Recente aumento della diffusione di virus “Malware” Consigli Utili

FAQ
  1. Cosa sono e cosa comportano 
  2. Cosa c’entra Aruba?
  3. Che cosa posso fare io per proteggere al meglio i miei dati?
  4. Alcune pratiche di sicurezza specifiche per il Malware:
  5. Può Aruba aiutarmi a capire se il mio PC è compromesso?
  6. Cosa fare se il mio PC oppure il mio sito web risultano infetti ?
  7. Cos’altro ha fatto o può fare Aruba ?
  8. Cosa non può fare Aruba
  9. Software consigliati contro il malware
  10. Videoguide Firewall
  11. Cosa fare se il proprio sito risulta segnalato come infetto sui motori di ricerca
  12. Link approfondimenti

Recente aumento della diffusione di virus “Malware”  
 

Recentemente è stato registrato un aumento della diffusione di particolari tipi di virus chiamati generalmente “Malware” che hanno come scopo principale la raccolta di vari tipi di credenziali di accesso ed altri dati sensibili o “identità” quali ad esempio :
dati di carte di credito,
Conto corrente online (home banking o paypal),
Account ebay,
Account social network quali facebook, twitter, etc.

Oltre a questi dati, i software Malware ricercano anche altri dati di accesso considerati meno preziosi, ma che ci riguardano più da vicino a quali ad esempio:
dati di accesso a caselle posta elettronica (in particolare gmail, hotmail, yahoo mail),
dati di accesso FTP,
dati di accesso a server dedicati o aziendali.

Per i malintenzionati è, infatti, divenuto più semplice ed efficace andare a raccogliere tutti questi dati direttamente sui PC connessi a internet invece che tentare di violare la sicurezza dei server centrali (banche o server web, mail, etc) che in genere sono ben protetti e quindi più difficili da espugnare.

Ovviamente il Malware va ad affiancarsi a un’altra pratica che ha lo stesso scopo, il “phishing” cioè l’invio di falsi messaggi che richiedono di rispondere fornendo volontariamente questi stessi dati sensibili, sempre con lo scopo di raccoglierli in quantità per un successivo utilizzo fraudolento o per la loro vendita in blocco ad altri malintenzionati.

Inoltre, diversi tipi di Malware, oltre a raccogliere e trasmettere i dati di accesso fino a qui elencati, cercano anche di compromettere il PC attaccato in modo da permetterne il controllo completo dall’esterno. In questo caso più che di “Malware” si parla in genere di virus “trojan horse” o “cavalli di troia”.
Quando questo accade, il PC infetto viene definitivo “zombie” ed entra a far parte delle cosiddette “botnet”, cioè grosse reti di PC controllabili dagli attaccanti ed a loro disposizione per sferrare attacchi distruttivi (es. ddos) o per spedire grosse quantità di messaggi spam.

Rispetto ai virus tradizionali, il Malware differisce per alcuni aspetti fondamentali fra cui lo scopo, il metodo di diffusione e la difficoltà di rimozione.

Per quanto riguarda lo scopo, in passato eravamo abituati a virus distruttivi che cercavano di compromettere il funzionamento del PC ad esempio cancellando dati o bloccandone il sistema operativo. Al contrario il Malware ha bisogno che il PC attaccato rimanga in perfetta efficienza, soprattutto se quest’ultimo deve essere utilizzato in seguito come zombie.

Per quanto riguarda invece il metodo di diffusione, i virus tradizionali erano in genere in grado di diffondersi da soli copiandosi da un PC infetto all’altro via rete o infettando supporti rimovibili (floppy, pen drive, etc), oppure inviandosi via e-mail come allegato. Questo li rendeva però sempre uguali (almeno in alcune sezioni) e quindi più facilmente individuabili da parte dei software antivirus. Al contrario il Malware viene generalmente diffuso tramite siti web compromessi e tramite spam, offrendo quindi la possibilità di essere cambiato molto spesso e di non dover includere la capacità di auto-replicarsi e diffondersi, rendendolo meno riconoscibile e individuabile.
Alcuni Malware sono addirittura camuffati da miracolosi software antivirus, quindi aggiungono la beffa al danno.



Torna su



Cosa c’entra Aruba?

Dato che in questo caso non sono i nostri server a essere attaccati, ma direttamente i PC dei nostri clienti, Aruba non può risolvere il problema alla radice. Possiamo però mitigare gli effetti e contribuire a limitare il fenomeno, fornendo indicazioni utili per la sicurezza dei propri dati e avvisando d’ora in poi tutti i clienti che riteniamo siano stati colpiti dal problema in modo da fornire un aiuto per proteggere al meglio i dati relativi ai nostri servizi.

