|
|
|
 |
|
|
| |
Notiziario Marketpress di
Lunedì 05 Aprile 2004
|
|
| |
|
|
| |
Pagina5 |
|
| |
TREND MICRO HA RILEVATO 1.200 VIRUS NEL MESE DI MARZO DIVERSI ELEMENTI DIMOSTRANO CHE È IN CORSO UNA ‘GUERRA’ TRA CREATORI DI VIRUS.
|
|
| |
|
|
| |
Milano, 5 aprile 2004 - Nel corso del mese di marzo, Trend Micro, uno dei maggiori produttori di software antivirus, ha rilevato la straordinaria cifra di 1.200 nuovi programmi pericolosi (rispetto ai 925 di febbraio, ai 550 di gennaio e ai 400 di dicembre). Le tre principali categorie riscontrate sono state Trojan horse, backdoor e worm, con questi ultimi che si confermano al primo posto tra le minacce più diffuse: il 90% circa del codice maligno presente nella top 10 del mese appartiene infatti a questa categoria. Questa la classifica - aggiornata al 2 aprile 2004 - dei 10 virus più diffusi nell’ultimo mese come risulta dalla Virus Map on line di Trend Micro:
| top 10 - Worldwide | | Virus | Computer Infettati | | 1. Worm Netsky.d | 514.229 | | 2. Worm Netsky.p | 282.492 | | 3. Worm Lovgate.g | 253.285 | | 4. Worm Netsky.b | 239.872 | | 5. Worm Netsky.c | 182.433 | | 6. Worin m Mydoom.a | 77.578 | | 7. Pe_valla.a | 73.910 | | 8. Worm Mofei.b | 68.366 | | 9. Pe_nimda.e | 51.186 | | 10. Worm Bagle.gen-1 | 43.038 |
italia, il primo posto è invece occupato da Netsky.p (100.834 computer infettati negli ultimi 30 giorni) seguito da Netky.d (30.687). La Trend Micro Virus Map presenta la situazione in tempo reale delle infezioni virus rilevate da Housecall, il virus scanner online gratuito di Trend Micro per Pc, e dal Trend Virus Control System (Tvcs), la soluzione per la gestione centralizzata per amministratori di rete. Trend Micro usa questa mappa dinamica per analizzare in tutto il mondo il trend dei virus in tempo reale, prevedere le crisi virus e prevenirne gli effetti. La Virus Map è consultabile all’indirizzo: http://it.Trendmicroeurope.com/enterprise/security_info/virus_map.php Record nel numero di allarmi virus In marzo Trend Micro ha dichiarato il numero record di sei allarmi gialli, che hanno riguardato prevalentemente worm e precisamente: Worm_netsky.q, Worm_bagle.u, Worm_netsky.p, Pe_bagle.q, Pe_bagle.p e Worm_netsky.d. Due di questi worm figurano nella top 5 del mese. Tutti i worm citati utilizzano il medesimo metodo di propagazione - la posta elettronica - a conferma dell'importanza di implementare un sistema di protezione antivirus a livello del gateway Internet o del mail server. La "guerra dei virus" L’eventualità che sia in corso una vera e propria "guerra dei virus" tra gli autori di Netsky e di Bagle è stata oggetto di numerosi articoli comparsi sulla stampa durante il mese di marzo. Le prove a sostegno di questa tesi non mancano: Il grande numero di varianti dei worm Netsky e Bagle create in un breve lasso di tempo. La comparsa di una nuova variante di Bagle non appena viene rilevata una nuova versione di Netsky e via di seguito. Il fatto che la maggior parte delle varianti di Bagle disabiliti le vecchie versioni di Netsky mentre, a loro volta, queste ultime disabilitano altri programmi malware quali Mydoom, Nachi e varianti precedenti di Netsky e Bagle.
