|
|
|
 |
|
|
| |
Notiziario Marketpress di
Mercoledì 05 Maggio 2004
|
|
| |
|
|
| |
Pagina5 |
|
| |
TREND MICRO: CONTINUA A CRESCERE IL NUMERO E LA PERICOLOSITÀ DEI VIRUS. SASSER, IL TEMIBILE WORM CHE STA INFESTANDO LA RETE, È ARRIVATO SUBITO DOPO UN MESE DI APRILE GIÀ DA RECORD CON CIRCA 1.700 VIRUS RILEVATI, 500 IN PIÙ RISPETTO A MARZO |
|
| |
|
|
| |
Milano, 5 maggio 2004 - Sasser, il worm comparso all’inizio di maggio che con le sue diverse varianti sta provocando non pochi danni in tutto il mondo, rappresenta una conferma – particolarmente virulenta - di una tendenza già in atto nel mese di aprile: un incremento significativo (60%) nell’utilizzo di capacità di backdoor da parte del nuovo codice maligno e una sua maggiore pericolosità. Tra le cause, la diffusione delle connessioni a banda larga come Adsl, bersaglio attraente per hacker, spammer e virus writer che utilizzano i computer infettati anche come punto d’appoggio per sferrare nuovi attacchi, creando una sorta di “rete di untori”. Trend Micro, uno dei maggiori produttori di software antivirus, ha rilevato nel corso del mese di aprile circa 1.700 nuovi programmi pericolosi (worm, virus, Trojan horse e altro malware) - quasi cinquecento in più rispetto a marzo e 1.300 rispetto ai 400 dello scorso dicembre. Le tre principali categorie riscontrate sono state Trojan horse, backdoor e worm, con questi ultimi che si confermano al primo posto tra le minacce più diffuse: il 90% circa del codice maligno presente nella top 10 del mese appartiene infatti a questa categoria. In aprile Trend Micro ha lanciato l'allarme giallo per: Worm_netsky.y, Worm_netsky.ab, Worm_bagle.x e Worm_bagle.z. Le novità: più backdoor e pericolosità Come Sasser, il worm che ha contraddistinto l’inizio del mese di maggio, quasi il 60% del codice maligno scoperto nel mese di aprile risulta essere composta da backdoor, il che fa registrare un netto mutamento nel panorama dei virus. Per "backdoor" si intende un programma che ottiene un accesso segreto a un computer e che viene spesso utilizzato per aggirare la sicurezza di un sistema. Un programma backdoor non infetta nessun file residente, ma quasi tutti le backdoor alterano il contenuto del registro di configurazione. Gli hacker mostrano un crescente interesse verso le backdoor. Fino ad oggi gli autori di virus scrivevano infatti codice con l'intenzione di guadagnare l'attenzione dei media, quasi come fosse una sorta di "gioco"; tuttavia, la quantità di codice realmente pericoloso in circolazione era limitata. Oggi, con la diffusione di queste backdoor, i termini della sfida lanciata dal malware sono cambiati. Una ragione di questo cambiamento risiede nell'aumento delle connessioni xDsl. Sempre più utenti home utilizzano questa connessione, e stiamo assistendo all'emergere delle reti domestiche. Tuttavia molti utenti residenziali non sono ancora pienamente consci delle minacce Internet, o non capiscono l'importanza di dotare i rispettivi computer o reti locali di un buon livello di protezione. In certi casi laptop o Pda sono direttamente connessi al modem xDsl senza nessun tipo di sicurezza. Poiché molti utenti sfruttano le connessioni xDsl per lasciare collegati i loro computer 24 ore su 24 e 7 giorni su 7, o comunque per lunghi periodi, i rischi aumentano seriamente. Queste macchine per utilizzo domestico stanno diventando il bersaglio preferito di hacker, autori di virus, spammer e altri attaccanti. Stimolati da questa nuova tendenza, gli hacker hanno persino iniziato a organizzare proprie associazioni. Le backdoor possono essere usate per estrarre informazioni dai sistemi colpiti, permettendo ai loro autori di ottenere una mappa precisa dell'infezione. È possibile inoltre carpire password per penetrare successivamente nelle reti aziendali. Ma il fatto più allarmante è che i computer infettati in questo modo possono servire da trampolino di lancio per attacchi futuri - creando una vera "rete del malware" composta, appunto, da sistemi infetti. Gli hacker possono così nascondersi dietro uno o più computer facendo risultare i loro attacchi come se partissero da macchine di utilizzatori domestici del tutto inconsapevoli. Questa situazione può dar luogo a una serie di problemi legali - l'utente di casa è colpevole per essersi lasciato infettare o no? ... Le backdoor risultano utili anche per diffondere codice pericoloso. Un autore di virus può infatti scrivere codice che colloca una backdoor, quindi utilizzare quest'ultima per diffondere altro malware. In passato abbiamo già visto situazioni similari (Worm_mydoom e Worm_doomjuice). Perché? Tali stratagemmi permettono agli hacker di aggirare le barriere antivirus tradizionali, dal momento che la minaccia non giunge mai attraverso protocolli conosciuti come Http, Smtp e Ftp, ma si propaga tramite il protocollo Tcp/ip puro - e senza una policy di sicurezza (aziendale) efficiente, questo tipo di attacchi può avere successo. L'obiettivo è finanziario? Il denaro ha fatto la sua comparsa all'interno dell'equazione, il che è probabilmente un'altra spiegazione dell'aumento verificatosi nel numero di backdoor. Molte organizzazioni - più o meno illegali - sono interessate ai dati memorizzati nei computer degli utenti, e per averli sono disposte a pagare. Installando una backdoor, un attaccante può installare un programma che registri tutti i tasti digitati dall'inconsapevole utente di un sistema infetto e venire così a conoscenza di numeri di carte di credito. Lo stesso attaccante potrebbe quindi creare un database contenente numeri validi di carte di credito e rivenderli. Tattiche di questo tipo potrebbero spiegare anche la fortissima crescita dello spamming - dal momento che gli indirizzi di posta elettronica possono essere raccolti da sistemi infetti e quindi impiegati per inviare messaggi non richiesti. Esiste infatti l'opportunità di vendere database contenenti grandi quantità di indirizzi email. Le motivazioni appena viste spiegano come mai la maggior parte dei worm attuali rilasci backdoor; tuttavia, i worm non sono l'unico vettore per installare backdoor. Le connessioni xDsl permettono di scambiare rapidamente e facilmente documenti multimediali come video e brani musicali, e ciò ha condotto a un incremento delle reti P2p (Peer-to-peer) come Kazaa, eMule ed eDonkey. Gli autori di backdoor possono sistemare il loro codice all'interno di queste reti nascondendolo dietro nomi di file attraenti come il titolo di un film o di una canzone. L'utente che dovesse scaricarlo e lanciarlo in esecuzione si troverebbe così infettato. Ecco perché è così importante condurre campagne aziendali di sensibilizzazione e definire solide policy di sicurezza. Continua la guerra tra Bagle e Netsky Nel mese di aprile sono state rilasciate 13 nuove varianti di Netsky e 8 di Bagle. Nell'arco delle ultime settimane la "guerra" tra le due fazioni è stata oggetto di numerose discussioni. Gli autori di questi worm continuano però a introdurre nel codice nuovi elementi che meritano di essere evidenziati. Worm_netsky.x è diventato poliglotta, con titoli e nomi di allegati nella lingua del sistema operativo del computer colpito. Si tratta di un trucco tipico del social engineering: gli utenti vedono raramente virus in lingue diverse dall'inglese, e quindi potrebbero essere meno prudenti nell'aprire questi file. Worm_bagle.z redireziona i computer colpiti verso alcuni famosi siti Web tedeschi come www.Spiegel.de e www.Heise.de (siti di informazione), siti museali come www.Deutsches-museum.de e persino il sito Web nazionale ufficiale della Germania, www.Deutschland.de Alcuni di questi siti tedeschi contengono però testi in lingua russa, come nel caso di www.Tekeli.de. Le ragioni di tale caratteristica non sono del tutto chiare: forse l'obiettivo era quello di creare attacchi di tipo Denial-of-service contro questi siti, oppure è probabile che uno degli Url agisca da contatore delle infezioni mentre gli altri mascherano semplicemente la fonte del worm; un'altra ipotesi è che si tratti di un metodo per segnalare all'autore del virus i sistemi infetti attraverso particolari script. I collegamenti verso pagine in lingua russa potrebbero servire infine a mandare un messaggio a qualche gruppo underground... Così, mentre il codice pericoloso aumenta di intensità e virulenza, diventa sempre più importante restare vigili. Qualunque punto debole di accesso a una rete può essere sfruttato, mentre il crescente ricorso a tattiche di social engineering impone che efficaci policy di sicurezza vengano spiegate - e fatte applicare - agli utenti delle reti aziendali. Trendlabs Emea è attiva 24 ore al giorno, 7 giorni alla settimana, per monitorare tutte le attività sospette nell'area Emea (Europa, Medio Oriente e Africa) così da assicurare ai propri clienti i massimi livelli di protezione e servizio.
|
|
| |
|
|
| |
<<BACK
|
|
|
|
|
|
|
|
