[Linuxtrent] Fwd: [INTERNET PER TUTTI] Power-Off, nuovo virus per tutti i sistemi operativi
- From: fred <fred@xxxxxxxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Mon, 01 Apr 2002 17:43:07 +0200
A me' mi puzza di pesce d'aprile lontano 20000 kilometri
Fred
---------------------------------------
>Subject: [INTERNET PER TUTTI] Power-Off, nuovo virus per tutti i sistemi=20
>operativi
>Reply-To: internetpertutti-owner@xxxxxxxxxxxxxxx
>
>_Power-Off, nuovo virus per tutti i sistemi operativi (1 aprile 2002)__
>
>Come sapete, abitualmente non segnalo in questa newsletter ogni virus che
>esce in Rete: ne nascono troppi ogni giorno. Faccio volentieri
>un'eccezione, pero', quando il virus ha caratteristiche inconsuete o
>rappresenta un salto tecnologico, come a suo tempo BubbleBoy e i suoi=
emuli.
>
>E' per questo che vorrei segnalarvi la circolazione di un nuovo virus
>estremamente minaccioso, denominato "Power-Off" o "pHiSh", che e' stato
>recentemente rilevato da alcuni esperti. Purtroppo, in ossequio alle nuove
>leggi sul "responsible disclosure", l'annuncio ufficiale di questa
>vulnerabilita' non puo' essere dato dai siti dedicati alla sicurezza se non
>dopo almeno due settimane dalla segnalazione alle aziende il cui prodotto
>e' risultato vulnerabile: quindi, visto che il problema e' stato comunicato
>oggi 1 aprile alle aziende, gli utenti sono vulnerabili e totalmente
>indifesi almeno fino al 14/4.
>
>Di solito rispetto questa legge, anche se e' estremamente discutibile, ma
>stavolta, vista la serieta' della minaccia, non me la sono sentita di
>lasciarvi alla merce' del primo pirata che passa per ben due settimane. Mi
>premeva avvisarvi prima che il virus cominciasse a mietere vittime.
>
>Niente panico: il virus e' potente, ma lo si ferma con alcune semplici
>contromisure che trovate in fondo a questo avviso.
>
>
>__Un inquietante passo avanti___
>
>Il salto tecnologico e' questo: la capacita' di colpire _qualsiasi_ sistema
>operativo. Infatti sappiamo tutti che i virus sono scritti su misura per un
>singolo sistema operativo. Un virus puo' infettare un computer sul quale
>gira Windows, ma non puo' fare nulla contro un PC sul quale gira Linux,
>OS/2, BeOS o contro un Mac, e viceversa. Esistono alcuni virus che superano
>questa barriera, i cosiddetti "cross-platform", ma sono ben poco efficaci
>(infettano al massimo due sistemi operativi) e soprattutto vengono fermati
>dagli antivirus aggiornati.
>
>pHiSh, invece, ha un'efficacia notevolissima, in quanto riscrive
>direttamente il BIOS, rendendo quindi inaccessibili e inservibili i dischi
>rigidi, il mouse e la tastiera (i dati sono recuperabili soltanto smontando
>_immediatamente_ i dischi rigidi e installandoli su un altro computer non
>infetto), ma soprattutto perche' agisce _prima_ dell'avvio del sistema
>operativo, ossia proprio quando l'antivirus non puo' fare nulla per=
fermarlo.
>
>Pensateci un attimo: anche l'antivirus piu' moderno e aggiornato e' attivo
>soltanto quando il sistema operativo e' in funzione (e in realta' si avvia
>alcuni secondi _dopo_ che e' stato avviato il sistema operativo stesso,
>lasciando quindi una finestra di vulnerabilita' anche verso altri virus
>meno sofisticati). Non puo' fare nulla prima che il sistema operativo si
>avvii e soprattutto non puo' fare nulla quando il computer e' _spento_.
