FAQs - virus

Le FAQ di GARR CERT


Come posso individuare sistemi infetti dal virus Conficker situati dietro server NAT, senza avere informazioni complete circa le connessioni sospette?

Rilevare il virus Conficker.

:: Descrizione

I log che Vi inoltriamo ci vengono inviati da enti esterni al GARR. Purtroppo le connessioni registrate in questi log non sempre sono complete di IP e porta destinazione.

Questi log vengono prodotti con una tecnica di tipo sinkhole routing attraverso la quale non vengono intercettati solo gli attacchi verso i servizi Microsoft Windows (security alert MS08-067), ma anche particolari richieste http che il virus stesso esegue per scaricare propri aggiornamenti.

Alla richiesta di maggiori dettagli ci e' stato comunicato quanto segue:
"The destination IP protocol will always be TCP (6) and the destination TCP port will always be HTTP (80) for these Conficker reports unless otherwise specified."

Non possiamo garantire che tutti i nodi segnalati siano realmente infetti, anzi siamo interessati ad avere riscontro di eventuali falsi positivi.

:: Interventi possibili

E' possibile tentare di individuare sistemi infetti nella propria rete locale tramite strumenti come nmap o tool specifici (vedi "Informazioni dalla rete") sul cui funzionamento pero' non abbiamo condotto alcun test.

esempio:

nmap -PN -T4 -p139,445 -vv --script=p2p-conficker,smb-os-discovery,smb-check-vulns 
--script-args=checkconficker=1,safe=1 [target_networks]

E' anche possibile installare ngrep, un IDS come snort o un vulnerability scanner come Nessus:

La seguente pagina puo' aiutare l'utente a rilevare la presenza del virus sul suo sistema:

:: Informazioni dalla rete

Bonn University - Containing Conficker - Network Scanner in Phyton


Qual è il virus più diffuso e come agisce?
Tratto dalla rubrica Risponde Cecchini - GARR News 2 - Luglio 2010

Quale sia il virus (o worm o trojan, genericamente detti malware) più diffuso al momento non lo so. Quello che so, però, è che quasi tutto il malware attualmente in circolazione è finalizzato alla creazione di botnet.

Ma cos’è una botnet?

Molto sinteticamente una rete virtuale di macchine compromesse (zombie), controllate da uno o più nodi esterni (Command and Control).

Una botnet può arrivare a decine di migliaia di macchine (in qualche caso si parla di milioni, ma sono sempre informazioni da prendere cum grano salis) e viene utilizzata per tutta una serie di attività criminose, quali spam, attacchi di denial of service e raccolta di dati sensibili. Non è facile accorgersi se il proprio pc è infetto, perché il malware moderno è progettato per passare inosservato, tranne ovviamente quando viene usato per una delle attività di cui sopra.

Tra i possibili sintomi: rallentamenti inspiegabili, crash, attività di rete anomala, messaggi non vostri nella cartella di posta inviata.

Bothunter e TrendMicro RUBotted sono dei tool specializzati per rilevare eventuali infezioni di questo tipo: prima di installarli, però, chiedete consiglio al vostro system manager.


Cosa posso fare per non correre troppi rischi in un Internet Café?
Tratto dalla rubrica Risponde Cecchini - GARR News 3 - Dicembre 2010

La stragrande maggioranza degli Internet Café utilizza sistemi operativi Windows, spesso non aggiornati con le ultime patch di sicurezza e quindi a rischio virus; senza contare che sui PC potrebbe essere installato un keylogger, capace di memorizzare tutto quello che viene digitato sulla tastiera. Anche se la sicurezza totale non è mai raggiungibile, ci sono modi per difendersi.

Prima di partire

Preparate una chiavetta USB con il software che userete durante il viaggio.

  • 1. Un browser: oltretutto lo potrete personalizzare con i vostri bookmark ed estensioni preferite. Raccomando Firefox Portable (http://portableapps.com/apps/internet/firefox_portable).
  • 2. Un gestore di password, se pensate di non ricordarle tutte. Consiglio Portable KeePass, (http://keepass.info/download.html, al momento l’ultima versione è la 1.18).
  • 3. Una onscreen keyboard. Quella fornita con Windows non è pensata per evitare i keylogger. La migliore in circolazione è Neo’s SafeKeys (http://www.aplin.com.au/neos-safekeys-v3).
  • 4. Una o più cartelle cifrate. Suggerisco FreeOTFE Explorer (http:// www.FreeOTFE.org). Potete anche creare un account di posta ad hoc e configurare i vostri account “buoni” perché gli inoltrino la corrispondenza.

