lunedì 9 luglio 2012

Come rilevare se il computer è stato infettato con DNS Changer?

 

Di seguito in dettaglio i controlli manuali, per verificare  se il computer è infettato con il malware DNS Changer.

 

STEP 1: Per controllare se la vostra macchina Windows XP è stata infettata, in primo luogo fate clic sul pulsante "Start".STEP1

 

STEP 2:  Facendo clic sul pulsante di avvio si apre il menu di Windows. Individuare l'opzione "Esegui" nel menu e
selezionarla.

Step2

 

STEP 3:  Nella finestra di dialogo, digitare "cmd",  (Si apre una shell DOS. Questo comando è disponibile in tutte le versioni di Windows).

step3

 

STEP 4 :   In DOS shell, digitare il comando: ipconfig / all premere  invio.

 step4

STEP 5 : Il comando inserito visualizza le informazioni sulle impostazioni di rete del computer. Leggendo  la riga che inizia con "Server DNS" . Ci dovrebbero essere due o più indirizzi IP elencati. Questi sono i server DNS utilizzati dal computer. Annotare questi numeri

step5

SONO STATO INFETTATO?

Verificate i numeri che avete annotato, se corrispondono ad un IP compreso nei range della tabella sottostante, allora il vostro computer è infetto. TRANQUILLI è possibile rimuovere l'infezione con lo strumento sviluppato da Avira.

 

Start IP

Ending IP

CIDR

85.255.112.0

85.255.127.255

85.255.112.0/20

67.210.0.0

67.210.15.255

67.210.0.0/20

93.188.160.0

93.188.167.255

93.188.160.0/21

77.67.83.0

77.67.83.255

77.67.83.0/24

213.109.64.0

213.109.79.255

213.109.64.0/20

64.28.176.0

64.28.191.255

64.28.176.0/20

È possibile verificare la presenza di DNSChanger all’interno del proprio sistema anche in modo automatico attraverso uno dei tanti tool messi a disposizione online, come ad esempio quello reso disponibile da DNSChanger.eu, da dcwg.org oppure attraverso DNS-Ok per gli utenti italiani. Nel caso il test rilevi la presenza del trojan, rimuovetelo con lo strumento messo a disposizione da AVIRA

UN PO DI STORIA : La storia comincia nel novembre scorso quando l'Fbi annuncia di aver sgominato una pericolossima centrale di hacker che opera dalla Russia agli Stati Uniti, passando per l'Europa. I banditi sono riusciti a impossessassarsi di oltre quattro milioni di computer in tutto il mondo, infettandoli con un virus e mettendo su un'associazione criminale da 14 milioni di dollari. Non si tratta però di un 'semplice' virus. In questo caso il malware si chiama DnsChanger perché cambia appunto l'indirizzo Dns: in pratica il computer colpito naviga su un internet parallela disegnata dagli hacker in cui i siti non sono quello che appaiono. L'utente non si accorge di nulla perchè è in grado di raggiungere esattamente quello che sta cercando in rete, ma in realtà viene immediatamente dirottato su server gestiti da criminali informatici. Una volta scoperta la trama del "gioco", l'Fbi è stata costretta a 'ricostruire' il mondo internet dei computer infetti, mettendo in piedi una serie di server alternativi che impediscono ai pc colpiti di navigare sul web pirata. Una misura temporanea, decisa dal tribunale di New York (perché da qui parte l'operazione anti-pirateria) che finisce proprio oggi, lunedì 9 luglio.
Cosa accadrà? Da questo momento in poi, insomma, i computer colpiti da DnsChanger non saranno più protetti e dirottati su l'"altra" Internet, quella "sana". Ma anche i siti pirata nel frattempo sono stati bloccati, quindi non sarà utilizzabile neanche la rete "hackerata". Quali saranno le conseguenze di questa empasseinformatica? Per la maggior parte dei computer collegati alla rete, tutto continuerà senza problemi. I computer interessati da DnsChanger sono circa l'1 per mille. Ma per i loro possessori oggi navigare potrebbe diventare un vero incubo. Meglio premunirsi per tempo verificando di non essere infetti leggendo il mio Articolo.

Arrivederci al prossimo Articolo

Michele Balzano

martedì 17 aprile 2012

mail spam check


Per lavoro sono costretto ad utilizzare Microsoft Outlook 2003, non la versione Express, ma quella contenuta nel pacchetto Microsoft Office 2003, purtroppo questo software non permette di visualizzare le intestazioni del’e-mail, cioè quei campi che ci raccontano la “storia” del messaggio.

Intestazioni di una e-mail
Intestazioni di una e-mail
Io voglio vederle in alcuni casi, per sapere ad esempio il reale mittente della mail o l’orario vero in cui è stata inviata; ma Outlook non mi permette di vederlo in modo semplice, o meglio il metodo ci sarebbe:
Dopo aver aperto con un doppio click l’email, selezionare il menu Visualizza >Opzioni…
Ma normalmente, questo campo è desolatamente vuoto, perché Microsoft Outlook, dalla versione 2003, non memorizza di default gli header, ma piuttosto li cancella!
Esiste però un modo semplice per attivarle, è necessario lanciare (da Start > Esegui) il comando “regedit“, quindi sfoglia tutto l’albero delle proprietà, secondo questo percorso:
HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Outlook\Options\Mail
Percorso da seguire
Percorso da seguire
Quindi con il tasto destro creare una nuova chiave, chiamarla “SaveAllMIMENotJustHeaders“, come valore inserisci 1 e riavvia Outlook.

