Molti virus, download pericolosi

Secondo F-Secure, nel 2008 il numero di parassiti scoperti di recente crescerà più rapidamente che mai.

Una media di 25 campioni di file infetti arrivano al laboratorio di un'azienda di antivirus finlandese ogni giorno della settimana, il che rende probabile che il software di sicurezza dovrà rilevare almeno un milione di diversi programmi dannosi o pericolosi entro la fine dell'anno. Mentre i criminali creano più malware che mai, gli utenti spesso segnalano meno infezioni rispetto agli anni precedenti. La spiegazione di questa apparente contraddizione è che gli autori di virus sono cambiati di recente, rendendo meno evidenti le loro abitudini di distribuzione dei parassiti.

L'anno scorso e prima dell'ultimo, la maggior parte delle infezioni erano ancora diffuse negli allegati fogliari, portando a importanti epidemie (Beagle, MyDoom, Warezov). Questo metodo non funziona più in questi giorni, poiché quasi tutte le aziende e le istituzioni utilizzano il filtro per bloccare gli allegati rischiosi come i file .EXE.

Per questo motivo recentemente i criminali informatici preferiscono il metodo "drive-by download", che trasmette l'infezione al computer della vittima tramite un download dal web. Nel primo round l'attacco inizia ancora con l'invio in massa di messaggi non richiesti (spam), ma al posto degli allegati queste lettere contengono collegamenti a siti Web dannosi, ovvero la vittima viene infettata tramite il traffico HTTP o FTP invece che tramite il protocollo SMTP .

Download lungo la strada
Il nostro computer può cadere automaticamente vittima di un tipo di infezione drive-by quando visitiamo un sito Web infetto. La maggior parte degli utenti non dispone di un sistema operativo, di un browser Web e di componenti aggiuntivi perfettamente corretti e le falle di sicurezza in questi software rendono il sistema vulnerabile. Il codice dannoso può anche essere scaricato manualmente se gli hacker possono indurre l'utente a fare clic sul collegamento pericoloso ed eseguire malware dal Web.

Per i diffusori di virus è importante aumentare il numero di visite a siti Web dannosi, quindi spesso distribuiscono messaggi di spam che utilizzano il loro oggetto accattivante per convincere il destinatario ad aprire un collegamento Web fraudolento. Queste lettere possono avere un oggetto come "Stai apparendo in un video di YouTube!", "Il tuo biglietto di auguri è arrivato!" o "Grazie per il tuo ordine!".

Più sofisticato è il modo in cui i criminali creano una moltitudine di siti pieni di parole chiave preparate per il motore di ricerca web di Google, in attesa che i navigatori trovino un sito web dannoso (come i guanti a maglia) a cui segue il codice di attacco (il cosiddetto codice del guanto). exploit) può essere eseguito automaticamente in background senza che l'utente seduto davanti allo schermo percepisca qualcosa di sospetto.

Il terzo metodo più rischioso di diffusione del malware si basa sul fatto che i siti popolari che molti considerano affidabili possono essere utilizzati anche per infettare gli utenti di Internet. L'attacco diretto di lunga durata, l'hacking del sito, comporta un rischio elevato, quindi i criminali, a differenza degli hacker che sono divertenti o che vogliono semplicemente protestare negli anni precedenti, di solito non cambiano alcun dettaglio visibile sul sito Web sotto il loro controllo.

Il portale sembra continuare a funzionare normalmente, a parte il fatto che il malware viene installato sui computer dei visitatori utilizzando poche righe di istruzioni JavaScript incorporate nel codice sorgente HTML. I siti di diverse riviste popolari con milioni di lettori ogni giorno sono caduti vittima di un simile attacco e le persone generalmente si fidano di siti che sono diventati parte della loro routine quotidiana, quindi non pensano che visitarli possa causare un incidente con il loro computer.

Inoltre, un attacco utilizzando siti Web stranieri può essere effettuato senza hackerare il server Web, perché ogni giorno incontriamo una quantità crescente di pubblicità su portali ad alto traffico. Se gli hacker riescono ad accedere a un grande sistema adware attraverso l'inganno o l'hacking, il codice di attacco nascosto nell'animazione può raggiungere milioni di computer, spesso all'insaputa del webmaster del portale, come nel caso di TV4 svedese, Expedia o baseball professionista americano e con i siti web della lega di hockey.

Per i motivi di cui sopra, è importante che gli utenti siano consapevoli della natura modificata delle infezioni moderne, poiché gli hacker possono sfruttare le capacità del codice dannoso che sostituisce il malware basato su SMTP con i download HTTP in diversi modi. Ad oggi, molte aziende valutano il rischio di infezioni che colpiscono le loro reti di computer in base alla quantità di allegati virali filtrati dalla loro posta, che mostra chiaramente una riduzione - ma è improbabile che la situazione generale della sicurezza migliori a causa della diffusione di web-based malware.

Questo è il motivo per cui gli utenti privati ​​e aziendali dovrebbero assicurarsi che anche il loro traffico web sia sottoposto a scansione antivirus. Inoltre, il filtraggio dovrebbe coprire anche il protocollo FTP, poiché questo vecchio sistema di trasferimento di file è diventato di recente molto popolare tra i diffusori di virus che pubblicizzano siti di download infetti nelle e-mail di spam.

