area-press.eu – comunicati

Tag: Java

  • G Data: Il 50% della top 10 del malware di Marzo prende di mira le falle di sicurezza di Java

    Secondo le ultime analisi condotte dai G Data SecurityLabs, i criminali online si stanno concentrando sempre di più sulle falle di sicurezza di Java per distribuire malware per computer. Questa tipologia di malware ha dominato le classiche per i primi mesi del 2011. Solo nel mese di Marzo ci sono state ad esempio cinque tipologie di Trojan nella Top 10 del malware che hanno preso di mira le vulnerabilità di Java o Javascript. G Data ha inoltre evidenziato un aumento della presenza di siti manipolati nelle classifiche dei motori di ricerca. L’obbiettivo in questo caso è ingannare gli utenti degli stessi motori di ricerca o dei social network facendo cliccare loro dei siti infetti. G Data si aspetta un ulteriore incremento di entrambe queste due strategie nei prossimi mesi.

    Le falle di sicurezza nei plug-in dei browser stanno giocando un ruolo sempre più grande nell’infezione dei sistemi Windows. L’industria del malware si sta focalizzando sulle vulnerabilità di Java fin dalla fine dell’anno passato. “Per questo motivo gli utenti non dovrebbero disattivare la funzione di aggiornamento automatico di Java ed installare tutte le ultime patch. È facile e semplice controllare le versioni installate dei programmi Java utilizzando il sito http://www.java.com/en/download/installed.jsp,”, spiega Ralf Benzmüller, Head of G Data SecurityLabs. “Per mesi abbiamo osservato un aumento nel malware che manipola i click sui siti Internet in modo tale da migliorarne il ranking. I cosiddetti attacchi ‘clickjacking’ fanno in modo che i siti di malware vengano considerati più affidabili nei motori di ricerca e nei social network.”

    Clickjacking: Il Website ranking inganna gli utenti e li porta verso contenuti pericolosi
    La manipolazione del ranking dei siti Internet nei motori di ricerca (SEO) o nei social network è recentemente diventata una pratica molto popolare tra i criminali online. Questi utilizzano il cosiddetto “clickjacking” nei social network per posizionare i siti infetti con malware nelle migliori posizioni in classifica. Trojan.JS.Clickjack è stato uno dei programmi malware di questo tipo ad entrare nella Top 10 del Malware di Marzo 2011. Quando dei siti idonei sono visitati questo programma genera click sul bottone “mi piace” di Facebook senza che l’’utente se ne accorga. Questo tipicamente consente ai siti delle presunte celebrità di entrare nelle prime posizioni in classica dei motori di ricerca per determinate parole chiave.

    Metodologia
    La Malware Information Initiative (MII) si basa sulla forza della community online community ed ogni utente delle soluzioni di sicurezza di G Data ne può far parte. L’unico prerequisito è quello di attivare questa funzione all’interno dei programmi G Data. Se un attacco malware viene respinto questo evento viene riportato in maniera completamente anonima ai G Data SecurityLabs dove i dati vengono archiviati ed analizzati statisticamente.

    Informazioni sulla Top 10 del Malware – Marzo 2011

    Trojan.Wimad.Gen.1
    Questo Trojan si presenta come un normale file audio .wma che può essere ascoltato solo dopo aver installato uno speciale codec/decoder in windows. Se questo file viene aperto, viene installato nel malware. Questo file audio infetto è solitamente distribuito attraverso i network P2P.

    Java.Trojan.Downloader.OpenConnection.AI
    Questo Trojan downloader si trova in applet Java manipolate presenti su alcuni siti Internet. Quando l’applet viene scaricata, viene generato un URL. Il downloader lo utilizza per scaricare un file eseguibile maligno sul Pc dell’utente e lo lancia. Questo downloader sfrutta la vulnerabilità CVE-2010-0840 per eludere il Java sandbox e così scrivere dati localmente.

    Win32.Ramnit.N
    Win32.Ramnit.N è un classico file infector che infetta file eseguibili (.exe), librerie dinamiche (.dll) e file HTML contenuti nell’Hard Disk. Dope aver eseguito un file eseguibile infetto o aver caricato un file .dll infetto, un altro eseguibile viene copiato sul Pc. Viene quindi creata una funzione di auto start per lanciare il file infetto ad ogni reboot. L’infector si connette a molteplici server via http o https e scansiona ogni cartella presente sull’Hard Disk infettando molti, se non tutti, i file exe, .dll e HTML con un dropper. I file HTML infetti contengono uno script VB che copia il file infector quando un utente apre un sito utilizzando IE. Comunque dalla versione 6.0 IE chiede preventivamente se lo script debba essere lanciato.

    Worm.Autorun.VHG
    Questo programma malware è un worm che utilizza la funzione autorun.inf nei sistemi operativi Windows per distribuire se stesso. Utilizza sistemi di archiviazione removibili come le stick USB o gli Hard disk portatili. È un internet e network worm che sfrutta la vulnerabilità CVE-2008-4250.

    Trojan.AutorunINF.Gen
    Questo è un software generico di riconoscimento che identifica file maligni autorun.inf, conosciuti o sconosciuti. I file autorun.inf sono file di auto start che vengono sfruttati per distribuire malware attraverso stick USB, periferiche rimovibili di archiviazione, CD e DVD.

    Java.Trojan.Downloader.OpenConnection.AN
    Questo Trojan downloader si trova in applet Java manipolate presenti su alcuni siti Internet. Quando l’applet viene scaricata, viene generato un URL. Il downloader lo utilizza per scaricare un file eseguibile maligno sul Pc dell’utente e lo lancia. Questo downloader sfrutta la vulnerabilità CVE-2010-0840 per eludere il Java sandbox e così scrivere dati sul sistema.

    JS:Redirector-EP [Trj]Un redirector reindirizza I visitatori di un sito su un altro sito. Il tutto avviene sfruttando, per esempio, la funzione” obfuscation” di Javascript in modo che l’URL desiderato sia soltanto digitato nel browser dell’utente. Il redirector in se stesso non compromette il sistema, ma reindirizza l’utente su siti potenzialmente pericolosi senza che l’utente lo voglia.

    Java:Agent-DM [Trj]Questo programma malware basato su Java è un’applet di download che sfrutta una falla di sicurezza (CVE-2010-0840) per eludere i meccanismi di protezione sandbox e scaricare malware addizionale sul computer. Una volta che l’applet ha ingannato il sandbox, può direttamente scaricare e lanciare file .exe, cosa che una semplice applet non potrebbe fare perché bloccata dal Java sandbox.

    Trojan.JS.Clickjack.A
    Trojan.JS.Clickjack.A è un Javascript mascherato incorporato su alcuni siti Internet. Come suggerisce il nome stesso , utilizza tecniche di “clickjacking” per ingannare i visitatori dei sit Internet e farli cliccare su link o contenuti senza che questi siano avvisati. Un IFRAME invisibile viene generato sul sito Internet maligno contenente il bottone “mi piace” di Facebbok. Il Javascript muove continuamente questo IFRAME con la posizione del cursore e quando l’utente clicca sul sito (per esempio sul buttone “Play” di un sito di video) automaticamente, e senza accorgersene, clicca anche sul buttone “mi piace” e lo attiva.

    Java.Trojan.Exploit.Bytverify.N
    Questa minaccia sfrutta una falla di sicurezza presente in Java Bytecode Verifier e presente in applet Java manipolate su certi siti Internet. Questo codice maligno può, per esempio, avviare il download di Trojan, dopodiché è possibile prendere il controllo del computer della vittima.

  • G Data: bufera su Java

    I cyber criminali stanno sfruttando le vulnerabilità di Java per distribuire malware su scala più ampia rispetto ai mesi passati. Questo è il risultato dell’analisi condotta dai G Data SecurityLabs. Per la prima volta da Febbraio 2010 c’è un cambiamento nelle prime posizioni della top ten: un Java exploit è ora nella prima posizione, mentre gli exploit nei file PDF sono soliti essere la minaccia più comune alla sicurezza. Java.Trojan.Exploit.Bytverify.N può essere trovato su siti hackerati. Esso tenta di infettare i Pc tramite download drive-by e attraverso applet Java manipolate. G Data consigli di utilizzare una buona protezione antivirus e di aggiornare qualsiasi software installato sul proprio Pc.

    “Sfruttare le vulnerabilità in qualsiasi tipo di software è il modo più efficace che l’industria del malware ha per prendere il controllo di un Pc. Basta visitare un sito internet infetto con un computer non protetto è questo è sufficiente per infettare un sistema”, ha spiegato Ralf Benzmüller, Head of G Data SecurityLabs. “Abbiamo notato un significativo aumento basato sulle falle di sicurezza di Java. Sono soprattutto a rischio gli utenti che non tengono aggiornata la propria versione di Java.”

