martedì 26 marzo 2013

Trojan.Yontoo.1, un nuovo programma nocivo per i Mac

Fonte: http://www.freedrweb.com/show/?i=3389&c=19&lng=it

Doctor Web — produttore del software antivirale Dr.Web — avverte che dall’inizio di quest’anno emergono sempre più programmi adware progettati per i computer Mac OS X. Una di tali applicazioni malevole è Trojan.Yontoo.1, un downloader che installa sul Mac infetto un’estensione per i browser più popolari finalizzata alla visualizzazione di pubblicità.


Il team di Doctor Web ha osservato che dall’inizio 2013 sono apparse molteplici applicazioni malevole di pubblicità progettate per diverse piattaforme, compresa Mac OS X. Utilizzando queste applicazioni, i malintenzionati possono guadagnare aderendo a “programmi di affiliazione” di network pubblicitari. Di giorno in giorno cresce il loro interesse verso gli utenti dei computer Apple. Di conseguenza, i pirati informatici creano programmi che possono girare sotto Mac OS X, tra cui si segnala Trojan.Yontoo.1 scoperto di recente.

Questo trojan si intrufola sul computer vittima in diversi modi. In particolare, ai fini di diffondere l’applicazione, i malintenzionati creano pagine web di annuncio di film che visualizzano un messaggio, mascherato da un avviso di sistema, comprendente una proposta di installare un plugin per il browser. In realtà, questo messaggio è solo un’imitazione di una vera barra di un browser che informa l’utente di un’estensione disponibile. Così la vittima viene ingannata e, una volta cliccato il pulsante “Install the plug-in”, il browser viene reindirizzato su un sito malevolo da cui si scarica l’applicazione conosciuta dai programmi Dr.Web come Trojan.Yontoo.1. 




I malintenzionati hanno inventato più metodi di propagazione di questa minaccia. Per esempio, la vittima potrebbe scaricarla sotto forma di un lettore multimediale, un programma di miglioramento di qualità video o un acceleratore di download ecc.

Una volta avviato, Trojan.Yontoo.1 visualizza una finestra di dialogo che propone all’utente di installare l’applicazione Free Twit Tube. 





Se l’utente fa clic sul pulsante “Continue”, invece del programma descritto nella finestra di dialogo, si scarica e si installa il plugin Yontoo ideato per i browser più usati dai proprietari dei computer Mac OS X, quali Safari, Chrome e Firefox. Questo plugin trasmette a un server remoto le informazioni sulle pagine web visitate dall’utente. Le informazioni si trasmettono in modalità di background appena l’utente ha aperto una pagina nel browser. 



Per risposta, l’estensione Yontoo riceve dal server remoto dei malintenzionati un file speciale che consente di incorporare diversi moduli pubblicitari nelle pagine web visitate dall’utente. L’immagine sottostante è un esempio di come il browser visualizza il sito apple.com su un computer infetto. 



Tali estensioni per browser vengono identificate dal software antivirale Dr.Web come Adware.Plugin. Va notato che gli stessi metodi di propagazione di questa minaccia vengono utilizzati dai pirati informatici anche per infettare computer Windows.
Pubblicato da alle Nessun commento:

Il Mac non ha bisogno di sicurezza informatica: leggenda metropolitana?

C'è un equivoco diffuso nel mercato informatico tradizionale, ovvero che i Mac di Apple siano macchine più sicure di quelle Windows. In effetti, alcuni irriducibili amanti di Apple credono che non esistano minacce di virus per Mac e che nessun software di protezione del sistema sia essenziale. Ma quanto è vera questa convinzione?





La nostra esperienza nel settore della sicurezza informatica ci mostra che i Mac non sono immuni da malware e virus. Le macchine Windows costituiscono circa il 90% dei PC in tutto il mondo e ovviamente gli autori di malware bersagliano con maggiore intensità Windows. Lo sviluppo del malware richiede notevoli risorse e tempo per cui è inevitabile che una piattaforma che viene utilizzata di più sarà anche quella più bersagliata. Sfortunatamente, un piccolo numero di utenti Mac ha portato alla falsa credenza che i Mac sono completamente sicuri e invincibili.

Mac diventa mainstream: inevitabilmente arrivano i Malware

Negli ultimi anni diversi casi di malware su Mac sono stati scoperti. La scoperta più importante è il malware Flashback che ha infettato più di mezzo milione di Mac in tutto il mondo grazie ad un buco di sicurezza di Java. Inoltre, Forrester Research sostiene che vi è stato un aumento del 52% del numero di Mac nel 2012. Questo aumento di utilizzo non è solo limitato a utenti privati, ma anche aziende ed istituzioni di governo hanno adottato i prodotti Apple.

