Informatica – Tatanga, il trojan che ruba i dati sensibili

(1 commento) | Commenta | Inserito il lug 6, 2011 in Blog, Informatica e Web

E’ trascorso del tempo dall’ultima segnalazione di un virus/trojan e non perchè in questo periodo non ce ne siano stati o siano andati in vacanza ma per un altro motivo, di virus ce ne sono così tanti che è praticamente impossibile segnalarli tutti ma ritorno ora su questo argomento perchè il trojan che andrò a segnalare è più subdolo degli altri e se non si sta attenti può generare e far nascere molti molti problemi.

Tatanga è il suo nome ed è stato avvistato in questo ultimo periodo, in particolare nel mese di giugno del 2011.

E’ un trojan che intercetta le comunicazioni finanziarie tra l’utente e i siti dotati di certificati SSL e protocolli HTTPS rubando così i dati di carte di credito, importi e tutto quello che serve per effettuare acquisti tramite internet.

Faccio un passo indietro prima di parlare del trojan. Cosa è un certificato SSL? SSL è l’acronimo di Security Sockets Layer e sta a indicare che le comunicazioni con il sito visitato vengono cifrate attraverso un algoritmo. Questo rende un po’ più sicura l’immissione dei cosiddetti dati sensibili: nome, numero carta di credito, ecc.

Quando pensiamo o ci troviamo di fronte a un sito con queste caratteristiche si pensa di essere al sicuro e invece non è così. Di chi è la colpa? Proprio di Tatanga che riesce in qualche modo a intrufolarsi tra noi e il sito dove stiamo effettuando acquisti e infetta il nostro computer oltre che inviare i nostri dati a server sfruttati dai pirati informatici.

Non ci si accorge direttamente di essere stati infettati ma con la procedura che di seguito vado a illustrare si può prendere atto dell’infezione e porre rimedio eliminando il trojan dal nostro computer.

Procedura di rimozione di Tatanga:

1. Disattivare momentaneamente il ripristino configurazione di sistema. Per svolgere questa operazione andare su Start → Impostazioni → Pannello di controllo → Sistema e selezionare Ripristino configurazione di sistema, disattivarlo e premere Applica.

2. Visualizzare le chiavi infette del registro. Andare su Start → Esegui e digitare regedit e premere Invio. Selezionare la chiave:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion

e osservare se all’interno ci siano le cartelle Driversx e Driversx64, in queste due cartelle se presenti file di libreria .Dll, in particolare se ci sono d.dll, a.dll, n.dll, o,dll e p.dll vuol dire che siamo stati infettati da Tatanga!

3. Non solo, se in

HKEY_CURRENT_USER\Software\Microsoft\Windows\RunOnce è presente un file di nome report.exe allora l’infezione è assicurata!

4. Per rimuovere il trojan basta bloccare e terminare i processi che lo azionano attraverso il Task Manager (Ctrl+Alt+Canc). Terminare il processo, con il tasto destro del mouse, explorer.exe.
Non spaventatevi! Le icone del desktop scompariranno momentaneamente.

Eseguito questo passaggio ritornare alla chiave:

HKEY_CURRENT_USER\Software\Microsoft\Windows\RunOnce

e cancellare le voci che puntano a report.exe

5. Lo stesso procedimento va eseguito all’interno della chiave

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersione

nelle cartelle indicate in precedenza (Driversx e Driversx64).

6. Ritorniamo ora al Task Manager e clicchiamo su File/Nuova operazione (esegui) e scriviamo explorer.
Le icone compariranno e il trojan sarà stato eliminato!

Per rimuoverlo anche fisicamente dal computer cancellare il file report.exe da

C:\Documets and settings\\Dati applicazioni\Microsoft\Internet Explorer\report.exe

E il gioco è fatto! ;)

Scritto da Mac La Mente

Tags : , , , ,

 

Informatica – Clampi, il trojan che ruba ai ricchi

(1 commento) | Commenta | Inserito il feb 25, 2010 in Blog, Informatica e Web

E ritorno anche questo mese a parlare di un argomento che mi sta molto a cuore e che credo interessi alla maggior parte delle persone che quotidianamente e per molte ore al giorno hanno a che fare con il computer: i virus.

In questo articolo voglio parlare di Clampi, il trojan che ruba ai ricchi e non solo – non è un Robin Hood – tutti sono potenziali vittime.

Clampi è conosciuto anche con altri nomi: Ligats, Llomo, Rscan, Win32/Ilomo.bc ecc., questo perchè è un conoscente di vecchia data infatti esiste dal 2008. Da allora ha infettato e creato problemi a una quantità enorme di pc (si parla di 500.000 computer infettati e 4.500 siti web sparsi in tutto il mondo).

