-
News minacce informatiche (virus,trojan,spyware,phishing) Update 21/10/2010]
Questo topic si prepone di mantenere sempre aggiornati gli utenti riguardo le ultime minacce in rete, legate a virus e email fraudolente.
MSN Messenger, file .exe con sorpresa
Gira tra gli utenti di MSN Messenger un file RAR autoestraente ( quindi EXE ) contenente al suo interno due worms che, una volta infettato il sistema, si occupano di "rubare" chiavi di registro, creano diverse connessioni IRC e si replicano attraverso risorse condivise in rete oppure mandando messaggi via MSN.
Un aggiornamento dell' antivirus dovrebbe essere sufficiente, in ogni caso vale sempre la solita regola: non aggiungete ai contatti persone "sconosciute" e non prendete da loro caramelle. http://forumtgmonline.futuregamer.it.../icon_wink.gif
Worm si aggira tra le reti P2P
Gira in queste settimane un nuovo worm che sfrutta, ancora una volta, i sistemi P2P facendosi passare per crack di applicazioni e giochi ( qui trovate la lista completa dei suoi molteplici nomi ).
Come molti altri worms, una volta infettato il sistema, si replica nell' hard disk cercando le directory in share dei vari programmi P2P installati, manda messaggi ad utenti via Windows Messenger, cambia la pagina iniziale di Internet Explorer e, infine, installa un webserver per poter essere controllato da remoto.
Aggiornando il vostro antivirus dovreste essere a posto, fermo restando che il P2P e' illegale e se vi beccate un virus, non potete certo lamentarvi...
http://forumtgmonline.futuregamer.it...on_biggrin.gif
Nuovo virus con alta diffusione
Molti di voi avranno letto in giro, persino su Repubblica, di un nuovo Worm chiamato W32.Zotob ( WORM_RBOT.CBQ per Trend Micro ) che si sta diffondendo massicciamente nel mondo.
La variante E ha raggiunto in Italia un valore di diffusione 3 su una scala di 5.
Il Worm sfrutta una vulnerabilita' di Windows patchata il 6 Agosto scorso, qui trovate maggiori informazioni ed i link per scaricare l' Update.
Come molti worms, cerca di connettersi ad un server IRC per ricevere comandi ed in piu' apre un server TFTP per scambiare dati con la macchina infetta, compresi informazioni sensibili.
Qui trovate le istruzioni per la rimozione manuale ma, come sempre, e' meglio prevenire con un buon Antivirus e aggiornando sempre Windows.
Se non volete tenere attivi gli Aggiornamenti Automatici, ricordatevi che le nuove patch e hotfix sono disponibili sul sito di Windows Update ogni secondo Mercoledi' del mese.
Pubblicato l' esito di un test comparativo tra i piu' diffusi software antivirus.
Trovate la tabella comparativa qui.
Tra i primi 3 troviamo:
1) Kaspersky Personal Pro ( a pagamento )
2) Norton Antivirus ( a pagamento )
3) NOD32 ( a pagamento )
La conferma della crescita del Kaspersky e della posizione predominante del Norton Antivirus.
Da qui in poi la scelta dipende da altri fattori, come l' integrazione con il sistema operativo ed il peso sulle risorse del sistema.
Su questo punto, secondo me, ne esce vincitore il NOD32.
-
Re: Avvisi ai naviganti - Update [01/09/05]
Intervista ad un ricercatore Eset sui futuri sviluppi nel campo dei virus e della sicurezza informatica.
Intervista
Molto interessante, compresi i miei commenti... http://forumtgmonline.futuregamer.it..._icons/asd.gif
-
Re: Avvisi ai naviganti - Update [01/09/05]
Citazione:
"Hwupgrade.it"
"Il noto sito AV-Comparatives pubblica la seconda comparativa annuale riguardante l'efficacia della scansione proattiva dei maggiori software antivirus in commercio.”
Come da programma, è stato pubblicato ieri su av-comparatives.org il secondo test annuale riguardante la scansione proattiva dei maggiori software antivirus.
Ricordiamo che la scansione proattiva è una tecnologia che permette ai software antivirus di individuare nuovi virus senza bisogno di aggiornare le firme virali.
La comparativa, effettuata e stilata da Andreas Clementi e considerata una delle più affidabili, non ha messo in evidenza grandi novità.
Nod32 resta in prima posizione, mentre continua a migliorare BitDefender che, grazie alla nuova tecnologia euristica implementata negli scorsi mesi, è riuscito ad ottenere risultati strepitosi.
Tra gli altri antivirus commerciali, rivestono una buona posizione sia McAfee che Kaspersky mentre Norton Antivirus risulta penultimo davanti soltanto al software antivirus AVG.
Per la comparativa completa è possibile visitare il sito
Av-Comparatives.org
Occhio quindi, si tratta della capacita' del motore euristico di riconoscere nuove forme virali senza avere le firme nel suo database. http://forumtgmonline.futuregamer.it.../icon_wink.gif
-
Re: Avvisi ai naviganti - Update [04/01/2006]
Citazione:
"PI"
Windows vittima delle immagini killer
Su Internet stanno circolando delle immagini in formato WMF che, sfruttando una vulnerabilità senza patch, installano in Windows XP cavalli di Troia e altri tipi di malware - UPDATED
Roma - Nella comunità internazionale di esperti di sicurezza è allarme rosso. Ieri, sulla celebre mailing-list di sicurezza Bugtraq, è infatti apparso un advisory che descrive una vulnerabilità di Windows XP zero-day: ciò significa che sebbene il bug sia appena stato scoperto, su Internet già circola un exploit in grado di sfruttarlo.
Il problema è causato da una non corretta gestione, da parte del motore di rendering di Windows XP, di certi file grafici in formato Windows Metafile (WMF): un file WMF malformato può eseguire, una volta aperto, del codice dannoso con i massimi privilegi di sistema.
Va posta attenzione sul fatto che, seppure fra loro molto simili, quella di cui si parla non è la stessa vulnerabilità corretta da Microsoft lo scorso novembre.
A rendere la situazione piuttosto critica c'è il fatto che almeno un paio di siti web stanno già sfruttando la vulnerabilità per diffondere cavalli di Troia e altri tipi di malware. A correre i rischi maggiori sono gli utilizzatori di Internet Explorer, che possono infettarsi semplicemente aprendo una pagina web contenente un file WMF nocivo. Chi usa altri browser, come Firefox e Opera, può infettare il PC solo nel caso in cui autorizzi il proprio browser a scaricare ed eseguire l'immagine WMF: in tale evenienza il file viene aperto con il viewer d'immagini integrato in Windows. Pare tuttavia che le più recenti versioni di Firefox, inclusa la 1.5, associno erroneamente i file WMF al Windows Media Player: dato che questo programma non è in grado di gestire tali file, il codice maligno in essi incluso non viene eseguito.
L'exploit funziona su tutte le versioni di Windows XP e Windows Server 2003, incluse quelle a cui siano state applicate tutte le patch e i service pack (v. update a fine pagina).
È interessante notare come la tecnologia DEP (Data Execution Prevention), introdotta da Microsoft con gli ultimi service pack per Windows XP e Server 2003, sembra in grado di bloccare l'esecuzione del codice dannoso: stando a quanto riportato nel blog dell'Internet Storm Center (ISC), la DEP ha dimostrato la sua efficacia in presenza di un Athlon 64. Il meccanismo di sicurezza dovrebbe tuttavia funzionare con tutte le CPU di AMD e di Intel dotate del famoso "bit NX".
Data la gravità del problema, che Secunia non ha esitato a classificare come "extremely critical", è certo che in Microsoft qualcuno passerà il Capodanno a sviluppare una patch. Nell'attesa, gli esperti raccomandano agli utenti di non aprire file WMF provenienti da fonti non attendibili e di impostare, in IE, il livello di protezione massimo (Strumenti -> Opzioni Internet -> Protezione -> Livello predefinito -> Alta).
Update (ore 12,30) - In questa pagina l'ISC fornisce nuove informazioni aggiornate sulla minaccia e su alcune soluzioni temporanee. L'ISC precisa anche che la tecnologia DEP funziona solo se si imposta il livello massimo di protezione e, anche in questo caso, non risulta sempre efficace. Nelle scorse ore anche Microsoft ha pubblicato un advisory in cui spiega, fra le altre cose, come la vulnerabilità interessi potenzialmente tutte le versioni di Windows (dalla 98 in poi). Il big di Redmond afferma tuttavia che in Windows Server 2003 il problema è mitigato dalle restrizioni applicate di default a IE.
Citazione:
"Attivissimo"
Riassumendo, ecco come contenere il rischio:
* Non usate Internet Explorer, ma sostituitelo con Firefox o Opera, che vi avvisano se aprite un file WMF.
* Non usate programmi di posta che visualizzano automaticamente le immagini.
* Disattivate il componente fallato (SHIMGVW.DLL): al prompt dei comandi (Start > Esegui), digitate REGSVR32 /U SHIMGVW.DLL e riavviate Windows.
* Disattivate Google Desktop, se lo usate.
* Usate la patch di sicurezza non ufficiale.
* Installate la patch Microsoft appena viene resa disponibile.
La patch e' prevista per il 10, anche se gia' gira una leaked beta ed una patch non ufficiale che in molto consigliano di scaricare, in attesa di quella ufficiale.
Anche se chiamarla patch e' azzardato, diciamo un hotfix.
Per chi vuole, si trova qui.
Consiglio caldamente il controllo del checksum MD5, nel caso l' abbiate scaricata.
-
Re: Avvisi ai naviganti - Update [02/02/2006]
Citazione:
"Punto Informatico"
Domani occhio al worm Kama Sutra
Sta per scadere il conto alla rovescia che, nei sistemi infetti, potrebbe determinare la cancellazione di molti documenti. Sotto con gli scanner antivirus
Domani, 3 febbraio, il worm Kama Sutra farà esplodere la sua prima carica ad orologeria: come conseguenza, in tutti i sistemi dove l'infezione è attiva, verranno sovrascritti e resi illeggibili tutti i documenti e i file compressi aventi certe estensioni.
Come riportato la scorsa settimana, il terzo giorno di ogni mese il worm corrompe i documenti presenti sull'hard disk: ciò significa che in Italia i primi effetti disastrosi del vermone si innescheranno a partire dalla prossima mezzanotte.
I formati di file presi di mira dal vermicello sono i seguenti: ".doc", ".xls", ".mdb", ".mde", ".ppt", ".pps", ".zip", ".rar", ".pdf", ".psd" e ".dmp". Tra le sue altre attività malefiche, il worm provvede anche a cancellare file e chiavi del registro associati ad alcuni dei più diffusi software per la sicurezza.
Kama Sutra, è il caso di dirlo, ha più nomi di Satana: a seconda infatti dell'antivirus utilizzato, il suo codice può essere identificato come Nyxem, BlackMal, Mywife, Blackworm, Grew, Blueworm e con altre denominazioni più o meno esotiche. Microsoft, ad esempio, lo chiama Mywife.E, e per avvisare gli utenti dell'imminente pericolo ha persino pubblicato un
advisory: da quando è stato varato questo servizio, nel maggio del 2005, questa è la seconda volta che il big di Redmond dedica un advisory ad un worm. Va però detto che in passato Microsoft ha più volte utilizzato il proprio sito per fornire informazioni su alcune delle più pericolose minacce per Windows.
L'attenzione riservata da Microsoft a Kama Sutra è del resto ben fondata: secondo alcune stime il worm ha infettato oltre mezzo milione di computer in 150 diversi paesi, esponendo gli utenti al rischio di perdere in modo irreversibile i propri documenti. Per non rischiare il peggio, gli esperti raccomandando agli utenti Windows di effettuare la scansione di tutti i propri computer con un antivirus aggiornato: chi non disponesse di un tale software, o dubitasse dell'efficacia di quello utilizzato, può verificare la presenza del virus utilizzando gli scanner on-line offerti gratuitamente da alcune note società di sicurezza. Symantec fornisce anche un tool di rimozione gratuito scaricabile da
qui.