Che cosa posso fare io per proteggere al meglio i miei dati?


Innanzitutto ricordiamo le consuete pratiche di sicurezza:
- Tenere aggiornato il sistema operativo. Spesso i Malware cercano di sfruttare vecchie vulnerabilità note ed e’ per questo che gli aggiornamenti regolari possono aiutare molto.
- Tenere aggiornato il software, in particolare il browser (Internet Explorer, Firefox, etc) ed altri programmi comuni quali Adobe Acrobat Reader. Anche questi software presentano spesso vulnerabilità note delle vecchie versioni e rappresentano quindi un facile ingresso se non aggiornati.
- Tenere aggiornato il proprio antivirus e lanciare periodicamente una scansione completa, possibilmente anche con più di un software perché purtroppo non sempre un singolo software e’ in grado di rilevare tutti i tipi di Malware in circolazione
- Tenere sempre attivo un firewall a protezione della connessione internet. Meglio ancora se un firewall evoluto che mostra notifiche ogni volta che un programma presente nel PC tenta di inviare dati su internet (le password raccolte devono essere prima o poi inviate all’attaccante).
- Cambiare le proprie password ogni 6 mesi al massimo, per tutti i servizi Aruba e non

Vediamo poi alcune pratiche di sicurezza specifiche per il Malware:

- Non lanciare allegati eseguibili ricevuti tramite posta elettronica, neanche se provengono da mittenti conosciuti (che potrebbero avere il PC compromesso).
- Non cliccare sui link “sospetti” ricevuti tramite “social network” (facebook, twitter, etc) o tramite instant messaging (msn o yahoo messenger, gtalk, etc). In particolare quelli che invitano a scaricare accattivanti e “utili” software per tenere sotto controllo i propri amici o funzioni del genere.
- Non fornire mai i propri dati di accesso rispondendo a messaggi e-mail che li richiedono per via di fantomatici “aggiornamenti di database” o “perdita sul server” o “blocco del conto”. E’ quasi impossibile che un fornitore di servizi richieda ai propri clienti la password, meno ancora via e-mail.
- Non scaricare e non eseguire software contraffatto o “crack” di software originale : anche se apparentemente funzionanti, questi software includono quasi sempre un virus o Malware o trojan horse al loro interno e spesso vengono messi in circolazione proprio per questo.
- Non salvare sul proprio PC password e dati di accesso e non utilizzare le funzioni “ricorda password”. Digitare la password ogni volta e’ sicuramente più scomodo, ma molto più sicuro : il Malware esegue infatti una scansione sul PC dove molti software (ad esempio Filezilla) salvano una copia più o meno protetta dei dati di accesso memorizzati.
- Quando disponibili usare sempre i protocolli sicuri come https, smtps, pop3s, imaps, ftps. In questo modo i dati di accesso transiteranno su internet non in “chiaro”, ma protetti dalla crittografia : anche se intercettati risulteranno illeggibili.


Torna su


Può Aruba aiutarmi a capire se il mio PC è compromesso?

Uno dei metodi di diffusione del Malware prevede l’utilizzo dei dati di accesso FTP raccolti sui PC infetti per compromettere i siti web relativi e tramite essi far scaricare il Malware stesso a tutti i visitatori.
Questo in genere viene fatto inserendo del codice Javascript “offuscato” all’interno della home page del sito : la pagina mantiene il proprio aspetto e funzionamento, ma ad ogni apertura tenterà di far scaricare al visitatore file infetti provenienti da altri siti ancora.
In alcuni casi il sito compromesso viene usato per far scaricare il Malware, in altri solo per ospitare i files infetti.
L’altro metodo utilizzato è l’invio tramite spam ed anche in questo caso verranno individuati e bloccati gli invii sospetti, oltre che ripuliti i messaggi tramite antivirus.
Tramite l’analisi dei log FTP i nostri strumenti automatici provvederanno a rilevare comportamenti anomali ed a segnalarlo ai rispettivi proprietari degli account. Inoltre verrà segnalata ogni volta che uno dei nostri software antivirus rimuoverà qualcosa (codice javascript o Malware stesso) dai contenuti pubblicati.
Ovviamente i clienti che riceveranno tali avvisi dovranno fare le opportune verifiche ed azioni consigliate perché probabilmente almeno uno dei PC sui quali hanno utilizzato precedentemente quelle stesse credenziali di accesso e’ compromesso.


