Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
28-06-2005
14:43
Pagina 116
Antivirus&Sicurezza
Difficolt
Media
LEGGI ANCHE
Sul numero 77 di Win Magazine abbiamo visto in dettaglio i passi per rimuovere il worm Mediakill.A@mm
ietro un nome apparentemente rassicurante, che ricorda molto da vicino quello del noto software antispyware Spybot Search&Destroy, si nasconde in realt un pericoloso worm che si sta diffondendo in maniera preoccupante in tutto il mondo. La sua tecnica di contagio molto particolare, in quanto sfrutta prevalentemente i canali di chat IRC (Internet Relay Chat) per copiarsi allinterno di unit condivise, come hard disk o semplici cartelle, presenti sui computer connessi. Per questa sua particolare tecnica di diffusione il virus rientra nella tipologia dei Worm network-aware, letteralmente vermi che conoscono la rete. In pratica, Spybot.PKC in grado
116-118
5-07-2005
16:38
Pagina 117
Antivirus&Sicurezza
contagio. In pratica, un attacco di questo tipo prevede che pi computer aggressori inviino alle macchine collegate a Internet prese di mira, tutta una serie di richieste di servizi e di pacchetti dati totalmente inutili, ma che hanno lunico scopo di intasare le connessioni di rete. In questo modo, tra le altre cose, particolarmente difficile risalire alla fonte del contagio.
PER SAPERNE
di attaccare i sistemi utilizzando le vulnerabilit del sistema operativo e rintracciando le condivisioni non protette o difese con password deboli. In questo caso si tratta di quelle chiavi daccesso costituite da sequenze di caratteri troppo corte o facilmente individuabili, come il
DI PIU
Attacchi mirati
Ma la vera pericolosit del virus risiede nella sua capacit di indirizzare un attacco di tipo Distributed Denial of Service nei confronti della macchina vittima del
OCCHIO AI BAMBINI
Aumentano le segnalazioni riguardanti il sito www.disneystore.it. Dietro lapparente facciata di negozio on-line di prodotti Disney (www.disneystore.com) si nasconde un sito che nulla ha a che vedere con contenuti rivolti ai bambini. Collegandosi al sito viene installato sul PC un trojan classificato come MhtRedir.gen che ha lunico scopo di reindirizzare i successivi collegamenti verso siti a contenuto pornografico. Tutto ci accade solo se si utilizza Internet Explorer, in quanto il virus utilizza la tecnologia ActiveX tipica di questo browser per installarsi.
Un ladro nel PC
Dopo che linfezione avvenuta, il virus avvia tutta una serie di operazioni necessarie alla sua duplicazione su altri computer connessi in Rete. Eccole in dettaglio. Innanzitutto il worm Spybot.PKC copia un piccolo file chiamato msupdtm.exe nella cartella di sistema C:\Windows\System32 e aggiunge a tutte le chiavi del registro
La mappa di diffusione di Spybot.PKC mostra chiaramente come il virus abbia iniziato il suo contagio nei paesi dellEst (Fonte: www.pandasoftware.it)
grammi sono dotati di un apposito modulo utilizzabile per scaricare automaticamente laggiornamento delle firme virus direttamente dalla Rete.
117
116-118
28-06-2005
14:43
Pagina 118
Antivirus&Sicurezza
del download, clicchiamoci sopra col tasto destro del mouse e, dal relativo menu contestuale, scegliamo la voce Installa. Questa operazione provveder a ripristinare la corretta configurazione delleditor del registro di sistema, che potr quindi essere avviato seguendo la procedura riportata al passo precedente. Entrati nelleditor del registro di sistema, individuiamo le tre chiavi HKEY_LOCAL_MACHINE\SOF TWARE\Microsoft\Windows\ CurrentVersion\Run, HKEY_LOCAL_MACHINE\SOF TWARE\Microsoft\Windows\
mole e per ognuna cancelliamo il valore Microsoft System = msupdtm.exe. Per farlo, clicchiamoci sopra col tasto destro del mouse e scegliamo la voce Elimina. Al termine, chiudiamo leditor del registro di configurazione. Il sistema stato finalmente ripulito. Non ci resta che riavviare il computer Se abbiamo eseguito correttamente tutti i passaggi visti finora, possiamo riavviare il sistema e tornare ad utilizzarlo senza nessuna preoccupazione, sicuri di averlo ripulito da ogni possibile infezione.
