Alcune Definizioni Worm: Un worm è una particolare categoria di malware in grado di autoreplicarsi. È simile ad un virus, ma a differenza di questo non necessita di legarsi ad altri files eseguibili per diffondersi. Frequentemente un worm funge da veicolo per l'installazione automatica su nuove macchine di altri malware, come per esempio backdoor o Keylogger, che potranno poi essere sfruttati da un malintenzionato cracker o addirittura da un altro worm. Virus: Particolare software, appartenente alla categoria dei malware, in grado, una volta eseguito, di infettare dei file in modo da riprodursi facendo copie di se stesso, senza farsi rilevare dall'utente. I virus possono essere più o meno dannosi per il sistema operativo che li ospita, ma anche nel caso migliore comportano un certo spreco di risorse in termini di RAM, CPU e spazio sul disco fisso TASSI DICRESCITA E DIFFUSIONE DEI VIRUS DAL 2004 2005 I 10 virus più diffusi nel 2005 Nel 2005 una mail su 44 in media conteneva un codice virale. Questa cifra è salita a dodici durante le emergenze più serie, mentre sono stati identificati 15.907 nuovi codici malevoli. I dieci virus più diffusi dell’anno sono stati I 10 virus più diffusi nel 2005 ANALIZZIAMO OGNUNA DELLE 10 MAGGIORI MINACCE DEL 2005 1 W32/Zafi-D AZIONE RIMOZIONE • Si copia nella cartella di sistema di Windows nominandosi:” Norton Update.exe.“ •Si installa nel registro di sistema. • Genera nella cartella di sistema di Windows una serie di files con nomi casuali di 8 caratteri di estensione .dll. Alcuni di questi Files sono l’esatta copia del Worm, mentre altri la copia compressa del W32/Zafi-D, • Infine usa la rubrica degli indirizzi mail presenti nel pc per replicarsi e diffondersi. Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 è disponibile un tool di rimozione: ZAFIGUI 2 W32/Netsky-P AZIONE RIMOZIONE • Si copia nella cartella di sistema di Windows in diverse cartelle del sistema operativo •Infine usa la rubrica degli indirizzi mail presenti nel pc per replicarsi e diffondersi. •Di norma le mail infette riportano alcune caratteristiche comuni come: Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 è disponibile un tool di rimozione:NTSKYGUI Il seguente oggetto: Re: Re: Re: Encrypted Mail Re: Extended Mail Re: Status Re: Notify Re: SMTP Server Re: Mail Server Re: Delivery Server Re: Bad Request Re: Failure Re: Thank you for delivery Re: Test Re: Administration Allegato diestensione: EXE SCR PIF ZIP 3 W32/Sober-Z AZIONE RIMOZIONE • Si diffonde attraverso mail includendo come allegato file presi a caso sull’hard drive. • Si installa nel registro di sistema •Scarica il codice da internet •Si riporta l’esempio di un messaggio di posta Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 è disponibile un tool di rimozione:NTSKYGUI Allegati tipo: Kandidat.zip WWM.zip Auslosung.zip Casting.zip Gewinn.zip Info.zip RTL-Admin.zip RTl.zip Webmaster.zip RTL-TV.zip 4 W32/Sober-N AZIONE RIMOZIONE • Usa la rubrica degli indirizzi mail presenti nel pc per replicarsi e diffondersi. •Disattiva la protezione dell’antivirus. •Si riporta l’esempio di un messaggio di posta Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 è disponibile un tool di rimozione: emergency copy of SAV32CLI 5 W32/Zafi-B AZIONE RIMOZIONE • Si copia nella cartella di sistema di Windows nominandosi in modo casuale prendendo come estensione .exe •Testa a presenza della connessione ad internet aspettando che l’utente si connetta al sito della microsoft o a quello di google. •Cerca gli indirizzi di posta elettronica sul pc e li immagazzina in liste con estensione .dll nella cartella di sistema di windows. •Si copia all’infinito allegandosi come attachement agli indirizzi di posta elettronica. •Fa una copia di se stesso nella cartella di p2p di windows nominandosi :'WINAMP 7.0 Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 è disponibile u tool di rimozione:NTSKYGUI FULL_INSTALL.EXE' o 'TOTAL COMMANDER 7.0 FULL_INSTALL.EXE' 6 W32/Mytob-BE AZIONE RIMOZIONE • Oltre ad essere un worm è anche un cavallo di troia ovvero una backdoor controllata in remoto tramite la rete IRC. •Disattiva l’antivirus. •Modifica la data del pc. •Si diffonde mediante posta elettronica ma sfrutta anche la vulnerabilità LSASS Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 è necessario: • installare l’aggiornamento MS04-011 al fine di eliminare ola vulnerabilità LSASS • E’ disponibile on line un tool di rimozione: denominato FixMytob.exe 7 W32/Mytob-AS AZIONE RIMOZIONE • Oltre ad essere un worm è anche un cavallo di troia ovvero una backdoor •Disattiva l’antivirus. •Scarica il codice da internet. •Si diffonde mediante posta elettronica ma sfrutta anche la vulnerabilità LSASS Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 è necessario: • installare l’aggiornamento MS04-011 al fine di eliminare ola vulnerabilità LSASS • E’ disponibile on line un tool di rimozione: denominato FixMytob.exe 8 W32/Netsky-D AZIONE RIMOZIONE •Usa la rubrica degli indirizzi mail presenti nel pc per replicarsi e diffondersi. • Possiede diversi Alias: Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 disponibile on line il tooll: NTSKYGUI W32/Netsky.c@MM I-Worm.NetSky.d Win32/Netsky.D WORM_NETSKY.D •Di norma le mail infette riportano alcune caratteristiche comuni come: Il seguente oggetto: Re: Approved Re: Details Re: Document Re: Excel file Re: Hello Re: Here Re: Here is the document Re: Hi Re: My details …… Il seguente allegato: all_document.pif application.pif document.pif document_4351.pif document_excel.pif document_full.pif document_word.pif message_details.pif message_part2.pif mp3music.pif my_details.pif …… 9 W32/Mytob-GH AZIONE RIMOZIONE • Oltre ad essere un worm è anche un cavallo di troia ovvero una backdoor •Disattiva l’antivirus. •Alias: Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 è disponibile u tool di rimozione:NTSKYGUI Email-Worm.Win32.Doombot.b W32/Mytob.NA@mm W32/Mytob.gh@MM •Il messaggio di posta ha le seguenti caratteristiche: allegato: readme.zip document.zip account-info.zip email-details.zip accountdetails.zip 10 W32/Mytob-EP AZIONE • Oltre ad essere un worm è anche un cavallo di troia ovvero una backdoor controllata in remoto tramite la rete IRC. •Disattiva l’antivirus.pc. •Si diffonde mediante posta elettronica ma sfrutta anche la vulnerabilità LSASS RIMOZIONE Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 disponibile on line il tooll: NTSKYGUI TENERE AGGIORNATO TUTTI I SOFTWARE DEL PC UTILIZZARE UN SOFTWARE ANTIVIRUS Scansioni on line http://housecall.trendmicro.com/ Scansioni on line http://www3.ca.com/securityadvisor/virusinfo/scan.aspx Scansioni on line http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=ie&venid=sym Scansioni on line http://www.pandasoftware.com/products/activescan.htm Alcuni Antispyware XPAnti Spy Spybot Ad-Aware Spam & Antispam Cosa e' lo SPAM ? Lo spamming consiste nell'invio di messaggi pubblicitari di posta elettronica (SPAM) che non siano stati in alcun modo sollecitati. Perche' e' chi riceve che paga: Perche' e' male ? Il provider paga le infrastrutture che vengono abusate, •il cliente paga il tempo per scaricare, •paga il tempo per leggere esaminare e cancellare quello che quasi sempre sono messaggi che non ha richiesto. Oggi gli spammers hanno iniziato ad utilizzare i servers altrui per la distribuzione del proprio spam. Spam & Antispam Come fa uno spammer ad avere il vostro indirizzo? Gli spammer usano programmi automatici, i cosiddetti spambot, per esplorare l'intera Rete ed estrarre dalle pagine Web, dai messaggi nei forum e nei newsgroup qualsiasi cosa che somigli a un indirizzo di e-mail. Questa sorta di