|
admin
Webmaster
Regione: Italy
Prov.: Pisa
Città: Capannoli
24852 Messaggi |
 Inserito il - 25/01/2006 : 12:10:28
|
Virus K a m a S u t r a; Yahoo traccia gli utenti!; Confessa l'untore di 500000 PC
by Paolo Attivissimo
__Dilaga il virus "K a m a S u t r a": promette emozioni osé ma
regala infezioni. Il 3 febbraio devasta il PC__
Link: http://attivissimo.blogspot.com/2006/01/virus-kamasutra.html
Perché usare tecnologie informatiche sofisticate quando basta il
trucco più vecchio del mondo? Il virus che è in questo momento in
cima alla classifica di diffusione in Italia conferma la validità di
questo approccio psicologico più che tecnico. Infatti gli basta
presentarsi come allegato a un e-mail che promette la visione di
immagini porno, e gli utenti lo aprono allegramente senza farsi
domande. Depravati!
http://it.trendmicro-europe.com/enterprise/security_info/virus_map.php
Sto parlando del virus (più propriamente worm) denominato dai tecnici
Grew.A, W32/Nyxem-D, Email-Worm.Win32.VB.bi o Blackmal.E, e noto
anche con il nome leggermente più memorabile di "K a m a S u t r
a" (senza gli spazi, ovviamente, che ho aggiunto qui e altrove per
evitare le grinfie degli antispam troppo zelanti).
Il suo metodo d'infezione, come dicevo, è estremamente banale: la
vittima riceve un e-mail in inglese (e già questo dovrebbe far venire
qualche dubbio, ma lasciamo perdere) intitolato "Hot Movie", "S e
X.mpg", "Crazy illegal S e x!" e simili. Il testo del messaggio,
sempre in inglese, invita a vedere il file allegato, presentato come
"S e x Video", "Hot X X X Yahoo Groups" o "Fuc**** K a m a S u t r a
pics" (donde il nome) e compagnia bella. Alcuni testi sono meno osé,
ma il concetto è sempre lo stesso: un invito ad aprire un allegato.
Aprendo l'allegato, se la vittima usa Windows viene attivato il
virus, che disattiva la maggior parte degli antivirus, si diffonde
anche attraverso le cartelle condivise, tenta di comunicare col
proprio padrone via Internet, inietta pezzi del proprio codice in
vari punti di Windows, e poi spedisce di nascosto copie di se stesso
a tutti gli indirizzi che trova nei file presenti nel computer della
vittima. Già che c'è, il virus modifica Windows in modo da essere
eseguito automaticamente ogni volta che la vittima riavvia Windows e
una volta ogni ora.
Le versioni di Windows vulnerabili sono 98, ME, NT, 2000, XP e Server
2003. Gli utenti Mac e Linux possono dormire sonni vigili ma tranquilli.
La cosa più sgradevole di questo virus "K a m a S u t r a" è che
rischia di mettervi in una posizione difficile, ma non del tipo che
state pensando: infatti il terzo giorno di ogni mese, mezz'ora dopo
l'avvio di Windows, cancella tutti i file con le estensioni DMP, DOC,
MDB, MDE, PDF, PPS, PPT, PSD, RAR, XLS e ZIP. Al posto del contenuto
dei file, trovate una falsa indicazione di "errore dati".
Il prossimo 3 febbraio, quindi, potrebbe essere una giornata molto
dolorosa per gli imprevidenti che si sono fatti infettare. Rischiano
di perdere, per esempio, tutti i loro documenti Word e Acrobat, le
presentazioni PowerPoint e gli spreadsheet di Excel se non ne hanno
una copia di scorta.
Per rimuovere il virus non potete fare affidamento sull'antivirus che
avete, perché probabilmente "Kama Sutra" lo ha disattivato: usate uno
degli appositi programmi di rimozione, come quello scaricabile
gratuitamente dal sito dell'antivirus Nod32.it:
http://www.nod32.it/cgi-bin/mapdl.pl?tool=VBClean
La raccomandazione è sempre la stessa: imparate (e fate imparare) a
non aprire gli allegati, di qualsiasi genere, senza controllarli
prima con un antivirus aggiornato. Non fidatevi degli allegati inattesi.