La crescita della quota di mercato di Mac in tutto il mondo ha portato alla consapevolezza che esistono minacce alla sicurezza anche per questa piattaforma. Inoltre, gli autori di malware hanno capito che sviluppare malware per Mac non è inutile e può rendere bene. Naturalmente, più i Mac saranno usati, più aumenteranno gli utenti bersaglio di trovate di social engineering e di minacce malware.

Apple rilascia “Gatekeeper”, ma le abitudini degli utenti rimangono 

Per molti anni, Apple ha diffuso come punto di forza l'idea che i Mac siano più sicuri dei PC. Tuttavia, ora che il numero di utenti Mac è aumentato nel corso degli anni, Apple ha cambiato musica. Ora Apple incorpora una funzionalità nota come Gatekeeper in Mac OS X Lion Mountain che regola le fonti da cui un utente Mac può installare applicazioni. Ciò implica che anche Apple ha realizzato l'importanza della sicurezza sulla loro piattaforma.




È importante sottolineare che la maggior parte delle minacce alla sicurezza si verifica a causa di negligenza da parte dell'utente e delle abitudini in materia di documenti dannosi, siti web, unità USB, download torrent e allegati e-mail. Apple rilascia patch di sicurezza di tanto in tanto, ma un sacco di utenti trascura queste cose in quanto sono convinti che le sole patch possano proteggerli. Alcuni utenti rimangono addirittura alle vecchie versioni del sistema operativo a causa di limitazioni di hardware, ma così hanno il solo risultato di aumentare la loro vulnerabilità.

Abbattere il mito dell’invulnerabilità dei Mac 

La verità è che Mac OS X è meno attaccato dagli hacker perché non è così diffuso come Windows, non perché più sicuro. Nel caso del phishing, la vulnerabilità ricade generalmente sull'utente e non sulla macchina. Perfino l'iTunes App Store non è sicura. E se pensavate che il browser, Safari, fosse più sicuro di Internet Explorer allora vi stavate sbagliando. Già nel 2009, sono state trovate 94 minacce in Safari rispetto alle 41 in IE. Dati del 2012 mostrano che circa 1 Mac su 5 ha almeno un ceppo malware. Inoltre, circa 1 Mac su 36 ha gravi problemi di malware. 





È stato anche detto che la sicurezza Mac è 10 anni dietro quella di Windows. Questo è comprensibile in quanto la sicurezza di Windows è stata funzionale per molti anni e conosce bene codici malware e programmi. Apple ha bisogno di lavorare per migliorare il riconoscimento di codici malware e anche i cicli di aggiornamento. 

Il punto di fondo è che se sei il proprietario di un Apple Mac, allora avete bisogno di iniziare a prendere più sul serio la sicurezza web. Per troppo tempo c’è stata l’opinione diffusa che i Mac sono invincibili e immuni da minacce alla sicurezza, ma questo mito si è lentamente rotto. Così si è disposti a credere a questa laggenda o no?
Pubblicato da alle Nessun commento:

lunedì 25 marzo 2013

Cavalli di troia Trojan.Hosts infettano 8000 computer al giorno

Fonte: http://news.drweb.com/?i=3373&c=5&lng=ru&p=0 

Doctor Web — sviluppatore russo dei programmi antivirus Dr.Web — informa gli utenti di una massiccia diffusione dei cavalli di troia dalla famiglia Trojan.Hosts. Negli ultimi mesi, moltissime pagine di Internet sono state compromesse dai malintenzionati ai fini di propagare questi trojan la cui presenza sui computer è diventata quasi un’epidemia. Il numero maggiore di casi di infezione è stato tra gennaio e metà febbraio quando ogni giorno venivano infettati circa 9500 computer. A marzo i cavalli di troia Trojan.Hosts infettano circa 8000 computer al giorno 


Per violare siti web, i malintenzionati utilizzano il protocollo FTP e accedono alle risorse avvalendosi di login e password rubati in precedenza. Su un sito web compromesso viene caricato un interprete di comandi (shell) tramite il quale viene modificato il file .htacess e nel sito viene incorporato uno script malevolo.

Se l’utente cerca di aprire nel browser tale sito infetto, lo script malevolo gli fa vedere una pagina web contenente collegamenti ipertestuali a diverse applicazioni maligne. In tempi recenti anche i cavalli di troia della famiglia Trojan.Hosts si propagano in questo modo.

Va notato che i trojan di questa famiglia vengono diffusi dai malintenzionati non solo mediante siti web compromessi. Esistono alcuni programmi di affiliazione che pagano ai partecipanti ricompensi per lo sfruttamento delle vittime dei trojan “Hosts”. Pertanto, questi trojan possono arrivare sui computer anche in altri modi, per esempio tramite backdoor e downloader di malware.

