Worm e trojan, attenti a quei due

Nonostante i progressi fatti da Windows sul fronte della sicurezza, e la maggiore attenzione degli utenti, trojan e worm rimangono minacce molto diffuse. Lo spiegano i rapporti delle societÓ antivirus

Roma - La maggiore consapevolezza maturata dagli utenti Internet in merito a privacy e sicurezza, nonché le contromisure messe in atto da Microsoft e altri produttori di software, hanno contribuito in questi anni a ridimensionare il fenomeno worm e trojan. Abbassare la guardia sarebbe tuttavia imprudente, e la dimostrazione arriva dalla diffusione fatta registrare nell'ultimo periodo da minacce come Storm Worm e SpamtaLoad.

Anche noto come Small.DAM e Peacomm, Storm Worm domina ormai da molte settimane la classifica dei malware più diffusi al mondo. Il solo laboratorio di SonicWall afferma di aver registrato più di un milione di casi di infezione, con nuove varianti che compaiono in rapida successione: il codice delle varianti più recenti cambia di continuo, inclusi gli URL ai file infetti, così che la loro rilevazione diventa sempre più difficile. Secondo Guillaume Lovet, responsabile Threat Response Team EMEA di Fortinet, questo mese sono state riscontrate non meno di 36 diverse varianti attive di Storm Worm, anche se quasi il 60% dei rilevamenti è imputabile a sola una variante.

SonicWall spiega che questo worm, catalogabile anche fra i trojan, viene diffuso mediante messaggi di spam che contengono in allegato un file eseguibile camuffato da documento informativo "con notizie d'attualità di grande impatto".
"Una volta attivato - si legge in un comunicato della società di sicurezza - l'allegato inizia a scaricare automaticamente altro codice nocivo e apre una backdoor nella macchina infetta che ne consente il controllo da remoto e contemporaneamente installa un rootkit che nasconde il programma nocivo. Il computer compromesso si trasforma in uno zombie diventando parte integrante di una rete botnet". Le stesse botnet che negli scorsi mesi sono state utilizzate per lanciare attacchi verso diversi siti, tra cui quelli che ospitano database antispam.

Sebbene le prime versioni di Storm Worm utilizzassero modalità di diffusione e infezione non dissimili da quelle dei worm tradizionali, una delle più recenti incarnazioni del malware si è guadagnata l'attenzione degli esperti per il fatto di introdurre un nuovo ed efficace meccanismo di social engineering. Secure Computing, che per prima ha analizzato il comportamento della nuova variante di Storm, spiega che quest'ultima attende che l'utente invii un messaggio ad una webmail, ad un blog o a certi forum e gruppi di discussione web-based, e vi aggiunge di nascosto un link al codice virale.

"Questo annuncia un nuovo trend fra i malware che si diffondono attraverso i blog, i gruppi di discussione e le email web-based", ha affermato Dmitri Alperovitch, ricercatore presso Secure Computing. "Questa nuova minaccia è inoltre particolarmente insidiosa perché gli scanner antivirus non sempre la rilevano. Le ultime variani di Storm utilizzano tecniche polimorfiche per far apparire i loro file binari continuamente diversi rispetto alle impronte virali delle soluzioni antivirus".

Anche nel "Rapporto sulla sicurezza per il 2007" appena pubblicato da Sophos si afferma che stanno diminuendo le minacce contenute nei messaggi email a favore delle minacce ospitate sul web.

"Nel 2006 le minacce più prolifiche sono stati i worm appartenenti alle famiglie Mytob, Netsky, Sober e Zafi, che nel complesso hanno rappresentato più del 75% di tutte le mail infette", si legge nel rapporto. "Tuttavia, secondo le previsioni di Sophos, nel 2007 si assisterà a un significativo cambio di rotta: anziché utilizzare la posta elettronica per diffondere il malware, i cybercriminali sfrutteranno la popolarità di Internet a livello globale e l'accresciuta interattività degli utenti web".

"La straripante presenza dello Storm Worm non è priva di conseguenze, visto che viene sfruttata per generare e inviare ingenti quantità di spam", ha afferma Lovet di Fortinet. "Comunque la battaglia contro lo spam non è persa. Una semplice analisi dei fatti dimostra che nella corsa finale agli armamenti per contrastare i filtri di analisi dei contenuti gli spammer stanno perdendo terreno".

In queste settimane si è guadagnato l'attenzione degli esperti di sicurezza anche SpamtaLoad, un ceppo di worm e cavalli di Troia che si è dimostrato particolarmente prolifico. Tra le varianti più diffuse c'è il trojan SpamtaLoad.DO, che lo scorso martedì Panda Software ha rilevato in circa il 40% dei messaggi ricevuti dai propri laboratori internazionali.

