Panda Antivirus: nuova versione compatibile con Vista

Panda software ha recentemente rilasciato una versione della sua Internet Security Suite 2007 pienamente compatibile con Windows Vista.
La nuova versione gira comunque anche su Windows XP e include un modulo backup che consente di effettuare in maniera automatizzata il salvataggio dei dati utente.
E’ incluso inoltre un “coupon” gratuito di due mesi per l’utilizzo di un servizio di backup online (per il quale è necessario un apposito installer da scaricare) dello spazio di 1 GB.
E’ stata migliorata la parte anti-rootkit basandosi sul sistema signature-based e sull’analisi del comportamento del software usando il sistema Panda TruPrevent.
Il filtro di navigazione inoltre ora oltre a bloccare siti di phishing dovrebbe impedire l’accesso a siti che tentino in qualche modo di installare malware sul computer dell’utente.
Gli utenti delle precedenti versioni di Panda Internet Security Suite 2007 possono scaricare dal sito web la nuova versione ed utilizzare la license key attuale.

Annuncio del rilascio della nuova release, sul sito di Panda Software

Skype: nuovo worm in circolazione

Ultimamente il registro del vostro Skype si è popolato una marea di chiamate non risposte? Forse allora dovreste pensare ad una scansione completa del vostro sistema.
Ironia a parte, ultimamente stando alle rilevazioni di F-Secure, un worm per piattaforma Windows, Pykse (IM-Worm:W32/Pykse.A), farebbe in modo di impostare lo stato di un client Skype in “Non disturbare”, in maniera che un utente non riceva più chiamate in entrata, ma unicamente avvisi di mancata risposta.
Il comportamento del worm non si limita solo a questo, il virus infatti invia un messaggio a tutti i propri contatti online contenente un link che invita a scaricare il malware. Quanto il programma viene lanciato compare l’immagine di “una donna in abiti succinti” (che fantasia! n.d.r.).
Dopo aver infettato il computer, Pykse contatta vari siti web aggiornando un contatore che tiene conto del numero di infezioni.
A parte manipolare i settaggi Skype, il malware non sembra provocare danni veri e propri e nemmeno di scansionare dati sensibili (username, password, etc.). F-Secure non ha dato indicazioni circa il potenziale numero di infezioni.
Già in dicembre avevamo assistito alla diffusione di un worm per Skype che tentava di scovare le passwords dell’utente.

LINK:
Report sul worm, dal blog di F-Secure

Photo Album.zip: un po' di chiarimenti

Controllando le statistiche di accesso a Securnetwork mi sono accorto di come ultimamente la pagina più visitata sia quella di qualche giorno fa relativa al post sul virus “Photo Album.zip” che circola in Msn Messenger.
Andando a vedere le pagine di provenienza, mailing list e forum, mi è capitato di vedere riportate alcune inesattezze: forse chi ha letto in queste pagine non l’ha fatto attentamente.
Ecco qui alcuni chiarimenti:
– il virus non è legato ad un contatto msn particolare… vedi per esempio il contatto dadecarlo@hotmail.it che sembra essere stato preso come “fonte primaria” di diffusione virus. Il messaggio con l’invito a scaricare lo zip vi arriva da un qualunque contatto sia stato infettato dal virus e non da uno in particolare.
– visto che personalmente non ho scaricato lo zip, mi affido a quanto riportato dal sito C.I.S.R.T. del quale ho elencato ben tre post riguardanti il virus… forse qualcuno non si è preso la briga di andare a leggere. all’interno del file .zip pare ci siano un file .pif che è il virus vero e proprio.
Il virus non lo si prende semplicemente cliccando sullo zip.
– non avendo preso il virus fortunatamente non mi sono trovato nella situazione di doverlo rimuovere, rispondo quindi anche a coloro che mi hanno contattato via mail, che la procedura di rimozione più esauriente che ho trovato è questa.
Anche qui avevo segnalato il link nei commenti ma forse qualcuno non ci ha prestato attenzione. Unica cosa da dire è che la procedura chiaramente fa riferimento ad una particolare variante… quindi può benissimo essere che abbia bisogno di qualche aggiustamento o passaggio in più o in meno a seconda della variante in cui si può essere incappati. Se avete altre procedure di rimozioni chiare da segnalarmi fatelo pure, sarò ben lieto di pubblicarlo all’interno del post.

Spero sia tutto… per altri chiarimenti potete tranquillamente contattarmi… ma almeno questa volta fatelo dopo aver letto attentamente 😉

UPDATE 22/04/2007:
Consultate la guida su p2pforum:
http://www.p2pforum.it/forum/showthread.php?t=174815
In particolare scaricate il tool MSNFIX, semplice da usare visto che dal 20 aprile è disponibile anche in inglese!
Spero sia tutto!

Skype Keylogger?

Dopo la recente reinstallazione ho messo come soluzione di sicurezza all-in-one KIS acronimo per Kaspersky Internet Security.
Non starò qui a tessere nuovamente le lodi di Kaspersky come prodotto antivirus, secondo me il top attualmente sul mercato, ma segnalo un interessante comportamento del sistema di “Difesa proattiva”.
Nelle intenzioni questa funzionalità dovrebbe consentire di bloccare e segnalare i comportamenti sospetti da parte di alcuni software che potrebbero rivelarsi virus o malware non ancora scoperti e/o classificati.
Se da un lato questa funzionalità sembra essere decisamente utile (almeno sulla carta) per “blindare” ulteriormente il proprio sistema, i commenti che si leggono a riguardo su Internet non sono certo dei più entusiasti.
Detto questo segnalo appunto un caso di falso positivo.
Nella fattispecie Skype viene segnalato come ipotetico Keylogger

Skype segnalato come keylogger da Kaspersky Internet Security

Tutto ok… nulla di cui preoccuparsi anche se di certo Skype non è da classificare come uno di quei “software” dal comportamento chiaro e pulito.
Su un topic nel forum ufficiale del sito Kaspesky si trova una lista di tutti i software non malware che il sistema di difesa proattiva segnala come virus/badware.
Link: Kaspersky Proactive Defense “White List”

Live Messenger virus: photo album.zip

Stamattina mi è successa una cosa alquanto singolare.
Ricevo un messaggio da uno dei miei contatti Msn che mi invita a scaricare un ipotetico album di foto zippato.
Il testo però che lo precede è chiaramente in inglese…
Lmfao hey im sending my new photo album, Some bare funny pictures!"
al che subito la cosa mi puzza.
Ecco lo screenshot

Virus via MSN Messenger Live Backdoor.Win32.IRCBot.aaq

Morale della favola il virus in questione è Backdoor.Win32.IRCBot.aaq, Kaspersky lo classifica con questo nome.
I primi a darne notizia sono i cinesi in ben tre post, dove riportano a distanza di qualche giorno il manifestarsi di nuove varianti:
POST del 26 Marzo 2007 su C.I.R.S.T.
POST del 27 Marzo 2007 su C.I.R.S.T.
POST del 3 Aprile 2007 su C.I.R.S.T.

Il testo che compare nel messaggio msn può variare, i piu’ frequenti sono questi:
* Lmfao hey im sending my new photo album, Some bare funny pictures!
* lol my sister wants me to send you this photo album
* Hey i been doing photo album! Should see em loL! accept please mate :)
* HEY lol i've done a new photo album !:) Second ill find file and send you it.
* Hey wanna see my new photo album?
* looooooooooooooooooooooooooooooooooooooo!! :p
* OMG just accept please its only my photo album!!
* Hey accept my photo album, Nice new pics of me and my friends and stuff and when i was young lol...
* Hey just finished new photo album! :) might be a few nudes ;) lol...
* hey you got a photo album? anyways heres my new photo album :) accept k?
* hey man accept my new photo album.. :( made it for yah, been doing picture story of my life lol..

A quanto pare il virus non è riconosciuto da tutti gli antivirus… non per il momento ancora, anche se la situazione è un po’ migliorata dal momento della sua prima comparsa.

Code injection per Internet Explorer

Nel blog di sicurezza di McAfee è stat riportata una vulnerabilità per Internet Explorer 6 e 7 funzionante su un sistema Windows XP SP2 regolarmente aggiornato.
Questo problema consente ad un attaccante di iniettare codice malevole nel sistema di un utente attraverso mails o pagine web appositamente preparate.
Manipolando i file dei cursori animati (.ani) è possibile eseguire codice iniettato in un sistema in maniera completamente silenziosa, senza per esempio, causare il crash del browser.

