Il problema deriva da come molte applicazioni per Windows richiamano librerie DLL: i cracker potrebbero sfruttare questa vulnerabilità richiamando DLL con codice malevolo, ma con nome identico a DLL necessarie per il corretto funzionamento dell’applicazione e del sistema.
Ancor prima di Microsoft, del problema si era accorto HD Moore, il creatore di Metasploit open-source hacking toolkit, che aveva rilasciato un
tool di controllo dei possibili bug di sicurezza delle librerie DLL grazie al quale si sono diffuse liste di applicazioni potenzialmente a rischio, su cui gli sviluppatori hanno chiaramente immediatamente iniziato a metter mano.
In molti si attenderebbero il rilascio di una patch di sicurezza da parte di Microsoft, cosa che secondo quanto afferma Moore, difficilmente avverrà, dato che le vulnerabilità interessano applicazioni sviluppate da terzi e non da Microsoft stessa.
Come evolverà la situazione è difficile prevederlo, dato che gli exploit sono per ora stati evidenziati solamente da aziende di sicurezza, anche se è probabile che possano in tempi brevi essere utilizzati anche da cracker per infettare i computer degli utenti.
Tutto ciò che c’è da fare è attendere ulteriori sviluppi, che è altamente probabile si avranno in tempi relativamente brevi, anche se ad una soluzione del problema si arriverà con ogni probabilità solo tra svariati mesi, così come confermato anche da Moore.

Symantec, la nota software house produttrice di Norton Antivirus, mette in guardia da una nuova minaccia informatica che rischia di colpire non pochi mal capitati utenti poco “esperti” nell’uso del computer.
Sembrerebbe assurdo, ma è così, questa nuova minaccia compare come un qualunque popup e dopo un click sul pulsante “ok” avvia la disinstallazione del nostro antivirus e provvede ad installarne uno nuovo, chiaramente malevolo.
La minaccia si chiama AnVi Antivirus e presenta all’utente un messaggio in inglese che tradotto avverte del fatto che

il software [nome dell'antivirus installato] sta rallentando le prestazioni del computer, per riportarle allo stato ottimale cliccare “ok”

Sembrerebbe una cosa da niente… Se non fosse che dopo aver cliccato “ok” si avvia automaticamente la disinstallazione del software antivirus e la successiva installazione di un falso antivirus, che non è altro se non un pericoloso malware.
Potrebbe apparire impossibile il diffondersi di una minaccia simile, eppure non è così: molti utenti infatti si affidano ad amici o parenti o il più delle volte ad un tecnico per farsi installare tutti i programmi, tra cui l’antivirus stesso; ne consegue che l’utente inesperto non è spesso nemmeno a conoscenza del software antivirus installato, perciò difficilmente potrà rendersi conto della pericolosità di quel messaggio popup.
Come al solito perciò, attenzione e mai cliccare quando non si è sicuri.

Cisco Security Intelligence Operations ha oggi rilevato un’intensa attività da parte di spam bot cinesi che avrebbero riempito le caselle email di migliaia di utenti, con un messaggio apparentemente innocuo, ma in realtà contenente un virus.
La mail di spam si presenta come un invito a cliccare un link per scaricare un software.
Fin qui tutto normale. Lo avrete imparato oramai, mai cliccare link in messaggi di posta, specie se provenienti da fonti non sicure. L’email di spam si presenta però molto ben scritta e convincente verso l’utente più inesperto, ignaro del possibile pericolo che si cela dietro un semplice click di un link apparentemente diretto al download di un software, in realtà all’esecuzione di un virus.Il link contenuto nel messaggio effettua un redirect ad un file .exe contenente codice malevolo per il computer del mal capitato; l’email in arrivo contiene spesso il file wl0714176.exe, che in parecchi casi non supera i filtri dei provider di posta, ma che non impedisce il diffondersi del malware, anzi, rende il messaggio più difficilmente riconoscibile.
Cisco continuerà chiaramente a monitorare la situazione relativa a questa nuova minaccia, cosa che con ogni probabilità faranno anche le altre migliaia di software house produttrici di antivirus, antispyware, oltre che ovviamente i filtri antispam delle caselle di posta dei maggiori provider.

La Sunbelt Software, conosciuta software house per programmi di sicurezza per sistemi Windows, ha allertato riguardo un attacco da parte di cracker che avrebbero clonato The Pirate Bay, il ben noto sito per il reperimento di file torrent.
I cracker avrebbero registrato domini molto simili a quello ufficiale della baia dei pirati, thepiratebay.org, mettendo così in pericolo i computer degli utenti che erroneamente raggiungono il sito clonato contenente codice malevolo.
Il problema deriva dal fatto che alcuni siti malevoli appaiono tra i risultati delle ricerche con google effettuate con parole chiave come “thepiratebay” o “the pirate bay”, in posizioni tra l’altro piuttosto alte, il che li rende ancora più facilmente raggiungibili da utenti ignari del problema.
Il consiglio è quello di navigare, se necessario, solo sulla versione ufficiale di thepiratebay, evitando categoricamente siti simili come thepiratesbay.org, piratesbay.com e thepriatebay.org.

