Toggle sidebar
  • Regolamento Macrocategoria DEV
    Prima di aprire un topic nella Macrocategoria DEV, è bene leggerne il suo regolamento. Sei un'azienda o un hosting/provider? Qui sono anche contenute informazioni per collaborare con Sciax2 ed ottenere l'accredito nella nostra community!

Release [Virus]Trojan.Kardphisher - Cos'è e come rimuoverlo - ITA

M

ManuRetro

Utente bannato
Autore del topic
25 Giugno 2011
13
0
Miglior risposta
0
L’arte dell’inganno


Attenti al mistificatore Trojan.Kardphisher!​

62232675.jpg

sistemi di protezione installabili sul nostro computer garantiscono ormai un buon livello di sicurezza e affidabilità,riuscendo a bloccare la quasi totalità delle minacce riconosciute. Anche le applicazioni software e i nuovi sistemi operativi presentano sempre meno bug e falle di sicurezza sfruttabili da un malintenzionato per prendere il controllo del computer e portare a termine le sue malefatte. In questo scenario, diventa difficile per i “virus writer” (coloro che scrivono codice dannoso) riuscire a trovare nuove tecniche d’infezione dei computer altrui. Ma a quanto sembra, le loro risorse sono infinite! L’ult mo espediente utilizzato per procurarsi le informazioni di cui necessitano, consiste nell’attuare un attacco di tipo “social engineering” (ingegneria sociale). In pratica, questa tecnica sfrutta l’ingenuità dell’utente convincendolo a fidarsi del prossimo. Il “social engineer” (persona singola o banda di truffatori che sia) è molto bravo a nascondere la propria identità fingendosi qualcun’altro e, se la vittima cade nel tranello, avrà ottenuto il suo obiettivo, ossia causare una breccia nei sistemi di sicurezza. L’ultimo esempio di attacco di tipo phishing che usa avanzate tecniche di social engineering è Trojan.Kardphisher, che tanta preoccupazione ha destato tra gli esperti di sicurezza.

IDENTITÀ DEL VIRUS
Le principali caratteristiche del trojan Kardphisher
50164279.jpg

Radiografia di un trojan

Le modalità con cui Kardphisher riesce a propagarsi non sono ancora del tutto chiare.Sta di fatto, comunque, che una volta installato nel computer della vittima, il trojan genera le seguenti sottochiavi nel registro di configurazione di
Perfavore, Entra oppure Registrati per vedere i Link!
:
• HKEY_CURRENT _USER\Software\sft\c
• HKEY_LOCAL_MACHINE\SOFTWARE\
Perfavore, Entra oppure Registrati per vedere i Link!
\
Perfavore, Entra oppure Registrati per vedere i Link!
\Curr entVersion\Run\soft2
• HKEY_LOCAL_MACHINE\SOFTWARE\
Perfavore, Entra oppure Registrati per vedere i Link!
\
Perfavore, Entra oppure Registrati per vedere i Link!
\Curr entVersion\Policies\System\DisableTaskMgr.
In questo modo riesce a disabilitare, al primo riavvio del
Perfavore, Entra oppure Registrati per vedere i Link!
Perfavore, Entra oppure Registrati per vedere i Link!
, il task-manager e ad impedire l’esecuzione di qualsiasi altra applicazione. Quindi,mostra a video una schermata blu del tutto identica a quella da cui effettuare la procedura d’attivazione di
Perfavore, Entra oppure Registrati per vedere i Link!
,informando l’utente ignaro dell’inganno che la copia del
Perfavore, Entra oppure Registrati per vedere i Link!
operativo in suo possesso è stata già attivata e che, quindi, è necessario procedere con una nuova registrazione. Per rendere la cosa ancora più c edibile, il trojan informa la vittima che il numero della sua carta di credito utilizzata per l’acquisto di una nuova licenza d’uso sarà inviato a Microsoft in maniera sicura e non verrà utilizzato per scopi commerciali (We will ask for you billing details, but your credit card will NOT be charged).
Annuncio:
Evitiamo di fornire con disinvoltura il numero di carta di credito, anche se la richiesta sembra venire da una fonte autorevole come Microsoft. Verifichiamo con attenzione!


La trappola è scattata!

97699025.jpg


Se l’utente, convinto di far bene, procede con l’attivazione del sistema operativo, nella schermata successiva verrà visualizzato un form dove, oltre a inserire semplici informazioni personali come nome, e-mail e numero di telefono, dovrà
inserire anche il PIN della carta di credito. Tutte informazioni che verranno immediatamente trasferite ad un server remoto gestito dal creatore del virus. Se invece l’utente decide di non continuare con l’attivazione di Windows (spuntando l’opzione No, I will do it later), perché convinto dell’originalità della sua copia o perché si è accorto dell’inganno notando che tutta la procedura è in inglese, mentre la versione in uso di XP è in italiano, il malware spegne immediatamente il computer, impedendone di fatto l’utilizzo. Una tecnica ben architettata e malignamente geniale. Per fortuna, la sua diffusione nonè ancora particolarmente elevata, ma viste le sofisticate tecniche di phishing utilizzate, c’è di che preoccuparsi per il nuovo pericolo in grado di mettere a repentaglio la nostra privacy e... i nostri risparmi!

94214669.jpg


!!
Annuncio:
La finta procedura d’attiviazione di Windows XP è in inglese. Un campanello d’allarme che dovrebbe aiutarci a non cadere nella trappola.



Facciamo piazza pulita del trojan
Se siamo stati accidentalmente infettati da Kardphisher, ecco i passi per rimuoverlo dal nostro sistema.
  1. Disattiviamo il ripristino di configurazione di sistema.

    22978749.jpg

    Prima di procedere alla rimozione del malware, disattiviamo momentaneamente il Ripristino configurazione di sistema, funz one di Windows molto utile che consente di rimettere in forma il PC in seguito ad un improvviso malfunzionamento. Ma se siamo già stati infettati, questa funzione potremmo ripristinare la copia di backup “contagiata”, nonostante avessimo già provveduto all’eliminazione del virus.

    Per disattivarla, andiamo su Start/Impostazioni/Pannello
    di controllo    , accediamo alla sezione Sistema,
    sposiamoci sul tab Ripristino configurazione di sistema e spuntiamo la casella Disattiva Ripristinoconfigurazione di sistema dando conferma con Applica. Dopo aver rimosso l’intruso dal sistema, ricordiamoci di riattivare questa utile funzione.
  2. Scarichiamo il tool per ripristinare l’editor di registro

    34566807.jpg

    Durante la sua azione malefica, il trojan Kardphisher potrebbe disattivare l’esecuzione dell’editor del registro di sistema. Per ripristinarne la corretta funzionalità, scarichiamo dal sito
    Perfavore, Entra oppure Registrati per vedere i Link!
    la chiave UnHookExec.inf utile allo scopo. Non trattandosi di un eseguibile, per aggiungerla al registro è sufficiente selezionare il file con il tasto destro del mouse e scegliere la voce Installa dal menu contestuale che appare.
  3. Teniamo costantemente aggiornato il nostro antivirus

    Procediamo ora con la scansione dell’intero sistema, non prima, però, di aver provveduto ad aggiornare le firme delle nuove minacce al nostro antivirus. Per un controllo più approfondito, riavviamo il computer in modalità provvisoria. Subito dopo il caricamento del BIOS premiamo F8e, nella schermata che appare, selezioniamo la voce Riavvia il sistema in modalità provvisoria usando le frecce direzionali della tastiera e confermando con Invio. In questo modo tutte le funzioni di Windows XP e i processi relativi alle varie applicazioni software installate (compreso quello creato dal trojan) vengono ridotti al minimo ed è possibile così procedere con la bonifica del sistema.

    75917025.jpg
  4. Ripuliamo il registrodi Windows

    Sempre in modalità provvisoria, dopo aver effettuato la scansione dell’intero sistema rimuoviamo dal registro di sistema lechiavi che garantiscono l’esecuzione del trojan. Avviamo l’editor accedendo al menu Start/Esegui e digitando il comando regedit seguito da Invio. Individuiamo le chiavi:
    HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\soft2, HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\Current Version\Policies\System\DisableTaskMgr e HKEY_CURRENT_USER\Software\sft\c. Selezioniamole col tasto destro del mouse e, dal menu contestuale, clicchiamo su Elimina e confermiamo con OK. Riavviamo il sistema. Se abbiamo eseguito correttamente la procedura di rimozione del trojan, potremmo tornare ad utilizzare normalmente la nostra copia di Windows.

    75604517.jpg

    18232158.jpg

    a10do.jpg

    Fonte :​
    1. Perfavore, Entra oppure Registrati per vedere i Link!

 
Ultima modifica da un moderatore:
Riferimento: [Virus]Trojan.Kardphisher - Cos'è e come rimuoverlo - ITA

Censuro.
 
Riferimento: [Virus]Trojan.Kardphisher - Cos'è e come rimuoverlo - ITA

Ottima guida merita il rilievo secondo me... spiega tutto dettagliatamente e con screen peccato che l'utente sia bannato xD
 
Riferimento: [Virus]Trojan.Kardphisher - Cos'è e come rimuoverlo - ITA

Ma che rilievo.. :emoji_relieved:
 
Riferimento: [Virus]Trojan.Kardphisher - Cos'è e come rimuoverlo - ITA

hotelfico ha detto:
Ottima guida merita il rilievo secondo me... spiega tutto dettagliatamente e con screen peccato che l'utente sia bannato xD
Clicca per espandere...
Rilievo per cosa? Per aver fatto 2 screen e essersi complicato la vita? E gli antivirus allora perchè esistono? :emoji_relieved: Lasciamo fare i lavoro a loro no...? xD
 
Riferimento: [Virus]Trojan.Kardphisher - Cos'è e come rimuoverlo - ITA

Ed è anche un copia incolla. :emoji_slight_smile:
 
Devi accedere o registrarti per rispondere qui.
 
 
Top
Indietro