Buon 2007 a tutti!

Auguro a tutti un felice nuovo anno!

Questo è l’ultimo post del 2006!

 

Nuove versioni di postcard.exe

Sono state rilevate nuove varianti della mail con allegato postcard.exe, segnalata ieri.

I cambiamenti interessano principalmente il nome dell’eseguibile in quanto il soggetto, in alcune e-mail, è rimasto intatto. Questi sono i nuovi nomi dell’allegato:

  • postcard.exe
  • Postcard.exe
  • greeting card.exe
  • Greeting Card.exe
  • greeting postcard.exe
  • Greeting Postcard.exe

Il soggetto può cambiare con un alto numero di possibilità.
Riporto una lista parziale:

  • Annual Fun Forecast!
  • Baby New Year!
  • Best Wishes For A Happy New Year!
  • Fun 2007!
  • Fun Filled New Year!
  • Happiness And Continued Success!
  • Happiness And Success!
  • Happiness In Everything!
  • Happy 2007!
  • Happy New Year!
  • Happy Times And Happy Memories!
  • May Your Dreams Come True!
  • New Hopes And New Beginnings!
  • New Year… Happy Year!
  • Promises Of Happy Times!
  • Raising A Toast To Happy Times!
  • Scale Greater Heights!
  • Sparkling Happiness And Good Times!
  • Warm New Year Hug!
  • Warmest Wishes For New Year!
  • Welcome 2007!
  • Wish You Smiles And Good Cheer!
  • Wishing You Happiness!
  • Wishing You Happy New Year!
 

I costi per la protezione dei contenuti su Windows Vista

A pochi giorni dall’uscita di Windows Vista, prevista per il 30 Gennaio 2007, Peter Guttman, un ricercatore in sicurezza al dipartimento di scienza dell’informazione all’Università della Nuova Zelanda, ha scritto un documento intitolato: A Cost Analysis of Windows Vista Content Protection.
In questo documento, del quale vi consiglio la lettura, vengono analizzate le nuove tecnologie introdotte in Windows Vista a riguardo della protezione dei contenuti mediante DRM, niente di nuovo per chi ha seguito lo sviluppo tecnico del nuovo sistema operativo, ma sicuramente un buon riassunto tecnico.

Riporto alcuni estratti dall’analisi fatta da Guttman:

Since S/PDIF doesn’t provide any content protection, Vista requires that it be disabled when playing protected content [Note D]. In other words if you’ve sunk a pile of money into a high-end audio setup fed from an S/PDIF digital output, you won’t be able to use it with protected content.

[…]

So if you’re using an expensive new LCD display fed from a high-quality DVI signal on your video card and there’s protected content present, the picture you’re going to see will be, as the spec puts it, “slightly fuzzy”, a bit like a 10-year-old CRT monitor that you picked up for $2 at a yard sale.

[…]

Most hardware vendors have (thankfully) moved to unified driver models instead of the plethora of individual drivers that abounded some years ago. Since HFS requires unique identification and handling of not just each device type (for example each graphics chip) but each variant of each device type (for example each stepping of each graphics chip) to handle the situation where a problem is found with one variation of a device, it’s no longer possible to create one-size-fits-all drivers for an entire range of devices like the current Catalyst/Detonator/ForceWare drivers. Every little variation of every device type out there must now be individually accommodated in custom code in order for the HFS process to be fully effective.

Siamo arrivati al punto che se la scheda video, usata per vedere contenuti ad alta definizione da supporti HD-DVD/Blu-Ray, non ha passato i controlli di “genuinità”, di Vista, la qualità video sarà volontariamente deteriorata.
In più i problemi si pongono con “vecchie” schede video supportate da quei pacchetti All-in-One (come Catalyst per ATI) in quanto sarà necessario svillupare un apposito driver per ogni diverso chip grafico.

Cosa succederà alle schede video con driver non più sviluppati perchè ormai “fuori mercato”?

“The Vista Content Protection specification could very well constitute the longest suicide note in history” – Peter Guttman

 

Nuovi url redirects per Phishers e Spammer

Stanno girando da qualche giorno e-mail di phishing e di spam che usano url redirects non conosciuti pubblicamente.
In questo caso non si può parlare di solo spam in quanto vengono utilizzate anche tecniche da Phishers. E’ facile, comunque , distinguere e-mail contenenti link a siti Web, che tentano di rubare i dati di accesso a siti di e-commerce come PayPal e quelle che tentano di pubblicizzare siti Web con in vendita prodotti farmaceutici.

Il primo url redirects è segnalato da ha.ckers.org e si trova su google.com: http://www.google.com/pagead/iclk?sa=l&…

Il secondo l’ho ricevuto personalmente e si trova su un sotto dominio di excite.com: http://msxml.excite.com/info.xcite/clickit/search?r_aid=…

Ho notato che è tornato anche in voga, per e-mail di spam, un vecchio url redirects (usato per molti attacchi phishing) presente sulla maggior parte dei domini di Google: http://www.google.{com,it,sa,ca,ie,rm…}/url?q=…

ps: non ho, volutamente, riportato le url intere.

 

Auguri a tutti! Attenzione però ai worm [updated]

christimas.exe Auguro un buon Natale e un felice anno nuovo a tutti i lettori.

Tra le tantissime e-mail di auguri che stanno girando in queste ore ne sono state avvistate, da F-Secure, alcune pericolose contenti worm.

La prima è stata avvistata con allegato un file denominato CHRISTMAS.EXE. Questa variante di IRCBot, una volta aperta oltre a mostrare un’immagine natalizia tenta di scaricare del codice eseguibile da due domini: waiguadown.008.net e user.free.77169.net.

La seconda è stata avvistata con allegato un file denominato Christmas_Puzzle.exe. Questa backdoor una volta installatasi nel sistema si nasconde dentro di esso attarverso un rootkit. Al momento dell’apertura dell’eseguibile viene visualizzato un puzzle natalizio.

La terza è stata avvistata con allegato un file denominato Christmas+Blessing-4.ppt. Questo, il più pericoloso dei tre, si nasconde dentro una innocente presentazione PowerPoint di natale grazie ad alla vulnerabilità MS06-012 del pacchetto Office.

Aggiornamento:  una nuova email sta girando dalla notte tra il 28 e 29 Dicembre. Il soggetto dell’e-mail è “Happy New Year” , non contiene testo ma solo un allegato eseguibile dal nome “postcard.exe”. Alcuni tra i più noti Anti-Virus hanno le definizioni per questo file. Del comportamento dell’allegato una volta eseguito si sa poco, l’unica cosa certa è che tenta di autospedirsi ad altre email. (Via ISC)