giovedì 5 luglio 2012

Come Funziona Il Rootkit SpyEye

Anche se non si tratta di un tipo di infezione capace di alterare il kernel di Windows o modificare il Master Boot Record, si tratta comunque del perfetto stereotipo delle attuali infezioni, progettate per rubare dati personali e sensibili utilizzando tecniche di infezione a basso impatto sul sistema.
SpyEye è l’ultima moda, il nuovo giocattolo che gira nel mondo del mercato nero informatico, capace di diventare in potenza il nuovo ZeuS trojan. Si tratta di un rootkit più economico di ZeuS, il suo codice è efficace e permette ad un potenziale cliente di configurare sia il server di controllo che l’eseguibile del trojan in una manciata di minuti.
Addirittura SpyEye è interessato ad eliminare ZeuS...infatti, il trojan ha delle routine incluse capaci di disinfettare i PC infetti da ZeuS.


FUNZIONAMENTO
Una volta raggiunta la macchina ed eseguito il proprio codice che potrebbe essere stato copiato nel pc attraverso exploit presenti in siti web compromessi o attraverso semplice ingegneria sociale, il trojan crea una nuova cartella nella root dell’hard disk dove risiede il sistema operativo.
La cartella si chiama cleansweep.exe, e conterrà al suo interno il file chiamato cleansweep.exe e un altro file criptato, chiamato config.bin.
Quest’ultimo file contiene le informazioni relative al server C&C.
Per eseguirsi all’avvio del sistema il trojan aggiunge la seguente chiave di registro:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentversionRun [cleansweep.exe][C:cleansweep.execleanwseep.exe].
Successivamente il trojan inietta il proprio codice all’interno di tutti i processi ai quali può accedere.
Prende il controllo delle seguenti API di Windows:
CryptEncrypt,LdrLoadDll,NtEnumerateValueKey,NtQueryDirectoryFile,NtResumeThread,NtVdmControl
Questo permette al trojan di nascondere la propria cartella e la propria chiave di registro dagli occhi dell’utente e dei software antivirus, implementando tecniche di rootkit user mode.
All’interno dei processi dei browser, il trojan prende il controllo delle seguenti API:
TranslateMessage,send,HttpSendRequestA,HttpSendRequestW,InternetCloseHandle
Facendò ciò, il trojan è in grado di rubare tutte le informazioni personali che vengono inviate dal browser ad internet, anche quelle inviate attraverso una sessione SSL. Usando questa tecnica, inoltre, il trojan è in grado di bypassare i classici software anti-keyloggger che criptano la pressione dei tasti della tastiera.
Non appena i dati vengono catturati, il trojan li invia immediatamente al server di controllo utilizzando una sessione HTTP classica. Inoltre il PC infetto può ricevere nuovi comandi da remoto.
L’infezione non è difficile da individuare e rimuovere, anche se utilizza tecniche rootkit.
Il fatto che il classico approccio antivirus non è più efficace dovrebbe essere ovvio.
Trojan quali ZeuS o SpyEye necessitano di un approccio rapido che solo tecnologie in-the-cloud e tecnologie automatizzate possono fornire.
I malware writer necessitano di pochi minuti per cambiare il codice del proprio malware al fine di renderlo nuovamente irriconoscible dalle signature dei software antivirus.
Poi, una volta che il trojan ha evitato i controlli dell’antivirus, anche se l’antivirus stesso riceverà aggiornamenti delle firme virali, questo potrebbe non bastare visto che il Trojan utilizza tecniche rootkit per rimanere nascosto.


ALTRE CONSIDERAZIONI
Poi c’è un mito da sfatare: Windows, se utilizzato con account limitato, è immune dai malware.
SpyEye è l’esempio perfetto.
SpyEye è in grado di installarsi ed eseguirsi anche da un account limitato.
Si, può ancora rubare informazioni personali dal browser, anche se è eseguito con privilegi limitati.
Ultimo, ma non per importanza, è il fatto di preoccuparsi riguardo la sicurezza delle transazioni online.
Un antivirus, anche se utilizza tecnologie in-the-cloud, potrebbe fallire.
Sì, anche Prevx può fallire. Nessun software può individuare il 100% del malware là fuori.
È per questo che è importante prendersi cura della propria vita digitale implementando più livelli di sicurezza.
Chiunque dovrebbe preoccuparsi di rendere più sicuro il proprio browser mentre si naviga, cercando di bloccare proattivamente eventuali malware dal rubare i dati personali.
Prevx SafeOnline è la risposta, la tecnologia che potrebbe colmare il gap.
Il modo in cui Prevx SafeOnline lavora, proteggendo il browser da keylogger, screen grabbers, attacchi man-in-the-browser, può rendere il browser più sicuro a priori, al fine di proteggerlo anche da eventuali nuove infezioni sconosciute.
Prevx è in grado di individuare e rimuovere l’infezione. Tuttavia gli utenti che utilizzano Prevx SafeOnline sono protetti a priori da SpyEye. Il trojan, anche se attivo nel PC, non è in grado di rubare alcuna informazione dal browser fintanto che è protetto da SafeOnline.


Come Eliminare I Ransomware(Virus Postali)
Come Eliminare CryptoLocker

Nessun commento:

Posta un commento