1. Wstęp 1.1. Informacje ogólne o Trojanie SINOWAL 1.2. Informacje ogólne o Trojanie MEBROOT 2. Kiedy wiadomo, Ŝe na komputerze jest? 3. Jak sprawdzić czy na komputerze jest? 4. Jak usunąć? 1/7
1. Wstęp 1.1. Informacje ogólne o Trojanie SINOWAL JuŜ od dłuŝszego czasu klienci róŝnych instytucji finansowych w tym banków naraŝeni są na róŝnego rodzaju ataki z Internetu. Niebezpieczne dla klientów banków szczególnie są ataki mające na celu pozyskanie danych potrzebnych do uwierzytelnienia się w portalach bankowości internetowej oraz wykonania transakcji. Jednym z takich zagroŝeń jest Trojan Sinowal. Występuje on pod róŝnymi nazwami w zaleŝności od firmy antywirusowej. I tak na przykład: Firma Nazwa Uwagi ArcaBit Trojan.Spy.Bzub.Bte Avast Win32:Sinowal AVG Obfustat.UMQ BitDefender Trojan.PWS.Sinowal.G F-Secure Sinowal.gen7 Kaspersky Trojan- PWS.Win32.Sinowal.xx xx przyjmuje wartość w zakresie [a-z] McAfee PWS-JA Microsoft PWS:Win32/Sinowal.gen!E NOD32 Win32/PWS.Sinowal.Gen Norman W32/Sinowal.XXX XXX przyjmuje wartość w zakresie [A-Z] Panda Trj/Sinowal.DW Symantec Trojan.Anserin Wirus ten jest wykrywany przez większość programów antywirusowych. 1.2. Informacje ogólne o Trojanie MEBROOT jest następcą Sinowala. Jego działanie jest podobne do Sinowala, ale został on wyposaŝony w mechanizm ukrywający obecność w systemie zwany rootkitem. W tym wypadku wykorzystano mechanizm zaraŝania MBR (Master Boot Rekord), czyli głównego rekordu startowego dysku, w którym znajduje się program rozruchowy (boot loader). Program ten uruchamiany jest jako pierwszy (po BIOS-e) i słuŝy do załadowania systemu operacyjnego do pamięci operacyjnej. ZaraŜenie MBR pozwala na uruchomienie jako pierwszego Trojana przed uruchomieniem programów antywirusowych, co daje Trojanowi moŝliwość kontrolowania tych programów i ich oszukiwania w czasie próby skanowania. 2/7
2. Kiedy wiadomo, Ŝe na komputerze jest? JeŜeli w czasie korzystania z bankowości internetowej wyświetlany jest ekran z prośbą o podanie poufnych danych, o które bank zazwyczaj nie prosił to najprawdopodobniej na komputerze jest zainstalowany Trojan. MoŜe to być prośba o podanie: pełnego hasła do zalogowania (bez wymuszenia maski), jednorazowych kodów, numerów kart kredytowych, danych osobowych w tym numer telefonu komórkowego miejsca przechowywania klucza prywatnego klienta wraz z hasłem. Bank nigdy nie zadaje takich pytań Klientowi. PoniŜej przedstawiono przykładowe ekrany po zaraŝeniu komputera Trojanem Mebroot. Atak na klientów ING Banku Śląskiego, aczkolwiek nie do końca dopracowany przez oszusta Ŝądający podania pełnego hasła bez maski: 3/7
Przykład próby pozyskania kilku jednorazowych kodów w PKO BP: Przykład próby pozyskania klucza prywatnego i hasła do klucza w Incest Banku: 4/7
3. Jak sprawdzić czy na komputerze jest? Aby stwierdzić istnienie Trojana Mebroot w systemie naleŝy sprawdzić istnienia charakterystycznych plików. W plikach tych przechowywane są dane konfiguracyjne Trojana oraz dane zebrane od klienta w czasie jego logowania się do aplikacji internetowych. Dane te są co pewien czas przesyłane na serwer cyber-przestępcy. Pliki znajdują się w katalogu C:\WINDOWS\Temp, ale są one plikami ukrytymi. Aby je zobaczyć naleