franz's profileHKANCPhotosBlogListsMore  |  Tools Help |
|
October 31 La guerra dei Browser e' tornataE' tornata la Guerra dei Browser! Escono a pochi giorni di distanza Internet Explorer 7 e Firefox 2. È un caso? No è il caos, quella legge secondo la quale se un pandino rosso muove la coda a Mountain View, nello stesso istante a Redmond spunta una ciocca di capelli bianchi a Bill Gates.
I nostalgici informatici sono già passati per la Prima Guerra dei Browser, di cui Punto Informatico si è occupato per anni. Quando Netscape sembrava ed era intoccabile, quando la poco lungimirante Microsoft non scommetteva tutto sulla crescita di Internet. Ma la Prima Guerra la vinse proprio Internet Explorer, con una pole position intaccata solo recentemente, in una percentuale che comincia ad essere preoccupante dai browser alternetivi, Firefox in primis con il 20% in alcuni paesi.
Oggi la Rete è cambiata, così come è cambiato il modo di navigare ed usufruire (e creare) dei contenuti della rete stessa. Ora lo spam è considerato una sciagura quotidiana, ed i malanni non si fermano a quello ma ne sono spesso legati a doppio filo: phishing, trojans, backdoor, programmi che si installano da soli mentre si naviga un sito con codici nascosti, virus che si aggiornano da soli, virus che prendono virus, virus che fanno finta di essere antivirus e tolgono gli altri virus concorrenti. Bleah.
Ma c'è anche una evoluzione positiva, ad esempio i blog, modi alternativi per accedere alle notizie come i feed RSS, servizi bidirezionali e multimediali, motori di ricerca testuali che diventano contenitori multipiano di una infinità di fonti e materiali anche multimediali inimmaginabili fino a pochi anni fa, enciclopedie e risorse con partecipazione planetaria.
È arrivato strisciando il cosiddetto web 2.0, siti che diventano applicazioni e viceversa, ma non solo.
Fonte:punto-informatico October 27 Configurazioni di postaVisto che spesso nei forum le chiedono ho pensato di creare un riepilogo...: Alice adsl Indirizzo: @alice.it Pop3: in.aliceposta.it Smtp: out.aliceposta.it Alice clubnet Indirizzo: @aliceposta.it Pop3: box.tin.it Smtp: mail.tin.it Aruba Indirizzo: @aruba.it Pop3: pop3.aruba.it Smtp: smtp.aruba.it Aruba Hosting Indirizzo: @tuosito.xy Pop3: pop3.tuosito.xy SMTP: smtp.tuosito.xy Blu Indirizzo: @blu.it Pop3: popmail.blu.it IMAP imapmail.blu.it Smtp: mail.blu.it Email.it Indirizzo: @Email.it Pop3: popmail.email.it Smtp: smtp.email.it Nota: l'smtp email.it richiede autenticazione anche per la posta in uscita Fastweb Indirizzo: @fastwebnet.it Pop3: pop.fastwebnet.it Smtp: smtp.fastwebnet.it Hotmail Indirizzo: @hotmail.it, @hotmail.com Pop3: Non disponibile. E' necessario usare FreePops Smtp: Non disponibile. Inwind Indirizzo: @inwind.it Pop3: popmail.inwind.it IMAP imapmail.inwind.it Smtp: mail.inwind.it Iol Indirizzo: @iol.it Pop3: popmail.iol.it IMAP imapmail.iol.it Smtp: mail.iol.it Jumpy Indirizzo: @jumpy.it Pop3: pop.jumpy.it Smtp: mail.jumpy.it Kataweb.it Indirizzo: @kataweb.it Pop3: pop.katamail.com Smtp: smtp.katamail.com Libero Indirizzo: @libero.it Pop3: popmail.libero.it IMAP imapmail.libero.it Smtp: mail.libero.it Lycos Indirizzo: @lycos.it Pop3: pop.lycos.it Smtp: smtp.lycos.it Mclink Indirizzo: @mclink.it Pop3: mail.mclink.it Smtp: mail.mclink.it MSN Indirizzo: @msn.it, @msn.com Pop3: Non disponibile. E' necessario usare FreePops Smtp: Non disponibile. Poste.it Indirizzo: @poste.it Pop3: relay.poste.it Smtp: relay.poste.it Supereva Indirizzo: @supereva.it Pop3: mail.supereva.it Smtp: mail.supereva.it Tiscali Indirizzo: @tiscali.it Pop3: pop.tiscali.it Smtp: smtp.tiscali.it Tin Indirizzo: @tin.it Pop3: pop.tin.it Smtp: smtp.tin.it Virgilio Indirizzo: @virgilio.it Pop3: in.virgilio.it Smtp: out.virgilio.it Yahoo.it Indirizzo: @yahoo.it Pop3: pop.mail.yahoo.it Smtp: smtp.mail.yahoo.it Yahoo.com Indirizzo: @yahoo.com Pop3: pop.mail.yahoo.com Smtp: smtp.mail.yahoo.com October 26 Venerdi' scorso 20 ottobre..Si e' sposato mio fratello...TaNti Auguri Bro... Ora e' in viaggio..New York, Miami, Santo Domingo....e' stata una bellsissima festa....