pesca è brutale ma efficace nel racimolare milioni di indirizzi, compreso il vostro. Spam & Antispam La celebre “truffa nigeriana” consiste in una lettera in inglese in cui una persona che non conoscete chiede cortesemente il vostro aiuto per sbloccare una enorme cifra di denaro di provenienza discutibile e vi propone di dividere gli utili Spam & Antispam Come si previene lo spam •Non mettete il vostro indirizzo nel vostro sito •Se partecipate ai forum o ai newsgroup, non indicate il vostro indirizzo di posta nei messaggi •Non rispondete MAI allo spam, né per protestare, né per "dis-iscrivervi" •Se proprio dovete mettere il vostro indirizzo in una pagina Web, mettetelo sotto forma di immagine grafica •Date il vostro indirizzo soltanto alle persone strettamente indispensabili, avvisandoli di non darlo a nessuno senza il vostro consenso •Non immettete il vostro indirizzo nel browser •Non date il vostro indirizzo ai siti che ve lo chiedono, a meno che abbiano una reputazione cristallina •Scegliete un nome utente lungo almeno dieci caratteri •Usate e fate usare SEMPRE la "copia carbone nascosta" •Usate programmi di posta che non visualizzano automaticamente la grafica o che almeno permettono di disattivare questa visualizzazione Spam & Antispam Softaware anti spam Spamihilator 0.9.9.9 SpamEater Pro v4.0.5 Dialer & Antidialer Cosa è un dialer ? un programma che altera i parametri della vostra connessione a Internet, cambiandone soprattutto il numero telefonico e sostituendolo con un numero a pagamento maggiorato su prefissi come il costosissimo o prefissi internazionali Perche' e' male ? Se il programma si comportasse onestamente, dichiarando in modo non ambiguo quanto costa il servizio, il meccanismo sarebbe perfettamente accettabile Purtroppo la maggior parte dei dialer è confezionata in modo ingannevole. Dialer & Antidialer Chi vende i dialer? New Dial spa (www.newdial.com), Perugia. Uno dei suoi dialer è considerato virus dal Norton Antivirus Il suo sito è una schermata senza indicazioni di indirizzi o altri modi per contattare l'azienda. Occorre consultare le Pagine Gialle per trovarne le coordinate: NEW DIAL S.P.A., 06100 Perugia (PG) - Via Campo di Marte 13, tel: 075 5000195. Carpediem (www.carpediem.fr)/Montorgueil (Parigi). I suoi dialer si adattano a più nazioni, Italia compresa, e per il mercato italiano sembra fare riferimento a Lincassa.com. Coulomb Limited, Fareham, Hampshire (www.coulomb.co.uk). I siti contenenti il suo dialer riportano correttamente l'indicazione dei costi di connessione (£1,50/min). I suoi estremi, trovati con Google, sembrano essere questi: Coulomb Ltd, PO Box 21, Fareham, Hampshire PO16 0BN (Regno Unito), telefono 0870 0697000, fax 0870 0697001. Dialer & Antidialer Come difendersi dai dialer •Bloccare i prefissi usati dai dialer tramite l'operatore telefonico •Non usare Internet Explorer • Passare all'ADSL •Avvalersi di un anti dialer come Stop dialer Firewall Cosa e' un firewall Come può essere Un firewall ? Sistema di sicurezza che crea una barriera elettronica per la protezione dl una rete di PC dall'accesso di estranei tramite Internet Hardware per sistemi avanzati Software più diffusi come quello di windows Firewall Esempio di rete Con firewall Firewall Kerio Personal Firewall Alcuni firewall software ZoneAlarm Sygate Personal Firewall Backdoor Alcune Definizioni Backdoor : Letteralmente porta di servizio, programma con particolari caratteristiche che permettono di accedere alla macchina dall'esterno con privilegi di amministratore, senza che nessun altro utente se ne accorga . Keylogger: Un keylogger è, uno strumento in grado di controllare tutto ciò che un utente digita sulla tastiera del proprio computer. Software di controllo remoto tramite backdoor Software di controllo remoto tramite backdoor Un Keylogger all’opera Backdoor