malware | Rev0lut1on 2.0 of my mind engine

Feb 2 2009

Google in tilt per 55 minuti in tutto il mondo per un semplice errore umano. Considerazioni sul ruolo di Google e di StopBadware.org

Sabato 31 Gennaio 2008, per la prima volta, Google ha commesso un piccolo semplice errore che ha coinvolto le ricerche sul web di tutto il mondo per ben 55 minuti: una eternità, considerando che Google gestisce oltre il 70% delle ricerche in rete con un database di oltre 8 miliardi di pagine web indicizzate, e considerando anche che per molti Google è sinonimo unico di motore di ricerca, nomina che si è guadagnato nel tempo grazie alla sua efficienza nelle ricercare le informazioni. Ho ripescato apposta questa definizione di Zeus News sul motore di ricerca più famoso al mondo risalente al 2005, che fa comprendere quanto è importante Google per tutti noi:

“Google è il più grande motore di ricerca del Web ma è anche una potenza economica, uno dei marchi più conosciuti, una forma culturale universale che rappresenta per la nostra generazione della Galassia Internet quello che può aver rappresentato l’Encyclopédie di Diderot per l’Illuminismo.”

Dopo questa altisonante affermazione, capirete come 55 minuti di black-out informativo possano incidere molto sul buon nome della società di Mountain View (qui le spiegazioni di Google e qui di StopBadware.org). E poco importa che Google non sia l’unico motore di ricerca, che esistano alternative forse altrettanto efficaci o comunque certamente in grado di sostituirlo per un breve periodo. Come, infatti, afferma Punto Informatico, questo episodio è stato

… capace di segnalare gli straordinari imbambolamenti di una generazione che senza Google si ritrova improvvisamente perduta.

La mia esperienza

Personalmente, verso le 15:45 mi è capitato di vedere questo messaggio di errore: ero a casa di mio fratello quando mi ha chiamato segnalandomi il problema con qualsiasi ricerca effettuasse, sia dal proprio Macbook che dall’iPod Touch. Dopo qualche attimo di confusione, in cui ho pensato a qualche problema di Google (idea subito scartata perché così esteso era assai improbabile), abbiamo così pensato ad un problema con il modem. Il caso ha voluto che dopo averlo spento e riacceso il problema non si era più ripresentato, relegando il problema ad una curiosa anomalia di Google ma circoscritta al nostro indirizzo ip dinamico. E’ stato solo il giorno dopo che ho letto che il problema aveva una portata planetaria e ho cominciato a riflettere sul fatto che anche io ero stato incredulo sul fatto che un tale problema potesse accadere in tutto il mondo e che potesse coinvolgere addirittura Google!

Il problema

C’è, però, chi si rasserena pensando che i danni potevano essere ben più gravi se non fosse stato un sabato quando la maggior parte degli uffici erano chiusi (sulla costa Pacifica e in Asia, per esempio, per via del fuso orario, le reazioni sono state meno evidenti). Ma il bello è che Google apparentemente funzionava come tutti gli altri giorni, ma, nel periodo di interruzione, quando gli utenti tentavano di eseguire una qualsiasi ricerca, in Italia e nel resto del mondo, tutti i risultati venivano indicati come potenzialmente dannosi. E se anche si decideva di proseguire comunque, l’utente veniva indirizzato ad una pagina che lo invitata a riprovare in un secondo momento perché il sito poteva presentare dei malware dannosi per il computer, impedendo di fatto di aprire il sito in questione. L’unico modo per raggiungere la pagina desiderata era quello di copiare manualmente l’url sulla barra degli indirizzi del browser o, più banalmente, aprendo il motore di ricerca concorrente Yahoo! (sarebbe interessante valutare il suo picco di accessi in quella pazza ora).

Il ruolo di Stopbadware.org è legittimo?

A questo punto verrebbe spontaneo chiedersi se tutti noi siamo Google-Dipendenti e se il ruolo di StopBadware.org, una iniziativa no-profit di due centri universitari per lo studio di Internet (Harvard e Oxford) e di una associazione di consumatori americana per combattere il “Badware” (ovvero l’insieme di Spyware, Malware e Adware), sia legittima. Già nel 2006, in un mio articolo, mi chiesi se era giusto dare a Google la possibilità di filtrare i siti che lui riteneva pericolosi e fonte di malware. E la domanda risulta oggi più che mai attuale dopo gli avvenimenti dello scorso Gennaio, considerando anche il fatto che la maggior parte dei malware e virus contenuti in quei siti agiscono sui sistemi Windows, mentre chi naviga con Linux o Mac OS X non soffre di questi problemi.

