mar
7
Antivirus affetto da grave bug
Author - Filed Under Software
Nei giorni scorsi il Team di SuspectFile ha scoperto un grave bug presente in un noto antivirus.
In questa piccola nota non verrà, per il momento, nè menzionato l’antivirus nè i dettagli del bug, questo per non dare modo ai virus writers di sfruttare la falla.
Daremo tutti i dettagli appena l’Azienda, da noi già avvisata, avrà risolto il problema.
SuspectFile Team
dic
20
SuspectFile vi augura un Buon Natale 2009
Author - Filed Under About Suspectfile, Lifestyle, Software, Uncategorized, Virus, Trojans & Worms, Web & Internet
nov
30
Sample non inviato alle aziende.
Author - Filed Under About Suspectfile, Virus, Trojans & Worms
I giorni 14 e 15 agosto scorso ci sono stati inviati, da due utenti diversi, 2 file uguali: per un disguido interno non sono stati analizzati.
Dopo una verifica incrociata all’interno del nostro db è risultato un sample non ancora evaso.
Ci scusiamo con i due utenti e gli altri membri del forum per questo nostro errore, il file verrà inviato subito alle aziende che ancora non riconoscono questa variante del rootkit.
Marco de Felice
http://www.suspectfile.com/forum/viewtopic.php?f=2&t=3400
nov
20
SystemScan, antivirus e falsi positivi.
Author - Filed Under Software
Sono ancora molti gli antivirus che, sbagliando, riconoscono il nostro programma come infetto.
Nei giorni scorsi ho inviato nuovamente una email alle aziende per chiedere l’ennesima correzione ai loro db, questo dopo essermi imbattuto in una scheda generata dal servizio automatico della ThreatExpert
Nella scheda oltre alla descrizione viene inserita anche l’immagine principale della penultima release, la 3.6.2
Voglio ricordare, con me anche tutte le altre persone che compongono lo Staff di SuspectFile, che SystemScan non contiene codice dannoso. Il programma è composto da tool conosciuti come “The Avenger” di Swandog46, Catchme e MBR Rootkit detector di gmer…, il codice è stato sviluppato da holifay e bReAkdOWn di SuspectFile.
Dal 10 Ottobre 2006 SystemScan, data del primo rilascio, è stato scaricato più di 85.000 volte, un buonissimo risultato.
In questi tre anni ha dato, a noi e ad altre decine di forum italiani e non, una grossissima mano per combattere i malware e vedere che ancora molti antivirus lo considerano alla stessa stregua di ciò che noi combattiamo beh, un po’ mi fà sorridere.
SystemScan è stato in grado di dare una grossissima mano alle varie comunità sparse in internet durante il periodo d’infezioni dovute a LinkOptimizer aka Gromozon, molti lo ricorderanno.
Ad oggi SystemScan è, secondo il nostro modestissimo parere, uno dei pochissimi software in grado di poterci dare tutte quelle indicazioni necessarie per poter capire se e dove è presente un’infezione, vederselo scambiare per un malware ci sembra troppo.
Dopo ormai quattro giorni dall’invio alla ThreatExpert di una email per segnalare il loro errore, non mi è ancora arrivata nessuna risposta, cosa che invece hanno fatto tre aziende evidentemente serie come l’ottima italiana Tg Soft (VirIT) che comunque già non segnalava falsi positivi, Avira GmbH (Avira) e la IKARUS Security Software GmbH (Ikarus) comunicandoci che il falso positivo verrà corretto già dal prossimo aggiornamento delle loro firme.
Verrete informati appena avremo ulteriori notizie in merito.
nov
16
Rilasciato systemscan v3.6.7
Author - Filed Under About Suspectfile, Software
E’ stata rilasciata una nuova versione di systemscan, utilizzatbile sui sistemi Windows 7.
Systemscan è scaricabile a questo indirizzo: http://www.suspectfile.com/systemscan
Queste le novità:
release 3.6.7 15th November, 2009
### Aggiornato il tool mbr all’ultima versione
### Aggiornato catchme all’ultima versio
### Aggiunto il supporto per Windows 7
### Disabilitate le scansioni incompatibili con Windows 7
### Disabilitata la comparazione dei registri sotto Windows Vista e Windows 7
### Rimossa la rilevazione specifica del Roostock Rootkit (rilevabile tramite catchme)
### Aggiunta la seguente chiave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
### Corretti alcuni errori di battitura
ott
4
Microsoft Security Essentials, i primi dissapori. Ma sono giustificati?
Author - Filed Under Software
Il 29 Settembre scorso la Microsoft ha rilasciato Microsoft Security Essentials (MSE) un antivirus free e già abbiamo avuto i primi giudizi negativi da parte di aziende del settore.
Jens Meggers, vice presidente d’ingegneria Symantec, avrebbe affermato che MSE altro non è che una brutta copia del dismesso OneCare, andando oltre e domandandosi come mai c’è voluto addirittura un anno per togliere parti del codice di OneCare. Un lavoro simile, continua, si sarebbe potuto fare in meno tempo impiegando solo tre persone.