Trend Micro ha spiegato che, come la maggior parte dei worm, anche Kama Sutra si propaga tramite allegati di posta elettronica e condivisioni di rete, compresi i più diffusi servizi di file sharing P2P. Il metodo di trasmissione via email adotta le consuete tecniche di social engineering promettendo immagini, contenuti pornografici o barzellette per spingere gli utenti ad aprire l'allegato.
-
Re: Avvisi ai naviganti - Update [04/01/2006]
Trojan.Linkoptimizer (By Symantec) Risk Level 2
Discovered: August 24, 2006
Updated: August 25, 2006 04:58:20 PM PDT
Type: Trojan Horse
Infection Length: Varies.
Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
È stato riferito che il Trojan.Linkoptimizer può essere installato visitando il sito Web [http://]gromozon.com.
Il Trojan si autoinstalla sui computer esposti ad alcune vulnerabilità...
(queste sono le varie PATCH rilasciate)- The Microsoft Internet Explorer Modal Dialog Zone Bypass Vulnerability
- (descritta in Microsoft Security Bulletin:MS04-025)
- The Microsoft Java Virtual Machine Bytecode Verifier Vulnerability
- (descritta in: Microsoft Security Bulletin MS03-011).
- The Microsoft Windows Media Player Plugin Buffer Overflow Vulnerability
- (descritta in: Microsoft Security Bulletin MS06-006).
- The Microsoft Windows Media Player Plugin Buffer Overflow Vulnerability
- (descritta in: Microsoft Security Bulletin MS06-001).
- The Microsoft Internet Explorer CreateTextRange Remote Code Execution Vulnerability
- (descritta in: Microsoft Security Bulletin MS06-013).
Quando il Trojan è installato, il browser può mostrare il seguente e chidere all'utente di salvare un file chiamato www.google.com:
http://img247.imageshack.us/img247/2456/foto002hm0.jpg
L'eseguibile principale dell'infezione da linkoptmizer cambia nome.
Non si presenta più solo come www.google.com
ma può essere anche
www.weather.com
www.super.com
www.free.com
www.picture.com
Praticamente qualsisasi sito con estensione www.[nome].com
http://img50.imageshack.us/img50/1804/capture2za6.png
Il browser può anche chiedere la conferma di installare il file FreeAccess.ocx.
Una volta eseguito, il Trojan.Linkoptimizer esegue le seguenti azioni:
1.--- Crea i seguenti files:- %Temp%\[NOME CASUALE]1.exe
- %Windir%\[NOME CASUALE]1.dll
2.--- Scarica files dai seguenti indirizzi IP (hard coded):3.--- Tenta di risolvere i seguenti domini:
shiptrop.com
4.---registra le DLL recuperate come Browser Helper Object aggiungendo alle seguenti chiavi nel registro le rispettive sottochiavi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer
\Browser Helper Objects\[ CLASSID CASUALE]
HKEY_CLASSES_ROOT\CLSID\[ CLASSID CASUALE]
5.--- Aggiunge il valore:
"AppInit_DLLs" = "[TROJAN .DLL FILE]"
Alla seguente chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
6.--- Scarica ed installa componenti aggiuntivi, che includono anche un Rootkit
7.--- Che crea i seguenti files:- %System%\[NOME CASUALE]aa.dll
- %System%\[RESERVED DOS NAME].[ EXT CASUALE]
8.---Può immagazzinare i file elencati sopra dentro ad Alternate Data Streams (ADS):- Note: [RESERVED DOS NAME] Può essere una delle seguenti "DOS device names ":
- com1
- com2
- com3
- com4
- tty
- prn
- nul
- lpt1
9.--- Usa tecniche di Rootkit per nascondere files e sottochiavi del registro
10.--- Aggiunge un nuovo Account "Nome Amministratore" nei computer compromessi usando un nome casuale.
11.--- Può abbassare i privilegi dell'utente loggato, per disabilitare le funzioni di alcuni programmi di sicurezza
12.--- Crea i seguenti files criptati associati all'accaunt del nuovo amministratore e li immagazzina usando il Windows Encrypted File System (EFS):- %ProgramFiles%\Common Files\System\[LETTERE CASUALI].exe
- %ProgramFiles%\Common Files\System\[LETTERE CASUALI].exe
13.--- Crea una sottochiave del registro e un nuovo servizio associato all'account del nuovo amministratore
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\[NOME CASUALE]
14.--- Tenta di scaricare il seguente file:
%ProgramFiles%\LinkOptimizer\linkoptimizer.dll
15.--- Visualizza Avvertimenti
__________________________________________________ ______
Raccomandazioni:- Disattivare e rimuovere i servizi sconosciuti.
Di default, molti sistemi operativi, installano servizi ausiliari che non sono critici, come un server FTP , telnet, o un Web server.
Questi servizi, se non richiesti, sono vie d'attacco. Se verranno rimossi, le vie d'attacco saranno ridotte e gli aggiornamenti da scaricare sulla sicurezza, saranno minori.- Mantenere il sistema aggiornato,
scaricando le patch rilasciate mensilmente, ( tutti i computer basati su Windows devono avere l'ultimo Service Pack installato.)
usare un firewall; applicare le patch sulla sicurezza menzionate più sopra.- Rafforzare la politica delle Password .
Passwords Complesse rendono difficoltoso alterare files su un computer compromesso.- Configurare l'email server
a bloccare o eliminare quei files comunenmente usati per distribuire viruses, come .vbs, .bat, .exe, .pif and .scr .- Non aprire allegati o file
ricevuti da persone sconosciute, e non eseguire programmi scaricati da internet, fino a quando non saranno stati controllati da un antivirus- Non navigare con Browser vulnerabili
Semplicemente visitando un sito Web compromesso, può causare l'infezione, se certe vulnerabilità non sono prima state corrette ( patched
-
Re: Avvisi ai naviganti - Update [04/01/2006]
Traduzione (libera) dalla pagina di http://www.prevx.com/gromozon.asp
Cos'è Gromozon e come è riuscito a bypassare i programmi di sicurezza installati?
Sfortunatamente Gromozon non è una singola infezione, ma un attacco miscelato e disegnato per aggirare gli strumenti anti-malware tradizionali.Il risultato finale è che la macchinaè contagiata non solo da Trojans sconosciuti ma anche da un Rootkit estremamente pericoloso. Gli Antivirus tradizionali, stanno attualmente trattando le infezioni conosciute ma trascurano il rootkit.
Il percoso dell'infezione è:
• Visitando un sito web che carica un obfuscated JavaScript.
• L'utente è indirizzato su un altro sito che contiene un ulteriore obfuscated JavaScript. Questo si collega a un network di siti web che sono usati per lanciare la routine dell'infezione .Questi siti web cambiano costantemente e dal Maggio 2006 sono diventati molto numerosi
• Uno script dal lato serversi carica per analizzre l' user agent (web browser) che l'utente sta usando. Differenti metodi d'accacco sono poi lanciati, ...dipende se l'utente da usando Opera, Firefox o Internet Explorer.
Per Internet Explorer, alla vittima, si presenta l'opzione di installare un controllo ActiveX chiamato FreeAccess.ocx Che viene effettivamente copiato nella cartella system32 di Windows, come una DLL con un nome casuale.
Firefox e Opera subiscono un pezzo d'ingegneria sociale molto abile. Quello che appare essere un link a www.google.com si presenta alla. Sfortunatamente, questo non è un hyperlink un file intelligemente nascosto con estensione .com. Una volta accettato ed eseguito, una DLL con un nome casuale viene installata nella cartella system32 di Windows.
• Una volta che l'agente DLL è installato, molti tipi di Adware vengono scaricati ed installati nella macchina. Degli esempi sono i Trojans Bravesentry e LinkOptimizer . Il carico reale è poi scaricato nel computer della vittima.. Sia un Rootkit che un nuovo Servizio vengono installati con un account nascosto. Lo scopo principale di questo è permettere al Malware che è stato installato di essere precedentemente nascosto da qualunque strumento Anti-malware sia installato sulla macchina.
-
Re: Avvisi ai naviganti - Update [03/11/2006]
Fonte: Anti-Phishing Italia
Ritorna la Augustis: nuove false offerte di lavoro
http://www.anti-phishing.it/image.ne...ustis.stop.png
La minaccia Augustis e le sue false offerte di lavoro collegate al riciclaggio di denaro sporco sembrano proprio non voler abbandonare l’Italia.
E’ infatti dal 22 novembre scorso che le caselle di posta elettronica degli utenti Internet nostrani sono invase da allettanti, ma altamente pericolose e rischiose, offerte di lavoro inviate da una vecchia conoscenza Sara C. divenuta per l’occasione Sara D.
Anti-Phishing Italia già lo scorso mese si era occupata del caso rilevando come la fantomatica Agustis non sia altro che una clonazione della reale compagnia di assicurazione britannica Esure, la quale inspiegabilmente non ha ancora provveduto ad intraprendere azioni mirate ad arginare il problema il quale non mette in pericolo solo le malcapitate vittime ma lede anche all’immagine della compagnia stessa.
Come già indicato, l’attività della Augustis (www.get-insured.biz) ed il suo lavoro non è altro che uno specchietto per le allodole per nascondere un'attività di riciclaggio di denaro.
Ancora una volta l’avere a disposizione un computer e successivamente un contro corrente sono i requisiti necessari per svolgere l’incarico di "intermediario finanziario" la cui mansione sarà quello di trasferire il denaro accredito dalla Augustis nel proprio conto e trasferirlo verso il "personale" della stessa azienda sparso in tutto il mondo. Il compenso sarà una provvigione che oscilla tra il 7% e 10% della somma trasferita.
Sinceramente un ottimo lavoro, comodo e più che retribuito…. peccato che si tratti dell’ennesima truffa. Infatti il denaro ricevuto proviene da attività criminali quali il phishing, che i truffatori cercano di riciclare e trasferire all’estero nei propri conti senza lasciare traccia.
L’ignaro "lavoratore" inviando il denaro ricevuto partecipa di fatto (inconsapevolmente) ad un'attività di riciclaggio, punibile ai sensi dell'art.648-bis del Codice Penale con la reclusione da quattro a dodici anni. Perché i criminali danno vita a tale attività di riciclaggio?? Il motivo è molto semplice, ma per capirlo è necessario fare un passo indietro nella truffa. (Prendiamo in considerazione una situazione classica)
Nel momento in cui il truffatore entra in possesso della nostra username e password tramite attività di phishing o keylogger ha la possibilità di rubare il nostro denaro ma per farlo è necessario non lasciare tracce o quanto meno rendere difficoltosa l'attività degli inquirenti. Entrano così in gioco le false società con le loro allettanti offerte di lavoro.
Trasferire immediatamente il denaro presente nel nostro conto all'esterno è assolutamente sconsigliato, in primis perché è facilmente individuabile (i trasferimenti di denaro all'estero fatti da una banca durante l'arco di una giornata sono nettamente inferiori a quelli nazioni) poi perché potrebbero insospettire lo stesso personale dell'istituto di credito.
Quindi si preferisce far transitare tali fondi su più conti italiani, con l'aiuto di inconsapevoli "lavoratori" prima di trasferirli definitivamente su conti italiani o esteri appartenenti anche a compiacenti soggetti i quali in cambio di una percentuale che varia dal 15% al 20% del valore finale del trasferimento mettono a disposizione dei truffatori il proprio conto per trasformare quella che sino a poche ore prima era sola moneta elettronica in carta moneta.
Le e-mail utilizzate:
Oggetto: Sei pronto di avere un guadagno meritevole?
Testo:
Salve
La nostra societa multinazionale sta ricercando dei rappresentanti independenti in Italia. Consideriamo dei CV per il posto seguente:
Rappresentante regionale:
Posti vacanti disponibili: 34
Paese di residenza: USA, Australia, Regno Unito, Europa
Guadagno: 450-650 Euro alla settimana (per il primo mese di prova)
Occupazione: a tempo non pieno (2.5-4.5 ore alla settimana)
L'informazione piu dettagliata sul lavoro: Offriamo la possibilita di far carriera e combinare questa attivita con il suo lavoro principale o gli studi. Offriamo lo stipendio di 2000 euro al mese piu commissioni settimanali, orario flessibile, buon ambiente di lavoro. Buona conoscenza di computer (Internet, E-mail), l'accesso all'Internet e la residenza in Italia
(Europa) sono obbligatori. L'incorporazione e immediata e non richiede nessun investimento.
