Il bisogno costante di interazione mette a rischio i dati sensibili e rende gli utenti facili bersagli dei pericolosi software in circolazione.

Le minacce elettroniche di questo mese si possono trovare principalmente nei cosiddetti “torrents” o altre piattaforme peer-to-peer nei quali sono presenti programmi pirata. 
 

Trojan.Clicker.CM si posiziona primo nella classifica di Gennaio, con l’8.30 percento del totale di computer infetti, si può trovare spesso nei siti di file sharing come portali torrent, comunità “warez” o altri servizi di communities che contengono materiale piratato. Il Trojan è un piccolo script che forza la pubblicità nel browser. Alcune pubblicità sono relative a giochi online gratuiti, altre possono esporre i computer a messaggi e immagini pornografiche o altri tipi di contenuto inappropriato.

Con la percentuale di 8.17, la seconda minaccia della classifica di Gennaio è Trojan.AutorunInf.Gen, un meccanismo generico di diffusione del malware attraverso dispositivi mobili come flash drives, memory cards o hard-disk esterni. Ad esempio, Win32.Worm.Downadup e Worm.Zimuse sono due delle più famose famiglie di malware che utilizzano questo approccio per infettare altri sistemi. Per questo motivo, dovrebbe venire posta grande attenzione durante l’utilizzo dei dispositivi rimovibili: possono essere una utile soluzione per il trasporto dei dati , ma possono anche diventare pericolosi se utilizzati senza attenzione. Librerie, copisterie e di altri hotspot pubblici sono di solito le fonti più note di infezione.

Al terzo posto nel report mensile, troviamo Win32.Worm.Downadup.Gen responsabile del 6.18 percento delle infezioni totali. Sfruttando una vulnerabilità del Microsoft Windows Server Service RPC Handling Remote Code Execution (MS08-67), questo worm si diffonde su altri computers del network impedendo l’accesso degli utenti a Windows Update e alle pagine dei produttori di prodotti per la sicurezza informatica. Le varianti più nuove del worm installano anche una finta applicazione antivirus. La persistenza di questo worm dopo più di un anno dalla sua prima apparizione rivela che molti utenti sono ancora riluttanti nell’aggiornare i propri sistemi operativi e le loro soluzioni antimalware.

La quarta minaccia della classifica di BitDefender per Gennaio è Exploit.PDF-JS.Gen, con il 5.76 percento del totale delle infezioni. Questo rilevamento generico sfrutta diverse vulnerabilità dei file PDF trovate nel motore Javascript di Adobe PDF Reader per poter eseguire codici pericolosi. Una volta aperto il file PDF corrotto, un codice Javascript “infetto” scarica ed esegue del codice binario da postazioni remote. 

Al quinto posto con il 4.30 percento un malware chiamato Trojan.Wimad.Gen.1 che si trova in particolare nei siti web Torrent camuffato come se fosse un episodio inedito della propria serie televisiva preferita. Questi falsi files video sono in grado di connettersi a specifiche URL e scaricare un malware che a sua volta nasconde un finto codec per “riprodurre” il video. Trojan.Wimad.Gen.1 è particolarmente attivo quando sono in circolazione nei cinema film molto attesi.

La lista delle minacce elettroniche di BitDefender per Gennaio 2010 include:

1. Trojan.Clicker.CM - 8,30%
2. Trojan.AutorunINF.Gen - 8,17%
3. Win32.Worm.Downadup.Gen - 6,18%
4. Exploit.PDF-JS.Gen - 5,76%
5. Trojan.Wimad.Gen.1 - 4,30%
6. Win32.Sality.OG - 2,73%
7. Trojan.Autorun.AET - 2,01%
8. Worm.Autorun.VHG - 1,69%
9. Trojan.Script.254568 - 1,40%
10. Trojan.JS.QAF - 1,40%
ALTRI - 58,01%

BitDefender ha identificato una nuova minaccia elettronica che combina il comportamento distruttivo di un virus con il meccanismo di diffusione di un worm. Esistono 2 varianti conosciute di questo virus, che entra nel computer come un innoquo test di IQ.

Una volta eseguito, il worm crea tra le 7 e le 11 copie di se stesso( a seconda della variante) nelle aree critiche del sistema Windows.

Win32.Worm.Zimuse.A è un malware estremamente pericoloso. A differenza degli altri worms, Win32.Worm.Zimuse.A può creare gravi perdite di dati sovrascrivendo i primi 50KB del Master Boot Record – una zona chiave dell’ hard disk drive.

Per potersi eseguire ad ogni avvio di Windows, il worm imposta la seguente chiave di registro:

 

Crea anche due file driver, chiamati:

%system%\drivers\Mstart.sys and %system%\drivers\Mseu.sys

Nelle versioni a 64-bit di Windows Vista e Windows 7 è richiesta la firma digitale dei drivers, pertanto in questi sistemi il worm non può installare questi file driver.