Il celebre produttore di antivirus ha spiegato che il trojan si diffonde attraverso messaggi di posta elettronica con oggetto e testo variabili, quali "Error", "Good day", "hello" o "Mail Delivery System". SpamtaLoad.DO è contenuto in un file eseguibile allegato alla e-mail, ed anche in questo caso il nome è variabile. Se l'utente lo esegue, il trojan mostra un falso messaggio di errore o apre il blocco note contenente un testo. Questo file scarica sul sistema il worm Spamta.TQ, progettato per il rinvio di SpamtaLoad.DO a tutti gli indirizzi email recuperati dal PC infetto.

"Questo tipo di codici non è fine a se stesso", ha affermato Luis Corrons, direttore tecnico dei laboratori di Panda. "In molti casi, vengono usati per distrarre le aziende che si occupano di sicurezza. Infatti, mentre queste ultime concentrano i loro sforzi per eliminare le minacce, i cyber criminali ne approfittano per lanciare altre creazioni, spesso molto più pericolose, in maniera silenziosa".

Durante le ondate di worm come SpamtaLoad, Corrons ha spiegato che vengono messe in circolazione, in poco tempo, numerose varianti della stessa famiglia. "Gli utenti devono agire con cautela, perché questo Trojan potrebbe essere il primo di una nuova serie di aggressioni", ha ammonito il ricercatore.

Talvolta i worm minacciano anche gli utenti delle piattaforme Unix. L'ultimo esempio è dato da un vermicello che, come spiegato in questo post da Jose Nazario, senior software engineer di Arbor Networks, sfrutta una vulnerabilità zero-day nel servizio Telnet di Solaris 10 per infettare un server e diffondersi automaticamente verso altri sistemi. In attesa di correggere la falla, Sun ha pubblicato alcune istruzioni per rilevare e rimuovere il worm.
25 Commenti alla Notizia Worm e trojan, attenti a quei due
Ordina
  • ma perche io devo stare attento dove navigo ? quando basta usare linux o machintosh e i virus worm trojn non li ceca proprio ? ma basta con queste proibizioni di siti pericolosi etc la tecnologia per evitare microsoft esiste perche continuate Arrabbiato
    non+autenticato
  • Te lo dico io perchè continuare con Windows: Linux è IMPROPONIBILE come sostituto di Windows per il 90% di chi usa un PC, è INGESTIBILE da ogni punto di vista da un utente normale, da uno che non venga da Alpha Centauri e non progetti da sè le sue astronavi. Installando "Linux" ad altri si diventa anche "la mamma" di quel PC e si viene tormentati di continuo per installare questo e sistemare quello.
    OSX di Mac va già meglio, però è più chiuso verso il power user e ha OBIETTIVAMENTE pochi programmi (se non ne trovo uno che fa una certa cosa come dico io non è detto che ne trovi un altro idoneo) rispetto all'IMMENSO parco di programmi closed, open, shareware e freeware (e giochi!) di Windows. Tutti i programmi che uso con Windows, tranne i giochi, sono freeware open o closed, e ne sono pienamente soddisfatta. I virus? Ho amiche/amici che li "prendono". Io non più da diversi anni ormai. Un firewall, un antivirus e buonsenso sono indispensabili, e se proprio non dovessero bastare ho sempre pronto il mio fido backup di sistema.Occhiolino
    non+autenticato
  • giusto consiglio quoto a pieno utente mac da sempre ciao
    non+autenticato
  • o linux...
    non+autenticato
  • .. a guardare: da un mesetto ho installato una Ubuntu per navigare; ora ai virus non penso più Rotola dal ridere
    Ciao!
    Fan WindowsFan Linux
    chissà forse in futuro solo Fan Linux!
    non+autenticato
  • Non ne possiamo più, markettari profeti di disatri botnet sparaspam e sparaballe il 90% del traffico )pagato da tutti noi) sprecato per colpa di M$...

    NON NE POSSIAMO PI┘┘┘┘┘┘┘┘┘┘┘┘┘┘┘┘┘┘!
    non+autenticato
  • Ma... ragazzi...
    In che modo vengono raggiunti i siti web dannosi dai visitatori??
    Attraverso lo spam, cioè l'email?
    Allora il pericolo va individuato NELL'EMAIL ed è assolutamente fuorviante affermare che il web sta diventando pericoloso!
    Un grande motore di ricerca non ha nessun interesse a condurti su un sito malevolo.