In questo caso specifico, come per altri virus recenti, il mittente
del messaggio infetto può essere falsificato, per cui non scagliatevi
contro chi sembra avervelo mandato: potrebbe essere del tutto
innocente. Limitatevi a controllare che il vostro computer non sia
infetto (se usate Windows) e invitate gli altri a fare altrettanto.
Se gestite gruppi di discussione e ve li trovate pieni di messaggi-
esca del virus, segnalate il problema nel gruppo e chiedete a tutti
di eseguire un controllo antivirale usando gli strumenti di rimozione
sopra citati invece dell'antivirus.
I dettagli tecnici di "K a m a S u t r a" sono disponibili in
italiano presso Nod32.it:
http://www.nod32.it/pedia/v/vb-nei.htm
e in inglese presso vari siti, come per esempio quello di Trend Micro:
http://it.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?
LYstr=VMAINDATA&vNav=3&VName=WORM_GREW.A
Se i link di questo messaggio sono spezzati, usate la versione
presente nel mio blog:
http://attivissimo.blogspot.com/2006/01/virus-kamasutra.html
__Antibufala: Yahoo traccia gli utenti!__
Questo articolo vi arriva grazie alle gentili donazioni di
"ninob****", "dipaolo.****" e "pzenco".
Sta circolando da circa metà gennaio 2006 un allarme secondo il quale
chi usa i gruppi di Yahoo viene "tracciato", registrando "ogni sito
Web e ogni gruppo" che visita. Trovate il testo dell'appello nella
versione blog di questo articolo:
http://attivissimo.blogspot.com/2006/01/yahoo-spiona.html
Una volta tanto, la fonte dell'allarme è facilmente individuabile: è
citata nell'appello, sia pure in forma incompleta, ed è il sito
Disinformazione.it (o .info), specificamente in questa pagina:
http://www.disinformazione.it/yahootraccia.htm
A sua volta, però, Disinformazione.it ha attinto la storia da un
altro sito, Rense.com,
http://www.rense.com/general69/tracking.htm
che ripete l'allarme in inglese e rimanda a un altro sito, About.com,
e specificamente a una sua pagina risalente a maggio 2005:
http://antivirus.about.com/od/spywareandadware/a/yahoobugs.htm
La pagina di Yahoo citata dall'appello esiste (è la descrizione, in
inglese, della politica di riservatezza dell'azienda):
http://privacy.yahoo.com/privacy
e contiene effettivamente un rimando a una pagina che parla dei "web
beacon":
http://privacy.yahoo.com/privacy/us/beacons/details.html
Si tratta di piccolissimi file (di solito immagini da un pixel) che
vengono inclusi spesso nelle pagine Web per consentire di contare
quante volte sono state viste. Yahoo e le società che collaborano con
Yahoo o sono sue clienti possono includere questi mini-file nelle
proprie pagine o nei propri e-mail per ricavarne statistiche di
lettura: una sorta di Auditel per la Rete.
Questo è ben diverso da quello che dice l'appello, che parla di
"registrare ogni sito Web e ogni gruppo che venga visitato". In
realtà possono essere acquisiti dati statistici soltanto sulle visite
fatte ai siti che collaborano con Yahoo. Se per esempio visitate il
mio sito o il mio blog, o Disinformazione.it, che non usano i "web
beacon" di Yahoo, Yahoo non ha alcun modo di sapere della vostra
visita. Yahoo può sapere soltanto quando visitate un sito che è suo
partner commerciale.
Se utilizzate i gruppi di Yahoo, tenete presente che anche la posta
gestita tramite questi gruppi può contenere lo stesso sistema di
tracciamento, per cui è tecnicamente fattibile per Yahoo farsi
un'idea abbastanza precisa delle vostre attività nell'ambito di Yahoo
e dei suoi gruppi. Ma è ancora da dimostrare che lo faccia. Yahoo,
nelle sue pagine di privacy, dice sostanzialmente che non lo fa.
Va detto che è comunque abbastanza futile preoccuparsi di questo
tracciamento basato su "Web beacon" se usate Yahoo per le vostre
discussioni private: in tal caso, infatti, Yahoo ha già sui propri
computer tutto quello che avete scritto nei gruppi, e il "web beacon"
è superfluo.
