Di seguito gli interventi pubblicati in questa sezione, in ordine cronologico.

[UPDATE 29/03/09]
..Non vorrei tirarvela, ma forse è il caso di prevenirlo con queste semplici istruzioni!

Se il vostro PC ultimamente si comporta stranamente (rallentamenti improvvisi, attività anomala di download/upload non richiesti, finestre lentissime, mouse che si muove ma non clicca) e avete già effettuato una scansione col vostro antivirus che non ha trovato nulla, potreste essere vittima di un nuovo pericoloso malware, in grado di installare keylogger e trojan per rubare i codici delle carte di credito e trasformare il vostro PC in uno zombie per effettuare attacchi a terzi utilizzando la vostra connessione internet ed il vostro computer!

Conficker ha contagiato oltre 10 milioni di computer in tutto il mondo. E' un worm che si diffonde tramite le chiavette usb infette. Ora si è evoluto in una versione molto più pericolosa, Downadup, che si propaga tramite una falla di Windows Server Service RPC. Fortunatamente ci viene in aiuto la società produttrice del noto antivirus BitDefender. La Microsoft aveva da tempo rilasciato una patch (bollettino MS08-067) che, se installata previene l'infezione, ma chi è già infetto e prova ad effettuare una scansione con gli antivirus più conosciuti (che non lo individuano!), non sa neanche di averlo! BitDefender offre un tool gratuito molto essenziale ma che a me ha funzionato: ha individuato un processo, lo ha killato e quindi ha eliminato alcuni file infetti! Ricordatevi poi di applicare la patch Microsoft disponibile al link sopra.

Questa è l'informativa a riguardo: "BitDefender Labs has detected a new and more aggressive Downadup version on Saturday, 07.02.2009. It spreads using a Windows RPC Server Service vulnerability and is called Win32.Worm.Downadup.Gen.

La nuova versione si chiama Downadup e si propaga tramite una falla di Windows Server Service RPC. Questa la definizione: Win32.Worm.Downadup.Gen. Il worm disattiva gli aggiornamenti automatici di Windows Update e blocca l'accesso ai più conosciuti siti di antivirus, impedendo il download dei software e degli aggiornamenti.

Sul sito AV-Test.org c'è una nuova e completa comparativa dei principali antivirus sia gratis che a pagamento. I test includono diversi parametri per giudicarli: il tasso di individuazione di varie tipologie di malware (troyan, worm, spyware, virus) i falsi positivi, la velocità di scansione e l'efficacia nell'individuazione dei malware ancora sconosciuti attraverso l'uso di euristics. Qui trovate la tabella completa (ordine alfabetico) con la legenda per capire bene i simboli. Come spesso accade, tra i migliori troviamo Antivir PE , il mio preferito disponibile anche in versione free per gli utenti privati, davanti a prodotti solo commerciali, molto noti ma meno efficaci!
Immagine: Una parte della tabella illustrativa, dal sito AV-Test.org

Se vi arriva una e-mail da un vostro contatto di Facebook o MySpace che vi invita a visualizzare un video accompagnato da un messaggio tipo: "Is it really celebrity? Funny Moments and many others" , non fatelo! Una volta arrivati alla pagina ed avviato il filmato, vi viene richiesto l'aggiornamento all'ultima versione di Flash Player e naturalmente al suo posto viene scaricato un worm che si chiama codesetup.exe. La società produttrice del famoso antivirus Kaspersy ha identificato 2 varianti: Net-Worm.Win32.Koobface.a (Myspace) e Net-Worm.Win32.Koobface.b (Facebook) . I Pc infettati in genere non diffondono solo il link inviando l'e-mail a tutti i tuoi contatti (un video "virale" in tutti i sensi!) tramite social network. Potrebbero essere utilizzati anche per realizzare altri scopi maligni, propri delle botnet, come a esempio trasformare il Pc della vittima in uno zombie per utilizzarlo a sua insaputa da remoto!
(Fonte: Kaspersy antivirus news)