Cosa fare se il mio PC oppure il mio sito web risultano infetti ?

Elenchiamo di seguito alcune azioni da intraprendere, da eseguire in quest’ ordine :
- se non già fatto da Aruba, rimuovere tutto il codice malevolo eventualmente presente nelle pagine web dei propri siti web. Se è necessario un aiuto nell'individuazione di tale codice si può aprire un ticket nell'apposita area di assistenza.
- verificare eventuali infezioni presenti nel proprio computer. Nel caso in cui per la pubblicazione del sito ci si avvalga di collaboratori e/o webmaster deve essere verificata l'integrità di tutti i computer utilizzati, è, infatti, sufficiente che uno solo di questi sia vulnerabile o infetto per subire il furto delle credenziali di accesso.
- ripulire i PC eventualmente individuati tramite gli appositi software antivirus ed antiMalware, procedere quindi ad attivare le opportune protezioni in termini di antivirus e firewall per evitare il ripetersi di simili problemi.
Solo dopo essersi assicurati che ogni computer utilizzato per la pubblicazione del sito sia stato messo in sicurezza, procedere con il cambio di tutte le credenziali di accesso utilizzate in precedenza. Anche se non ci è possibile dare indicazioni sicure sui dati di accesso di servizi non gestiti da Aruba (home banking, social network etc...) è assolutamente consigliabile cambiare  anche tali dati, rivolgendosi eventualmente ai rispettivi fornitori del servizio.

Nota Bene: Anche se al momento della verifica sul proprio computer non si dovessero individuare dei Malware attivi, è comunque necessario fare il cambio delle credenziali di accesso in quanto se queste sono state prese in precedenza sono ormai compromesse (ad esempio se si è provveduto nel frattempo ad una re installazione o cambio del proprio PC)


Torna su


Cos’altro ha fatto o può fare Aruba ?
- Realizzato software per la rimozione automatica dai siti web dei nostri clienti del codice javascript relativo a Malware . Questo va ad affiancarsi ai software antivirus commerciali già presenti .
- Realizzato software per il controllo automatico dei siti indicati da google come “pericolosi” perché compromessi. Nel caso sia presente un sito di un cliente Aruba questo verrà informato ed il sito ripulito.
- Attivata l’esclusione automatica degli IP che effettuano attività FTP o Mail sospetta in modo da non permettere a macchine compromesse di connettersi ulteriormente ai nostri servizi.

Torna su



Cosa non può fare Aruba.

Come spiegato, questo problema particolare non riguarda direttamente Aruba o i fornitori di servizi in genere dato che è principalmente un problema di sicurezza dei PC connessi ad internet.
E’ per questo che senza la collaborazione dei nostri clienti, possiamo fare ben poco per aiutarli a risolvere le cause del problema rispetto al semplice agire sugli effetti.
Ringraziamo tutti i nostri clienti per la collaborazione.


Software consigliati contro il Malware

 

  WINDOWS LINUX MAC

SOFTWARE RIMOZIONE


  • zeus trojan remover v1.2.0
  • malwarebytes


  • zeus trojan remover v1.2.0
  • malwarebytes

 


ANTIVIRUS
  •  Pc Tools
  • Zone Allarm 
  • Avira


  • Avira


  • Pc Tools
 

FIREWALL

 

  • Pc Tools
  • Zone Allarm
  • Comodo
  • OnLine – Armor
  • Avira


  • Firestarter 
  • Avira


  •  Pc Tools
  • Little Snitch 
  • NetBarrier X4

 


SOFTWARE PER LA RIMOZIONE DI MALWARE

Per Windows e Linux
• Zeus trojan Remover v1.2.0  http://www.novirusthanks.org
• Malwarebytes http://www.malwarebytes.org/

ANTIVIRUS E FIREWALL

Per chi utilizza sistemi Windows, Linux e Unix
• Avira http://www.avira.com/it/download/index.php

Per chi utilizza Windows e MAC
• Pc Tools http://free.pctools.com/free-antivirus/
-------------------------------------------------------------
Zone Allarm
compatibile con Windows
http://www.zonealarm.com/security/en-us/anti-virus-spyware-free-download.htm