In ogni caso, se desiderate evitare questa forma di "sorveglianza",
potete usare il link fornito da Yahoo per disattivarla. Come dice
giustamente l'appello, la procedura va ripetuta per ogni browser e
per ogni computer che adoperate per visitare Yahoo. E' inoltre
opportuno disattivare la visualizzazione delle immagini remote nella
posta, cosa che dovreste già fare comunque per ben altre ragioni
(virus e spam pornografico, per esempio), e più in generale conviene
disattivare la visualizzazione dell'HTML nella posta, come consiglio
nel mio Acchiappavirus:
http://www.attivissimo.net/acchiappavirus/
Se preferite uno spiegone in italiano, usate le pagine equivalenti di
Yahoo Italia che spiegano la politica della privacy di Yahoo:
http://privacy.yahoo.com/privacy/it/
e l'uso dei Web beacon:
http://privacy.yahoo.com/privacy/it/pixels/details.html
Quest'ultima pagina contiene anche il link che permette di
disattivare il tracciamento effettuato tramite Web beacon.
Disattivandolo, otterrete la schermata mostrata all'inizio della
versione blog di questo articolo.
__Beccato l'untore di mezzo milione di PC__
http://attivissimo.blogspot.com/2006/01/500000-infetti.html
Questo articolo vi arriva grazie alle gentili donazioni di Mirko
Nicol****, Giancarlo Pa**** e "avvfrancofa****".
Un ventenne statunitense ha confessato di aver preso il controllo via
Internet di circa 500.000 PC Windows, usandoli per disseminare spam e
commettere altri crimini informatici. La sua attività gli aveva
fruttato, in quattordici mesi, oltre sessantamila dollari e una BMW.
Ma a novembre 2005 è stato beccato, e ora dovrà restituire il
malloppo, pagare i danni ai siti militari che ha infettato, e farsi
da quattro a sei anni di galera, se il patteggiamento viene approvato
dal giudice di Los Angeles che segue il caso; altrimenti rischia fino
a 50 anni di reclusione.
Come riferisce la BBC,
http://news.bbc.co.uk/2/hi/technology/4642566.stm
Jeanson James Ancheta ha creato quella che si chiama in gergo una
botnet, ossia una rete di computer comandabili a distanza, ad
insaputa dei relativi proprietari, e usabile per attacchi
informatici, per disseminare spam e per altre attività criminose in
Rete. Il Dipartimento di Giustizia della California ha pubblicato
vari dettagli tecnici di queste attività:
http://www.usdoj.gov/criminal/cybercrime/anchetaArrest.htm
Tutte le tecniche e le procedure usate da Ancheta per gestire un
sistema di adware e una botnet sono descritte in un altro documento
legale:
http://news.findlaw.com/hdocs/docs/cyberlaw/usanchetaind.pdf
Ancheta ha creato la botnet sfruttando una vulnerabilità di Windows
per infettare i computer e "zombificarli". L'utente-vittima non si
accorge di nulla: il PC continua a funzionare come prima, ma nel
frattempo esegue di nascosto gli ordini del suo nuovo padrone.
Il caso di Ancheta spiega perché gli attacchi virali recenti
danneggiano sempre più raramente i computer ma si limitano invece a
"zombificarli": perché le botnet che ne risultano vengono rivendute,
come ha fatto Ancheta, finendo in mano agli spammer o a chi vuole far
comparire sui computer infetti le proprie pubblicità o quelle di
qualche circuito pubblicitario dal quale riceve una commissione.
Le botnet possono essere usate anche per forme di ricatto
informatico, del tipo "o ci dai cinquantamila dollari, o scateniamo
contro di te mezzo milione di PC che visitano il tuo sito a
ripetizione, intasandolo", come è successo pochi giorni fa
http://news.bbc.co.uk/2/hi/technology/4621158.stm
al giovanissimo titolare di Million Dollar Homepage
http://www.milliondollarhomepage.com/
quando è arrivato al suo traguardo di guadagnare un milione di
dollari vendendo pixel pubblicitari nel suo sito.
Incidenti come questo dimostrano che tenere pulito e sicuro il
proprio Windows non è soltanto questione di sicurezza personale (chi
ha infettato il computer può leggerne tutto il contenuto), ma un
dovere verso gli altri utenti della Rete.
Ciao da Paolo.
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
(C) 2006 by Paolo Attivissimo (www.attivissimo.net).
|
|
![[AmadeuX BiblioForum]](https://www.amadeux.it/forum/immagini/amadeuxcomm1.jpg "[AmadeuX BiblioForum]")
Virus K a m a S u t r a; Yahoo traccia gli utenti!
