giovedì 4 giugno 2009

UnVirex : Guida alla rimozione

UnVirex ( UnVirex 2009 , UnVirex Pro) è un nuovo falso (fake, rogue) antivirus che prima ti infetta il PC o ti fa credere che esista l'infezione e poi ti spinge ad acquistare una versione completa per risolvere le infezioni da virus che risulteranno presenti sul tuo PC.

Si tratta di un software estremamente pericoloso da eliminare / disinstallare / cancellare quanto prima.
La sua esecuzione genera un report con un elenco di file dichiarati infetti.
Ma è proprio il falso antivirus ad installare i virus .
UnVirex viene scaricato sul computer del malcapitato con il falso scopo di eseguire una scansione antivirus online.

Una volta scaricato esso viene configurato in modo da partire in esecuzione automatica con windows.
Nel caso di infezione ecco quali sono i messaggi mostrati continuamente come popus :
  • "Critical System Error",
  • "Your computer is infected"
  • Malicious applications which can contain trojans found on your PC need to be immediately removed. Click here to remove these potentially harmful items immediately with UnVirex
  • Trojan Detected! A piece of malicious code was found in your system which can replicate itself if no action is taken. Click here to have your system cleaned by UnVirex
E' stato verificato che quando questo software è in esecuzione la CPU è impegnata per un 20-30% in più rispetto al normale. Altri indesiderati effetti sono settaggi del browser modificati e non raramente collegamenti internet impediti.

Ecco come operare una rimozione , disinstallazione , eliminazione manuale :
Guida alla disinstallazione di UnVirex
1) Fermare i processi (sulla barra di stato , tasto destro , Task manager ..,processi , termina processo) UnVirex.exe
2) Disinstallare UnVirex :Start > Impostazioni > Pannello di controllo > Aggiungi/rimuovi programmi : Cerca e , nel caso , disinstalla il pacchetto : UnVirex
3) Cercare e rimuovere le chiavi di registro : (Start/esegui/regedit)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “UnVirex.exe
HKEY_CURRENT_USER\Software\UnVirex
HKEY_LOCAL_MACHINE\SOFTWARE\
UnVirex
HKEY_CLASSES_ROOT\AppID\{C0E56AC2-9F72-436E-B6E7-AEC28AF9E4EB}
HKEY_CLASSES_ROOT\AppID\IEAddon.DLL
HKEY_CLASSES_ROOT\CLSID\{08EEC6AD-7486-487F-89B7-5A3716DDAE14}
HKEY_CLASSES_ROOT\CLSID\{CCB5551D-8594-4999-85F9-1E3EABCB95AC}
HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandlers\unvirex_contextscan
HKEY_CLASSES_ROOT\Drives\shellex\ContextMenuHandlers\unvirex_contextscan
HKEY_CLASSES_ROOT\Folder\shellex\ContextMenuHandlers\unvirex_contextscan
HKEY_CLASSES_ROOT\IEAddon.StatusBarPane
HKEY_CLASSES_ROOT\IEAddon.StatusBarPane.1
HKEY_CLASSES_ROOT\Interface\{5B184B9D-B7BD-4FEA-8D1F-5E27182206A5}
HKEY_CLASSES_ROOT\TypeLib\{3ED0E410-5C8E-47B6-A75D-D10B886E903C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CCB5551D-8594-4999-85F9-1E3EABCB95AC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UnVirex
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DrvFltIp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform "UnVirex"

4) Cercare e rimuovere i files e le cartelle: (start /cerca)
c:\Documents and Settings\All Users\Application Data\UnVirex (Tutta la Cartella)
%UserProfile%\Application Data\UnVirex (Tutta la Cartella)
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\UnVirex.lnk
%UserProfile%\impostazioni locali\temp (Tutta la Cartella)
C:\Windows\Temp Tutta la Cartella
c:\Programmi\UnVirex - Tutta la Cartella (controlla anche C:\Program Files\UnVirex e la cartella Documenti\UnVirex ) - non è detto che ci siano tutte.
Da Menu Avvio\Programmi cancella la cartella UnVirex
Cancella UnVirex.lnk e/o UnVirex.exe sia dal Desktop che da Menu avvio.
Ed infine svuotare il cestino e la cartella dati recenti (%UserProfile%\Recent)
Si ricordi che %UserProfile% corrisponde a "C:\Documents and Settings\nome utente"
Eventualmente impostare Strumenti/opzioni cartella/visualizzazione - Visualizza cartelle e file nascosti.


In alternativa , trattandosi di uno spyware , consiglio l'installazione di un antispyware free : http://www.superantispyware.com/ oppure Spybot Search and Destroy
E , per un pronto intervento risolutivo : Malwarebytes’ Anti-Malware
>

mercoledì 3 giugno 2009

Come proteggersi dalla SQL injection

La SQL injection è una tecnica dell'hacking che mira a colpire le applicazioni web che si appoggiano su un database di tipo SQL.

Le conseguenze prodotte sono imprevedibili per il programmatore: l'Sql Injection permette al malintenzionato di autenticarsi con ampi privilegi in aree protette del sito (ovviamente, anche senza essere in possesso delle credenziali d'accesso) e di visualizzare e/o alterare dati sensibili.

Strutturando le queries Sql in una particolare forma, nel caso specifico inserita in un indirizzo web (embedded in URLs), se essa viene passata ad un database sql con uno scarso controllo sulla strutturazione delle quesy di input, si constringe il server a restituire un messaggio di errore dal quale l'hacker esperto riesce a comprendere come è strutturato il database stesso e capisce quindi come riformulare la query per inserire dati (invece di leggere ... scrivere insomma) nel database.

L'obiettivo finale sarà quello di inserire un link ad una pagine web contenente codice maligno : ogni volta che quel database verrà caricato in un browser l'utente verrà reindirizzato al quel sito web maligno!




Vediamo ora Come proteggersi dalla SQL injection :

Da quanto si è visto , affinchè un attacco sferrato con la tecnica SQL injection funzioni , è sufficiente che il database risponda con messaggi di errore a query strutturate appositamente sbagliate.

Pertanto è facile concludere che l'unica possibilità di protezione è un buon controllo sui dati in input.

Quindi tutto è legato ad una buona stesura del codice php-sql da parte del programmatore durante lo sviluppo del programma.

Bisogna cioè assicurarsi che l'input ricevuto rispetti le regole necessarie, e questo può essere fatto in diversi modi:

  • controllare il tipo dei dati ricevuti (se ad esempio ci si aspetta un valore numerico, controllare che l'input sia un valore numerico);
  • forzare il tipo dei dati ricevuti (se ad esempio ci si aspetta un valore numerico, si può forzare l'input affinché diventi comunque un valore numerico);
  • filtrare i dati ricevuti attraverso le espressioni regolari (regex);
  • sostituire i caratteri pericolosi con equivalenti caratteri innocui (ad esempio in entità HTML, oppure utilizzando le funzioni addslashes e stripslashes di PHP);
  • effettuare l'escape dei dati ricevuti (ogni linguaggio, solitamente, mette a disposizione particolari funzioni per questo scopo).
  • nel caso del login cui sopra, criptare le credenziali di accesso prima di inserirle nella query SQL (evitare che le informazioni sensibili siano memorizzate nel DB in chiaro).
(wikipedia)

SQL-injection : 40000 PC infettati questo weekend ...

Questo fine settimana oltre 40,000 siti Web sono stati compromised con la tecnica dell'attacco cosiddetto SQL-injection .

I siti sono stati infettati con codice malware che tenta di redirigere i malcapitati su siti esterni infettati.

Websense ha definito questo attacco "Beladen" (che in tedesco sta per "loaded") poichè nell'attacco è coinvolto il dominio "Beladen.net" , registrato in Ucraina , con il compito di spingere le ignare vittime su siti dal nome apparentemente familiare come : "googleanalytlcs.net";

Da questi siti viene tentato il donwload di software pericolosissimo come i keyloggers sul computer della vittima. Se l'operazione non riesce l'utente viene spinto mediante false scansioni online ad acquistare falsi antivirus.




"Si tratta di una tecnica di attacco molto avanzato," dice Stephan Chenette, manager della sicurezza presso la Websense Labs che sta ancora indagando per cercare di capire esattamente come sia avvenuta questa infezione di massa.

Evitate come la peste questi siti - aggiornamento

Ecco un elenco di siti che , apparentemente innoqui , ti scaricano sul PC virus e falsi antivirus . Prima di proseguire su siti sospetti , fate una ricerca su questo post continuamente aggiornato.
Evitate come la peste questi siti :
updated 03/06/2009 :

truepornmovies.com , securityexamine.com , billingpayment.netcodecs.tubeloyaln.com ,
codecvistaz.com, codecxpvista.com , litetubevideoz.com, litetubevideoz.net, loyal-porno.com
loyalvideoz.com , ns1.nameservers01.com , ns2.nameservers01.com , ns3.nameservers01.com
pc-codec-pack.com , pcvistaxpcodec.com , suckitnow1.net, truepornupload.com , tubeloyaln.com , tubeontvgl.com , uplcodecset3.com , uploadmoviez.com , uploadsmovies.com , winpcdown10.com , winpcdown9.com installano il pericoloso Win PC Defender

