Comincia ad impazzare per la rete una grossa quantità di siti infetti da un famigerato trojan ( JS/Exploit.Agent.NBA trojan connection terminated) che alla fine installa sul pc un nuovo antivirus.
I siti infetti da codice js maligno sono del calibro di virgilio ed altri siti importanti che non vado a catalogare. 
Quì accanto ne potete vedere un esplicito esempio. Gli Url che puntano al codice maligno variano sempre (non ho capito se ogni giorno o ad ogni visita).
Avast 5.x prontamente ha bloccato l’attacco ma altri antivirus come Mcafee non sono ancora in grado allo stato attuale di eliminare del tutto il problema con la conseguenza che il pc viene infettatto.
Per pulirlo da questo schifo basta usare una versione aggiornata di Spybot (40 minuti di scansione) e il tutto viene eliminato.
I siti per il momento che sono riuscito a trovare che puntano allo schifo sono: http://google.analytics.com.tbuygryyutcj.info/kav/kav4.html
http://google.analytics.com.scvepuxdfzar.info/Idkav/kav4.html
Ma penso proprio che ce ne siano altri e cambieranno spesso, sembra che il file incriminato sia “kav4.exe”.
Che consigli darvi per questo tipo di infezioni? Beh direi che è quasi impossibile sapere quale sito è infetto, per cui mi raccomando se usate Windows (Per Linux o MacOsx non potendo lanciare exe sono esenti):
1) Windows sempre aggiornato con tutte le patch
2) aggiornare sempre il proprio browser all’ultima versione, possibilmente non le versioni Beta o Rc poco sicure(Firefox, Safari, Opera, Internet Explorer; Chrome ecc.)
3) aggiornare almento una volta al giorno l’antivirus e usare l’ultimo motore disponibile in rete (Avast 5 in questo caso ha fatto il suo dovere ed è pure gratis)
4) installare spybot e tenerlo a portata di mano 
5) Attivare l’Auc in windows 7 e Vista, in windows Xp usare un account utente non Administrator.
Volete che Windows Firewall di Xp rimanga sempre attivo e non possa essere manomesso – disattivato da parte di utenti inesperti o da virus?
Per fare questo dovete modificare 2 chiavi di registro, ricordatevi che per ritornare allo stato iniziale queste chiavi andranno rimosse.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
“EnableFirewall”=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
“EnableFirewall”=dword:00000001
Copiate e incollate il seguente codice su blocco note e salvate il file come firewall.reg , fatto questo non dovete far altro che chiudere e cliccare 2 volte sul file appena creato dicendo di si alla domanda che verrà posta.
Avete avuto un problema con il vostro Amato-Odiato windows e dopo una pulizia intesa nel debellare il rootkit di turno ad esempio utilizzando ad esempio Panda Antirootkit?
Inoltre alla fine della scansione ha rilevato alcuni rootkit e viene chiesto un riavvio per ultimare il lavoro e al riavvio il pc effettua un login e logout (accesso e disconessione) automatica? Beh allora dovete avere molta paziena e dotarvi di alcuni strumenti per poter risolvere il problema senza dover formattare.
Seguite i passi alla lettera:
- Utilizzate un al computer-portatile per scaricare PEBuilder dal seguente link – per questo dovete utilizzare un pc funzionante;
- Prendete un cd di windows Xp (quello di installazione – non vanno bene i cd di ripristino che forniscono negli ultimi anni) se dovete riparare Xp altrimenti quello relativo alla vostra installazione;
- installate il software di prima che avete scaricato e createvi un cd avviabile di BartPE , alle volte si trova anche su qualche sito di torrent già la iso pronta;
- con il cd avviate il pc da cd-rom (solitamente si schiaccia all’vvio il tasto F8 ripetutamente fino a che non compare la schermata con quale periferica avviare il computer);
- ora avrete accesso il vostro pc con un disco denominato LIVE, potete fare un backup del vostro hard disk e tante altre cose, su Run digitate regedit e poi invio;
- Selezionate la voce HKEY_USERS;
- Clicca su File –> Carica Hive –> bisogna ora selezionare il file presente in C:\Windows\System32\Config\software (senza estensioni!) –> poi clicca su apri;
- Verrà richiesto di digitare un nome dell’Hive, potete mettere quello che volete ad esempio computer;
- Ora bisogna andare al percorso HKEY_USERS \ computer \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon;
- Se si trova la voce Userinit fate doppio clic sopra e verificate che il percorso sia questo C:\windows\system32\userinit.exe ;
- Se non esiste la voce Userinit dovete creare facendo clic destro nuovo Valore stringa inserire il nome Userinit e poi il percorso indicato prima;
- Ora possiamo riavviare la macchina e verificare che tutto è ok.