Tasto destro, Nuovo, DWORD

Il risultato
Una volta riavviato Outlook, dal menu Visualizza > Opzioni… appariranno, finalmente, le intestazioni vere e proprie!

venerdì 6 aprile 2012

rimuovere il virus per Mac - Flashback


Si avete letto bene il titolo del post... 

VIRUS PER MAC


La falla è situala nel client Java 1.60.0_29 e permette ad una applet di eseguire codice arbitrario anche al di fuori della sandbox Java; ciò si traduce nella possibilità per la nuova versione del malware di installarsi nel sistema anche senza richiedere alcuna convalida da parte dell’utente. 
Una volta preso possesso di una macchina Mac, Flashback è in grado di carpire informazioni dal sistema e di inviare i dati ad un server remoto, ponendo così le basi per una sottrazione indebita di dati, che nel caso di macchine collegate alla rete aziendale, possono essere particolarmente sensibili. Nonostante l’ampio spettro di macchine infette, ben il 57% dei sistemi compromessi sembrano comunque risiedere – secondo F-Secure – all’interno degli Stati Uniti, relegando la percentuale di pericolo per l’Italia ad un contenuto 0,3%.
Nell’impossibilità di compiere l’aggiornamento rilasciato da Apple, è consigliabile disabilitare il motore Java delle macchine potenzialmente vulnerabili. Se la vulnerabilità fosse già stata scoperta dal malware, F-Secure suggerisce le operazioni per "Guarire il Mac" :


  1. lanciare la seguente riga di comando “defaults read /Applications/Safari.app/Contents/Info LSEnvironment”
  2. Annotare i codici DYLD_INSERT_LIBRARIES e cliccare su invio
  3. Nel caso si riceva un messaggio tipo “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist” allora il pc è integro
  4. Se il malware viene trovato, invece, bisogna scrivere “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto_2% ”
  5. Annotarsi il valore che compare accanto a “__ldpath__”
  6. A questo punto eseguire i comandi “sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment” e “sudo chmod 644 /Applications/Safari.app/Contents/Info.plist”
  7. Cancellare i file trovati nel punto 2 e 5
  8. Ora eseguire il comando “defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES”
  9. Se si riceve un messaggio tipo “The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist” il trojan è stato correttamente rimosso.
  10. In caso contrario bisogna eseguire di nuovo il comando “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto 4% “
  11. Prendere nota dei valori ottenuti
  12. Eseguire i comandi “defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES”  e “launchctl unsetenv DYLD_INSERT_LIBRARIES”
  13. Ora cancellare i file indicati nei punti precedenti.
 Arrivederci al prossimo articolo
Michele Balzano



mercoledì 4 aprile 2012

Nascondere documenti e informazioni in una immagine formato JPG

Salve a tutti, in questo tutorial vi dirò come nascondere dei documenti, delle informazioni in una immagine in formato "jpg". Qualche tempo fa alcuni giornalisti Americani affermarono che i terroristi scambiavano le loro informazioni nelle aste di Ebay, nascondendole nelle immagini jpg. messaggi_criptatiPer tutti i curiosi ecco come fare. Bisogna avere come software "winRar" e naturalmente una immagine jpg che potete creare in un attimo con Paint. Iniziamo con inserire il documento da nascondere in un archivio rar.
Apriamo il prompt dei comadi con Start--> esegui e digitando cmd.

image
Nella schermata dei prompt diamo questo semplice comando: image

copy /b “c:\nome_file.jpg” + “c:\nome_file.rar” “c:\nuovo_file.jpg”

Quindi se ad esempio l'archivo da nascondere e la img che dovrà portare il file, si trovano

in c:\ digiteremo:

copy /b “c:\nome_file.jpg” + “c:\nome_file.rar” “c:\nuovo_file.jpg”

vedremo cosi che in c:\ verrà creato il file
nuovo_file.jpg che potrà essere visualizzato normalmente come qualsiasi altra immagine.

Per visualizzare nuovamente il file nascosto vi basterà rinominarlo da jpg in rar, e vedremo comparire il nostro file in formato rar, dezippiamo ed estraiamo cosi il contenuto nascosto.

Arrivederci al prossimo articolo

Michele Balzano

martedì 3 aprile 2012

virus guardia di finanza eliminazione definitiva

Ho ricevuto diverse segnalazioni relativamente al mio articolo dove descrivevo come eliminare il Virus "Guardia di Finanza"/"Polizia di Stato" in cui mi segnalate l'inefficienza della procedura. Ho verificato io stesso ed effettivamente in alcuni casi non ha funzionato.
Ho quindi sviluppato una nuova procedura che ha risolto positivamente su tutti i sistemi dove non aveva funzionato la prima procedura.


Di seguito vi descrivo la procedura :
Scaricate AVIRA RESCUE DISK  create il cd-live di kaspersky. Avviate con il CD inserito, ma invece di eseguire lo scan, lanciate sul desktop l'editor di registro, quindi controllare nelle seguenti voci :   (Fig.1)


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
Fig.1



dovreste trovare un file posto in  (Fig.2)




C:\windows\system32 che inizia con o. _______.exe

Fig.2



cambiate l'estensione da .exe a .BAM salvate.  (Fig.3)
Fig.3


Riavviate il PC.


Arrivederci al prossimo Articolo
Michele Balzano

Post più popolari