Gauss

La famiglia dei malware creati ad arte per portare attacchi mirati saluta Gauss (Trojan.Win32.Gauss), l’ultimo arrivato del gruppo.

Gauss è stato realizzato sulla stessa piattaforma di Flame e condivide con Stuxnet (edizione 2010) il modulo di propagazione via USB.

Questo malware è stato realizzato a metà del 2011, rilasciato pochi mesi dopo ed è stato identificato come tale nel giugno del 2012.

L’analisi di Gauss è ancora in corso, quindi le informazioni non sono ancora complete, Kaspersky ha pubblicato un documento tecnico con le informazioni disponibili (HTML, PDF).

Leggi tutto “Gauss”

Aggiornamento fuori banda per Windows

Oggi Microsoft ha rilasciato un aggiornamento fuori banda per revocare alcuni certificati utilizzati da Flame.

Gli aggiornamenti fuori banda sono quelli rilasciati generalmente per ragioni di emergenza al di fuori dell’appuntamento mensile del patch tuesday.

Uno degli attacchi che tenta il malware è un man in the middle su Microsoft Update; se l’attacco riesce, viene copiato sul PC della vittima un file WUSETUPV.EXE, che sembra essere firmato da Microsoft, ma non lo è realmente.

I creatori di Flame hanno scoperto un sistema per sfruttare un baco del sistema che viene usato per creare i certificati per attivare le licenze di Terminal Services; le chiavi utilizzate per questo scopo possono essere utilizzate anche per firmare i programmi eseguibili.

Questa patch rimuove due certificati “Microsoft Enforced Licensing Intermediate PCA” e un certificato “Microsoft Enforced Licensing Registration Authority CA (SHA1)”.

Leggi tutto “Aggiornamento fuori banda per Windows”

Flame[r]

Il MAHER ha annunciato di aver scoperto un nuovo tipo di malware che avrebbe preso di mira alcuni Paesi dell Medio Oriente.

La scoperta è supportata dalla notizia che i laboratori di Kaspersky sono stati contattati dall’ITU per identificare un malware fino ad allora sconosciuto.

L’analisi del malware è appena all’inizio e richiederà molto tempo dal momento che quando è completamente installato raggiunge la dimensione di 20 Mb. Queste sono le caratteristiche note fin’ora:

  • si propaga attraverso supporti rimovibili (chiavette) oppure via rete sui computer in LAN;
  • eseguire analisi di rete quali sniffing, enumerazione delle risorse e raccolta di password vulnerabili;
  • analisi del disco rigido del computer infatto per cercare file con determinate estensioni o contenuti;
  • analisi dei dispositivi raggiungibili via bluetooth;
  • possibilità di catturare il contenuto dello schermo se sono attivi determinati processi;
  • registrazione dell’audio ambientale tramite il microfono del PC;
  • comunicare via https o ssh i dati raccolti ai C&C localizzati su oltre dieci nomi a dominio diversi;
  • possibilità di scaricare ulteriori moduli dal C&C;
  • capacità di identificare e bypassare moltissimi sistemi antivirus, antispyware o antimalware;
  • capacità di infettare XP, Vista e 7;
  • utilizzo di file ~xxxxxxx.TMP per nascondersi (esattamente come Stuxnet e Duqu).

Leggi tutto “Flame[r]”