Sfortunatamente, sembra che questo worm non permetta all'utente di rendersi conto che il sistema è sotto attacco. Dopo un preciso lasso di tempo (40 giorni per la variante A e 20 per la variante B) l'utente del PC riceve un messaggio d'errore che afferma che un problema è stato riscontrato a causa di un contentuto di un pacchetto IP ricevuto da un particolare sito web, dopodiché all'utente viene chiesto di premere OK per risovlere il problema e ripristinare il sistema. Dopo il conseguente riavvio del PC il master boot record del disco viene compromesso e il disco della macchina viene guastato. Per un resonconto dettagliato di quello che accade durante l'attacco del worm Win32.Worm.Zimuse, guarda il video.

  

Per coloro che non sono sicuri di essere stati infetti dal virus, è possibile eseguire in 30 secondi un controllo con QuickScan. Il QuickScan è disponibile anche sulla pagina BitDefender di Zimuse.

Le istruzioni per la rimozione di Zimuse sono le seguenti:

1. Scaricare lo strumento per la rimozione (.exe file – 201 KB)
2. Per gli utenti con accesso limitato a Windows XP, cliccare con il tasto destro su “zimuse-removal-tool.exe” e scegliere “Esegui come Amministratore” ed inserire i dati di un account con diritti di amministrazione.
3. Riavviare il sistema dopo aver terminato la disinfezione.
 

ATTENTI AL FALSO ANTIVIRUS MICROSOFT

Gli esperti dei G Data Security Labs avvisano gli utenti che è in atto una diffusa campagna-trappola di abbonamento volta soltanto a spillare denaro agli utenti Pc. 

L’espediente questa volta utilizzato dai criminali online è quello di offrire un antivirus gratuito Microsoft scaricabile dal sito Security-essentials.info. Il sito è fortemente basato sul design e il layout corporate di Microsoft e ad un prima occhiata risulta difficile identificarlo come un sito fasullo. Se un utente viene ingannato e si registra finisce con il cadere in una trappola che lo porta a sottoscrivere un abbonamento di tre anni al prezzo di 35,94 euro. G Data mette in guardia gli utenti affinché non effettuino tale pagamento o blocchino immediatamente la carta di credito qualora ne abbiano già immesso i dati sul sito in questione.

L’home page di questo falso sito che propone software da scaricare offre non soltanto Microsoft Security Essentials, ma molti altri software gratuiti. Nelle FAQ poi viene spiegato poi da dove derivano i costi per questi software che inizialmente vengono definiti gratuiti. I costi sono basati sulla comodità di trovare tutti questi software in un unico elenco e su un servizio di supporto clienti garantito 24 ore al giorno per 7 giorni la settimana per tutto il tempo dell’abbonamento. Comunque è improbabile che i visitatori di questo sito vadano a leggersi anche le FAQs.

 

Cliccando su “download now” l’utente viene dirottato su un form di login di FreeDownloadZone.com dove vengono richiesti i dati personali e quelli della carta di credito. Una volta inseriti i dati l’utente è ormai caduto in trappola ed è contrattualmente obbligato a pagare 19.50 euro per un anno di abbonamento o 35.94 euro per tre anni. Senza contare che questa stessa pagina contiene ulteriori piccole notazioni che producono costi aggiuntivi e che vengono selezionate in automatico nelle operazioni di conferma. Così da 35.94 si arriva facilmente e senza accorgersi fino a 81.58 euro di spesa.

Le trappole di questo tipo non sono certo una novità, ma questo tipo di attacco è particolarmente pericoloso proprio perché basato su in indirizzo web autenticamente operativo. Questo indirizzo web poi non è l’unico che usa questo tipo di trappola. Trucchi simili sono impiegati dai criminali anche con altri software gratuiti come Open Office, Firefox, iTunes, programmi di grafica Gimp, Quicktime), client peer-to-peer (LimeWire, eDonkey), torrent (BitTorrent) e ora anche con software antivirus.

L’identità di chi attualmente gestisce questo sito è ancora segreta. Non sono presenti inoltre chiare condizioni legali e le domande inerenti le modalità per usufruire del servizio rimandano a un service dei Paesi Bassi e ad ulteriori coperture. L’avviso posto in calce alla pagina, inoltre, dimostra il nuovo livello qualitativo raggiunto da queste trappole: questa clausola, infatti, dovrebbe mettere i truffatori al riparo da qualsivoglia conseguenza legale.

Che succede se si cade in trappola?

Per prima cosa bisogna rimanere calmi e riflettere sul da farsi. Non bisogna pagare denaro se si è caduti vittima di siffatta trappola. E non bisogna agitarsi preoccupandosi di collezionare eventuali segnalazioni di debito ai circuiti ufficiali delle carte di credito.

Se si sono inseriti i dati della propria carta di credito in form online di questo tipo bisogna immediatamente bloccare la propria carta di credito. Soltanto in questo modo è possibile tutelarsi nei confronti di ulteriori abusi e possibili danni finanziari.