• Super User

    Attenti al Sinowal trojan

    Si insedia nell' MBR del disco fisso in maniera tale che riesca ad autoavviarsi ogni volta che si accende il computer prima del caricamento del sistema operativo.
    Questa la modalità operativa del Sinowal Trojan, noto anche come Mebroot, che dal 2006 è riuscito a raccogliere oltre 270 mila dati di accesso ad account di servizi bancari e circa 240 mila numeri di carte di credito e debit card. Lo afferma una ricerca della RSA, la divisione di EMC specializzata in sicurezza. Sembra che il malware sia riuscito a procurare problemi anche in Italia, anche se nel report di RSA non c?è traccia degli istituti di credito coinvolti.
    Il Sinowal Trojan sfrutta le vulnerabilità dei browser e dei diversi componenti della multimedialità sul web. Come detto si insedia nel Master Boot Record e non modifica né i file né i settori della partizione su cui il sistema operativo risiede, mentre al contempo inizia a copiare il proprio codice e a inserirlo in settori e tracce non utilizzati dal disco. E dopo aver modificato le routine di basso livello di Windows, il malware diventa totalmente invisibile e può operare indisturbato. Si ricorda che benchè presente da oltre 2 anni una soluzione definitiva non è stata ancora trovata.

    fonte: news.wintricks.it/web/sicurezza/27368/attenti-al-sinowal-trojan/


  • User Newbie

    Non ci sono speranze per chi si becca sto virus?
    la formattazione è efficace oppure si insedia nelle aree intoccate dell'HD?


  • User

    La speranza c'è 🙂 ma bisogna avere la pazienza di seguire le operazioni di pulizia specifiche ed un pizzico di fortuna.

    In rete ci sono a disposizione dei tools per la rimozione di questo rootkit: Prevx CSI**, Gmer****, Stealth MBR rootkit detector**, **Symantec Trojan.Mebroot Removal Tool.

    **Il master boot record (MBR) è il settore di avvio che contiene la sequenza di comandi necessaria per l'avvio del sistema operativo ossia il bootloder, quindi la semplice formattazione del disco non è sufficiente.
    E' possibile utilizzare un comando da dos: FDISK /MBR che lascia intatti i file dell'hard disk ma cancella solo il settore infettato cioè l'MBR, ma in alcuni casi e con una partizione in dualboot si è rilevato inefficace.

    spippolazione.net/index.php/2008/07/29/ce-un-virus-nel-master-boot-record-come-lo-elimino-mbr-rootkit/

    AttenzionePrima di fare questo bisogna creare un disco di ripristino.

    :ciauz:


  • Consiglio Direttivo

    Ciao desmo_77 e grazie per la segnalazione! 😉