( sono stato un ballerino richiesto dopo la mia esibizione di breackdance?) Incredibile ma vero 2 ragazze mi hanno "letteralmente" prelevato per ballare un lento.... Auguri Andrea e Roberta "Dvd Jon" ha colpito ancora decrittati i file di iTunesncora lui. "Dvd Jon", al secolo Jon Lech Johansen norvegese di 22 anni,
ha sbloccato il meccanismo - dal nome gentile "Fair Play" - che
impedisce agli utenti del lettore iPod di scaricare musica da negozi
online diversi da iTunes di Apple e di sentirli su lettori diversi
dall'oggetto "cult" degli ultimi anni. Una vera impresa, quella di Jon,
che adesso fa gongolare le grandi aziende interessate a vendere musica
online e, naturalmente, fa arrabbiare Apple. Anche se fino ad ora dal
quartier generale di Cupertino non sono arrivare prese di posizione
ufficiali. Non a caso l'inventore di questo codice ha pensato di non diffonderlo liberamente sul web in nome di un ideale di libertà digitale, ma ha deciso di venderlo. Insomma, il giovane hacker si è messo in affari. E che affari. La notizia è stata diffusa da Monique Farantzos, direttrice di DoubleTwist, la società (di fondata dallo stesso Johansen) che pensa di distribuire a breve, e su legale autorizzazione, il codice di "sprotezione". Spiega la manager: "Quel che ha fatto essenzialmente è invertire il procedimento di FairPlay. Questo consente ad altre società di offrire contenuti per gli iPod". Quanto al prevedibili ricorsi da parte di Apple, la Farantzos non ha dubbi: "Apple ci può dare dei problemi, ma non sarà in grado di fermarci. Pensiamo di essere su un terreno solido, i nostri avvocati ci hanno dato la luce verde". Fonte: Repubblica October 24 Una piaga chiamata LinkOptimizerLinkOptimizer è diventato ormai una vera e propria piaga, che in questi mesi è andata diffondendosi a macchia d'olio, soprattutto in Italia.
Mentre a Giugno e Luglio gli utenti infettati (e imploranti attenzione), sebbene già numerosi, si potevano contare, ora, quasi tutti coloro che si rivolgono ai forum sono vittime di questo malware.
Il problema più gravoso per gli utenti consiste nell'eliminazione del virus, che è formato da più componenti operanti in sinergia fra loro...
Comportamente e prevenzione
LinkOptimizer si contrae visitando particolari siti (che esistono al solo fine di contagiare più pc possibili). Molti di questi sono oggigiorno contrassegnati da uno sfondo tricolore. Non appena aperta la pagina, il sito, tramite un bug del browser Internet Explorer, carica il file infetto sul pc. Questo, a sua volta, scaricherà gli altri componenti dal server d'origine. Tali file vengono oggi scaricati da td8eau9td.com, ma in passato venivano scaricati da gromozon.com e da mioctad.com. Questa non è la sede adatta per descrivere nel dettaglio ogni parte del malware e la sua funzione, pertanto, mi limiterò a considerare che i file vengono celati attraverso una tecnica particolare, definita rootkit: è proprio questa caratteristica che rende particolarmente difficile la rimozione.
Se agli inizi era necessario collegarsi quasi esclusivamente a un sito a luci rosse (di marca italiana) per contrarre il malware, oggi il raggio di azione si è notevolmente allargato. Sono stati creati anche siti infetti che trattano di elettrodomestici (per dirne una). Una semplice soluzione per evitare il malware è navigare usando i browser alternativi (Firefox od Opera), che avvisano quando il sito sta tentando di scaricare un file.