Se la macchina continua ad effettuare il login e logout allora potrebbe essere che il file useriniti.exe non sia presente nel pc, bisogna procurarselo da un altro pc e spostarlo sul nostro con una chiavetta sempre utilizzando il cd di BartPe.
Molti utenti della rete si stanno lamentando, in questi giorni, del “nuovo” servizio che Alice offre con i propri server DNS.
Infatti se ora navigando viene digitato in modo sbagliato l’indirizzo web nell’URL del proprio browser i dns di Alice vi dirottano su una pagina (come indicato da Matteo Moro e Punto Informatico) web che utilizza il motore di ricerca di Virgilio per cercare di aiutare gli utenti meno spigliati sul web.
Certo la cosa sarà gradita da molti che di internet e pc non ne capiscono molto ed infastidiranno tutti quelli che vogliono utilizzare un servizio in piena libertà e senza restrizioni. Accontentare tutti è sempre molto difficile, ma posso assicurare che anche altri server DNS da molto tempo utilizzano questa tecnica come i dns OpenDns che molto successo hanno avuto….
Io sinceramente per l’uitilizzo che ne faccio di internet con OpenDns mi sono sempre trovato bene, ovviamente fino a che il servizio rimane gratuito, poi nel futuro si vedrà…
Per modificare i parametri dei dns con Mac Osx Leopard andare in preferenze di sistema –> Network –> seleziono il network e configuro –>nella sezione TCP/IP metto (ip dei dns di OpenDns):
Se vogliamo modificare i Dns a livello di Router dobbiamo collegarci all’interno dell’interfaccia amministrativa e modificare l’assegnazione automatica con quelli che impostiamo noi. Ad esempio per il Netgear DG834G v3 ed dovete andare nella sezione –> Impostazioni di base e modificare il Domain Name Server (DNS) come potete vedere nell’immagine quì sotto:
Certo Telecom poteva pure avvisare con una comunicazione il cambiamento che ha apportato ai propri dns ma è anche vero che le condizioni di utilizzo del servizio internet sono indipendenti dal dns che si utilizza…
Non sempre l’aggiornamento automatico dei plug-in inserito nella versione 2.5 di WordPress funziona bene ed oggi ne ho sperimentato il risultato. Mi era comparso l’avviso di un aggiornamento del plug-in Wp-PostViews che passava dalla versione 1.20 all 2.20 ( già questa cosa è strana). Dopo l’aggiornamento wordpress mi avvisava che il plug in era stato bloccato a causa di un errore di wordpress.
Andando tramite il cliet FTP effettivamente la cartella del plug-in era stata eliminata senza eseguire l’aggiornamento! Ricaricata la vecchia versione 1.20 e riattivato il plug-in il sito ha cominciato a funzionare nuovamente ma il messaggio di aggiornamento era sempre presente.
Salvando il link da cui scaricare la versione 2.20 del plug-in ho visto che non si riferiva a quello ma ad un’altro infatti … : http://wordpress.org/extend/plugins/wp-dbmanager/ è riferito a wp-dbmanager che sul mio sito non è presente.
Diffidate quindi di aggiornare tutti i plug-in senza riscontrare problemi! Una copia di backup è d’obbligo.
Secondo me era preferibile che in fase di aggiornamento i vecchi plug- in andassero a finire in una cartella old invece che essere cancellati e sostituiti!
Se gestire una rete di computer oppure avete in casa più client o volete aggiornare il pc dell’amico che non ha un’adsl a casa potete utilizzare questa semplice guida:
- Scaricate questa piccola applicazione gratuita:
c’t Projekte – Offline-Update;
P.S. – Update 10-03-2008: Mi è stato riferito che l’antivirus Avast alle volte segnala questo programma infetto da Worm, sinceramente ho scansionato l’allegato versione 4.72 più volte con diversi antivirus senza ottenere nessuna infezione riscontrata, quindi andate tranquilli nello scaricamento.
