Un worm è una particolare categoria di malware in grado di autoreplicarsi. È simile ad un virus, ma a differenza di questo non necessita di legarsi ad altri files eseguibili per diffondersi. Frequentemente un worm funge da veicolo per l'installazione automatica su nuove macchine di altri malware, come per esempio backdoor o Keylogger, chepotranno poi essere sfruttati da un malintenzionato cracker o addirittura da un altro worm.

Alcune Definizioni

Worm:

Virus:

Particolare software, appartenente alla categoria dei malware, in grado, una volta eseguito, di infettare dei file in modo da riprodursi facendo copie di se stesso, senza farsi rilevare dall'utente. I virus possono essere più o meno dannosi per il sistema operativo che li ospita, ma anche nel caso migliore comportano un certo spreco di risorse in termini di RAM, CPU e spazio sul disco fisso

TASSI DICRESCITA E DIFFUSIONE DEI VIRUS DAL 2004 2005TASSI DICRESCITA E DIFFUSIONE DEI VIRUS DAL 2004 2005

I 10 virus più diffusi nel 2005I 10 virus più diffusi nel 2005

Nel 2005 una mail su 44 in media conteneva un codice virale. Questa cifra è salita a dodici durante le emergenze più serie, mentre sono stati identificati 15.907 nuovi codici malevoli. I dieci virus più diffusi dell’anno sono stati

I 10 virus più diffusi nel 2005I 10 virus più diffusi nel 2005

ANALIZZIAMO OGNUNA DELLE 10 MAGGIORI MINACCE DEL 2005

1 W32/Zafi-D

• Si copia nella cartella di sistema di Windows nominandosi:” Norton Update.exe.“ •Si installa nel registro di sistema.• Genera nella cartella di sistema di Windows una serie di files con nomi casuali di 8 caratteri di estensione .dll. Alcuni di questi Files sono l’esatta copia del Worm, mentre altri la copia compressa del W32/Zafi-D,• Infine usa la rubrica degli indirizzi mail presenti nel pc per replicarsi e diffondersi.

Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 è disponibile un tool di rimozione: ZAFIGUI

AZIONE RIMOZIONE

2 W32/Netsky-P

• Si copia nella cartella di sistema di Windows in diverse cartelle del sistema operativo •Infine usa la rubrica degli indirizzi mail presenti nel pc per replicarsi e diffondersi.•Di norma le mail infette riportano alcune caratteristiche comuni come:

Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 è disponibile un tool di rimozione:NTSKYGUI

AZIONE RIMOZIONE

Il seguente oggetto:

Re: Re:Re: Encrypted MailRe: Extended MailRe: StatusRe: NotifyRe: SMTP ServerRe: Mail ServerRe: Delivery ServerRe: Bad RequestRe: FailureRe: Thank you for deliveryRe: TestRe: Administration…

Allegato diestensione:

EXESCRPIFZIP

Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 è disponibile un tool di rimozione:NTSKYGUI

AZIONE RIMOZIONE

3 W32/Sober-Z

• Si diffonde attraverso mail includendo come allegato file presi a caso sull’hard drive. • Si installa nel registro di sistema•Scarica il codice da internet•Si riporta l’esempio di un messaggio di posta

Allegati tipo:

Kandidat.zipWWM.zipAuslosung.zipCasting.zipGewinn.zipInfo.zipRTL-Admin.zipRTl.zipWebmaster.zipRTL-TV.zip

Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 è disponibile un tool di rimozione: emergency copy of SAV32CLI

AZIONE RIMOZIONE

4 W32/Sober-N

• Usa la rubrica degli indirizzi mail presenti nel pc per replicarsi e diffondersi.•Disattiva la protezione dell’antivirus.•Si riporta l’esempio di un messaggio di posta

AZIONE RIMOZIONE

5 W32/Zafi-B

• Si copia nella cartella di sistema di Windows nominandosi in modo casuale prendendo come estensione .exe •Testa a presenza della connessione ad internet aspettando che l’utente si connetta al sito della microsoft o a quello di google.•Cerca gli indirizzi di posta elettronica sul pc e li immagazzina in liste con estensione .dll nella cartella di sistema di windows.•Si copia all’infinito allegandosi come attachement agli indirizzi di posta elettronica.•Fa una copia di se stesso nella cartella di p2p di windows nominandosi :'WINAMP 7.0 FULL_INSTALL.EXE' o 'TOTAL COMMANDER 7.0

