Tecnologia

Adware/BetterInternet, W32/Netsky.P@mm e HTML/Iframe_CID!exploit

I virus di settembre: il report di Fortinet, Top 10 delle minacce catturate dalle appliance di sicurezza FortiGate di Fortinet nel mese di settembre 2006:

di Vincenzo Forgione
· · 2 letture

I virus di settembre: il report di Fortinet, Top 10 delle minacce catturate dalle appliance di sicurezza FortiGate di Fortinet nel mese di settembre 2006: Pos. Nome 1 Adware/BetterInternet 4.61% 2 W32/Netsky.P@mm 4.53% 3 HTML/Iframe_CID!exploit 3.82% 4 W32/Bagle.DY@mm 2.97% 5 W32/Grew.A!worm 2.64% 6 W32/WMF!exploit 2.58% 7 W32/BagleZip.GL@mm 2.40% 8 W32/Istbar.PK!tr.dldr 1.83% 9 W32/BagleZip.GM@mm 1.50% 10 W32/Bagz.E@mm 1.24%

Questo mese dalle cifre classiche emerge un fatto insolito: anche se il nuovo exploit 0-day per Microsoft Explorer W32/MS06.XMLNS (alias MS06-055 o semplicemente exploit VML perchè la vulnerabilità consiste nel modo in cui Microsoft Windows elabora il Vector Markup Language) ha fatto parlare di sé per tutto il mese, è il vecchio W32/WMF!exploit (noto anche come MS05-053) a balzare prepotentemente nella top 10.

Se si analizza l’evoluzione dell’attività di W32/WMF!exploit nel mese di settembre, si notano picchi a intervalli irregolari ma comunque molto alti e distinti, fatto che probabilmente indica una diffusione attivata manualmente. Il volume è impressionante, dato che, come illustrato nel grafico sottostante, in alcuni casi ha persino superato l’attività residua dello storico Netsky.P – che in genere viene utilizzato come benchmark per valutare l’impatto di una nuova minaccia.

W32/WMF!exploit è un detection generico che blocca le immagini dannose indipendentemente dal loro payload, per questo è difficile capire quale scopo si celi dietro a questa diffusione su larga scala. Al momento il Fortinet Threat Response Team sta indagando sul caso.

Stration: il worm con un piano

Anche se negli ultimi mesi si è sentito spesso dire che “i giorni degli attacchi su scala mondiale e delle stragi di mass-mailer sono lontani”, settembre è stato letteralmente sommerso da una marea di varianti lanciate in internet dagli autori di Stration. Stration è un mass-mailer, spiega Guillaume Lovet, responsabile del Threat Response Team EMEA di Fortinet. Dalla fine di agosto, il Threat Response Team ne ha avvistate non meno di 58 varianti: una media di due nuove varianti al giorno!

Solo in settembre sono state avvistate 35 varianti a piede libero. La maggior parte di esse aveva una diffusione molto bassa e la maggior parte dell’attività era riconducibile a tre varianti specifiche: W32/Stration.T@mm (19 percento di tutta l’attività di Stration del mese), W32/Stration.AC@mm (23 percento) e W32/Stration.AT@mm (27 percento).

In realtà questo vale per la maggior parte delle ondate di varianti, tutte diffuse con una tattica “mordi e fuggi”: gli autori modificano leggermente la fonte, la compilano, utilizzano cross-scanner online (o fatti in casa) per il codice binario e modificano il codice per farlo passare inosservato a tutti i produttori di AV. A questo punto lo diffondono e l’attacco si spegne da solo quando gli aggiornamenti AV con i pattern di rilevamento corretti vengono distribuiti e applicati dagli utenti: tempo di passare alla variante successiva.

Anche se questo schema classico è stato molto usato in passato da MyTob e altri mass-mailer bot, permettendo ai proprietari di bot di perfezionare le dimensioni dei propri Botnet (non troppo piccoli ma nemmeno troppo grandi in modo da non attrarre l’attenzione sulle proprie macchine da soldi), la strategia degli autori di Stration è diversa. Ogni variante si comporta come qualsiasi altro mass-mailer (cioè raccoglie indirizzi email dalla macchina infetta e si auto-invia ad essi) e scarica un codice aggiuntivo dal web. In molti casi questo “codice aggiuntivo” è quello della variante successiva.

Secondo Lovet, a ogni cambio di versione, gli autori di Stration utilizzano il gruppo di computer infettati in precedenza per diffondere la variante successiva, creando così un effetto di aumento graduale dove abbiamo illustrato l’attività delle tre varianti principali.

Dopo una partenza con volumi relativamente bassi, la rete infettata da Stration si sta lentamente ampliando e il suo impatto potrebbe ben presto raggiungere quello del nostro termine di paragone tradizionale.