Il file in questione si chiama www.google.com, al fine di indurre l'utente a pensare che sia un file legittimo di Google. L'estensione .com però indica un file eseguibile, come .exe o .bat. Se si analizza il file www.google.com sul sito www.Virustotal.com, esso viene riconosciuto come un virus praticamente da tutti, anche se con un nome diverso.
Sintomatologia
I sintomi facilmente riscontrabili consistono in un evidente rallentamento del pc (insieme ad un uso smodato della cpu) e alla comparsa di numerosi popup nel web e durante la ricerca con Google. Con quest'ultima, il malware fa comparire un popup del genere: premettendo che io stia cercando su Google "Calcio", il popup riporterà diversi link a siti a pagamento, e in grande la scritta "Are you looking for *Calcio*?"
Utilizzando invece un programma di diagnostica come Hijackthis, potremmo notare voci del tutto simili a quelle sotto riportate.
Nelle istruzioni seguenti, non tutte le voci che vedete potrebbero essere presenti; ciò dipende dalla versione del malware, considerato che ne esistono almeno tre o quattro, stando a quanto emerge dai log che riceviamo sul forum.
Una delle più recenti versioni non visualizza nessuna di queste voci nel log di Hijackthis: * R3 - Default URLSearchHook is missing
* O2 - BHO: Class - {CLSID casuale} - C:\WINDOWS\[random 5 lettere]1.dll (file missing) * O2 - BHO: Class - {CLSID casuale} - C:\WINDOWS\[random 2 lettere]aa.dll (file missing) * O4 - HKLM..Run: [[random 4 lettere]1.exe] C:\WINDOWS\Temp\[random 4 lettere]1.exe * O4 - Startup: w32.exe * O16 - DPF: {CLSID casuale} - http://td8eau9td.com/a33ed837/50310/1/xp/FreeAccess.ocx * O23 - Service: [Random] - Unknown owner - \?C:\Programmi\File comuni\System\[random].exe (file missing) Inoltre, il malware genera uno o più utenti dal nome casuale (ad es. FdgHEhhjEa).
Per verificarne la presenza, è sufficiente abilitare la visualizzazione dei file nascosti e andare in C:\Documents and Settings Si potrà riscontrare anche la presenza della voce LinkOptimizer (o anche ConnectionServices) nel pannello Installazione Applicazioni. NOTA BENE: non si deve assolutamente disinstallare il malware da questo pannello, non avrebbe alcun effetto e si aprirebbero diverse pagine web, con un eventuale peggioramento della situazione, a causa dell'installazione di un Trojan aggiuntivo... nel caso non ne abbiate abbastanza...
Rimozione
Ultimamente, alcune compagnie antivirus (fra le quali Symantec) hanno aggiornato le definizioni dei propri antivirus, ma il worm rimane comunque di difficile rimozione per la sua complessità strutturale e le numerose varianti in cui si propone. Recentemente, Prevx ha rilasciato un tool per la completa rimozione del malware. Purtroppo, però, questo tool spesso non rimuove del tutto il malware, costringendo così l'utente meno smaliziato e meno avvezzo all'uso del pc a fare richiesta di aiuto nei forum.
Sebbene un tool, che spesso non funziona perfettamente, possa sembrare quasi superfluo, nel caso di LinkOptimizer esso si rivela piuttosto utile, in quanto semplifica di molto il processo di rimozione. Download tool
La rimozione manuale, invece, è consigliabile solo per chi se ne intende, o sotto la guida di un esperto.
Nel caso si voglia (o si debba) procedere a una rimozione manuale, sarà necessario scaricare questi programmi:
Ccleaner
The Avenger Myuninstaller GMER HijackThis Qui di seguito le fasi per la rimozione manuale.
Prima di tutto, è necessario disabilitare il ripristino configurazione di sistema (da riabilitare alla fine, se lo utilizzavate).
1) Estrarre Myuninstaller.
Si tratta di un programma (che non necessita installazione) simile a "installazione applicazioni", ma molto più efficace in questo caso. Cercare la voce LinkOptimizer (o ConnectionServices), cliccarvi col destro e cliccare Delete selected entry. 2) Andare su Start -- Esegui -- e digitare le scritte in corsivo control userpasswords2 e dare l'invio.
Nella finestra Account utente, si dovrebbe avere un'utenza sospetta con nome casuale (oltre le consuete), tipo XYZFG. Segnatevi il nome dell'utenza ed eliminatela (click con il destro, quindi scegliere elimina).
3) Rendere visibili file e cartelle nascosti.