FULL_INSTALL.EXE'

Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 è disponibile u tool di rimozione:NTSKYGUI

AZIONE RIMOZIONE

6 W32/Mytob-BE

• Oltre ad essere un worm è anche un cavallo di troia ovvero una backdoor controllata in remoto tramite la rete IRC.•Disattiva l’antivirus.•Modifica la data del pc.•Si diffonde mediante posta elettronica ma sfrutta anche la vulnerabilità LSASS

Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 è necessario:• installare l’aggiornamento MS04-011 al fine di eliminare ola vulnerabilità LSASS• E’ disponibile on line un tool di rimozione: denominato FixMytob.exe

AZIONE RIMOZIONE

7 W32/Mytob-AS

• Oltre ad essere un worm è anche un cavallo di troia ovvero una backdoor •Disattiva l’antivirus.•Scarica il codice da internet.•Si diffonde mediante posta elettronica ma sfrutta anche la vulnerabilità LSASS

Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 è necessario:• installare l’aggiornamento MS04-011 al fine di eliminare ola vulnerabilità LSASS• E’ disponibile on line un tool di rimozione: denominato FixMytob.exe

AZIONE RIMOZIONE

8 W32/Netsky-D

Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 disponibile on line il tooll: NTSKYGUI

•Usa la rubrica degli indirizzi mail presenti nel pc per replicarsi e diffondersi.• Possiede diversi Alias: W32/Netsky.c@MM I-Worm.NetSky.d Win32/Netsky.D WORM_NETSKY.D •Di norma le mail infette riportano alcune caratteristiche comuni come:

Il seguente oggetto:Re: ApprovedRe: DetailsRe: DocumentRe: Excel fileRe: HelloRe: HereRe: Here is the documentRe: Hi

Re: My details ……

Il seguente allegato:all_document.pifapplication.pifdocument.pifdocument_4351.pifdocument_excel.pifdocument_full.pifdocument_word.pifmessage_details.pifmessage_part2.pifmp3music.pifmy_details.pif ……

AZIONE RIMOZIONE

9 W32/Mytob-GH

allegato: readme.zipdocument.zipaccount-info.zipemail-details.zipaccount-details.zip

• Oltre ad essere un worm è anche un cavallo di troia ovvero una backdoor •Disattiva l’antivirus.•Alias:

Email-Worm.Win32.Doombot.b W32/Mytob.NA@mm W32/Mytob.gh@MM

•Il messaggio di posta ha le seguenti caratteristiche:

Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 è disponibile u tool di rimozione:NTSKYGUI

AZIONE RIMOZIONE

10 W32/Mytob-EP

• Oltre ad essere un worm è anche un cavallo di troia ovvero una backdoor controllata in remoto tramite la rete IRC.•Disattiva l’antivirus.pc.•Si diffonde mediante posta elettronica ma sfrutta anche la vulnerabilità LSASS

Per i sistemi operativi Windows 95/98/ Me and Windows NT / 2000/ XP / 2003 disponibile on line il tooll: NTSKYGUI

TENERE AGGIORNATO TUTTI I SOFTWARE DEL PC

UTILIZZARE UN SOFTWARE ANTIVIRUS

Scansioni on line

http://housecall.trendmicro.com/http://housecall.trendmicro.com/

Scansioni on line

http://www3.ca.com/securityadvisor/virusinfo/scan.aspxhttp://www3.ca.com/securityadvisor/virusinfo/scan.aspx

Scansioni on line

http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=ie&venid=sym

Scansioni on line

http://www.pandasoftware.com/products/activescan.htmhttp://www.pandasoftware.com/products/activescan.htm

XPAnti SpySpybot

Ad-Aware

Alcuni Antispyware

Spam & Antispam

Lo spamming consiste nell'invio di messaggi pubblicitari di posta elettronica (SPAM) che non siano stati in alcun modo sollecitati.

Cosa e' lo SPAM ?

Perche' e' male ?

Perche' e' chi riceve che paga:

Il provider paga le infrastrutture che vengono abusate, •il cliente paga il tempo per scaricare, •paga il tempo per leggere esaminare e cancellare quello che quasi sempre sono messaggi che non ha richiesto.

Oggi gli spammers hanno iniziato ad utilizzare i servers altrui per la distribuzione del proprio spam.

Spam & Antispam

Come fa uno spammer ad avere il vostro indirizzo?