“Il computer è stato infettato da un malware, ho provato una scansione col mio antivirus ma non risolvo, che posso fare?”
Questa è una delle situazioni classiche in cui si trova un utente (specie quelli meno “smanettoni col computer”) e sapete qual è il finale? Nella maggioranza dei casi il computer finisce dal tecnico o dall’amico di fiducia per rimuovere il virus, lo spyware o qualunque altro malware abbia infettato la nostra macchina.
Prima di gettare la spugna però dobbiamo tentare soluzioni alternative e l’avrete imparato oramai, queste sono davvero tante e per tutti i gusti, tutto sta a trovare quelle giuste al momento giusto. Il problema è che in una situazione del genere, districarsi tra le tantissime possibilità offerte dal web per rimuovere un malware può essere piuttosto complicato per un utente alle prime armi.
Come sempre però ci viene in aiuto un’utility free e portable che non richiede perciò neanche installazione, grazie alla quale potremo avere sempre sotto mano tutti i più efficienti tool per la rimozione di qualunque tipo di malware.
Si tratta di Security Software Downloader un download manager esclusivamente pensato per software di sicurezza (antivirus, antirootkit, antispyware, firewall ecc…)
Una volta scaricato, SSDownloader ci permetterà di scaricare tutti i software per la rimozione di malware, direttamente dalla sua interfaccia, senza la necessità di far nulla. I programmi sono mostrati divisi per categoria, il che rende più semplice la ricerca di quello adatto per rimuovere lo specifico tipo di malware radicato nel nostro sistema.
I software inclusi sono davvero tantissimi:

• Antivirus free: Avira Antivir Personal, Comodo Internet Security, AVG Antivirus Free Edition, Avast! Antivirus Free, Panda Cloud Antivirus, Microsoft Security Essentials
• Antivirus a pagamento: Kaspersky Internet Security, Eset NOD32 Antivirus, Norton Internet Security, Avast Internet Security, GData Internet Security, Avira Premium Security Suite, BitDefender Internet Security, F-Secure Internet Security, Emsisoft Anti-Malware
• Antispyware: Malwarebytes Anti-Malware, Hi tman Pro (trial), SuperAntispyware portable, GMER, Hijacktiss, Emsisoft A2 Free
• Utility per l’ottimizzazione del sistema: CCleaner, Tor Browser, Autoruns<, Process Explorer, WinPatrol, DefenseWall Hips, Sandboxie (trial)
• Firewall: Comodo Firewall Free, Online Armor Free, OutPost Firewall Free, PCTools Firewall Free, Zone Alarm Firewall Free, Defense Wall Personal (trial)

Per ciascuna applicazione sarà possibile effettuare il download dell’ultima versione, visualizzare tutte le informazioni (eventuale prezzo per un software a pagamento e tutte le features integrate).

SSDownloader sarà utilissimo anche per tutti coloro che per lavoro o altro, si trovano spesso ad operare su computer infetti da malware. E’ una di quelle utility da copiare sulla pendrive e di cui non si potrà più fare a meno!

Il primo Trojan, sebbene non troppo invasivo, a colpire i Googlefonini viene dalla Russia:

i ricercatori della divisione russa di Kaspersky Lab hanno infatti battezzato come Trojan-SMS.AndroidOS.FakePlayer.a, un malware che una volta insidiatosi negli OS Android, invia sms ad un numero russo a pagamento, probabilmente riconducibile agli stessi creatori del malware.
Il Trojan si nasconde in un’applicazione per la riproduzione di file video chiamata “Movie Player,”, diffusa per ora solamente in Russia e non disponibile dall’Android Market.
All’inizio dell’installazione l’utente viene avvisato del fatto che si sta per approvare l’invio di sms, approvazione che ovviamente non si deve dare, interrompendo così l’installazione dell’app.
Una volta eseguita l’applicazione, il malware controlla il database SQLite per scrivervi all’interno una stringa (operazione che effettuerà solo alla prima esecuzione), dopodiché ogni volta che verrà avviata l’app appena installata, partirà anche un sms ad un numero a pagamento russo (al costo sembra di svariati dollari).
Durante l’invio degli sms fraudolenti, l’app mostrerà un messaggio di attesa del tipo “attendere, accesso alla libreria video in corso”, non facendo così rilevare l’operazione che sta effettuando nel frattempo.

Jon Oberheimer, fondatore di Scio Security ha effettuato alcuni test e rilasciato un’approfondita analisi del Trojan
Anche se questo malware è per ora confinato in Russia e mantiene comunque un basso profilo a livello di rischi per l’utente, il consiglio di Google è quello di installare solo applicazioni di cui si è certa la provenienza ed appurata sicurezza.