- dopo averla scaricata e decompressa, non necessita d’installazione, (preferite una partizione di almeno 6 Gb liberi a seconda dei download che effettuate) avviate il programma UpdateGenerator.exe ;
- nel caso utilizziate un firewall assicuratevi di dare la massima apertura al presente programma;
ora potete selezionare le lingue per il download e le applicazioni (office 2000, xp, 2003 o 2007) e i sistemi operativi a cui vorrete applicare le patch;- finito il download il programma creerà una iso (si trovano in X:\ctupdate4\iso )che potete utilizzare per andare ad aggiornare i vostri computer della rete (la iso andrà masterizzata, all’inserimento del cd-rom il programma parte ed inizia a verificare il sistema installando le patch necessarie);
- Nel caso vogliate crearvi un cd-rom con un’installazione di Xp super aggiornate non farete altro che installare Nlite;
-
da questa schermata potete governare la creazione del nuovo cd d’installazione di Xp (o altro sistema Nt di windows) e utilizzando le patch (si trovano in X:\ctupdate4\client\win\ita se state scaricando le patch per Xp Italiano) scaricate dal programma c’t Projekte potete integrare in poco tempo il tutto;
- Fato questo vi verrà creata una nuova ISO installabile e senza dover poi star aggiornare XP di 150 patch.
Ormai mantenere un pc con ad esempio Xp pulito (esente da virus, trojan, rootkit, adware, spyware, worm, dialer, ecc..) è diventata un’impresa. Un utente medio non riesce a rendersi conto cosa stà girando assieme al suo sistema operativo e i suoi programmi.
Consiglio vivamente di dotare i propri pc casalinghi di 6 software e di essere sempre prudenti mentre navighiamo:
- Avast antivirus
- Spybot
- Adware
- Avg anti-rootkit
- Pctools firewall (per il controllo delle applicazioni che utilizzano internet e delle intrusioni)
- Antidialer (solo se utilizzate connessioni 56k – no per adsl)
- Consiglio di usare Firefox (browser), Thunderbird (client di posta), tenere aggiornatissimo windows e tutte le applicazioni installate e di utilizzare sempre un account di windows limitato, vedrete che le minacce diminuiranno notevolmente.
Ovviamente i programmi spybot e adware non funzionano in tempo reale (a differenza di molti software a pagamento) e quindi và ripetuta una scansione con una certa frequenza.
Questo vale anche per l’antirootkit.
I programmi antivirus avast e pctools firewall sono da utilizzare per prevenire le malattie.
Utilizzare ulteriore software in real-time (tempo reale) per proteggere il proprio pc come Spyware Terminator potrebbe rallentare inesorabilmente il pc relegato a controllare se stessi piuttosto che eseguire le operazioni richieste.
PcTools stà allargando la sua offerta di software dediti alla sicurezza in formato gratuito. Dopo avervi fatto la recensione dell’ottimo firewall oggi vi voglio segnalare anche il nuovo antivirus utilizzabile in forma gratuita. Potete scaricare e leggere i dettagli al seguente link. L’interfaccia usata è sempre quella già conosciuta per la suite PcTools. Che aggiungere… buon utilizzo a tutti!
In alternativa se questo software non dovesse piacervi, potete utilizzare il sempre ottimo software antivirus AVAST che grazie agli oltre 40 milioni di registrazioni gratuite sembra essere apprezzato da tutti.
Sotto attacco la scorsa settimana sono finiti i server Aruba. I Cracker dopo aver effettuato l’accesso ad alcune macchina (server windows, compromettendo la sicurezza sfruttando alcune vulnerabilità in Microsoft Internet Information Services (IIS) e cpanel) hanno modificato i siti internet presenti in esso aggiungendo un iFrame che collegava gli ignari utenti a certi indirizzi IP.
Utilizzando ovviamente nel tag “style” il parametro “display:none” l’utente non vedeva nulla e nel frattempo sulla macchina, utilizzando le vulnerabilità di Internet Explorer, venivano installati alcuni simpatici programmini, tra cui:
- Troj_small.hck
- trojan downloader
- troj_agent.uhl (creava nel pc un proxy server per poter permettere ai pirati di usarlo per navigare segretamente)
- troj_pakes.nc (serve per scaricare un keylogger)
I crimanali per creare questi exploit si sono avvalsi di Mpack, programma russo commerciale utilizzato per creare malware.
Mpack è in grado di sfruttare le falle di alcuni dei programmi per PC più diffusi, come QuickTime e WinZip.
Attenzione quindi, aggiornate come al solito il vostro pc e tutti i programmi che utilizzate, ed effettuate una scansione con l’antivirus. Tenete d’occhio tutti i processi anomali.
Fonte: Hackerjournal.it
Quì accanto ne potete vedere un esplicito esempio. Gli Url che puntano al codice maligno variano sempre (non ho capito se ogni giorno o ad ogni visita).
