Sicurezza: Panda Software avverte, attenzione a trojan BankFakeF
Roma, 11 giu. (Ign) - Questa settimana il report dei Laboratori di Panda Software pone l’attenzione sul Trojan BankFakeF, sulle due prime varianti del worm MSNHideOptions e su Grogotix.A. BankFake.F è un pericoloso Trojan bancario che colpisce nove enti finanziari. Questo malware, che si diffonde attraverso e-mail o download da Internet, raggiunge il computer con un’ icona che mostra due piccole tartarughe alate. Quando viene eseguito, apre una pagina web e mostra una foto mentre si connette ad altri due indirizzi per scaricare numerosi file compressi, tutti assemblati con UPX. Questo codice maligno è progettato per rubare password bancarie: quando un utente digita nel browser l’indirizzo di una delle “banche-obiettivo” di BankFake.F, questo lo chiude ed esegue un’applicazione corrispondente a quel particolare istituto, nella quale viene mostrata un’ immagine del sito Internet ufficiale. Una volta che i dati confidenziali sono stati inseriti, vengono archiviati in file .bsp o .cop. Il Trojan stabilisce periodicamente una connessione con un sito FTP per inviare le informazioni al suo autore. Otre alle password bancarie, BankFake.F ruba anche quelle degli account di Hotmail. Esso mostra, in un’applicazione appositamente creata, un messaggio di errore, nel quale si chiede di inserire nuovamente i dati. Grogotix.A è un worm che, quando colpisce un computer, crea sei copie di sé sul sistema. Ogni volta che l’utente accede a una cartella, questo malware si riproduce con la stessa denominazione, nella stessa directory ed in quella immediatamente superiore. Ogni volta che un file viene eseguito, esso realizza un esemplare di se stesso col nome originale del file. Grogotix.A modifica il file host, aggiungendo un testo con un messaggio, firmato presumibilmente dal suo autore, che afferma “I hate my campus”. Inoltre, questo cambiamento impedisce all’utente di accedere a numerose pagine web, tutte collegate a computer di compagnie di sicurezza. Panda Software ha rilevato questa azione con il nome Qhost.gen. In più, questo worm crea e modifica gli accessi di registro. Uno di questi assicura il suo funzionamento ad ogni avvio del sistema, mentre un altro elimina diverse opzioni dal menu Start. Questo codice maligno è progettato anche per impedire l’esecuzione di numerosi programmi e per nascondere alcune cartelle delle soluzioni di sicurezza.