    Gli specialisti di sicurezza di G Data raccomandano di utilizzare non solo un’efficace soluzione per la sicurezza informatica, ma invitano gli utenti di tenere sempre aggiornati il sistema operativo, il browser e tutti gli altri componenti. Ogni aggiornamento software o patch per la sicurezza dovrebbe essere installato il prima possibile per chiudere ogni falla di sicurezza.

    Possibili ragioni per l’attuale predominio di attacchi a Java
    Le vulnerabilità di Java offrono ai cyber criminali molto potenziale dal punto di vista tecnico e lo sviluppo e la distribuzione di codice maligno è considerevolmente più facile se paragonata ad altri metodi per infettare un sistema. Inoltre gli avvisi di sicurezza riguardo i file PDF nel recente passato hanno generato un alto livello di attenzione negli utenti.
    Lo sforzo dei rivenditori di programmi PDF per mantenere i propri prodotti sempre aggiornati ha contribuito anche a fare in modo che lo sviluppo di malware basato su PDF exploit risultasse molto più difficile.
    Il malware che usa le vulnerabilità JavaScript come, ad esempio, “JS:Downloader” è, invece, molto attivo in questo momento ed è costantemente sviluppato dai cyber criminali. Nel mese di Ottobre 2010 ben tre varianti di questo Trojan sono entrate nella malware top 10.

    Metodo
    La Malware Information Initiative (MII) di G Data ha la sua forza nella community online cui ogni utente G Data può contribuire. L’unico prerequisito è che la funzione venga attivata nel software G Data. Quando un attacco condotto da qualsiasi tipo di virus viene effettuato, il tutto viene riportato ai G Data SecurityLabs. Tutti i dati vengono quindi raccolti in maniera completamente anonima ed analizzati in maniera statistica.

    Java.Trojan.Exploit.Bytverify.N:
    Questo malware sfrutta una falla di sicurezza nel Java byte code verifier. Lo si può trovare in applet Java manipolate sui siti Internet. L’utilizzo di questo exploit consente l’esecuzione di codice maligno che inizia a scaricare, per esempio, un Trojan. In questo modo i criminali possono prendere il controllo del computer della vittima.

    Worm.Autorun.VHG
    Le periferiche portatili rappresentano ormai un veicolo privilegiato per la diffusione del malware. Il Worm. Autorun.VHG si propaga sui sistemi operativi Windows sfruttando la funzione autorun.inf e periferiche di archiviazione removibili come HDD portatili o chiavi USB.
    Questo worm sfrutta una vulnerabilità in windows (CVE-2008-4250).

    JS:Pdfka-OE [EXPL]Gli attacchi condotti sfruttando le vulnerabilità presenti nei motori JavaScript dei programmi PDF continuano a rappresentare la minaccia più pericolosa per gli utenti Pc.
    Il malware JS:Pdfka-OE[Expl] viene attivato semplicemente attraverso l’apertura di un file PDF e, una volta installatosi nel Pc dell’utente, favorisce il download di ulteriori codici maligni.

    WMA:Wimad[DRP]Il rischio di contrarre un’infezione si può annidare anche nei file audio che spesso vengono scaricati su Pc. Il Trojan WMA:Wimad [Drp] si maschera infatti da file audio .wma richiedendo, per essere ascoltato, l’installazione di un certo decoder/codec sui sistemi operativi Windows. La sua esecuzione, invece, consente ad ulteriore malware di attaccare il Pc. Questo Trojan è presente soprattutto sui network p2p.

    Application.Keygen.BI
    Si tratta di un key generator. È molto diffuse nei P2P network e nei siti di warez dal momento che presumibilmente consente di utilizzare software che, altrimenti, sarebbe necessario pagare. Utilizzare questa applicazione non solo è illegale, ma comporta molti rischi per la sicurezza.

    JS:Downloader-AEY[TRJ]Questo malware appare perlopiù sui siti Internet. É un Trojan scritto in JavaScript. Se un utente accede a un sito che contiene JavaScript modificato, questo Trojan si attiva automaticamente ed è in grado di scaricare codici maligni nel sistema della vittima.