Una fama di efficienza assoluta distrutta in soli 55 minuti

E se anni di onorato ininterrotto servizio grazie alle eccezionale ridondanze dei datacenter di Mountain View hanno contribuito a fornire a Google un alone di fama epica, un semplice errore umano di un dipendente di Google (magari insonnolito dato che in California erano le 6 del mattino) che ha digitato uno “\” (backslash, che dovrebbe stare ad indicare tutti i siti internet) di troppo nella lista di siti internet da bannare (che solitamente viene inserita a mano), ha contribuito a ricordare a tutto il mondo che noi siamo dipendenti da Google e che senza saremmo, almeno momentaneamente, persi (dato che le alternative, molto spesso non sono altrettanto efficienti nelle serp, confermando di fatto la nostra google-dipendenza a livello planetario)!

55 minuti (in realtà secondo Google il tempo effettivo era di 40 minuti dato che il back-out non è stato continuo), duranti i quali un’ondata di sconforto, di confusione e, in rari casi, anche di panico, sui blog della rete ha attraversato l’Atlantico ed è arrivata in Europa. E i navigatori, con l’ausilio di tutti i social network che la rete poteva mettere loro a disposizione (tra i servizi di microblogging twitter è stato il re incontrastato), si sono scambiati milioni di messaggi preoccupati (più volte aleggiavano teorie cospiratorie alla stregua di questa) e opinioni. Quella che era la porta di accesso alla rete per antonomasia era diventata improvvisamente inutile, aprendo uno scenario inimmaginabile per chi usa internet: un mondo senza Google!

Tag:badware, Google, malware, spyware, twitt, virus

11 comments

Mar 29 2008

Dati alla mano… la tranquillità e la stabilità di un Mac… non hanno prezzo!

Posted by Antonio Troise

Apple Vs Windows Questa settimana mi sono reso conto di quanto tempo ho risparmiato semplicemente usando un sistema Mac piuttosto che uno Windows. E non lo dico per partito preso (non sono un mac addicted) ma conti alla mano è quello che risulta dalla mia esperienza.
Proprio l’altro ieri, infatti, ho dovuto porre rimedio ad un pesante e improvviso rallentamento delle prestazioni del mio PC Windows. Così, dopo aver ripulito il sistema operativo da tutti i file temporanei e dalla cache di sistema (15 minuti), ho eseguito la deframmentazione di entrambi gli hard disk SATA da 500 GB l’uno: operazione che è durata ben 8 ore (era un po’ di tempo che non la facevo)!

Quindi, vedendo che le prestazioni non miglioravano come speravo, sono dovuto passare ad uno scan approfondito del sistema alla ricerca di intrusi malevoli, alla fine indentificati in 2 virus, qualche trojan e vari malware tutti residenti sotto la cache di Internet Explorer 7 (che peraltro uso pochissimo quindi non capisco come vi siano capitati). Operazione che ha avuto una durata di quasi 4 ore di tempo!

Purtroppo, nonostante questa pulizia, il mio fido AVG Free ogni tanto segnalava la comparsa di un qualche virus in agguato e prontamente bloccato che, comunque, rendeva il sistema molto lento e instabile. Dopo aver fatto qualche ricerca su internet per trovare la soluzione definitiva e provato qualche tool di rimozione malware, ho cominciato ad intuire che, probabilmente c’era qualcosa di latente e instabile nel sistema e forse l’unica soluzione possibile (e fors’anche la più veloce) era applicare la classica regola conosciuta da tutti gli utenti di PC da quando sono nati: formatta tutto e reinstalla Windows!

Ovviamente, come al solito, questa è la classica soluzione temporanea, che comunque riesce a mantenere efficiente e scattante il mio sistema operativo per almeno 3-4 mesi. Purtroppo questa operazione non è indolore e tra backup dei dati, reinstallazione completa di Windows e ripristino completo di tutti gli applicativi, impiegherà, ad essere del tutto ottimistici, almeno 2 giorni (che, guarda caso, capitano giusto nel weekend).

Quindi, ricapitolando, 8 ore + 4 ore + 48 ore. Almeno 60 ore di indisponibilità del sistema e di tempo perso a risolvere i problemi che affliggevano il mio povero PC e che magari con un MAC avrei impiegato sicuramente meglio. Su un Mac infatti abbiamo:

Niente virus, malware o trojan.
Niente frammentazione del disco.
Niente tempo perso a ripulire i file temporanei e di cache del sistema operativo.
Backup automatico dei dati con Time Machine.