    Se raccontiamo in giro che il web in sé è pericoloso, possiamo anche dire addio a Internet.
    Almeno questo è quello che si capisce nell'articolo... infatti:
    "Sophos afferma che [...] il crescente utilizzo di soluzioni per la sicurezza del gateway di posta sta spingendo i virus writer ad optare per altri metodi di attacco, tant'è che il numero dei siti web infetti è in costante aumento"
    e ancora:
    "Sophos ha registrato un calo degli spyware tradizionali a favore dei trojan scaricati dai siti Internet".
    In lacrime
    non+autenticato
  • infatti non va demonizzato il web va demonizzato il sistema operativo e non venitemi a dire che windows viene preso di mira dai virus writer perchè è il più usato (per forza è installato a forza in tutti i computer non assemblati).
    Windows è un colabrodo punto. E se Vista non è immune da virus è un colobrado come i predecessori
    non+autenticato
  • Va demonizzato l'utente!
    Se ti arriva un pacco a casa e lo apri, anche se non hai ordinato nulla, PAGHI!
    Ed è giusto che sia così!
    Se ti arrriva un'email dubbia e apri l'allegato è giusto che paghi!
    Altro che spam e web, è l'utente medio da condannare...
    Per guidare hai bisogno della patente e per girare per le strade devi portarti un documento d'identità.
    Il pc lo danno a cani e porci...Sorride
    Libertà è anche saperla usare.
    H5N1
    1641

  • - Scritto da: H5N1
    > Va demonizzato l'utente!
    > Se ti arriva un pacco a casa e lo apri, anche se
    > non hai ordinato nulla,
    > PAGHI!
    > Ed è giusto che sia così!
    > Se ti arrriva un'email dubbia e apri l'allegato è
    > giusto che
    > paghi!

    Sei ridicolo.
    non+autenticato
  • Argomentare l'affermazione, prego.
    Noto con disappunto un utilizzo disinvolto della tecnologia, senza prestare attenzione non tanto alle normative vigenti, ma al buon senso stesso.
    Per non parlare di netiquette.
    Un affermazione del tipo "sei ridicolo" senza argomentazione, senza identificazione e, soprattutto, atta solo a mortificare un'idea e non a contestarla con una critica costruttiva, è l'esempio tipico di come si creda che "in rete" si abbia la libertà di fare come si vuole.
    Ebbene credo, in un certo senso, che la rete sia autoregolamentata anche da queste "infezioni".
    -----------------------------------------------------------
    Modificato dall' autore il 04 marzo 2007 22.28
    -----------------------------------------------------------
    H5N1
    1641

  • - Scritto da:
    > Ma... ragazzi...
    > In che modo vengono raggiunti i siti web dannosi
    > dai
    > visitatori??
    > Attraverso lo spam, cioè l'email?
    > Allora il pericolo va individuato NELL'EMAIL ed è
    > assolutamente fuorviante affermare che il web sta
    > diventando
    > pericoloso

    "Assolutamente fuorviante" un par di balle. I siti web che usano exploit si moltiplicano a vista d'occhio, e il fatto che tu non te ne sia neanche accorto e' demenziale.
    non+autenticato
  • - Scritto da:
    >
    > - Scritto da:
    > > Ma... ragazzi...
    > > In che modo vengono raggiunti i siti web dannosi
    > > dai visitatori??
    > > Attraverso lo spam, cioè l'email?
    > > Allora il pericolo va individuato NELL'EMAIL ed
    > è
    > > assolutamente fuorviante affermare che il web
    > sta
    > > diventando pericoloso
    >
    > "Assolutamente fuorviante" un par di balle. I
    > siti web che usano exploit si moltiplicano a
    > vista d'occhio, e il fatto che tu non te ne sia
    > neanche accorto e' demenziale.

    Il discorso che probabilmente non hai capito è un altro.
    Tutti questi siti web che "si moltiplicano", come fanno a farsi raggiungere?
    Come diavolo fanno??
    Se io volessi creare un qualsiasi sito ABCDEF.com dovrei farlo conoscere a qualcuno altrimenti non lo visiterà nessuno (NESSUNO)!!
    E in che modo posso promuoverlo?

    Come vedi il problema non è la MOLTIPLICAZIONE dei siti dannosi (che non visiterebbe nessuno, anche se fossero milioni e milioni), ma è il MODO in cui riescono a farsi conoscere e a farsi visitare, ossia attraverso l'email anonima.
    Adesso è chiaro??
    non+autenticato
  • - Scritto da:
    > Come vedi il problema non è la MOLTIPLICAZIONE
    > dei siti dannosi (che non visiterebbe nessuno,
    > anche se fossero milioni e milioni), ma è il MODO
    > in cui riescono a farsi conoscere e a farsi
    > visitare, ossia attraverso l'email
    > anonima.
    > Adesso è chiaro??

    E' chiaro che parli senza sapere niente, e credi pure di sapere. Questo e' chiaro, si'. Leggiti questo che forse impari qualcosa:

    http://en.wikipedia.org/wiki/Comment_spam
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)