    Win32.Sality.OG
    È un file infettante polimorfo che modifica I file eseguibili (*.exe, *.scr) e si nasconde dentro un sistema infetto con un rootkit. Sality.OG si distribuisce attraverso le reti condivise o attraverso dispositivi esterni di archiviazione installando un file auturun.inf modificato nella directory principale. I sistemi infetti mostreranno uno schermo blu quando effettuano il boot in modalità sicura.

    JS:Downloader-AFR [TRJ]I danni sono identici a quelli causati da JS:Downloader-AEY

    JS:Downloader-AEU [TRJ]I danni sono identici a quelli causati da JS:Downloader-AEY

  • G Data: nuove vulnerabilità Java in Windows

    G Data: nuove vulnerabilità Java in Windows
    Scoperte nuove vulnerabilità che affliggono tutte le recenti versioni di Java per Windows.

    Due ricercatori hanno pubblicato nuove informazioni relative a una vulnerabilità che affligge Java Runtime Environment
    e che potrebbe aprire una nuova falla di sicurezza per attacchi di tipo drive-by su tutte le attuali versioni di Windows e sui molti dei browser più utilizzati. La vulnerabilità è stata valutata come “estremamente critica” dagli esperti di sicurezza informatica di G Data. La società si aspetta una gran mole di attacchi mirata su tutti i computer con sistema operativo Windows.

    Dal momento che Java è installato su molti computer, questa nuova vulnerabilità attirerà senza dubbio l’attenzione dei cyber criminali che, in breve tempo, riusciranno a trovare un modo per sfruttarla. Dal momento che questa falla può essere sfruttata in tutti i browser più utilizzati e non viene bloccata dalle funzionalità di sicurezza implementate in Windows Vista e windows 7, è ipotizzabile un serio danno ad un gran numero di Pc.

    Come proteggersi
    Disabilitare Java-Script non è sufficiente per proteggersi in maniera adeguata. Dal momento che non è ancora chiaro quando Sun pubblicherà una patch, gli utenti dovranno giocoforza cambiare manualmente le proprie impostazioni. Per i due browser più diffusi questa è la procedura da seguire:

    – Per Microsoft Internet Explorer è necessario settare un killbit per la classe ActiveX CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA. Un manuale di istruzioni per tale procedura è reperibile al seguente link: http://support.microsoft.com/kb/240797.

    – Per Mozilla Firefox bisogna andare sul menu “Extra” e cliccare su “Add-Ons”. Sotto l’intestazione “Plugins” troverete il Java Deployment Toolkit che può essere disattivato cliccando su “Deactivate”.

    Background
    Il ricercatore esperto di sicurezza Tavis Ormandy ha pubblicato un’informativa realtiva a questa vulnerabilità su seclist.org. Tale vulnerabilità ha origine nel plug-in Java Deployment Toolkit che viene installato automaticamente insieme a Java Runtime Environment dalla versione 6 alla 10 nei browser come Microsoft Internet Explorer, Mozilla Firefox o Google Chrome. La funzione Launch nel toolkit consente ai criminali di eseguire Java’s Web Start Launcher con parametri arbitrari. Ormandy ha fornito una pagina web come proof-of-concept che è in grado di attivare la calcolatrice nei prodotti Microsft Windows.

    Solo alcune ore più tardi il ricercatore Rubén Santamarta ha reso note informazioni su come caricare un’arbitraria DLL da remoto. Secondo Santamarta è possibile bypassare le misure di sicurezza DEP e ASLR dato che la DLL viene direttamente caricata nella memoria di processo del Web Start Launcher.

    Maggior informazioni su G Data SecurityBlog (http://blog.gdatasoftware.com/)

  • Giochi di società in rete? Nasce il progetto NetDare per appassionati di giochi e sviluppatori Java.


    Si tratta di un sistema alternativo di concepire lo sviluppo
    del software in maniera tematica e più in particolare di Giochi di Rete.
    Esistono molte varianti di NetDare, ma nessuna si è mai dato l’obiettivo di enfatizzare il lavoro dello sviluppatore.
    Il progetto è stato sviluppato in Java per la sua diffusione ed accessibilità.
    Chiunque è il benvenuto ed invitato a contribuire il suo sviluppo e lo sviluppo di nuovi giochi.
    Il progetto è da qualche tempo presente su SourceForge.net ed il suo sito ufficiale è www.netdare.eu.org.
    L’intero progetto è attualmente in versione Alpha.
    Per maggiori informazioni, è possibile visitare www.netdare.eu.org per
    mettersi in contatto con l’autore.