Da gestione del computer -- Strumenti -- Opzioni Cartella, selezionare Visualizzazione. Bisogna spuntare "Mostra file e cartelle nascoste" e togliere la spunta da "Nascondi file protetti di sistema". Cliccare OK per confermare. Andare in C:\Documents and Settings. Qui, si dovrebbe trovare una cartella con lo stesso nome dell'utenza: eliminare anch'essa.
4) Questa fase necessita l'uso di Avenger e l'inserimento di uno script che varia da infezione a infezione (ci si ricordi che quasi tutti i componenti hanno nomi casuali). Quindi, per questa fase, è consigliabile chiedere assistenza sul forum.
In tal caso, è necessario postare anche dei log dell'applicazione Gmer. Per farlo, aprire il programma Gmer, fare uno scan delle schede "Autostart" e "Rootkit", cliccare su Copia, incollare i log sul block notes e incollarli poi sul forum.
Un utente esperto potrà indicarvi, dunque, il corretto script da inserire. Dopo aver ricevuti i consigli sulla compilazione dello script da inserire in Avenger decomprimete l'archivio scaricato sul desktop ed eseguite il file avenger.exe.
Selezionate Input Script Manually, cliccate sulla lente d'ingrandimento e nella finestra View/edit script, che si aprirà, incollate lo script preparato in precedenza, che sarà simile a questo:
Registry values to replace with dummy:
HKLMSoftware\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs Files to delete:
C:\Programmi\File comuni\System\com2.exe C:\WINDOWS\system32\qpaa.dll C:\WINDOWS\TEMP\fxwo1.exe e premete Done.
Cliccate sull' icona con il semaforo verde e rispondete Si per due volte.
Il computer dovrebbe riavviarsi da solo per completare l'operazione, se non si riavvia da solo, fatelo voi. Ora dovete eliminare la cartella di backup, creata da Avenger, che si trova in C:\avenger.
Questa cartella si elimina inserendo ed eseguendo il comando del \\.\c:\avenger
in Start --> Esegui.
5) Controllare se in C:\Programmi, C:\Programmi\file comuni, C:\programmi\file comuni\System o in C:\programmi\file comuni\microsoft shared, sono presenti file con estensione .exe di colore verde.
Se sì, utilizzate il tool, che potrete scaricare dal seguente indirizzo: Download del tool Nod
6) Installare Ccleaner, aprirlo, e cliccare su Avvia Cleaner in basso a destra. Sarebbe consigliabile spuntare l'opzione "Cancella file in Windows Temp solo se più vecchi di 48 ore". Questo pulirà i file "Temp".
7) Aprire HijackThis e cliccare su "Do a system scan only", per poi eliminare le voci segnalate in precedenza o sul forum e identificate nella vostra scansione.
8) Eliminare la cartella C:\Programmi\LinkOptimizer (ove C:\ indica la partizione del disco rigido infetta).
9) Osservate attentamente la voce O23 di hijackthis ed annotate il nome random dei servizi fasulli.
Presa nota di questi nomi random, per eliminare questi servizi andate su Start --> Esegui ed eseguite uno alla volta questi comandi sc stop [nome random]
sc delete [nome random] l'aspetto del comando sarà simile a questo
sc stop LogDcs sc delete LogDcs 10) Per finire di pulire il registro, cercare nel registro di configurazione di Windows (Start - Esegui - Regedit) tutte le voci riferite ai nomi random, alle clsid random e a LinkOptimizer o ConnectionServices.
A questo punto, il LinkOptimizer è finalmente eliminato.