Anche riguardo alla percentuale di rilevamento Jens Meggers sostiene che se già in passato con OneCare si avevano risultati non esaltanti, ora con MSE la sicurezza viene ancor meno.
Giudizi tutt’altro che positivi e ironici, gratuiti aggiungo io, ci sono stati anche da parte della Trend Micro per voce di Carol Carpenter, direttore generale della divisione consumer, sostenendo che MSE potrebbe aiutare quei Paesi in via di sviluppo. Come dire che MSE va bene solo perchè è free, null’altro di più. Se fossi direttore generale della divisione consumer TM prima mi sincererei di sapere che in casa mia sia tutto a posto.
La Eset per voce di Christopher Dale, Public Relations Manager, afferma, sempre ironicamente, che poco è meglio di niente se la preoccupazione dell’utente è avere un software free. Ma se le preoccupazioni sono altre allora è bene fidarsi ed affidarsi ad un software come il loro (Nod32 ndr). Come dire che l’antivirus offre protezione solo se è a pagamento, mi sembra un giudizio superficiale.
Vince Steckler, CEO Avast, è invece contento che anche la Microsoft abbia voluto intraprendere la “strada del free”, poi però aggiunge di non temerne la concorrenza visto l’alto numero di utenti nel mondo che utilizzano prodotti Alwil e che una protezione non dev’essere però di base come quella offerta da MSE, ma che invece ogni utente dovrebbe averne una la più vicina possibile ad un prodotto a pagamento e si ritorna sempre sul discorso che se è a pagamento allora si è al sicuro, se si utilizza un prodotto free allora i rischi sono maggiori. Non mi sembra questo un ragionamento ineccepibile, anzi.
Fra le varie dichiarazionei rilasciate in questi giorni e che possiamo leggere sparse nel web, quella che fra tutte mi ha lasciato basito è quella di Jens Meggers. Il vice presidente d’ingegneria Symantec sostiene che il rilevamento delle minacce presente nel db di MSE sia poca cosa, che nulla sia stato fatto contro le minacce zero-day e che in un test basato su 50 URLs dannosi MSE è stato in grado di riconoscerne solo 37 contro i 45 riconosciuti dal prodotto di casa Symantec. Probabilmente decantare oggi i propri meriti, o meglio mettere in evidenza i demeriti altrui è cosa assai facile. Forse sarebbe stato più elegante tacere e fare ammenda per ciò che è stato messo sul mercato dalla Symantec negli ultimi due lustri. Un miglioramento c’è stato è vero, ma solo a partire da Norton 2010 che è sicuramente un prodotto d’alta qualità, per anni sono stati “sfornati” prodotti di media qualità. Per anni abbiamo usato prodotti Symantec poco sicuri e soprattutto poco performanti, per anni ho avuto come la sensazione di lavorare al pc con un pachiderma adagiato sulle mie spalle tanto i sistemi operativi venivano rallentati.
E’ facile puntare l’indice verso gli altri ora quando si sa d’avere fra le mani un buon prodotto, però MSE è free ha, a differenza di ciò che viene sostenuto, un buon db di firme e se lo si abbina ad buon firewall che integra un modulo HIPS, free di buoni ce ne sono, allora si può avere una buona copertura e poi diciamocela tutta, un buon 50% di sicurezza viene data dal nostro modo di utilizzare il pc ed il non andarsi a cercare gratuitamente rogne sparse per il web.
set
27
Antivirus, aggiornamenti delle firme.
Author - Filed Under Software, Virus, Trojans & Worms
La bontà di un antivirus si vede anche da questo.
Possiamo leggere, in siti specializzati, di quanto affidabile possa essere un antivirus rispetto un altro. Negli articoli vengono elencati la velocità del motore di scansione, il numero di infezioni rilevate, dei falsi positivi… ma nulla o quasi riguardo la frequenza del rilascio delle firme eppure, questa, dovrebbe essere fra le qualità basilari per poter giudicare un prodotto.
Nelle scorse settimane ho voluto mettere alla prova alcune aziende leader del settore, inviando loro samples non ancora riconosciuti via email o servendomi direttamente, ove presente, dell’opzione d’invio automatico residente nei software, e devo dire che non mi sono affatto sorpreso del risultato, quello che è stato il trend degli utlimi tre anni l’ho potuto riscontrare anche oggi.
Ho preso in esame 15 aziende inviando loro lo stesso numero di files infetti non ancora presenti nelle loro impronte virali e non riconosciuti nemmeno grazie alla loro euristica, il che lascia ancor più spazio a interrogativi riguardo l’effettiva bontà di questo servizio ormai presente da alcuni anni in tutti i prodotti.
Delle 15 aziende verranno elencate solo quelle dove il rilascio delle firme è avvenuto in tempi considerati ragionevoli, massimo tre giorni.
Vorrei sottolineare che per alcune di queste aziende il rilascio delle impronte virali avviene, di norma, massimo il giorno successivo:
Avira
DrWeb
Fortinet
F-Secure
Ikarus
Kaspersky
Nod32
VirIT
mag
1
Panda Cloud Antivirus: performante, sicuro, semplice da usare… ed in più è free.
