[sefirothmorpheus]

E’ in grado di rubare ogni password memorizzata attraverso la funzione di autocompletamento tipica dei browser Internet, ed inviare tali informazioni insieme ad altri dati forniti dall’ignara vittima al suo creatore, senza lasciare tracce o destare alcun sospetto .Si chiama Therat.B ed è stato scoperto dalla società di sicurezza Panda Software.

Si tratta di un malware con funzioni di keylogger, ossia capace di registrare ogni tasto digitato dall’utente sulla propria tastiera, e tra questi ci possono essere username e password, conti correnti, numeri di carte di credito, codici dispositivi e Pin, anche se la sua caratteristica fondamentale che lo distingue dai codici maligni della sua specie è la sua capacità di colpire le credenziali archiviate nei browser.

Per aiutare gli utenti a non ricordare il proprio username e password, richiesti in siti di e-commerce, banking on-line e quant’altro, i browser tra cui Internet Explorer e Mozilla Firefox, consentono dopo il loro primo inserimento di archiviare tali dati e completare in automatico i form in cui sono richiesti.

Therat.B, riesce ad impossessarsi di tali informazioni, entrando nel Registro di Windows dove questi i sono memorizzati in maniera criptata, ed archiviandoli nel file 32THERAT.LOG, il quale verrà poi spedito al cyber criminale attraverso l’apposito indirizzo e-mail preimpostato.

Per Luis Corrons, direttore tecnico dei Laboratori di Panda Software - “Questo è un altro esempio di come i pirati informatici combinano diverse funzioni in un codice maligno per sfruttare al massimo le loro azioni. In questo caso la funzione keylogger è stata abbinata con il furto di informazioni archiviate in diverse parti del computer. Così facendo, essi si assicurano di ottenere almeno alcuni dati confidenziali da ogni attacco riuscito”

fonte

Panda Software ha rilevato il nuovo Trojan Therat.B: ruba le password memorizzate dalla funzione autocompletamento


I Laboratori di Panda Software annunciano la comparsa del nuovo Trojan Therat.B.

30/03/07 - Questo codice maligno è progettato per rubare ogni tipo di password. In più, ha una caratteristica molto pericolosa: la capacità di raccogliere le informazioni archiviate nella funzione di autocompletamento dei browser Internet usati sul PC. Semplicemente digitando uno o due caratteri degli username o delle password, questa funzione completa automaticamente l’inserimento nei form per l’accesso ai servizi Internet più utilizzati dall’utente.

Per fare questo il Trojan apre un’entrata nel Registro di Windows dove questi dati sono memorizzati. Sebbene criptati, esistono applicazioni progettate per decifrarli.

Inoltre, Therat.B ha una funzione di keylogger. Questo significa che registra le informazioni inserite dall’utente tramite la tastiera, che possono contenere dati interessanti per un cyber criminale: username, password, numeri di conto corrente bancario o di carta di credito, PIN, etc..

“Questo è un altro esempio di come i pirati informatici combinano diverse funzioni in un codice maligno per sfruttare al massimo le loro azioni. In questo caso la funzione keylogger è stata abbinata con il furto di informazioni archiviate in diverse parti del computer. Così facendo, essi si assicurano di ottenere almeno alcuni dati confidenziali da ogni attacco riuscito” ha spiegato Luis Corrons, direttore tecnico dei Laboratori di Panda Software.

Una volta installato sul computer, il Trojan crea numerosi file nella directory di sistema di Windows, tra cui SOCKETIME.EXE, che è una copia del virus, e 32THERAT.LOG, nel quale vengono immagazzinate le informazioni rubate. I dati vengono poi inviati al cyber criminale ad un indirizzo e-mail predeterminato. Therat.B modifica anche un’entrata nel registro di Windows al fine di assicurarsi il suo funzionamento ogni volta che il computer viene riavviato.

Il Trojan non è progettato per trasmettere dati con mezzi propri, perciò necessita dell’intervento di un utente malintenzionato. Quindi, si può trovare in ogni tipo di messaggio e-mail, download di file da Internet o dai network P2P, etc.

Per tutti gli utenti che volessero analizzare il proprio PC è disponibile la soluzione gratuita online di Panda Software, TotalScan (http://www.pandasoftware.com/totalscan) o la versione beta di NanoScan (http://www.nanoscan.com), lo scanner online che rileva il malware attivo in meno di un minuto.

Maggiori informazioni su queste ed altre minacce sono disponibili nell’Encyclopedia Panda Software su http://www.pandasoftware.com/virus_info/encyclopedia/.

fonte

[corso]

e noi´come dobbiamo agire per evitare tutto cio? esistono contromisure efficaci?

grazie.

[sefirothmorpheus]

Quote:

Originally Posted by corso

e noi´come dobbiamo agire per evitare tutto cio? esistono contromisure efficaci?

grazie.

ehm... si... mi sono dimenticato di postare anche un altro articolo in merito! mannaggia a me!

EDIT
adesso c'è tutto!

[sefirothmorpheus]

se posso dare un suggerimento */sempre che sia ben acetto, soprattutto da chi polemiche non ne vuole fare... vero broadstreaming??!! /*

disabilitate le funzioni di autocompletamento moduli dei vostri browsers, siano essi IE o firefox */o opera, o safari, o.../*
inoltre svuotate le cache */fatelo con regolarità, soprattutto se ate dei download con i browsers/*, impostate bene firewall, antivirus, antimalwares, antiadwares e antispywares! inoltre, contate sempre sul vostro buon senso e sulla vostra esperienza davanti al pc!

P.S.
per chi volesse proprio strafare, consiglio anche gli HIPS

[corso]

grazie molte. ho lanciato ccleaner e avevo paginate di robaccia. adesso attivero´ tutti i wares possibili. grazie ancora. corso

[landtools]

disabilitare Autocompletamento di user e passw... meglio per tutti anche sotto l'aspetto di memorizzare i propri dati

[antonello38]

azz, è davvero una brutta minaccia! Ma se uno a un firewall attivo non dovrebbe essere in grado di entrare questo malintenzionato o no? come devo fare per disabilitare l'autocompletamento dei moduli? non riesco a trovarlo...

[peppociallo]

Quote:

Originally Posted by antonello38

azz, è davvero una brutta minaccia! Ma se uno a un firewall attivo non dovrebbe essere in grado di entrare questo malintenzionato o no? come devo fare per disabilitare l'autocompletamento dei moduli? non riesco a trovarlo...

Su Ie7: Strumenti > Opzioni Internet > Contenuto, poi Impostazioni nell' area Completamento automatico
Inoltre dovresti deselezionare la voce *usa completamento automatico* nell'area Esplorazione della scheda Avanzate

Su Firefox: Strumenti > Opzioni > Privacy per la gestione della cronologia moduli, Sicurezza per quella delle password

[antonello38]

ok grazie mille peppociallo! La voce "usa completamento automatico" era già deselezionata

[corso]

wow, grazie a tutti, non si smette mai di imparare!