Fonte:megalab October 15 War Games 2 prende formaNon sarà il sequel più atteso di tutti i tempi, anzi forse è il più temuto, ma resta il fatto che la MGM sta portando avanti il progetto di ridare vita a una delle icone cinematografiche degli anni ottanta. Stando alle notizie riportate oggi però, la trama di War Games 2: the dead game non sarà più quella annunciata in precedenza, ma avrà più il sapore della classica operazione di remake/ripetizione. Un giovane hacker, esattamente come capitava al giovanissimo Matthew Broderick più di venti anni fa, vede la sua vita sconvolta quando si mette a giocare a un simulatore di attacchi terroristici on-line in cui, a sua insaputa, ha come avversario un supercomputer creato dal governo per tracciare il profilo di potenziali terroristi. Quando la sicurezza nazionale si convince che lui stia organizzando un vero attentato in larga scala, la vita del protagonista diventa un inferno. L’idea è evidentemente aggiornata al nostro tutt’altro che felice periodo storico, quello che resta da scoprire è se sarà un prodotto destinato solo all’home video (e quindi ci si deve aspettare qualcosa di scarsa rilevanza), o se la MGM deciderà di investirci un budget adeguato. Alla regia è stato messo Stuart Gillard, di provenienza televisiva. Il che non fa ben sperare Le riprese inizieranno a Montreal in Novembre, dopo di che, dovremo di nuovo rispondere alla cara vecchia domanda: vuoi giocare alla guerra termonucleare globale? Fonte:fantascienza October 11 Microsoft distribuite le patch di OttobreSei patch critiche, una importante, due di rilevanza moderata ed una a bassa priorità: a tanto ammonta l'attesissimo aggiornamento di sicurezza di Ottobre per i prodotti Microsoft. In tutto sono risolte ben 26 vulnerabilità, alcune delle quali di altissima pericolosità per l'utenza a causa della già nota presenza online del codice di exploit (in taluni casi già in azione in ambiti limitati con azioni fraudolente). L'aggiornamento di Ottobre, soprattutto, risolve le falle di Powerpoint ed Explorer di cui si è ampiamente discusso nelle settimane precedenti. Disponibile anche una patch relativa alla piattaforma .Net. Una patch ulteriore, peraltro, era già stata distribuita anticipatamente per risolvere una nuova vulnerabilità resasi nel frattempo troppo pericolosa e necessitante dunque di immediato intervento al di fuori del ciclo tradizionale di aggiornamento. È segnalata su Edit una serie di problemi che hanno coinvolto il servizio di update fin dalle prime ore: in serata il problema sembra essere già risolto ed a 12 ore dal rilascio dei bollettini la situazione appare completamente ripristinata. L'aggiornamento del proprio sistema è consigliato oggi più che mai e da parte Microsoft giunge la solita indicazione circa la preferenza del Microsoft Update come sistema ottimale per l'aggiornamento, così da avere automaticamente a disposizione le patch necessarie senza dover badare a download ed installazioni manuali. In Ottobre i bollettini rilasciati sono compresi tra il Microsoft Security Bulletin MS06-056 ed il Microsoft Security Bulletin MS06-065. I problemi identificati sono in grado di portare al sistema minacce quali esecuzione di codice da remoto, accesso ad informazioni private e problemi di tipo Denial of Service. Ogni singolo aggiornamento è descritto sul sito web ufficiale. Stando alla roadmap esplicata dagli sviluppatori di Internet Explorer, con il prossimo aggiornamento di Novembre dovrebbe arrivare agli utenti Microsoft, sotto forma di aggiornamento ad alta priorità, anche la nuova versione ufficiale del browser IE7. Entro poche settimane, dunque prima dei prossimi bollettini di sicurezza, il browser stesso sarà disponibile a seguito di download manuale. Fonte:webnews October 05 Finto messaggio/trojanIl messaggio, contiene un testo perentorio:
"Gentile Cliente,
Da un nostro controllo contabile non ci risulta a tutt'oggi il pagamento della fattura A44Hb79PL000120 dell'importo di Euro 293,50. Se la fattura risulta già saldata o se ritiene possa sussistere un errore contabile la invito a prendere visione del conto da pagare attraverso il nostro: Servizio di controllo contabile ( http://www.acquadirose.com/fatturazione/index.html ) In difetto, provvederò ad agire nelle sedi opportune, senza ulteriore preavviso. Distinti saluti. Dott. Alfonso De Mattei Sales & Marketing Acqua di rose S.p.a. Istituto di ricerca per la bellezza" In realtà ciascuno di coloro che hanno ricevuto la mail viene invitato a saldare la medesima fattura del medesimo importo ma, soprattutto, recandosi all'indirizzo descritto, l'unico modo per visualizzare la "fattura" è cliccare su un link che però fa partire il download di un file eseguibile. Secondo il blog di Marco Giuliani Acquadirose.com diffonde "Ordine.exe", un trojan e un dialer pensato per deviare le connessioni analogiche verso numerazioni a pagamento.
Lo stesso malware verrebbe diffuso anche da altri siti, come forteforte.com, cosa che sembra confermata da una segnalazione che appare sul sito della Polizia di Torino e che ricorda in tutto e per tutto la mail di Acquadirose.
La connessione tra i due siti diventa certa verificando lo WHOIS di forteforte.com i cui riferimenti sono ad indirizzi email @acquadirose.com.
Entrambi i siti, poi, sono nati a fine agosto, lo stesso giorno. Fonte:punto-informatico |
|
|
