La scoperta arriva dai laboratori Trend Micro:

Sembra che il 7 aprile il virus abbia nuovamente cambiato strada, evolvendosi per l’ennesima volta.

Ivan Macalintal e il suo team segnalano la comparsa di un nuovo file sospetto di 119,296 bytes nella cartella temporanea di windows (%windir%\temp).
Secondo i dati raccolti sembrerebbe che il virus abbia scaricato quest’ultimo aggiornamento grazie alla sua capacità di ricevere nuovi payload via peer-to-peer da altri host infetti sulla rete.

Altro dettaglio curioso è che successivamente avrebbe tentato di scaricare un secondo file criptato (print.exe) da un host (goodnewsdigital-com) appartenente alla botnet di Waledac, una “vecchia” conoscenza della famiglia dei Trojan, il cui obiettivo è quello di sottrarre dati sensibili agli utenti.

Oltre a Waledac, sui sistemi ancora sotto il controllo del Conficker si sono attivate installazioni di applicazioni scareware come “Spyware Protect 2009” (della stessa famiglia dei più famosi Antivirus 2008 e Antivirus 2009), il quale non è altro che un virus che si maschera da antivirus far credere all’utente che il proprio computer sia infetto, questo per spingerlo poi ad acquistare la fantomatica versione completa del programma, che pulirà completamente il pc dalle minacce.

Ed ecco che piano piano la motivazione di queste persone comincia a diventare fin troppo chiara: il denaro.

Le caratteristiche di quest’ultima variante, riconosciuta come Win32\Conficker.E o WORM_DOWNAD.E da TrendMicro, le trovate descritte in questa analisi del Microsoft Malware Protection Center: http://blogs.technet.com/mmpc/archive/2009/04/09/win32-conficker-variants-update.aspx

• 0 Comments

(Ultimo aggiornamento: 27/04/2009)

Indice:

-{ Info sulla Minaccia
–{ Evitarlo
—{ Riconoscerlo
—-{ Rilevarlo
—–{ Rimuoverlo

In questi giorni nell’azienda per cui lavoro si è verificato un focolaio piuttosto proliferante del Virus Conficker, prevalentemente nelle forme B e B++.

Mentre risanavamo i pc del domino distribuendo il famoso tool MRT (Malicious Software Removal Tool) di Microsoft, ci siamo accorti che nel contempo stava accadendo qualcos’altro: nonostante i nostri sforzi stava proliferando una nuova, particolare versione del virus, molto più fastidiosa dei suoi fratelli ed apparentemente ancora sconosciuta su internet.

Non abbiamo potuto fare a meno di notare la differenza, visto che le canoniche procedure di pulizia (via MRT o FixDownadup) non si dimostravano più sufficienti: sui pc infetti infatti non era più possibile installare alcuni tipi di software (es. Unlocker, filemon, TcpView) nè tantomeno eseguire i software di pulizia già citati, i quali svanivano nel nulla un’attimo dopo essere stati richiamati.

Dopo esserci messi direttamente in contatto con McAfee, con la quale abbiamo collaborato fornendo una lunga serie di report (comprensivi anche di campioni autentici per l’analisi), la casa ci ha comunicato di essere gli scopritori di una nuova variante del virus Conficker!

Attualmente l’ultimo DAT disponibile sul sito di McAfee dovrebbe implementare il rilevamento di quest’ultima variante, come descritto in questa pagina (aggiornata ieri, 10 marzo: poche ore fa).

Come si Presenta il Worm

Considerando la questione da profano, questa variante non differisce molto dalle precedenti, nel senso che nella modalità di infezione mantiene fondamentalmente la sua classica configurazione:

prima fra tutte è la caratteristica di creare una copia di se stesso con l’attributo di file nascosto in c:\%windir%\system32\%nome_random%.dll .

Tale file ha permessi Everyone di sola esecuzione e in quest’ultima veste presenta una dimensione ricorrente di 86,016 bytes (contro i 165,600 della precedente B).

La libreria (come al solito) viene caricata da un servizio di sistema e sfrutta quindi il processo svchost.exe per nascondere la propria presenza.

Nella chiave netsvcs sotto HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost viene infatti iniettata una voce maligna che può assumere anche connotati di grande somiglianza con quelle default di Windows.

Come mi è capitato, potreste anche trovarvi di fronte ad una entry netsvcs fasulla TrkTime, facile da confondere con quella invece autentica TrkWks (Distributed Link Tracking Client service).

Come Riconoscerlo

Come ho già detto, questa variante si presenta in system32 con un file .dll avente una dimensione ricorrente di 86,016 bytes.

