venerdì 8 gennaio 2010

Whitewell, il trojan che riceve istruzioni da Facebook


Nei mesi scorsi Symantec ha scoperto l’esistenza di un trojan che utilizza Facebook come server per ricevere comandi e per inviare i dati sottratti all'utente. Il trojan, conosciuto con il nome di Whitewell e collegato anche ad altre minacce diffuse come Bredolab, si diffonde tramite i “classici” veicoli, quali e-mail, PDF o documenti Office, ed utilizza alcune note vulnerabilità degli applicativi per insediarsi nel sistema. 

I sistemi operativi minacciati sono: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000. In primo luogo, il Trojan cercherà di determinare se una connessione è presente e poi procederà con l'accesso alla pagina principale di Facebook Mobile, analizzando il contenuto della pagina HTML. 

Il Trojan si mette in contatto attraverso la versione mobile di Facebook (m.facebook.com),  probabilmente perché si tratta di una versione più leggera del sito. Vogliamo sottolineare il fatto che il cavallo di troia non usa exploit o difetti di alcun tipo, ma semplicemente le funzionalità standard di Facebook. Il trojan utilizza le note di alcuni utenti Facebook fittizi, creati ad hoc dall’aggressore, per inviare dati e per ricevere comandi.

Il comando reale e trattamento dei dati avviene tramite l'URL remoto che è stato ricevuto dalle note, e questo URL può puntare sul web. Tuttavia, questo esempio dimostra che si può utilizzare un account di Facebook come un server. 


Per la sua rimozione bisogna:
  1. Disattivare temporaneamente il ripristino configurazione di sistema. Windows utilizza questa funzione, che è abilitata di default, per ripristinare i file sul computer nel caso venissero danneggiati. Se un virus, worm o trojan infetta un computer, il Ripristino configurazione di sistema può eseguire anche il backup del malware.
  2. Aggiornare le definizioni dei virus del proprio programma antivirus.
  3. Eseguire una scansione completa del sistema. Se non si riesce ad avviare il prodotto antivirus o se il prodotto segnala che non è possibile eliminare un file rilevato, può essere necessario eseguire la scansione in modalità provvisoria.
  4. Eliminare tutti i valori aggiunti al Registro di sistema. Si raccomanda di eseguire il backup del registro prima di apportare eventuali modifiche ad esso. Modifiche errate al Registro di sistema possono provocare perdite permanenti di dati o file corrotti. Modificare unicamente le sottochiavi specificate. HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ "MCAFEEIPS" = "%% UserProfie \ Local Settings \ Temp \ setup.exe"
L’utilizzo di siti di social network come Facebook (in passato era toccata la stessa sorte a Twitter) permette al trojan di mascherare la propria attività ai controlli di firewall e altri software in grado di rilevare comportamenti sospetti (come la funzione HIPS, una sorta di controllore di attività potenzialmente pericolose). 

Andando ad analizzare l’attività di rete del computer non verrà rilevato altro che un collegamento al sito di Facebook, del tutto indistinguibile dal normale comportamento dell’utente. Secondo quanto riferito da Symantec, il trojan Whitewell ha una diffusione limitata ma potrebbe essere il precursore di una stirpe di malware che sfruttano legittime funzioni dei siti di social network per le proprie attività illecite.

    Nessun commento:

    Posta un commento