Per parafrasare la nota pubblicità della carta di credito, oserei affermare che:

Deframmentare il disco: 8 ORE!

Ripulire il PC da virus e malware: 4 ORE!

Reinstallare Windows e ripristinare tutte le applicazioni: 48 ORE.

Abbandonare Windows per passare queste 60 ore felicemente, navigando in tutta tranquillità su Internet o magari, semplicemente, facendo una bella passeggiata al sole: NON HA PREZZO!

Per tutto il resto c’è Mac OS X Leopard!

UPDATE: Nei commenti, giustamente, è stato dato risalto anche alla stabilità e sicurezza di Linux, proponendolo come una valida alternativa a Windows e Linux. Indubbiamente è così ma non era questo il punto in cui verteva questo articolo: l’obiettivo era far capire che con un PC Windows devo perdere parecchie ore (che magari avrei potuto usare per fare altro) per configurarlo con “un po’ di sale in zucca” e, inevitabilmente, dopo un po’ di tempo, doverlo risistemare perché, anche senza virus, Windows rallenta sempre se vi installi molte applicazioni (sono almeno 10 anni che lo uso e la cosa non è mai cambiata) e una bella reinstallazione sistema tutto. Su Linux, è vero che è più sicuro e stabile, ma devo comunque perdere tempo per configurare tutti i driver corretti, la giusta scheda video, etc. Ho usato Ubuntu per 6 mesi su un portatile ma era sempre una gara per chi l’aveva vinta. Certamente era affascinante spuntarla alla fine, ma quanto tempo ho dovuto perderci sopra? Ricordo quando ho dovuto configurare il wi-fi con il WPA2. Ci ho perso una settimana sopra per configurarlo come volevo io: su un Mac ci ho messo 2 minuti. Non ricordo di aver mai perso troppo tempo in configurazioni di sistema su un Mac.

Allo stato attuale il Mac è l’unica soluzione, certo forse costosa, è innegabile, che permette di avere un sistema sicuro, stabile e che non ti fa perdere tempo in arcane configurazioni. Linux, attualmente, è una soluzione a basso costo che permette di avere una sistema stabile e sicuro, ma di certo la sua corretta configurazione, a volte, per particolari esigenze, non è alla portata di tutti. Windows è invece un sistema ibrido: inizialmente stabile, di certo non sicuro e molto user friendly nella configurazione.

Quello che volevo dire nel post, era che con un Mac posso passare il weekend a fare altro, magari anche spegnendolo e fare una passeggiata al sole, perché lo userei solo per fare quello che mi piace mentre su Windows sono costretto a fare tuning molto spesso. Linux, peraltro molto sicuro e stabile, ci devi perdere molto tempo sopra per la sua configurazione, che spesso cambia da distribuzione a distribuzione.

Tag:antivirus, backup, mac, Mac os x, malware, pc, trojan, virus, Windows

18 comments

Gen 7 2008

Norton Antivirus per Mac Os X 10.5 Leopard: chi avrà il coraggio di installarlo?

Posted by Antonio Troise

Virus per Mac Se qualche mese fa scrissi che, a volte, poteva essere utile installare un antivirus (ovviamente free) su sistemi operativi Linux, questa volta non mi trovo daccordo sulla possibilità di installare Norton Antivirus su un Mac. Infatti, nonostante recentemente Symantec abbia annunciato la versione 11 di Norton Antivirus compatibile con Leopard, credo che sia un errore acquistare questo software per il proprio Mac.

Quando usavo Norton su Windows notavo, rispetto a tanti altri antivirus free e non, un rallentamento generale del sistema; quando poi, si decideva di disinstallarlo, la maggior parte si rischiava di dover reinstallare Windows nuovamente! Certo, questi incidenti sono accaduti qualche release fa e forse oggi è meno invasivo, ma di quel che sono certo è che, a tutt’oggi, Norton, è molto esigente dal punto di vista di risorse di sistema. Recentemente ho anche avuto l’ebbrezza di usare un PC che aveva Norton Antivirus e devo dire è stata una esperienza davvero frustrante!
Navigando un po’ su Internet ho trovato in effetti, anche diverse persone che avevano problemi durante la disinstallazione di Norton Antivirus dal proprio Mac.

I motivi per installare un antivirus su Mac

Virus: Mac e PC La mia domanda quindi è: perchè appesantire il proprio agile sistema Mac se, anche senza Norton, si possono dormire sonni tranquilli sia dal punto di vista della stabilità del sistema operativo che dal punto di vista della sicurezza? Ma, soprattutto, per qualche motivo bisognerebbe installare un antivirus su un Mac?