Altre dimensioni note sono: 103,936 bytes | 164,160 bytes | 157,479 bytes | 84,992 bytes (gen.D)

Questa caratteristica ci consente di verificarne velocemente la presenza grazie al comando dos

c:\> Dir /A:H c:\windows\system32\*.dll

l’attributo /A:H estrae solo i file invisibili contenuti nella cartella ed un pc pulito dovrebbe restituire il messaggio “File not found”.

Consiglio anche di tentare l’enumerazione dei file “marchiati” di sistema, in questo modo:

c:\> Dir /A:S c:\windows\system32\*.dll

Perchè il comando dos? perchè Conficker impedisce la visualizzazione avanzata dei file invisibili e di sistema.

Il file può avere anche determinati permessi di accesso come i soli SYNCHRONIZATION e FILE_EXECUTE per il gruppo Everyone. Per verificare usate il comando:

c:\> cacls c:\%windir%\system32\%nome_lib%.dll

Il conficker inoltre disabilita alcuni dei seguenti servizi:

• Aggiornamenti Automatici (wuauserv)
• Server
• Trasferimento intelligente in background (BITS)
• Centro Sicurezza PC (wscsvc)
• Servizio di Segnalazione Errori (ERSvc)

Con la apposita snap-in di windows potete controllare velocemente lo stato di questi ultimi: Start -> Esegui -> services.msc

Aggiornamento:

Da uno dei ragazzi del conficker working group, Joe Stewart, arriva anche un sito web (eye chart) che si propone di aiutare gli utenti meno esperti ad identificare questo virus sui propri pc:

http://www.confickerworkinggroup.org/infection_test/cfeyechart.html

Ed ecco un secondo strumento per la verifica online scritto da Leder e Werner, basato sull’idea di Joe Stewart:

http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

Come Rimuoverlo

Dal momento che non ci sarà possibile installare buona parte delle applicazioni di sicurezza (come quelle fornite da sysinternals), collegarci ai siti microsoft e a quelli delle varie case antivirus, ma nemmeno eseguire i vari tool di rimozione, dobbiamo ricorrere ad una piccola ma potentissima utility freeware chiamata “File & Folder Unlocker” disponibile a questo indirizzo. L’esecuzione di quest’ultima infatti non viene fortunatamente intercettata dal virus (e in qualsiasi caso basterebbe rinominare l’eseguibile “pippo.exe” in quanto il worm blocca i processi il cui nome contiene determinate parole).

Come suggerisce il nome, File & Folder Unlocker permette di ricercare tra i file in uso dai processi di sistema e di rilasciarli al volo. Nel nostro caso andremo a ricercare nell’apposito box il nome del file ostile trovato in System32, cliccando poi sulla corrispondenza restituitaci con il tasto destro e quindi su “Unlock Object”.

A questo punto, avendo rilasciato la libreria che intercettava tutte le nostre chiamate, saremo in grado finalmente di eseguire il uno dei tool elencati più avanti.

Aggiornamento:

Se rilasciare la libreria con F&F Unlocker non fosse sufficiente a far partire il software di pulizia, consiglio di cambiare innanzitutto i permessi del file in questo modo:

c:\> echo Y | cacls c:\%windir%\system32\%nome_lib%.dll /c /p Everyone:F

c:\> attrib -s -h -r c:\%windir%\system32\%nome_lib%.dll

Dopodichè cancellate il file, riavviate il sistema e utilizzate uno dei tool sotto elencati per la pulizia completa e la scansione delle le unità locali in quanto il virus si “copia” in cartelle come le temporanee e quelle di sistema (System Volume Information).

In aggiunta (come descritto più infondo) consiglio sempre l’utilizzo dei software, benchè in via di sviluppo, predisposti e condivisi da Ledner e Werner dell’Honeynet Project alla luce delle loro ultime scoperte.

Removal Tool Rilasciati Recentemente

• BitDefender: http://www.bdtools.net/
• Kaspersky: http://www.kaspersky.com/technews?id=203038750
• Enigma Software: http://www.enigmasoftware.com/support/conficker-removal/
• F-Secure: http://www.f-secure.com/weblog/archives/00001588.html
• Symantec: http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99
• Mcafee: http://service.mcafee.com/faqdocument.aspx?id=TS100621
• TrendMicro: http://www.trendmicro.com/ftp/products/pattern/spyware/fixtool/SysClean-WORM_DOWNAD.zip (necessita dei pattern aggiornati Ssapiptn.Da5 e lpt$vpn.XXX)
• Sophos: http://www.sophos.com/kb/54457.html
• Leder e Werner dell’università di Bonn: http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

Dopo la pulizia ricordatevi di eseguire comunque una scansione completa con il vostro software antivirus, ma in particolare controllate che nelle cartelle C:\System Volume Information\ (invisibile e di sistema), %TEMP%, c:\%programfiles%\Internet Explorer\, c:\%programfiles%\Movie Maker\ non ci siano più tracce del virus.