Ma quali sono gli obiettivi di Clampi? I suoi obiettivi sono comuni a quelli di altri trojan: infettare il pc e impadronirsi di nascosto di tutti i dati sensibili: carte di credito, codici di accesso per i servizi di banking o semplicemente per i negozi di shopping on-line oltre che, naturalmente, di informazioni ancor più personali.
L’infezione con questo tipo di virus avviene attraverso la navigazione di siti poco sicuri, l’apertura di video con il Flash Player o tramite vulnerabilità degli Active X presenti nel computer e non aggiornati all’ultima versione.

E’ difficile scoprirlo, si mimetizza molto bene tra i file temporanei di Windows nella cartella C:\Users\[Nome coputer]\AppData\Local\Temp ma anche nella cartella i sistema C:\Windows\System.

Qui di seguito inserisco i procedimenti necessari alla sua rimozione. Sarà necessario compiere un’operazione diversa rispetto agli altri trojan, worm e virus segnalati fino a questo momento. Un’operazione molto importante.

Procedimenti per rimuovere il trojan Clampi:

Importante: Prima di iniziare bisogna creare una cartella sull’hard disk da Esplora Risorse (chiamarla ad esempio Tool di ripristino) e copiare al suo interno il file scaricabile da Winmagazine.it chiamato UnHookExec.inf, questo file servirà nel caso in cui l’infezione risulti più grave del previsto. E’ una misura preventiva!

1. Disattivare momentaneamente il ripristino configurazione di sistema. Per svolgere questa operazione andare su Start → Impostazioni → Pannello di controllo → Sistema e selezionare Ripristino configurazione di sistema, disattivarlo e premere Applica.
2. Cancellare le chiavi infette dal registro. Andare su Start → Esegui e digitare regedit e premere Invio. Se non dovesse funzionare l’accesso utilizzare il file precedentemente scaricato e installarlo con il tasto destro del mouse, altrimenti, scorrere le chiavi dal menù a sinistra fino a selezionare:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

e cancellare i seguenti valori con il tasto destro del mouse e la voce Elimina:
CrashDump, EventLog, Init, Isass, Regscan, RunDll, Setup, Sound, svchosts, System, TaskMon, UPNP e Windows.

3. Dalla chiave HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings
rimuovere:
“GID” = “[Otto caratteri]“, “GateList” = “[Caratteri esadecimali]“, “KeyM” = “[Caratteri esadecimali]“, “KeyE” = “65537″, “PID” = “[Informazione binaria]” e “M[Due valori esadecimali]” = “[Informazione binaria]”

Terminate le azioni sulle chiavi del registro, cancelliamo i file presenti nel sistema e in particolare:

4. Posizionarsi su C:\Users\[nomeutente]\AppData\Local\Temp e cancellare CrashDump, EventLog, Init, Isass, Regscan, RunDll, Setup, Sound, svchosts, System, TaskMon, UPNP e Windows.
5. Posizionarsi su C:\Windows\System cancellare regscan.exe
6. Posizionarsi su C:\Users\[Nomeutente]\AppData\Local e cancellare svchosts.exe, taskmon..exe, rundll.exe, service.exe, sound.exe upnpsvc.exe, Isas.exe, logon.exe, helper.exe, event.exe, dumprepor.exe, msiexeca.exe

Come avrete sicuramente notato, il procedimento di rimozione manuale è molto laborioso e lungo ma necessario affinché il sistema ritorni a funzionare correttamente e senza infezioni. Purtroppo non sono disponibili software che eliminano il trojan in automatico quindi l’unico consiglio che mi viene da dare è quello di seguire passo passo le istruzioni e di stare attenti quando si cancellano chiavi dal registro di sistema: è un’operazione delicata.

Di questo e di altri virus parliamo sul forum nel topic: Virus…la piaga di internet!

Scritto da Mac La Mente

Tags : , , , , ,

 

Informatica – Virus, la piaga di internet

(1 commento) | Commenta | Inserito il ott 15, 2008 in Blog, Informatica e Web

Sempre più numerosi, sempre più dannosi, i virus informatici in questi ultimi anni sono diventati una vera e propria piaga per chi utilizza quotidianamente il computer. Il livello di pericolosità che hanno raggiunto è elevato e il rischio di essere infettati davvero alto, soprattutto a causa delle diffusione operata tramite la rete.

