malware_48pxIn questa categoria sono visualizzati, in ordine cronologico, i bollettini di sicurezza pubblicati dal CERT-SPC relativi al tema delle minacce informatiche. In particolare gli articoli pubblicati riguardano: virus, worm, trojan, bot-net, ad-aware, spyware, keystroke, downloader, dropper, ransomware, pharming, rootkit,

Ultime notizie sul malware

  • February issue of VB published 1 Feb 2012 | 1:00 am

    The February issue of Virus Bulletin is now available for subscribers to download.

  • Hacktivists hijack DNS of popular websites 26 Jan 2012 | 1:00 am

    Security at registrars may be weak link.

  • New RFC describes best practices for running DNS-based lists 24 Jan 2012 | 1:00 am

    DNSBL users advised to avoid those lists that charge for delisting.

  • Banbra.GIM - Trojan 15 Jun 2009 | 3:21 pm

    It is designed to steal users' banking details belonging to a certain Brazilian banking entity. It reaches the computer in an email message which seems to have been sent by such banking entity...

  • MSNWorm.GM - Worm 15 Jun 2009 | 1:03 pm

    Its main aim is to spread itself via the instant messaging program MSN Messenger and affect as many computers as possible...

  • FastAntivirus2009 - Adware 11 Jun 2009 | 12:56 am

    It is an adware program which deceives users and warns them of unexisting threats in their computers. In order to eliminate them, they are enticed to purchase a certain program. It can reach the computer through banners or pop-up windows which are displayed in certain websites...

  • Rootkit:W32/ZAccess

    Rootkit:W32/ZAccess constantly displays advertisements on the infected machine and may silently contact remote servers to retrieve additional advertising information.

  • ANDROIDOS_FAKENOTIFY.A 1 Jan 1970 | 1:00 am

    Low

  • Backdoor:OSX/DevilRobber.A

    Backdoor:OSX/DevilRobber.A silently installs applications related to Bitcoin-mining; it may also harvest data from the infected machine and listen for additional commands from a remote user.

  • ANDROIDOS_FAKECLICK.ER 1 Jan 1970 | 1:00 am

    Low

  • Backdoor:OSX/Tsunami.A

    Backdoor:OSX/Tsunami.A is a distributed denial-of-service (DDoS) flooder that is also capable of downloading files and executing shell commands in an infected system.

  • ANDROIDOS_FAKERUN.A 1 Jan 1970 | 1:00 am

    Low

Propagazione del malware W32.Imsolk@mm (nomenclatura Symantec)
(1 voto, media 4.00 su 5)
Giovedì 09 Settembre 2010 16:02

Alcune fonti monitorate dal CERT-SPC segnalano la crescente propagazione del malware di tipo mass mailing worm identificato secondo la nomenclatura Symantec con W32.Imsolk@mm. Al momento non segnalate in Italia e nell'ambito della rete del Sistema Pubblico di Connettività infezioni di grave entità riconducibili all'attività malevola di questo worm.

Affinchè il malware si propaghi è necessaria l'interazione da parte dell'utente che, stando allo scenario attuale, è indotto a seguire una URL per accedere ad un file PDF che, invece, scarica un file eseguibile di tipo screen saver (.scr) che interessa i soli sistemi Windows. Una volta eseguito il file da parte dell'utente, il malware si propaga attraverso i dispositivi di memorizzazione di massa eventualmente connessi al sistema infetto come drive USB o cartelle di rete condivise. Inoltre il  worm si propaga replicandosi attraverso l'invio di messaggi di posta elettronica contenenti in allegato copia del finto file PDF o della URL alla quale collegarsi, attingendo gli indirizzi dalla rubrica dei contatti di Micorsoft Outlook Address Book e Yahoo! instant Messenger. Attualmente l'oggetto di tali e.mail è redatto in lingua inglese e contiene al frase "Here you have".

 

Una volta che W32.Imsolk@mm ha infettato il sistema crea dei file eseguibili che vengono eseguiti all'avvio e cancella i file esegubili nelle seguenti cartelle:

  • C:\Program Files\USB Disk Security
  • D:\Program Files\USB Disk Security

 il worm, inoltre, modifica il file delle cartelle di Outlook (%UserProfile%\Application Data\Microsoft\Outlook\Outlook.pst ) ed copia altri file malevoli dalle seguenti url:

  • http://members.multimania.co.uk/yahoophoto/
  • http://members.lycos.co.uk/iqreporters/

W32.Imsolk@mm tenta, come di consueto ormai per molti malware, di cessare i processi relativi ai software di sicurezza (antivirus e firewall) eventualmente attivi sul sistema infettato ed in alcune varianti del worm, è stata rilevata la modifica del file host.

Si raccomanda di tenere aggiornati i propri software antivirus e di impedire l'accesso alle seguenti URL:

  • http://members.multimania.co.uk/yahoophoto/
  • http://members.lycos.co.uk/iqreporters/
  • inibire i messaggi di posta elettronica con allegati di tipo .scr e/o con oggetto "Here you have"

Altri workaround per impedire o mitigare gli effetti di una eventuale propagazione consistono nel proteggere da password le risorse di rete condivise alle quali assegnare, eventualmente, privilegi di sola lettura. Inoltre, considerato che gli utenti finali sono il vettore utilizzato dal malware per propagasi e che notoriamente sono i punti deboli nella catena della sicurezza, si raccomanda di rendere effettive le politiche di sicurezza atteso che gli utenti configurati con privilegi ristretti sono meno esposti all'attacco rispetto a quelli con privilegi di amministratore.

Il malware segnalato non è relativo alla vulnerabilità di tipo "zero-day" segnalata l'altro ieri dal CERT-SPC, che interessa Adobe Reader e Acrobat, sebbene il worm mascheri come file PDF la destinazione dell'indirizzo internet dove, invece, viene scaricato il file eseguibile .scr (screensaver)  contenente il codice malevol.

Ulteriori dettagli sono disponibili presso le seguenti URL:

http://www.us-cert.gov/current/index.html#here_you_have_email_malware

 

 

Commenti

E' necessario autenticarsi per poter inviare commenti
< Prec.   Succ. >
Ultimo aggiornamento Giovedì 09 Settembre 2010 16:32