Informatica – Tatanga, il trojan che ruba i dati sensibili

(1 commento) | Commenta | Inserito il lug 6, 2011 in Blog, Informatica e Web

E’ trascorso del tempo dall’ultima segnalazione di un virus/trojan e non perchè in questo periodo non ce ne siano stati o siano andati in vacanza ma per un altro motivo, di virus ce ne sono così tanti che è praticamente impossibile segnalarli tutti ma ritorno ora su questo argomento perchè il trojan che andrò a segnalare è più subdolo degli altri e se non si sta attenti può generare e far nascere molti molti problemi.

Tatanga è il suo nome ed è stato avvistato in questo ultimo periodo, in particolare nel mese di giugno del 2011.

E’ un trojan che intercetta le comunicazioni finanziarie tra l’utente e i siti dotati di certificati SSL e protocolli HTTPS rubando così i dati di carte di credito, importi e tutto quello che serve per effettuare acquisti tramite internet.

Faccio un passo indietro prima di parlare del trojan. Cosa è un certificato SSL? SSL è l’acronimo di Security Sockets Layer e sta a indicare che le comunicazioni con il sito visitato vengono cifrate attraverso un algoritmo. Questo rende un po’ più sicura l’immissione dei cosiddetti dati sensibili: nome, numero carta di credito, ecc.

Quando pensiamo o ci troviamo di fronte a un sito con queste caratteristiche si pensa di essere al sicuro e invece non è così. Di chi è la colpa? Proprio di Tatanga che riesce in qualche modo a intrufolarsi tra noi e il sito dove stiamo effettuando acquisti e infetta il nostro computer oltre che inviare i nostri dati a server sfruttati dai pirati informatici.

Non ci si accorge direttamente di essere stati infettati ma con la procedura che di seguito vado a illustrare si può prendere atto dell’infezione e porre rimedio eliminando il trojan dal nostro computer.

Procedura di rimozione di Tatanga:

1. Disattivare momentaneamente il ripristino configurazione di sistema. Per svolgere questa operazione andare su Start → Impostazioni → Pannello di controllo → Sistema e selezionare Ripristino configurazione di sistema, disattivarlo e premere Applica.

2. Visualizzare le chiavi infette del registro. Andare su Start → Esegui e digitare regedit e premere Invio. Selezionare la chiave:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion

e osservare se all’interno ci siano le cartelle Driversx e Driversx64, in queste due cartelle se presenti file di libreria .Dll, in particolare se ci sono d.dll, a.dll, n.dll, o,dll e p.dll vuol dire che siamo stati infettati da Tatanga!

3. Non solo, se in

HKEY_CURRENT_USER\Software\Microsoft\Windows\RunOnce è presente un file di nome report.exe allora l’infezione è assicurata!

4. Per rimuovere il trojan basta bloccare e terminare i processi che lo azionano attraverso il Task Manager (Ctrl+Alt+Canc). Terminare il processo, con il tasto destro del mouse, explorer.exe.
Non spaventatevi! Le icone del desktop scompariranno momentaneamente.

Eseguito questo passaggio ritornare alla chiave:

HKEY_CURRENT_USER\Software\Microsoft\Windows\RunOnce

e cancellare le voci che puntano a report.exe

5. Lo stesso procedimento va eseguito all’interno della chiave

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersione

nelle cartelle indicate in precedenza (Driversx e Driversx64).

6. Ritorniamo ora al Task Manager e clicchiamo su File/Nuova operazione (esegui) e scriviamo explorer.
Le icone compariranno e il trojan sarà stato eliminato!

Per rimuoverlo anche fisicamente dal computer cancellare il file report.exe da

C:\Documets and settings\\Dati applicazioni\Microsoft\Internet Explorer\report.exe

E il gioco è fatto! ;)

Scritto da Mac La Mente

Tags : , , , ,