Quel che è certo è che virus nati appositamente per il mondo Mac, hanno pochissima speranza di uscire vincitori, proprio per la struttura intrinseca del sistema operativo di un Mac, poiché alla base ha un core Unix e quindi tutto il gioco di permessi e diritti, lo mettono a ripari (a meno di gravi distrazioni dell’utente tali da regalare diritti amministrativi) da operazioni che vadano ad intaccare i file di sistema. Purtroppo, però, lo stesso non si può dire dei documenti presenti sul proprio Mac specie per per quelli multipiattaforma, che possono, almeno teoricamente, essere portatori di malware che poi si renderebbero attivi al passaggio su Windows.

I motivi, però, per installare un antivirus su Mac possono essere tanti e tutto dipende dall’uso che si fa del proprio personal computer. Quello che possono fare antivirus come quello della Symantec è di rilevare anche, e soprattutto, i virus per Pc, effettuando lo scan e la rimozione di virus da file downloadati dal web, scaricati tramite e-mail o scambiati tramite applicazioni di instant messaging. In tal modo si impedisce la trasmissione da Mac a Windows di malware.
Un altro motivo potrebbe essere l’installazione di Windows su piattaforme emulate come Parallels o Vmware Fusion oppure, forse anche più pericoloso, con Boot Camp. Infatti, chi è solito usare soluzioni virtualizzate, deve assolutamente installare un antivirus per Windows e, se non vuole che eventuali malware possano intaccare anche i propri documenti, anche sul proprio Mac. Inoltre, il mio consiglio è quello di non lasciare mai attive la condivisione automatica in scrittura, ma di abilitarla solo quando serve: infatti, in questa maniera, un virus avrebbe un bel ponte per passare da un sistema operativo all’altro.

Se invece usate Windows con Boot Camp, allora il pericolo potrebbe venire dalla condivisione dello stesso hard disk; infatti potrebbero esistere particolari virus che, anche se non potrebbero cancellare i file di Mac OS X (perché il volume è formattato con un file system HFS, illeggibile da Windows) potrebbero benissimo corrompere la tabella delle partizioni; il problema potrebbe essere anche più serio se su Windows viene installato un software come Macdrive 7 che permetterebbe con notevole semplicità la lettura dei file system per Mac. Nulla vieta, ovviamente, che in futuro possano nascere virus multipiattaforma Windows+Mac.

Per chi fosse realmente interessato, quindi, deve sapere che Norton Antivirus 11 per Mac, comprensivo di anno di abbonamento agli aggiornamenti antivirus, costa 49,95$. Tra le novità si segnala un nuovo sistema per la protezione da attacchi che passano da applicazioni connesse ad Internet, una nuova interfaccia e prestazioni superiori alle precedenti release. Inoltre, Norton Antivirus può essere guidato anche attraverso il terminale, dando agli utenti più esperti un potente strumento che permette di aggirare completamente l’interfaccia.

Le solide fondamenta di un sistema operativo con core unix

Security for Mac OS X Qualcuno asserisce che, se Apple aumenterà considerevolmente la sua quota di mercato o comunque diventerà più popolare, i pirati informatici potrebbero incrementare i loro sforzi per creare applicazioni malicius in grado di mettere in crisi la sicurezza del Mac OS X.
Peccato che a sostenere quella che ad alcuni può sembrare un’eresia è proprio la Symantec che, in un rapporto, ha affermato come la percepita invulnerabilità del sistema operativo di Apple sia destinata ad essere presto messa in discussione da un crescente numero di cyberattacchi e virus.
A questa tesi si affiancano anche coloro che pensano, che, visto che molti creatori di virus e hackers agiscono per gloria e per il proprio ego, non dovrebbe essere un grosso incentivo riuscire a creare un virus devastante per OS X, Linux o FreeBSD?

Se un sistema operativo ha fondamenta poco solide, tutti gli strati sovrastanti ne soffriranno. Questo è quello che succede a Microsoft oggi, e la situazione in cui verteva Apple alla fine del secolo scorso.
OS X è stato sviluppato da BSD e NeXT, costruito su basi che hanno oltre 20 anni, con il codice del sistema di base liberamente disponibile via download, ed ancora non si sono trovati virus devastanti per Mac OS X. Questo non è dovuto alle quote di mercato, ne a scarsa attenzione verso OS X da parte di virus writers e hackers, quanto piuttosto al codice ed agli sviluppi di OS X.
Questo non significa ovviamente che OS X è invulnerabile, ma solo che le fondamenta sono solide, così come lo sono anche quelle di Linux e quelle di tutti i sistemi operativi derivati da Unix.

In effetti, la piaga dei virus che assilla gli utenti Windows è anche uno dei motivi per i quali si sta aprendo una ricca opportunità di crescita nella nicchia del Mac: sempre più utenti Windows stufi di spyware, dialer e altre cose del genere fanno “switch” e passano a quella che pare una piattaforma-paradiso dal loro punto di vista: MacOsX.

Purtroppo, per molti, il senso di sicurezza di molti utenti Mac non basta e se non si vuole correre il rischio fare la figura dell’untore, ovvero, quello che propaga negli allegati della posta elettronica virus per Windows, il mio consiglio, allora, è di installarvi una soluzione gratuita ma potente come ClamXav, che è lo stesso antivirus in dotazione con Mac OS X Server. Infatti, il malware per Windows non funziona su Mac, ma se i file compromessi che arrivano per esempio attraverso una email vengono forwardati a un altro utente Pc, il Mac assume il ruolo di “untore”, di portatore sano dell’infezione.

Se volete approfondire l’argomento, qui troverete una tabella comparativa dei più importanti software antivirus per Mac (mancano all’appello, però, Sophos e McAfee).

I malware per Mac

Di primi virus per Mac e poi smentiti, se ne ricordano pochi. Tra questi OSX/Leap.A o OSX/Oomp, oppure Mac/Amphimix-A il primo Trojan MP3 o il recente OSX.Exploit.Meta.Data.B.

Intanto, però, gli utenti Mac si possono crogiolare sulle cifre che fornisce Apple:

Alla fine del 2005, si calcolavano 114.000 virus noti per PC. Nel solo marzo 2006, sono state individuate 850 nuove minacce per Windows. E zero per Mac. Benché nessun computer connesso a Internet sia immune al 100% dagli attacchi, Mac OS X ha aiutato i Mac a mantenere un ottimo stato di salute grazie alle superiori fondamenta UNIX e alle funzionalità dedicate alla sicurezza che vanno ben oltre quelle adottate per i PC. Quando acquistate un Mac, solo il vostro entusiasmo sarà contagioso

Tag:antivirus, Apple, leopard, Linux, mac, Mac os x, malware, virus, Windows

5 comments

Nov 13 2007

Typosquatting: la tecnica di registrazione domini con nome simile a società famose

Posted by Antonio Troise

Il typosquatting è quella tecnica, il più delle volte illecita, connessa al mondo di internet che consiste nel registrare un nome di dominio, molto simile a quello utilizzato da un’altra società famosa, con un duplice obiettivo: intercettare una parte del traffico indirizzato al sito ufficiale e intercettare il maggior numero possibile di e-mail, inviate a indirizzi della società presa di mira e di cui hanno emulato, con qualche errore ortografico, il suo brand.

Spesso gli utenti commettono un errore digitando l’indirizzo internet di un sito Web, es. www.virgolio.it al posto di www.virgilio.it (sulla tastiera la “o” è vicina alla “i”) o altri errori, come può essere, omettere delle lettere; se il nome di dominio del typosquatter è sufficientemente simile (si parla di typodomini), si hanno buone possibilità di intercettare questo tipo di traffico che viene, così, “autodirottato“.
Il “pirata”, in questo modo, può veicolare messaggi pubblicitari o proporre prodotti e servizi, forniti da società concorrenti o complementari alla società-vittima. Il segreto di questa tattica risiede nella capacità di individuare un indirizzo di typosquatting, basato sugli errori di digitazione più frequentemente commessi dagli utenti. Quante volte infatti capita di digitare, al posto di google.com, gogle.com o foogle.com? Il typosquatting, quindi, è la pratica diffusa di comprare domini che mettono insieme i più frequenti errori di digitazione.

Come si guadagna col Typosquatting:

Typosquatting money Recentemente McAfee ha deciso di occuparsi del typosquatting, rivelandone numeri, motivi e incidenza e classificandolo come sorta di evoluzione del cybersquatting. La principale fonte di introiti di questi siti sembra essere costituita dalla pubblicità pay-per-click: gli annunci vengono generati da parole chiave correlate a nomi di prodotti ortograficamente errati. La redditività della quasi-omografia abusiva è significativa solo se si considera un vasto portafoglio di domini, ma clic dopo clic può portare a guadagni importanti.

