Alcune Definizioni
Worm:
Un worm è una particolare categoria di malware in grado di autoreplicarsi.
È simile ad un virus, ma a differenza di questo non necessita di legarsi ad
altri files eseguibili per diffondersi.
Frequentemente un worm funge da veicolo per l'installazione automatica su
nuove macchine di altri malware, come per esempio backdoor o Keylogger, che
potranno poi essere sfruttati da un malintenzionato cracker o addirittura da un
altro worm.
Virus:
Particolare software, appartenente alla categoria dei malware,
in grado, una volta eseguito, di infettare dei file in modo da
riprodursi facendo copie di se stesso, senza farsi rilevare dall'utente.
I virus possono essere più o meno dannosi per il sistema operativo
che li ospita, ma anche nel caso migliore comportano un certo
spreco di risorse in termini di RAM, CPU e spazio sul disco fisso
TASSI DICRESCITA E DIFFUSIONE DEI VIRUS DAL 2004 2005
I 10 virus più diffusi nel 2005
Nel 2005 una mail su 44 in media conteneva un codice
virale. Questa cifra è salita a dodici durante le emergenze
più serie, mentre sono stati identificati 15.907 nuovi
codici malevoli. I dieci virus più diffusi dell’anno sono
stati
I 10 virus più diffusi nel 2005
ANALIZZIAMO OGNUNA DELLE 10 MAGGIORI MINACCE
DEL 2005
1
W32/Zafi-D
AZIONE
RIMOZIONE
• Si copia nella cartella di sistema di Windows
nominandosi:” Norton Update.exe.“
•Si installa nel registro di sistema.
• Genera nella cartella di sistema di Windows una
serie di files con nomi casuali di 8 caratteri di
estensione .dll. Alcuni di questi Files sono l’esatta
copia del Worm, mentre altri la copia compressa del
W32/Zafi-D,
• Infine usa la rubrica degli indirizzi mail presenti nel
pc per replicarsi e diffondersi.
Per i sistemi operativi Windows 95/98/ Me and
Windows NT / 2000/ XP / 2003 è disponibile un
tool di rimozione: ZAFIGUI
2
W32/Netsky-P
AZIONE
RIMOZIONE
• Si copia nella cartella di sistema di Windows
in diverse cartelle del sistema operativo
•Infine usa la rubrica degli indirizzi mail
presenti nel pc per replicarsi e diffondersi.
•Di norma le mail infette riportano alcune
caratteristiche comuni come:
Per i sistemi operativi Windows 95/98/ Me
and Windows NT / 2000/ XP / 2003 è
disponibile un tool di rimozione:NTSKYGUI
Il seguente oggetto:
Re: Re:
Re: Encrypted Mail
Re: Extended Mail
Re: Status
Re: Notify
Re: SMTP Server
Re: Mail Server
Re: Delivery Server
Re: Bad Request
Re: Failure
Re: Thank you for delivery
Re: Test
Re: Administration
Allegato
diestensione:
EXE
SCR
PIF
ZIP
3
W32/Sober-Z
AZIONE
RIMOZIONE
• Si diffonde attraverso mail includendo come
allegato file presi a caso sull’hard drive.
• Si installa nel registro di sistema
•Scarica il codice da internet
•Si riporta l’esempio di un messaggio di posta
Per i sistemi operativi Windows 95/98/ Me
and Windows NT / 2000/ XP / 2003 è
disponibile un tool di rimozione:NTSKYGUI
Allegati tipo:
Kandidat.zip
WWM.zip
Auslosung.zip
Casting.zip
Gewinn.zip
Info.zip
RTL-Admin.zip
RTl.zip
Webmaster.zip
RTL-TV.zip
4
W32/Sober-N
AZIONE
RIMOZIONE
• Usa la rubrica degli indirizzi mail presenti nel pc per
replicarsi e diffondersi.
•Disattiva la protezione dell’antivirus.
•Si riporta l’esempio di un messaggio di posta
Per i sistemi operativi Windows 95/98/ Me and
Windows NT / 2000/ XP / 2003 è disponibile un
tool di rimozione: emergency copy of
SAV32CLI
5
W32/Zafi-B
AZIONE
RIMOZIONE
• Si copia nella cartella di sistema di Windows
nominandosi in modo casuale prendendo
come estensione .exe
•Testa a presenza della connessione ad
internet aspettando che l’utente si connetta al
sito della microsoft o a quello di google.
•Cerca gli indirizzi di posta elettronica sul pc e
li immagazzina in liste con estensione .dll nella
cartella di sistema di windows.
•Si copia all’infinito allegandosi come
attachement agli indirizzi di posta elettronica.