>
>E qui entra in funzione pHiSh. Molti dei computer moderni, infatti, non si
>"spengono" mai completamente. Quando ad esempio dite a Windows di arrestare
>il sistema, alcune parti del computer rimangono sotto tensione. Il filo
>telefonico del modem rimane alimentato (come potete verificare con un
>tester), i condensatori e i compensatori di Heisenberg presenti nel
>computer mantengono un residuo di corrente e soprattutto il BIOS rimane
>alimentato da una batteria interna. Il computer e' insomma in "sonno", ma
>non e' del tutto inattivo, ed e' a questo punto che agisce il nuovo virus.
>
>
>_Come agisce pHiSh__
>
>Proprio per questo e' denominato appunto "Power-Off", e per questa sua
>caratteristica e' in grado di agire a prescindere dal sistema operativo che
>avete installato sul computer. Agisce in due modi:
>
>-- nel caso di un computer collegato a Internet tramite filo telefonico,
>modulando la tensione presente sul filo telefonico stesso in modo da
>emulare un segnale di "wake-up on modem call" (funzione presente in molti
>BIOS, che consiglio di disattivare), che "risveglia" il BIOS in modalita'
>"read/write" e permette al virus di sovrascrivere con dati pseudocasuali le
>impostazioni del BIOS, paralizzando il computer;
>
>-- nel caso di un computer collegato a Internet tramite una rete locale
>Ethernet, modulando i segnali presenti sul cavo Ethernet in modo da
>attivare la funzione "wake-up on LAN". Anche questa funzione e' presente in
>molti BIOS (e va disattivata) e "risveglia" il BIOS come descritto sopra.
>
>Al momento non e' chiaro se anche le connessioni tramite cellulare GSM e
>tramite rete wireless si prestino a questo exploit, ma sembrerebbe di no.
>Probabilmente anche i laptop che hanno schede di rete PCMCIA sono immuni.
>Non ho ancora dati su quali BIOS siano colpiti e quali no, anche se si
>presume che tutti quelli recenti dotati delle suddette funzioni di
>"wake-up" siano vulnerabili. Appena avro' informazioni, ve le segnalero'.
>
>Vorrei sottolineare che questo virus agisce
>_su_qualsiasi_sistema_operativo_ e _scavalcando_ogni_antivirus_.
>Rappresenta pertanto un vero traguardo tecnologico per gli autori di virus,
>ma soprattutto una seria minaccia per ogni utente di personal computer. Vi
>consiglio di diffondere a tutti quelli che conoscete questa segnalazione,
>anche se e' preliminare e incompleta, affinche' possano adottare subito le
>semplici ma preziose contromisure del caso, descritte qui sotto.
>
>
>__Propagazione__
>
>Al momento (1 aprile 2002) non e' ancora ben chiaro il metodo di
>propagazione, ma alcuni fatti sono ragionevolmente assodati. L'infezione si
>propaga in due fasi.
>
>-- Prima fase: ad alcuni computer il virus viene recapitato sotto forma di
>e-mail (senza allegato; e' "embedded" nel codice HTML), e in questa guisa
>e' facilmente riconoscibile dal fatto che il messaggio infettante arriva da
>un utente che la vittima conosce (un amico, un collega, un conoscente), e'
>in formato HTML e inizia con il codice "I:" oppure "R:" seguito da uno o
>piu' spazi. Diffidate di ogni messaggio che inizia con questi codici,
>facili da confondere con quello standard (che e' "Re:"). Chi lo manda
>potrebbe essere infetto.