Una delle ragioni principali risiede nelle procedure automatiche di registrazione, che finiscono per favorire il proliferare di questi siti civetta. Da non sottovalutare inoltre il cosiddetto tasting, che è quella prassi che permette di registrare un nome di dominio per un periodo di prova di cinque giorni, senza l’obbligo delle tasse di iscrizione, e di parcheggiarlo. Sembra quindi che, nella catena dei siti abusivi, spunta il ruolo, delicato e cruciale, delle società di parcheggio di domini, che fungono da intermediari tra i titolari dei siti e le piattaforme di pubblicazione pubblicitaria.

I dati di McAfee

Typosquatting Secondo le stime dell’Organizzazione mondiale per la proprietà intellettuale i casi sono aumentati del 20 per cento nel 2005 e del 25 per cento nel 2006 e le previsioni per il futuro sono ancora più esplosive. Per esempio, secondo Microsoft in un giorno vengono mediamente registrati 2000 nomi che assomigliano a Microsoft. Le categorie più colpite sono cinque: i siti di videogiochi, i siti delle compagnie aeree, i siti di media tradizionali, i siti per adulti e quelli dedicati alle tecnologie. Nello studio McAfee sono stati presi in esame 1,9 milioni di variazioni ortografiche di 2771 siti e dall’analisi sono emersa molte informazioni: I cinque paesi più esposti agli abusi del cyberspazio sono il Regno Unito (7,7%), il Portogallo (6,5%), la Spagna (5,9%), la Francia (5,4%) e l’Italia (4,1%). Mentre i meno esposti sono i Paesi Bassi (1,5%), Israele (1,1%), Danimarca (1,0%), Brasile (0,9%) e Finlandia (0,1%). In generale il 7,2 per cento delle “sviste” sono volute e costituiscono un illecito.

Un esempio recente

Risale al Giugno 2007 un duplice attacco di tipo Typosquatting & Malware sulla rete italiana. Infatti, sfruttando questa tecnica tutti i siti fraudolenti hanno portato gli utenti ignari su una stessa pagina che proponeva link e immagini allettanti per indurli a scaricare un malware pericoloso. Nel complesso sono stati più di mille i domini usati per l’attacco.

Le soluzioni

Allo stato attuale, poche o quasi nulle, sono le forme tecniche di tutela per far fronte a questo nuovo illecito. L’errore di battitura è sempre possibile e poco controllabile, chiunque, anche chi padroneggia l’uso del PC, in maniera professionale, può cadere nell’errore e, quindi, trovarsi in situazioni che vanno dall’entrata in siti Internet “sbagliati” o, peggio ancora, trovarsi a spedire email, anche molto personali, ad indirizzi di posta simili, ma che nulla hanno a che fare con l’indirizzo desiderato. Da un punto di vista teorico, l’unica soluzione possibile sarebbe quella di stare molto attenti quando si digita sulla tastiera un sito Internet o un indirizzo email.

Il problema è che, al typosquatting e ai typodomini non vengono attribuiti i giusti pesi, specie giuridici. Infatti, se è illegale registrare un marchio simile ad un brand famoso (come, per esempio, Koca Cola) per evitare che il consumatore venga tratto in inganno da somiglianze nel nome, perché mai dovrebbe essere consentito fare lo stesso con i nomi dei domini?

Tag:domini, Internet, malware, typosquatting

5 comments

Giu 22 2007

Le zone del registro di configurazione di Windows più usate dai malware

Posted by Antonio Troise

Ecco una statistica davvero originale realizzata dalla famosa società produttrice di antivirus F-Secure: quali sono le chiavi del registro di configurazione di Windows maggiormente prese di mira da worm, trojan, backdoor e virus per garantirsi l’esecuzione ad ogni avvio del sistema.

Il risultato è la classifica che è possibile leggere sul weblog della società e che è visibile qui sotto:

Le zone del registro di configurazione di Windows più usate dai malware

Come era facilmente prevedibile, il 39,8% dei malware usa la chiave “Run” della “Local Machine” (HKLM\Software\Microsoft\Windows\CurrentVersion\Run) per partire allo startup di Windows, mentre il 17,3% usa la “Service” (HKLM\System\CurrentControlSet\Services), ovvero quella chiave usata dai processi che vanno in esecuzione come servizi. Solo il 9,9%, invece, usa la chiave “Run” dell’utente attualmente loggato sul sistema (HKCU\Software\Microsoft\Windows\CurrentVersion\Run).

In percentuali molto minori, seguono le zone del Registro di Configurazione di Windows, delle operazioni schedulate condivise (SharedTaskScheduler), la BHO, la Userinit, Explorer, il Winlogon e la Shell.

