QR code per la pagina originale

Rientra la minaccia sull’epidemia di virus

Il sito Web da cui veniva diffuso l'attacco a server e utenti è stato chiuso Venerdì. L'attacco si è placato non le critiche a Microsoft. Internet Explorer è ancora vulnerabile ad un attacco simile.

,

Sta rientrando l’allarme per la possibile epidemia di trojan che ha colpito nei giorni scorsi la comunità dei navigatori che utilizzano il browser Internet Explorer. Venerdì sono stati chiusi alcuni siti web, collocati in Russia, da cui gli utenti erano forzati a scaricare ed installare il codice nocivo del Trojan. Anche gli effetti generali sono giudicati poco rilevanti dagli esperti di sicurezza anche se l’infezione si è propagata indisturbata per oltre 3 giorni.

Non si placano tuttavia le critiche a Microsoft. Uno degli errori del browser Internet Explorer che ha permesso l’attacco era infatti noto all’azienda americana, nella sua variante di base, da almeno 10 mesi e nulla di definitivo è stato rilasciato sinora per correggerlo. Nella mailing list Bugtraq, il responsabile del sito malware.com scrive che: «Nei dieci mesi passati l’uso dell’oggetto adobd.stream permette di scrivere file su tutti i computer degli “importanti” clienti. Ha delle conseguenze tangibili e reali. Rapisce i loro computer».

Cominciano a diradarsi le nebbie anche sugli autori dell’attacco. Secondo la firma russa di Antivirus Kaspersky, il colpevole sarebbe da rintracciare nel gruppo russo HangUP Team, il cui nome è legato a worm e virus di recente diffusione, come Korgo. Nel codice di una versione del Trojan Berbew, il programma installato nella versione ‘F’ sui computer infetti degli utenti, è stata trovata la firma ‘Coded by HangUpTeam’. Alcuni membri del gruppo, fondato nel 2000, sono stati arrestati, ma rimangono molti membri attivi anche al di fuori della Russia. Il gruppo, riporta sempre Kaspersky, è stato identificato come uno dei principali creatori di “computer zombie” usati per veicolare messaggi di spam.

L’attacco di questa volta tuttavia non era finalizzato a veicolare spam. Nessuna porta veniva aperta verso l’esterno, ma veniva installato un programma in grado di recuperare dati di login per account E-Bay, Paypal e di alcuni servizi di e-mail via Web. I dati raccolti venivano successivamente inviati a diversi siti.

Ciò che rimane ancor oggi poco chiaro è la vulnerabilità utilizzata per compromettere i server Microsoft da cui poi sono partiti gli attacchi verso i computer degli utenti. Non tutti credono che sia da attribuire, come comunicato da Microsoft, alla vulnerabilità del Private Communications Transport (PCT) corretta da Microsoft lo scorso 13 aprile. Da più parti è stata avanzata l’idea che si tratterebbe di una vulnerabiltà sconosciuta per cui è stato costruito ad hoc un programma per sfruttarla (uno “zero day” exploit). Kaspersky avanza anche l’ipotesi che l’HangUP Team abbia pagato per avere queste informazioni.

Resta ancora una certezza. Il browser Internet Explorer è tuttora vulnerabile allo stesso attacco. In molti consigliano di disattivare, sino all’installazione del Service Pack 2 di Windows XP di prossimo rilascio che dovrebbe correggere il problema, l’esecuzione di JavaScript oppure di passare ad un altro browser che non sia Internet Explorer. Per quest’errore il gruppo di sicurezza eEye Digital Security ha anche rilasciato una patch non ufficiale ma basata su informazioni ampiamente testate.

Un’analisi approfondita dell’attacco è disponibile nella sezione Sicurezza.

Notizie su: