|
|
|
 |
|
|
| |
Notiziario Marketpress di
Lunedì 06 Settembre 2004
|
|
| |
|
|
| |
Pagina5 |
|
| |
RILEVATI AD AGOSTO 3.300 NUOVI TIPI DI CODICE MALIGNO. APPARSO PER LA PRIMA VOLTA UN VIRUS A 64 BIT |
|
| |
|
|
| |
Milano, 6 settembre 2004 -.Dal 1' al 20 agosto, Trend Micro ha identificato approssimativamente 3.300 nuovi tipi di codice pericoloso (worm, virus, Trojan horse e altre forme di malware) appartenenti principalmente alle categorie Trojan horse, backdoor e worm. Ecco le dieci principali minacce identificate da Trend Micro nel corso del mese: 1.Worm_sasser.b 2.Pe_zafi.b 3.Worm_netsky.p 4.Html_netsky.p 5.Worm_netsky.d 6.Worm_netsky.b 7.Worm_netsky.z 8.Worm_mydoom.m 9.Java_bytever.a 10.Trojan_agent.ae Appare evidente come continuino a farsi sentire gli effetti della cosiddetta "guerra dei virus" tra gli autori di Worm_bagle, Worm_mydoom e Worm_netsky, con ben sei delle dieci principali minacce riguardanti questi tipi di codice pericoloso. In agosto Trendlabs ha dichiarato due allarmi gialli globali, entrambi relativi a worm, e precisamente Worm_bagle.ac e Worm_ratos.a. Tali worm non hanno rivelato l'uso di nuove tecniche specifiche. I consigli per responsabili It e utenti al riguardo sono i seguenti: •Verificare di aver implementato regole adeguate per il blocco degli allegati a livello del gateway Internet insieme a una soluzione antivirus efficace (in questo modo è possibile prevenire le infezioni provocate dalla maggior parte dei worm, come Worm_ratos.a) •Verificare di aver implementato policy efficaci a livello del firewall per filtrare il traffico sia in entrata che in uscita (in questo modo è possibile prevenire le infezioni provocate dai worm e da virus di rete come Worm_sasser.b) •Verificare che i sistemi di rete/It dispongano delle patch di sicurezza aggiornate rilasciate dai produttori software (sia quelle per i sistemi operativi che quelle per le applicazioni) •Verificare che anche il prodotto antivirus per desktop sia aggiornato con le versioni più recenti delle definizioni dei virus, dell'engine di scansione e delle patch di sicurezza •Verificare che tutto il personale sia adeguatamente informato al riguardo in modo da evitare qualsiasi perdita di produttività provocata da bufale informatiche, programmi-burla e malware facenti uso di tecniche di social engineering. Le nuove minacce identificate nel mese Esaminando le nuove tipologie di malware identificate in agosto, si evince che il 53% circa ha riguardato backdoor e Trojan horse mentre il 21% appartiene alla categoria dei worm. Questi numeri evidenziano ancora una volta la tendenza in atto. Il principale obiettivo degli autori di malware non è più quello di colpire indiscriminatamente il maggior numero di computer possibile, ma di accedervi per entrare in possesso dei dati in essi contenuti. Uno scopo può essere quello di guadagnare denaro rivendendo informazioni quali password e numeri di carte di credito. Un altro possibile obiettivo è quello di creare una rete di computer "dormienti" da utilizzare in futuro per lanciare attacchi su larga scala contro uno o più bersagli. Il mese di luglio era stato caratterizzato dal rilascio di diversi tipi di codice maligno per dispositivi mobili e questa tendenza è proseguita anche in agosto. Tuttavia, le minacce più rilevanti identificate in questo periodo hanno riguardato la categoria dei codici pericolosi concepiti per attaccare i sistemi operativi a 64 bit. W64_rugrat.a, il primo di tale tipologia di codice a essere identificato, è in grado di infettare i file a 64 bit operanti sui processori Ia64 (Intel Itanium) e i file Pe (Portable Executable) relativi a sistemi Amd a 64 bit. Il secondo tipo di malware scoperto, W64_shruggle.a, infetta i file Pe Windows a 64 bit. Si ritiene che entrambi i tipi di codice pericoloso siano stati creati dallo stesso autore, che si firma con la sigla "roy g biv". Questi due tipi di virus a 64 bit sono considerati alla stregua di dimostrazioni concettuali, ovvero poco più che manifestazioni della volontà del loro autore di verificare la vulnerabilità dei nuovi sistemi agli attacchi virali. Entrambi i virus provocano un'infezione diretta, sono caratterizzati da comportamenti e tecniche di infezione simili e impiegano per l'attivazione la tecnica Tls (Thread Local Storage). Quando ne viene lanciata l'esecuzione, questi virus ricercano i file bersaglio nella cartella e sottocartelle correnti, infettando ogni file a 64 bit (solo sui sistemi Amd64) identificato. Il processo prosegue con il confronto di tali file con alcuni criteri di filtraggio, l'aggiunta del codice virale all'ultima sezione del file host e la modifica di tale sezione come eseguibile. In coda al codice virale può anche essere aggiunto del "codice-spazzatura" per renderne più complessa l'identificazione. Tali virus non infettano file e processori a 32 bit privi del software per il supporto dei programmi Amd a 64 bit. Tutti i file infetti riportano la seguente firma: "Shrug - roy g biv" Essendo stata dimostrata la vulnerabilità al malware anche dei nuovi sistemi, cosa ci riserverà il futuro? Trendlabs Emea è attiva 24 ore al giorno, 7 giorni alla settimana, per monitorare tutte le attività sospette nell'area Emea (Europa, Medio Oriente e Africa) così da assicurare ai propri clienti i massimi livelli di protezione e servizio.
|
|
| |
|
|
| |
<<BACK
|
|
|
|
|
|
|
|
