[News]

News: Seeweb si unisce ad Hosting Solutions e Aruba

Come si è parlato già addietro, il 2007 è diventato di diritto l’anno delle compromissioni dei siti web da parte dei malware writer. Si è parlato di Hosting Solutions, si è parlato di Aruba, si è parlato di alcuni siti di rilevanza nazionale infettati da iframe nocivi.

Continuando nelle indagini, anche il noto fornitore di connettività e hosting/housing Seeweb sembrerebbe essere stato preso di mira durante questa ondata di pirateria informatica.

[ISO]

Spero sia la sezione giusta in caso contrario spostate pure.
Io ultimamente mi stò sempre più (pre)occupando di computer sui quali non si è neppure sicuri che ci sia un malware
Fino a l'anno scorso era relativamente semplice vedere se un computer era infetto da tanti piccoli o grandi sintomi tutti facilmente individuabili; poi al limite, bastava un log con HJT ti toglievi ogni dubbio e ti dedicavi all'eventuale pulizia.
Ora non è più così
Complici tutta una nuova serie di malware (rootkit in primis) non sono mai sicuro.
L'unico sistema che ho trovato per avere una sicurezza (almeno parziale) è quella di consultare il log del firewall per vedere se ci sono connessioni in uscita o porte in ascolto "strane".
Ma neppure questo è facile e veloce visto che spesso nei computer che vedo il firewall è esterno.
Meditando su queste cose mi sorge una domanda:
Ma è possibile che non esista un modo rapido e sicuro per vedere se un computer è infetto?
Cioè, lasciando perdere "da cosa", "perchè" e "come risolvere"  e focalizzando solo su PULITO - INFETTO  come consigliate di procedere?

[sampei.nihira]

Spesso l'esperienza,il classico "occhio" ,ci portano a ritenere che il PC è infetto.
In questo caso solo gli scan possono fugare dubbi.
Ed ogni utente ha i prodotti preferiti.

Personalmente ho elaborato,specie per gli utenti meno esperti,
una procedura di scan ovviamente con prodotti esclusivamente free.
Devo dire che funziona nella maggior parte dei casi alla fine il pc risulta quasi sempre pulito.

Sono,prima avendo disabilitato il ripristino configurazione di sistema,
quattro scan con antispyware ed un quinto con Antivir settato al massimo quindi expert mode nell'euristica (HIGH)
con abilitato il modulo antirootkit.
Ma questo "metodo" non è certo veloce come richiedi tu.
Ha solo la prerogativa di essere semplice.

1) scan superantispyware
2) scan Avg-antispyware
3) scan ad-aware
4) scan a-squared free

Devo dire che rimango sempre colpito
dallo scan e rimozione malwares di
superantipsyware.....ma sai questo è solo una considerazione
personale !!

[Fabri]

Cioè, lasciando perdere "da cosa", "perchè" e "come risolvere"  e focalizzando solo su PULITO - INFETTO  come consigliate di procedere?

L'unico PC pulito è quello sconnesso dalla rete.

Detto questo, non esiste un metodo VELOCE che ti garantisca che un PC sia completamente pulito.

Essendo tanti i posti per cui un PC puo' mostrare il fianco, si fa presto ad aver verificato da una parte, e non da un altra.
Le suite di sicurezza integrate, imho ancora non sono del tutto sufficienti a risolvere tutti i problemi e a salvaguardarli.

[ISO]

Capisco dalle risposte (purtroppo poche) che nessuno si pone il problema nei termini in cui lo faccio io.
Questo potrebbe significare che sono in un "vicolo cieco", ma vorrei confrontarmi (e confortarmi) ancora un attimo.
@ sampei
Io di esperienza penso di averne un pò... eppure il mio occhio ultimamente latita e i dubbi aumentano.
La procedura indicata da te l'avrei quotata in pieno fino a l'anno scorso ora invece mi focalizzo su altro.
I prodotti indicati sono ottimi tool per risolvere problemi di spyware classici che spesso hanno così evidenti da non lasciare dubbi sulla loro presenza.
Forse il punto centrale è porpio questo: I SINTOMI.
L'unico sintomo che finora ho trovato comune a tutti è un tentativo di connessione verso l'esterno.
Proprio adesso ho sottomano un comp che è negativo a anti-spy e rootkyt, testato sia in locale che su internet che con boot cd, il cui log del firewall occasionalmente (e random) mi mostra un tentivo di accesso verso un sito malevolo (vesuvio.ca.tin.it).
Ora NON MI INTERESSA in questa sede capire che cosa hà, ma mi interessa capire se esiste un modo alternativo e magari più veloce di andarsi a spulciare tutto il log oppure di ricercare la legittimità delle porte usate con currport.

@Fabri

Essendo tanti i posti per cui un PC puo' mostrare il fianco, si fa presto ad aver verificato da una parte, e non da un altra.

Ma non si può pensare che ovunque il malware sia annidato ci sarà sempre una incongruenza in qualche parametro (come nel log del firewall)?

Scusate la faraginosità del discorso ma sono "work in progress" 

[Fabri]

L'unico sintomo che finora ho trovato comune a tutti è un tentativo di connessione verso l'esterno.

Non è detto che sia la regola. Un malware in generale può far anche danni localmente. Non per questo si deve connettere verso l'esterno. Puo' semplicemente modificare il file di host, e reindirizzare a piacimento suo da altre parti un povero malcapitato, senza dover necessariamente tentare di collegarsi all'esterno.

Proprio adesso ho sottomano un comp che è negativo a anti-spy e rootkyt, testato sia in locale che su internet che con boot cd, il cui log del firewall occasionalmente (e random) mi mostra un tentivo di accesso verso un sito malevolo (vesuvio.ca.tin.it).

Ora NON MI INTERESSA in questa sede capire che cosa hà, ma mi interessa capire se esiste un modo alternativo e magari più veloce di andarsi a spulciare tutto il log oppure di ricercare la legittimità delle porte usate con currport.

L'esperienza, o se sei in una rete locale, un software IDS, che possa far scattare un outbreak sul pc.

@FabriMa non si può pensare che ovunque il malware sia annidato ci sarà sempre una incongruenza in qualche parametro (come nel log del firewall)?

Come no. Un qualsiasi malware, come tale, modifica qualche parametro per i suoi porci comodi. Sarà quel parametro ad indicarti tipologia di malware, e/o soluzione al problema.

[sampei.nihira]

Credi, quelle 4 scansioni con prodotti antispyware, NON risolvono solo
" problemi di spywares " ma molto di più....
Per questo che resto sempre colpito dalle caratteristiche dei moderni
"antispyware".
Ed infatti le preferisco alle varie scansioni on line.

Tempo fà ho sudato veramente le classiche 7 camice per eliminare un processo
direi anomalo ovviamente lasciato da una multinfezione.
L'effetto era quello di occupare la CPU quasi al 100 %.
Si verificava su un portatile ,e non sempre, dopo l'accenzione.
Non chiedermi il perchè.....non sono certo uno scienziato !! 
Tutto sembrava a posto ma evidentemente non lo era.


Ecco perchè è per me fondamentale la prevenzione.
E con " Eraser e company " ho affinato questo aspetto,e non li ringrazierò mai
abbastanza.
L'aspetto preventivo è per me senza dubbio più affascinante......
ritengo sia lo stesso per altri frequentatori di questo forum.

[ISO]

Purtroppo non riesco a spiegare più chiaramente il mio intento...forse perchè non è del tutto chiaro neppure a me 
E' che mi piacerebbe molto capire se un comp è pulito oppure nò in pochi minuti (poi per la pulizia è un'altra storia)
probabilmente il nucleo centrale è in questa frase di fabri

Essendo tanti i posti per cui un PC puo' mostrare il fianco, si fa presto ad aver verificato da una parte, e non da un altra.

eppure la tecnica che uso ora (currport + log firewall) non mi pare male come alternativa ai metodi classici...oppure è solo questione di tempo e mi convincerò che è solo una fesseria 

[Anacleto]

eppure la tecnica che uso ora (currport + log firewall) non mi pare male come alternativa ai metodi classici...oppure è solo questione di tempo e mi convincerò che è solo una fesseria 

è una fesseria  ok, a parte gli scherzi, non ti potrà mai dare la certezza questo metodo. Cosa se un rootkit come Rustock è attivo sulla macchina? Come sai Rustock patcha i driver della scheda di rete in modo tale da essere invisibile ai software attivi sulla macchina (Currentports e i firewall). Vedi del traffico anomalo solo se ti attacchi con un hub (non switch occhio) in una rete dove è il pc infetto