Sicurezza & Insicurezza

Alcune Definizioni Worm: Virus: Un worm è una particolare categoria di malware in grado di autoreplicarsi. È simile ad un virus, ma a differenza di questo non necessita di legarsi ad altri files eseguibili per diffondersi. Frequentemente un worm funge da veicolo per l'installazione automatica su nuove macchine di altri malware, come per esempio backdoor o Keylogger, che potranno poi essere sfruttati da un malintenzionato cracker o addirittura da un altro worm. Virus: Particolare software, appartenente alla categoria dei malware, in grado, una volta eseguito, di infettare dei file in modo da riprodursi facendo copie di se stesso, senza farsi rilevare dall'utente. I virus possono essere più o meno dannosi per il sistema operativo che li ospita, ma anche nel caso migliore comportano un certo spreco di risorse in termini di RAM, CPU e spazio sul disco fisso

TASSI DICRESCITA E DIFFUSIONE DEI VIRUS DAL 2004 2005

I 10 virus più diffusi nel 2005 Nel 2005 una mail su 44 in media conteneva un codice virale. Questa cifra è salita a dodici durante le emergenze più serie, mentre sono stati identificati 15.907 nuovi codici malevoli. I dieci virus più diffusi dell’anno sono stati

I 10 virus più diffusi nel 2005 ANALIZZIAMO OGNUNA DELLE 10 MAGGIORI MINACCE DEL 2005

1 W32/Zafi-D AZIONE RIMOZIONE Si copia nella cartella di sistema di Windows nominandosi:” Norton Update.exe.“ Si installa nel registro di sistema. Genera nella cartella di sistema di Windows una serie di files con nomi casuali di 8 caratteri di estensione .dll. Alcuni di questi Files sono l’esatta copia del Worm, mentre altri la copia compressa del W32/Zafi-D, Infine usa la rubrica degli indirizzi mail presenti nel pc per replicarsi e diffondersi. Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 è disponibile un tool di rimozione: ZAFIGUI

2 W32/Netsky-P Si copia nella cartella di sistema di Windows AZIONE RIMOZIONE Si copia nella cartella di sistema di Windows in diverse cartelle del sistema operativo Infine usa la rubrica degli indirizzi mail presenti nel pc per replicarsi e diffondersi. Di norma le mail infette riportano alcune caratteristiche comuni come: Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 è disponibile un tool di rimozione:NTSKYGUI Il seguente oggetto: Re: Re: Re: Encrypted Mail Re: Extended Mail Re: Status Re: Notify Re: SMTP Server Re: Mail Server Re: Delivery Server Re: Bad Request Re: Failure Re: Thank you for delivery Re: Test Re: Administration … Allegato diestensione: EXE SCR PIF ZIP

3 W32/Sober-Z AZIONE RIMOZIONE Si diffonde attraverso mail includendo come allegato file presi a caso sull’hard drive. Si installa nel registro di sistema Scarica il codice da internet Si riporta l’esempio di un messaggio di posta Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 è disponibile un tool di rimozione:NTSKYGUI Allegati tipo: Kandidat.zip WWM.zip Auslosung.zip Casting.zip Gewinn.zip Info.zip RTL-Admin.zip RTl.zip Webmaster.zip RTL-TV.zip

4 W32/Sober-N AZIONE RIMOZIONE Usa la rubrica degli indirizzi mail presenti nel pc per replicarsi e diffondersi. Disattiva la protezione dell’antivirus. Si riporta l’esempio di un messaggio di posta Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 è disponibile un tool di rimozione: emergency copy of SAV32CLI

5 W32/Zafi-B Si copia nella cartella di sistema di Windows AZIONE RIMOZIONE Si copia nella cartella di sistema di Windows nominandosi in modo casuale prendendo come estensione .exe Testa a presenza della connessione ad internet aspettando che l’utente si connetta al sito della microsoft o a quello di google. Cerca gli indirizzi di posta elettronica sul pc e li immagazzina in liste con estensione .dll nella cartella di sistema di windows. Si copia all’infinito allegandosi come attachement agli indirizzi di posta elettronica. Fa una copia di se stesso nella cartella di p2p di windows nominandosi :'WINAMP 7.0 FULL_INSTALL.EXE' o 'TOTAL COMMANDER 7.0 FULL_INSTALL.EXE' Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 è disponibile u tool di rimozione:NTSKYGUI

6 W32/Mytob-BE AZIONE RIMOZIONE Oltre ad essere un worm è anche un cavallo di troia ovvero una backdoor controllata in remoto tramite la rete IRC. Disattiva l’antivirus. Modifica la data del pc. Si diffonde mediante posta elettronica ma sfrutta anche la vulnerabilità LSASS Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 è necessario: installare l’aggiornamento MS04-011 al fine di eliminare ola vulnerabilità LSASS E’ disponibile on line un tool di rimozione: denominato FixMytob.exe

7 W32/Mytob-AS AZIONE RIMOZIONE Oltre ad essere un worm è anche un cavallo di troia ovvero una backdoor Disattiva l’antivirus. Scarica il codice da internet. Si diffonde mediante posta elettronica ma sfrutta anche la vulnerabilità LSASS Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 è necessario: installare l’aggiornamento MS04-011 al fine di eliminare ola vulnerabilità LSASS E’ disponibile on line un tool di rimozione: denominato FixMytob.exe

8 W32/Netsky-D W32/Netsky.c@MM AZIONE RIMOZIONE Usa la rubrica degli indirizzi mail presenti nel pc per replicarsi e diffondersi. Possiede diversi Alias: W32/Netsky.c@MM I-Worm.NetSky.d Win32/Netsky.D WORM_NETSKY.D Di norma le mail infette riportano alcune caratteristiche comuni come: Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 disponibile on line il tooll: NTSKYGUI Il seguente oggetto: Re: Approved Re: Details Re: Document Re: Excel file Re: Hello Re: Here Re: Here is the document Re: Hi Re: My details …… Il seguente allegato: all_document.pif application.pif document.pif document_4351.pif document_excel.pif document_full.pif document_word.pif message_details.pif message_part2.pif mp3music.pif my_details.pif ……

Email-Worm.Win32.Doombot.b 9 W32/Mytob-GH AZIONE RIMOZIONE Oltre ad essere un worm è anche un cavallo di troia ovvero una backdoor Disattiva l’antivirus. Alias: Email-Worm.Win32.Doombot.b W32/Mytob.NA@mm W32/Mytob.gh@MM Il messaggio di posta ha le seguenti caratteristiche: Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 è disponibile u tool di rimozione:NTSKYGUI allegato: readme.zip document.zip account-info.zip email-details.zip account-details.zip

10 W32/Mytob-EP AZIONE RIMOZIONE Oltre ad essere un worm è anche un cavallo di troia ovvero una backdoor controllata in remoto tramite la rete IRC. Disattiva l’antivirus.pc. Si diffonde mediante posta elettronica ma sfrutta anche la vulnerabilità LSASS Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 disponibile on line il tooll: NTSKYGUI

TENERE AGGIORNATO TUTTI I SOFTWARE DEL PC

UTILIZZARE UN SOFTWARE ANTIVIRUS

Scansioni on line http://housecall.trendmicro.com/

Scansioni on line http://www3.ca.com/securityadvisor/virusinfo/scan.aspx

Scansioni on line http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=ie&venid=sym

Scansioni on line http://www.pandasoftware.com/products/activescan.htm

Alcuni Antispyware Spybot XPAnti Spy Ad-Aware

Spamming

Spam & Antispam Lo spamming consiste nell'invio di messaggi pubblicitari di posta elettronica (SPAM) che non siano stati in alcun modo sollecitati. Cosa e' lo SPAM ? Perche' e' chi riceve che paga: Il provider paga le infrastrutture che vengono abusate, il cliente paga il tempo per scaricare, paga il tempo per leggere esaminare e cancellare quello che quasi sempre sono messaggi che non ha richiesto. Oggi gli spammers hanno iniziato ad utilizzare i servers altrui per la distribuzione del proprio spam. Perche' e' male ?

Spam & Antispam Come fa uno spammer ad avere il vostro indirizzo? Gli spammer usano programmi automatici, i cosiddetti spambot, per esplorare l'intera Rete ed estrarre dalle pagine Web, dai messaggi nei forum e nei newsgroup qualsiasi cosa che somigli a un indirizzo di e-mail. Questa sorta di pesca è brutale ma efficace nel racimolare milioni di indirizzi, compreso il vostro.