Ricordiamo ai nostri lettori che lo scopo principale dei cavalli di troia Trojan.Hosts è modificare il file “hosts” che si trova nella cartella di sistema Windows e si occupa della risoluzione dei nomi host negli indirizzi IP. Quando l’utente di tale computer infetto cerca di visitare una risorsa di rete popolare, l’indirizzo di rete originario viene sostituito con uno falsificato e quindi il browser viene reindirizzato a una pagina web creata dai pirati informatici.

Nei primi mesi dell’anno 2013, questa minaccia si propagava in maniera quasi epidemica. Tra gennaio e metà febbraio la velocità di propagazione era maggiore e raggiungeva 9500 casi di infezione al giorno. All’inizio di marzo, il numero si è ridotto alquanto, per esempio, l’11 marzo sono stati registrati 7658 casi di infezione. (la quantità viene conteggiata sulla base dei file “hosts” modificati dal trojan sui computer compromessi).

Il seguente diagramma mostra la velocità di propagazione della minaccia Trojan.Hosts nel periodo tra la fine dell’anno 2012 e l’inizio dell’anno 2013.




Il software Dr.Web è in grado di rimuovere dal sistema la maggior parte delle varianti conosciute di Trojan.Hosts. Oltretutto, i prodotti Dr.Web dall’ottava versione prevedono una protezione speciale del file “hosts” che impedisce modifiche non autorizzate. Questa funzione può essere impostata nella sezione Strumenti → Impostazioni → Protezione preventiva → Livello di proibizione delle azioni sospette → Personalizzato. Le impostazioni possono essere modificate in modalità di amministratore. Di default, la funzione che blocca modifiche non autorizzate del file “hosts” è attiva.

Inoltre, gli indirizzi IP dei siti web compromessi vengono inseriti prontamente nei database di Dr.Web, perciò l’accesso a tali siti viene impedito dal componente Dr.Web SpIDer Gate. Se sul vostro computer l’antivirus ha bloccato l’accesso a qualche risorsa web popolare o nota, vi consigliamo di eseguire una scansione dei dischi rigidi alla ricerca di malware.

Se non utilizzate una protezione continua assicurata dall’antivirus Dr.Web e il vostro computer è stato compromesso dal trojan “Hosts”, vi consigliamo di eseguire una scansione completa del computer tramite l’utility gratuita Dr.Web CureIt! e, se necessario, di modificare i contenuti del file Windows\System32\Drivers\etc\hosts rimovendone tutti i record estranei.
Pubblicato da alle Nessun commento:

venerdì 15 marzo 2013

Un encoder attacca computer in Spagna e Francia

Fonte: http://news.drweb.com/?i=3379&c=5&lng=ru&p=0

Doctor Web — produttore russo di software antivirale — informa della massiccia diffusione in Europa dell’encoder Trojan.ArchiveLock. Sempre più computer degli utenti francesi e spagnoli vengono infettati da una versione di questo malware, nominata Trojan.ArchiveLock.20. 


Doctor Web ha scritto dell’encoder Trojan.ArchiveLock nello agosto scorso. Questo malware rende i file di utente inaccessibili cifrandoli mediante il programma di archiviazione WinRAR. Per insediare il trojan su un computer bersaglio, i malintenzionati cercano di accedere al computer remoto tramite il protocollo RDP utilizzando il metodo “forza bruta”. Una volta riusciti ad entrare sul computer attaccato, i criminali ci avviano Trojan.ArchiveLock.20 il quale mette l’applicazione di cifratura in una delle cartelle di sistema.

Di seguito Trojan.ArchiveLock.20 genera un elenco dei file da codificare, dopo di che ripulisce il Cestino ed elimina le copie backup memorizzate sul computer. Utilizzando l’applicazione console WinRAR, l’encoder comprime i file di utente in archivi autoestraenti protetti da password e distrugge i dati originari tramite un’utility speciale. In seguito a queste azioni, diventa impossibile recuperare i file rimossi.

La password che protegge gli archivi può essere lunga di più di cinquanta caratteri. Compiuta la cifratura dei file, Trojan.ArchiveLock.20 visualizza sullo schermo del computer vittima un avviso in cui i malintenzionati pretendono che una somma di 5000 USD venga pagata dall’utente. L’avviso promette l’invio della password necessaria per estrarre i file dagli archivi contro il versamento di questa somma e consiglia all’utente di contattare il falso “supporto tecnico” a uno dei seguenti indirizzi di posta elettronica:
  • sec777999@gmail.com, 
  • sec222555@gmail.com, 
  • sec333888@gmail.com, 
  • sec333888@gmail.com, 
  • ausec222999@gmail.com, 
  • sec777999@gmail.com, 
  • casec222777@gmail.com, 
  • auidhelp@gmail.com, 
  • sec777999@gmail.com, 
  • sec222555@gmail.com, 
  • sec333888@gmail.com, 
  • ausec222999@gmail.com, 
  • casec222777@gmail.com, 
  • auidhelp@gmail.com, 
  • usidhelp2@gmail.com, 
  • frsechelp@gmail.com, 
  • spainsec1@gmail.com, 
  • spainsec2@gmail.com. 