La presenza nel codice dei virus di numerosi messaggi indirizzati al "nemico":
- Pe_bagle.p
---------------------------
The first and the single
Anti-netsky Antivirus
---------------------------
- Worm_netsky.p
U'l't'i'm'a't'i'v'e 'E'n'c'r'y'p't'e'd 'W'o'r'm'd'r'o'p'p'e'r' 'b'y 'S
'k'y'N'e't'.'c'z' 'C'o'r'p*''d'r'o'p'p'e'd's'k'y'n'e't''s'k'y'n'e'
t'F'i'g'h't's'b'a'c'k
B+a+g+l+e, d+o+ n+o+t+ d+e+l+e+t+e S+k+y+n+e+t.y+o+u f+u+c+k+e+d
b+i+t+c+h! W+a+n+n+a g+o i+n+t+o
a p+r+i+s+o+n?W+e a+r+e t+h+e o+n+l+y A+n+t+i+v+i+r+u+s, n+o+t
B+a+g+l+e, s+h+u+t u+p a+n+d< t+a+k+e y+o+u+r b+u+t+t+e+r+f+l+y! -
M+e+s+s+a+g+e f+r+o+m S+k+y+n+e+t A+v T+e+a+m
+L+e+t+s +j+o+i+n +a+n +a+l+l+i-A-n-c-e-,+b+a+g+l+e+!
- Worm_netsky.q
We are the only Skynet, we don't have any criminal inspirations.
Due to many reports, we do not have any backdoors included for spam relaying.
and we aren't children. Due to this, many reports are wrong.
We don't use any virus creation toolkits, only the higher language
Microsoft Visual C++ 6.0. We want to prevent hacker,
cracking, sharing with illegal stuff and similar illegal content.
Hey, big firms only want to make a lot of money.
That is what we don't prefer. We want to solve and avoid it.
Note: Users do not need a new av-update, they need
a better education! We will envolope...
- Best regards, the Skynet Antivirus Team, Russia 05:11 P.m -
Ecco alcuni esempi di email inviate dal codice pericoloso:
1.
From:
john@earth.Com
To:
user@domain.Com
Subject:
Deliver Mail user@domain.Com
Body:
Translated message has been attached.
------------- failed message -------------
pfds)ç_fy"rfivsnvv=çjsà)fè_hy)s
rezfgert2Tyty387oiik?jh.%.313p14°
ods,fv@^\`{#[ggHhtyj`^@^[5
Mail Delivery Error - This mail contains unicode characters
Attachment: message.Zipcome si può vedere, non si tratta certo di una guerra diplomatica, dato il tono dei messaggi scambiati dalle due parti. Al fine di accrescere le possibilità di propagazione di massa, le famiglie di worm Netsky e Bagle non si autospediscono ai produttori di soluzioni per la sicurezza evitando, ad esempio, quegli indirizzi contenenti le seguenti stringhe di testo: - abuse - antivi - aspersky - avp - cafee - fbi - f-pro - f-secur - Icrosoft - itdefender - messagelabs - orman - orton - skynet - spam - ymantec - icrosoft - info@ - kasp - linux - listserv - local - nobody@ - noone@ - noreply - ntivi - panda - pgp - postmaster@ - rating@ - root@ - samples - sopho - spam - support ... Tutti questi worm utilizzano tecniche ben note quali lo sfruttamento delle vulnerabilità conosciute e, in particolare, sofisticate tecniche di social engineering con le quali tentano di ingannare l'utente ignaro. Per ottenere questo risultato i worm ricorrono a diversi trucchi: Mostrare un'icona dell'allegato identica a quella di un'applicazione fidata. Impiegare la tecnica della doppia estensione. Un file con la doppia estensione .Txt.exe viene visualizzato come un file .Txt a singola estensione, portando l'utente a credere che si tratti di un innocuo file di testo mentre in effetti è un pericoloso file .Exe. La stessa email nella sua totalità (Mittente, Destinatario, Oggetto, Corpo) può utilizzare tecniche di social engineering per spingere l'utente a eseguire l'allegato.2.
From:
administration@earth.Com
To:
user@domain.Com
Subject:
E-mail account security warning.