Inizialmente i ricercatori McAfee hanno scoperto il proof of concept su una messagge board, e di là a poco è comparso il primo esempio di codice malevole.
McAfee lo identifica come Exploit-ANIfile.c, TrendMicro come TROJ_ANICMOO.AX.
Stando alla descrizione McAfee una volta che l’exploit è all’interno del sistema, consente il caricamento di altro software malware.
Nonostante apparentemente questo tipo di exploit non sia molto diffuso, sicuramente molti virus writers sfrutteranno la falla per generare nuovi exploits.
Il malware è particolarmente subdolo in quanto non causa nemmeno il crash del browser: in questo modo un utente è completamente ignaro di essere sotto attacco.
McAfee sta ancora esaminando la vulnerabilità.
Poichè una vera soluzione non è ancora stata trovata il consiglio è quello di utilizzare browser alternativi come Opera o Firefox, almeno fino a quando Microsoft non rilascierà una patch.
Poichè McAfee ha identificato come altro metodo d’attacco le emails, per gli utenti di Outlook e Outlook Express vale il classico suggerimento di aprire le email in formato testo e non HTML.
Microsoft non ha ancora confermato il problema e non è chiaro quando McAfee abbia avvisato la casa di Redmond del problema.
Un problema di sicurezza simile era già stato patchato agli inizi del 2005.

ALTRI RIFERIMENTI:
* Unpatched Drive-By Exploit Found On The Web, security advisory in McAfee’s blog
* Exploit-ANIfile.c, McAfee’s exploit description

Anatomia di un trojan

SecurWorks ha pubblicato una interessantissima analisi di un trojan per Windows.
Il trojan analizzato è in grado di leggere connessioni SSL, e l’analisi mostra anche come vengano sfruttati i dati catturati dal malware.
Il Trojan si connette alle funzioni Winsock2, riuscendo così a monitorare il traffico dati anche se questo viene poi criptato con SSL per essere trasmesso in rete.
I nomi con cui è comparso sono molteplici: Agent.AVV, Small.BS e Ursnif.AG e a quanto pare sembra sfrutti una falla di Internet Explorer per compromettere un computer.
SecurWorks ha stimato che la variante da loro analizzato ha infettato per lo meno 5.200 postazioni e raccolto informazioni di all’incirca 10.000 accounts.
Ecco qui il link, buona lettura!

Analisi SecurWorks: GOZI TROJAN

Spyware Terminator 1.8.4.965

Spyware Terminator è un software gratuito, facile da usare che consente di proteggere in tempo reale e rimuovere spyware, adware, keylogger, trojan horses, browsers hijackers e altri tipi di malware.
Il tool è dotato di un motore di scansione real-time che consente di essere protetti costantemente e della comoda funzionalità di aggiornamento automatico che consente di sempre avere le ultime definizioni installate.
Gli spyware individuati possono naturalmente essere eliminati direttamente o conservati in “quarantena”.
Il tool è scaricabile direttamente dal sito del produttore: HOME PAGE.

Spyware Terminator 1.8.4.965 Screenshot

Microsoft One-Care fallisce i test antivirus

Microsoft Live OneCare si è piazzato ultimo in un test di qualità sulle suite antivirus effettuato da ricercatori austriaci.
AV Comparatives ha messo a confronto 17 pacchetti di sicurezza per vedere come si comportavano nel riconoscere circa mezzo milione tra virus e malware. Il vincitore è risultato essere G Data Security AntivirusKit (AVK) con una percentuale di fallimento di 0.55%. Una versione completamente aggiornata di OneCare ha invece mancato ben 17.6% del malware (86.600 su 497.600).

F-Secure, Kaspersky Labs, Avira e AEC hanno ottenuto il risultato Advanced+ piazzandosi nei tests poco dietro a G Data.
Symantec Norton Antivirus ha riconosciuto il 96.8% delle minaccie ottenendo il riconoscimento Advanced, mentre McAfee VirusScan riconoscendo solo il 91.6% ha ottenuto l’etichetta Standard.
OneCare non è stato “valutato”, segno questo che chiaramente è molto al di sotto della media di rilevamento standard.

La sfida di Symantec: Norton 360

Symantec ha da poco svelato il suo software all-in-one Norton 360: si tratta di una suite di sicurezza destinata al mercato consumer che ha le caratteristiche di anti-virus, anti-spyware, firewall, intrusion detection, anti-phishing, backup e system tune-up. Il tutto in un unico prodotto.
Lo scopo è chiaramente quello di rivaleggiare e se possibile “far fuori” McAfee Total Protection e Microsoft OneCare.

Il vendor ha comunicato che l’utente potrà navigare su Internet dormendo sonni tranquilli, non dovendosi preoccupare di virus o malware di alcun tipo, e nemmeno del sempre crescente fenomeno del phishing.
La suite è stata pensata e progettata per essere il più semplice possibile, garantendo un grado elevato di automatizzazione dei vari tasks. Inoltre la scansione avviene in background e impatta in maniera molto limitata sulle performances del sistema.