•Fa una copia di se stesso nella cartella di p2p
di windows nominandosi :'WINAMP 7.0
Per i sistemi operativi Windows 95/98/ Me
and Windows NT / 2000/ XP / 2003 è
disponibile u tool di rimozione:NTSKYGUI
FULL_INSTALL.EXE' o 'TOTAL COMMANDER 7.0
FULL_INSTALL.EXE'
6
W32/Mytob-BE
AZIONE
RIMOZIONE
• Oltre ad essere un worm è anche un cavallo
di troia ovvero una backdoor controllata in
remoto tramite la rete IRC.
•Disattiva l’antivirus.
•Modifica la data del pc.
•Si diffonde mediante posta elettronica ma
sfrutta anche la vulnerabilità LSASS
Per i sistemi operativi Windows 95/98/ Me
and Windows NT / 2000/ XP / 2003 è
necessario:
• installare l’aggiornamento MS04-011 al
fine di eliminare ola vulnerabilità LSASS
• E’ disponibile on line un tool di rimozione:
denominato FixMytob.exe
7
W32/Mytob-AS
AZIONE
RIMOZIONE
• Oltre ad essere un worm è anche un cavallo
di troia ovvero una backdoor
•Disattiva l’antivirus.
•Scarica il codice da internet.
•Si diffonde mediante posta elettronica ma
sfrutta anche la vulnerabilità LSASS
Per i sistemi operativi Windows 95/98/ Me
and Windows NT / 2000/ XP / 2003 è
necessario:
• installare l’aggiornamento MS04-011 al
fine di eliminare ola vulnerabilità LSASS
• E’ disponibile on line un tool di rimozione:
denominato FixMytob.exe
8
W32/Netsky-D
AZIONE
RIMOZIONE
•Usa la rubrica degli indirizzi mail presenti nel
pc per replicarsi e diffondersi.
• Possiede diversi Alias:
Per i sistemi operativi Windows 95/98/ Me
and Windows NT / 2000/ XP / 2003
disponibile on line il tooll: NTSKYGUI
W32/Netsky.c@MM
I-Worm.NetSky.d
Win32/Netsky.D
WORM_NETSKY.D
•Di norma le mail infette riportano alcune
caratteristiche comuni come:
Il seguente oggetto:
Re: Approved
Re: Details
Re: Document
Re: Excel file
Re: Hello
Re: Here
Re: Here is the document
Re: Hi
Re: My details
……
Il seguente allegato:
all_document.pif
application.pif
document.pif
document_4351.pif
document_excel.pif
document_full.pif
document_word.pif
message_details.pif
message_part2.pif
mp3music.pif
my_details.pif
……
9
W32/Mytob-GH
AZIONE
RIMOZIONE
• Oltre ad essere un worm è anche un cavallo
di troia ovvero una backdoor
•Disattiva l’antivirus.
•Alias:
Per i sistemi operativi Windows 95/98/ Me
and Windows NT / 2000/ XP / 2003 è
disponibile u tool di rimozione:NTSKYGUI
Email-Worm.Win32.Doombot.b
W32/Mytob.NA@mm
W32/Mytob.gh@MM
•Il messaggio di posta ha le seguenti
caratteristiche:
allegato:
readme.zip
document.zip
account-info.zip
email-details.zip
accountdetails.zip
10
W32/Mytob-EP
AZIONE
• Oltre ad essere un worm è anche un cavallo
di troia ovvero una backdoor controllata in
remoto tramite la rete IRC.
•Disattiva l’antivirus.pc.
•Si diffonde mediante posta elettronica ma
sfrutta anche la vulnerabilità LSASS
RIMOZIONE
Per i sistemi operativi Windows 95/98/ Me
and Windows NT / 2000/ XP / 2003
disponibile on line il tooll: NTSKYGUI
TENERE AGGIORNATO TUTTI I SOFTWARE DEL PC
UTILIZZARE UN SOFTWARE ANTIVIRUS
Scansioni on line
http://housecall.trendmicro.com/
Scansioni on line
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
Scansioni on line
http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=ie&venid=sym
Scansioni on line
http://www.pandasoftware.com/products/activescan.htm
Alcuni Antispyware
XPAnti Spy
Spybot
Ad-Aware
Spam & Antispam
Cosa e' lo SPAM ?
Lo spamming consiste nell'invio di messaggi pubblicitari
di posta elettronica (SPAM) che
non siano stati in alcun modo sollecitati.
Perche' e' chi riceve che paga:
Perche' e' male ?
Il provider paga le infrastrutture che vengono abusate,
•il cliente paga il tempo per scaricare,
•paga il tempo per leggere esaminare e cancellare quello
che quasi sempre sono messaggi che non ha richiesto.
Oggi gli spammers hanno iniziato ad utilizzare i servers
altrui per la distribuzione del proprio spam.
