LinkOptimizer: come prevenirlo

In questo ultimo periodo si fa un gran parlare di Gromozon alias LinkOptimizer. Nei forum, nei blog e nei siti specializzati in sicurezza informatica ci sono migliaia di richieste d’aiuto di utenti che hanno contratto il virus e che non riescono a debellarlo.

Anche noi abbiamo trattato questo tema, presentando alcuni tutorial su come funziona il trojan e su come si deve procedere per la sua rimozione
Ma c’è un altro aspetto importante da non sottovalutare, oltre a conoscere il nemico e come eliminarlo: come prevenire la sua intrusione.

Gromozon, che prende il nome dal dominio originale da cui parte l’infezione, ha fatto la propria comparsa nel maggio del 2006.
Dopo le prime notizie dell’arrivo di questo nuovo fenomeno si capì come il trojan, estremamente complesso, fosse composto di più parti: un sito web maligno che tramite javascript installava il trojan; lo sfruttamento di alcune vulnerabilità del sistema; alcune librerie (dll) che a loro volta eseguivano il download della parte “rootkit”; un servizio di Windows e per concludere l’adware LinkOptimizer.

Come dicevamo, il trojan sfrutta diverse vulnerabilità di Windows, vulnerabilità già corrette da Microsoft, ma che molto probabilmente moltissimi utenti non hanno installato, visto il numero elevatissimo delle infezioni.

Procediamo quindi, se non l’abbiamo già fatto, ad aggiornare il sistema per correggere le falle che Gromozon sfrutta.

Microsoft Internet Explorer Modal Dialog Zone Bypass Vulnerability (Bollettino di sicurezza MS04-025)
Microsoft Java Virtual Machine Bytecode Verifier Vulnerability (Bollettino di sicurezza MS03-011)
Microsoft Windows Media Player Plugin Buffer Overflow Vulnerability (Bollettino di sicurezza MS06-006)
Microsoft WMF Remote Code Execution Vulnerability (Bollettino di sicurezza MS06-001)
Microsoft Internet Explorer CreateTextRange Remote Code Execution Vulnerability (Bollettino di sicurezza MS06-013)
Microsoft Internet Explorer VML Remote Code Execution Vulnerability (Bollettino di sicurezza MS06-055)
Microsoft Window Explorer WebViewFolderIcon Remote Code Execution Vulnerability (Bollettino di sicurezza MS06-057)

Dopo aver installato le patch per il sistema operativo e per il browser utilizzato, possiamo dire di aver fatto un bel passo in avanti nella sicurezza del nostro sistema.

Ora passiamo ad alcuni sistemi che possono prevenire ulteriormente l’infezione:

1) Utilizzo del file hosts

Il file Hosts è un semplice file di testo che contiene una lunga lista di siti o server web che desideriamo bloccare.
Il file Hosts contiene una mappa di IP e host name. Questo file viene caricato in memoria all’avvio, consentendo a Windows di verificare l’esistenza di un IP al suo interno prima di effettuare la ricerca per la risoluzione presso i server DNS.
Quando noi digitiamo l’indirizzo di un sito nella barra degli indirizzi del nostro browser, il sistema cerca di risolvere l’indirizzo appena inserito, attraverso il server DNS, in un indirizzo numerico chiamato indirizzo ip, per potersi collegare ad esso.
Per velocizzare l’operazione di “traduzione” da indirizzo alfabetico ad indirizzo numerico, il sistema per prima cosa controllerà che tale indirizzo non sia già stato risolto e salvato in un apposito file, il file Hosts appunto.
Il file Hosts servirebbe, quindi, per velocizzare l’operazione di “trasformazione” dell’indirizzo appena cercato. Questo file, negli ultimi anni, ha però assunto un altro importante utilizzo, bloccare la risoluzione di certi indirizzi e di conseguenza rendere irraggiungibili certi siti internet.
Per bloccare la visione di una serie di siti ci basterà inserire nel file hosts del nostro pc l’indirizzo ip della nostra macchina e il sito che desideriamo non possa essere visto.

La dicitura sarà la seguente:
127.0.0.1 sitobloccato

L’indirizzo che abbiamo inserito prima del nome del sito è l’indirizzo di local hosts, ovvero l’ip del nostro pc.

L’idea di fondo quindi è quella di bloccare, attraverso l’uso del file host, i siti che fanno riferimento a Gromozon, nel tentativo di renderli irraggiungibili al nostro sistema.
Per “manipolare” il file host, se non desiderate eseguire a mano l’opera di importazione degli host, ci vengono in aiuto utility specifiche come Hostess o Hostsman. Pianetapc.it ha riunito in un unico file tutti gli host segnalati come “affiliati” all’infezione di LinkOptimizer. Per usare questa lista è sufficiente scaricarla da qui ed importarla nel sistema con l’uso di uno dei programmi citati.

2) Uso della zona di sicurezza “siti con restrizioni”

In questa area sono inclusi i siti Web non ritenuti attendibili. Quando si aggiunge un sito Web all’area Siti con restrizioni, si ritiene che i file scaricati o eseguiti dal sito Web possano danneggiare il computer o i dati. Per impostazione predefinita, all’area Siti con restrizioni non sono assegnati siti e il livello di protezione è impostato su Alta.
L’impostazione su Alta di quest’area impedisce ai siti che vi sono inseriti di eseguire controlli ActiveX, applicazioni java, java script, effettuare il download di file ecc ecc
Per importare e gestire gli host in quest’area possiamo usare un’interessante e comoda utility ZonedOut.
Pianetapc.it ha realizzato un file che può essere importato nel sistema con questa utility, che blocca migliaia di host pericolosi fra cui anche i siti internet relativi a Gromozon.
Per scaricare il file è sufficiente cliccare qui.

3) Uso di un firewall

L’uso di un firewall, indipendentemente da LinkOptimizer, è senza dubbio essenziale al giorno d’oggi.

Abbiamo predisposto una lunga lista contenente svariati indirizzi ip. Questo file può essere utilizzato con il plug-ins Blockpost per il firewall Outpost di Agnitum.
Questo plug-ins consente di bloccare gli indirizzo ip in esso contenuti impedendo al browser di visitare detti siti e di fatto impedendo il transito di dati verso il nostro sistema.
Anche in questo caso la lista che abbiamo creato contiene gli host che Gromozon utilizza per diffondersi.

Per maggiori dettagli e per scaricare il file fate riferimento al nostro forum.

Fonte : Pianeta pc