L'incorporazione e immediata e non richiede nessun investimento. Le paghiamo per il tempo dedicato ed i risultati.
Se ritieni di possedere i requisiti richiesti e vuoi candidarti all'
offerta, invia i dati seguenti a questo email: [email protected] Saremo lieti di contattarLa. Non dimentichi di inserire tutti i dati importanti (i punti segnati da asterisco non sono necessari da compilare, gli altri dovrebbero essere comlpilati).
1. Il Suo nome
2. Il suo cognome
3. Il Suo indirizzo (paese, citta, via ecc)
4. Il suo cellulare
5. Il Suo numero di telefono fisso
6. Il Suo numero di telefono di alvoro (fax) *
7. Il suo indirizzo email
8. Per favore specifichi se e pronto a segnare il contratto con la nostra
societa
Se non e interessato all'offerta e non vuole piu ricevere email dalla nostra societa, per favore mand un email a questo indirizzo [email protected]
In attesa di una sua risposta
Distinti saluti
- Sara D.
Oggetto: Un posto vacante nella nostra azienda
Testo:
Salve
La nostra societa multinazionale sta estendendo l'attivita in Italia.
Rappresentante regionale:
Posti vacanti disponibili: 34
Paese di residenza: USA, Australia, Regno Unito, Europa
Guadagno: 450-650 Euro alla settimana (per il primo mese di prova)
Occupazione: a tempo non pieno (2.5-4.5 ore alla settimana)
L'informazione piu dettagliata sul lavoro: Offriamo la possibilita di far carriera e combinare questa attivita con il suo lavoro principale o gli studi. Offriamo lo stipendio di 2000 euro al mese piu commissioni settimanali, orario flessibile, buon ambiente di lavoro. Buona conoscenza di computer (Internet, E-mail), l'accesso all'Internet e la residenza in Italia
(Europa) sono obbligatori. L'incorporazione e immediata e non richiede nessun investimento.
Importante: Il lavoro non richiede nessun investimento da parte Sua. Non ha bisogno di pagare per niente. Lei investe il Suo tempo e lavora per conseguire i buoni risultati.
Se ritieni di possedere i requisiti richiesti e vuoi candidarti all'
offerta, invia i dati seguenti a questo email: [email protected] Saremo lieti di contattarLa. Non dimentichi di inserire tutti i dati importanti (i punti segnati da asterisco non sono necessari da compilare, gli altri dovrebbero essere comlpilati).
1. Il Suo nome
2. Il suo cognome
3. Il Suo indirizzo (paese, citta, via ecc)
4. Il suo cellulare
5. Il Suo numero di telefono fisso
6. Il Suo numero di telefono di alvoro (fax) *
7. Il suo indirizzo email
8. Per favore specifichi se e pronto a segnare il contratto con la nostra
societa
Se non e interessato all'offerta e non vuole piu ricevere email dalla nostra societa, per favore mand un email a questo indirizzo [email protected]
In attesa di una sua risposta
Distinti saluti
- Sara D.
Oggetto: Il modo legale di aumentare il Suo reddito
Testo:
Buongiorno
Ricerchiamo persone ben organizzate, responsabili, desiderosi di guadagnare e far parte di una squadra in sviluppo. Ricerchiamo i candidati per la posizione seguente:
Rappresentante regionale:
Posti vacanti disponibili: 34
Paese di residenza: USA, Australia, Regno Unito, Europa
Guadagno: 450-650 Euro alla settimana (per il primo mese di prova)
Occupazione: a tempo non pieno (2.5-4.5 ore alla settimana)
Piu informazione sull'offerta: E un lavoro a tempo non pieno (2,5-4,5 ore al giorno), con l'orario flessibile ed i guadagni elevati (2000 euro al mese piu commissione settimanale). Nessuna esperienza o formazione speciale sono richiesti. Il sopporto e l'addestramento sono gratuiti. Richieste : Sede di residenza del candidato-Italia (Europa), da 21 a 60 anni, conoscenza di computer (E-mail, Internet), attitudine al lavoro in team ed a operare in un ambiente dinamico ed in forte crescita.
L'incorporazione e immediata e non richiede nessun investimento. Le paghiamo per il tempo dedicato ed i risultati.
Se ritieni di possedere i requisiti richiesti e vuoi candidarti all'
offerta, invia i dati seguenti a questo email: [email protected] Saremo lieti di contattarLa. Non dimentichi di inserire tutti i dati importanti (i punti segnati da asterisco non sono necessari da compilare, gli altri dovrebbero essere comlpilati).
1. Il Suo nome
2. Il suo cognome
3. Il Suo indirizzo (paese, citta, via ecc)
4. Il suo cellulare
5. Il Suo numero di telefono fisso
6. Il Suo numero di telefono di alvoro (fax) *
7. Il suo indirizzo email
8. Per favore specifichi se e pronto a segnare il contratto con la nostra
societa
Se non e interessato all'offerta e non vuole piu ricevere email dalla nostra societa, per favore mand un email a questo indirizzo [email protected]
In attesa di una sua risposta
Cordiali saluti
- Sara D.
Il nuovo sito web della Agustis (www.get-insured.biz):
Il contratto inviato dai truffatori subito dopo aver risposta alle suddette e-mail:
-
Re: Osservatorio minacce informatiche (virus, trojan spyware, phising update [06/01/2
Truffa: ancora false diffide da parte di una nuova variante dell’Avv. Gentile
http://www.anti-phishing.it/image.news/judge.jpgL’Avv. Gentile e la sua falsa diffida per l’invio indesiderato di posta spazzatura sembra proprio non volere mollare. Dopo il primo caso registrato giovedì scorso ed una successiva variante, l’avvocato ritorna oggi con una nuova e-mail ed una schiera di falsi avvocati sparsi in tutta Italia e pronti a mettere nel sacco la vittima di turno.
Per l’occasione l’avvocato ha modificato il suo nome in modo da non destare sospetti e soprattutto per impedire ai più diffidenti di trovare sue informazioni al riguardo, con i seguenti nomi rilevati grazie alle segnalazioni giunteci sino ad ora:
Giuseppe Werner
Giuseppe Rupert
Claudio Henning
Roberto Kasimir
Andrea Frankobert
Marco Dietbrand
Domenico Frodebert
Leonardo Erkenfried
Giovanni Veicht
Alberto Hugo
Pietro Barnd
Francesco Stenka
Simone Otward
Nicola Wendelin
Luca Gerolf
Gianluca Wilmut
Enrico Augustin
Nicola Eberwolf
Antonio Alfons
Stefano Sepp
Lorenzo Winfried
Edoardo Knut
Stefano Marian
Pietro Didi
Angelo Giselmund
Nicola Wendelin
Enrico Augustin
Lorenzo Winfried
Stefano Sepp
Stefano Marian
Pietro Didi
Emanuele Zacharias
Alberto Tristan
Nicola Volkram
Lorenzo Nathanael
Andrea Burk
Antonio Ermenhard
Domenico Willimar
Luca Mathis
Enrico Veit
Domenico Florin
Michele Fridebald
Enrico Giselmar
Nicolò Irmbert
Alessio Klaus
Leonardo Alfons
Jacopo Eginald
Davide Aldo
Nicolò Ingwin
Antonio Burt
Manuel Nordwin
Giulio Marhold
Nicola Raimund
i quali esercitano la loro fantomatica attività presso i seguenti studi:
Stud. Legale
Giuseppe Werner e associati
Corso Magenta 14
Perugia
Studio Legale
Giuseppe Rupert e associati
Via Battindarno 12
Ancona
Ufficio Legale
Roberto Kasimir e associati
Viale Saffi 12
Brindisi
Studio Legale
Andrea Frankobert e associati
Viale Saffi 24
Venezia
Stud. Legale
Marco Dietbrand e associati
Via Battindarno 14
Studio Legale
Domenico Frodebert e associati
Viale Saffi 24
Parma
Stud. Legale
Leonardo Erkenfried e associati
Via Battindarno 16
Lecce
Stud. Legale
Giovanni Veicht e soci
Corso Magenta 53
Venezia
Studio Legale
Alberto Hugo e soci
Via Pascanella 76
Cagliari
Stud. Legale
Pietro Barnd e soci
Via Rossi 16
Lecce
Stud. Legale
Francesco Stenka e soci
Via Rossi 24
Imola
Stud. Legale
Simone Otward e associati
Via Rossi 24
Bari
Studio Legale
Nicola Wendelin e associati
Viale Saffi 12
Ufficio Legale
Luca Gerolf e soci
Corso Magenta 12
Cagliari
Studio Legale
Gianluca Wilmut e soci
Viale Saffi 16
Perugia
Stud. Legale
Enrico Augustin e soci
Viale Saffi 16
Brindisi
Ufficio Legale
Nicola Eberwolf e soci
Via Pascanella 81
Cagliari
Studio Legale
Antonio Alfons e associati
Viale Saffi 53
Parma
Studio Legale
Stefano Sepp e soci
Viale Saffi 53
Lecce
Studio Legale
Lorenzo Winfried e associati
Corso Magenta 14
Arezzo
Ufficio Legale
Edoardo Knut e soci
Via Rossi 76
Cagliari
Stud. Legale
Stefano Marian e soci
Via Pascanella 14
Bologna
Studio Legale
Pietro Didi e soci
Via Pascanella 24
Cagliari
Stud. Legale
Angelo Giselmund e soci
Via Pascanella 53
Firenze
Studio Legale
Nicola Wendelin e associati
Viale Saffi 12
Stud. Legale
Enrico Augustin e soci
Viale Saffi 16
Brindisi
Studio Legale
Lorenzo Winfried e associati
Corso Magenta 14
Arezzo
Studio Legale
Stefano Sepp e soci
Viale Saffi 53
Lecce
Stud. Legale
Stefano Marian e soci
Via Pascanella 14
Bologna
Studio Legale
Pietro Didi e soci
Via Pascanella 24
Cagliari
Studio Legale
Emanuele Zacharias e associati
Via Battindarno 81
Bologna
Studio Legale
Alberto Tristan e associati
Viale Saffi 76
Ancona
Ufficio Legale
Nicola Volkram e associati
Via Rossi 16
Ancona
Ufficio Legale
Lorenzo Nathanael e soci
Via Pascanella 76
Lecce
Studio Legale
Andrea Burk e associati
Via Pascanella 12
Ancona
Stud. Legale
Antonio Ermenhard e associati
Corso Magenta 95
Bologna
Stud. Legale
Luca Mathis e soci
Corso Magenta 12
Ancona
Stud. Legale
Enrico Veit e soci
Via Battindarno 81
Ancona
Studio Legale
Domenico Florin e associati
Corso Magenta 12
Roma
Studio Legale
Michele Fridebald e associati
Via Battindarno 16
Imola
Ufficio Legale
Enrico Giselmar e soci
Via Battindarno 76
Genova
Ufficio Legale
Nicolò Irmbert e soci
Viale Saffi 95
Torino
Stud. Legale
Alessio Klaus e associati
Via Battindarno 76
Bari
Studio Legale
Leonardo Alfons e associati
Via Battindarno 12
Bari
Stud. Legale
Jacopo Eginald e associati
Via Battindarno 81
Arezzo
Stud. Legale
Davide Aldo e associati
Via Pascanella 16
Genova
Stud. Legale
Nicolò Ingwin e soci
Via Pascanella 24
Venezia
Stud. Legale
Antonio Burt e associati
Via Rossi 24
Bari
Ufficio Legale
Manuel Nordwin e soci
Via Rossi 76
Perugia
Ufficio Legale
Giulio Marhold e soci
Viale Saffi 16
Roma
Ufficio Legale
Nicola Raimund e associati
Viale Saffi 81
Perugia
Inoltre il truffatore ha provveduto a registrare una nuova serie di domini web presso i quali effettuare il download del file removal_tool.exe. Il quale dietro la facciata di tool anti-virus nasconde una natura malware infettando di fatto il computer colpito. Un’accurata descrizione sul funzionamento di tale file è stata realizzata da Marco Giuliani responsabile del sito web Pc al Sicuro. - http://www.pcalsicuro.com
Questi i nuovi domini web:
http://www.tenkillerdirect.com
http://www.spyproductkiller.com
http://www.personalspywareremover.com
http://www.killmalaware.com
http://www.addwarekiller.com
http://www.protect-corp.com
Ricordiamo ancora una volta a tutti coloro i quali hanno provveduto ad utilizzare il file removal_tool.exe, che possono utilizzare l’apposito cleaner gratuito realizzato dalla NOD32, in grado di rilevare ed eliminare automaticamente l’infezione causata dal malware: http://www.nod32.it/tools/SPBCLEAN.ZIP
La e-mail utilizzate nel caso odierno:
Gentile utente [indirizzo e-mail],
sono l'avvocato Luca Gerolf proprietario dell'omonimo studio Legale, mi trovo costretto a riscriverle perchè continuano ad arrivarmi dal suo indirizzo email [indirizzo e-mail] messaggi dal contenuto pornografico.
La rimando a tal proposito a esaminare l'ultimo arrivato, che riporto sotto a questo messaggio.
Non sono un esperto informatico, tuttavia il tecnico del nostro studio sostiene che questi invii da parte sua sono probabilmente involontari e causati da un worm informatico.
Dice inoltre che è possibile rimuovere questo worm con il programma scaricabile da questo sito http://www.addwarekiller.com
Io non ho nè le competenze nè il tempo per verificare l'esattezza di questa supposizione, purtroppo mi trovo cosuretto a DIFFIDARLA dal continuare questi invii non sollecitati alla mia posta di lavoro.
Se riceverò UN SOLO ALTRO MESSAGGIO di questo genere procederò per vie legali senza ulteriore avviso.
interrompa questi invii o, se si tratta di un virus worm, ripulisca il suo computer al più presto perchè probabilmente non sono il solo che sta ricevendo questa Spazzatura da lei.
Le ricordo che i reparti di polizia delle telecomunicazioni hanno i mezzi per risalire alla vera identità del proprietario di un indirizzo di posta, per quanto registrato con dati inventati o internazionale. Per cui non creda di poter continuare a infestare la mia casella email con queste pubblicità sconvenienti.
in attesa di un suo urgente riscontro,
migliori saluti
Ufficio Legale
Luca Gerolf e soci
Corso Magenta 12
Cagliari
----- Original Message -----
From: [indirizzo e-mail]
To: 'Luca Gerolf'
Sent: Decembre 4, 2006 10:36
Subject: guarda qui
apri lo zip allegato è un game porno!
provalo e invialo a tutti!!
fatti sentire
[indirizzo e-mail]
Gentile utente [indirizzo e-mail]
sono l'avvocato Giovanni Veicht proprietario dell'omonimo studio Legale, mi trovo costretto a riscriverle perchè continuano ad arrivarmi dal suo indirizzo di posta elettronica [indirizzo e-mail] messaggi dal contenuto esplicito.
La rimando a tal proposito a visionare l'ultimo arrivato, che riporto in coda a questo messaggio.
Non sono un esperto in materia, tuttavia il sistemista del nostro studio sostiene che questi invii da parte sua sono forse involontari e causati da un virus informatico.
Dice inoltre che è possibile rimuovere questo virus con il software scaricabile da questo sito http://www.personalspywareremover.com
Io non ho nè le competenze nè il tempo per verificare l'esattezza di questa ipotesi, purtroppo mi trovo costretto a DIFFIDARLA dal continuare questi invii non sollecitati alla mia posta di lavoro.
Se riceverò UN SOLO ALTRO MESSAGGIO di questo genere procederò a denunciarla senza ulteriore avviso.
interrompa questi invii o, se si tratta di un virus virus, ripulisca il suo computer al più presto perchè forse non sono il solo che sta ricevendo questa immondizia da lei.
Le ricordo che i reparti di polizia delle telecomunicazioni hanno gli strumenti per rintracciare la vera identità del proprietario di un indirizzo di posta elettronica, per quanto registrato con dati fasulli o internazionale. Per cui non creda di poter continuare a inondare la mia casella email con queste cose.
in attesa di un suo sollecito riscontro, migliori saluti
Stud. Legale
Giovanni Veicht e soci
Corso Magenta 53
Venezia
----- Original Message -----
From: [indirizzo e-mail]
To: 'Giovanni Veicht'
Sent: Decembre 2, 2006 15:49
Subject: troppo bello
apri il documento allegato è un flasgame sessuale!
clicca e invialo a tutti!!
fatti sentire
[indirizzo e-mail]
Gentile utente [indirizzo e-mail]
sono l'avvocato Francesco Stenka titolare dell'omonimo studio Legale, mi trovo costretto a riscriverle perchè continuano ad arrivarmi dal suo indirizzo di [indirizzo e-mail] messaggi dal contenuto sconveniente.
La rimando a tal proposito a visionare l'ultimo arrivato, che riporto in coda a questo messaggio.
Non sono un esperto informatico, tuttavia il sistemista del nostro studio sostiene che questi invii da parte sua sono probabilmente non volontari e causati da un virus informatico.
Dice inoltre che è possibile rimuovere questo worm con il programma scaricabile da questa url http://www.killmalaware.com
Io non ho nè le competenze nè il tempo per verificare l'esattezza di questa supposizione, purtroppo mi trovo cosgretto a DIFFIDARLA dal continuare questi invii seccanti alla mia posta di lavoro. Se riceverò UN SOLO ALTRO MESSAGGIO di questo genere procederò a denunciarla senza ulteriore avviso.
Sospenda questi invii o, se si tratta di un virus worm, lo disinstalli al più presto perchè probabilmente non sono il solo che sta ricevendo questa Spazzatura da lei.
Le ricordo che i reparti di polizia informatica hanno gli strumenti per rintracciare la vera identità del proprietario di un indirizzo di posta elettronica, per quanto registrato con dati di fantasia o internazionale. Per cui non creda di poter continuare a infestare la mia casella email con queste promozioni.
in attesa di un suo cortese riscontro,
cordiali saluti
Stud. Legale
Francesco Stenka e soci
Via Rossi 24
Imola
----- Original Message -----
From: [indirizzo e-mail]
To: 'Francesco Stenka'
Sent: Decembre 4, 2006 12:59
Subject: giochino
apri lo zip allegato è un flasgame erotico!
clicca e invialo a tutti!!
ciao!
Fonte anti-phishing Italia
-
Re: Osservatorio minacce informatiche (virus,trojan,spyware,phishing) Update [06/01/2
Falla WMF/EMF in OpenOffice.org
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gifSecunia Advisoryhttp://www.tweakness.net/immagini/news/spacer.gifBug Issue 70042http://www.tweakness.net/immagini/news/spacer.gifOpenOffice.org 2.1
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/openoffice3.jpgSecunia ha segnalato l'esistenza di una vulnerabilità in OpenOffice.org, la suite per ufficio libera multipiattaforma e multilingua open-source. Il problema di sicurezza, classificato dall'azienda come "altamente critico", affligge tutte le versioni meno recenti del software OpenOffice 1.0.x, OpenOffice 1.1.x e OpenOffice.org 2.x escluse le build 2.1.x, e potrebbe essere sfruttato per compromettere un sistema vulnerabile.
Secondo quanto riporta Secunia la vulnerabilità è causata da alcuni integer overflow nella funzione di processing dei file WMF/EMF. Il bug può essere sfruttato per causare un heap-based buffer overflow, inducendo l'utente per esempio ad aprire un file WMF/EMF modificato ad arte per lo scopo.
Se condotto con successo l'exploit della falla permette ad un attacker di eseguire codice arbitrario da remoto. Secunia raccomanda a tutti gli utenti della suite di aggiornare alla versione 2.1 del prodotto che include un fix per il problema. Contestualmente alcuni sviluppatori hanno rilasciato dei binary fix per OOo 1.1.5, disponibili via FTP. Bisogna segnalare che anche Red Hat ha rilasciato delle patch specifiche per proteggere i suoi clienti dal problema di sicurezza. Questo update è disponibile via Red Hat Network. Sun ha rilasciato una patch per il problema in StarOffice/StarSuite 7 Product Update 8.
Si tratta della seconda vulnerabilità degna di nota che affligge OpenOffice. Ad Aprile 2005 il gruppo di sviluppatori open-source era stato costretto a rilasciare un fix di emergenza per un buffer overflow che metteva gli utente a rischio di attacchi di code execution.
Ricordiamo che a Dicembre OpenOffice.org aveva annunciato la disponibilità di OpenOffice.org 2.1 (OOE680_m6). L'aggiornamento, terza release del prodotto nel 2006, introduce vari miglioramenti per le applicazioni della suite e segna, secondo il gruppo, un significante passo avanti rispetto a tutte le versioni precedenti. Ad Ottobre scorso OpenOffice.org aveva festeggiato il sesto anniversario della nascita del progetto, rilasciando contestualmente l'update 2.0.4.
http://www.tweakness.net/immagini/links.gif OpenOffice.org 2.1 Disponibile
Novità in OpenOffice.org 2.1: Impress, l'applicazione per le presentazioni, supporta la visualizzazione di più immagini diverse su più monitor, e la persona che presenta ha la possibilità di scegliere su quale visualizzare la presentazione e su quale le note. Calc, l'applicazione per la gestione dei fogli elettronici, oltre a essere molto più veloce nella gestione dei fogli di grandi dimensioni, offre una funzionalità di esportazione HTML che usa gli stili per ricreare nel browser l'aspetto originale del documento. Base, l'applicazione per la gestione dei database, supporta in modo migliore i file di Microsoft Access. Quickstarter, l'applicazione che viene lanciata all'accensione del sistema e che permette di avviare rapidamente i singoli moduli della suite, è disponibile per gli utenti Linux come applicazione GTK. Inoltre la funzionalità di aggiornamento automatico può essere attivata e configurata dall'utente, e questo consente di avere sempre – automaticamente – il prodotto più aggiornato. Il supporto per le lingue di OpenOffice.org è stato esteso a cinque nuove localizzazioni. Changelog completo.
Ricordiamo infine che ad inizio Dicembre Novell, uno dei principali supporter del progetto OpenOffice, ha annunciato che integrerà nella principale alternativa open-source a Microsoft Office il supporto per i nuovi formati Office Open XML di Office 2007, per la lettura e la creazione di file .DOCX. Lo scopo di Novell, che supporterà Open XML anche negli altri suoi prodotti, è quello di incrementare l'interoperatività tra OpenOffice.org e la nuova generazione di Microsoft Office, iniziativa che rientra nello storico accordo tra l'azienda e il colosso di Redmond siglato ad inizio Novembre.
-
Re: Osservatorio minacce informatiche (virus,trojan,spyware,phishing) Update [06/01/2
Microsoft "Pre-Patch Day" GEN06
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/..._Patch_Day.jpgIl 9 Gennaio prossimo Microsoft rilascerà 8 nuovi bollettini di sicurezza con relative patch per correggere varie falle nei suoi software. Per quanto riguarda la sicurezza è previsto anche il consueto aggiornamento per lo strumento di rimozione malware per Windows. Gli update rientrano nel programma mensile di aggiornamento di protezione dei suoi prodotti, fissato per il secondo Martedì di ogni mese.
3 aggiornamenti interesseranno il sistema operativo Windows, e saranno di livello aggregato "critico", altri 3 aggiornamenti di protezione riguarderanno invece Microsoft Office sempre con livello aggregato "critico", ed 1 bollettino "importante" interesserà entrambi i prodotti dell'azienda. L'ultimo bollettino riguarderà invece Windows e Microsoft Visual Studio ed anche questo è classificato come importante. Il colosso rilascerà anche due aggiornamenti non di sicurezza ad alta priorità su Microsoft Update (MU) e Windows Server Update Services (WSUS).
Ricordiamo che, secondo il sistema di rating del colosso del software, un problema di sicurezza è "critico" quando consente la realizzazione di un worm o altro codice nocivo in grado di diffondersi o attaccare senza richiedere intervento dell'utente. I problemi "importanti" invece si riferiscono alle vulnerabilità che possono essere sfruttate per compromettere la riservatezza, l'integrità e la disponibilità di dati e risorse di processing.
