Rootkit
La piaga del nuovo millennio.
Come riconoscerli e come eliminarli
Il rootkit piu insidioso dell'anno 2006. Come riconoscerlo e come rimuoverlo
Analisi e rimozione

Sinowal,un trojan che ha sottratto i dati di circa 300.000 conti online e 250.000 carte di credito

La società RSA ha annunciato alla veglia del salone InfoSec di parigi, che un cavallo di troja,di nome Mebroot (Torping , Sinowal..) sarebbe la minaccia piu preoccupante per i frequentatori del web.
Si tratterebbe del piu avanzato malware mai creato sostiene RSA. La bestiola scoperta nel 2006, in due anni ha già raccolto e rubato piu di 300.000 conti bancari, ed é stata classificata come la minaccia la piu seria e pericolosa per chi possiede una connessione ad internet, ha indicato la RSA all'antenna della BBC aggiungendo che i creatori del trojan sono particolarmente ben organizzati.
La stessa RSA dice aver trovato nel solo mese di settembre, diverse base dati con numerosi conti bancari via dei repertori non protetti appartenenti a diverse imprese.
Sembra che il malware sia riuscito a procurare problemi pure in Italia, anche se nel report di RSA non c'è traccia degli istituti di credito coinvolti.

Come agisce Sinowal?

Il malware và ad insiediarsi nell' MBR del disco fisso, in maniera tale che riesca ad autoavviarsi ogni volta che si accende il computer e ancora prima del caricamento del sistema operativo.
Il Sinowal Trojan sfrutta le vulnerabilità dei browser e dei diversi componenti della multimedialità sul web per attaccare i pc connessi ad internet.
Una volta insediatosi nell'MBR ( Master Boot Record ) non modifica né i file, né i settori della partizione su cui il sistema operativo risiede, ma inizia a copiare ed inserire il proprio codice in settori e tracce non utilizzati dal disco in modo da diventare invisibile e resistente anche al format del disco.
Dopo piu di 2 anni dalla sua scoperta,ancora non vi é una soluzione definitiva al problema, anche se ultimamente molti programmi di sicurezza cominciamo a segnalare le modifiche fatte dal malware.

Ricapitolando il trojan Sinowal é capace di :
Il suo operato é stato definito addirittura macchiavellico, in quanto, riesce a nascondersi con tecniche da rootkit e resta inoffensivo fin quando l'utente non lo attiva via l'URL di un sito bancario digitato nel proprio browser.
A quel punto un motore d'iniezione HTML entra in azione, ed aggiunge dei campi sulla pagina web visitata dall'utente, dove gli sarà richiesto di entrare password e altri dati che finiranno dritte dritte su un server controllato dai creatori del trojan.

Come riconoscerlo e come rimuoverlo.

Per verificare la presenza di questo malware, aprite l'utility di ricerca Windows
Start / Cerca / Tutti i file e le cartelle e digitate ibm000*.*
Se spuntano file come quelli che seguono vuol dire che siete infetti. altre segnalazioni in presenza del Sinowal.

Antivir segnala:



Gmer segnala:



Prevx segnala:




Quindi dopo aver verificato se siete infetti, passiamo alla rimozione:

Scaricate i tool necessari:
FASE 1
Esempio di log con MBR infetto:


Se siete in presenza di voci simili a quelle riportate sopra nel log, passiamo al ripristino dell'MBR.

Esempio di log con MBR ripristinato


Riavviate in modalità normale e siete apposto. Se proprio volete fare l'ultimo controllo rieseguite C:\mbr.exe da start / esegui e controllate che il log sia pulito

Esempio di log pulito:


*** Controlli per essere sicuri di aver eliminato la bestiaccia ***

1
Esempio di log pulito:


2

Esempio di log pulito:


Spero che vi siate sbarazzati di questa brutta bestiaccia...
Ricordo che per qualsiasi domanda o altro, il forum resta a vostra disposizione

Vai su
Welcome:
Mi chiamo Maurizio ed ho 30 anni. Ho fatto questo piccolo e semplice sito per aiutare gli amici del forum e per chiunque ne volesse usufruire .
Buona navigazione !!!
Guide