[via megalab]

Tag:antivirus, backdoor, malware, trojan, virus, worm

1 comment

Mar 29 2007

Tips: L’antivirus Trend Micro e i file che cambiano nome ad ogni riavvio di Windows

Posted by Antonio Troise

Trend Micro Dog Chi usa l’antivirus della Trend Micro, forse non si sarà accorto che nella cartella c:\windows\temp è possibile trovare l’icona di un buffo cagnolino che corre che è associata ad un file eseguibile con uno strano nome del tipo: LLC492.exe, JZD42.exe, YCADC7.exe …
Addirittura, se si riavvia Windows, il nome del file cambia in maniera del tutto casuale ma sempre mantenendo la forma criptica che lo caratterizzava. Se lo si prova a cancellare, questo viene comunque ricreato al successivo riavvio di Windows. Le sue dimensioni sono dell’ordine dei 170 KB e sono sempre variabili.
Quando lo scoprii pensai subito ad un malware o ad uno spyware, dato che i nomi randomici che cambiano ad ogni riavvio del sistema operativo (come per camuffarsi), sono tipici di questi deliziosi ospiti! Stranamente, però, nessuna strana chiave del “Run” era presente nel Registro di Configurazione. Quindi ho fatto girare (inutilmente) lo Strumento di rimozione malware per Microsoft Windows, l’ultima release di AdAware della Lavasoft e HijackThis. Ma dopo che tutti questi tool non rilevavano alcuno spyware, ho iniziato a girare per i forum per capire di cosa si trattasse.
Finalmente sul forum di Suspectfile mi hanno dato conferma di quanto avevo letto qui: non è altro che un file temporaneo di Trend Micro OfficeScan (e pare anche di Trend PC Cillin) e che viene salvata sempre nella directory c:\windows\temp e non è assolutamente pericoloso!
Certo che gli sviluppatori della Trend hanno avuto una bella fantasia a creare un file eseguibile con un iconcina del genere (forse uno Watch Dog, da qui l’origine del cane) e con un nome che cambia ad ogni riavvio, visto che è facilmente confondibile con un malware/spyware. Qualcuno ipotizza che magari è un modo per confondere i virus creati per colpire gli antivirus: se cambia sempre nome è difficile localizzarlo! E in effetti qui ho trovato la risposta, che traduco:

Il file è il servizio di Watchdog anti-hacking dell’OfficeScan della Trend Micro; questo servizio di Watchdog monitora continuamente il servizio client di OfficeScan: se vede che questo processo viene improvvisamente terminato da un attacco hacker o da un virus, è in grado di restartare il servizio. La modalità anti-hack propria di questo Watchdog prevede che debba avere un nome randomico in grado di prevenire eventuali virus o altre minacce che possano facilmente identificare il servizio e terminarlo.

Tag:adware, antivirus, malware, spyware, virus

2 comments

Dic 13 2006

DNS in ginocchio in tutta Italia: è la verità?

Posted by Antonio Troise

Ha iniziato ieri sera il TG5 sbrodolando termini come Malware, Adware, Spyware e poi oggi ho letto l’articolo su Repubblica: In ginocchio l’internet italiana tutta colpa dei virus sui computer.
Io personalmente non ho di questi problemi, ma pare che mezza Italia non riesca a navigare. Già qualche giorno fa Davide, da quel di Trieste, mi aveva segnalato di non riuscire a raggiungere, con una connessione Alice ADSL, il suo sito e nemmeno il mio. All’inizio, siccome entrambi i siti risiedono su ~~UpsHost~~ BlooWeb, pensavo fosse un problema di allineamento dei DNS che non avevano ancora propagato l’IP su certi server. Ma pare, invece, che forse questo è un problema comune a molti, visto che sembrano essere utenti di molti diversi provider.
Su Repubblica leggo:

la causa è un’epidemia di malware, spyware e adware che sta colpendo i server Dns di tutti gli operatori”, dicono da Telecom Italia.
Tradotto: molti utenti hanno computer infetti da file cattivi, parenti dei virus informatici: spyware e adware, appunto. File che generano traffico all’insaputa degli stessi utenti, aprendo connessioni con altri computer, inviando e-mail. Lo fanno di solito a scopi di marketing, per monitorare le abitudini di navigazione degli utenti o per inondarli di pubblicità. In questo moto, intasano con un surplus di richieste i server Dns degli operatori.
I Dns sono come le rubriche telefoniche del web. I computer le consultano ogni volta che l’utente digita l’indirizzo di un sito web su un browser o usa un altro servizio internet basato su un nome a dominio, come la posta elettronica. I Dns danno al computer la direzione giusta per raggiungere il computer che può fornire quel servizio, in base al nome a dominio digitato.
Ma se ci sono troppi computer che vogliono consultare queste rubriche, perché manipolati da spyware e adware, è ovvio che il traffico sul web diventa come sulle autostrade durante l’esodo di agosto: a rilento, a passo d’uomo o proprio bloccato.
[…]
E’ il quarto giorno che l’Adsl è collassata. Per mandare un e-mail occorrono 20 tentativi e tutto il resto è fermo come un sasso. Il problema interessa un intero Paese e perfino le banche hanno problemi con le linee dati

Io sono scettico sul motivo: penso che se il problema esiste, la causa non possono essere solamente i Malware, Adware e Spyware: sono sempre esistiti e non credo che ora siano prolificati in tal misura da mettere in ginocchio i server DNS. Che sia in corso un qualche tipo di attacco distribuito DDoS?
Voi che ne pensate? Quale potrebbe essere la causa? Avete anche voi questi problemi? Mi farebbe piacere avere una vostra versione dei fatti.

Ma ecco come Repubblica ci dice di risolvere il problema, affacciandosi alla grande sul mondo dell’Opensource:

Eppure la soluzione è a portata di mano: basta riconfigurare le opzioni Dns sul proprio computer. Facile, anche se l’utente comune non lo sa. Su Windows, bisogna cliccare su Start/Impostazioni/Pannello di Controllo e poi entrare in Connessioni di rete. Qui cliccare con il tasto destro sul nome della connessione in uso, poi su Proprietà (dal menu che appare) e, nella nuova finestra, selezionare Protocollo Internet (TCP/IP) e clic su Proprietà. Il consiglio è attivare l’opzione Utilizza i seguenti indirizzi server DNS. A questo punto si possono usare gli Open Dns (http://www.opendns.com). A differenza degli altri Dns, quelli Open non sono gestiti da nessun operatore in particolare ma sono distribuiti sul territorio e hanno anche funzioni aggiuntive: avvisano se l’utente è finito su un sito-truffa. Per usare gli Open Dns bisogna compilare quei campi con questi numeri: 208.67.222.222 (DNS primario) e 208.67.220.220 (DNS secondario). Così ci si emancipa dai problemi che a periodi possono colpire i Dns italiani.

Infine, il consiglio è di fare una scansione con software antispyware gratuiti (per esempio Adaware). Serve a ripulire il proprio computer dall’eventuale presenza di quei file cattivi e accertarsi così di non essere parte in causa del problema che sta paralizzando l’Internet italiana.

Il problema è così sentito che Telecom, ha istituito un numero, il 19122, che fornisce soluzioni tecniche adeguate, che poi sono sempre le stesse: un buon antivirus, da lanciare di tanto in tanto, giusto perfare un po’ di pulizia.
Inoltre suggeriscono anche di utilizzare i seguenti server DNS: primario 151.99.125.1 e secondario 151.99.0.100.

Tag:adware, email, malware, server_dns, spyware, virus

6 comments

Nov 12 2006

Google e StopBadware

Posted by Antonio Troise

A volte, quando si clicca su un link di una ricerca di Google (in termine tecnico si chiamano SERP: Search Engines Results Page“), può capitare di imbattersi in un messaggio del tipo:

“Attenzione – il sito al quale stai per accedere potrebbe contenere software dannoso per il tuo computer!
Per maggiori informazioni sui malware e su come proteggere il tuo computer, consulta il sito StopBadware.org.
Consulenza offerta da Google”

Ho cercato delle informazioni in merito e sembra che StopBadware.org sia una iniziativa no-profit di due centri universitari per lo studio di Internet (Harvard e Oxford) e di una associazione di consumatori americana per combattere il “Badware” (ovvero l’insieme di Spyware, Malware e Adware).
Gli sponsor dell’iniziativa sono Google, Sun e Lenovo. E’ qui, quindi, che interviene il motore di ricerca più famoso al mondo: è giusto che Google prenda l’iniziativa di filtrare a priori siti che considera fonte di Badware? Forse si, ma solo se i siti segnalati sono effettivamente fonte di Badware. Per chi volesse verificare il sito StopBadware.org ha messo a disposizione una lista completa di tutti i 405 siti bannati e sui quali Google vi fa continuamente riferimento.

Tag:adware, badware, malware, motore-di-ricerca

3 comments