Alfonso Maruccia

Worm, ritorno al passato

Una recente genia di codice malevolo si conquista le cronache per la sua virulenta capacitÓ di propagarsi via posta elettronica. Il worm ha colpito le corporation statunitensi ed Ŕ al momento sotto stretta osservazione

Roma - "Here you have" è l'oggetto incluso in una missiva elettronica che sta facendo furore in questi giorni, buttando giù server e causando grattacapi ad aziende piccole e grandi. La mail è il vettore attraverso cui si diffonde W32.Imsolk.B@mm, un worm che presenta alcuni tratti tipici delle grandi infezioni telematiche del passato e qualche variazione sul tema ancora al centro delle indagini delle società di sicurezza.

Scovato da Symantec e dalle altre software house specializzate, Imsolk.B è la variante di un worm già individuato un mese fa: la mail induce l'utente a seguire un link remoto camuffato da documento in formato PDF, URL che al contrario porta al download di un file eseguibile .scr (estensione storica degli screensaver di Windows) che a sua volta contiene il payload malevolo vero e proprio.

Una volta infettato il sistema, il worm prende a diffondersi attraverso gli script autorun dei drive collegati al PC, auto-inviandosi ai contatti email presenti nella rubrica locale e attraverso i software di instant messaging. Imsolk è inoltre equipaggiato di routine aggressive in grado di disabilitare svariati software di sicurezza eventualmente installati sul sistema.
Il worm - di cui la momento sono in circolazione diverse varianti, avverte McAfee - ricorda le infezioni storiche a cavallo della fine di millennio non solo per la scelta della modalità di propagazione (la posta elettronica) ma anche per la capacità di colpire parecchie organizzazioni di alto profilo in poco tempo.

I report provenienti da varie fonti segnalano la presenza della nuova minaccia sui sistemi di Google, il network televisivo ABC/Disney, Coca-Cola, NASA e altrove. Il provider Comcast sarebbe stato addirittura costretto a spegnere i server di posta elettronica a causa dell'infezione. Imsolk è attualmente al centro degli studi dell'Internet Storm Center del SANS Institute, mentre la speranza degli esperti è che la dipendenza da una URL specifica permetta di contrastare e mettere fuori gioco l'infezione in tempi brevi.

Alfonso Maruccia
Notizie collegate
  • TecnologiaMicrosoft SIR, virus in calo in ItaliaL'ultima edizione del Security Intelligence Report di Microsoft evidenzia come le infezioni da malware stiano diminuendo in vari paesi, Italia inclusa. Il crimine informatico, avverte per˛ Microsoft, ha i connotati di una vera industria
  • Sicurezza╚ Stuxnet il nuovo Conficker?Il worm che sfrutta la falla delle scorciatoie di Windows fa rumore. L'obiettivo Ŕ circoscritto ma le potenzialitÓ di distribuzione sono alte, avvertono gli esperti. In attesa che l'allarmismo divenga di massa
  • SicurezzaSymantec, Norton e le emozioni da malwareLa societÓ di sicurezza presenta prodotti di punta rinnovati promettendo pi¨ sicurezza per tutti. Soprattutto per i molti, numeri alla mano, che finiscono vittima della frustrazione connessa al cybercrime
102 Commenti alla Notizia Worm, ritorno al passato
Ordina
  • che dire? il solito SO ciofeca che non vale niente come sicurezza. Speriamo che nessun giudice ordini di ridare i soldi a chi ha avuto la sfortuna di comprare un simile prodotto!altrimenti le azioni della microsof del mio babbo non varrebbero puù niente.
  • - Scritto da: hacher
    > che dire? il solito SO ciofeca che non vale
    > niente come sicurezza. Speriamo che nessun
    > giudice ordini di ridare i soldi a chi ha avuto
    > la sfortuna di comprare un simile
    > prodotto!altrimenti le azioni della microsof del
    > mio babbo non varrebbero puù
    > niente.


    secondo me non vali niente tu come hacher.....lo dimostra anche la h che hai messo tra la c e la e


    ma falla finita di scrivere boite.. non vi rendere conto che siete peggio che all'asilo nido ?

    patetici e' dire ancora poco tu e l'altro ...il Sig. collione...basta chiamarlo e parla da solo Sorride
    non+autenticato
  • Dì al tù babbo di comprare le azioni apple, e smettila di scassarci col tuo trollaggio di infima qualità.
    Tanto non smetterai...
    non+autenticato
  • - Scritto da: rover
    > Dì al tù babbo di comprare le azioni apple, e
    > smettila di scassarci col tuo trollaggio di
    > infima
    > qualità.


    dopo aver dimostrato che sei incomnpetente in tecnica compiuteristica adesso provi con fare il broker? ah ah ah lascia perdere, và.. Sorride
  • potresti cambiare genere/stile
    trolli sempre uguale
  • ah trovato

    Windows 2000,
    Windows 95,
    Windows 98,
    Windows Me,
    Windows NT,
    Windows Server 2003,
    Windows Vista,
    Windows XP

