Pagina Iniziale | Preferiti Comunity: Login | Registrati | Newsletter | Forum | Concorsi Newsgroup
Canali: Hardware | Software | Files | Webmaster | Cellulari | Shop
Nel sito: News | Articoli | Files | Manuali | Consigli PC | Schede cellulari | Programmaz. | Hosting | Motori Ricerca | Glossario | Link
Servizi: Shopping | Forum | Crea un BLOG | Cartucce Compatibili | Tool News |   Sponsor: Automazione Industriale
  Articoli

Recensioni
Consigli per PC


  News e files

Software
Telefonia
Internet
Tecnologia
Files e Download


  Manualistica

Guide HW/SW
Scripts ASP
Scripts HTML
Scripts Java
Scripts Delphi
Glossario


  Shopping

Hardware
Software e Giochi
Elettronica
Cinema e Film
Console e Accessori
Prodotti Ufficio
Formazione e Corsi

Tieniti aggiornato sul mondo della tecnologia con la nostra newsletter!
La tecnologia sulla tua
casella e-mail

[Info Newsletter]


Concessionaria Pubblicitaria

<< News Precedente [Fine Pagina] News Successiva >>
Mocbot al Microscopio
Mocbot al Microscopio

Un articolo di: Daniele Notte del 19/08/2006      Letture: 3479


  Buono sconto 4% su Toner e Cartucce agli utenti AZpoint. SU Iomiricarico.it!!

In rete sono stati pubblicati nuovi interessanti dettagli sui recenti attacchi alla vulnerabilità nel Servizio Server, corretta dal colosso nel suo Patch Day di Agosto. Joe Stewart, senior security researcher del Threat Intelligence Group di LURHQ, ha analizzato una variante del Trojan Mocbot che si occupa di eseguire l'hijacking delle machine Windows prive di patch per popolare botnet controllate via IRC. Stewart ha trovato un modo per "spiare" di nascosto l'infrastruttura di command-and-control di una botnet, e le sue scoperte suggeriscono che gli spammer "for-profit" stanno chiaramente vincendo la gara "gatto col topo" con le aziende antivirus.

Stewart spiega: "Il fatto è che, una volta infettati, siete completamente sotto il controllo del botmaster. Ha la capacità di installare qualsiasi cosa vuole sulle vostre macchine, e non c'è un modo sicuro al cento per cento per sapere se la macchina è pulita". Stewart, un ricercatore specializzato nel reverse-engineering dei file malware, ribadisce: "l'unico modo per sapere se il sistema è completamente malware-free è quello di cancellare il disco rigido e reinstallare il sistema operativo". Stewart è giunto a questa conclusione dopo alcune ore di analisi su Mocbot. "Ho due macchine che si eseguono in un network isolato. Ho infettato una macchina con il malware, con la seconda che agisce come se fosse Internet intera". La seconda macchina, detta "sandnet", è un tool sperimentale per analizzare malware in un ambiente isolato, fornendo nel contempo una Internet virtuale con cui il malware può interagire.

Steward aggiunge: "Posso sedermi e vedere tutta l'interazione fino al punto in cui [la macchina infetta] entra nel canale di comando della botnet. Quindi posso prendere le informazioni, andare 'fuori' e replicarle. Posso vedere cosa fa un server reale per farmi una idea completa dell'operazione". Con Mocbot, che attacca la vulnerabilità MS06-040, Stewart è stato in grado di capire che i parassiti infetti si connettono a due server di comando e controllo hard-coded sugli indirizzi "bniu.househot.com" e "ypgw.wallloan.com". Il ricercatore è stato in grado di catturare la sequenza di login IRC generata dal bot. Questa include nome utente, nickname, nome canale e primi bit delle istruzioni inviate alla macchina infetta. Gli schemi di comando erano tutti criptati, e questo ha costretto Stewart ha creare uno script Perl in grado di decodificare gli algoritmi.