Spam & Antispam
Come fa uno spammer ad avere il vostro
indirizzo?
Gli spammer usano programmi automatici, i
cosiddetti spambot, per esplorare l'intera Rete ed
estrarre dalle pagine Web, dai messaggi nei forum e
nei newsgroup qualsiasi cosa che somigli a un
indirizzo di e-mail.
Questa sorta di pesca è brutale ma efficace nel
racimolare milioni di indirizzi, compreso il vostro.
Spam & Antispam
La celebre
“truffa nigeriana”
consiste in una
lettera in inglese in
cui una persona
che non conoscete
chiede
cortesemente il
vostro aiuto per
sbloccare una
enorme cifra di
denaro
di provenienza
discutibile e vi
propone di dividere
gli utili
Spam & Antispam
Come si previene lo spam
•Non mettete il vostro indirizzo nel vostro sito
•Se partecipate ai forum o ai newsgroup, non indicate il vostro indirizzo
di posta nei messaggi
•Non rispondete MAI allo spam, né per protestare, né per "dis-iscrivervi"
•Se proprio dovete mettere il vostro indirizzo in una pagina Web,
mettetelo sotto forma di immagine grafica
•Date il vostro indirizzo soltanto alle persone strettamente
indispensabili, avvisandoli di non darlo a nessuno senza il vostro
consenso
•Non immettete il vostro indirizzo nel browser
•Non date il vostro indirizzo ai siti che ve lo chiedono, a meno che
abbiano una reputazione cristallina
•Scegliete un nome utente lungo almeno dieci caratteri
•Usate e fate usare SEMPRE la "copia carbone nascosta"
•Usate programmi di posta che non visualizzano automaticamente la
grafica o che almeno
permettono di disattivare questa visualizzazione
Spam & Antispam
Softaware anti spam
Spamihilator 0.9.9.9
SpamEater Pro v4.0.5
Dialer & Antidialer
Cosa è un dialer ?
un programma che altera i parametri della vostra
connessione a Internet, cambiandone soprattutto il
numero telefonico e sostituendolo con un numero a
pagamento maggiorato su prefissi come il costosissimo
o prefissi internazionali
Perche' e' male ?
Se il programma si comportasse onestamente,
dichiarando in modo non ambiguo quanto costa il
servizio, il meccanismo sarebbe perfettamente
accettabile
Purtroppo la maggior parte dei dialer è confezionata in
modo ingannevole.
Dialer & Antidialer
Chi vende i dialer?
New Dial spa (www.newdial.com), Perugia. Uno dei suoi
dialer è considerato virus dal Norton Antivirus Il suo sito
è una schermata senza indicazioni di indirizzi o altri modi
per contattare l'azienda. Occorre consultare le Pagine
Gialle per trovarne le coordinate: NEW DIAL S.P.A., 06100
Perugia (PG) - Via Campo di Marte 13, tel: 075 5000195.
Carpediem (www.carpediem.fr)/Montorgueil (Parigi). I
suoi dialer si adattano a più nazioni, Italia compresa, e per
il mercato italiano sembra fare riferimento a Lincassa.com.
Coulomb Limited, Fareham, Hampshire
(www.coulomb.co.uk). I siti contenenti il suo dialer
riportano correttamente l'indicazione dei costi di
connessione (£1,50/min). I suoi estremi, trovati con
Google, sembrano essere questi: Coulomb Ltd, PO Box 21,
Fareham, Hampshire PO16 0BN (Regno Unito), telefono
0870 0697000, fax 0870 0697001.
Dialer & Antidialer
Come difendersi dai dialer
•Bloccare i prefissi usati dai dialer tramite l'operatore telefonico
•Non usare Internet Explorer
• Passare
all'ADSL
•Avvalersi di un anti dialer come Stop dialer
Firewall
Cosa e' un firewall
Come può essere
Un firewall ?
Sistema di sicurezza che crea una barriera elettronica per
la protezione dl una rete di PC dall'accesso di estranei
tramite Internet
Hardware
per sistemi avanzati
Software
più diffusi come quello di windows
Firewall
Esempio di rete
Con firewall
Firewall
Kerio Personal Firewall
Alcuni firewall software
ZoneAlarm
Sygate Personal Firewall
Backdoor
Alcune Definizioni
Backdoor :
Letteralmente porta di servizio, programma con particolari caratteristiche
che permettono di accedere alla macchina dall'esterno con privilegi di
amministratore, senza che nessun altro utente se ne accorga .
Keylogger:
Un keylogger è, uno strumento in grado di controllare tutto ciò che un
utente digita sulla tastiera del proprio computer.
Software di controllo remoto tramite backdoor
Software di controllo remoto tramite backdoor
Un Keylogger all’opera
Backdoor