:: NORMAN :: Antivirus | Firewall

Home

Notizie

Prodotti e servizi

Partner

Selezionare il paese

Selezionare il prodotto

Virus e sicurezza » Informazioni sulla sicurezza » 2006 » Valutazione dell'andamento della sicurezza nel 2005

Valutazione dell'andamento della sicurezza nel 2005

Aggiungere ai preferiti di Norman

Informazioni sulla sicurezza, settimana 3, 2006

Introduzione

Queste Informazioni sulla sicurezza sono incentrate sui trend osservati nel corso del 2005 e offrono alcune brevi previsioni su quanto potrà accadere nel 2006.

Virus, worm e altri programmi maligni - Panoramica

Nel 2005 Norman ha emesso°un solo°avviso riguardante programmi maligni:

W32/Sober.R

Inoltre, altri due programmi sono stati etichettati come AD ALTO RISCHIO, ma non sono stati pubblicati allarmi in relazione ad essi.

L’anno precedente gli allarmi erano stati 12 e nel 2003 ben 14.

Ciò evidenzia chiaramente un nuovo trend relativo ai programmi maligni apparsi nel 2005. Questo argomento verrà comunque trattato in maggiori dettagli successivamente.

I worm Sober, Bagle e Mytob

Anche se nel 2005 il numero di programmi maligni di alto profilo è stato inferiore rispetto agli anni precedenti, sono stati individuati tre gruppi importanti di worm che presentavano una notevole quantità di varianti:

I worm Sober

La prima apparizione di questa famiglia di worm risale all’ottobre 2003, la sua attività persiste, con la costante apparizione di nuove varianti. Si diffonde principalmente mediante e-mail. Una caratteristica di questo software è il fatto di disporre di una serie di tecniche per autoaggiornarsi°con nuove funzioni tramite server diversi.

I worm Bagle

Questa famiglia di worm è inizialmente comparsa nel gennaio 2004 e da allora nuove varianti sono state sviluppate con cadenza regolare. Questi worm utilizzano diversi meccanismi di diffusione, fra cui la propagazione tramite e-mail e attraverso le reti. I messaggi e-mail composti dai worm Bagle includono molti indirizzi "Da" e campi dell’oggetto e corpi del messaggio diversi.

I worm Mytob

Si tratta di una famiglia molto vasta di worm in grado di diffondersi mediante e-mail oppure sfruttando una serie di vulnerabilità nei sistemi operativi. Il meccanismo di diffusione principale sembra essere attraverso computer già compromessi. La capacità dei worm Mytob di propagarsi autonomamente appare invece limitata. Alla fine del 2005, Norman ha catalogato circa 500 varianti di questo worm.
Una descrizione generica della famiglia Mytob è disponibile qui (verrà aperta una nuova finestra del browser).

Bot in costante aumento

"Bot" è un’abbreviazione di robot, ovvero programmi controllati da qualcuno.

Il 2004 è stato l’anno di diffusione massima di tali programmi, con centinaia di nuove varianti. I bot si diffondono tra le connessioni di rete, spesso sfruttando falle di sicurezza, e possono effettuare varie attività, tra cui:

Eseguire attacchi di tipo Denial of Service (DoS) contro computer
Aggiornarsi automaticamente
Scaricare o caricare file
Avviare programmi
Infettare altri computer

Una descrizione generica di queste famiglie, Sdbots, è disponibile qui (verrà aperta una nuova finestra del browser).

Nel 2005 i bot di vario tipo hanno mostrato una diffusione addirittura superiore al 2004. non vi sono indicazioni che lascino sperare in una loro riduzione nel 2006.

"Cocktail maligni"

Questo fenomeno può essere descritto come una serie di codici maligni diversi che si "riconoscono" fra loro. Un programma maligno potrebbe, ad esempio, scaricarne altri e se uno viene eliminato, le altre parti del cocktail faranno in modo di reinstallarlo nel computer.

Tale comportamento rende la rimozione dei cocktail maligni estremamente complicata, perché obbliga gli antivirus a eliminare tutte le parti del cocktail per eliminare completamente l’infezione.

Non si tratta di un meccanismo nuovo, ma il 2005 ha evidenziato un maggiore numero di cocktail rispetto al passato.