Body:
Dear user, the management of domain.Com mailing system wants to let you know that, Our antivirus software has detected a large amount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software.
Here is the file.
Please, read the attach for further details.
Kind regards,
The domain.Com team http://www.Domain.com
Attached file is protected with the password for security reasons. Password is 123456
Attachment:
details.Zip
Esistono numerosi tipi di email che possono essere generate in modalità casuale dai worm, a dimostrazione di quanto grande sia la loro dipendenza dall'intervento dell'utente. Esistono codici maligni (in particolare tra gli appartenenti alla famiglia Bagle) che arrivano addirittura a inviare allegati sotto forma di file compressi protetti da una password riportata nel corpo del messaggio (testo o immagine). Si tratta di un tipico esempio di quanto sia importante insegnare agli utenti a difendersi da questo tipo di minacce. In questo caso, all'utente viene richiesto di aprire il file compresso, inserire la password, estrarre il file pericoloso ed eseguirlo. Ancora una volta, è importante sottolineare l'assoluta necessità per le aziende di definire e implementare linee guida specifiche in materia di sicurezza e di condurre adeguati programmi per la sensibilizzazione del personale. Gli autori di virus sanno bene che, oggi, molti utenti di computer sono più consapevoli dei rischi per la sicurezza; pertanto, al fine di aumentare le possibilità di propagazione delle loro "creature", sfruttano le vulnerabilità di Internet Explorer - come si è visto in diverse varianti dei worm osservati nel mese di marzo - effettuando l'esecuzione automatica dell'allegato non appena l'utente apre o anche solo effettua la preview della email in questione (ad esempio, l'azione di fare click sull'allegato non è più richiesta). Queste constatazioni ci conducono a un altro punto fondamentale: la necessità di installare le patch di sicurezza. Sempre più virus, infatti, utilizzano le vulnerabilità note di applicazioni e sistemi operativi, rendendo l'installazione delle patch di sicurezza più critica che mai. Una volta eseguite, molte varianti del worm Bagle sono in grado di disabilitare i sistemi antivirus o altre protezioni della sicurezza personale implementate a livello desktop, aprendo le porte a futuri attacchi che possono anche giovarsi delle backdoor create sui computer infettati dalla maggior parte delle varianti dei worm appartenenti alle famiglie Bagle e Netsky. La maggior parte delle varianti di Netsky e Bagle sono anche in grado di diffondersi attraverso le cartelle P2p (quali Kazaa, eMule, ecc.) e le cartelle condivise. Ancora una volta si assiste all'ampio uso di sofisticate tecniche di social engineering: una volta eseguito, il virus si copia nelle cartelle condivise P2p con nomi di richiamo quali Matrix 3 Revolution English Subtitles.exe, Winamp 6 New!.exe, Arnold Schwarzenegger.jpg.exe, Harry Potter game.Exe, Windows Xp crack.Exe, e altro ancora. Implementare un approccio olistico alla sicurezza I worm che sono saliti alla ribalta nel mese di marzo evidenziano quanto sia importante implementare un approccio olistico alla sicurezza dell'azienda e non soltanto una semplice policy antivirus. Le reti delle aziende possono essere protette contro la maggior parte dei programmi pericolosi individuati in marzo attraverso le seguenti misure: Implementare una policy chiara per il blocco degli allegati. Attuare campagne per la sensibilizzazione del personale. Effettuare l'implementazione delle nuove patch software per applicazioni e sistemi operativi. Verificare le procedure in modo da rafforzare la sicurezza. Aggiornare il software antivirus o l'hardware per bloccare le minacce rimanenti. Trendlabs Emea è attiva 24 ore al giorno, 7 giorni alla settimana, per monitorare tutte le attività sospette nell'area Emea (Europa, Medio Oriente e Africa) così da assicurare ai propri clienti i massimi livelli di protezione e servizio.
|
|
| |
|
|
| |
<<BACK
|
|
|
|
|
|
|
|