VUOL DIRE
COSA
DoS
(Denial of Service, negazione del servizio. In questo tipo di attacco si cerca di portare il funzionamento di un sistema informatico che fornisce un servizio, ad esempio un sito web, al limite delle prestazioni, fino a renderlo non pi in grado di erogare il servizio stesso.
DDoS
Variante del Denial of Service, il DDoS (Distributed Denial of Service) ha un funzionamento identico ma viene realizzato utilizzando numerose macchine attaccanti. Questo tipo di attacco presuppone una prima fase in cui lattaccante ottiene il controllo di un certo numero di host, cio di normali computer connessi alla Rete denominati Zombie, sfruttando alcune vulnerabilit del sistema operativo e una seconda fase, di attacco vero e proprio, in cui gli Zombie vengono risvegliati ed utilizzati per il DoS Distribuito.
password di accesso a servizi di Ma la sua azione non si ferma di sistema di Windows home banking o commercio purtroppo qui. Spybot.PKC, H K EY _ LO C A L _ M AC H I N E \ elettronico. infatti, installa anche un keyS O F T WA R E \ Mi c ro s o f t \ A questo punto Spybot.PKC logger che utilizzer per trafuWindows\CurrentVersion\Run genera tutta una serie di indigare dati personali dellutente a ,HKEY_LOCAL_MACHINE\SO rizzi IP assolutamente casuali sua completa insaputa. F T WA R E \ M i c r o s o f t \ W i n ai quali manda una copia di se In particolare, questo piccolo dows\CurrentVersion\RunSerstesso in modo da diffondere programma spia in grado di vices e HKEY_CURRENT_ linfezione. catturare screenshot del moniUSER\Software\Microsoft\OL E come ciliegina sulla torta, se tor, utili per sapere in ogni E il valore Microsoft System = non bastassero i danni gi caumomento il programma che msupdtm.exe: in questo sati, esegue una scansione del stiamo utilizzando o i siti Intermodo viene assicurata la sua PC alla ricerca di uneventuale net che visitiamo durante le esecuzione automatica a ogni webcam installata. Se la ricerca nostre navigazioni. Quindi iniavvio di Windows. d esito positivo, il worm in zia a memorizzare tutte le Dopodich, il Worm installa grado di scattarci dei perfetti sequenze di tasti premuti una backdoor in grado di conprimi piani, degni del miglior durante lutilizzo del PC. nettersi ai canali IRC attraverso paparazzo. In questo modo riesce a rubare lindirizzo IP 212.3.3.153 e utianche dati personali come Quando si dice, la violazione della lizzando le porte TCP 6394 e numeri di carte di credito o privacy! 445. Attraverso questa falla un pirata informatico in grado di prendere il controllo del sistema e iniziare a compiere tutta una serie di operazioni, tra cui il download di file dai canali di chat, linvio di e-mail e linterruzione dei processi relativi ad altri software malevoli eventualmente gi presenti nel sistema, fino al riav- Ecco la diffusione nel mondo dei principali virus alla data del 9 Giugno 2005. Come si vede, i Paesi vio di Windows. pi industrializzati sono, ovviamente, anche quelli pi colpiti dagli attacchi informatici (Fonte: www.mcafee.com)
BACKDOOR
Il termine inglese significa porta di servizio. Si tratta di un programma con particolari caratteristiche che permettono ai pirati informatici di accedere alla macchina vittima dellattacco direttamente dallesterno e con privilegi di amministratore.
KEYLOGGER
Si installa sul PC e registra tutto ci che avviene sulla macchina. Cosa viene registrato dipende dalle impostazioni configurate dai pirati informatici. Pu includere i siti visitati, le applicazioni utilizzate e il loro tempo di utilizzo. Ma nella maggior parte dei casi servono a registrare i tasti premuti. In questultimo caso in grado di memorizzare e inviare in Rete le password di accesso al sistema o a servizi di ecommerce.
118