Tecnologia Norman Sandbox

Nel 2005 la tecnologia Norman Sandbox ha subito un’accelerazione subito dopo la pubblicazione di Norman Sandbox 2005.
Questa versione include nuove funzioni in grado di garantire agli utenti una protezione ottimale dai codici maligni nuovi e sconosciuti. - qui viene presentata una breve panoramica delle caratteristiche principali (verrà aperta una nuova finestra del browser).

Assenza di epidemie gravi

Come già detto nell’introduzione, nel 2005 non sono state evidenziate epidemie paragonabili a quelle tristemente famose degli anni precedenti. Si è invece assistito a un’introduzione contenuta, ma costante, di nuovi codici maligni. Nel corso dell’anno il numero di file maligni inviati a Norman è passato da qualche centinaio al giorno a una media di oltre duemila.

Questi programmi non hanno in genere lunga durata e vengono creati unicamente per scopi commerciali e pubblicitari. Il termine "greyware" è stato coniato per definire quei programmi il cui scopo non è chiaro: alcuni, ad esempio, hanno una funzione utile, alla quale si combinano attività meno trasparenti.

Exploit del giorno zero

Non è diminuita la tendenza dei creatori di virus a sfruttare le falle di sicurezza dei sistemi operativi e di altri software.

Il caso più eclatante del 2005 si è avuto proprio alla fine di dicembre, quando è stato pubblicato un exploit del giorno zero che colpiva il motore di rendering grafico di Microsoft (verrà aperta una nuova finestra del browser). L’evento ha attirato l’attenzione dei media e, per la prima volta nella storia, importanti enti per la sicurezza, come ad esempio l’Internet Storm Center di SANS, hanno consigliato agli utenti di installare una patch non ufficiale e non sviluppata da Microsoft.

Microsoft non è stata in grado di fornire una patch ufficiale entro la fine del 2005, quindi la conclusione di questa vicenda verrà discussa nelle Informazioni sulla sicurezza del 2006. In alternativa, è possibile leggere l’avviso di sicurezza pubblicato da Norman qui (verrà aperta una nuova finestra del browser).

Altri trend e previsioni

Tra le altre tendenze osservate nel 2005, si segnala:

I rootkit non rappresentano una tecnica nuova per l’installazione dei codici maligni. Tuttavia, nel 2005 hanno suscitato l’attenzione dei media, soprattutto per il fatto che Sony ha installato un rootkit come parte del proprio sistema di protezione dalla copia dei CD.
Sembra esservi la tendenza ad utilizzare i computer infetti da programmi maligni come server per l’invio di spam a utenti finali.
Il "phishing" continua a costituire un problema. Il phishing rappresenta il tentativo di ingannare un utente richiedendo informazioni personali, ad esempio il numero di carta di credito. Tali informazioni vengono spesso utilizzate per il furto di identità. Si ritiene che questa tendenza proseguirà nel 2006, con l’ausilio di tecniche ancora più avanzate.
Si sta assistendo a un aumento di codici maligni creati a scopo di lucro piuttosto che con semplici intenti di creare danno. Anche questo trend è destinato a proseguire nel 2006, con gruppi sempre più organizzati che utilizzeranno software di vario genere per compiere attività criminali.

Le tendenze degli anni precedenti vengono discusse qui:

NOTIFICHE DI VIRUS

Medium risk
15	Aug	08	AntiVirus 2008
24	Oct	07	Pidief.A
24	Jan	07	Tibs
25	Sep	06	Stration
18	Jan	06	Small.KI
12	Sep	05	Bagle.CS
17	Aug	05	Zotob.B
08	Jun	05	Mytob
17	Feb	05	MyDoom.AQ
26	Jul	04	MyDoom.L
25	Mar	04	Netsky.P
Low risk
05	Mar	07	Viking.GT
27	Jan	06	Feebs
16	Jan	05	MyDoom.AH
22	Apr	04	SDBot
30	Mar	04	Netsky.Q

Latest virus definition file published

>>	2009-01-07

Informazioni sulla sicurezza

>>	Summing up 2008 and predictions for 2009
>>	Natale: periodo di gioia e terrore

Avviso sulla sicurezza

>>	Unscheduled update for Microsoft Internet Explorer
>>	Sei aggiornamenti critici per i sistemi Microsoft a dicembre 2008

Norman is one of the world’s leading companies within the field of data security. With products for antivirus (virus control), personal firewall, antispam and antiadware, the company plays an important role in the data industry.