sábado, 19 de julho de 2014

A Volta de Sinowal

Se você receber um e-mail dizendo que tem uma encomenda da UPS para você e que houve tentativas de entrega, mas que não foi possível, não abra este e-mail ou qualquer semelhante.



Este tipo de e-mail vem normalmente com um link para ser seguido e ele é sempre um pequeno programa executável desenvolvido em C, o fato é que se você estiver prestes a ter contato com um Trojan e no caso deste e-mail especifico você ira conhecer o Sinowal, um trojan programado para capturar e transmitir informações confidenciais que encontrar em seu micro, em seguida ele ira passar o controle de sua maquina para um operador remoto, é claro que na sequencia todos os dados do seu computador serão destruídos.



Houve algumas vezes que falamos sobre vírus e Trojans neste blog, mas será que você sabe o que são, e como você pode se proteger deles? Você tem algum tipo de informação sobre a evolução dos Trojans?
Os trojans também são conhecidos como cavalo de Tróia é um tipo de vírus cujo efeito pode ser muito perigoso. Eles podem destruir e roubar dados bem como se apoderar de computadores remotamente. Além disso, eles são capazes de capturar e enviar informações confidenciais para um endereço externo, para controlar o seu computador remotamente ele toma posse de portas de comunicação abertas.
Eles também podem capturar todo o texto digitado usando o teclado, ou senhas de registro que o usuário digitou. Portanto, eles são usados ​​por criminosos virtuais para roubar todos os tipos de dados pessoais que encontrem no computador.

Evolução dos Trojans
Os Trojans foram concebidos como uma ferramenta para infligir o máximo de dano no computador atacado. Eles tentam formatar o hard disk do computador e ou excluir arquivos do sistema, mas não tiveram muito impacto, porque, na época em que os criadores dos trojans buscaram notoriedade, os trojans não se auto propagavam. Um exemplo dos primeiros Trojans que também são conhecidos como cavalo de Tróia é o Autorooter.
Nos últimos anos, em razão da popularização da Internet mudou-se a tendência os ciber criminosos têm visto neles a ferramenta perfeita para roubar dados bancários, nomes de usuário e senhas, informações pessoais, e outros dados, ou seja, eles levaram à criação de uma nova categoria de malware: trojans bancários e Spyware, nesse momento esses males se auto propagam.

Sinowal é um rootkit, login-phishing e um trojan de login. Em tempo de execução ele copia não somente registros, mas qualquer senha de e-mail POP3, netbanking e senhas de login de lojas online do cliente, mas também fornece recursos de phishing nos browser usados pelo usuário. Ele é escrito por pessoas da Rússia Business Network (RBN). Ele vem com um único arquivo infectante, mas mais tarde atua através de várias partes que se estabeleceram no sistema. Também é notável que haja diferentes versões existentes.

"There are two types of Rockphish victims; the first are the victims that receive a Rockphish e-mail, click on the provided link and go to the Rockphish site to enter their banking information. The second type of victim is those who have a Trojan-infected computer controlled by a botnet herder. The Rockphish methodology is quite sophisticated; by utilizing a large number of sub-domains, the attacks can circumvent popular anti-phishing measures such as blacklist-based toolbars. This exposes many unsuspecting victims who erroneously believe they are protected. To send so many e-mails, the Rockphish model employs enormous botnets that rotate regularly between servers and targets. Individual botnets can reach tens of thousands, if not hundreds of thousands, of infected computers." VeriSign 

Sinowal é também um Bootkit, o que significa que ele substitui o Master Boot Record para mais tarde, ignorar todas as funções de sistema do Windows. Então, a primeira ação do Sinowal apos atacar o sistema é, ler o Master Boot Record e copiar a tabela de partição dele. a seguir, ele grava no computador o seu próprio Master Boot Record, que incluí o arquivo binário que ira infectar a maquina, e grava uma a nova tabela de partições nela.

Ajuda para remoção de trojans http://me.kaspersky.com/en/support/virus-removal-tools
http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?name=Win32%2fSinowal

Nenhum comentário:

Ads Inside PostM

Teste