Roberto Marchioro

Secondo questo bollettino il sistema .Net Passport di Microsoft, il servizio Web-based costruito per accelerare l’accesso a siti web e quindi per contenere nostre informazioni private o particolari, ha un paio di falle.
Niente di grave, inviando una particolare URL si riesce a resettare la password di un qualsiasi utente e, quindi, ad entrare e vedere tutte le sue informazioni nonch? usare il suo profilo per spacciarsi in rete per un’altra persona … con tutto quello che ne pu? conseguire!

Forza Bill, facci ridere ancora con il progetto Palladium!

Si chiama W32.HLLW.Kullan un worm scoperto il 25 aprile dai laboratori del Symantec Security Response (SSR) e che sta conoscendo un discreto livello di diffusione. La soglia di rischio in una scala da 1 a 5 e’ per ora fissata dall’SSR a livello 2.

COME FUNZIONA

Il worm tenta di diffondersi attraverso reti informatiche nelle quali siano presenti computer dotati di sistema operativo Windows XP o Windows 2000. Tutti gli altri sistemi, comprese le altre versioni di Windows, non sono soggette all’attacco del worm.

Le modalita’ tipiche di diffusione di HLLW.Kullan sono quelle delle reti di condivisione, come le reti interne o i network di sharing dei file, in assenza di una protezione specifica. Una volta dentro un sistema infetto, il worm apre una backdoor che puo’ consentire all’autore di registrare i pulsanti premuti sulla tastiera dall’utente (per individuare password o codici di accesso), di leggere la posta elettronica della vittima e altro ancora.

UNA FORMA DI TROJAN

Il worm-trojan puo’ consentire dunque l’accesso al computer all’autore di questo software. Una volta dentro il sistema questi puo’ compiere una serie di modifiche al sistema operativo, per esempio per ottenere informazioni di prima mano ogni volta che nuovi dati vengono inseriti sul computer dall’utente.

Quando si scopre questo trojan sul proprio computer e’ difficile stabilire se l’autore ha gia’ compiuto modifiche al sistema. Per questo gli esperti dell’SSR consigliano in ogni caso di ricorrere, per una sicurezza maggiore, alla reinstallazione del sistema operativo.

COME PROTEGGERSI

Se il proprio sistema non e’ configurato per condividere file o cartelle questo worm non potra’ diffondersi al suo interno. In caso contrario, oltre a provvedere all’utilizzo di un firewall e alle precauzioni di routine, e’ bene aggiornare il proprio software antivirus.

Tratto da: Salvapc.com

Il termine backdoor indica un software capace di utilizzare una porta di accesso al computer senza che l’utente del computer ne sia al corrente. La backdoor consente di fatto a chi l’ha installata da remoto di accedere senza essere notato al computer dell’utente e compiervi sopra pressoche’ qualsiasi genere di operazione.
L’installazione di una backdoor puo’ avvenire in molti modi, il piu’ comunue e’ l’utilizzo di software in circolazione su Internet che quando vengono installati sul proprio PC si occupano di aprire una porta di comunicazione verso l’esterno.

UN TRIS DI BACKDOOR

In questi giorni si stanno diffondendo tre diversi generi di backdoor che e’ bene conoscere per difendersi sebbene al momento il Symantec Security Response (SSR) valuti al livello minimo il loro grado di diffusione. La loro capacita’ di diffondersi e’ peraltro direttamente proporzionale alle capacita’ di difesa dei computer colpiti. In tutti e tre i casi descritti l’obiettivo dei software malevoli sono computer Windows.

???1. Backdoor.Tankedoor

E’ un tipo di backdoor che attraverso un software Trojan Horse consente all’aggressore di accedere al computer con una connessione IRC (Internet Relay Chat) sulla quale all’autore del Trojan viene comunicata l’avvenuta infezione del computer dell’utente. Se sul computer si trova il file dllmem32.exe allora e’ possibile che sia stato infettato da questo Trojan.
(Pagina SSR: http://securityresponse.symantec.com/avcenter/venc/data/backdoor.tankedoor.html)

???2. Backdoor.OptixDDoS

In questo caso il Trojan consente un accesso al computer con lo scopo specifico di trasformare il sistema dell’utente in una possibile fonte di attacchi distribuiti in rete.
Da remoto, infatti, l’autore di questo software puo’ spingere il computer dell’utente ad effettuare grandi quantita’ di richieste ad un server Internet. Se i computer infettati sono molti, l’attacco a quel server puo’ renderlo inaccessibile (si tratta dunque di attacchi denial-of-service, o DoS).
(Pagina SSR: http://securityresponse.symantec.com/avcenter/venc/data/backdoor.optixddos.html)

