Quanto vale un computer hackerato?

Mikko Hyppönen ha spiegato che il malware viene scritto principalmente per tre motivi: soldi, attivismo politico e lotta tra Stati.

Spesso le persone che non seguono le vicende della parte oscura di Internet non riescono a capire come un computer infetto possa valere dei soldi. La risposta breve è: mercato.

Leggi tutto “Quanto vale un computer hackerato?”

Operation Windigo

Più di 500.000 computer e 25.000 server compromessi, incluso il server di kernel.org, e oltre 700 server ancora infetti in questo momento.

Sono alcuni dei numeri di un rapporto pubblicato da ESET (PDF) sull’operazione Windigo, un’azione su larga scala che ha interessato piattaforme di ogni tipo.

Questa è più o meno la scansione degli eventi:

  • agosto 2011: il server di kernel.org viene compromesso (tornerà online in ottobre);
  • novembre 2011: Steinar Gunderson pubblica la prima analisi tecnica di Linux/Ebury, un trojan che colpisce i server ssh;
  • febbraio 2013: cPanel denuncia che alcuni suoi server sono stati infettati da Linux/Ebury; il CERT tedesco inizia ad avvertire alcune vittime del medesimo trojan;
  • aprile 2013: Sucuri pubblica la prima analisi tecnica di Linux/Cdorked, una backdoor che colpisce Apache, Nginx e lighttpd;
  • giugno 2013: viene trovato un nesso tra Linux/Ebury e Linux/Cdorked; l’analisi di frammenti di traffico rivela che Linux/Ebury ha infettato oltre 7.500 server;
  • luglio 2013: viene scoperto Perl/Calfbot, legato ai due malware di cui sopra;
  • settembre 2013: l’analisi del traffico rivela che Linux/Cdorked genera oltre un milione di ridirezioni in due giorni;
  • ottobre 2013: l’analisi del traffico rivela che oltre 12.000 server sono infettati da Linux/Ebury;
  • gennaio 2014: l’analisi del traffico di un C&C di Perl/Calfbot rivela che il bot genera 35 milioni di messaggi al giorno.

Leggi tutto “Operation Windigo”

Ransomware e backup

Dopo quasi dieci anni durante i quali i vari tipi di malware non distruggevano i dati, il ransomware ha riportato in auge un vecchio tema di lotta contro i vari tipi di malware.

Il ransomware è quel tipo di software ostile che blocca in qualche modo l’accesso ai file degli utenti per chiedere poi un riscatto (ransom).

Lo scorso anno CryptoLocker è diventato relativamente famoso e in quattro mesi di vita ha già fatto moltissime vittime. Negli ultimi giorni è stato annunciato Prison Locker (originale su Pastebin), un nuovo tipo di ransomware che cripta ogni tipo di file accessibile di un’installazione Windows, con l’eccezione degli eseguibili e dei file di sistema.

Leggi tutto “Ransomware e backup”

Ransomware “Guardia di Finanza”

FakeGdFIl finto ransomware della “Guardia di Finanza” è in giro da qualche anno.

Le prime versioni, come quella riprodotta a lato, erano credibili come una moneta da tre Euro, ma riuscivano comunque a bloccare il computer.

La seconda generazione si è fatta più furba: il loader del ransomware comunica con il C&C, il quale analizza l’IP pubblico della vittima e trasmette la schermata “giusta” in base alla nazione con la corretta forza di polizia. Questa generazione è anche abbastanza pericolosa perché dopo alcuni reboot cambia attributi e permessi di tutto il file system rendendo di fatto il computer inutilizzabile se non dopo la reinstallazione del sistema operativo.

Una versione che mi è capitata tra le mani un mese fa attiva la webcam del portatile e mostra quello che viene acquisito in un riquadro della schermata della presunta autorità di polizia: in pratica l’utente vede il proprio faccione nel finto mandato di sequestro. Un tocco di perversa genialità, bisogna ammetterlo.

La versione che ho visto questa sera da un cliente fa in modo che se si avvia il computer (un Windows 7 Home in questo caso) in modalità provvisoria un programma in avvio automatico lancia un immediato reboot del sistema operativo.