>
>-- Seconda fase: una volta insediato, il virus esegue una scansione del
>disco rigido alla ricerca di numeri di telefono (o numeri che possono
>sembrare telefonici) e poi esegue un "soft dial", ossia compone in sequenza
>ogni numero trovato, senza pero' dare la tensione esatta necessaria per il
>comando "solleva la cornetta" che precede una normale chiamata. Questo
>inganna la centrale telefonica (e' un trucco usato da tempo per telefonare
>gratis), che non registra la chiamata e non la addebita, ma la chiamata
>raggiunge comunque il numero del destinatario. Se a quel numero e'
>collegato un PC spento, il virus ne riscrive il BIOS, rendendo inservibile
>il PC. Questa tecnica, fra l'altro, mi fa pensare che probabilmente non ha
>effetto su linee ISDN, ma e' solo una mia teoria.
>
>
>__Rimedi__
>
>Sono piuttosto semplici:
>
>-- Disattivare le funzioni "wake up on LAN" e "wake up on modem" del BIOS
>
>-- Scollegare il PC dal filo telefonico e dalla rete Ethernet quando e'=
spento
>
>-- Diffidare di ogni messaggio che inizia con "I: " oppure "R: " ed e' in
>formato HTML
>
>-- Non usare programmi che interpretano automaticamente l'HTML contenuto
>nei messaggi
>
>-- Disattivare la _spedizione_ di messaggi in formato HTML, in modo che non
>possiate infettare altri utenti
>
>
>__Consigli particolari per gli utenti Outlook__
>
>Alcune versioni di Outlook generano risposte contenenti proprio i codici
>"I:" e "R:" incriminati. Se la vostra versione lo fa, installate l'apposita
>patch gratuita (http://www.vene.ws/mail/patch.asp), altrimenti i vostri
>messaggi sembreranno infetti e quindi causeranno falsi allarmi.
>
>Per impostare Outlook in modo che mandi i messaggi come testo semplice e
>quindi non possa veicolare l'infezione, scegliete Strumenti - Opzioni -
>Invio - Formato invio posta. I dettagli della procedura sono descritti in
>vari siti, come=
http://pcpro.mondadori.com/pcpro/know_how/art006001035850.jsp.
>
>Gli utenti di Outlook 2000 e Outlook 2002 possono evitare l'interpretazione
>automatica dell'HTML contenuto nei messaggi _ricevuti_ usando un semplice
>plug-in gratuito, chiamato NoHTML, reperibile gratuitamente presso
>http://ntbugtraq.ntadvice.com/default.asp?sid=3D1&pid=3D55&did=3D38. Il=
plug-in
>NON funziona con Outlook 98 e Outlook Express.
>
>Troverete maggiori informazioni, quando saranno disponibili, presso il mio
>sito www.attivissimo.net.
>
>Nel frattempo, buon lunedi' dell'Angelo a tutti.
>
>Ciao da Paolo.
>
>-----------------------------------------------------------------------
>Paolo Attivissimo Traduttore tecnico, divulgatore informatico
>topone@xxxxxxxxx http://www.attivissimo.net
>---------+---------+---------+---------+---------+---------+---------+--
>
>
>
>(C) 2002 by Paolo Attivissimo. Distribuzione libera purch=E9 integrale,=20
>senza scopo di lucro e riportando la dicitura "=A9 2002 Paolo Attivissimo=
=20
>(www.attivissimo.net)". Per pubblicazioni a scopo di lucro, contattate=20
>l'autore presso topone@xxxxxxxxxx
>
>Iscrizioni: internetpertutti-subscribe@xxxxxxxxxxxxxxx
>Dis-iscrizioni: internetpertutti-unsubscribe@xxxxxxxxxxxxxxx
>Problemi: topone@xxxxxxxxx
>
>Se ti piace quello che leggi, fallo sapere in giro, e mandami
>un po' di focaccia!
>
>L'utilizzo, da parte tua, di Yahoo! Gruppi =E8 soggetto alle=20
>http://it.docs.yahoo.com/info/utos.html
Un pinguino al giorno leva il bug di torno
My personal homepage =09
http://www.tennisbar.da.ru
Lavarone homepage:
http://www.lavarone.com
Linuxtrent
http://www.linuxtrent.it
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con SOGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxxxxxx
Other related posts:
