Un brutto caso di frode

Il blog di Malwarebytes racconta un brutto caso di frode informatica.

La pagina di un rivenditore autorizzato di Symantec conteneva il tipico messaggio “Virus rilevato sul tuo PC, chiama questo numero verde per rimuoverlo”. I tecnici di Malwarebytes hanno finto di cascarci, hanno chiamato il numero verde, hanno dato accesso alla persona ad un computer e alla fine della presunta indagine la persona ha offerto l’acquisto di Norton Ativirus. Leggi tutto “Un brutto caso di frode”

Zero Day in Symantec Endpoint Protection

I ricercatori di Offensive Security hanno scoperto alcune vulnerabilità in Symantec Endpoint Protection.

Per il momento l’organizzazione ha deciso di non pubblicare il codice per sfruttare queste vulnerabilità, ma si è limitata a pubblicare un video dove si vede un Windows 7 32 bit SP1 aggiornato con installato l’ultima versione 12.1.4100.4126 aggiornata del software di Symantec in cui un utente non privilegiato esegue uno script in Python per guadagnare il privilegio di SYSTEM.

Symantec è al corrente del problema e sta investigando. Non ci sono notizie per ora di programmi che possano sfruttare questa vulnerabilità per attaccare un computer.

Un problema in un software di questo tipo è molto serio, per di più Symantec Endpoint Protection è molto utilizzato anche nelle grosse organizzazioni.

Il consiglio che vale per tutti, indipendentemente dall’antivirus installato, è che un software di protezione non garantisce l’immunità completa, sia per la grande varietà di malware in circolazione, sia per l’ovvia regola che esce prima il virus della definizione dell’antivirus. (via ISC)

Security Focus ha assegnato al problema l’ID 68946.


Aggiornamenti dopo la pubblicazione iniziale

  • Aggiunto link all’articolo di Security Focus

 

ClamAV 0.98

ClamAVÈ stato rilasciato ClamAV 0.98.

Tra le novità si possono segnalare:

  • miglioramento della scansione dei file  e potenziamento della scansione dei file PDF, inclusi quelli crittografati;
  • gestione di nuovi tipi di file: ISO9660, 7ZIP autoestraenti e flash;
  • può essere saltata la scansione di file PE (eseguibili Windows) che contengono una firma digitale verificata attraverso una catena di CA;
  • alcuni certificati di cui al punto precedente possono essere dichiarati non affidabili in caso di violazioni;
  • molte nuove opzioni sono state aggiunte alla linea di comando e ai file di configurazione;
  • sono stati aggiunti alcuni callback alle API per migliorare l’integrazione di ClamAV;
  • alcuni limiti operativi prima hardcoded sono ora parte della configurazione.

ClamAV: main.cvd aggiornato

ClamAVSe controllate la directory dei dati di un’installazione di ClamAV trovate qualcosa di questo tipo:

103M Sep 12 04:51 daily.cld
30M Jun 21 08:31 main.cvd

Ovvero il file delle definizioni giornaliere supera per più di tre volte la dimensione del file delle definizioni principali.

Il prossimo 17 settembre verrà rilasciata una nuova versione del file main.cvd che sarà di circa 70 Mb.

Inoltre l’intenzione dei gestori del progetto sarebbe quella di pubblicare periodicamente una versione aggiornata del file main.cvd per ridurre il carico sui server di distribuzione.

Il virus è stato rimosso, ma cosa rimane?

101 112 1Quando un software di protezione rileva un programma con intenzioni poco simpatiche lo rimuove e, se istruito per farlo, notifica l’utente, il quale, soddisfatto per l’azione, continua a lavorare sicuro perché c’è un software che lo protegge.

Come spesso accade nei film [b]hollywoodiani che cercano una sorpresa che non sorprende più nessuno, quando il cattivone prende una raffica di pallottole in faccia, dopo 5 minuti si scopre che è tutto fuorché morto.

Leggi tutto “Il virus è stato rimosso, ma cosa rimane?”

Se gli aggiornamenti di ClamAV non funzionano

ClamAVIl network dei mirror di ClamAV si sta preparando all’uscita della nuova versione 0.98

A partire dalle 22:00 del 4 marzo prossimo verranno pubblicate sui mirror le nuove definizioni dei virus, che non avranno un cdiff rispetto alla versione precedente, forzando, quindi, il download dell’intero file daily.cvd. La durata del trasferimento del file su tutti i mirror dovrebbe richiedere un’ora circa, dopodiché ci saranno dei ritardi negli aggiornamenti dovuti al traffico dei client che scaricano l’intero file.

Nel frattempo, se freshclam non riesce a scaricare gli aggiornamenti bisogna intervenire manualmente per porre rimedio.

Si può verificare se il problema interessa la propria installazione in questo modo:

  1. Il file daily.cvd ha questi hash:
    • MD5: 89dedb45609e59b0244fb5202ab6fa56
    • SHA1: 9947ec90e60499ab7c3331670d5b26b4eaac76e4
  2. Il log di freshclam contiene l’errore Ignoring mirror INDIRIZZO_IP (has connected too many times with an outdated version)
  3. Il comando sigtool --info daily.cvd restituisce Version: 16681 e Functionality Level: 73

Se si verificano queste condizioni, fermare il demone di freshclam, cancellare i file mirrors.dat e daily.cvd e riavviare freshclam (via ClamAV).

ClamAV ha bisogno di voi

ClamAV, l’antivrus multipiattaforma gratuito, ha bisogno dell’aiuto dei suoi utenti per migliorare le statistiche.

Joel Esler ha scritto sul blog dell’antivirus un articolo che spiega il modo in cui chi ha installato ClamAV può partecipare volontariamente alla raccolta anonima di statistiche.

La funzione viene abilitata apportando alcune modifiche ai due file di configurazione dell’antivirus.

In freshclam.conf bisogna togliere il commento a SubmitDetectionStats, che deve contenere il path di clamd.conf.

In clamd.conf l’opzione LogTime deve essere impostata a Yes e LogFile deve contenere il path del file di log (ricordatevi di ruotarlo o cancellarlo periodicamente).

Fatto ciò, ogni volta che freshclam verifica se ci sono degli aggiornamenti invia automaticamente le statistiche di eventuali virus rilevati.