ThreatFire è un antispyware ed antimalware molto avanzato distribuito in due varianti da PCTools che è utilizzabile in abbinamento ad un qualunque antivirus tradizionale senza correre il rischio che i software vadano in conflitto (questo uno dei principali vantaggi). ThreatFire usa avanzate tecnologie per il rilevamento dei più comuni contenuti dannosi ed è in grado di individuare gran parte dei malware

Grazie al costante monitoraggio delle attività del computer da proteggere, la ThreatFire’s ActiveDefense può bloccare ogni collegamento con l’esterno sospetto isolando le operazioni in corso senza intaccare le prestazioni del sistema. Il vantaggio dell’utilizzo dello strumento by PCTools risiede nella capacità di rilevamento maggiore dei tradizionali software antivirus, che siano strumenti di protezione completi o settoriali (specificatamente per malware e spyware).

ThreatFire comprende diverse funzionalità:

• Protezione da virus, worm, trojan, spyware, rootkit, malware
• Monitoraggio in tempo reale
• Aggiornamenti automatici
• Impostazioni utente avanzate
• Segnalazione all’utente quando qualcosa viene bloccato
• Supporto online gratuito

Le varianti del programma sono due: la versione gratuita possiede diverse limitazioni rispetto alla pro e le differenze sono visualizzabili sul sito ufficiale.

I requisiti di sistema richiesti sono minimali: Windows 7 32-bit and 64-bit, Windows Vista 64-bit, Vista 32-bit, Windows XP SP1, SP2 or SP3), Windows 2003, or Windows 2008 e soli 20 MB di spazio libero. Il download è effettuabile dal collegamento sopracitato.

Tra le tante falle causate in gran parte dei casi da errori di programmazione, purtroppo tipiche del browser della Apple, ve ne sono alcune veramente pericolose ed in grado di essere sfruttate per scopi poco ortodossi, in pratica manna per i criminali informatici. Secunia è una società specializzata nella sicurezza informatica il cui team si è rivelato in diverse occasioni veramente talentuoso scoprendo i bug e le vulnerabilità meno evidenti di molti software ed in particolare di browser e componenti aggiuntivi.

Alcuni giorni fa i ricercatori dell’azienda sono riusciti a sfruttare una falla di Safari immettendo codice nocivo in grado di danneggiare Windows in modo serio; la vulnerabilità è altamente critica tanto da essere stata annoverata nella categoria “zero-day” (per l’appunto sfruttabile per l’immisione di contenuto dannoso).

Il bug permette ai malintenzionati di eseguire codice non autorizzato nel sistema senza che l’utente possa rendersene conto ed il tutto viene effettuato in modo relativamente nascosto. La Secunia ha pubblicato sul sito ufficiale i dettagli della vulnerabilità che si spera la Apple faccia sparire ben presto.

Per il momento, ma anche per sempre, consiglierei di non utilizzare il browser in questione dal momento in cui è quello più facilmente bucabile ed in ogni caso vi sono software per la navigazione ben più performanti. Ai pià ostinati Secunia consiglia di disattivare gli script  in JavaScript e di non autenticarsi ai siti utilizzanti il protocollo http (in pratica il 99%).

I ricercatori di sicurezza Matousec sono riusciti a sviluppare un metodo che potrebbe permettere ai criminali cybernetici di aggirare tutte le protezioni fornite dai più tecnologici antivirus; il risultato del test effettuato in presenza di diversi software di sicurezza non è per niente confortante: sono state aggirate le protezioni di programmi quali Kaspersky Internet Security 2010, Avast Internet Security, McAfee Total Protection, Norton Internet Security 2010, Trend Micro Internet Security Pro e tanti altri, in tutto 34 software.

In pratica la vulnerabilità è stata trovata e sfruttata nel 100% dei test, nessun software per la protezione è riuscito a bloccare l’attacco informatico portato avanti dai ricercatori; i dettagli dell’esperimento e gli sconcertenti esiti sono stati riportati in questa pagina e sono visualizzabili da chiunque.

Il metodo utilizzato per superare le protezioni è stato il seguente: inviando codice benigno all’antivirus si è ottenuto il consenso per  l’immissione del contenuto nel sistema ma sostituendo tempestivamente il codice è stato possibile aggirare tutti i blocchi.

Anche se l’operazione potrebbe sembrare molto semplice non lo è dato che si dovrebbe operare in un periodo di tempo molto ristretto, in ogni caso questo esito delle prove effettuate sui software antivirus è sicuramente un monito di cui le aziende terranno conto durante lo sviluppo dei prossimi prodotti.

Maggiori dettagli sulla vicenda sono stati riportati anche sul sito Tom’s Hardware.