|
|
|
 |
|
|
| |
Notiziario Marketpress di
Mercoledì 06 Ottobre 2004
|
|
| |
|
|
| |
Pagina5 |
|
| |
TREND MICRO HA RILEVATO A SETTEMBRE 1.485 NUOVI TIPI DI CODICE MALIGNO: + 600% RISPETTO A UN ANNO FA CRESCONO PROGRAMMI "BOT" E TROJAN HORSE; SCOPERTO IL PRIMO VIRUS CHE INFETTA LE IMMAGINI JPEG MENTRE IL WORM SASSER È ANCORA LA MINACCIA PIÙ DIFFUSA |
|
| |
|
|
| |
Milano, 6 ottobre 2004 - Trend Micro ha rilevato 1.485 nuovi programmi pericolosi nel corso del mese di settembre. Nello stesso periodo dell'anno scorso gli esemplari di codice maligno identificati erano stati solo 250. I Trojan horse rappresentano il 61% circa del fenomeno, comprendendo nel conteggio anche le backdoor che sono, in pratica, una sorta di Trojan horse remoti. I worm sono stati invece il 29%: di questi, il 79% (più di 400) sono programmi "bot", a conferma della diffusione delle reti "zombie" controllate in remoto. Perché questo incremento? Esistono diversi fattori che possono spiegare questa tendenza. Vi è la prova di un chiaro mutamento delle motivazioni che presiedono alla creazione di virus: mentre una volta gli autori di virus cercavano semplicemente il loro quarto d'ora di celebrità, oggi sembrerebbe che la loro ispirazione sia principalmente monetaria. La conferma proviene dal crescente numero di programmi studiati per creare reti "zombie" che possono essere poi affittate al miglior offerente (cfr. Sotto), oltre a varie versioni di Trojan horse scritti per sottrarre informazioni - come le varianti di Troj_banker e Troj_bancos, che tentano di carpire dagli utenti dati sensibili come i numeri di conto corrente. La crescente disponibilità su Internet dei codici sorgente di questi programmi pericolosi rappresenta un ulteriore fattore significativo che permette agli hacker di creare nuove varianti modificando i programmi e rilasciandoli poi in rete - come in particolare nel caso dei worm Mydoom, Bagle e Lovgate. Una crescente prevalenza di programmi progettati per creare reti "zombie" Come già accennato, Trend Labs ha registrato circa 400 specie di programmi "bot" nel corso dell'ultimo mese rispetto ai 17 dello stesso periodo di un anno fa. Questo tipo di codice sfrutta normalmente le vulnerabilità di rete e utilizza le chat Irc (Internet Relay Chat) per fornire accesso ai sistemi compromessi. In questo modo l'attaccante può controllare il sistema in questione e utilizzarlo per creare una rete "zombie"; ovvero un gruppo di sistemi It che può essere usato furtivamente a scopi illegali come, ad esempio, lanciare attacchi di tipo Denial of Service. Queste reti possono essere inoltre affittate come spam relay di ripiego. L'aumento dei programmi "bot" prova la diffusione delle reti di questo tipo; si può anche dire che rappresenti il crescente numero di hacker che sono attirati dall'idea di poter controllare sistemi remoti. La comparsa del primo virus Jpeg Il 14 settembre Microsoft ha pubblicato il bollettino di sicurezza Ms04-028 annunciando una vulnerabilità critica nel modo in cui certi componenti Windows gestiscono i file .Jpeg; grazie a questo bug un attaccante può eseguire codice arbitrario su sistemi altrui. Un hacker potrebbe dunque inserire in un'immagine Jpeg un codice eseguibile che verrebbe automaticamente avviato ad ogni apertura o visualizzazione del file sulle macchine prive di patch. L'esecuzione automatica di questo codice può fornire all'attaccante gli stessi privilegi di accesso all'informazione attribuiti all'utente effettivo. Lo sfruttamento remoto di questa vulnerabilità può comportare la realizzazione di pagine Web apposite, mentre un attacco tramite posta elettronica potrebbe essere effettuato inviando in allegato un file Jpeg modificato. Un ulteriore vettore di propagazione è nelle condivisioni di rete, dove è possibile inserire copie di file Jpeg modificati: la vulnerabilità può essere attivata dall'utente semplicemente visualizzando l'anteprima della condivisione o spostando il cursore sul file Jpeg. La comparsa di questo virus è particolarmente preoccupante dal momento che i file Jpeg sono uno dei formati più comunemente usati per le immagini. Prove concettuali di codice capace di sfruttare questa vulnerabilità sono apparse solo tre giorni dopo la pubblicazione del bollettino Microsoft. Il 24 settembre è comparso anche un toolkit che permette di far leva su tutte le potenzialità di questa vulnerabilità, indicando l'esistenza di sforzi congiunti per massimizzare completamente il bug. Trend Micro identifica il toolkit come Htkl_jpgdown.a, che può essere utilizzato per generare file Jpeg adatti a sfruttare la vulnerabilità. Una volta lanciato, il toolkit apre un pannello con il titolo del programma ("Jpeg Downloader by [Atmaca]") e chiede quindi di specificare un Url che sarà scaricato dal file Jpeg generato dal tool stesso. L'utente non deve far altro che selezionare il pulsante "Make" per generare un file Jpeg appositamente modificato. Trend Micro identifica i file Jpeg creati dal toolkit come Expl_jpgdown.a. Per maggiori informazioni sulla vulnerabilità Ms04-28 è possibile consultare: http://www.Microsoft.com/technet/security/bulletin/ms04-028.mspx http://www.Trendmicro.com/vinfo/virusencyclo/default5.asp?vname=ms04-028_jpeg_gdi http://www.Trendmicro.com/vinfo/virusencyclo/default5.asp?vname=hktl_jpgdown.a Il worm Sasser è ancora il più diffuso Quattro mesi dopo essere apparso per la prima volta, Sasser.b è ancora in cima alla classifica dei virus più diffusi stilata da Trendlabs. Nel settembre 2004 Sasser è stato responsabile del 31% delle infezioni totali di questa classifica, con una particolare concentrazione in India. Ciò suggerisce l'esistenza di un numero ancora rilevante di sistemi privi di patch, nonostante le ripetute campagne di sensibilizzazione effettuate da tutti i settori dell'industria della sicurezza. Il ritorno dei worm Bagle e Mydoom Nel periodo compreso tra il 25 agosto e il 25 settembre 2004, Trend Micro ha dichiarato solamente un allarme a medio rischio, collegato a Worm_bagle.ai. Dopo la "guerra dei virus" dei mesi scorsi, a luglio e nei primi di agosto sono state identificate nuove varianti significative del worm Bagle: le più recenti dimostrano una routine di propagazione più complessa rispetto ai predecessori, che usavano semplicemente tecniche di mass-mailing. Le ultime versioni diffondono un Trojan horse per il download e uno script Html all'interno di un file .Zip, oltre che attraverso le condivisioni di rete. Fedele alle loro origini, anche queste nuove varianti di Bagle continuano a rimuovere ogni traccia delle varianti del worm rivale Netsky. Mydoom, apparso inizialmente nel gennaio 2004, si è presentato questo mese con cinque nuove varianti, a dimostrare la sua continua vitalità. Trendlabs Emea è attiva 24 ore al giorno, 7 giorni alla settimana, per monitorare tutte le attività sospette nell'area Emea (Europa, Medio Oriente e Africa) così da assicurare ai propri clienti i massimi livelli di protezione e servizio.
|
|
| |
|
|
| |
<<BACK
|
|
|
|
|
|
|
|