Author - Filed Under Software
Il 29 Aprile la Panda Security ha rilasciato la prima versione beta pubblica, il primo antivirus con un’ “architettura thin-client agent & server”.
Eravamo abituati in passato ad avere a che fare con antivirus poco performanti, spesso poco sicuri e soprattutto dovevamo assicurarci che gli aggiornamenti venissero effettuati, Panda Cloud Antivirus cambierà le nostre abitudini.
E’ un antivirus con pochi fronzoli e quindi semplice da usare, ma non per questo meno sicuro dei suoi concorrenti… anzi; collegato in tempo reale con il Panda Collective Intelligence che ci assicura una protezione contro le ultime minacce, non dovremo quindi più preoccuparci dei tempi di rilascio delle impronte virali.
Al contrario degli altri antivirus, Panda Cloud Antivirus usa una tecnica innovativa di rilevamento delle minacce:
- On-Access Scan ~ è una scansione residente e viene applicata solo verso tutti quei file potenzialmente dannosi e con particolari caratteristiche: i file eseguiti od usati dal sistema, qualora risultassero dannosi verrebbero bloccati e disinfettati.
- Prefetch Scan ~ il maggior rischio d’infezione arriva durante la navigazione, ecco perchè l’attenzione maggiore è stata rivolta a loro. Una scansione “on-access” verrà effettuata nel caso vengano richiamati ed eseguiti file scaricati da internet.
- Background Scan ~ in un pc abbiamo centinaia di file non attivi, file che devono essere lanciati per poter lavorare, Panda Cloud Antivirus proprio per non appesantire le prestazione della macchina effettuerà una loro scansione in background solo quando il pc risulterà non attivo, non utilizzato. Qualora uno di questi file venisse eseguito, verrà effettuata una scansione “on-access”.
Ho avuto modo di testare Cloud Antivirus solo per poche ore, ma l’impressione che ho avuto è stata sicuramente ottima. Ancora alcuni problemi sono da risolvere come ad esempio la scansione del sigolo file da menu contestuale, spesso si blocca al 99% o peggio al 50% la soluzione momentanea data dalla Panda Security è quella di disattivare, momentaneamente, la protezione in tempo reale (click di dx sull’icona nella tray “Stop Antivirus”) ed effettuare la scansione ricordandosi poi di *riattivarlo dalla finestra principale del programma in quando dalla tray risulterebbe impossibile, ho già comunicato questo piccolo bug all’interno di una discussione nel blog di Cloud Antivirus.
*Il problema descritto è stato riscontrato su Vista mentre su WinXP il problema non si è presentato. Effettuerò quanto prima ulteriori verifiche.
Ha un impatto sulle prestazioni davvero molto ridotto, la scansione del disco risulta essere davvero molto veloce ed il riconoscimento dei malware è davvero alto (97% su un campone di circa 400 samples), che dire ancora… provatelo ed esprimete un vostro giudizio od un vostro suggerimento qui o all’interno del blog della Panda Security.
<
feb
23
Vundo il trasformista
Author - Filed Under Virus, Trojans & Worms
Il malware installa una versione infetta di Babylon, un programma molto utilizzato per la traduzione di testo in diverse lingue.
Da premettere che ho eseguito 4 volte il file infetto e che in tre occasioni l’infezione si è manifestata in modi differenti.
Il file LC.exe (C:\Documents and Settings\nome utente\Impostazioni locali\Temp\IXP001.TMP\)
modifica il processo di sistema winlogon.exe, inietta nello stesso una .dll con nome random.
In HKLM\software\microsoft\windows\currentversion\run
viene aggiunto
5ca8dbda ==> rundll32.exe “c:\windows\system32\nome_random.dll”,b
Viene creato un file .bat C:\Documents and Settings\nome utente\Impostazioni locali\Temp nome_random.bat
Il file LC.exe esegue il file di sistema cmd.exe
cmd.exe esegue il comando presente nel file nome_random.bat
esempi:
–
@echo off
:ssqPjjIc
del %1
if exist %1 goto ssqPjjIc
rem jkkLBqPIkhfFUKbxopnopMdafccbBSmJ
–
@echo off
:ddcAsrPg
del %1
if exist %1 goto ddcAsrPg
rem vtUopQIx
–
gen
31
Google esagera con le protezioni
Author - Filed Under Uncategorized
Da diversi mesi Google Inc si è prodigata al fine di offrire ai suoi utenti un migliore servizio che li protegga da siti potenziali portatori di malware e trojan.
Nonostante tutto, però, pare che i tecnici abbiano “esagerato” per usare un eufemismo, decidendo di applicare tale protezione con criteri molto più severi, tali da bloccare, in questi minuti in cui scrivo, tutti i siti che compaiono nei risultati di ricerca (addirittura Google stesso!). Come successivamente spiegato dal personale addetto, durante l’aggiornamento manuale delle liste di siti potenzialmente pericolosi, un errore umano ha provocato questo spiacevole effetto collaterale, che in pratica faceva sì che ogni sito contenente un semplice slash “/” nel proprio codice venisse bloccato.
Abbiamo deciso di allegare qualche screenshot di Google.