Ma che cos’è un virus? Prima di tutto è necessario differenziare in modo accurato i vari termini che spesso e volentieri si utilizzano, termini entrati nell’intercalare di chiuque utilizzi il computer.
Un virus altro non è che un software capace di diffondersi e intrufolarsi nel pc, duplicarsi e succhiare risorse all’intero sistema “vittima”. Questa sua caratteristica è resa possibile perché il codice del virus, generalmente, infetta quei file eseguibili che vengono utilizzati per lanciare altri programmi. Sì, il codice del virus viene in pratica mascherato in questi file e l’utente, lanciato un programma, non si accorge assolutamente di niente perchè è il virus a far tutto, è lui a operare. Il codice inserisce un paio di righe all’inizio del file eseguibile utilizzato come “casa”, queste righe generano un salto al corpo del virus e successivamente fanno riprendere, in maniera normale, l’esecuzione del programma desiderato attraverso un altro salto; ecco perchè il virus è invisibile.
Per esempio, se il programma con cui scrivo abitualmente un testo è infetto, mandandolo in esecuzione, riesco comunque a scrivere una lettera al mio amico ma allo stesso tempo consento il diffondersi del virus nel mio pc. Astuti questi virus!

I tipi più comuni di virus possono creare danni enormi al sistema, arrivare addirittura alla formattazione dell’hard disk o all’invio di dati personali ai malintenzionati. Virus meno gravi invece si limitano a succhiare risorse dal sistema, siano queste associate alla RAM, alla CPU o allo spazio disponibile per i file. Danni un po’ più gravi sono generati da virus che surriscaldano il processore, fermano le ventole per il raffreddamento o eseguono l’overclocking del processore (l’overclocking è l’utilizzo di una frequenza maggiore del clock della propria CPU, questa operazione alla fine logora e abbrevia la vita di un computer, è sempre sconsigliata).

Un’altra caratteristica che differenzia i virus è quella di essere inerti o attivi. Un virus inerte risiede all’interno dei dispositivi portatili di memorizzazione dei dati. E’ un virus dormiente, non fa danni fino a quando non viene “svegliato”, ovvero fino a quando il programma o il file infetto non è trasferito dal dispositivo alla macchina ed eseguito. Un virus attivo invece può risiedere nella RAM e qui si duplica centinaia di volte fino a quando non raggiunge il suo scopo.

Passando ad un’altra fonte di guai che spesso e volentieri ci si ritrova ad affrontare, è d’obbligo citare i worm. I worm non sono altro che un’evoluzione dei virus classici, proprio come questi ultimi sono costituiti da frammenti di codice che si inseriscono in determinati file all’insaputa della persona ma, a differenza dei virus, il processo di moltiplicazione, duplicazione e diffusione avviene in automatico e questo è male perchè non è necessario lanciare il programma che li ospita ma è sufficiente tenere il pc collegato alla rete o semplicemente acceso. Uno dei primi worm era capace di inviare copie di se stesso a tutti i contatti di posta presenti nella rubrica, si generava così un effetto domino con il conseguente rallentamento della macchina e della connessione internet.

Accanto a virus e worm ci sono i trojan, cavalli di troia. Si tratta di software o programmi apparentemente utili che in realtà compromettono la sicurezza del pc. Questo genere di infezione è tipica dei messaggi di posta (e-mail) e degli allegati che si spediscono o ricevono.

Bene. Come si è potuto vedere, tante sono le minacce che giorno dopo giorno chi utilizza il computer – sia per lavoro che per hobby – è soggetto a incontrare, minacce lievi o più pericolose. Tutte vanno eliminate per potersi sentire tranquilli, ma come fare? Non è facile rispondere a questa domanda, ogni virus-worm-trojan ha delle caratteristiche uniche e i procedimenti da seguire sono diversi. Ci sono però un paio di suggerimenti che riducono drasticamente la possibilità di trovarsi ad affrontare questa minaccia, suggerimenti semplici ed intuitivi, ma efficaci:

1 - Non aprire mai un allegato di posta proveniente da una persona che non è presente nei propri contatti.
2 - Non aprire mai un allegato di posta anche se proveniente da una persona conosciuta, a meno che non si conosca esattamente il contenuto del file.
3 - Aggiornare sempre l’antivirus e il sistema operativo con le patch di sicurezza rilasciate dai fornitori.
4 - Evitare di visitare siti poco affidabili, evitare durante le ricerche in rete di visualizzare direttamente un sito, meglio prima la copia cache.
5 - Fare una scansione dei supporti esterni (chiavette USB, cd rom, dvd ecc.) prima di copiare o utilizzare i file.

Scritto da Mac La Mente

Tags : , , , ,