Come Proteggersi dalla diffusione

Dal momento che il virus si sta ultimamente diffondendo grazie alla sua caratteristica di infettare qualsiasi dispositivo esterno collegato al PC (chiavette usb, HD esterni, lettori Mp3 ecc..), la prima cosa sensata da fare è disabilitare la funzionalità di windows di interpretare i file Autorun.inf

Per farlo è sufficiente creare un file con estensione .REG contenente queste righe ed eseguirlo accettando le modifiche:

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@=”@SYS:DoesNotExist”

Oltre a questo è senz’altro importante:

- evitare l’utilizzo di password banali per l’utente amministrativo locale: leggete qui.

- evitare l’utilizzo di cartelle condivise con accessi Everyone in scrittura

- installare la patch di sicurezza disponibile nel Security Bulletin MS08-067

Informazioni e Approfondimenti sulla Minaccia

• Analisi approfondita di SRI International: http://mtc.sri.com/Conficker/
• Altra analisi da SRI,  dedicata a quest’ultima variante: http://mtc.sri.com/Conficker/addendumC/index.html
• Istruzioni per il rilevamento: http://www.cert.at/static/conficker/TR_Conficker_Detection.pdf
• Come si propaga: https://forums2.symantec.com/t5/Malicious-Code/Downadup-Locking-Itself-Out/ba-p/389837
• Tiny Honeypot: http://www.sans.org/reading_room/whitepapers/detection/enhancing_ids_using_tiny_honeypot_1665?show=1665.php&cat=detection
• Ripristino della modalità provvisoria sui pc infettati: http://blog.didierstevens.com/2007/02/19/restoring-safe-mode-with-a-reg-file/
• Rimozione Manuale e deployment su reti Microsoft (vedi: conficker_email_template): http://blogs.msdn.com/nickmac/archive/2009/01/14/malicious-software-removal-tool-removes-win32-conficker-b.aspx
• Il conficker si prepara per il primo di Aprile: http://community.ca.com/blogs/securityadvisor/archive/2009/03/11/new-conficker-variant-not-fooling-around.aspx
• F.A.Q. di F-Secure: http://www.f-secure.com/weblog/archives/00001636.html

Rilevamento delle Infezioni

Bisogna ringraziare Tillman Werner e Felix Leder, due ricercatori facenti parte dell’Honeynet Project, se adesso è possibile rilevare questo fastidioso worm con estrema facilità anche nelle grandi reti.

Ciò che hanno scoperto questi ragazzi non è altro che una piccola firma che il virus lascia sulle risposte a determinate chiamate RPC. Hanno trovato quella che possiamo definire l’impronta digitale del virus, caratteristica che rende ora estremamente semplici le procedure di rilevamento: è possibile infatti scovare le minacce presenti nella nostra rete in maniera del tutto anonima (nessuna autenticazione richiesta durante la verifica, ed è possibile farlo in qualsiasi rete o dominio), remota e sopratutto molto rapida.

Trovate comunque il rapporto dettagliato delle loro ricerche a questo indirizzo.

Come si fa a rilevarlo?

Vi rimando a fonti molto più autorevoli, dove troverete informazioni dettagliate rigorosamente in inglese:

Rilevazione con il tool Nmap, che incorpora nell’ultima versione le firme del virus pubblicate dal progetto Honeynet:

• http://nmap.org/nsedoc/scripts/smb-check-vulns.html
• http://www.net-security.org/secworld.php?id=7252
• http://www.net-security.org/software.php?id=1
• http://www.skullsecurity.org/blog/?p=209

Di seguito invece trovate il link all’articolo redatto dai due ricercatori sul sito dell’università di bonn. Qui sono disponibili non solo tool e script per il rilevamento, ma anche una serie di utility per la totale disinfezione (per esempio della memoria) degli host infettati dalle innumerevoli varianti del worm:

http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

Aggiornamento:

E’ stata recentemente scoperta una tecnica che sfrutta il meccanismo p2p proprietario del virus al fine di rilevare gli host infetti dalle varianti C in su, in quanto quest’ultima è stata la prima ad incorporare tale meccanismo di aggiornamento. Lo script per Nmap è già integrato nell’ultima versione.

• http://www.skullsecurity.org/blog/?p=230 (New)

• 7 Comments

Ho già scritto tempo fa a proposito del comando netstat di windows, nel post Visualizzare le sessioni TCP/UDP attive con il prompt dei comandi.

Oggi spiegherò come identificare malware o applicazioni non gradite con questo semplice ma potente strumento.