    Magari poteva essere utile includerlo nell'articolo
    non+autenticato
  • - Scritto da: bertuccia
    > ah trovato

    > Windows 2000,
    > Windows 95,
    > Windows 98,
    > Windows Me,
    > Windows NT,
    > Windows Server 2003,
    > Windows Vista,
    > Windows XP

    > Magari poteva essere utile includerlo
    > nell'articolo

    Come al solito del resto, e' un peccato che la gente non ne sia informata in effetti. Ma 'sti giornalisti non imparano, gli e' stato detto pochi articoli fa.
    krane
    22544
  • - Scritto da: bertuccia
    > ah trovato
    >
    > Windows 2000,
    > Windows 95,
    > Windows 98,
    > Windows Me,
    > Windows NT,
    > Windows Server 2003,
    > Windows Vista,
    > Windows XP
    >
    > Magari poteva essere utile includerlo
    > nell'articolo

    quali sono i polli che da un link via email ad un Pdf con una scusante varia si ritrovano poi il browser a chiedere di scaricare un file con estensione .scr ( cme fosse un download voluto dall'utente stesso) ..ed una volta scaricato di loro volonta' ( ahauah)   sul desktop ad esempio   pure ad eseguirlo come polli?

    i polli appunto .. in questo caso che sia un software malevolo Linux che sia osx che sia Windows..

    quali sono le aziende che hanno i computer client settati con account Amministratore invece che con gli account Limitati su XP o Standard ( non Admin) su Win7 ?

    i sistemi dati in mano alle capre

    viva le capre e viva i polli sistema operativo indipendenti

    Ps: sarebbe poi idoneo sapere quali i sono gli antivirus che verrebbero bypassati e che quindi non bloccherebbero questo malware in tempo reale sul sistema con la loro protezione in real time dell'OS tramite euristica

    sapete che a scrivere pappa e ciccia senza evidenziare i fatti e' capace anche mio figlio di 5 anni? SorrideSorride
    non+autenticato
  • - Scritto da: A.Besson

    > quali sono i polli che da un link via email ad un
    > Pdf con una scusante varia si ritrovano poi il
    > browser a chiedere di scaricare un file con
    > estensione .scr ( cme fosse un download voluto
    > dall'utente stesso) ..ed una volta scaricato di
    > loro volonta' ( ahauah)   sul desktop ad esempio
    > pure ad eseguirlo come
    > polli?
    >

    gli utenti windows ovviamente, perchè li avete voluti stupidi e ignoranti e adesso vi lamentate?

    l'utente linux la capisce la differenze tra .pdf e .scr, l'utente windows no

    hai voluto un mondo di utonti ( tu e il tuo padrone Ballmer) ? e adesso sopportane le conseguenze

    > quali sono le aziende che hanno i computer client
    > settati con account Amministratore invece che con
    > gli account Limitati su XP o Standard ( non
    > Admin) su Win7
    > ?
    >

    guarda che si possono sempre elevare i privilegi

    > i sistemi dati in mano alle capre
    >

    i sysadmin punta e clicca che tu e il tuo signore e padrone Ballmer avete plasmato a colpi di mouse e finestre sbrilluccicose

    >
    > Ps: sarebbe poi idoneo sapere quali i sono gli
    > antivirus che verrebbero bypassati e che quindi
    > non bloccherebbero questo malware in tempo reale
    > sul sistema con la loro protezione in real time
    > dell'OS tramite euristica
    >

    se vabbè, l'euristica è scienza non magia

    ci sono mille modi per bypassare le euristiche degli antivirus

    >
    > sapete che a scrivere pappa e ciccia senza
    > evidenziare i fatti e' capace anche mio figlio di
    > 5 anni?
    > SorrideSorride

    e lo sai che un antivirus non può stare a lì ad ispezionare ogni byte, altrimenti tu poi col pc non riesci nemmeno ad aprire la calcolatrice?
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: A.Besson
    >
    > > quali sono i polli che da un link via email ad
    > un
    > > Pdf con una scusante varia si ritrovano poi il
    > > browser a chiedere di scaricare un file con
    > > estensione .scr ( cme fosse un download voluto
    > > dall'utente stesso) ..ed una volta scaricato di
    > > loro volonta' ( ahauah)   sul desktop ad
    > esempio
    >
    > > pure ad eseguirlo come
    > > polli?
    > >
    >
    > gli utenti windows ovviamente, perchè li avete
    > voluti stupidi e ignoranti e adesso vi
    > lamentate?
    >
    > l'utente linux la capisce la differenze tra .pdf
    > e .scr, l'utente windows
    > no
    >
    > hai voluto un mondo di utonti ( tu e il tuo
    > padrone Ballmer) ? e adesso sopportane le
    > conseguenze
    >
    > > quali sono le aziende che hanno i computer
    > client
    > > settati con account Amministratore invece che
    > con
    > > gli account Limitati su XP o Standard ( non
    > > Admin) su Win7
    > > ?
    > >
    >
    > guarda che si possono sempre elevare i privilegi
    >
    > > i sistemi dati in mano alle capre
    > >
    >
    > i sysadmin punta e clicca che tu e il tuo signore
    > e padrone Ballmer avete plasmato a colpi di mouse
    > e finestre
    > sbrilluccicose
    >
    > >
    > > Ps: sarebbe poi idoneo sapere quali i sono gli
    > > antivirus che verrebbero bypassati e che quindi
    > > non bloccherebbero questo malware in tempo reale
    > > sul sistema con la loro protezione in real time
    > > dell'OS tramite euristica
    > >
    >
    > se vabbè, l'euristica è scienza non magia
    >
    > ci sono mille modi per bypassare le euristiche
    > degli
    > antivirus
    >
    > >
    > > sapete che a scrivere pappa e ciccia senza
    > > evidenziare i fatti e' capace anche mio figlio
    > di
    > > 5 anni?
    > > SorrideSorride
    >
    > e lo sai che un antivirus non può stare a lì ad
    > ispezionare ogni byte, altrimenti tu poi col pc
    > non riesci nemmeno ad aprire la
    > calcolatrice?