Nelle sue Security Bulletin Advance Notification Microsoft, come regola, non rivela in anticipo i dettagli sulle vulnerabilità che saranno poi corrette con i rilasci "Patch Day". Tuttavia ricordiamo che il software Microsoft Word era stato preso di mira solo nelle prime due settimane di Dicembre scorso da almeno tre diversi attacchi malware zero-day legati a vulnerabilità ancora non conosciute nel software (descritte in news precedenti). È probabile che il prossimo Patch Day porterà correzioni per questi problemi di sicurezza.
L'ultimo codice exploit rilasciato in-the-wild per Word sfrutta una vulnerabilità nel modo in cui Word gestisce i dati che descrivono la formattazione del testo nei documenti (carattere in uso, grassetto, etc); modificando alcune delle strutture dati usate per contenere queste informazioni un attacker è in grado di eseguire codice nell'ambito del processo dell'applicazione (rilasciare ulteriori codici nocivi, installare una backdoor, etc). Le altri due vulnerabilità di Word erano state svelate qualche giorno prima del Patch Day di Dicembre. Secunia, nota azienda di security monitoring, aveva classificato entrambi i problemi di sicurezza (SA23232 e SA23205) come "estremamente critici", il massimo livello di pericolosità usato nel suo sistema di rating, evidenziando che un exploit condotto con successo consente agli eventuali attacker di eseguire codice arbitrario ed eventualmente compromettere un sistema vulnerabile.
-
Re: Osservatorio minacce informatiche (virus,trojan,spyware,phishing) Update [06/01/2
File PDF all'attacco: porte aperte ai malware, phishing, truffe, sottrazione di dati….
http://www.anti-phishing.it/image.news/pdf.pngCi piacerebbe dire che si tratta della classica vulnerabilità per potervi rassicurare. Ma sarebbe falso. Il problema esiste ed è grave perchè questa volta è sufficiente aprire un file PDF da un sito legittimo (banche, scuole, google, istituzioni, il vostro sito personale) per dare vita a quella che probabilmente rappresenta una delle più pericolose vulnerabilità scoperte che non svanirà semplicemente rilasciando patch o software aggiornati.
Il problema presente nei plugin di Acrobat Reader è stato scoperto dall’italiano Stefano di Paolo in collaborazione con Stefano Fedon. Presentato al mondo durante il 23esimo CCC (Computer Chaos Club) Congress,consente di condurre attacchi definiti Universal XSS semplicemente aprendo con il proprio browser i famosi file PDF, i quali non obbligatoriamente devono risiedere in appositi siti maligni ma come già annunciato possono essere sfruttati quelli presenti in qualsiasi sito web, come dimostreremo meglio nei prossimi esempi. Questa volta non è il sito web ad essere vulnerabile ma il nostro browser.
La vulnerabilità nasce dall’utilizzo degli Open Parameter (ulteriori dettagli nella guida ufficiale di Adobe), parametri che consentono di aprire file PDF tramite URL e far eseguire loro specifici comandi. In particolare i parametri utilizzati sono FDF, XML e XFDF.
Tuttavia come lo stesso Di Paolo ha riportato nel suo sito web Wisec (www.wisec.it) la vulnerabilità non consente solo di condurre attacchi XSS (Cross-Site Scripting), ma anche:
Attacchi Universal CSRF (Cross-Site Request Forgery) o session riding tramite Internet Explorer, Mozilla Firefox ed Opera. Attraverso i quali un malintenzionato può far eseguire ad un ignaro utente autentico in uno specifico sito, operazioni più o meno legali a sua insaputa, semplicemente attraverso il seguente URL:
http://site.com/file.pdf#FDF=http://...ex.html?param=...
Esecuzione di codice remoto. Mentre l’utente visualizza il testo di un file PDF un codice maligno entra in funzione nel suo sistema, azionato non dal pirata informatico ma dalla stessa ignara vittima. Il problema è attivo solo attraverso Mozilla Firefox.
http://site.com/file.pdf#FDF=javascript:document.write('jjjjj...') ;
Attacchi Denial of Service (DoS) contro se stessi attraverso Internet Explorer. Il sistema va semplicemente in crash. Pericolo zero, disturbo tanto, soprattutto per la perdita dei lavori non salvati.
http://site.com/file.pdf#####...(Molti '#')
Torniamo adesso al problema principali ossia gli attacchi XSS eseguibili esclusivamente attraverso Mozilla Firefox (pertanto se utilizzate Internet Explorer almeno questo problema non sussiste) i quali possono essere sfruttati per condurre attacchi di phishing, sottrarre i cookie contenenti username e password o qualunque altra azione illegale. Lo spazio di manovra aperto da questa nuovo bug è limitato solo dalla fantasia distruttiva dei pirati informatici.
Alcuni esempi partendo dall’apposito URL in grado di innescare il problema:
http://sito.com/file.pdf#FDF=javascript:codice
-utilizziamo il codice realizzato da Jean-Jacques Halans per la newsletter di APWG (Anti-Phishing Working Group) sfruttando un PDF presente nel sito web Repubblica.it: Clicca qui
L’esempio è innocuo ma sfruttato da malintenzionati potrebbe dare vita ad un caso di phishing o furto d’identità digitale.
-Due PDF dei principali obiettivi del phishing nazionale nel 2006: Poste Italiane e Banca Intesa. Viene visualizzato un piccolo messaggio di avviso.
-Il sito web GNUCITIZEN (http://www.gnucitizen.org) propone invece di sfruttare il bug per eseguire del codice javascript direttamente nel sistema colpito. Qualcuno giustamente adesso si porrà la domanda “è impossibile sapere dove l’utente conserva i suoi file PDF”. Giustissimo. Peccato che nel momento in cui si installi Acrobat Reader, questo carichi nella cartella "Resource" il file ENUtxt.pdf (C:\Programmi\Adobe 7.0\Resource\ENUtxt.pdf)
Ecco un esempio, realizzato per coloro che utilizzano Adobe Reader 7.0 – clicca qui
Soluzioni
Avvertita del problema lo scorso 15 ottobre la Adobe ha risolto il problema con la versione 8.0 del suo Reader. Scaricabile al seguente indirizzo: clicca qui – http://www.adobe.com/products/acrobat/readstep2.html
Una soluzione di ripiego, anche se è comunque consigliato effettuare il download della versione aggiornata del programma, almeno per Mozilla Firefox può essere effettuata modificando le impostazioni per il download dei file:
1) Menu Strumenti --> Opzioni
2) Selezionate il menu Contenuti e cliccate su Gestione
3) Selezionate la voce PDF e cliccate su Cambia Azione
A questo punto selezionate l’opzione Aprili con l’applicazione predefinita
Cliccate su OK, Chiudi ed avete finito.
Ripetete quest’ultima azione anche per il file FDF/XFDF/XDP e XFD.
Nonostante l’ultima versione di Adove Reader o la soluzione appena descritta, il problema non sparisce definitivamente. Questo è dovuto alla lentezza di molti utenti nell’effettuare gli aggiornamenti dei propri software, ed alla sempre più scarsa attenzione attribuita alla sicurezza informatica nel nostro paese. Che quasi sembra diminuire in relazione all’aumento delle minacce informatiche.
Pertanto c’è da scommette che il bug di oggi che lo ritroveremo troppo spesso tra i piedi.
Ulteriori informazioni: Wisec.it
da Anthiphising - Italia
-
Re: Osservatorio minacce informatiche (virus,trojan,spyware,phishing) Update [06/01/2
Opera Software e varie aziende di sicurezza hanno pubblicato nuovi advisory relativi a due vulnerabilità che affliggono il browser Opera 9.x, originariamente scoperte e segnalate da iDefense Labs a Novembre e corrette "in segreto" dall'azienda norvegese nella versione Opera 9.10 rilasciata il mese scorso. I due bug di protezione non erano infatti menzionati nel chengelog ufficiale pubblicato con la nuova release.
Si tratta di due vulnerabilità permettono di "esecuzione codice". Secunia classifica il problema di sicurezza come "altamente critico", mentre Opera Software nei suoi advisory riporta un rischio "moderato" per entrambe le falle. Secondo Opera almeno uno dei due exploit per le vulnerabilità è alquanto complesso da realizzare, in forma "affidabile".
Il primo problema risiede in una vulnerabilità del createSVGTransformFromMatrix Object Typecasting, in grado di causare un crash del browser. Passando un oggetto non corretto alla funzione createSVGTransformFromMatrix è possibile mandare in crash Opera ed eventualmente accedere all'esecuzione di codice arbitrario sul sistema affetto. Durante il processing delle richieste createSVGTransformFromMatrix il browser non esegue una validazione appropriata del tipo di oggetto passato alla funzione.
Per sfruttare il bug un attacker dovrebbe prima di tutto creare un sito web contenente codice JavaScript nocivo e poi indurre un utente a visitare questo sito. In questo modo è possibile sfruttare il buco di sicurezza del browser ed eseguire codice con i privilegi dell'utente locale.
Nota: Secondo quanto riportato in rete, questa falla affligge anche Opera per Wii, versione di prova del browser per la console Nintendo Wii. Questa versione del software è infatti basata su Opera 9.02. Attualmente non sembrano esserci commenti ufficiali dell'azienda a riguardo. (discussione su Digg).
Advisory createSVGTransformFromMatrix Object Typecasting: Opera Software iDefense Labs
La seconda vulnerabilità risiede in un errore del processing dei file JPEG che può essere sfruttato per causare un heap-based buffer overflow tramite un file immagine con un marker DHT modificato ad arte nell'header. Il DHT marker viene usato per definire la Huffman Table, utile al decoding dei dati immagine. Un numero non valido di index bytes nel marker provoca un heap overflow con dati parzialmente "user controlled". L'immagine malformata da sola causa solo un crash del software. Per sfruttare il buco di sicurezza, un attacker deve prima di tutto caricare nella memoria del computer codice di attacco, un operazione alquanto complessa e di difficile realizzazione. Ad ogni modo la falla permette potenzialmente l'esecuzione di codice arbitrario nel contesto di sicurezza dell'utente corrente. Anche in questo caso l'immagine-exploit può essere ospitata su un sito web programmato ad arte per attaccare i visitatori.
Advisory "JPG Image DHT Marker Heap Corruption": Opera Software - iDefense Labs
Opera Software ha rilasciato Opera 9.1 il 18 Dicembre scorso. La nuova versione del web browser gratuito introduce, oltre ad una serie di bugfix e miglioramenti in performance, una tecnologia di Protezione Anti-Fronde che sfrutta i servizi offerti da GeoTrust e PhishTank. Come preannunciato, la nuova tecnologia di protezione fornisce funzionalità simili a quelle già integrate in Firefox 2.0 e Internet Explorer 7, ma sfrutta unicamente un approccio real-time.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [08/01/2007]
eBay Italia sotto attacco. Nuova variante di phishing
http://www.anti-phishing.it/image.news/ebaylogo.007.jpgIl 2007 è decisamente nato sotto una cattiva stella per gli utenti di eBay Italia, i quali a distanza di pochi giorni dall’ultimo doppio tentativo (phishing e keylogger) si ritrovano ora possibili vittime di una nuova variante mai utilizzata prima in Italia.
L’e-mail truffa, elemento fondamentale del phishing, questa volta non riproduce o cerca di rassomigliare ad una vera comunicazione da parte del noto sito d’aste on-line con loghi e particolari formattazioni del testo, ma si limita semplicemente ad un'informativa in merito al rilascio della fattura. Emessa in seguito ad aste o l’utilizzo di servizi offerta dalla stessa eBay.
Nonostante la presenza di piccoli errori di italiano, e quel "Gentile Cliente," in fondo al testo che quantomeno dovrebbe suscitare qualche perplessità, l’e-mail risulta credibile e potrebbe realmente mettere nel sacco molti venditori e non solo, visto che di fronte ad un e-mail che informa del rilascio di una fattura, in molti, cercando di ottenere maggiori informazioni, non esiteranno a visitare ed utilizzare il clone, fornendo così sul "piatto d’argento" le proprie credenziali d’accesso, insieme ai dati personali, al truffatore di turno.
