I domini più pericolosi del Web, secondo McAfee. Da evitare? Soprattutto Hong-Kong, Cina e Filippine

Quali sono i domini che tendono ad essere più pericolosi sul Web, per via dei tanti server “distributori” di malware? A stilare la speciale classifica è la McAfee, società produttrice di software antivirus, secondo cui al primo posto ci sarebbero i domini con base a Hong-Kong (.hk) con il 19,2 per cento di rischio. A seguire, i domini di Cina (.cn), Filippine (.ph), Romania (.ro) e Russia (.ru). Al contrario, i domini che dovrebbero essere più sicuri (perché meno portatori di malware) sono Finlandia (.fi), Giappone (.jp), Norvegia (.no), Slovenia (.si) e Colombia (.co).

Inoltre, se si fa un calcolo generale e si analizzano tutti i domini, risulta che la possibilità di scaricare spyware, adware, virus e altri tipi di software non desiderato è salita (addirittura!) del 41,5 per cento rispetto al 2007. Anche se la percentuale maggiore di rischio appare sui siti che utilizzano il dominio .hk, non è detto che questi fanno tutti capo alla città di Hong-Kong: molti magari utilizzano società di registrazione siti con base a Hong-Kong magari perché sono convenienti dal punto di vista economico o chiedono pochi documenti per l’avvio delle pratiche.

La maggior parte di questi siti, inoltre, è completamente in inglese (9 siti rumeni su 10 sono in inglese, solo per fare un esempio) e quindi gli utenti dei paesi di lingua anglofona risultano particolarmente “tartassati” ed esposti al malware. Ovviamente non stiamo parlando sempre di siti esageratamente dannosi: si va dal semplice e noioso pop-up a siti che invece scaricano automaticamente software maligno sul computer dell’utente.

E chi pensava che il nostro Paese per una volta era rimasto immune dalle brutte classifiche del Web, ecco che andando avanti nel rapporto si legge che per ogni dieci file scaricati “random” da domini italiani (.it), uno è dannoso per la salute del computer. Mi viene in mente una cosa: non è che questi dati sono un po’ gonfiati, considerato che vengono da uno studio di una società che vende prodotti di sicurezza informatica, e quindi tende a “terrorizzare” gli utenti nella speranza che acquistino sempre più prodotti antivirus?

Il sito dell’antivirus… che installa un virus

→ D@di per Downloadblog.it

Probabilmente almeno una volta nella scelta di un antivirus vi sarà capitato di visitare il sito della società AvSoft Technologies (con base a Nuova Delhi, in India), abbastanza famosa per il suo software SmartCop. Beh, questi giorni è meglio che ne stiate alla larga: il sito, infatti, è stato preso d’assalto da cracker senza scrupoli che hanno installato al suo interno del codice che invia a sua volta un virus al computer del visitatore.

“È davvero difficile tenere i server Web protetti – ha spiegato Roger Thompson, esperto di sicurezza informatica – e nessuno, nemmeno le società che si occupano di antivirus, sono invulnerabili”.

La tecnica utilizzata è simile a quelle già utilizzate in passato: il cracker apre un’invisibile finestra iFrame sul browser della vittima, che obbliga il client a dirigersi verso un altro server. Questo server, a sua volta, lancia l’attacco con codice pericoloso. Si tratta, secondo gli esperti, di una variante della famiglia di virus Virut.

Virut è conosciuto come un virus-parassita, estremamente difficile da rimuovere. Secondo Thompson “infatta tutti i programmi presenti sull’hard-disk e poi inizia a diffondersi tramite i drive di rete”, anche se i principali software anti-virus aggiornati sono in grado di riconoscere l’infezione e debellarla.

Attualmente anche Google, come vedete nella foto, sconsiglia l’entrata all’interno del sito. Un bel danno anche economico per questa società indiana.

Windows Explorer è un virus. Parola di Kaspersky

D@di per Downloadblog.it

Gli utenti Mac e Linux sicuramente se la faranno sotto dalle risate. Ma probabilmente qualcuno alla Kaspersky, una delle società di antivirus più affidabili presenti sul mercato, perderà il posto per questo “fatale” errore.