Come dicevamo, gli scopi perseguiti dalla banda dietro a Stration restano ignoti. Quanto durerà la fase di crescita? Cosa succederà alla fine? Useranno la rete per lanciare un attacco su vasta scala? O si “limiteranno” a impiantare Trojan spyware/adware/banker in ogni macchina infetta? Se questo è il loro fine ultimo, cosa aspettano? Sarebbe stato facile prendere sia il codice della variante successiva che una buona dose di Trojan nascosti. Forse avevano in mente di lasciare le macchine infette il più leggere possibile, per non rallentare i processi di diffusione?

Il Fortinet Threat Response Team sta monitorando attentamente la situazione. Al momento, come misura preventiva, sulle appliance Fortigate di Fortinet sono presenti percorsi di rilevamento AV per tutte le varianti note e i siti da cui le varianti di Stration prendono (o prenderanno) gli aggiornamenti sono inseriti nella lista nera del modulo di filtraggio dei contenuti web di FortiGate.

Come nota finale, è interessante notare che i messaggi email di propagazione inviati da Stration sfruttano una strategia di ingegneria sociale simile a quella a cui abbiamo fatto riferimento come a una “distorsione delle campagne di sensibilizzazione rivolte agli utenti” di un comunicato precedente:

— Mail server report.

Our firewall determined the e-mails containing worm copies are being sent from your computer.

Nowadays it happens from many computers, because this is a new virus type (Network Worms).

Using the new bug in the Windows, these viruses infect the computer unnoticeably. After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses

Please install updates for worm elimination and your computer restoring.

Best regards, Customers support service —

(Rapporto del server di posta

Il nostro firewall ha evidenziato che email contenti copie di worm vengono spedite da questo computer.

Oggigiorno accade spesso a molti computer perché si tratta di un nuovo tipo di virus (Network worm).

Per mezzo della nuova vulnerabilità di Windows, questi virus infettano il computer in modo invisibile. Dopo essere penetrato nel computer il virus raccogle tutti gli indirizzi email e si auto-invia ad essi.

La preghiamo di installare gli aggiornamenti per eliminare il worm e ripristinare il computer.

Cordiali saluti, Servizio di assistenza clienti)

L’inglese approssimativo fa sorridere ma è preoccupante notare come queste campagne di sensibilizzazione, che spesso sono considerate l’unica soluzione davvero efficace contro le infezioni da virus e il Phishing, vengano usate da vxer e phisher per manipolare potenziali vittime.

L’exploit VML: specchietto per le allodole o truffa?

Come abbiamo sottolineato nel primo paragrafo, nell’ultimo mese la cosiddetta vulnerabilità VML zero-day, soprannominata ufficialmente MS06-055, ha ricevuto molta attenzione da parte dei mezzi di informazione. A chi fosse sfuggito, si tratta essenzialmente di una vulnerabilità nell’elaborazione da parte di Internet Explorer di alcune tag XML che possono essere inserite nelle pagine web e che possono compromettere completamente la macchina ospite. In parole povere: chiunque visiti una pagina web dannosa potrebbe essere inavvertitamente infettato da orde di trojan, Spyware, adware, Keylogger e così via.

Tutto questo ha scatenato un’ondata di panico nel settore della sicurezza, che prevedeva un’infinità di siti web dannosi con pop up (tecnicamente, la strategia degli exploiter doveva essere quella di reindirizzare gli sfortunati utenti da siti “esca” verso siti “agenti” centrali con il codice dannoso per mezzo di un IFrame invisibile presente sul sito esca), pubblicizzati pesantemente per mezzo di campagne di spam per spingere milioni di utenti verso le trappole.

Mentre Microsoft si limitava ad emettere comunicati ufficiali in cui affermava che la diffusione della minaccia era scarsa, un gruppo di famosi esperti di sicurezza soprannominato ZERT (Zero-day Emergency Response Team) ha prodotto una patch non ufficiale.

Questo fatto, unito alla pressione dei media, ha finalmente convinto Microsoft a produrre una patch speciale all’interno delle normali release mensili.

Da quando è stato scoperto il 19 settembre,W32/MS06.XMLNS!exploit ha prodotto lo 0,008 percento di tutta l’attività dannosa, il suo impatto si può quindi definire basso, se non addirittura “molto molto basso”.

Questa diffusone irrisoria ha a che fare con il fatto che gli utenti erano particolarmente cauti e hanno evitato come la peste i siti dannosi? È poco probabile. O forse nessuno usa più Internet Explorer (gli altri browser erano immuni all’attacco)? Tutte le ricerche sulle quote di mercato dei browser indicano il contrario. O forse la situazione è stata decisamente esagerata e pubblicizzata all’eccesso? Forse, almeno in parte. Ma questo non significa che se non fosse stata prodotta una patch ufficiale le cose non sarebbero andate peggio. Prevenire è sempre meglio che curare. Soprattutto nel caso di banking trojan con rootkit che rubano credenziali bancarie americane per comunicarle a server situati in Corea, di proprietà di una banda ucraina residente in Lituania, pagati con denaro depositato in conti offshore a Saint Kitts e Nevis, afferma Lovet.

Discussione 0

I commenti vengono moderati prima di essere pubblicati.

Ancora nessun commento. Sii il primo a commentare!