Sinowal,un trojan che ha sottratto i dati di circa 300.000 conti online

Sinowal,un trojan che ha sottratto i dati di circa 300.000 conti
online e 250.000 carte di credito
La società RSA ha annunciato alla veglia del salone InfoSec di parigi, che un cavallo di troja,di
nome Mebroot (Torping , Sinowal..) sarebbe la minaccia piu preoccupante per i frequentatori del
web.
Si tratterebbe del piu avanzato malware mai creato sostiene RSA. La bestiola scoperta nel 2006, in
due anni ha già raccolto e rubato piu di 300.000 conti bancari, ed é stata classificata come la
minaccia la piu seria e pericolosa per chi possiede una connessione ad internet, ha indicato la RSA
all'antenna della BBC aggiungendo che i creatori del trojan sono particolarmente ben organizzati.
La stessa RSA dice aver trovato nel solo mese di settembre, diverse base dati con numerosi conti
bancari via dei repertori non protetti appartenenti a diverse imprese.
Sembra che il malware sia riuscito a procurare problemi pure in Italia, anche se nel report di RSA
non c'è traccia degli istituti di credito coinvolti.
Come agisce Sinowal?
Il malware và ad insiediarsi nell' MBR del disco fisso, in maniera tale che riesca ad autoavviarsi
ogni volta che si accende il computer e ancora prima del caricamento del sistema operativo.
Il Sinowal Trojan sfrutta le vulnerabilità dei browser e dei diversi componenti della multimedialità
sul web per attaccare i pc connessi ad internet.
Una volta insediatosi nell'MBR ( Master Boot Record ) non modifica né i file, né i settori della
partizione su cui il sistema operativo risiede, ma inizia a copiare ed inserire il proprio codice in
settori e tracce non utilizzati dal disco in modo da diventare invisibile e resistente anche al format
del disco.
Dopo piu di 2 anni dalla sua scoperta,ancora non vi é una soluzione definitiva al problema, anche se
ultimamente molti programmi di sicurezza cominciamo a segnalare le modifiche fatte dal malware.
Ricapitolando il trojan Sinowal é capace di :





Scaricare altri malware
Registrare i tasti digitati
Collegarsi nel regitro di sistema
Monitorare le attività del sistema
Deviare la connessione dal vostro sito e-banking ad un falso sito creato ad hoc in modo da
recuperare i vostri dati
Il suo operato é stato definito addirittura macchiavellico, in quanto, riesce a nascondersi con
tecniche da rootkit e resta inoffensivo fin quando l'utente non lo attiva via l'URL di un sito bancario
digitato nel proprio browser.
A quel punto un motore d'iniezione HTML entra in azione, ed aggiunge dei campi sulla pagina web
visitata dall'utente, dove gli sarà richiesto di entrare password e altri dati che finiranno dritte dritte
su un server controllato dai creatori del trojan.
Come riconoscerlo e come rimuoverlo.
Per verificare la presenza di questo malware, aprite l'utility di ricerca Windows
Start / Cerca / Tutti i file e le cartelle e digitate ibm000*.*
Se spuntano file come quelli che seguono vuol dire che siete infetti.


ibm0000x.exe (cifre al posto della «x» ).
ibm0000x.dll (cifre al posto della «x» ).
altre segnalazioni in presenza del Sinowal.
Antivir segnala:
Gmer segnala:
Prevx segnala:
Quindi dopo aver verificato se siete infetti, passiamo alla rimozione:
Scaricate i tool necessari:



MBR rootkit detector
Norman Sinowal Cleaner
Symantec Trojan.Mebroot Removal Tool
FASE 1



Collocate MBR rootkit detector (mbr.exe) alla radice del disco (Es; C:\mbr.exe)
Riavviate il Pc in modalità provvisoria
Andate su Start / Esegui

digitate C:\mbr.exe e cliccate su OK per avviare il controllo e creare il log.
Esempio di log con MBR infetto:
Se siete in presenza di voci simili a quelle riportate sopra nel log, passiamo al ripristino dell'MBR.


Sempre da Start / Esegui,
questa volta digitate C:\mbr.exe -f e date l'ok.
Esempio di log con MBR ripristinato
Riavviate in modalità normale e siete apposto. Se proprio volete fare l'ultimo controllo rieseguite
C:\mbr.exe da start / esegui e controllate che il log sia pulito
Esempio di log pulito:
*** Controlli per essere sicuri di aver eliminato la bestiaccia ***
1




Avviate Norman Sinowal Cleaner
Accettate la licenza
In "scan areas" aggiungete i dischi/partizioni presenti sul pc
Cliccate infine su "start scan" e attendete la fine
Esempio di log pulito:
2




Doppio click su FixMebroot.exe
cliccate su I Accept
cliccate su "Start" e seguite le istruzioni
Al termine dello scan verrà creato il log dal nome FixMebroot.
Esempio di log pulito:
Spero che vi siate sbarazzati di questa brutta bestiaccia...
Ricordo che per qualsiasi domanda o altro, il forum resta a vostra disposizione