx, insieme a Microsoft e Get Safe Online, ha effettuato una dimostrazione live su come sia semplice penetrare all’interno delle connessioni wireless malconfigurate e nei pc degli utenti.

Durante la dimostrazione sono state simulate due situazioni di vita reale: nella prima, un qualsiasi direttore di una società durante una sosta per il caffé al bar vede che vengono distribuite in omaggio delle flash memory stick U3 4GB SanDisk e ne prende una. La seconda situazione vede invece una connessione Wi-Fi malconfigurata, o meglio configurata con sistema di codifica WEP.

Nella prima situazione, non appena il direttore inserisce nel pc la nuova e fiammante flash memory stick il pc cade vittima di un trojan che ruba informazioni riservate. Nel giro di pochi secondi Jacques ha iniziato infatti a ricevere email da un server remoto che reindirizzava tutti i tasti premuti da questo presunto direttore e catturati dal trojan.

In aggiunta, l’attacker ha la possibilità di vedere ogni file all’interno del PC e può rubare qualunque file egli voglia. Come sottolineato anche da Microsoft, se il laptop fosse stato utilizzato per lavoro, l’intera società sarebbe stata compromessa. E tutto a causa di un laptop non adeguatamente protetto.

Nella seconda dimostrazione, Jacques ha mostrato come sia possibile sfruttare una connessione Wi-Fi protetta con WEP per i propri fini. Dopo essere riuscito ad entrare nella rete, Erasmus ha cambiato le impostazioni dei DNS all’interno del router (come è solito di molte aziende, username e password del pannello di amministrazione vengono lasciati di default) in modo tale che la vittima venisse reinderizzata verso siti web ospitanti malware. Una volta che il trojan è stato iniettato nel pc, nuovamente l’attacker ha il controllo completo del computer.

Secondo una stima effettuata da Get Safe Online, a causa delle frodi online in media ogni persona perde ogni anno circa 875£ - circa 1220€.

L’articolo completo, redatto da PC Advisor, è disponibile a questo link.

Nell’ottica di espandere PC Al Sicuro, che da semplice blog avrebbe l’irreale aspirazione di diventare uno dei punti di riferimento su territorio italiano per quanto riguarda la sicurezza informatica, viene aperta da oggi una nuova sezione.

La sezione Antiphishing di PC Al Sicuro vuole raccogliere quante più informazioni possibili riguardo i nuovi casi di phishing che ogni giorno dilagano nelle caselle e-mail degli utenti per poi poter fornire un sito web costantemente aggiornato sulle nuove minacce di phishing individuate.

La sezione, che ovviamente come ogni cosa nuova avrà bisogno di un periodo di rodaggio iniziale per poter dare dei frutti, è curata principalmente dal mio amico Paolo - conosciuto nel forum con il nick di Silver - che riceverà le vostre segnalazioni e procederà ad un’analisi e pubblicazione di informazioni nel sito.

Per consigli, suggerimenti, o semplicemente fare un in bocca al lupo a Paolo, potete lasciare un commento o scrivere via e-mail all’indirizzo e-mail esposto nella sezione Antiphishing.

La sezione è raggiungibile all’indirizzo: antiphishing.pcalsicuro.com

Prevx CSI+ is alive

È stato pubblicato da poche ore il riassunto dell’ultima delle quattro comparative annuali tenute da AV-Comparatives che prende in analisi le tecnologie euristiche presenti nei software antivirus. Per chi ha meno dimestichezza sull’argomento, in parole povere la tecnologia euristica è quella tipologia di scansione che permette ad un software antivirus di individuare nuovi malware senza la necessità di firme virali specifiche, di prevenire quindi nuove possibili epidemie di malware.

La comparativa vera e propria sarà rilasciata il 1 Dicembre 2007, intanto è possibile però leggere un riassunto con lo score raggiunto da ogni singolo prodotto.

Livello ADVANCED+

• Kaspersky
• Nod32

Livello ADVANCED

• Avast
• AVG
• AVK
• McAfee
• OneCare
• Norman
• Symantec

Livello STANDARD

• Avira
• BitDefender
• Dr.Web
• eScan
• F-Prot
• F-Secure
• Trustport

Prima di commentare su eventuali sorprese - sia in negativo che in positivo - è comunque consigliabile attendere il writeup completo per verificare quanto abbia influito il numero di falsi positivi sul giudizio finale.

AV-Comparatives

Sta girando da diversi giorni nelle caselle di posta elettronica degli italiani una sedicente e-mail che recita:

Oggetto: Ecco quel che ti ho promesso

Ciao Ragazzi, non mi sono scordato della promessa di Sabato sera… Ecco il video de Fiorella! Non mi importa se lo scopre, visto che lei non ha avuto nessun problema a scoparsi 7 uomini assieme. Quindi se volete farlo girare no problem ok? http://xxxxxx.freemoviepro.com/coso.asx

Ciao a presto!

Gianni A. Perutti

L’e-mail è ovviamente falsa e rimanda ad un sito web ospitante malware. La tipologia di infezione è vecchia e di stampo prettamente italiano, molto simile ad una vecchia famiglia di altri trojan che girarono mesi addietro.

L’infezione si presenta sottoforma di falso codec, denominato codec_8-2.exe, necessario per visualizzare il famigerato video promesso nell’e-mail. Nel momento in cui l’utente tenta di aprire il file coso.asx, Windows Media Player è istruito per richiedere il download di questo codec, che a sua volta installerà nella directory di sistema di Windows un Browser Helper Object denominato wbspark.dll. La dll viene riconosciuta da Prevx come Adware.BHO.gen.

Vengono create inoltre le seguenti chiavi di registro:

HKEY_CLASSES_ROOT\CLSID\{bc42164f-2c53-1b42-1563-1a7624a24c11}

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{bc42164f-2c53-1b42-1563-1a7624a24c11}

Viene aggiunta la seguente riga al file HOSTS:

210.14.129.6 www.myfilmcodeclive.com

Al momento l’individuazione del BHO è minima, come da immagine:

Mentre il dropper è riconosciuto da più software antivirus:

Il server, freemoviepro.com (210.14.129.3), è attivo da diversi mesi e contiene vari sottodomini ricollegabili allo stesso falso codec. È assolutamente sconsigliabile la navigazione all’interno di questo sito web. Se ne consiglia, per gli amministratori di rete, il blocco dell’IP.

Per verificare se il proprio PC è infetto, è possibile utilizzare gratuitamente Prevx CSI.