Questa è l’e-mail utilizzata:
Il sito clone risultata ospitato fisicamente in Russia.
http://www.anti-phishing.it/phishing...08.01.2007.png
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [08/01/2007]
Microsoft ha rilasciato 4 nuovi bollettini di sicurezza nell'ambito del suo programma di aggiornamento di protezione realizzato su base mensile, per correggere 10 falle nei suoi software, classificate quasi tutte come critiche. Si contano 3 bollettini "critici" ed 1 "importante"; i bollettini critici includono due aggiornamenti di protezione per Office, uno per Outlook, l'altro per Excel (che coprono 8 delle 10 patch corrette in tutto). Il terzo aggiornamento critico riguarda Windows (Vector Markup Language). L'ultimo bollettino, classificato come importante, corregge un problema del correttore ortografico (Brasiliano Portoghese) di Microsoft Office 2003.
Microsoft non ha rilasciato nessun aggiornamento di protezione per Microsoft Word, software che era stato preso di mira nelle prime due settimane di Dicembre scorso da almeno tre diversi attacchi malware zero-day legati a vulnerabilità ancora non conosciute nel software (descritte in news precedenti). Ricordiamo che Microsoft aveva modificato la schedule dei bollettini per il primo Patch Day del 2007. Rispetto a quanto annunciato precedentemente nella sua Security Bulletin Advance Notification, Microsoft ha ridotto il numero dei nuovi bollettini di sicurezza da 8 a 4. Nessun dettaglio è stato rilasciato riguardo le motivazioni di questi tagli. In tutto il colosso ha eliminato dalla schedule di release 2 aggiornamenti per Windows, 1 bollettino "importante" per entrambi i prodotti Windows e Office e 1 bollettino relativo a Windows e Microsoft Visual Studio, questo classificato come importante. Verosimilmente questi aggiornamenti saranno rimandati al Patch Day successivo di Febbraio.
Uno dei problemi di sicurezza più preoccupanti è rappresentato da una serie di vulnerabilità in Microsoft Excel (in tutto 5) che possono consentire l'esecuzione di codice arbitrario su un sistema affetto [MS07-002]. La scoperta della "Excel Malformed Record vulnerabilità" si deve al Fortinet Security Research Team (FSRT) che ha rilasciato un advisory dedicato al problema di sicurezza, contestualmente al rilascio della patch da parte di Microsoft. Anche Secunia, nota azienda di security monitoring, ha pubblicato un advisory sulle vulnerabilità di Excel, classificando il problema come "altamente critico".
Il bollettino [MS07-003] offre invece correzione per tre vulnerabilità in Microsoft Outlook, almeno due sfruttabili per eseguire codice e prendere potenzialmente il controllo di un sistema vulnerabile. L'altro bollettino critico [MS07-004] include una patch per una vulnerabilità della implementazione Vector Markup Language (VML) di Windows, sfruttabile tramite una pagina web programmata ad arte, o una e-mail HTML, per eseguire codice da remoto. Si tratta della seconda falla importante in VML che affligge Windows negli ultimi mesi. A Settembre 2006 alcuni cybercriminali attaccato un altro bug in VML per installare codici rootkit e spyware sulle macchine vulnerabili, costringendo Microsoft a rilasciare una patch out-of-cycle per IE.
IMPORTANZA RISCHIO C = Critica
I = Importante [RCE] = Remote Code Execution
[EoP] = Eevation of Privilege SISTEMI RECENTI AFFETTI SP2[x]/x64[x] = Presente anche in Windows XP SP2/x64 (con "x" = importanza relativa)
SP2()/x64() = Almeno una componente di Windows XP SP2/x64 affetta
- MS07-001 Vuln. in Microsoft Office 2003 Brazilian Portuguese Grammar Checker [RCE] (921585) I
- MS07-002 Vulnerabilità in Microsoft Excel [RCE] (927198) C Anche Excel 2003
- MS07-003 Vulnerabilità in Microsoft Outlook [RCE] (925938) C Anche Outlook 2003
- MS07-004 Vulnerabilità in Vector Markup Language [RCE] (929969) C SP2[C] x64[C]
Rilasciato anche il consueto aggiornamento per lo strumento di rimozione malware per Windows (KB890830), v.1.24, che include informazioni di rilevamento e rimozione per Win32/Haxdoor e WinNT/Haxdoor. L'8 Febbraio avremo notizie sul Patch Day di Febbraio 2007, previsto il giorno 13.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [10/01/2007]
Sophos, società leader a livello mondiale nel settore della sicurezza informatica, ha reso nota la classifica del malware e dei falsi allarmi che hanno dominato la scena nel mese di Dicembre 2006. I dati, raccolti dalla rete globale dei centri di monitoraggio Sophos, registrano il ritorno in classifica del codice nocivo noto all'azienda come "Dref", conosciuto da tempo, grazie a due sue nuove varianti che stanno causando problemi agli utenti della rete in tutto il mondo.
Distribuito in massa mascherato da cartolina d'auguri elettronica, il worm Dref-V è stato identificato negli ultimi giorni di Dicembre 2006 e nell'arco di un solo giorno ha rappresentato il 93,7% di tutte le mail infette in circolazione. Questa percentuale ha consentito a Dref, avvistato per la prima volta a Luglio 2005, di scalzare Stratio (aka Warezov), il worm più dannoso dello scorso mese, dalla vetta della classifica. Attualmente in quarta posizione, Stratio rappresenta ormai solo il 7,8% di tutti i malware in circolazione.
links e news Attenti ai Malware di "Fine Anno" - Worm: Happy New Year e Cartolina
A fine Dicembre avevamo già segnalato la diffusione di codici di attacco malware che sfruttavano il tema delle festività come vettore di social engineering. In particolare, le aziende di sicurezza hanno monitorato una serie di attacchi spam su larga scala che includevano nei messaggi di posta un allegato nocivo presentato come una cartolina di auguri per il nuovo anno. A quanto pare era stata F-Secure ad isolare per prima un secondo attacco spam su vasta scala, caratterizzato da messaggi brevi (senza testo, e con il solo oggetto "Happy New Year!") con allegato un file chiamato solitamente postcard.exe. L'allegato nocivo (comunque variabile) è stato classificato da F-Secure come Trojan-Downloader.Win32.Tibs.jy o Luder.A.
Si tratta dello stess codice nocivo identificato da Sophos come Dref-V, un e-mail worm, che rilascia un trojan downloader ed un file infector nel sistema vittima. Secondo F-Secure la componente file infector esegue lo scan di tutti i dischi fissi e di rete in cerca di file da infettare (hta, txt, htm, exe, scr, rar) eseguendo l'inject di una porzione di codice per il redirect dell'entry point che si occupa di richiamare una copia del worm (questo processo non è privo di bug e può causare la corruzione dei file in fase di infezione). Il worm è anche in grado di terminare alcuni processi legati a soluzioni antivirus.
La Top Ten del malware di Sophos per il mese di dicembre 2006 è la seguente: 1. Dref (35,2%), 2. Netsky (22,2%), 3. Mytob (10,7%), 4. Stratio (7,8%), 5. Bagle (5,2%), 6. Zafi (4,8%), 7. MyDoom (3,3%), 8. Sality (2,8%), 9. Nyxem (1,3%), 10. StraDl (0,9%), Altri (5,8%).
"Consigliamo di fare molta attenzione, negli ultimi giorni Dref è stato inviato in massa, gli utenti che rientrano al lavoro corrono il rischio, nella fretta di smaltire le e-mail natalizie, di aprire inavvertitamente l'allegato malevolo", ha dichiarato Carole Theriault, senior security consultant di Sophos. "Le sue tattiche di ingegneria sociale non rappresentano una novità, quindi la maggior parte delle aziende dovrebbe già disporre di una protezione adeguata per fronteggiare il worm. È sorprendente che, pur essendosi diffuso per pochissimo tempo nel corso dell'intero mese, Dref si sia piazzato in cima alla classifica delle minacce più diffuse". Il volume di mail infette continua tuttavia a mantenersi basso: una sola mail infetta su 337, pari allo 0,30% di tutte le mail in circolazione. Durante il mese di dicembre, Sophos ha identificato 6.251 nuove minacce.
La classifica dei falsi allarmi e delle catene di Sant'Antonio per Dicembre 2006 è la seguente: 1. Hotmail hoax (23,1%), 2. Olympic torch (9,4%), 3. Elf Bowling (5,6%), 4. Applebees Gift Certificate (4,4%), 5. Sainsbury's gift vouchers (3,7%), 6. Bonsai kitten (3,3%), 7. A virtual card for you (3,0%), 8. ATM Theft (2,3%), 9. Meninas da Playboy (2,2%), 10. Budweiser frogs screensaver (2,1%), Altri (40,9%).
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [10/01/2007]
xploit per Falla Critica in VML
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifBollettino MS07-004http://www.tweakness.net/immagini/news/spacer.gifBollettino MS07-003http://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/fallawin3.jpgUn codice exploit funzionante per una vulnerabilità ad alto rischio, corretta tre giorni fa da Microsoft con il rilascio di uno dei bollettini relativi al Patch Day di Gennaio, è stato reso disponibile da una azienda di sicurezza. Cresce quindi il livello di urgenza per l'applicazione della patch da parte degli utenti finali. L'exploit, che consente il takeover di un PC con Windows XP SP2, è stato pubblicato da Immunity nell'ambito del programma dedicato ai partner tramite il quale l'azienda offre informazioni aggiornate su nuove vulnerabilità ed exploit ad altre aziende IDS (intrusion detection companies) e di penetrating testing.
Il codice exploit reso disponibile riguarda un bug "critico" nell'implementazione di VML (Vector Markup Language) in Windows, ed è stato testato con successo su Windows XP SP2 e Windows 2000, con l'installazione predefinita di Internet Explorer 6.0. Kostya Kortchinsky, ricercatore di Immunity, commenta: "Si tratta di un exploit totalmente funzionate, che offre totale accesso per fare qualsiasi cosa sulla macchina attaccata". Dal bollettino MS07-004: "Un utente malintenzionato potrebbe sfruttare la vulnerabilità creando una pagina Web appositamente predisposta o un messaggio di posta elettronica in formato HTML in grado di consentire potenzialmente l'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, è possibile assumere il pieno controllo del sistema interessato".
A quanto pare il codice di attacco per la falla è stato creato e testato in meno di tre ore dopo la release del bollettino MS07-004 da parte di Microsoft, un aspetto che conferma la riduzione del gap tra la release della patch e il full deployment sulle reti enterprise. Dal punti di vista del clienti, Microsoft sfrutta il meccanismo Aggiornamenti Automatici per distribuire gli aggiornamenti di protezione, nelle imprese tuttavia le patch devono passare rigorosi test per avere garanzia che non ci siano conflitti con applicazioni aziendali mission-critical. Mediamente ci può volere un intero mese per testare completamente ed installare gli aggiornamenti su ogni desktop, laptop, server o dispositivo mobile presenti in una rete aziendale.
Kortchinsky ha affermato che l'exploit sarà ottimizzato per tentare di ottenere una condizione di esecuzione codice su Internet Explorer 7.0, la nuova versione del browser di Microsoft. Secondo il bollettino MS07-004, IE 7.0 su Windows XP e Server 2003 è effettivamente vulnerabile al problema. Microsoft ha affermato che la falla era stata originariamente segnalata tramite il suo processo di "responsible disclosure", ma una nota nell'advisory conferma che l'esistenza di attacchi zero-day precedenti al Patch Day. Al momento non ci sono informazioni pubbliche su questi attacchi zero-day, Microsoft non aveva neanche rilasciato un advisory pre-patch per avvertire i clienti riguardo questi rischi. Il team MSRC (Microsoft Security Response Center) incoraggia gli utenti di Windows ad applicare le patch al più presto, come aggiornamento ad alta priorità. In una intervista con eWeek, Mark Griesi, security program manager di MSRC, ha affermato che il rischio è alto perchè esiste un vettore di attacco non autenticato che offre ad una attacker un modo di eseguire l'hijack di un sistema vulnerabile senza interazione da parte dell'utente.
