SIAMO GEEK

Tag: malware

  • Duqu: il ritorno di Stuxnet

    Come in ogni b-movie che si rispetti, il cattivo non è mai morto, anche se l’abbiamo visto esplodere in mille pezzi.

    Stuxnet, il malware che modifica la programmazione dei PLC Siemens, sembrava finalmente debellato, quando ecco comparire Duqu, il cui nome deriva dall’estensione ~DQ dei file creati dal malware.

    Symantec ha analizzato Duqu e sembrerebbe che sia una variante di Stuxnet. Questa variante, però, è stata creata partendo dai sorgenti di Stuxnet, non dalla versione compilata, che è reperibile da molte fonti. Quindi chi ha creato Duqu o è qualcuno che ha (avuto) accesso ai sorgenti di Stuxnet oppure è lo stesso gruppo che ha creato Stuxnet. Il che non significa che dietro Duqu ci sa necessariamente qualche governo, in quanto non è dato sapere chi abbia sviluppato Stuxnet (possiamo solamente presumere chi siano i committenti).

    Per il momento Duqu non fa nulla, non va a cercare PLC o altri sistemi di controllo industriale, ma sembra che si limiti ad un’attività di ricognizione e di installazione di un sistema di controllo remoto.

    Aggiornamento 21/10/2011 06:30Secondo Joel Langill Duqu sarebbe stato creato partendo della decompilazione di Stuxnet eseguita da Amr Thabet lo scorso gennaio.

     

  • Malware di OSX in crescita

    Qualche fondamentalista fan di sistemi operativi non-Windows ritiene di essere esente da problemi di malware ipso facto di non avere Windows, tutti gli altri possono continuare a leggere.

    (altro…)

  • kernel.org torna online

    kernel.org torna online dopo che è stata scoperta un’intrusione non autorizzata.

    Ci è voluto del tempo, ma forse è stato meglio tenere giù il sito tutto il tempo sufficiente per essere sicuri di aver compreso il tipo di attacco, averlo debellato e aver fatto in modo che non si ripeta più con delle modifiche radicali. Questa è la differenza tra siti gestiti da tecnici e siti gestiti da responsabili delle PR.

    Sul lato opposto, l’offline di oltre un mese dimostra, ancora una volta, che nessun sistema operativo è esente da attacchi in maniera aprioristica e che bisogna sempre tenere gli occhi aperti.

  • Chi scrive i virus e perché

    Un video in cui Mikko Hyppönen spiega quale sono le attuali fonti del malware e le motivazioni che spingono queste persone a crearlo.

    [youtube=http://www.youtube.com/watch?v=YMzp6eFR3BE&w=480]

  • L’importanza di aggiornare

    Secondo Google la solita frase “Tanto chi vuoi che sia interessato al mio blog?” ha oltre 50.000 vittime.

    Nei 51.500 risultati ci sono alcuni blog che trattano questa notizia, tutti gli altri sono blog infettati da siteurlpath.

    I blog infettati sono tutti WordPress e, ovviamente, tutti non aggiornati. Nota per la Curva Sud dei tifosi del software: l’accento non è su WordPress, bensì su non aggiornato.

    Continuate così, fateci del male. (via sicuri.net)

  • Stuxnet e la protezione dei sistemi industriali

    Stuxnet è un malware molto anomalo.

    Si propaga con i sistemi standard dei worm, ma non invia spam, non cancella i file, non inserisce il nome della ex nel sistema… Stuxnet è stato creato per assumere il controllo di alcuni sistemi SCADA e, opzionalmente per riprogrammare i PLC.

    (altro…)

  • DLL hijacking in azione

    (articolo aggiornato dopo la prima pubblicazione)

    Sono disponibili alcuni video che dimostrano il DLL hijacking in azione con alcuni programmi di Windows:

    Il primo filmato mostra una copia di XP SP3 con MSIE 8 e Flash 10.1.82.76 in cui viene copiato sul desktop un file DLL modificato ad arte e vine avviato Internet Explorer che accede ad una pagina che attiva Flash (non importa quale pagina sia). Il file DLL provoca la chiusura di Explorer e l’avvio di un programma scelto da chi ha creato il file DLL modificato, in questo caso la calcolatrice di Windows.

    Gli altri filmati mostrano il medesimo problema di altri file eseguibili.

    Avevo parlato del problema del DLL hijacking qualche giorno fa, questo video mostra nei fatti quanto sia facile e fattibile sfruttare questo tipo di vulnerabilità. (via Bugtraq)

  • Problema di sicurezza di Adobe Acrobat Reader

    Sta circolando almeno un documento PDF che sfrutta un problema 0-day di Acrobat Reader. Anche Adobe ha diramato un bollettino di sicurezza in cui classifica questo problema come critico.

    Tutte le versioni per tutte le piattaforme di Acrobat Reader presentano questo problema, nessuno escluso.

    In questo momento non ci sono azioni che possono risolvere questo problema, Adobe sta lavorando  per correggere l’errore e rilascerà probabilmente un aggiornamento quanto prima.

    Alcune mail che contengono il documento infetto che sfrutta questa vulnerabilità hanno come oggetto David Leadbetter’s One Point Lesson. Alcuni attacchi portati con questo vettore chiudono forzatamente Acrobat Reader e tentano di aprire un programma che fa da esca per l’utente.

    Alcuni antivirus riescono a classificare i PDF che sfruttano questa vulnerabilità  come sospetti; tuttavia è buona regola non aprire PDF di provenienza ignota con Acrobat Reader.