MAEC: Il metodo standard di descrivere il comportamento del malware fornite dal MAEC consentirà uno sviluppo più rapido di contromisure basate su quelli precedentemente osservati. Uno standard adottato per la caratterizzazione di malware consentirà una maggiore consapevolezza pubblica delle minacce

Si rincorrono in questi giorni su tutti i giornali del mondo le notizie sul più grande attacco informatico degli ultimi anni, come è stato definito quello scoperto da un ingegnere della NetWitness, la società statunitense che si occupa di sicurezza telematica e fornisce i propri servizi ad agenzie governative ed a numerose aziende. I numeri riportati dai media riferiscono di oltre 75.000 computer compromessi in 196 Paesi del mondo ed attribuiscono la causa ad uno spyware denominato Zeus, che sarebbe stato confezionato in qualche paese dell'est europeo.

Questa nuova botnet denominata Kneber evidenzia la modularità e le possibilità di re-impiego degli strumenti offerti dal "pacchetto" malware Zbot (alias Zeus), che ormai è ai primi posti tra le minacce della specie registrate per il 2009. Kneber, stando ai dati pubblicati da NetWitness avrebbe raccolto in un mese di operatività oltre 75 GB di dati contenenti insormazioni personali e credenziali di accesso a servizi on-line.

Occorre evidenziare, inoltre, che Zeus in realtà è un toolkit, disponibile dal 2007 e creato in Russia o in paesi che utilizzano quell'idioma (essendo scritto in cirillico); è molto apprezzato  nell'underground di Internet (dove è reperibile per pochi dollari) per la facilità di utilizzo e le possibilità che offre di catturare dati personali e critici dai sistemi compromessi.
Si installa sfruttando vulnerabilità non corrette sui sistemi o attraverso attacchi di social engeneering che inducono gli utenti a scaricare ed aprire file comprmessi. Un volta installato l'applicazione si connette ad un server di tipo command-and-control attraverso il protocollo HTTP, vincolando il sistema vittima alla botnet.

In sostanza Zeus offre un pacchetto software di facile utilizzo ed a buon mercato, facilmente migliorabile da utenti anche non-esperti, per creare nuove funzionalità e metodologie di attacco, sembre veicolabili mediante reti di computer "bot".
Secondo fonti autorevoli il 2% delle infezioni totali realizzate negli ultimi 12 mesi da Zeus sarebbe ai danni di sistemi presenti sul territorio nazionale.

Fonti del CERT-SPC, inoltre, riportano di un'ultima versione del malware che sarebbe utilizzata in queste settimane per condurre una "campagna di spam" indirizzata prevalentemente verso caselle appoggiate a domini governativi (.gov) e militari (.mil). I messaggi di posta sembrerebbero provenire dal National Intelligence Council ( Questo indirizzo e-mail è protetto dallo spam bot. Abilita Javascript per vederlo. ) ed i destinatari sono indotti a visionare il documento allegato dal titolo "2020 Project."

Nella giornata di ieri la Microsoft ha confermato quanto era emerso nei giorni scorsi in relazione ai problemi conseguenti all'installazione degli aggiornamenti rilasciati con il bollettino MS10-015.
Dopo l'applicazione della patch, infatti, alcuni ricercatori avevano riportato condizioni di possibile esposizione a denial of service, dovute ad un presunto errore nella patch medesima. Gli approfondimenti successivi e la conferma del produttore, indicano che i problemi di aggiornamento si verificano su quei sistemi già compromessi dal rootkit Backdoor.Tidserv (noto anche con gli alias Win32/Alureon.BP e W32/Autorun-AFM):il Security Response Center di Microsoft afferma, infatti, che il continuo reboot avviene unicamente per una precedente infezione dei sistemi veicolata attraverso il malware Alureon che apporta modifiche al Kernel di Windows, causando condzioni di instabilità.
Si raccomanda pertanto di:
· aggiornare i sistemi antivirus;
· assicurarsi che il malware Backdoor.Tidserv sia rimosso dal sistema;
· installare l'aggiornamento rilasciato con il bollettino MS10-015;
. avviare il sistema senza privilegi di amministratore.

http://blogs.technet.com/msrc/archive/2010/02/17/update-restart-issues-after-installing-ms10-015-and-the-alureon-rootkit.aspx
http://www.cert-spc.it/index.php/bollettini/vulnerabilita/338-microsoft-aggiornamenti-per-il-mese-di-febbraio-2010

Mozilla Foundation ha pubblicato 5 avvisi di sicurezza (3 "Critical e 2 "Moderate") per correggere vulnerabilità nel browser Firefox, nel client Thunderbird e nella suite SeaMonkey. Le tre applicazioni, disponibili per diverse piattaforme, risultano esposte a molteplici vulnerabilità (CVE-2010-0159 Multiple Remote Memory Corruption Vulnerabilities) di tipo memory-corruption, che se sfruttate possono consentire l'esecuzione di codice arbitrario sul sistema vulnerabile.
Ancorchè non risultino disponibili exploit efficaci, lo scenario di attacco consiste nell'indurre un utente a visitare un sito web appositamente creato e contenente i malware per sfruttare le vulnerabilità .
 
Sono state rilasciate nuove versioni dei prodotti esposti per risolvere le vulnerabilità segnalate:
· Firefox 3.6
· Firefox 3.5.8
· Firefox 3.0.18
· Thunderbird 3.0.2
· SeaMonkey 2.0.3

Si raccomanda l'aggiornamento dei propri sistemi, mediante le risorse rse disponibili dal produttore:

http://www.mozilla.org/security/announce/2010/mfsa2010-01.html
http://www.mozilla.org/security/announce/2010/mfsa2010-02.html
http://www.mozilla.org/security/announce/2010/mfsa2010-03.html
http://www.mozilla.org/security/announce/2010/mfsa2010-04.html
http://www.mozilla.org/security/announce/2010/mfsa2010-05.html