Nuovo allarme sul Web. Gli esperti dei laboratori Panda Software hanno rilevato la comparsa di un nuovo virus informatico che consente ai malintenzionati di prendere il controllo remoto dei computer colpiti e dirottare gli utenti verso false pagine Internet progettate appositamente per sottrarre dati personali con l’inganno. Il codicillo, nome in codice Briz.R, è una variante del già noto e omonimo virus appartenente alla famiglia dei Trojan Horse, bloccato dalle software house sviluppatrici di sistemi antivirus già diversi mesi fa.
“Dopo aver analizzato questo nuovo codice – ha dichiarato Luis Corrons, direttore dei PandaLabs - siamo certi che sia opera dell’autore che ha progettato il primo Briz. Dal momento che il business dei Trojan creati su misura non avrebbe avuto seguito, l’ideatore ha deciso di utilizzarli direttamente per ottenere guadagni finanziari”.
Briz.R, stando a quanto spiegato dagli esperti, è in grado di infettare i Pc in qualsiasi modo, inclusi pagine web e download di programmi pericolosi. Al momento la sua diffusione è contenuta, probabilmente l’obiettivo era quello di evitare che le società di sicurezza si accorgessero di lui.
Le modalità di infezione:
L’attacco di questo Trojan inizia con l’installazione di un file “iexplore.exe” che rileva la presenza di una connessione Internet. In caso positivo, scarica un altro file, “ieschedule.exe” che memorizza i parametri di configurazione del Trojan, ad esempio il numero di porta attraverso la quale invierà le informazioni rubate. Un altro componente scaricato è ieserver.exe, utile per la creazione di un web server sul computer che servirà per ricondurre gli utenti a finte pagine web appartenenti a servizi finanziari online, ideate per il furto di informazioni confidenziali. I dati inseriti dall’utente verranno rubati dal Trojan ed inviati ai cyber-criminali.
Il web server consente all’aggressore il controllo remoto del computer colpito, attraverso l’installazione di un’applicazione programmata in PHP, chiamata phpRemoteView. Inoltre, Briz.R scarica un elemento, smss.exe, che modifica il sistema dei file host per impedire l’accesso a numerose pagine web legate alla sicurezza informatica.
FONTE