Archivio » 2004 » giugno » mercoledì 30 »

Dalla Russia con terrore: Download.ject, un virus insidioso

Scritto da Tommaso Pericle

Quel che rende particolarmente pericolosa questa forma di infezione informatica in arrivo da Arkangelsk è la sua capacità di diffondersi non già attraverso i messaggi di posta elettronica, bensì tramite la pura e semplice navigazione di un sito

Probabilmente i colpevoli sono già stati scoperti, ma la loro creatura ha tenuto banco per giorni sulle prime pagine dei giornali. Parliamo degli autori di Download.ject, un pericoloso cavallo di Troia che infetta i siti Web basati sul server Microsoft Iis (Internet information services) e le macchine con a bordo Internet Explorer a partire dalla release 5.0.
Contrariamente ai più diffusi Trojan, Download.ject si diffonde attraverso il Web e non tramite posta elettronica, attraverso una tecnica che si chiama zero-day exploit; basta navigare sui un sito colpito dal malware per contrarre l’infezione. Il diabolico programmino installa un’applicazione che cattura nomi utente, password e dati della carta di credito, poi trasferisce il tutto su un server Web. Come se non bastasse, il Pc infetto può essere usato come base di lancio per massicce campagne di spamming.

Sicurezza e antivirus

» Aiuto! proteggete il mio computer

Proprio seguendo le tracce di questo server, dislocato fisicamente nella città di Arkangelsk nella Russia settentrionale, gli esperti del laboratorio Kasperski di Mosca hanno individuato i presunti responsabili, un gruppo di hacker chiamato Hang Up e già tristemente famoso per bravate del genere.
Il sito ora è chiuso ma il pericolo non è passato; il codice è ancora in circolazione e può fare altri danni. Per mettersi al sicuro, amministratori Web e utenti possono attivare delle semplici precauzioni. Paradossalmente, è più facile “vaccinare” il server che non il nostro Pc di casa; per chiudere la falla di Iis infatti è sufficiente applicare quanto disposto dal bollettino di sicurezza Ms04-011 già online dallo scorso aprile.

Spam, antispam e dintorni

» Tutti gli articoli

Più complesse le contromisure per Internet explorer, visto che al momento la patch non è stata ancora rilasciata. Il cavallo di troia non attacca le macchine Windows Xp che hanno già installato il Service Pack 2 (in versione release candidate Rc2, visto che la versione definitiva dell’aggiornamento non arriverà prima di settembre). Per tutti gli altri utenti Windows, occorre innanzitutto sapere se la macchina è infetta.
Per farlo basta cercare (usando le funzioni di ricerca di Windows: fare clic sul pulsante “Start” posto sulla barra delle applicazioni nella parte inferiore dello schermo e quindi scegliere “Cerca”) i file Kk32.dll e Surf.dat. Se ci sono, quasi certamente abbiamo preso il malanno e bisogna affidarsi alle cure di un buon antivirus.

In ogni caso, Microsoft suggerisce di installare gli aggiornamenti di sicurezza più recenti, che si trovano sul sito Microsoft Update e soprattutto di attenersi alle buone regole per la navigazione sicura: attivare un firewall, cioè un programma che filtra il flusso di dati in entrata e in uscita dal Web. Chi usa Windows Xp (e non ha il Service pack 2) ha già un firewall a bordo, anche se va attivato esplicitamente: per farlo, bisogna fare clic su “Connessioni di rete”, poi selezionare la connessione Internet che si vuole proteggere e sotto il tab “Operazioni di rete” selezionare “Avanzate” e infine “Internet Connection Firewall”.
Per innalzare ulteriori barriere, è anche possibile impostare su “Alto” il livello di sicurezza di Internet Explorer, aggiungere i siti Web che riteniamo sicuri nella sezione “Trusted sites”, usare il formato “Solo testo” per visualizzare le e-mail e bloccare le finestre pop-up di Windows. Istruzioni dettagliate (purtroppo solo in inglese) per fare tutte queste operazioni sono disponibili sul sito Microsoft.