Info su exploit java cve-2012-1723

[NonCeLaFaccio+]

Ciao a tutti,
stanotte ho lanciato la solita scansione antivirus settimanale e stamattina ho scoperto di essermi beccato l’exploit java cve-2012-1723.
Chiaramente l’ho immediatamente fatto rimuovere dall’antivirus (Security Essential) e il PC non manifesta particolari malfunzionamenti.

Credo di averlo preso un paio di giorni fa, quando, per installare il programma jkiwi (simulatore di trucco e acconciature) ho accettato di installare la versione 6 di JRE. La cosa mi ha meravigliato perché avevo già la versione 7 ma, forse sottovalutando la cosa, ho comunque accettato.

Ho poi utilizzato jkiwi che ha regolarmente funzionato e anche stamattina, dopo la rimozione del malware, funzionava ancora.

Quello che vorrei sapere è che tipo di danni fa quel malware e quindi cosa devo aspettarmi nei prossimi giorni.

Ho cercato un po’ su internet (ma dall’ufficio non posso fare molto, devo accontentarmi di navigare un po’ col cellulare) e mi sembra di aver capito che è una specie di cavallo di troia che permette l’esecuzione di software sul mio PC da parte di terze persone. E’ così?

Se qualcuno dovesse eseguire software sul mio PC me ne accorgerei o è possibile che faccia tutto in background?
Ora che l’ho rimosso posso stare tranquillo o potrebbe comunque aver preparato la strada ad attacchi futuri?

Uso windows7 Pro 64bit su un PC Acer M67WS

Grazie a chi vorrà aiutarmi.

[amvinfe]

è un exploit che sfrutta un bug nella Java Runtime Environment, dalla versione 7 (update 5) il problema è stato risolto.

Può capitare che durante installazioni di software di terze parti, venga chiesto l'aggiornamento della JVM, quello che non si deve fare è, appunto, aggiornarla attraverso URL esterni.
I software vanno aggiornati sempre servendosi della funzione "update" presente al loro interno, l'alternativa è quella di effettuare controlli direttamente dalla pagina del sito del produttore.

Verifica che tutti i prodotti installati sul tuo pc siano aggiornati, effettua una scansione completa con il tuo antivirus aggiornato alle ultime definizioni. Riguardo questo tipo d'infezioni l'antivirus di casa Microsoft è uno fra i migliori capaci di riconoscere questo tipo d'infezioni.

Leggi al link
http://community.websense.com/blogs/...2012-1723.aspx

[NonCeLaFaccio+]

Grazie amvinfe, il link lo leggerò stasera perché dall'ufficio non posso.

Effettivamente mi aveva insospettito quella strana richiesta di installazione di un JRE precedente a quello che già avevo, mi son lasciato fregare come un pivello. Va beh, starò più attento in futuro, intanto potresti, per favore, chiarirmi i due dubbi seguenti che sono quelli che mi premono di più?

1) Una volta eliminato il malware (fatto), aggiornato java (fatto), nonché disattivato java su tutti i browser (fatto) posso stare tranquillo o potrebbe aver "fatto figli", nel senso di aver creato degli altri codici maligni ancora da individuare?

2) In quei due o tre giorni in cui è stato attivo che tipo di danni può aver fatto? Potrebbe per esempio aver spedito il db di KeyPass (repository delle password) con relativa password di accesso a qualche sito russo e cose del genere o mi sto solo preoccupando eccessivamente?

Grazie ancora
Ciao

[amvinfe]

se hai eseguito una scansione completa della macchina e MSE non ha rilevato nulla, dubito sia rimasto qualcosa.
Puoi comunque effettuare una scansione con Malwarebytes.
Una volta installato ed aggiornato esegui una scansione completa del sistema, se l'antimalware rileva qualcosa devi effettuare il riavvio del pc.
Una volta riavviato, dalla finestra principale del programma, portati nel tab dei log. Copia ed incolla, nella tua prossima risposta il suo contenuto.

Riguardo i dati presenti in KeyPass non credo siano stati inviati, lo scopo di questo malware non è rubare dati sensibili bensì quello di far entrare più macchine possibili nelle botnet.

==

Se non hai un firewall ti consiglio di installarlo e di verificare comunque eventuali richieste di traffico anomalo da e verso internet.

==

http://download.html.it/software/mal...-malware-free/

http://download.html.it/software/comodo-firewall/

==





PS:
quella V del tuo avatar mi è molto simpatica

[NonCeLaFaccio+]

Originariamente inviato da amvinfe
quella V del tuo avatar mi è molto simpatica

Sì, siamo in tanti a credere in quella V speriamo di non restar delusi.

Allora,
intanto grazie per la rassicurazione, ero convinto che invece il suo scopo fosse proprio quello di rubare password, meglio così.

MalwareByte's è sempre attivo in background (ho acquistato la versione pro) e non segnala nulla ed anche la scansione non ha rilevato problemi.

A questo proposito vorrei chiederti come mai, pur essendo attive le protezioni in background, ogni tanto le scansioni rilevano dei file infetti, non dovrebbero intercettarli immediatamente, ancor prima che si installino?

Come firewall ho quello standard di windows, avevo sentito che non è male, tu mi consigli comodo?

Thx

[amvinfe]

Su Seven il firewall Microsoft dà sicuramente più garanzie di quello presente nelle versioni di XP, anche se sinceramente come protezione non è il massimo... vedi tu


Gli antivirus purtroppo non sempre eliminano tutti i valori collegati ai malware e questa è una mancanza che ho sempre segnalato alle varie software-house, ti faccio un esempio.

Quando un malware installa una serie di file eseguibili, chiavi di registro, servizi o file di testo, ad esempio, non sempre tutte queste tipologie di valori vengono rimossi.
Generalmente i valori rimossi, dalla stragrande maggioranza di antivirus, sono i file eseguibili seguiti da driver e alcune volte le chiavi di registro, quasi mai file di testo.
Non ti so dare una risposta logica proprio perchè di logica, in questo modo di classificare un file dannoso da un altro, non ce n'è.

Tempo fa avevo scritto un pezzo proprio sulla sicurezza dei software che gestiscono le password, nessuno dei programmi presi in esame svolgeva correttamente il proprio lavoro.
In presenza di una specifica tipologia di malware, le password venivano archiviate in chiaro all'interno di un file di testo.
Dopo aver effettuato scansioni con diversi antivirus tutti i valori venivano riconosciuti e rimossi tranne il file di testo, ora è chiaro che non vi è logica visto che quel file sarebbe stato visibile e disponibile per chiunque avesse potuto accedere a quella macchina.

C'è anche da dire, per contro, che le impronte virali presenti all'interno dei db degli antivirus non sono in grado di riconoscere tutti i malware, soprattutto tutte le loro varianti e una classificazione generica dei malware può dar luogo proprio a questo inconveniente. Un malware rimosso solo parzialmente.

[NonCeLaFaccio+]

Molto interessante, ma anche un po' inquietante, mi sembra di capire che siamo ancora ben lontani da una vera sicurezza informatica.

Grazie di tutto.
Ciao

[amvinfe]

Esattamente.
Nessuna software-house dichiarerà mai di avere un prodotto capace di roconoscere il 100% del malware, perchè sanno che tale affermazione sarebbe subito smentita. Un antivirus però dev'essere in grado, una volta riconosciuta una minaccia, di risolverla completamente e questo non sempre accade.