Utenti di Outlook ancora a rischio worm

I creatori di worm si stanno avvalendo di una nuova tecnica per aggirare i più comuni filtri di posta elettronica e sfruttare ancora una volta Outlook Express come trampolino di lancio. Occhio alle tre estensioni

Roma - Pare che i creatori di "malware", quei codici maliziosi che spesso arrivano per e-mail, abbiano scoperto un nuovo trucco per aggirare le protezioni di Outlook Express e indurre un utente ad aprire un messaggio contenente un allegato eseguibile.

Secondo quanto riportato in un recente advisory dalla società di sicurezza MessageLabs, il nuovo metodo scovato dai creatori di virus per superare i filtri di posta elettronica si basa sulla creazione di speciali e-mail contenenti un'intestazione confezionata ad hoc e un allegato con tre estensioni del file separati l'uno dall'altro da molti spazi: il principio è il medesimo di quello già da tempo utilizzato dai creatori di worm per tentare di nascondere la vera natura di un allegato.

La novità, rispetto agli exploit del passato, sta nell'adozione di una terza estensione: la prima (ad esempio ".JPG") è quella visibile all'utente; la seconda (ad esempio ".EXE") è quella che stabilisce le modalità con cui Outlook Express deve aprire o eseguire l'attachment; la terza (ad esempio ".JPG"), è quella che definisce l'icona con cui viene visualizzato il file.
I client di posta elettronica standard non generano le intestazioni necessarie per sfruttare questo exploit: queste e-mail malevoli possono essere create solo attraverso l'editing manuale delle stesse o l'utilizzo di strumenti di hacking.

"Se il nome del file usato per l'allegato malevolo termina con una estensione "sicura", per esempio ".JPG" o ".HTM", difficilmente i più comuni filtri fermeranno l'e-mail e impediranno l'esecuzione di programmi potenzialmente pericolosi", si legge nell'advisory di MessageLabs. Questo perché la stragrande maggioranza dei filtri oggi usati per le e-mail in genere si limitano a verificare solo l'ultima estensione del file, bloccando di conseguenza cose tipo ".JPG.EXE" ma non ".EXE.JPG".

MessageLabs spiega anche che in tutte le versioni di Outlook Express in cui siano state applicate le patch di sicurezza o i security pack già da tempo disponibili, gli allegati non saranno in grado di aprirsi automaticamente: questo significa che il computer verrà infettato solo nel caso in cui l'utente lanci di propria iniziativa l'allegato malevolo.

MessageLabs sostiene che la tecnica descritta è già stata utilizzata in un recente worm chiamato Sadhound e sarebbe alla base di alcuni nuovi tool per la creazione automatica di worm e cavalli di Troia. L'azienda raccomanda agli amministratori di sistema di verificare attentamente le regole per il filtraggio delle e-mail e, se possibile, aggiornarle per riconoscere le tre estensioni. Per gli utenti il consiglio è quello di verificare che il nome di un allegato non finisca con i tre puntini di sospensione: in questo caso, infatti, significa che il nome è più lungo di quanto Outlook Express non riesca a visualizzare e, con tutta probabilità, non è quel che sembra essere.
TAG: sicurezza
94 Commenti alla Notizia Utenti di Outlook ancora a rischio worm
Ordina

  • l'e-mail con allegati eseguibili e li fa eseguire sul client?

    e l'html nell'e-mail ?

    a che cazzo serve dico io ?????!!!!!!!!

    me lo spiegate con parole semplici ?

    non+autenticato
  • mai beccato nulla con outlook espresso
    Se uno e' utonto e' utonto sempre, cancelli o non cancelli.
    cia'

  • > Se uno e' utonto e' utonto sempre, cancelli
    > o non cancelli.
    > cia'

    Senza Cancelli non avrebbe un indirizzo e-mail!
    IMHO come dovrebbe essere!
    Nic
    153
  • chi poco poco ne capisce qualcsoa di informatica sa due cose
    la prima, che i file vengono eseguiti dal sistema operativo, non dal client di posta.
    La seconda, che nei sistemi Microsoft, l'esetensione e' l'UNICO modo di distinguere i file.
    Quindi, windows esegue SOLO i .exe, .com, .bat, .cmd e lancia le applicazioni associate alle altre estensioni.
    Se un file e' .jpg (ci puoi anche mettere tutti gli spazi del mondo) non verra' mai eseguito.
    E soprattutto, nel caso in questione, qualsiasi programma di posta sarebbe a rischio.
    O almeno tutti quelli che permettono l'esecuzione di allegati, quindi non solo outlook express.
    Se faccio doppio click dentro eudora su "adessotirasolhardisk.exe", senza nessun filtro di protezione attivo, non credo che eudora si rifiuti di farlo...

    saluti a tutti
    non+autenticato
  • > La seconda, che nei sistemi Microsoft,
    > l'esetensione e' l'UNICO modo di distinguere
    > i file.
    > Quindi, windows esegue SOLO i .exe, .com,
    > .bat, .cmd e lancia le applicazioni
    > associate alle altre estensioni.
    > Se un file e' .jpg (ci puoi anche mettere
    > tutti gli spazi del mondo) non verra' mai
    > eseguito.


    Infatti è quello che non capisco!!!
    Come fa ad essere eseguito un file farloccato come dice l'articolo? E' impossibile!

    A me suona di bufala clamorosa!

    Se qualcuno ha informazioni al riguardo e soprattutto un metodo di verifica di questo fantomatico exploit (visto che cambiando estensioni a mano non va), si faccia vivo!
  • - Scritto da: Ekleptical

    > Infatti è quello che non capisco!!!
    > Come fa ad essere eseguito un file
    > farloccato come dice l'articolo? E'
    > impossibile!

    La redazione ha gia' risposto all'altro tuo messaggio. E se ti fossi preso la briga di leggere il link segnalato all'interno dell'articolo probabilmente ora ne sapresti di piu'... Occhiolino

    bye, Andrea
  • > La redazione ha gia' risposto all'altro tuo
    > messaggio. E se ti fossi preso la briga di
    > leggere il link segnalato all'interno
    > dell'articolo probabilmente ora ne sapresti
    > di piu'... Occhiolino

    Il link l'avevo letto subito e continuo a rimanre a dir poco dubbioso!

    Ho fatto una buona mezz'ora di tentativi, costruendomi un messaggio ad hoc, scrivendo il MIME a mano e mandandomelo con Sendmail, in modo che rimanesse "raw" qual'era, senza filtraggi da parte di un client di posta!
    Ho provato tutti gli spazi e e trucchi di farloccaggio dell'header possibli, ma non sono mai riuscito a "fregare" Outlook!

    Ora, se permetti, i miei dubbi sono sempre più fondati!Sorride
    Non è che devo prendere per oro colato qualsiasi cosa giri in rete, fosse pure da fonte affidabile!
    San Tommaso è la mia guida!Con la lingua fuori

    Se trovi un link che spieghi esattamente il meccanismo, postalo, grazie!!
  • - Scritto da: Ekleptical
    > Ho fatto una buona mezz'ora di tentativi,
    > costruendomi un messaggio ad hoc, scrivendo
    > il MIME a mano e mandandomelo con Sendmail,
    > in modo che rimanesse "raw" qual'era, senza
    > filtraggi da parte di un client di posta!
    > Ho provato tutti gli spazi e e trucchi di
    > farloccaggio dell'header possibli, ma non
    > sono mai riuscito a "fregare" Outlook!

    "This is not a working example, there are also a large number of spaces in the filename, and must be crafted using a precise formula; hence the use of hacker tools to help with this"

    Ma scusa... se ti dicono che c'e' bisogno di appositi strumenti perche' lo schema della spaziatura funzioni... che senso ha provare a mano qualche decina di combinazioni tra le miliardi possibili?!?!? Insomma, hai tutto il diritto di restare scettico (e fai bene), ma la controprova che proponi non ha molto senso...

    > Se trovi un link che spieghi esattamente il
    > meccanismo, postalo, grazie!!

    Ho provato, ma non ho recuperato nulla di utile. Anch'io sono curioso...

    bye, Andrea
  • > > Se un file e' .jpg (ci puoi anche mettere
    > > tutti gli spazi del mondo) non verra' mai
    > > eseguito.
    >
    > Come fa ad essere eseguito un file
    > farloccato come dice l'articolo? E'
    > impossibile!

    una volta ho visto un file che
    - aveva l'estensione .DOC
    - aveve l'icona non da DOC
    cambiare suffisso SOTTO I MIEI OCCHI e trasformarsi in PIF(quale era in realtà).
    Abile, ma non credo proprio possa ingannare il DOS, perciò il mio antivirus artigianale in DOS di cui parlavo nell'altro intervento.