Il trucco è per fortuna aggirabile avviando Windows in modalità provvisoria con la sola interfaccia a riga di comando, in questo modo non vengono eseguiti i programmi in avvio automatico di Explorer. Dalla shell a riga di comando si esegue EXPLORER, che avvia la shell grafica, ma senza eseguire i programmi in avvio automatico. Da lì si può togliere il ransomware con ComboFix o programmi analoghi.

Malware nel mondo con interfaccia a carattere

fsecurecrtTutti possono avere grandi schermi panoramici con grafica cinematografica che mostrano in tempo reale i virus rilevati in tutto il mondo.

Ma solamente chi scarica w3con dispone della stessa visualizzazione con interfaccia carattere.

Il programma in Python legge il feed JSON di F-Secure che pubblica in tempo reale i dati del malware rilevato dalle varie versioni loro software.

Anche se l’ideale sarebbe farlo girare su un vero monitor CRT 🙂 si può sempre tenere attivo il programma in una finestra dedicata o in un’area di tmux per impressionare gli utenti che osano gettare lo sguardo sui nostri video.

Ecco a cosa servono gli antivirus

I professionisti dell’informatica consigliano sempre di installare un buon antivirus e di tenerlo aggiornato.

Altre persone, che appartengono alla stessa categoria dei 60 milioni di CT della nazionale e 60 milioni di Presidenti del Consiglio, dicono che non serve e snocciolano queste sapienti motivazioni:

  • i virus sono scritti dalle ditte di antivirus;
  • non ho nulla da proteggere;
  • me l’ha detto mio cuggggino che è stato trasferito da poco al reparto computer e telefoni di $società_della_GDO e, quindi, ne capisce;
  • io capisco a sensazione quando il mio PC è infetto senza bisogno di antivirus; [i “tennici sensitivi” sono i più divertenti, NdLR]
  • è troppo caro;
  • mi rallenta il PC;
  • io sono più furbo dei virus;
  • il mio computer è inattaccabile perché ho $sistema_operativo_diverso_da_Windows e i virus li fanno solo per Windows (me l’ha detto mio cugggino che eccetera eccetera).

Ieri BBC e New York Times hanno dato la notizia di un attacco di DDoS contro Spamhaus nell’ambito di una guerra di malviventi contro chi li blocca. Il grosso dall’attacco sarebbe stato un traffico generato contro Spamhaus di 300 Gb al secondo; immaginate ogni due secondi il contenuto di un migliaio di CD-ROM lanciato contro i server di Spamhaus.

Leggi tutto “Ecco a cosa servono gli antivirus”

Il ritorno di Melissa

Melissa è un macro virus di Word che ha infettato la Rete nella primavera del 1999.

Tredici anni dopo Melissa torna sui nostri vostri schermi sotto forma di un malware molto subdolo.

La nuova Melissa non si replica inviando se stessa ai primi 50 contatti di Outlook. Questo nuovo malware a base sessuale non è dannoso per le vittime come il Sex Ladies che ha causato qualche problema agli utenti Macintosh nel 1988.

All’apparenza, la Melissa del 2012 vuole solamente mostrarvi le sue grazie dopo che voi avete risolto alcuni CAPTCHA, e qui casca l’asino, o, meglio, il porco.

Leggi tutto “Il ritorno di Melissa”

Malware di OSX in crescita

Qualche fondamentalista fan di sistemi operativi non-Windows ritiene di essere esente da problemi di malware ipso facto di non avere Windows, tutti gli altri possono continuare a leggere.

Leggi tutto “Malware di OSX in crescita”

DLL hijacking in azione

(articolo aggiornato dopo la prima pubblicazione)

Sono disponibili alcuni video che dimostrano il DLL hijacking in azione con alcuni programmi di Windows:

Il primo filmato mostra una copia di XP SP3 con MSIE 8 e Flash 10.1.82.76 in cui viene copiato sul desktop un file DLL modificato ad arte e vine avviato Internet Explorer che accede ad una pagina che attiva Flash (non importa quale pagina sia). Il file DLL provoca la chiusura di Explorer e l’avvio di un programma scelto da chi ha creato il file DLL modificato, in questo caso la calcolatrice di Windows.

Gli altri filmati mostrano il medesimo problema di altri file eseguibili.

Avevo parlato del problema del DLL hijacking qualche giorno fa, questo video mostra nei fatti quanto sia facile e fattibile sfruttare questo tipo di vulnerabilità. (via Bugtraq)