Dal Backdoor trojan al Buffer overflow, la nostra lista e’ ancora lunga!

Le nuove minaccemalware
minacce in rete

Backdoor trojan

I backdoor trojan sono programmi che consentono di assumere tramite Internet il controllo del computer di un utente senza esplicito consenso.

minacce in rete

I backdoor trojan sono in grado di spacciarsi per software dall’aspetto legittimo, che inducono gli utenti a eseguirli senza alcun sospetto. In alternativa, come accade sempre più spesso, i trojan giungono ai computer tramite un link contenuto in un’e-mail di spam o in una pagina Web malevola.

Una volta eseguito, il trojan si aggiunge alla routine di avvio del computer. Può quindi monitorare il PC durante tutto il periodo in cui la vittima è online. Una volta stabilita la connessione Internet, la persona che ha inviato il trojan è in grado di eseguire programmi sul computer infetto, accedere ai file personali, modificare e caricare file, registrare le digitazioni dell’utente sulla tastiera oppure inviare e-mail di spam.

Tra i backdoor trojan più noti figurano Netbus, OptixPro, Subseven, BackOrifice e fra quelli più recenti Zbot o ZeuS.

Per evitare i backdoor trojan è necessario mantenere i computer sempre aggiornati con le ultime patch disponibili (per eliminare le vulnerabilità del sistema operativo) e utilizzare software antivirus e antispam. È anche consigliabile attivare un firewall che impedisca ai trojan di accedere a Internet per stabilire un contatto con il proprio hacker.

Boot sector malware

Il Boot sector malware si diffonde modificando il programma di avvio del computer.

All’accensione del computer, l’hardware cerca il boot sector, o settore di avvio, sull’hard disk (ma può trattarsi anche di floppy o CD), ed esegue il programma di avvio del sistema. Questo programma carica in memoria l’intero sistema operativo.

Il boot sector malware sostituisce il boot sector originale con una versione modificata (e solitamente nasconde l’originale in un’altra sezione del disco rigido). All’avvio viene così utilizzato il boot sector modificato e il malware diventa attivo.

Al giorno d’oggi i boot sector vengono utilizzati da alcuni tipi di malware appositamente compilati per essere caricati prima del sistema operativo, al fine di celare la propria presenza (ad es. il TDL rootkit).

Botnet

Una botnet è una serie di computer infettati controllati in remoto da un hacker.

Quando un computer viene infettato da una bot, gli hacker sono in grado di controllarlo in remoto tramite Internet. Da quel momento in poi, il computer diventa uno “zombie” in balia degli hacker, sebbene l’utente sia all’oscuro di tutto. Collettivamente, questi computer vengono chiamati botnet.

Gli hacker possono condividere o vendere il controllo della botnet, per consentire agli altri utenti di utilizzarla a scopo malevolo.

Uno spammer può ad esempio utilizzare una botnet per inviare messaggi di spam. Fino al 99% dello spam viene distribuito in questo modo. Questo consente agli spammer di sfuggire al rilevamento e di evitare l’inserimento dei propri server nelle blacklist. Consente inoltre di tagliare i costi, in quanto è il proprietario del computer a pagarthreate per l’accesso a Internet.

Gli hacker possono utilizzare gli zombie anche per lanciare un attacco denial-of-service distribuito, noto anche come DDoS. Fanno in modo che migliaia di computer tentino di accedere simultaneamente allo stesso sito Web, in modo tale che il Web server non sia in grado di gestire tutte le richieste che riceve. Di conseguenza, il sito Web diventa inaccessibile. (V. Zombie, Attacco denial-of-service, Spam, Backdoor trojan, Centro di comando e controllo)

Buffer overflow

I buffer overflow si verificano quando un programma memorizza una quantità eccessiva di dati, sovrascrivendo altre parti della memoria del computer e provocando errori o blocchi di sistema.

Gli attacchi buffer overflow sfruttano questo punto debole inviando a un programma una quantità di dati superiore a quella che esso si aspetta. Dopodiché, è possibile che il programma legga una quantità di dati superiore a quella per cui è stato riservato spazio e che sovrascriva le parti della memoria utilizzate dal sistema operativo per altri scopi.

Contrariamente a quanto si tende a credere, i buffer overflow non si verificano solo nei servizi o nei programmi fondamentali di Windows. Possono influire su qualsiasi applicazione.

La protezione dai buffer overflow (buffer overflow protection , BOP) individua il codice che utilizza le tecniche di buffer overflow per sfruttare le vulnerabilità della protezione. (V. Exploit, Download drive-by)

La prossima sarà la lettera C, non perdetela!!!

Leave a Reply

Your email address will not be published.