Tecnologie avanzate di rootkit
Il rootkit Mebroot è una delle infezioni più difficili da rilevare degli ultimi tempi. Questa capacità di Mebroot, che attualmente viene distribuita gratuitamente anche tramite download "drive-by", deriva dal fatto che memorizza il codice di programma minimo necessario per lo stealth nella cosiddetta area Master Boot Record, il primissimo settore fisico del disco rigido e lo carica durante l'avvio del sistema.

Questo trucco è stato utilizzato 15 anni fa da diversi famosi virus MS-DOS, come Stoned e Michelangelo, ma con l'avvento di Windows il metodo è stato dimenticato per un po', quindi molti programmi software di sicurezza oggi non sono preparati per proteggersi dall'MBR minaccia rootkit.

Il malware Mebroot, che è stato una sorpresa, utilizza lo spazio di archiviazione del primissimo settore per rimuovere dal controllo parti sensibili del suo codice virus e per ridurre al minimo il numero di modifiche dannose apportate al sistema in esecuzione. Questo trucco rende molto difficile rilevare l'infezione da Windows. Per scoprire Mebroot, F-Secure ha dovuto anche sviluppare ulteriormente il proprio software killer di rootkit chiamato Blacklight.

Questo sviluppo dimostra anche che i gruppi criminali che determinano gli sviluppi dei virus odierni dispongono già di risorse finanziarie e competenze adeguate per sviluppare metodi di attacco nuovi e complessi. Lo sviluppo di un potente codice di programma che viene caricato dal settore di avvio, sopravvive all'avvio di Windows, quindi si infiltra e si nasconde nel sistema operativo e i lunghi test richiesti prima dell'implementazione live richiedono uno sforzo serio.

Il malware Mebroot è attualmente utilizzato dagli spargitori di virus principalmente per camuffare i Trojan antifurto bancari, poiché questa è chiaramente un'area in cui possono aspettarsi un rapido ritorno sul loro investimento, tuttavia, secondo i ricercatori di F-Secure, ci saranno diversi rootkit per nascondersi nell'MBR in futuro.

Ricatta virus mobili mobile
Al giorno d'oggi, lo sviluppo di nuovi e nuovi parassiti è principalmente motivato dal profitto. La comparsa del trojan Kiazha conferma ancora una volta questa constatazione, poiché l'infezione di origine cinese estende anche ai dispositivi mobili Symbian il concetto di riscatto già noto dal mondo dei virus Windows. La sostanza di un simile attacco è che il codice dannoso prende "in ostaggio" dati preziosi mediante la crittografia non autorizzata dei file o una significativa limitazione del funzionamento del computer e richiede un riscatto in cambio del ripristino dello stato originale. L'utente riceverà la password necessaria per la decrittazione solo se prima trasferirà elettronicamente l'importo richiesto dagli hacker.

Il trojan di estorsione Kiazha in esecuzione sugli smartphone S60 di seconda generazione funziona in modo leggermente più semplice. L'infezione viene distribuita principalmente sotto forma di un'applicazione shareware scaricabile gratuitamente, ma durante l'installazione vengono aggiunti al sistema diversi virus mobili meno recenti e viene inviato un messaggio di ricatto sullo schermo per ca. richiede all'utente di trasferire un importo pari a sette dollari.

Ulteriori minacce nel campo delle comunicazioni mobili
Il worm mobile Beselo, che minaccia anche il diffuso software di base Symbian, è nuovo sotto altri aspetti: la sua diffusione di successo si basa sull'ingannevole inganno degli utenti. I messaggi di attacco tramite un canale Bluetooth o MMS contengono una suite SIS appositamente formattata che è stata camuffata da file multimediale dagli hacker, rendendo più probabile che il destinatario faccia clic sul contenuto.

Tuttavia, il travestimento del verme viene rivelato da una finestra di dialogo che chiede conferma dell'installazione, la cui apparizione sarebbe del tutto ingiustificata nel caso di contenuti audiovisivi reali. Pertanto, se su un dispositivo Symbian trovi un file con il nome "beauty.jpg", "love.rm", "sex.mp3" o qualcosa di simile, presta attenzione al fatto che le immagini e i brani musicali validi iniziano immediatamente dopo apertura, quindi qualsiasi altra attività potrebbe destare sospetti.

Da segnalare anche HatiHati.A, un'applicazione per telefoni cellulari con caratteristiche di worm, che si è rivelata un vero e proprio piantagrane, anche se involontariamente. Una delle versioni beta difettose dell'applicazione, sviluppata come software commerciale, per segnalare il furto del telefono e disabilitare il dispositivo, viene spesso distribuita su siti "warez" che offrono software rubato. Purtroppo gli utenti del software illegale sono sorpresi di scoprire che per un gran numero di SMS in uscita viene addebitato sulla bolletta telefonica e che il codice di programma difettoso può diffondersi anche da un telefono all'altro tramite le schede di espansione MMC.

Alla luce delle minacce sopra descritte, i ricercatori di virus F-Secure consigliano agli utenti di proteggere i propri computer e dispositivi mobili dalle infezioni con prodotti di sicurezza aggiornati di produttori affidabili.