Microsoft ha inoltre invitato gli utenti a prestare particolare attenzione al bollettino MS07-003 che corregge tre serie falle nell'applicazione Microsoft Outlook. Una delle falle di Outlook, classificata come critica, permette ad un attacker di usare record VEVENT malformati per lanciare codice eseguibile durante la gestione le routine di file parsing. Se un utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato, riuscendo quindi a installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Outlook non esegue una convalida dei dati adeguata quando elabora i contenuti di una convocazione riunione iCal. Se in Outlook viene aperta una convocazione riunione .iCal appositamente predisposta e viene analizzata una richiesta VEVENT non valida, la memoria di sistema può essere danneggiata in modo da permettere a un utente malintenzionato di eseguire codice non autorizzato.
Il colosso ha rilasciato, nell'ambito del Patch Day di Gennaio, 4 bollettini per la correzione di 10 buchi di sicurezza in Outlook, Excel e Windows. Microsoft non ha rilasciato nessun aggiornamento di protezione per Microsoft Word, software preso di mira nelle prime due settimane di Dicembre da almeno tre diversi attacchi malware zero-day legati a vulnerabilità ancora non conosciute
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [14/01/2007]
Ancora phishing e keylogger per eBay Italia. Rischio elevato
http://www.anti-phishing.it/image.news/ebay-2006.JPGScatta nuovamente l’allarme rosso per eBay Italia ed i suoi utenti colpiti ancora una volta dalla doppia combinazione phishing/keylogger in un unico attacco. In grado di ledere anche gli utenti più sospettosi o curiosi.
Seguendo lo stesso modus operandi dello scorso 7 gennaio, l’e-mail dall’italiano tradotto e confuso, con una impaginazione improvvisata che dovrebbe ricordare una vera comunicazione proveniente dal colosso delle aste on-line, informa la potenziale vittima che l’utente smstores2006 ha già effettuato il pagamento, ed invita a cliccare sul link sottostante per visualizzare i dettagli del pagamento.
Dopo aver cliccato l’utente viene inizialmente trasportato in un primo sito web ospitato fisicamente negli Stati Uniti, la cui unica funzione è quella di spostarlo nel vero sito trappola situato in Polonia e contenete una copia clone del vero sito web di eBay Italia.
http://www.anti-phishing.it/phishing...01.2007_01.png Oltre alla trappola del sito clone, le malcapitate vittima sono anche esposte al malware Backdoor.Win32.Hupigon.bv, un malware in grado di installarsi automaticamente nei sistemi non protetti o con l’aiuto dello stesso utente, ed una volta dentro ricevere ordini da remoto (dal truffatore) per operare come un keylogger, ossia un programma in grado di intercettare tutto ciò che un utente digita sulla tastiera del proprio computer. (nella sua versione più semplice n.d.r.), sottrarre file dal computer colpito o importare altri malware.
Se a cadere vittima del sito clone sono soprattutto gli utenti più distratti, creduloni o disinformati, il rischio keylogger può colpire anche quegli utenti più diffidenti, che sospettando della falsità della comunicazione ricevuta nella propria casella di posta, preferiscono comunque visitare il sito clone per dissipare ogni dubbio, senza sapere che potrebbero rimanere vittime della troppa sicurezza, visto che l’installazione del malware si avvia semplicemente aprendo la falsa copia di eBay Italia.
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [14/01/2007]
Quando il phishing colpisce anche i software. Il caso DVD Shrink
http://www.anti-phishing.it/image.news/dvd.rip.jpgQuesta volta non si tratta del solito caso di phishing, o meglio la truffa c’è, ma i classici componenti che danno vita al raggiro hanno un nome diverso, l’e-mail è sostituita da Google, mentre l’obiettivo che solitamente è una banca, società finanziaria o sito d’aste on-line è sostituto da un software molto noto di natura gratuita che improvvisamente si ritrovare a pagamento: DVD Shrink.
Capace di effettuare con estrema semplicità una copia di back-up dell’ultimo DVD acquistato, DVD Shrink è divenuto famoso anche grazie ad un suo uso illegale, il quale ha di conseguenza provocato una reazione da parte delle major cinematografiche, costringendo il suo creatore a non pubblicare nel sito web ufficiale del programma un link diretto per il suo download e a sospendere gli aggiornamento del software stesso.
Il quale a quanto pare è comunque andato avanti grazie all’intervento di un truffatore, che proponendo la versione 2007 di DVD Shrink, cerca di sottrarre con l’inganno i soldi a tutti quegli utenti che da anni aspettano il rilascio di una nuova versione, ma che una volta pagato si ritroveranno con una copia del programma che hanno già installato nel loro PC e che era gratuitamente scaricabile da Internet. Visto che il tutto è semplicemente una truffa e l’edizione 2007 non esiste.
Cercando DVD Shrink con Google, il primo risultato, per giunta sponsorizzato, che appare è il seguente:
Cliccando sull’apposito link, l’utente è trasportato in un apposito sito che riproduce illegalmente il nome e logo del vero software e propone il download di DVD Shrink 2007.
Per evitare di destare sospetti, il truffatore non propone direttamente il pagamento del programma, ma invita l’utente a sottoscrivere un abbonamento per il download di apposite guide che lo aiuteranno passo dopo passo nell’installazione del software, oltre alla possibilità di effettuare il download di programmi, musica e quant’altro il tutto senza più sborsare un euro. Attenzione. La stessa modalità di truffa è anche disponibile per Acrobat 7, il quale dal sito web del suo produttore può essere prelevato gratuitamente e nell’ultima versione numero 8.
http://www.anti-phishing.it/phishing...dshrink.03.png http://www.anti-phishing.it/phishing...dshrink.04.png
Dopo aver fornito i dati il truffatore provvede al download della fantomatica versione 2007, la quale come già annunciato non è altro che l’edizione rilasciata qualche anno fa dal dal vero produttore del software e che per giunta è scaricabile gratuitamente dalla Rete. Tuttavia non è da escludere che a questo punto il truffatore non si limiti solo a sottrarre denaro per la fornitura software, ma visto che adesso possiede i dati della nostra carta di credito, la utilizzi per ulteriori attività illecite.
http://www.anti-phishing.it/phishing...dshrink.05.png
Il messaggio presente nel vero sito web di DVD Shrink che informa del rischio truffa:
Fonte: Anti-Phishing Italia – www.anti-phishing.it
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [17/01/2007]
Truffe: Poste Italiane ancora vittima del phishing
http://www.anti-phishing.it/image.news/poste.005.gifSembra proprio non esserci pace per Poste Italiane ed i suoi utenti per i quali ancora una volta risuonale l’allarme phishing con l’ultimo sito clone appena rilevato, che tenta di sottrarre con l’inganno username e password posti a difesa del conto on-line della vittima di turno.
Il truffatore, non deludendo le attese, anzi ci si aspettava un’ulteriore attacco in questi giorni, riutilizza l’apposito dominio web Posteit, che a prima vista sembrerebbe legato al gruppo Poste Italiane, già impiegato nel precedente attacco dello scorso 12 gennaio, unica differenza l’estensione dal .net a .us. In pratica il truffatore prima di abbandonarlo cerca di sfruttare tutte le possibili estensioni libere, ecco perché l’attacco di oggi non risulta inaspettato.
Il sito clone utilizzato:
Fonte: Anti-Phishing Italia - www.anti-phishing.it
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [17/01/2007]
alse offerte di lavoro: denunciato un perito informatico per riciclaggio
http://www.anti-phishing.it/image.ne...inieri.112.jpgDa oltre un anno Anti-Phishing Italia cerca di mettere in guardia i propri utenti dal rischio connesso alle false offerte di lavoro, giunte direttamente nelle caselle e-mail e capaci di allettare le potenziali vittime con guadagni da capogiro settimanali, le quali tuttavia nascondono una realtà ben diversa.
Sono infatti la "punta dell’iceberg" di un raggiro telematico in grado di mettere in serio pericolo gli "aspiranti lavorati" coinvolti a loro insaputa in un’attività di riciclaggio di denaro, così com’è accaduto ad un perito informatico originario di Plaghe in provincia di Sassari, denunciato in stato di liberta per riciclaggio, il quale ora potrebbe rischiare dai 4 ai 12 anni di reclusione secondo l’art.648 bis del codice penale.
Vediamo nel dettaglio i fatti attraverso l’articolo di Gianni Buzzoni pubblicato oggi sul quotidiano La Nuova Sardegna:
SASSARI. Un perito informatico di 23 anni, originario di Ploaghe, è stato denunciato dai carabinieri per riciclaggio. Il giovane avrebbe fatto transitare nel suo conto corrente bancario somme di denaro che, poi, sono state trasferite a quattro persone residenti in Ucraina (delle quali non è stata accertata l’identità). Quei soldi appartenevano a un signore di Cagliari che, solo dopo qualche settimana, si è reso conto che qualcuno a sua insaputa gli stava prosciugando il conto in banca. L’indagine è ancora in pieno svolgimento.
Il perito informatico è stato individuato grazie agli accertamenti effettuati dai militari della compagnia e della stazione, guidati dal maggiore Nicola Losacco e dal luogotenente Giovanni Canu. E quando il giovane è stato convocato in caserma ha raccontato la storia, fornendo giustificazioni che, però, non gli hanno evitato la denuncia in stato di libertà per riciclaggio. Agli investigatori, l’intraprendente ventitreenne ha raccontato di avere risposto all’e-mail di una società olandese che proponeva percentuali interessanti per la gestione - sul proprio conto - di somme versate da clienti e da trasferire, con una semplice operazione, all’estero.
I requisiti richiesti erano davvero minimi: possesso di un computer con collegamento internet e titolarità di un conto corrente bancario. E siccome il giovane non aveva, fino a quel momento, attivato un conto personale, ha colmato subito la lacuna recandosi in una filiale dell’Unicredit.
Le verifiche effettuate dai carabinieri hanno permesso di accertare che - dopo pochi giorni - così come annunciato, sul conto del giovane di Ploaghe è arrivato il primo bonifico da mille euro. E insieme al denaro anche le istruzioni per inviare la somma a due persone in Ucraina, ovviamente anche il codice di sblocco che permette di mandare a buon fine l’operazione. A lui, come pattuito, la percentuale del 5 per cento, ovviamente trattenuta nel momento in cui viene perfezionato il transfer money.
Seconda operazione pochi giorni più tardi. Stesse modalità, cambiano però i destinatari ai quali girare il denaro, anche se stanno sempre lì, in Ucraina. Hanno un numero ma non una identità a cui si può risalire. Nel frattempo, però, il direttore della banca segnala al correntista di stare attento e di verificare la provenienza di quei bonifici che arrivano sul suo conto fresco di apertura. Ormai la truffa è già in fase avanzata. E a Cagliari, un signore di mezza età si accorge che dal conto corrente in banca sono state prelevate somme a sua insaputa. Presenta quindi denuncia ai carabinieri, e le indagini si incrociano. I militari di Sassari accertano che alcune di quelle somme sono già state gestite dal perito informatico di Ploaghe che - per avere messo a disposizione il suo conto come «piattaforma di rilancio» - ha ricevuto una provvigione. Chiusa la prima parte delle verifiche, parte l’informativa alla procura della Repubblica e la denuncia del giovane per riciclaggio. Una accusa neanche tanto leggera.
Le giustificazioni che fornisce non servono a modificare la sua situazione. Racconta di essere finito, senza rendersene conto, nella rete di una organizzazione internazionale che realizza truffe via e-mail. La realtà non è nuova. Il pianeta informatico è pieno di offerte (quasi tutte lanciate da fantomatiche società straniere) che mettono sul piatto guadagni facili - dal 5 al 20 per cento delle somme transitate sul proprio conto - senza la necessità di effettuare alcun investimento. L’altro requisito richiesto è quello della riservatezza, un silenzio prezioso che consente alle organizzazioni criminali di portare avanti la truffa e dileguarsi facilmente prima che possa scattare l’intervento delle forze dell’ordine.
L’attività dei carabinieri ha, finora, permesso di rilevare anche un’altra iniziativa nella provincia di Sassari che aveva coinvolto un giovane di Ossi. La sua opera di trasferimento di denaro all’estero, però, non è mai cominciata. Al momento di ricevere il primo bonifico, infatti, si è recato in banca, ha parlato con il direttore e ha fatto scattare l’allarme con la denuncia ai carabinieri. L’indagine non è ancora conclusa e si intreccia con le verifiche già in atto da parte dell’Interpol per risalire all’organizzazione internazionale che gestisce la truffa.
