Sicurezza e reti

[hako]

Mi premeva chiarire un dubbio:
Sul mio pc, debitamente monitorato da antivirus, antispyware e firewall aggiornati, mi capita di incappare in virus di svariata natura.
Premesso che navigo in siti dal contenuto sicuro, ho disattivato i directx e java, come è possibile? :master:

Può essere che un altro terminale della rete alla quale sono collegato è infettato e trascini pure me nel marasma?

Scusate l'ignoranza, ma devo capire

[meganoide]

virus di svariata natura, cioè? tipo? estensioni? comportamenti?

[ZeroCool981]

qui lo dico e qui lo giuro, ogni giorno vengono creati un'infinita varietà di virus che nessun antivirus può fermare se non dopo 2 o 3 giorni.

tra l'altro esistono bug nei software che permettono l'infiltrazione dei virus senza essere beccati dagli antivirus.

[olly]

Purtroppo è vero, ogni giorno ne nascono parecchi nuovi....

[hako]

Originariamente inviato da meganoide
virus di svariata natura, cioè? tipo? estensioni? comportamenti?

Questo è quanto accaduto oggi mentre ero sul meteo di TG5 (il report del norton):

04/11/2004 8.43.07,Auto-Protect,MHTMLRedir.Exploit,Eliminato automaticamente,File,N/A,N/A,200411030008,10.0.1.13,Administrator,P42400,Orig ine: C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\632FYXMJ\1[1].htm
04/11/2004 8.42.50,Auto-Protect,Download.Ject,Eliminato automaticamente,File,N/A,N/A,200411030008,10.0.1.13,Administrator,P42400,Orig ine: C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\09C70JSZ\installer[1].htm
04/11/2004 8.42.41,Auto-Protect,MHTMLRedir.Exploit,Eliminato automaticamente,File,N/A,N/A,200411030008,10.0.1.13,Administrator,P42400,Orig ine: C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\L7VBDT4E\index2[1].htm
04/11/2004 8.42.33,Auto-Protect,MHTMLRedir.Exploit,Eliminato automaticamente,File,N/A,N/A,200411030008,10.0.1.13,Administrator,P42400,Orig ine: C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\S9MJ8XUJ\hny2[1].htm
04/11/2004 8.42.22,Auto-Protect,Bloodhound.Exploit.10,Eliminato automaticamente,File,N/A,N/A,200411030008,10.0.1.13,Administrator,P42400,Orig ine: C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\09C70JSZ\index[2].php
04/11/2004 8.41.45,Auto-Protect,MHTMLRedir.Exploit,Eliminato manualmente,File,N/A,N/A,200411030008,10.0.1.13,Administrator,P42400,"Ori gine: C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\632FYXMJ\stats[1].php,Descrizione: C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\632FYXMJ\stats[1].php"
04/11/2004 8.41.37,Auto-Protect,Download.Ject,Eliminato automaticamente,File,N/A,N/A,200411030008,10.0.1.13,Administrator,P42400,Orig ine: C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\YB0TYD69\installer[1].htm
04/11/2004 8.41.37,Auto-Protect,Trojan Horse,Accesso negato,File,N/A,N/A,200411030008,10.0.1.13,Administrator,P42400,Orig ine: C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\ADMDOTUT\fuck[1].htm
04/11/2004 8.41.36,Auto-Protect,Trojan Horse,Riparazione non riuscita,File,N/A,N/A,200411030008,10.0.1.13,Administrator,P42400,Orig ine: C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\ADMDOTUT\fuck[1].htm
04/11/2004 8.41.35,Auto-Protect,MHTMLRedir.Exploit,Eliminato automaticamente,File,N/A,N/A,200411030008,10.0.1.13,Administrator,P42400,Orig ine: C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\09C70JSZ\1[1].htm
04/11/2004 8.41.35,Auto-Protect,Trojan Horse,Accesso negato,File,N/A,N/A,200411030008,10.0.1.13,Administrator,P42400,Orig ine: C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\8F1VUI7D\exploit[1].htm
04/11/2004 8.41.35,Auto-Protect,Trojan Horse,Riparazione non riuscita,File,N/A,N/A,200411030008,10.0.1.13,Administrator,P42400,Orig ine: C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\8F1VUI7D\exploit[1].htm
04/11/2004 8.41.34,Auto-Protect,MHTMLRedir.Exploit,Eliminato automaticamente,File,N/A,N/A,200411030008,10.0.1.13,Administrator,P42400,Orig ine: C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\WVMB4NEB\adv96[1].php
04/11/2004 8.41.32,Auto-Protect,Trojan Horse,Accesso negato,File,N/A,N/A,200411030008,10.0.1.13,Administrator,P42400,Orig ine: C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\6X1IRIXS\fuck[1].htm
04/11/2004 8.41.32,Auto-Protect,Trojan Horse,Riparazione non riuscita,File,N/A,N/A,200411030008,10.0.1.13,Administrator,P42400,Orig ine: C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\6X1IRIXS\fuck[1].htm
04/11/2004 8.41.31,Auto-Protect,Trojan Horse,Accesso negato,File,N/A,N/A,200411030008,10.0.1.13,Administrator,P42400,Orig ine: C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\S9MJ8XUJ\exploit[1].htm
04/11/2004 8.41.31,Auto-Protect,Trojan Horse,Riparazione non riuscita,File,N/A,N/A,200411030008,10.0.1.13,Administrator,P42400,Orig ine: C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\S9MJ8XUJ\exploit[1].htm
04/11/2004 8.41.22,Auto-Protect,MHTMLRedir.Exploit,Eliminato automaticamente,File,N/A,N/A,200411030008,10.0.1.13,Administrator,P42400,Orig ine: C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\YB0TYD69\adv106[1].php
04/11/2004 8.41.10,Auto-Protect,MHTMLRedir.Exploit,Eliminato automaticamente,File,N/A,N/A,200411030008,10.0.1.13,Administrator,P42400,Orig ine: C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\3IGVRDS1\adv290[1].htm