Spam & Antispam La celebre “truffa nigeriana” consiste in una lettera in inglese in cui una persona che non conoscete chiede cortesemente il vostro aiuto per sbloccare una enorme cifra di denaro di provenienza discutibile e vi propone di dividere gli utili

Spam & Antispam Come si previene lo spam Non mettete il vostro indirizzo nel vostro sito Se partecipate ai forum o ai newsgroup, non indicate il vostro indirizzo di posta nei messaggi Non rispondete MAI allo spam, né per protestare, né per "dis-iscrivervi" Se proprio dovete mettere il vostro indirizzo in una pagina Web, mettetelo sotto forma di immagine grafica Date il vostro indirizzo soltanto alle persone strettamente indispensabili, avvisandoli di non darlo a nessuno senza il vostro consenso Non immettete il vostro indirizzo nel browser Non date il vostro indirizzo ai siti che ve lo chiedono, a meno che abbiano una reputazione cristallina Scegliete un nome utente lungo almeno dieci caratteri Usate e fate usare SEMPRE la "copia carbone nascosta" Usate programmi di posta che non visualizzano automaticamente la grafica o che almeno permettono di disattivare questa visualizzazione

Spam & Antispam Softaware anti spam Spamihilator 0.9.9.9 SpamEater Pro v4.0.5

Dialer

Dialer & Antidialer un programma che altera i parametri della vostra connessione a Internet, cambiandone soprattutto il numero telefonico e sostituendolo con un numero a pagamento maggiorato su prefissi come il costosissimo o prefissi internazionali Cosa è un dialer ? Perche' e' male ? Se il programma si comportasse onestamente, dichiarando in modo non ambiguo quanto costa il servizio, il meccanismo sarebbe perfettamente accettabile Purtroppo la maggior parte dei dialer è confezionata in modo ingannevole.

Dialer & Antidialer Chi vende i dialer? New Dial spa (www.newdial.com), Perugia. Uno dei suoi dialer è considerato virus dal Norton Antivirus Il suo sito è una schermata senza indicazioni di indirizzi o altri modi per contattare l'azienda. Occorre consultare le Pagine Gialle per trovarne le coordinate: NEW DIAL S.P.A., 06100 Perugia (PG) - Via Campo di Marte 13, tel: 075 5000195. Carpediem (www.carpediem.fr)/Montorgueil (Parigi). I suoi dialer si adattano a più nazioni, Italia compresa, e per il mercato italiano sembra fare riferimento a Lincassa.com. Coulomb Limited, Fareham, Hampshire (www.coulomb.co.uk). I siti contenenti il suo dialer riportano correttamente l'indicazione dei costi di connessione (£1,50/min). I suoi estremi, trovati con Google, sembrano essere questi: Coulomb Ltd, PO Box 21, Fareham, Hampshire PO16 0BN (Regno Unito), telefono 0870 0697000, fax 0870 0697001. Chi vende i dialer?

Dialer & Antidialer Come difendersi dai dialer Bloccare i prefissi usati dai dialer tramite l'operatore telefonico Non usare Internet Explorer Passare all'ADSL Avvalersi di un anti dialer come Stop dialer

Firewall

Firewall Sistema di sicurezza che crea una barriera elettronica per la protezione dl una rete di PC dall'accesso di estranei tramite Internet Cosa e' un firewall Come può essere Un firewall ? Hardware per sistemi avanzati Software più diffusi come quello di windows

Firewall Esempio di rete Con firewall

Firewall Kerio Personal Firewall Alcuni firewall software ZoneAlarm Sygate Personal Firewall

Backdoor

Alcune Definizioni Backdoor : Keylogger: Letteralmente porta di servizio, programma con particolari caratteristiche che permettono di accedere alla macchina dall'esterno con privilegi di amministratore, senza che nessun altro utente se ne accorga . Keylogger: Un keylogger è, uno strumento in grado di controllare tutto ciò che un utente digita sulla tastiera del proprio computer.

Software di controllo remoto tramite backdoor

Software di controllo remoto tramite backdoor

Un Keylogger all’opera

Backdoor