Anti-spyware-scan-v1.com , Internetsafebrowsing.com , internetsafebrowsinghelp.com , Malware-live-pro-scanv1.com , Networksecurityadvice.com , Proantivirusscanv3.com, Securedantivirusonlinescanner.com , Securityhelpcenter.com , Systemsupportnetwork.com , 1viruslivescanner.com , Websafetynetwork.com scaricano sul pc il pericoloso falso antivirus chiamato Personal Antivirus

Bonuspromooffer.com è un sito che diffonde il falso antivirus Virus Remover 2009

Best-click-scanner.info , Free-web-scaners.info/disk (/scan) , Getscanonline.com , Greatonlinesecurityscan.com , Greatscansecurity.com , , Installdiskscaner.net , Internetsecurityexamine.com , loyal-porno.com , Netsecurityonline.com , Netisecurity.com , Onlinescanservice.com , Scanbaseonline.com , Scanprotectiononline.com , Securityscan4you.comsecurityexamine.com , Securityimplement.com , Securityonlinesite.com , Stabilityinternetscan.com , Sg9scanner.com , Securityonlineread.com , Thebestsecurityspot.com , Theonlinesecurity.com , Topsecurity4you.com , Trustsecurityshield.com , thefullvirusscan.com , totalsystemguard.com , updateyoursecurity.com, Watchnetprotection.com , Webnetworksecurity.com , Websafetyguide.com , Websecurityexamine.com , Webwidesecurity.com installano il pericoloso System Security.

Scanner.av-best.info ti attira per infettare il tuo pc con il falso antispyware Anti-Virus Number-1
updated 12/03/2009 :
Perfectd-review.com ( Perfectdreview.com) è il sito responsabile di Perfect defender 2009
Browser-security.microsoft.com, Sysprotect.net , Spywprotect.com , Spwprotect2009.com , Antivirus-win.com (Antiviruswin.com ), Swp2009.com , Os-protection.com ( Osprotection.com ) : sono i siti del falso antivirus Spyware Protect 2009
updated 22/02/2009 :
Xp-police-09.com ( Xppolice09.com ) , Xp-police-engine.com (Xppoliceengine.com) scaricano immediatamente il falso antivirus XP Police Antivirus
updated 11/02/2009 :
Ancora nuovi siti che installano pericolosi falsi Antivirus e/o Antispyware
Questi siti installano il pericoloso Antivirus 2009 : Av-2009.com , Active-scanner.com , Advancedproscan.com , Advancedantivirusscan.com, Allprotectionscan.com , Allinone-scanner.com , Antispywareprolivescanner.com , Antispywareprolivescan.com (Antispywareonlineproscan.com , Antispyware-pro-live-scan.com ) , Antivirus-best.com , Antivirusfree-scan.com , Antivirus-scan-online.com, Antivirusonlinescanner.com, Antivirus-premiumscan.com , Antivirus-bestscanner.com , Antivirus-pc-scan.com, Anti-virusproscan.com (Anti-virus-pro-scan.com ) , Antivirus-live-scan.com , Anti-virus-defence.com , Anti-virusquickscan.com , Bestproscan.com, Bestantivirusquickscan.com , Best-antivirus-scanner.com , Bestantivirusdefense.com , Bestantivirusproscanner.com , Bestantispywaresecurityscan.com , Computerfastscanner.com, Computeronlinescan.com , Defence-live-scan.com , Fast-antiviruspro-scan.com ( Fastantivirusproscan.com ) , Freeantiviruswebscan.com , Internetquarantinesite.com, Internetprotectedweb.com , Live-antivirus-scan.com , liveantivirusprotectionscan.com Liteantispywarescanner.com , live-pc-antivirus-scan.com , Lite-anti-virus-scan.com, Pcantivirusscan.com , Pcantivirusscanner.com, Pcantivirusscanneronline.com , Prosecurity-audit.com , Protectionlive-scan.com, Pc-security-scanner.com, Pcsecurityscanner.com , Premiumlivescanner.com , Premiumlivevirusscanner.com , Powerfullantivirusscan.com , Protection-freescan.com , Premium-pc-scan.com , Professional-virus-scanner.com , Pro-scan-online.com , Pc-antispywarescanner.com , Royalproscan.com , Scan4.liveantivirusscanner.com, Securityfullscan.com , Securedonlinewebspace.com, Securedliveclicks.com , Viruslivescan.com , Virusandspywarescan.com

Scan-onlinefreee.com e Check-antivir-tool.net invece installano il falso antivirus WinSpywareProtect.
Protectionfastscanner.com , Antivirus-pro-scanner.com ( Anti-virus-pro-scanner.com ) , Bestantimalwarescanner.com , Fastantimalwarescanner.com , Onlineantivirus-scanner.com (Online-antivirusscanner.com), Online-antivirus.net , Onlinesecurity-scan.com (Onlinesecurity-scanner.com) , Onlinemalwarescanner.com , Online-antimalware-scanner.com , Secured-antivirus-scanner.com (Securedantivirusscanner.com) , Premium-antivirus-defence.com/promo/1/freescan.php (Premiumantivirusdefence.com) , premiumantiviruspcscan.com , Antiviruspowerfulscan.com scaricano Antivirus 360
PowerfulVirusRemover2008.com e Protectionfastscanner.com scaricano il falso antivirus VirusRemover2008
e questi , invece , sono i siti responsabili di Antivirus XP 2008: Novirusfreecheck.com , Win-spyware.com, Antivirus-world-2009.com.

Online-safe-way.com installa il pericoloso Antivirus Plus

Xppcenter.com , Xp-pcenter.com , Xp-p-center.com , Xpprotcenter.com , Xp-protcenter.com , Xp-prot-center.com , Xpprot-center.com , Xp-protectioncenter.com , Xpprotectioncenter.com , Xp-protection-center.com , sono tutti i domini registrati per scaricare lo stesso malware : XP Protection Center
upgrade-soft-ware-now.com scarica sul vs PC il trojan antivirus.v.1.exe , lo stesso di Avg-online-scanner.com
Domini con lo stesso indirizzo IP (conducono allo stesso sito web) :
Avg-online-scanner.com , Prof-virus-scanner.com , Sc-win-online-scanner.com , juga-tube.com , smart-tube.net , tube-ax.com , ox-tube.com , cool-tube.net , xxxtubeworld.com , bestcrackedkeys.com hanno tutti lo stesso IP e precisamente 74.50.117.68 che vi consiglio di bloccare ...(vedi Difendersi dai siti pericolosi con Peerguardian)

s-avirus2009.com: Sfruttando una errata impostazione dei browers , tenta di installare Smart Antivirus 2008,
Scanspywareonline.net , Scan.antispyware-freecheck.com sono responsabili della diffusione di Antispyware Pro 2009
Fastpcscan.com , Fastspycheck.com sono responsabili della diffusione di Wini Guard
Securesurface.com e Onlyiesettings.com attivano il download di Antivirus lab 2009
xpas-2009.com attiva il download di XP Antispyware 2009
Whatwashomepage.com/security/xp tenta di scaricare il falso antivirus : Antivirus Trigger

Av-pro-2009.com , Avproscan.com, Avmyscan.com , Av5scan.com , Av4snscan.com, Best4scan.com , Fusescan6.com / Fusescan6.info (Fuse6scan.com / Fuse6scan.info) , Gogoalscan.com , Goscanweb.com , Gomyscan.com , line4scan.info , Mysscan.com , New4scan.info , Pro4scan.com, Plusscan4.com, Scanav4.com (4scanav.com) , 5scanav.com, Scan6new.com scaricano sul pc il falso antivirus : InternetAntivirusPro.

Online-antivirus.net e Scanner-protection.com : diffondono il pericoloso Antimalware 2009.
Best-online-antivirus-scanner.info ti scarica sul PC Antivirus 2010
Sc.videofreeforonline.com è il sito di Total Secure 2009

Scanner.rapidantivirus.com e Rapidantivir.com , Rapidantivirus-2009.com , Rapidantivirus2009.com , Rapidantiviruslivescan.com invece ti propinano il falso antivirus RapidAntivirus

Sgviralscan.com scarica sul pc del malcapitato il falso antivirus :Spyware Guard 2008

Safesurfingpage.com/security/xp , Syshomepage.com/security/xp, Fronthomepagez.com/security/xp , Anotherdnserrorz.com/security e Renamehomepage.com/security/xp tentano di propinare Window Antivirus 2008 e Ultimate Antivirus, e , per tutta certezza , scarica sul pc del malcapitato virus molto pericolosi del calibro di W32.Myzor.FK@yf che infetta immediatamente tutti i flie .exe presenti sul vs pc.
Fa lo stesso 404mispage.com che però vi scarica il temibile ZLOB Trojan per poi invitarvi a scaricare uno dei due antivirus.

featured-content