Ulteriori informazioni:
Italia- lavoro: ritorna il pericolo riciclaggio legato alle false offerte di lavoro
Archivio delle False Società
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [17/01/2007]
Nuovo "inabboccabile" phishing per Banca di Roma. Vietato farsi raggirare
http://www.anti-phishing.it/image.news/banca.roma.pngCon una nuova e-mail di difficilissima lettura ed ancora peggiore comprensione i phisher ci riprovano contro l’istituto di credito capitolino ed i suoi clienti, che in queste ore potrebbero ricevere nelle loro caselle e-mail uno dei peggiori tentativi di truffa mai visti.
Frutto di software di traduzione automatici, il testo informa la potenziale vittima che a causa di una serie di aggiornamenti di sicurezza, proprio per evitare il verificarsi di frodi telematiche (furto di tecnica bancaria di internet) è necessario aggiornare i propri dati nell’apposito sito trappola, il quale riproduce una copia fedele del vero sito web di Banca di Roma.
Statisticamente è opportuno segnalare che nonostante Banca di Roma sia uno degli istituti di credito nazionali meno colpiti dal phishing, i suoi utenti hanno sempre potuto "contare" su e-mail truffa redatte sullo stile di quella odierna, quindi facilmente riconoscibile anche da utenti distratti o disinformati.
Questa è l’e-mail truffa:
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [17/01/2007]
MIRT: Antivirus Performance Top20
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/Top20Antivirus.jpgI malware si sono evoluti molto negli ultimi mesi ed anni, sia nel numero di varianti di codice nocivo immesse sulla rete, sia nella tipologia di attacco per la quale vengono appositamente programmati. Abbiamo visto malware mirati DDoS, come quelli che hanno colpito i siti di Gmer (noto rootkit detector) e di Joe Stewart (senior security researcher di SecureWorks), malware "Web Attacker" vulnerability-based, mini downloader, botnet, nuovi rootkit di ogni tipo, etc.
Secondo il gruppo di ricerca Gartner: "entro la fine del 2007, il 75% delle imprese sarà infettato con malware non rilevato, programmato a scopo finanziario, nell'ambito di attacchi mirati, condotti evadendo il tradizionale perimetro di protezione e le difese residenti. L'ambiente di rischio sta cambiando – gli attacchi financially-motivated e mirati stanno aumentando, e i kit automatici di malware-generation consentono la semplice e rapida creazione di varianti – ma i nostri processi e tecnologie di sicurezza non sono al passo".
Questa situazione, afferma Pedro Bustamante di PandaResearch, non viene evidenziata correttamente dai media e dalle pubblicazioni IT, che non hanno scelto o trovato sistemi adeguati per verificare i rate di rilevamento malware da parte dei vari software di sicurezza. Il MIRT (Malware Incident Reporting and Termination) guidato da Paul Laudanski, già fondatore del noto sito di sicurezza internazionale CastleCops, e Tom Shaw hanno recentemente pubblicato interessanti risultati relativi ad uno studio sulle capacità di malware tracking delle principali soluzioni antivirus. Dal 2 Dicembre 2006 ad oggi un totale di 672 campioni di codice nocivo, "nuovi o recentemente creati", sono stati analizzati usando il servizio di malware scanning online VirusTotal. I risultati sono particolarmente interessanti: la media di detection rate tra tutti i motori antivirus testati è solo del 30%. Il peggior performer (eTrust-InoculateIT) in questo tipo di verifica ha rilevato solo il 5% dei 672 campioni di codice inviati.
In rete è disponibile un grafico aggiornato ogni ora , e anche una pagina con informazioni dettagliate per motore AV. "Quando un codice malware viene rilevato dal team Malware Incident Reporting & Termination (MIRT), viene caricato su VirusTotal per l'analisi. I dati di performance dei 29 motori antivirus su tutti i malware rilevati vengono salvati e vengono aggiornate le statistiche da OITC". Questo tipo di statistiche indica la capacità dei sistemi antivirus di rilevare le infezioni 0-Day e quindi di proteggere da queste minacce. Ovviamente questi dati non rappresentano le performance globali di un sistema di protezione.
Dai dati raccolti emerge una conclusione interessante: i motori antivirus tradizionali non sono sufficienti conto i nuovi malware. Sembra infatti che i sistemi di protezione, che sfruttano solo signature e funzioni euristiche, non sia più adeguati per proteggere dalla nuova generazione di codici nocivi. L'uso di tecniche di behavioural analysis e altri sistemi di protezione proattiva appaiono invece sempre più essenziali, sebbene attualmente sia difficile realizzare dei test adeguati per misurarne le performance.
Tenendo ben presente i termini di validità di questa ricerca, ecco quali sono stati gli antivirus migliori "performer": Fortinet(62%), Panda(56%), eSafe(51%), AntiVir(51%), BitDefender(45%), Prevx1(44%).
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [17/01/2007]
Exploit Pubblico per Falla " Aggiornamento KB929969 per XP SP2http://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/fallawin3.jpgUn nuovo codice exploit che sfrutta la vulnerabilità ad alto rischio nell'implementazione VML di Windows, corretta pochi giorni fa da Microsoft con il rilascio di uno dei bollettini relativi al Patch Day di Gennaio, è stato rilasciato pubblicamente in rete su milw0rm, ampio sito/database di codici exploit. Cinque giorni fa avevamo segnalato un altro codice exploit per la stessa falla, reso disponibile privatamente da Immunity nell'ambito del programma dedicato ai partner tramite il quale l'azienda offre informazioni aggiornate su nuove vulnerabilità ed exploit ad altre aziende IDS (intrusion detection) e di penetrating testing. Con la disponibilità pubblica del nuovo exploit cresce ulteriormente quindi il livello di urgenza per l'applicazione della patch da parte degli utenti finali e delle aziende.
Il codice exploit reso disponibile riguarda un bug "critico" nell'implementazione di VML (Vector Markup Language) in Windows. Il bug preso di mira risiede nella componente Windows chiamata "vgx.dll" che gestisce i documenti VML. Dal bollettino MS07-004: "Un utente malintenzionato potrebbe sfruttare la vulnerabilità creando una pagina Web appositamente predisposta o un messaggio di posta elettronica in formato HTML in grado di consentire potenzialmente l'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, è possibile assumere il pieno controllo del sistema interessato".
Microsoft ha affermato che la falla era stata originariamente segnalata tramite il suo processo di "responsible disclosure", ma una nota nel suo advisory conferma l'esistenza di attacchi zero-day precedenti al Patch Day. Al momento non ci sono informazioni pubbliche su questi attacchi zero-day, Microsoft non aveva neanche rilasciato un advisory pre-patch per avvertire i clienti riguardo questi rischi. Finora tuttavia il codice exploit non era disponibile pubblicamente in rete. Un portavoce del colosso commenta: "Microsoft è a conoscenza che un codice exploit dettagliato è stato pubblicato su Internet, in grado di sfruttare un vulnerabilità corretta con il bollettino MS07-004 … L'azienda incoraggia tutti i clienti ad applicare gli aggiornamenti di sicurezza più recenti".
La funzionalità dell'exploit pubblico appare comunque limitata, secondo quanto riporta Symantec in un alert emesso per gli utenti del suo servizio di security intelligence DeepSight. Symantec non è stata in grado di eseguire con successo l'attacco sulle versioni in lingua inglese di Windows XP e Windows 2000. L'exploit pubblico è infatti stato testato su XP SP2 versione coreana (fully patched eccetto kb929969) e IE 6.0. L'exploit potrebbe ad ogni modo rappresentare un "starting point" per altri cybercriminali, afferma Symantec: "L'autore ha pubblicato l'esatta location della falla, mostrata in uno screenshot di un binary analyzer, e questo aumenta la probabilità che altri exploit vengano realizzati in futuro". Tutte le più recenti versioni di Windows sono vulnerabili al problema di sicurezza VML, sfruttando come vettore qualsiasi versione di IE, incluso IE 7. Windows Vista invece non è affetto dal bug.
Si tratta della seconda falla importante in VML che affligge Windows negli ultimi mesi. A Settembre 2006 alcuni cybercriminali avevano attaccato un altro bug in VML per installare codici rootkit e spyware sulle macchine vulnerabili, costringendo Microsoft a rilasciare una patch out-of-cycle per IE. Bisogna notare che il nuovo codice exploit sfrutta parte del codice di attacco pubblico rilasciato per MS06-055.
Il colosso aveva rilasciato, nell'ambito del Patch Day di Gennaio, 4 bollettini per la correzione di 10 buchi di sicurezza in Outlook, Excel e Windows. Con le release di Gennaio Microsoft non ha invece rilasciato nessun aggiornamento di protezione per Microsoft Word, software preso di mira nelle prime due settimane di Dicembre da almeno tre diversi attacchi malware zero-day legati a vulnerabilità ancora non conosciute (descritte in news precedenti
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [17/01/2007]
Kyrill: Attenti allo Storm-Worm
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gifTroj/Small-DOR @ Sophoshttp://www.tweakness.net/immagini/news/spacer.gifSmall.DAM @ F-Securehttp://www.tweakness.net/immagini/news/spacer.gifF-Secure Blog
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/StormWorm.jpgLe notizie sul ciclone Kyrill, che sta colpendo il Nord Europa in maniera drammatica, sono state sfruttate in queste ore come vettore di social-engineering per un attacco spam su vasta scala tramite il quale è stato diffuso un pericoloso codice Trojan, lo hanno segnalato varie aziende di sicurezza.
Il messaggio di posta elettronica arriva nelle caselle dei utenti malcapitati con una serie di oggetti tra cui: "230 dead as storm batters Europe" , "British Muslims Genocidi", "Naked teens attack home director", "A killer at 11, he's free at 21 and kill again!", "U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel". Il messaggio include in allegato un file eseguibile camuffato da documento informativo con dettagli sul tempo o da filmato sulla calamità, che include il codice nocivo: Full Clip.exe, Full Story.exe, Full Video.exe, Read More.exe o Video.exe.
Il Trojan è stato classificato da Sophos come "Troj/DwnLdr-FYD" e "Troj/Small-DOR" e da F-Secure come "Small.DAM (Storm-Worm)". Sophos ha segnalato che intercetterà le future varianti in maniera proattiva come Mal/EncPk-B usando la sua tecnologia Behavioral Genotype Protection. Quando viene lanciato, il codice infetta il PC dell'utente. Storm-Worm è capace di scaricare ulteriori codici nocivi sul sistema vittima, trasformando per esempio la macchina infetta in uno spam zombie e rubando informazioni e dati personali. Le infezioni ha visto una impennata la scorsa notte, le e-mail infette si sono moltiplicate fino a rappresentare 1 messaggio di posta su 200 tra tutti quelli in transito in rete.
Graham Cluley, Sophos technology consultant, ha affermato in una statement: "Chiunque ci sia dietro questa campagna di spam è riuscito a generare un 'tempesta' aggressiva di e-mail nelle ultime 12 ore, e alcune inbox potranno percepire la devastazione dell'inondazione … I cybercriminali stanno deliberatamente sfruttando l'interesse pubblico nelle notizie dell'ulti'ora come questa con l'intento di infettare in maniera silente i PC di ignari utenti".
Questa particolare tecnica di social engineering che sfrutta le notizie sulle calamità naturali non è per nulla nuova. I cyber criminali avevano già sfruttato i disastri del Dicembre 2004 (terremoto e tsunami) in Asia, camuffando le loro e-mail nocive da messaggi legati alla crisi umanitaria nella regione. Simili attacchi avevano poi sfruttato l'uragano Katrina e l'attentato terroristico di Londra nel 2005.
La particolarità di questo nuovo attacco, come evidenziato da F-Secure, è il tempismo della diffusione dei messaggi, avvenuto solo poche ore dopo l'effettivo verificarsi dell'evento. Questo ha permesso una rapida estensione delle infezioni in particolare nei territori colpiti dal ciclone Kyrill. F-Secure ha reso disponibile un filmato che mostra graficamente la diffusione delle infezioni nelle prime ore dalla scoperta del malware.