Sinowal,un trojan che ha sottratto i dati di circa 300.000 conti online
Transcript
Sinowal,un trojan che ha sottratto i dati di circa 300.000 conti online
Sinowal,un trojan che ha sottratto i dati di circa 300.000 conti online e 250.000 carte di credito La società RSA ha annunciato alla veglia del salone InfoSec di parigi, che un cavallo di troja,di nome Mebroot (Torping , Sinowal..) sarebbe la minaccia piu preoccupante per i frequentatori del web. Si tratterebbe del piu avanzato malware mai creato sostiene RSA. La bestiola scoperta nel 2006, in due anni ha già raccolto e rubato piu di 300.000 conti bancari, ed é stata classificata come la minaccia la piu seria e pericolosa per chi possiede una connessione ad internet, ha indicato la RSA all'antenna della BBC aggiungendo che i creatori del trojan sono particolarmente ben organizzati. La stessa RSA dice aver trovato nel solo mese di settembre, diverse base dati con numerosi conti bancari via dei repertori non protetti appartenenti a diverse imprese. Sembra che il malware sia riuscito a procurare problemi pure in Italia, anche se nel report di RSA non c'è traccia degli istituti di credito coinvolti. Come agisce Sinowal? Il malware và ad insiediarsi nell' MBR del disco fisso, in maniera tale che riesca ad autoavviarsi ogni volta che si accende il computer e ancora prima del caricamento del sistema operativo. Il Sinowal Trojan sfrutta le vulnerabilità dei browser e dei diversi componenti della multimedialità sul web per attaccare i pc connessi ad internet. Una volta insediatosi nell'MBR ( Master Boot Record ) non modifica né i file, né i settori della partizione su cui il sistema operativo risiede, ma inizia a copiare ed inserire il proprio codice in settori e tracce non utilizzati dal disco in modo da diventare invisibile e resistente anche al format del disco. Dopo piu di 2 anni dalla sua scoperta,ancora non vi é una soluzione definitiva al problema, anche se ultimamente molti programmi di sicurezza cominciamo a segnalare le modifiche fatte dal malware. Ricapitolando il trojan Sinowal é capace di : Scaricare altri malware Registrare i tasti digitati Collegarsi nel regitro di sistema Monitorare le attività del sistema Deviare la connessione dal vostro sito e-banking ad un falso sito creato ad hoc in modo da recuperare i vostri dati Il suo operato é stato definito addirittura macchiavellico, in quanto, riesce a nascondersi con tecniche da rootkit e resta inoffensivo fin quando l'utente non lo attiva via l'URL di un sito bancario digitato nel proprio browser. A quel punto un motore d'iniezione HTML entra in azione, ed aggiunge dei campi sulla pagina web visitata dall'utente, dove gli sarà richiesto di entrare password e altri dati che finiranno dritte dritte su un server controllato dai creatori del trojan. Come riconoscerlo e come rimuoverlo. Per verificare la presenza di questo malware, aprite l'utility di ricerca Windows Start / Cerca / Tutti i file e le cartelle e digitate ibm000*.* Se spuntano file come quelli che seguono vuol dire che siete infetti. ibm0000x.exe (cifre al posto della «x» ). ibm0000x.dll (cifre al posto della «x» ). altre segnalazioni in presenza del Sinowal. Antivir segnala: Gmer segnala: Prevx segnala: Quindi dopo aver verificato se siete infetti, passiamo alla rimozione: Scaricate i tool necessari: MBR rootkit detector Norman Sinowal Cleaner Symantec Trojan.Mebroot Removal Tool FASE 1 Collocate MBR rootkit detector (mbr.exe) alla radice del disco (Es; C:\mbr.exe) Riavviate il Pc in modalità provvisoria Andate su Start / Esegui digitate C:\mbr.exe e cliccate su OK per avviare il controllo e creare il log. Esempio di log con MBR infetto: Se siete in presenza di voci simili a quelle riportate sopra nel log, passiamo al ripristino dell'MBR. Sempre da Start / Esegui, questa volta digitate C:\mbr.exe -f e date l'ok. Esempio di log con MBR ripristinato Riavviate in modalità normale e siete apposto. Se proprio volete fare l'ultimo controllo rieseguite C:\mbr.exe da start / esegui e controllate che il log sia pulito Esempio di log pulito: *** Controlli per essere sicuri di aver eliminato la bestiaccia *** 1 Avviate Norman Sinowal Cleaner Accettate la licenza In "scan areas" aggiungete i dischi/partizioni presenti sul pc Cliccate infine su "start scan" e attendete la fine Esempio di log pulito: 2 Doppio click su FixMebroot.exe cliccate su I Accept cliccate su "Start" e seguite le istruzioni Al termine dello scan verrà creato il log dal nome FixMebroot. Esempio di log pulito: Spero che vi siate sbarazzati di questa brutta bestiaccia... Ricordo che per qualsiasi domanda o altro, il forum resta a vostra disposizione