Il ricercatore ha quindi usato telnet per connettersi al server di comando sulla porta 18067 (quella del server IRC), ed ha iniziato a spiare il canale di controllo, senza trovare comunque nulla di interessante. Il codice del server IRC era stato infatti privato di quasi tutte le informazioni, eccetto la linea del channel topic, che era crittata. Una volta decodificato il codice, Stewart ha scoperto che il botmaster istruiva le macchine infette per unirsi ad un altro canale di controllo e ricevere un altro messaggio criptato. Questo messaggio decodificato include un semplice comando per scaricare un file da una URL su PixPond.com, un servizio di hosting gratuito di immagini. Il file è un spam proxy Trojan chiamato Win32.Ranky.fv. L'intero schema di infezione di massa è quindi finalizzato all'invio di spam. Sfruttando la sandnet Steward ha anche "spiato" il codice dello spam Trojan e ha scoperto che il malware invia un pacchetto 4-byte UDP all'indirizzo "yu.haxx.biz". Riproducendo questo in una rete connessa ad Internet il ricercatore si è infiltrato nella rete proxy. Steward ha iniziato a vedere immediatamente un gran numero di spam passare tramite il socks server, proveniente da dozzine di indirizzi IP. Steward commenta: "Sembra che questo è stato un attacco limitato e ridotto per questa semplice ragione. I cybercriminali non hanno voluto andare allo scoperto. Si tratta di settare delle piccole botnet e fare soldi con lo spam".

Il ricercatore di LURHQ evidenzia anche un problema: questo recente attacco conferma che le aziende e gli utenti finali dovrebbero stare attenti ad usare un solo software antivirus. All'inizio dell'attacco infatti solo un terzo degli scanner antivirus testati dal team di Steward era in grado di rilevare il malware, pur trattandosi di una variante di un codice conosciuto mesi fa. Inoltre bisogna considerare l'uso delle botnet che istruiscono le macchine al download di un secondo Trojan, di spam. Se si fosse trattato di un rootkit? Steward conclude: "Siamo arrivati al punto che è meglio prendere in considerazione la formattazione e reinstallazione delle machine dopo questi attacchi. Se il software di sicurezza usato non controlla la botnet e non conosce esattamente ciò che viene scaricato sulla macchina, il malware potrebbe rimanere nel sistema senza essere rilevato per molto tempo".

Fonte : Microsoft



[Indietro]    [Su]      [Home]      [Commenti]      [V. Stampabile]

Commenta questa notizia:
Non hai ancora fatto il
Login, puoi inserire commenti solo come anonimo.
ATTENZIONE: il tuo IP verrà memorizzato e mostrato a fianco del commento; con la pressione del tasto invia commento si esprime il consenso alla pubblicazione di tale informazione personale.
A discrezione dello staff, i commenti ritenuti non adatti od offensivi potranno essere rimossi. Nel caso di utilizzo di espressioni volgari od offensive il comportamento verrà segnalato al provider interessato.
Se non ti sei ancora registrato, cosa aspetti? Registrati subito.

Da ora puoi discutere dei problemi informatici anche sul nostro FORUM

Testo del commento:


  News correlate
 Windows 9 svelato già a settembre?
 Internet Explorer, dal 2016 supporto solo alle versioni più aggiornate
 Windows 8.1, nuovo aggiornamento ad agosto
 A luglio Windows 7 sopra il 51% del mercato
 Windows 7 supera il 50% di quota di mercato
 Microsoft svela Windows 8.1 with Bing
 Windows 8.1, aggiornamenti fino al 10 giugno
 Windows Xp a marzo ancora sopra il 25%
  Ultime dal Forum

Mi potete aiutare continui scollegamenti in wi-fi
schede video a confronto
Verifica ora i miei Guadagni di Luglio - Agosto 2013
Forex Firm! Ricevi 100% Gratis $100 USD + Gestione Profitti
Falkito Builder System 100% automazione profitti 24h su 24
tutto wrestling
nuovo sito
RoboForm e simili
esiste un lettore FLV per windows 98 ?

Comunicazioni / Note Legali / Staff / Collabora / Pubblicità / Contatti


Copyright JuiceADV S.r.l. (P.IVA : 02387250307), tutti i diritti riservati Utenti Connessi: 851


Pagina creata in 0,17sec. Powered by JuiceADV S.r.l.

Stats v0.1 (0,000sec.)