FIREWALL

• Little Snitch  http://www.versiontracker.com/dyn/moreinfo/macos/17642
Per chi utilizza I Mac
la free version è compatibile anche con i 64 Bit
---------------------------------------------------------------------------------------
• Comodo http://personalfirewall.comodo.com/
Compatibile con Xp,Vista,WIn7 32 e 64 Bit
---------------------------------------------------------------------------------------
• OnLine – Armor http://www.online-armor.com/downloads.php
compatibile con Windows
---------------------------------------------------------------------------------------
Pc Tools http://free.pctools.com/free-antivirus/
Per chi utilizza Windows e MAC
---------------------------------------------------------------------------------------

NetBarrier X4
http://netbarrier.en.softonic.com/mac/download-version/netbarrier-x4.10.4.5
http://www.intego.com/pub/Manual_NBX4_it.pdf
Per chi utilizza i MAC
---------------------------------------------------------------------------------------
Firestarter
http://www.fs-security.com/
---------------------------------------------------------------------------------------

 Torna su


Videoguide Firewall

Comodo Firewall
http://vademecum.aruba.it/start/sic/firewall/comodo/

Sunbelt Firewall
http://vademecum.aruba.it/start/sic/firewall/sunbelt/

Agnitum Outpost Firewall
http://vademecum.aruba.it/start/sic/firewall/outpost/

Sicurezza del PC
http://vademecum.aruba.it/main/sicurezza_tot_subs.asp

Torna su

Cosa fare se il proprio sito risulta segnalato come infetto sui motori di ricerca

Spesso, a causa della presenza di malware, i siti vengono considerati dai Motori di Ricerca (in particolare Google) come potenzialmente rischiosi e, dai risultati delle ricerche, sembra che tali siti risultino bloccati o non raggiungibili.

Per poter risolvere il problema,  è necessario - dopo aver effettuato le operazioni precedentemente consigliate di ‘pulizia’ del proprio spazio web – che  Google riconsideri il sito stesso. 
 
Di seguito riportiamo le operazioni da eseguire:
  1. Creazione dell'utente google: https://www.google.com/accounts/NewAccount?hl=it

    Sarà necessario seguire le indicazioni a video per la creazione dell'utente ed una volta effettuato ciò, accedere agli strumenti per webmaster:

    2.    www.google.com/webmasters/tools?hl=it

Sulla destra dovranno essere indicati i parametri appena creati.

  1. Una volta avuto accesso, dovranno essere aggiunti i siti che vogliamo far verificare  da Google, attraverso il tasto "Aggiungi un sito” e quindi dovranno essere seguite le indicazioni per l'implementazione dei tag che Google indica (Metodo di verifica= Metatag).

Dopo aver provveduto a questa implementazione sarà possibile controllare che il dominio risulti tra i "Siti" in homepage del Centro Strumenti per Webmaster.

  1. Terminati i passaggi sopra descritti, sarà possibile iniziare la "riconsiderazione del sito", attraverso il link presente sulla sinistra della homepage degli "Strumenti per Webmaster".

Una volta richiamata la pagina della "Richiesta di riconsiderazione del tuo sito", verranno riepilogati gli Step indicati precedentemente, dove - come punto 3 - viene specificato proprio "Richiedi che il tuo sito venga riconsiderato":

-       Accedere a Strumenti per i Webmaster con l'account Google.

-       Assicurarsi di avere aggiunto e verificato il sito che deve essere riconsiderato.

-       Richiedere che il proprio sito venga riconsiderato.

  1. A questo punto sarà possibile scegliere il sito e richiedere la conferma.

Link approfondimenti :



http://www.kaspersky.com/it/reading_room?chapter=207716819
http://www.itespresso.it/hellrts-il-nuovo-Malware-per-mac-os-x-44994.html
http://www.zeusnews.it/index.php3?ar=stampa&cod=11695
http://punto-informatico.it/2865579/PI/News/zeus-ora-punta-al-conto-banca.aspx
http://www.lineaedp.it/articolo.php?aId=0000043724
http://www.corriere.it/scienze_e_tecnologie/10_febbraio_22/twitter-attacco-account-compromessi_e3efaf14-1fc7-11df-b445-00144f02aabe.shtml
http://www.corriere.it/scienze_e_tecnologie/speciali/2009/smau/notizie/intervista-hypponen-sicurezza_c1687a8a-bfdb-11de-856b-00144f02aabc.shtml
http://www.corriere.it/notizie-ultima-ora/Scienze_e_tecnologia/Informatica-attacco-hacker-oggi-sfrutterebbe-falla-Firefox/18-02-2010/1-A_000083808.shtml
http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/zeusapersistentcriminalenterprise.pdf

Torna su