Successive scansioni non hanno rilevato nulla, è normale tutto ciò?
Ripeto, tramite una rete aziendale, posso in qualche modo essere infettato dagli altri terminali?

[SuperMariano81]

I virus di oggi tendono a prediligere le reti aziendali perchè possono infettare millemila PC in pochi minuti e senza passare da internet, possono raccilmolare indirizzi mail dalle varie rubriche che trovano in ogni PC, e per debellarli definitivamente a volte si deve staccare fisicamente il pc dalla rete (con ovvie conseguenze per il lavoratore) e disinfestare la macchina procedendo così per ogni macchina sulla rete (con ovvie conseguenze per noi informatici).

Se la rete non è sufficentemente protetta da firewall o antivirus aggiornati (noi abbiamo il norton corporate edition) possono esserci "infezioni di massa"!

[billiejoex]

Al 99% i tuoi problemi sono attribuibili alla mancanza di aggiornamenti di sistema. Nessuno riesce a capire che Antivirus e Firewall non servono a nulla se, di base, si ha un sistema vulnerabile!!!

qui lo dico e qui lo giuro, ogni giorno vengono creati un'infinita varietà di virus che nessun antivirus può fermare se non dopo 2 o 3 giorni.

Si ma perchè ti dovresti prendere quei virus? Se hai un sistema aggiornato la cosa non ti riguarda minimamente, ovviamente a meno che tu non esegui manualmente il virus.

tra l'altro esistono bug nei software che permettono l'infiltrazione dei virus senza essere beccati dagli antivirus.

Esatto, è proprio quello di cui parlo: vulnerabilità. Il problema alla radice non è il virus, bensì la vulnerabilità nativa del software, grazie a cui il virus può insediarsi.

[ZeroCool981]

verissimo quello che dici, ma parliamoci chiaro gli aggiornamenti per le falle dei sistemi operativi le rilasciano tranquillamente minimo dopo 1 mese dalla scoperta della falla.

e sai benissimo cosa ti può accadere in quei 30 giorni di "vulnerabilità".

esempio che calza a pennello e che è abb recente, la possibilità di inserire un virus dentro alle immagini jpg.

lo si sapeva da 1 anno, gli antivirus non lo bloccavano e l'aggiornamento è stato rilasciato dopo 6 mesi.

ma non pensiate sia solo la microsoft a rilasciare gli aggiornamenti dopo secoli.
lo stesso vale per unix, mac e tutti gli altri.

non esiste sistema protetto al 100% e mai esisterà.

[billiejoex]

Mah... in genere le infezioni di massa avvengono sempre DOPO che è stata rilasciata la patch, vedi ad es blaster: la patch era disponibile da più un mese eppure nessuno si è aggiornato col risultato che conosciamo tutti.

Io sto parlando di infezioni su grande scala. E' ovvio che gli 0dayz e gli exploit sono quasi sempre disponibili sin da subito, molto spesso quando la patch non è ancora stata rilasciata, ma i worm che lavorano in grande, se noti, escono sempre parecchio dopo che è stato rilasciato l'hot fix.

[Habanero]

Hako i virus rilevati sono tutti exploit presenti in pagine web. Lo vedi anche dal fatto che sono tutte state rilevate nella cache di IE.
Sicuramente sono state visitate pagine pericolose e il virus è stato bloccato dall'antivirus.

Per quanto riguarda le discussioni sulle vulnerabilità:
-Il fatto che Hako riceva quei virus non dipende dal fatto che il suo sistema sia patchato o no. Se si visitano pagine contenente codice nocivo questo verrà comunque scaricato sul PC. Il fatto che poi il codice possa realmente creare danni dipende dal fatto che il sistema sia patchato o meno e/o dal fatto che sia presente un antivirus che li rilevi
-Molto spesso si è a conoscenza dell'esistenza di falle ma non dei dettagli tecnici che permettano di sfruttarle. Spesso i dettagli vengono forniti solo al rilascio della patch.
Per esempio questa pagina di eeye
http://www.eeye.com/html/research/upcoming/index.html
presenta advisory pendenti già comunicati ai produttori del software vulnerabile. Come vedete esiste una falla critica che permette l'esecuzione di codice da remoto scoperta e comunicata da ben 94 giorni e non ancora patchata da MS. I dettagli tecnici ovviamente non sono ancora forniti.