    l'antivirus con la protezione di sistema permanente ed in tempo reale intercetta se contaminato o no ogni file che un programma o la shell di windows va ad aprire ..altrimenti nn servirebbe a niente

    SorrideSorride
    non+autenticato
  • certo, ma un antivirus è un programma e come tale ha un preciso pattern predeterminato per individuare comportamenti malevoli

    hai presente spero che gli hacker usano la crittografia per nascondere il malware nei file exe?

    e hai presente che usano procedure di offuscamento nelle chiamate all'api?

    come vedi fatta la legge si trova l'inganno e gli antivirus possono al massimo rincorrere e implementare di volta in volta algoritmi per riconoscere l'ultimissimo ritrovato maligno

    ovviamente i cattivi troveranno una scappatoia

    fatti un giro su opensc.ru e fatti una cultura
    non+autenticato
  • >
    > hai presente spero che gli hacker usano la
    > crittografia per nascondere il malware nei file
    > exe?

    Un buon AV dovrebbe riconoscere questi giochetti da circa 20 anni.
    Poi ci saranno nuovi sistemi di crittografia ma questi non saltano fuori ogni minuto, cambieranno i dettagli ma non la base.

    > e hai presente che usano procedure di
    > offuscamento nelle chiamate
    > all'api?

    una volta si modificava il codice al volo in memoria in modo che nel file .EXE la firma del virus non ci fosse.

    > come vedi fatta la legge si trova l'inganno e gli
    > antivirus possono al massimo rincorrere e
    > implementare di volta in volta algoritmi per
    > riconoscere l'ultimissimo ritrovato
    > maligno

    sembra che gli AV non cerchino solo per firme, ma cercano anche un eventuale codice a mutazione ( non so come chiamarlo, spero renda l'idea ) .

    Ma la storia delle caramelle e degli sconosciuti solo a me la raccontavano?
  • - Scritto da: pippo75

    > Un buon AV dovrebbe riconoscere questi giochetti
    > da circa 20
    > anni.

    quali giochetti? come fai ad identificare un payload crittografato?

    zeus cambia chiave crittografica ogni ora

    ci vuole un mago altro che antivirus

    > Poi ci saranno nuovi sistemi di crittografia ma
    > questi non saltano fuori ogni minuto, cambieranno
    > i dettagli ma non la
    > base.
    >

    ciò non toglie che il payload non puoi individuarlo perchè la chiave cambia troppo rapidamente e provare ad identificare la routine crittografica è tempo perso e genera un mare di falsi positivi

    > una volta si modificava il codice al volo in
    > memoria in modo che nel file .EXE la firma del
    > virus non ci
    > fosse.
    >

    usa si fa di più e si fanno scomparire i nomi delle funzioni dell'api sostituendoli con degli hashcode

    > sembra che gli AV non cerchino solo per firme, ma
    > cercano anche un eventuale codice a mutazione (
    > non so come chiamarlo, spero renda l'idea )
    > .
    >

    certo, ci provano, anzi inglobano le signature di tutte le varianti che trovano in giro, ma è sempre una corsa contro un nemico difficile da vedere

    nel frattempo il malware ha già preso possesso di migliaia di computer ed è pronto tramite un aggiornamento a cambiare pelle
    non+autenticato
  • >
    > quali giochetti? come fai ad identificare un
    > payload crittografato?
    >
    >
    > zeus cambia chiave crittografica ogni ora

    cosa e come cambia? chi lo fa cambiare? questo codice cambiato, che operazioni esegue?
  • semplicemente gli eseguibili vengono ricriptati con nuove chiavi ogni tot tempo e ovviamente i bot si aggiornano continuamente

    riguardo le operazioni, ho già detto prima che vengono mascherate pure le chiamate all'api, per cui è praticamente impossibile per un antivirus individuare tutte le nuove tecniche che escono man mano

    la verità è questa http://threatpost.com/en_us/blogs/have-we-lost-des...
    non+autenticato
  • cosa ne pensi dell' uso, su win 7, di account limitato più applocker più emet 2?
    non+autenticato