Il trojan ha già infettato computer di molti utenti in Spagna e Francia. Solo nelle ultime quarantotto ore, il servizio di supporto tecnico di Doctor Web ha ricevuto diverse decine di richieste di assistenza dagli utenti i cui file sono stati cifrati da Trojan.ArchiveLock.20, e tali richieste continuano ad arrivare. Sebbene i malintenzionati dichiarino nell’avviso di ricatto che non sia possibile trovare la password di accesso agli archivi perché per la cifratura si usa il metodo di hash shal, in realtà in molti casi i file possono essere decifrati e ripristinati. Doctor Web ha scritto di questa possibilità sempre ad agosto 2012. 

Doctor Web consiglia agli utenti i cui computer sono stati attaccati da Trojan.ArchiveLock.20 di non rimuovere alcun file dal disco rigido e non reinstallare il sistema operativo. Gli utenti possono invece rivolgersi al supporto tecnico di Doctor Web creando una Richiesta di cura nel sistema elettronico di assistenza. Il servizio di decifratura dei file tenuti in ostaggio dal trojan è gratuito.
Pubblicato da alle Nessun commento:

Come evitare che vengano fatti accidentalmente acquisti in-app sui vostri smartphone?


Acquisti in-app accidentali possono causare bollette enormi per i vostri smartphone. Tuttavia, la funzionalità può essere facilmente disattivata. 

Inutile dire che applicazioni “gratis” in Google Play o iTunes Store sono sempre preferite rispetto alle loro omologhe “a pagamento”. Tuttavia, queste applicazioni funzionano con un modello “freemium” per generare entrate. Sì, avete letto bene, niente è in realtà “gratis”!

L’applicazione può essere gratis, ma vari add-on saranno offerti come acquisti in-app. Per esempio questi potrebbero essere video sbloccabili, livelli di un gioco molto coinvolgente o aggiornamenti. Fino a quando è un adulto ad usare lo smartphone tutto ok, ma quando ce l’ha in mano un bambino possono arrivare bollette da capogiro!!

Per risolvere questo problema ci sono due passi da fare: in primo luogo, disattivate gli acquisti in-app. In secondo luogo, non lasciate sul vostro smartphone password e/o informazioni per accedere ai vostri servizi finanziari.

Approfondiamo il primo punto. La procedura riportata di seguito illustra come gli acquisti di in-app possano essere disattivati per Android e iOS di Apple:

Google Android 

Si ricorda che per la procedura descritta di seguito è necessario disporre di Google versione 3.1 o successiva riproduzione:

Per limitare l'acquisto di in-app per i dispositivi Android: 
1) Aprite Google Play. 
2) Premete il pulsante Menu.
3) Cliccate Impostazioni.
4) Sotto Controlli Utente, selezionate l'opzione Imposta o Cambia PIN. Cliccate qui e Android ti chiederà un codice PIN.
5) Inserite un codice PIN e cliccate OK.
6) Immettete nuovamente il PIN per confermare.
7) Spuntante la casella Usa PIN per gli acquisti.

Con questa operazione chiunque richieda l'accesso al tuo smartphone per fare un acquisto in-app dovrà conoscere il PIN. 



Apple iOS 

La piattaforma iOS consente di impostare una password per acquisti in-app o disattivarli del tutto. È possibile evitare che le applicazioni vengano installate o eliminate e limitare l’accesso a seconda dell’età.

Per limitare acquisti in-app per i dispositivi iOS:
1) Cliccate Impostazioni.
2) Poi Generale.
3) Restrizioni.
4) Selezionate Abilita limitazioni.
5) Inserite un codice PIN.
6) Confermate il codice PIN.
7) Scorrete fino alla fine della pagina e selezionate Off accanto a acquisti in-app.

Il secondo punto è un po’ più complicato. Se avete un bambino che è bravo con la tecnologia, come la maggior parte dei bambini oggigiorno, si deve fare in modo che non ci siano il codice PIN, password, dati della carta di credito, ecc memorizzati sul vostro smartphone. Questi sono modi semplici, ma efficaci per limitare acquisti in-app.

Fonte: http://blogs.quickheal.com/wp/how-to-avoid-accidental-in-app-purchases-by-kids-on-your-smartphone/
Pubblicato da alle Nessun commento:
Iscriviti a: Post (Atom)