Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
 Inviato: 22 Mag 2009 20:35 Oggetto: L'incredibile diffusione del worm Gumblar. |
 |
|
Fonte dell'articolo: Il Software.it
| Citazione: | Nei giorni scorsi Sophos aveva posto l'accento sull'incredibile diffusione del worm Gumblar (o Troj/JSRedir-R), registratasi nelle ultime settimane.
Una ricerca condotta dagli esperti dei laboratori di Sophos ha messo in evidenza come Gumblar abbia surclassato per diffusione qualsiasi altro malware in circolazione.
Basti pensare che la seconda minaccia nella classifica di Sophos si sarebbe propagata in Rete con un ritmo sei volte minore rispetto a Gumblar.
Complessivamente, Gumblar deterrebbe il 42% di tutte le infezioni rilevate a livello globale.
Quali sono le ragioni di un "successo" così evidente?.
In primo luogo, Gumblar utilizza tecniche attraverso le quali cerca di insediarsi all'interno di pagine web assolutamente legittime. Codice JavaScript "offuscato", viene impiegato per scaricare sul sistema client del visitatore contenuti provenienti da terze parti (alcuni domini cinesi).
Il sistema dell'utente può essere a sua volta infettato nel caso in cui sul personal computer dovessero risultare installate vecchie versioni di Adobe Reader o di Flash Player.
Sfruttando vulnerabilità note presenti nelle release più datate di tali software, il malware può riuscire ad eseguire codice dannoso sul sistema del malcapitato.
Nel caso in cui il tentativo di infezione dovesse avere successo, Gumblar installerà falsi software antivirus ("rogue antivirus"), tenterà di sottrarre dati di login a server FTP, inviare SPAM, disattivare i programmi utilizzati per la difesa del sistema nonché, addirittura, a modificare i risultati delle ricerche operate tramite Google.
Per rilevare credenziali di accesso a server FTP, il malware scarica "winpcap" - una popolare applicazione che consente di "sniffare" ossia di monitorare i pacchetti di dati in transito - e pone la scheda di rete in "modalità promiscua".
In questo modo, Gumblar è in grado di intercettare le comunicazioni riguardanti anche le altre macchine collegate in LAN.
Per quanto concerne la modifica dei risultati delle ricerche effettuate mediante Google, Gumblar installa un componente proxy in ascolto sulla porta 7171 che provvede ad effettuare un reindirizzamento delle richieste operate da parte dell'utente.
La prima operazione da compiere per evitare pericoli di infezione, consiste nel controllare l'utilizzo - sui propri sistemi - delle versioni più aggiornate di tutti i software, in particolare quelli in grado di comunicare con la rete Internet.
Per difendersi dalla minaccia Gumblar, è essenziale l'adozione delle versioni più recenti di Adobe Reader e di Flash Player. |
Quindi, è di fondamentale importanza aggiornare, immediatamente, Abobe Reader, Adobe flash player e JavaSun, procedendo in questa maniera:
da Installazione Applicazioni, disinstallare le vecchie versioni di:
● Abobe Reader
● Adobe flash player
● JavaSun (tutte le versioni presenti)
Scaricare ed installare le versioni aggiornate di:
● Adobe Reader: clicca qui per il download
● Adobe Flash Player: clicca qui per il download
● JavaSun: clicca qui per il download
In fase di installazione, verrà richiesto di installare la toolbar di Google, non la installate (quindi togliete la spunta alla relativa voce).
Una volta installato Adobe Reader lanciatelo e, attraverso la funzionalità Ricerca aggiornamenti verranno proposti due ulteriori aggiornamenti: scaricateli ed installateli.
Altro aspetto importante: tenere, costantemente aggiornato, l'antivirus in uso. |
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