Il software, infatti, a partire da mercoledì sera ha iniziato a mettere in quarantena il file Explorer.exe (che come tutti sapete è uno dei file essenziali per il funzionamento di Windows) perché al suo interno poteva nascondersi un pericoloso virus chiamato Huhk-C). E così, numerosi utenti si sono visti mettere in quarantena proprio il famoso Explorer.exe, con conseguente blocco della maggior parte delle funzionalità del sistema operativo.

Ovviamente si è trattato di un errore dei tecnici che si occupano proprio degli aggiornamenti del software antivirus, e dalla società russa hanno fatto sapere che stanno lavorando a ritroso per capire qual è stato il problema. Nessuna azienda che costruisce antivirus, ha spiegato un portavoce, può dire di non aver mai avuto un falso allarme.

Il nuovo database dei virus è entrato in azione a partire dalle 19 di mercoledì scorso, e secondo le informazioni di Kaspersky solo un utente professionale in Gran Bretagna ha subito problemi seri.

E pensare che solo nel marzo del 2007 proprio Kaspersky aveva criticato moltissimo l’antivirus OneCare di Microsoft, colpevole di mettere in quarantena i file sagliati e, addirittura, di cancellare importanti mail in arrivo in Outlook.

Nel 2007 la partita virus contro antivirus è finita 1-0

D@di per Geekissimo.com

La protezione dei software antivirus, almeno quest’anno, ha fallito. Parola di un rapporto sull’efficienza dei sistemi che eliminano virus, spyware, trojan e così via pubblicato da Heise Security in collaborazione con il settimanale tedesco C’t. Il test ha monitorato l’attività di 17 software antivirus, compreso il comportamento che mettono in atto nei confronti delle minacce.

Nei test standard, gli scanner sono stati chiamati a riconoscere oltre un milione di diversi virus; di questi Avira Antivir and Gdata Antivirus 2008 si sono piazzati sul gradino più alto del podio, identificandone più del 99 per cento; anche Avast, AVG Anti Malware e BitDefender hanno ottenuto buoni risultati. Non è stato così, però, nel determinare attacchi di nuovi tipi di virus.

Proprio in questo campo, infatti, i software si sono comportati “molto peggio” dello scorso anno. Il tipo di ricognizione “euristica” è caduto da un 40-50 per cento di minacce riconosciute di gennaio 2007 al 20-30 per cento di dicembre 2007. Solo NOD32, con il 68 per cento, ha ottenuto buoni risultati, mentre al secondo posto si è piazzato BitDefender, con il 41 per cento. Per quanto riguarda, invece, il test del “bloccaggio dei virus”, solo F-Secure è risultato convincente; Kaspersky e BitDefender hanno dato buoni risultati, mentre Ddata, Norton, Microsoft e Trend Micro si sono rivelati adatti a proteggere il sistema solo in alcuni casi. Ma com’è possibile questo scadimento nella qualità degli antivirus?

Beh, sicuramente coloro che progettano i malware si stanno sempre più specializzando, e sempre più energie vengono utilizzate per non far riconoscere questi virus agli scanner; il problema, però, è che molti antivirus nei test di C’t hanno fallito nel riconoscere anche varianti di virus riconosciuti un anno prima. Se siete interessati e volete avere maggiori informazioni, l’articolo completo uscirà (in tedesco) nel primo numero di C’t del 2008. Dopo anni e anni di prove, voi che antivirus utilizzate? E come vi trovate? E – ancora – secondo voi qual è il migliore?

Trojan attaccano le pubblicità di Google

D@di per Downloadblog.it

Alcune pubblicità inserite da Google all’interno di pagine Web vengono spesso “rapite” da software trojan che sostituiscono il testo originario dei server di Google con un altro testo, ovviamente reindirizzando i click a siti “terzi”.

A lanciare l’allarme la società di antivirus BitDefender, che sta studiando un modo per rimuovere questi “cavalli di Troia” dalle pubblicità di AdSense. Si tratta di “scherzetti” abbastanza difficili da riconoscere e debellare, perché le pubblicità sembrano praticamente uguali alle precedenti, ma ovviamente i visitatori vengono ridirezionati verso altri siti e il proprietario del sito o del blog perde il guadagno di pubblicità derivato dai click.