Gli spammer usano programmi automatici, i cosiddetti spambot, per esplorare l'intera Rete ed estrarre dalle pagine Web, dai messaggi nei forum e nei newsgroup qualsiasi cosa che somigli a un indirizzo di e-mail.

Questa sorta di pesca è brutale ma efficace nel racimolare milioni di indirizzi, compreso il vostro.

Spam & Antispam

La celebre “truffa nigeriana”

consiste in una lettera in inglese in cui una persona che non conoscete chiede cortesemente il vostro aiuto per sbloccare una enorme cifra di denaro di provenienza discutibile e vi propone di dividere gli utili

Come si previene lo spam

Spam & Antispam

•Non mettete il vostro indirizzo nel vostro sito •Se partecipate ai forum o ai newsgroup, non indicate il vostro indirizzo di posta nei messaggi•Non rispondete MAI allo spam, né per protestare, né per "dis-iscrivervi" •Se proprio dovete mettere il vostro indirizzo in una pagina Web, mettetelo sotto forma di immagine grafica•Date il vostro indirizzo soltanto alle persone strettamente indispensabili, avvisandoli di non darlo a nessuno senza il vostro consenso •Non immettete il vostro indirizzo nel browser •Non date il vostro indirizzo ai siti che ve lo chiedono, a meno che abbiano una reputazione cristallina•Scegliete un nome utente lungo almeno dieci caratteri •Usate e fate usare SEMPRE la "copia carbone nascosta" •Usate programmi di posta che non visualizzano automaticamente la grafica o che almeno permettono di disattivare questa visualizzazione

Spam & Antispam

Softaware anti spam

Spamihilator 0.9.9.9

SpamEater Pro v4.0.5

Dialer & Antidialer

un programma che altera i parametri della vostra connessione a Internet, cambiandone soprattutto il numero telefonico e sostituendolo con un numero a pagamento maggiorato su prefissi come il costosissimo o prefissi internazionali

Cosa è un dialer ?

Perche' e' male ?

Se il programma si comportasse onestamente, dichiarando in modo non ambiguo quanto costa il servizio, il meccanismo sarebbe perfettamente accettabilePurtroppo la maggior parte dei dialer è confezionata in modo ingannevole.

Chi vende i dialer?

Dialer & Antidialer

New Dial spa (www.newdial.com), Perugia. Uno dei suoi dialer è considerato virus dal Norton Antivirus Il suo sito è una schermata senza indicazioni di indirizzi o altri modi per contattare l'azienda. Occorre consultare le Pagine Gialle per trovarne le coordinate: NEW DIAL S.P.A., 06100 Perugia (PG) - Via Campo di Marte 13, tel: 075 5000195.

Carpediem (www.carpediem.fr)/Montorgueil (Parigi). I suoi dialer si adattano a più nazioni, Italia compresa, e per il mercato italiano sembra fare riferimento a Lincassa.com.

Coulomb Limited, Fareham, Hampshire (www.coulomb.co.uk). I siti contenenti il suo dialer riportano correttamente l'indicazione dei costi di connessione (£1,50/min). I suoi estremi, trovati con Google, sembrano essere questi: Coulomb Ltd, PO Box 21, Fareham, Hampshire PO16 0BN (Regno Unito), telefono 0870 0697000, fax 0870 0697001.

Come difendersi dai dialer

•Bloccare i prefissi usati dai dialer tramite l'operatore telefonico

•Non usare Internet Explorer

• Passare all'ADSL

•Avvalersi di un anti dialer come Stop dialer

Dialer & Antidialer

Firewall

Sistema di sicurezza che crea una barriera elettronica per la protezione dl una rete di PC dall'accesso di estranei tramite Internet

Cosa e' un firewall

Come può essereUn firewall ?

Hardware per sistemi avanzati

Software più diffusi come quello di windows

Firewall

Esempio di rete Con firewall

Firewall

Alcuni firewall software

ZoneAlarm

Kerio Personal Firewall

Sygate Personal Firewall

Backdoor

Letteralmente porta di servizio, programma con particolari caratteristiche che permettono di accedere alla macchina dall'esterno con privilegi di amministratore, senza che nessun altro utente se ne accorga .

Alcune Definizioni

Backdoor :

Keylogger:

Un keylogger è, uno strumento in grado di controllare tutto ciò che un utente digita sulla tastiera del proprio computer.

Software di controllo remoto tramite backdoor

Software di controllo remoto tramite backdoor

Un Keylogger all’opera

Backdoor