  • - Scritto da: Pantagru
    > > > Se un file e' .jpg (ci puoi anche
    > mettere
    > > > tutti gli spazi del mondo) non verra'
    > mai
    > > > eseguito.
    > >
    > > Come fa ad essere eseguito un file
    > > farloccato come dice l'articolo? E'
    > > impossibile!
    >
    > una volta ho visto un file che
    > - aveva l'estensione .DOC
    >
    Magari ti sembrava, perche' era xxx.doc.pif, e tu avevi attiva l'opzione che nasconde le etsensioni dei file conosciuti.

    > - aveve l'icona non da DOC
    >
    E questo mi torna, non essendolo.

    > cambiare suffisso SOTTO I MIEI OCCHI e
    > trasformarsi in PIF(quale era in realtà).
    >
    Qui i casi sono due;

    1) Avevi bevuto.
    2) Magari ti e' apparsa l'icona dopo un secondo, dopo che il sistema l'ha cercata, e a te e' sembrato un "miracolo".

    Ma dai, cosi' facendo non fai altro che fomentare una discussione inutile.

    > Abile, ma non credo proprio possa ingannare
    > il DOS, perciò il mio antivirus artigianale
    > in DOS di cui parlavo nell'altro intervento.
    >
    Non ne dubito.
  • Bravi a tutti quelli che si sono beccati il worm e che continueranno imperterriti a usare un prodotto all'apparenza comodo ma in realtà ostile al vostro pc...
    Cambiate aria!!!!...
    Un nome per tutti: EUDORA
    Max
    non+autenticato
  • E te credi che Eudora non abbia problemi simili?
    Sparalesto
    non+autenticato
  • Premetto che non uso Outlook, per il semplice motivo che non esisteva ai tempi di WIndows 3.1 e da allora ho sempre usato Eudora.

    D'altro canto, per arrotondare, faccio l'insegnante di informatica part-time a principianti e una delle mie lezioni base riguardo la posta elettronica è proprio il come evitare i virus guardando l'estensione degli allegati.

    Quindi ho provato a fare quello che "prescrive" nel report dell'exploit, autoinviandomi in attach un file a cui ho messo tripla estensione con abbondanti spazi.

    Ora, tirandolo giù con Outlook Express (funziona solo con l'Express e non con la full, come scritto nel report..al contrario di PI!!!), non succede niente di quello che l'articolo dice!
    Il file viene interpretato in tutto e per tutto come il tipo indicato nell'estensione (quella vera, l'ultima). Quindi se è .JPG.EXE.JPG (con kili di spazi in mezzo) viene visto come JPG, sia come icona, che come modo di aprire il file!
    In questo modo risulta quindi totalmente innocuo, dato che viene aperto come immagine tramite il visualizzatore e non lanciato direttamente come eseguible!

    A questo punto mi chiedo: ho sbagliato io in qualcosa?
    Oppure la "notizia" è una vaccata clamorosa?
    Qualcuno (magari in redazione di PI) si è preso la briga di verificare quel che è stato scritto??????????

  • > Ora, tirandolo giù con Outlook Express
    > (funziona solo con l'Express e non con la
    > full, come scritto nel report..al contrario
    > di PI!!!), non succede niente di quello che
    > l'articolo dice!

    Hai ragione, ora abbiamo specificato che si tratta di Outlook Express.

    > Il file viene interpretato in tutto e per
    > tutto come il tipo indicato nell'estensione
    > (quella vera, l'ultima). Quindi se è
    > .JPG.EXE.JPG (con kili di spazi in mezzo)
    > viene visto come JPG, sia come icona, che
    > come modo di aprire il file!
    > In questo modo risulta quindi totalmente
    > innocuo, dato che viene aperto come immagine
    > tramite il visualizzatore e non lanciato
    > direttamente come eseguible!
    >
    > A questo punto mi chiedo: ho sbagliato io in
    > qualcosa?
    > Oppure la "notizia" è una vaccata clamorosa?
    > Qualcuno (magari in redazione di PI) si è
    > preso la briga di verificare quel che è
    > stato scritto??????????

    Noi ci siamo limitati a riportare una notizia di un'autorevole società di sicurezza. Per verificare la cosa bisognerebbe scaricare uno dei tool di cui parla MessageLabs e sapere esattamente come modificare l'header delle e-mail, cosa di cui noi non siamo a conoscenza. Abbiamo cmq verificato che il worm W32/Sadhound a cui fa riferimento MessageLabs utilizza effettivamente la tecnica descritta delle tre estensioni.
    Ciao.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 16 discussioni)