Il trojan è stato identificato come Trojan.Qhost.WU.

Windows Live Messenger 9 e lo Spim

D@di per Downloadblog.it

La prossima versione di Windows Live Messenger, la 9.0, porterà con sé un’importante novità a livello di sicurezza. Lo si apprende da un blog ufficiale di Microsoft dove, però, il post in questione è stato poi successivamente rimosso.

La novità di cui parliamo è la possibilità di combattere al meglio il “nuovo” e brutto fenomeno dello Spim (Spam over Im). Lo Spim consiste in quei messaggi Messenger di pubblicità o contenenti link che sembrano essere inviati dai nostri contatti (a me è capitato ultimamente di riceverne alcuni).

Ad esempio, possiamo ricevere un messaggio da un nostro amico che ci dice “Visita questo sito: http://www…” e di cui noi ovviamente tendiamo a fidarci. Purtroppo, però, il messaggio non è stato inviato da un nostro amico, ma da un sistema automatico di spam che, nel migliore dei casi, ci rimanda a siti con pubblicità, e nel peggiore, invece, a installazioni automatiche di software o malware.

Al momento non si sa molto altro del tool che permetterà soprattutto ai meno esperti di riconoscere e difendersi da questi attacchi; quello che si sa è che si potranno segnalare i tentativi di attacco a un server centrale, un po’ come facciamo nelle varie webmail quando segnaliamo un abuso per spam.

Virus minaccia gli utenti Yahoo! 200 milioni a rischio

Colpito il sistema di posta elettronica più diffuso al mondo
Il worm si diffonde con una velocità molto elevata

Virus irrompe nella posta di Yahoo!
duecento milioni di utenti a rischio

di DANIELE SEMERARO

ROMA – Yahoo!Mail, il più diffuso sistema di posta elettronica, è stato colpito da un virus. Lo riferiscono gli stessi responsabili del servizio, che conta, in tutto il mondo, oltre 200 milioni di utenti. Il worm, soprannominato “Yamanner” (una variante del più famoso “JS.Yamanner”), si manifesta nelle caselle postali degli utenti come una normalissima lettera con oggetto “New graphic site”. Non è necessario aprire un allegato, che normalmente genera sospetti. Per azionare il virus, infatti, basta solo che l’utente apra la lettera, a differenza invece di tutti gli altri worm, che hanno bisogno che l’utente, dopo aver aperto la lettera, apra anche l’allegato.

Succede dunque che il messaggio in pochi istanti infetta il computer e, entrando nella rubrica dell’utente, si auto-invia anche a tutti i suoi contatti. È semplice calcolare, così, che da un singolo utente, in pochi minuti il virus può diffondersi a una velocità impressionante.

Non è tutto, perché gli indirizzi e-mail che il virus raccoglie “sbirciando” nelle rubriche personali vengono anche copiati su un server centrale che raccoglie tutte le informazioni. Secondo gli esperti, questo enorme database servirebbe a organizzare campagne di invio massiccio di messaggi di pubblicità. Fino ad ora, rassicurano comunque i tecnici di Yahoo!, il virus avrebbe colpito solamente “una piccola porzione” di utenti.

Il virus sfrutta una vulnerabilità della tecnologia Javascript, implementata all’interno del servizio di posta elettronica per renderlo più semplice da utilizzare per gli utenti. Yahoo!, dal suo quartier generale di Sunnyvale, in California, consiglia agli utenti di aggiornare al più presto i propri firewall e i software antivirus, impostandoli in modo tale che blocchino tutte le e-mail provenienti dall’indirizzo che spedisce il virus.

“Stiamo facendo di tutto per risolvere in tempi brevi la situazione”, ha spiegato il portavoce di Yahoo! Kelley Podboy. “Stiamo aggiornando, in automatico, i sistemi di tutti gli utenti, in modo da bloccare il worm in tempi brevi”.

“Yamanner” è stato catalogato come “a basso rischio” dalle società che si occupano di sicurezza su internet, come Trend Micro e McAfee. Secondo Symantec, l’azienda che produce il Norton Antivirus, invece, si tratta di un “rischio elevato”, solo un gradino inferiore al massimo livello di allerta.

(13 giugno 2006)