Durante il viaggio

Usate il browser sulla vostra chiavetta. Se proprio non fosse possibile:

  • disabilitate AutoComplete (IE) o Remember passwords (Firefox);
  • cancellate la history e la cache a fine sessione.

Alla fine, fate logout da tutte le sessioniche avete aperto e chiudete il browser. Usate sempre connessioni cifrate per trasmettere dati personali. Quando dovete digitare una password, componetela sulla keyboard online e trascinatela con il mouse, non usate cutand- paste. Quando questo sistema non funziona, usate l’Injection Mode di SafeKeys. Il trascinamento va impiegato anche con KeePass. Un’alternativa casalinga, meno sicura, è aprire notepad, scrivere la password con inframezzati un certo numero di caratteri a caso, e ricomporla selezionando e copiando quelli giusti.

Appena tornati

Verificate con un buon antivirus che la chiavetta non sia stata infettata. Prima di inserirla nel computer, per maggiore sicurezza, disabilitate l’autorun (cfr. ad esempio http://www.troublefixers.com/quickly-disable-autoplay-any-disk-drive).

Se poi pensate che quanto sopra sia troppo lavoro, state alla larga da Internet e pensate a divertirvi!


Sospetto che il mio pc abbia preso un virus, cosa posso fare per disinfettarlo?
Tratto dalla rubrica Risponde Cecchini - GARR News 5 - Dicembre 2011

Se il vostro pc non parte più o ha un comportamento strano (ad esempio: si blocca, è molto lento, ecc). ecc., potrebbe essere stato infettato da un virus. Attenzione: può succedere anche se avete installato un antivirus.

In questo caso, con ogni probabilità, sarà stato neutralizzato e non sarà più in grado di fare il suo mestiere. È opportuno quindi fare ricorso ad un Rescue Disk: un cd rom da cui far partire il vostro pc e che vi permetta di farne scansione usando un sistema sicuramente non compromesso.

Se tutto andrà bene, il PC verrà disinfettato e si potrà riavviarlo normalmente. Alcuni dei Rescue Disk che cito, oltre all’antivirus, hanno anche delle utility per risolvere alcuni problemi che possono impedire il riavvio di Windows.

Per questi altri casi, però, ci sono distribuzioni più specializzate, di cui magari parlerò in un’altra occasione. Per creare un Rescue Disk bisogna scaricarne l’immagine ISO dal sito del produttore e masterizzarla su un CD ROM o trasferirla su una chiave usb. Si fa ripartire il PC in esame dal CD ROM (di solito si preme F12 durante la fase di avvio e si seleziona il device di boot dal menu che apparirà) e si seguono le istruzioni. Suggerisco anche di non limitarsi ad utilizzarne uno solo, specialmente se non ha trovato nulla.

Tutti i Rescue Disk, tranne Avira, devono scaricare gli ultimi aggiornamenti prima di iniziare la scansione, richiedono quindi che la macchina in esame abbia accesso alla rete. Ecco i migliori in circolazione.

Avira Antivir Rescue System. È aggiornato diverse volte al giorno e quindi già pronto all’uso, senza bisogno di accesso alla rete. Oltre all’antivirus, offre anche qualche utility per la risoluzione dei più comuni problemi di mancato avvio di Windows.

Kaspersky Rescue Disk 10. Per trasferirlo su una penna usb è disponibile un’utility specifica.

BitDefender Rescue Disk. Oltre alla scansione, si può lanciare un File Manager per fare un backup su un disco esterno.

AVG Rescue CD. C’è anche una versione già pronta per chiavi usb. Windows Defender Offline. Ancora in versione beta. Disponibile per macchine a 32 o 64 bit, in versione CD ROM o chiave usb.

