PDA

Visualizza versione completa : Attenti al Sinowal trojan


Robbi
04-11-2008, 09.09.33
http://www.creareonline.it/wp-content/uploads/foto-virus.jpg



Si insedia nell' MBR del disco fisso in maniera tale che riesca ad autoavviarsi ogni volta che si accende il computer prima del caricamento del sistema operativo.

Questa la modalità operativa del Sinowal Trojan, noto anche come Mebroot, che dal 2006 è riuscito a raccogliere oltre 270 mila dati di accesso ad account di servizi bancari e circa 240 mila numeri di carte di credito e debit card. Lo afferma una ricerca della RSA, la divisione di EMC specializzata in sicurezza. Sembra che il malware sia riuscito a procurare problemi anche in Italia, anche se nel report di RSA non c'è traccia degli istituti di credito coinvolti.

Il Sinowal Trojan sfrutta le vulnerabilità dei browser e dei diversi componenti della multimedialità sul web. Come detto si insedia nel Master Boot Record e non modifica né i file né i settori della partizione su cui il sistema operativo risiede, mentre al contempo inizia a copiare il proprio codice e a inserirlo in settori e tracce non utilizzati dal disco. E dopo aver modificato le routine di basso livello di Windows, il malware diventa totalmente invisibile e può operare indisturbato. Si ricorda che benchè presente da oltre 2 anni una soluzione definitiva non è stata ancora trovata.




Altre Info (http://news.wintricks.it/framer.php?ID=27368)

piani
04-11-2008, 09.31.44
Non abbiamo la soluzione OK (si fa per dire), ma come capisco che sono infetto. Almeno dagli antivirus viene "visto"?

RNicoletto
04-11-2008, 10.27.43
Se hai un buon antivirus aggiornato sei perfettamente in grado di vederlo. Per non sapere né leggere né scrivere, puoi anche ripristinare l'MBR originale come indicato qui (http://blogs.technet.com/antimalware/archive/2008/01/10/mbr-rootkit-virtool-winnt-sinowal-a-report.aspx).

n@ndo
04-11-2008, 10.48.16
chissà sè colpisce anche grub o lilo :mm:

Antonius Blok
04-11-2008, 14.54.00
chissà sè colpisce anche grub o lilo :mm:
No, e secondo le info non dovrebbe colpire nemmeno Vista: se vai sui siti di antivirus, es. Avira o Sophos, puoi vedere che le piattaforme colpite sono :x: :x:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Forse per Vista dipende soprattutto dal fatto che, se si evita di usare l'Administrator ;), l'user non può modificare l'Mbr.
Per Linux a maggior ragione... :inn: :inn:

crazymouse69
04-11-2008, 16.27.01
Praticamente e' come avere un Virus in uncubazione, brutta da dirsi e da sapere e per essere veramente "maligno" oserei dire creato dalle software house ad hoc...i prodotti Antivirus si sono centuplicati negli ultimi 3 anni. Bah.. ;)

Semi.genius
04-11-2008, 19.06.29
il Trend ChipAway che sono ormai integrati nei BIOS da molto, non rileva la modifica?

Davide71
04-11-2008, 19.47.56
il Trend ChipAway che sono ormai integrati nei BIOS da molto, non rileva la modifica?

Infatti l'mbr dei dischi dovrebbe essere protetto da simili forme di virus, tutti i bios hanno questa protezione, spetta all'user però attivarla o meno. ;)


byezzz

Unoessebi
04-11-2008, 20.00.51
chissà sè colpisce anche grub o lilo :mm:

I miei dischi sono criptati con PGP. L'MBR non è standard e uso l'account administrator solo per manutenzione. Quindi non solo grub o lilo...

1sB

leofelix
04-11-2008, 23.59.34
oltre la segnalazione di RNicoletto, ricordo che in genere questo strumento gratuito

http://www.norman.com/Virus/Virus_removal_tools/52382/it

riesce a disinfettare il sistema da questa rootkit