Ecco come monitorare le connessioni TCP usando netstat, ed ottenere un log dettagliato dei processi che accedono ad internet a nostra insaputa:

Prima di iniziare la fase di monitoraggio è bene chiudere tutti i programmi che si collegano ad internet come il browser, i programmi di chat, i client peer 2 peer etc.. visto che vogliamo ottenere un file di log il più “pulito” possibile.
Accertatevi che sul computer non vi siano più connessioni attive, e lasciando il pc collegato ad interntet avviate il prompt dei comandi e digitate:

netstat -bn [intervallo] >connections.log

l’output delle statistiche sarà salvato in un file connections.log:
di tutte le connessioni TCP saranno loggati gli ip, le porte (-n) e il nome dei processi che hanno inizializzato le connessioni (-b). L’intervallo, specificato in secondi, è la frequenza con cui il comando viene richiamato in loop.

netstat -bn 10 >connections.log

Questo è potenzialmente un loop infinito, ma potete interromperlo in ogni momento premendo CTRL+C.
L’ideale sarebbe lasciarlo in ascolto per qualche ora, oppure durante la notte.

Ed ecco l’output, qui vedete una connessione ad msn messenger:

Active Connections
TCP 192.168.1.1:1031 207.46.108.86:1863 ESTABLISHED 288
[msnmsgr.exe]

[...]

Potreste anche automatizzare il termine del monitoraggio usando AT per interrompere il processo all’orario preferito:

C:\>time
The current time is: 00.00.00,00
Enter the new time:
C:\>at 06:00 cmd /c "taskkill /F /IM cmd.exe"
C:\>netstat -bn 10 >connections.log


• 0 Comments

PHPIDS è un Sistema di Intrusion Detection di facile installazione che vi permette di proteggere tutte le vostre applicazioni web, siti e script php senza influire sulla velocità di esecuzione degli stessi.

PHPIDS è gratis ed è giunto ora alla versione 0.5.3.

Come funziona

Lo script, che va incluso nelle pagine da mettere in sicurezza (oppure preposto in tutte le richieste http tramite un settaggio del php.ini che vedremo tra poco), analizza le richieste senza filtrare o “strippare” l’input, semplicemente riconosce il codice maligno reagendo esattamente come volete voi, anche in base alla gravità dell’attacco; per esempio potete istruire l’IDS per terminare il caricamento della pagina dopo aver loggato ip e input del potenziale intruso.

PHPIDS è in grado di riconoscere tentativi di attacco XSS, SQL Injection, header injection, directory traversal, RFE/LFI, DoS e LDAP. Può inoltre rilevare le richieste ostili che sono state offuscate, come la codifica del codice iniettato nel charset UTF-7 o nelle entità Unicode, decimale ed esadecimale.

Esempio di codifica UTF-7:

+ADw-script+AD4-alert(’Hacked!’)+ADsAPA-/script+AD4-

che decodificato diventa:

<script>alert(’Hacked!’);</script>

L’analisi degli input è basata su una serie di regole di filtraggio raccolte in un unico file XML in costante sviluppo; questo ci agevola molto nel mantenere aggiornate le definizioni degli attacchi.
Ad ogni regola è assegnato anche un “impatto” in forma numerica, che determina la gravità del tipo di attacco che si sta subendo: in base all’impatto è quindi possibile definire e personalizzare i comportamenti di phpids nel neutralizzare il tentativo di intrusione .
Per tenere traccia degli attacchi rilevati sono disponibili funzioni di logging su file di testo, DataBase o tramite l’invio di mail e possiamo implementare queste funzioni anche contemporaneamente.

If ($result->getImpact() >= 40) /* Impatto */
{
require_once ‘IDS/Log/File.php’;
require_once ‘IDS/Log/Email.php’;
require_once ‘IDS/Log/Composite.php’;
$compositeLog = new IDS_Log_Composite();
$compositeLog->addLogger(IDS_Log_File::getInstance($init),
IDS_Log_Email::getInstance($init)); /*Loggo su file e mail*/
/* Interrompo il caricamento */
die(’<h1>Il tuo attacco è stato Loggato!</h1>’);
}

Read the rest of this entry »

• 1 Comment

Per venire incontro agli ormai arcistufi utenti di Windows Vista, Microsoft ha pubblicato (nel luglio 2008) un e-book che si propone di fornire una hand-guide per l’ottimizzazione del sistema ed un aumento sostanziale delle prestazioni.

Ecco una panoramica degli argomenti trattati nel tutorial:

• Configurare il sistema per l’aumento della velocità di risposta delle applicazioni.
• Adeguamento e ottimizzazione dell’hardware.
• Velocizzare i tempi di caricamento del sistema operativo.
• Migliorare le prestazioni rendendo il proprio computer più “sicuro”.
• Lezioni sul monitoraggio delle performance.

La guida è disponibile solo in lingua inglese, ma è comunque molto comprensibile e ricca di immagini ed esempi.

Scarica: Windows Vista® Performance and Tuning Tutorial

Fonte |- Scattered Notes

• 0 Comments