E infine il mio preferito:

Trinity Rescue Kit. È meno user-friendly degli altri, ma, oltre agli antivirus (ClamAV, BitDefender, F-Prot, Avast, Vexira) ha un’infinità di altre funzionalità: recupero di password, cloning di dischi, recupero di partizioni, riparazione dei settori di boot, test hardware, ecc. Se volete mettere alla prova le vostre capacità di discernimento, provate questi due test:


Falsi miti sulla sicurezza
Tratto dalla rubrica Risponde Cecchini - GARR News 10 - Giugno 2014

Sono sicuro perché sono dietro un firewall (personale o aziendale)

Premesso che sull'(in)utilità dei firewall andrebbe fatto un discorso più generale, i firewall, per essere efficaci come antivirus, dovrebbero essere in grado di ispezionare il contenuto dei pacchetti in transito e verificare che non sia di tipo maligno.

La cosa è al di là delle capacità di quelli personali e di molti aziendali. Un firewall può essere in grado di bloccare alcune attività tipiche di virus, ma solo a infezione avvenuta. Per questo motivo, quasi tutti i virus moderni spengono il firewall e/o utilizzano metodi di comunicazione apparentemente legittimi (ad esempio via protocolli web).

Sono sicuro perché visito solo siti ”fidati“

Purtroppo anche siti ”fidati“, se compromessi, possono essere utilizzati per infettare i visitatori. Un esempio clamoroso è stato Yahoo, che all'inizio di questo anno, ha infettato migliaia di visitatori. Symantec ha stimato che oltre l'80% dei siti che distribuiscono malware rientrano in questa categoria.

Sono sicuro perché non scarico nulla

Come scritto sopra, si può essere infettati semplicemente navigando. I virus si diffondono anche via rete, utilizzando vulnerabilità del sistema operativo o del software: basta quindi che sulla nostra rete locale ci siano altri nodi infetti. I virus si diffondono anche via penne usb: ricordate stuxnet? Il virus che ha infettato i sistemi di controllo delle centrali nucleari iraniane, ovviamente sconnessi da Internet.

Sono sicuro: non uso Internet Explorer

Purtroppo non esistono browser completamente sicuri. Per di più, molte infezioni utilizzano software comune a tutti i browser, come Adobe Flash, Javascript e Java.

Sono sicuro perché sul browser compare il ”lucchettino“

Il lucchetto indica solo che tra il browser e il sito remoto è stata attivata una connessione cifrata, che impedisce l'intercettazione dei dati trasmessi (di solito...). Non fornisce nessuna protezione da malware, semmai impedisce ad eventuali sistemi di controllo di capire quello che sta succedendo.

Gli unici allegati che è pericoloso aprire sono gli eseguibili

In realtà tutti gli allegati possono essere pericolosi: pdf, word, excel, ecc. Ricordate che il mittente di una e-mail può essere falsificato, quindi non fidatevi solo perché pensate di conoscerlo.

Sono sicuro perché ho un antivirus

Purtroppo spesso anche gli antivirus sbagliano: segnalano come infetti file del tutto legittimi o, ancora peggio, non individuano minacce reali. Ricordate che il metodo principale di rivelazione consiste nel confrontare il file in esame con un campionario di malware noti, che deve essere quindi tenuto scrupolosamente aggiornato. Ciò nonostante, può capitare che il virus sia troppo nuovo e non sia ancora stato segnalato.

Sono sicuro perché sul mio computer non ho nulla di appetibile

Se utilizzate il computer per collegarvi al vostro conto bancario o per pagamenti online, ricordate che alcuni virus sono in grado di intercettare le credenziali (in questo caso un login a due fattori aiuta) o il numero della carta di credito. E comunque il vostro pc in quanto tale è appetibile, perché può essere utilizzato per attaccarne altri. Questo tipo di attività, dette DDoS, sono attualmente tra le più comuni.

 

Tags: firewall, https

Questo sito utilizza i cookie per migliorare servizi ed esperienza dei lettori. Se decidi di continuare la navigazione consideriamo che accetti il loro uso. Per maggiori informazioni sull'uso dei cookies e su come eliminarli leggi l'informativa estesa

Abbiamo modificato alcune delle nostre politiche per rispondere ai requisiti del nuovo Regolamento Europeo per la Protezione dei Dati Personali (GDPR). In particolare abbiamo aggiornato la Privacy Policy e la Cookie Policy per renderle più chiare e trasparenti e per introdurre i nuovi diritti che il Regolamento ti garantisce. Ti invitiamo a prenderne visione.

Informativa sulla privacy