Nelle ultime settimane mi sono imbattuto presso diversi clienti in strani malware che si diffondono tramite le pendrive USB e il lettori mp3. Uno di questi è Knight.exe, ma ve ne sono molti altri come Ravmon.exe e Silly. Come inserisci la chiavetta nella porta USB, parte l'autorun che copia il worm nella cartella c:\windows, crea copie di se stesso, modifica i registri di Windows e appena può si replica su tutte le pendrive inserite in seguito. Fra i danni che combina, quando provi a reinserire una chiavetta infetta ti appare un menù che ti chiede con cosa vuoi aprirla. Il dramma è che questo tipo di worm infetta rapidissimamente anche gli hard disk USB esterni e quando da Risorse del Computer provi ad aprire l'unità, anche in tal caso ti si apre un menù che ti chiede con cosa vuoi aprire l'harddisk!! Incredibilmente, sembra che molti antivirus di solito ultra-affidabili (fra cui AVG e Antivir) anche se a volte riconoscono il worm e lo eliminano, non riescono a ripristinare completamente il sistema e in alcuni casi i file malevoli vengono rigenerati da una dll (dynamic link library) e i loro riferimenti reinseriti nei registri. Per recuperare i file intrappolati che però non sono danneggiati, un brutto workaround consiste nell'aprire l'unità infettata con WinRar (!). In questo modo è possibile spostarli su di un disco non infetto. Uno dei sistemi per tentare di arginare queste infezioni è disattivare l'autorun delle chiavette, ad esempio usando l'utility di Microsoft Tweak UI mentre per ripulire il sistema occorre cancellare diversi file (primo fra tutti autorun.inf sulla chiavetta) e ripristinare varie voci nei registri. Una valida e dettagliata spiegazione di come procedere manualmente, con molte immagini che vi illustrano sintomi dell'infezione e varie soluzioni è riportata nel blog di Danilo Nassaro, mentre potete provare ad usare queste utility: AntiKnight e AntiRavMon . A me hanno funzionato, ma visto che di varianti di queste schifezze malware ce ne sono tante, non vi posso assicurare nulla . In ogni caso prima di eseguire queste ed altre utilities del genere, effettuate una scansione sul file scaricato con il vostro antivirus di fiducia! E se avete altri antivirus / antispyware da consigliare per questo tipo specifico di minaccia, lasciate un commento perchè secondo me si diffonderà sempre più in futuro e va tenuta sotto stretto controllo. Non causa pochi danni, come qualcuno sostiene. A me pare che se trascurata questa infezione oltre a rallentare fino allo stallo il computer, alla lunga (anche perchè spesso l'utente è costretto a spegnere il computer senza chiudere windows) possa danneggiare l'MBR (Master boot Record) e rendere inutilizzabile l'harddidk!

Il sito www.virus.gr ha messo a confronto ben 52 antivirus verificando, ancora una volta, che i migliori non sono quelli più noti e a pagamento. Al link riportato trovate tutte le informazioni sulle modalità con cui i test sono stati eseguiti, prendendo in considerazione ben 174.770 virus!

Ecco i primi classificati, con la percentuale di virus rimossi:

1. Kaspersky version 7.0.0.43 beta - 99.23%
2. Kaspersky version 6.0.2.614 - 99.13%
3. Active Virus Shield by AOL version 6.0.0.308 - 99.13%
4. ZoneAlarm with KAV Antivirus version 7.0.337.000 - 99.13%
5. F-Secure 2007 version 7.01.128 - 98.56%
6. BitDefender Professional version 10 - 97.70%
7. BullGuard version 7.0.0.23 - 96.59%
8. Ashampoo version 1.30 - 95.80%
9. AntiVir version 7.03.01.53 Classic - 95.08%
10. eScan version 8.0.671.1 - 94.43%
11. Nod32 version 2.70.32 - 94.00%
12. CyberScrub version 1.0 - 93.27%
13. Avast Professional version 4.7.986 - 92.82%
14. AVG Anti-Malware version 7.5.465 - 92.14%
15. F-Prot έκδοση 6.0.6.4 - 91.35%
16. McAfee Enterprise version 8.5.0i+AntiSpyware module - 90.65%
17. Panda 2007 version 2.01.00 - 90.06%
18. Norman version 5.90.37 - 88.47%
19. ArcaVir 2007 - 88.24%
20. McAfee version 11.0.213 - 86.13%
21. Norton Professional 2007 - 86.08%
22. Rising AV version 19.19.42 - 85.46%
23. Dr. Web version 4.33.2 - 85.09%
24. Trend Micro Internet Security 2007 version 15.00.1450 - 84.96%

I rootkit sono dei software malevoli studiati per ottenere il controllo di un computer da locale o da remoto in maniera nascosta, ossia non rilevabile dai più comuni strumenti di amministrazione e controllo come antivirus e antispyware, in quanto non agiscono dall'interno del sistema operativo, ma prima che questo venga caricato, sostituendosi ad esempio ai driver dei CD o DVD. Essi sono usati soprattutto per nascondere delle backdoor che controllano il comportamento dell'utente e a volte pregiudicano il funzionamento del PC se vengono rimossi! Se volete capire come funzionano dettagliatamente, fate riferimento a quest'articolo che ho scritto circa 1 anno fa, ma che è ancora attualissimo. Infatti negli ultimi tempi addirittura una nota multinazionale ne ha fatto uso per implementare sistemi di Digital Rights Management all'insaputa degli utenti (ed è stata giustamente condannata per questa pratica illegale!). Dato che queste minacce non possono essere rilevate con gli strumenti tradizionali, fino ad oggi molti utenti preoccupati della loro privacy si sono affidati ad anti-Rootkit creati da società sconosciute (molte delle quali ho sempre avuto il sospetto che invece di essere la soluzione al problema, fossero degli untori!) in quanto le più famose aziende che sviluppano prodotti per la sicurezza offrivano solo versioni sperimentali , di dubbia efficacia e per giunta a pagamento! Adesso l'ottima Grisoft, nota per l'AVG Anti-Virus Free 7.5, ha rilasciato l'AVG Anti-Rootkit Free, una soluzione facilissima da utilizzare e, conoscendo la qualità degli altri prodotti, sicuramente valida. Scaricatelo subito, è meglio prevenire che curare!