???3. Backdoor.Beasty.F

Si tratta di un software che ha lo scopo specifico di consentire all’aggressore l’accesso non autorizzato al computer dell’utente, attraverso l’apertura della porta TCP 23666.
In un messaggio automatico inviato all’autore del programma attraverso il sistema ICQ del computer della vittima, il software malevolo comunica all’aggressore anche il numero IP del computer dell’utente, esponendolo cosi’ all’attacco da remoto.
(Pagina SSR: http://securityresponse.symantec.com/avcenter/venc/data/backdoor.beasty.f.html)

COME DIFENDERSI

Il modo migliore per difendersi da un attacco come quello portato da queste backdoor e’ dotare il proprio computer di un firewall che, se mantenuto aggiornato, e’ capace di individuare questi programmi ed impedire automaticamente il loro accesso al sistema dell’utente.Tratto da SalvaPC.

Hanno questo nome alcuni programmi di piccole dimensioni che configurano il computer dell’utente affinche’ questo si colleghi non piu’ al proprio provider Internet ma ad un altro fornitore di accesso, ad un prezzo di connessione spesso molto elevato. …

I RISCHI

Sebbene il dialer sia uno strumento che consente a fornitori autorizzati di contenuti di far pagare l’accesso ad alcuni servizi telematici, molto piu’ spesso viene abusato da soggetti senza scrupoli che tentano di ingannare l’utente, fargli scaricare il programma e far connettere il loro computer a numeri a pagamento. Questi programmi generalmente si sostituiscono automaticamente alla connessione preferenziale dell’utente nella speranza cosi’ di lucrare il piu’ possibile sulle attivita’ online di chi e’ meno attento.

COME VENGONO DIFFUSI

I dialer piu’ invasivi ed abusivi vengono perlopiu’ promossi attraverso messaggi non richiesti di posta elettronica (Spam), alcuni dei quali sono configurati per sfruttare le caratteristiche di Windows e attivare alla chiusura del messaggio stesso lo scaricamento del programma dialer.

Su Web i dialer vengono spesso promossi come metodi di accesso ai contenuti pornografici, allo scaricamento di loghi e suonerie per il cellulare e ad altro ancora. Molto spesso, pero’, non forniscono all’utente in modo trasparente la tariffa che viene applicata alla connessione proposta dal dialer.

COME PROTEGGERSI

La configurazione ordinaria di browser e programma di posta elettronica generalmente permette all’utente di scegliere se installare o meno un dialer, sebbene vi siano certi dialer capaci di proporsi in modo estremamente subdolo. Dunque il modo migliore per proteggersi e’ tenere gli occhi aperti e dare l’autorizzazione a scaricare programmi solo quando si e’ certi della loro natura e funzionamento.

Essenziale e’ tenere aggiornati i software del proprio computer, in particolare se si utilizza Windows. Puo’ succedere infatti che un sito aggressivo nel quale si sta navigando tenti di usare le vulnerabilita’ del sistema per inserire di nascosto, ovvero in modo assolutamente non trasparente, il dialer.

CHI NON CORRE RISCHI

I rischi minori sono corsi da chi dispone di connettivita’ ADSL e dunque di un modem che non puo’ essere utilizzato dai dialer, o da chi non dispone sul proprio computer di un accesso diretto ad Internet ma di un accesso esclusivamente tramite altri computer.

Vedi anche quanto gi? scritto nella guida anti-dialer

Si sta diffondendo in queste ore un nuovo worm noto come W32.HLLW.Deloder, un codice malevolo che colpisce i sistemi Windows e tenta di installarvi una backdoor, una porta d’accesso dall’esterno.

I RISCHI

Deloader scansiona il network alla ricerca di computer Windows nei quali sia accessibile la porta TCP 445, una porta normalmente utilizzata per consentire l’accesso a directory condivise all’interno di un network.
Il worm tenta di superare eventuali password troppo semplici, o brevi, associate all’account Administrator del computer aggredito. Se vi riesce, installa la backdoor nel sistema, di fatto consentendo all’autore del codice malevolo di entrare sul computer colpito.

PROBLEMA CIRCOSCRITTO

Va detto che la porta TCP 445 e’ generalmente tenuta sotto sorveglianza e chiusa dai firewall domestici e aziendali e, dunque, chi utilizza un buon software di sicurezza di questo tipo difficilmente potra’ incorrere in brutte sorprese con Deloader.

COME DIFENDERSI

Aggiornare l’antivirus e’ sempre la risposta migliore a questo tipo di minacce. Nel caso di Deloader puo’ essere importante anche la protezione contro le backdoor che viene offerta da alcuni firewall.Tratto da SalvaPC.com

La IBM sta ritirando dal mercato alcuni monitor del modello IBM G51 e IBM G51t.

Macromedia ha rilasciato una nuova versione del flash player (6.0.79) , comprensivo delle ultime patch di sicurezza.
Macromedia raccomanda gli utenti di aggiornare immediatamente il software.