L’arte dell’inganno Attenti al mistificatore Trojan.Kardphisher! sistemi di protezione installabili sul nostro computer garantiscono ormai un buon livello di sicurezza e affidabilità,riuscendo a bloccare la quasi totalità delle minacce riconosciute. Anche le applicazioni software e i nuovi sistemi operativi presentano sempre meno bug e falle di sicurezza sfruttabili da un malintenzionato per prendere il controllo del computer e portare a termine le sue malefatte. In questo scenario, diventa difficile per i “virus writer” (coloro che scrivono codice dannoso) riuscire a trovare nuove tecniche d’infezione dei computer altrui. Ma a quanto sembra, le loro risorse sono infinite! L’ult mo espediente utilizzato per procurarsi le informazioni di cui necessitano, consiste nell’attuare un attacco di tipo “social engineering” (ingegneria sociale). In pratica, questa tecnica sfrutta l’ingenuità dell’utente convincendolo a fidarsi del prossimo. Il “social engineer” (persona singola o banda di truffatori che sia) è molto bravo a nascondere la propria identità fingendosi qualcun’altro e, se la vittima cade nel tranello, avrà ottenuto il suo obiettivo, ossia causare una breccia nei sistemi di sicurezza. L’ultimo esempio di attacco di tipo phishing che usa avanzate tecniche di social engineering è Trojan.Kardphisher, che tanta preoccupazione ha destato tra gli esperti di sicurezza. IDENTITÀ DEL VIRUS Le principali caratteristiche del trojan Kardphisher Radiografia di un trojan Le modalità con cui Kardphisher riesce a propagarsi non sono ancora del tutto chiare.Sta di fatto, comunque, che una volta installato nel computer della vittima, il trojan genera le seguenti sottochiavi nel registro di configurazione di Perfavore,
Entra
oppure
Registrati
per vedere i Link!
:• HKEY_CURRENT _USER\Software\sft\c • HKEY_LOCAL_MACHINE\SOFTWARE\ Perfavore,
Entra
oppure
Registrati
per vedere i Link!
\Perfavore,
Entra
oppure
Registrati
per vedere i Link!
\Curr entVersion\Run\soft2• HKEY_LOCAL_MACHINE\SOFTWARE\ Perfavore,
Entra
oppure
Registrati
per vedere i Link!
\Perfavore,
Entra
oppure
Registrati
per vedere i Link!
\Curr entVersion\Policies\System\DisableTaskMgr.In questo modo riesce a disabilitare, al primo riavvio del Perfavore,
Entra
oppure
Registrati
per vedere i Link!
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
, il task-manager e ad impedire l’esecuzione di qualsiasi altra applicazione. Quindi,mostra a video una schermata blu del tutto identica a quella da cui effettuare la procedura d’attivazione di Perfavore,
Entra
oppure
Registrati
per vedere i Link!
,informando l’utente ignaro dell’inganno che la copia delPerfavore,
Entra
oppure
Registrati
per vedere i Link!
operativo in suo possesso è stata già attivata e che, quindi, è necessario procedere con una nuova registrazione. Per rendere la cosa ancora più c edibile, il trojan informa la vittima che il numero della sua carta di credito utilizzata per l’acquisto di una nuova licenza d’uso sarà inviato a Microsoft in maniera sicura e non verrà utilizzato per scopi commerciali (We will ask for you billing details, but your credit card will NOT be charged).Annuncio: Evitiamo di fornire con disinvoltura il numero di carta di credito, anche se la richiesta sembra venire da una fonte autorevole come Microsoft. Verifichiamo con attenzione! La trappola è scattata! Se l’utente, convinto di far bene, procede con l’attivazione del sistema operativo, nella schermata successiva verrà visualizzato un form dove, oltre a inserire semplici informazioni personali come nome, e-mail e numero di telefono, dovrà inserire anche il PIN della carta di credito. Tutte informazioni che verranno immediatamente trasferite ad un server remoto gestito dal creatore del virus. Se invece l’utente decide di non continuare con l’attivazione di Windows (spuntando l’opzione No, I will do it later), perché convinto dell’originalità della sua copia o perché si è accorto dell’inganno notando che tutta la procedura è in inglese, mentre la versione in uso di XP è in italiano, il malware spegne immediatamente il computer, impedendone di fatto l’utilizzo. Una tecnica ben architettata e malignamente geniale. Per fortuna, la sua diffusione nonè ancora particolarmente elevata, ma viste le sofisticate tecniche di phishing utilizzate, c’è di che preoccuparsi per il nuovo pericolo in grado di mettere a repentaglio la nostra privacy e... i nostri risparmi! !! Annuncio: La finta procedura d’attiviazione di Windows XP è in inglese. Un campanello d’allarme che dovrebbe aiutarci a non cadere nella trappola. Facciamo piazza pulita del trojan Se siamo stati accidentalmente infettati da Kardphisher, ecco i passi per rimuoverlo dal nostro sistema.
|
Ultima modifica da un moderatore: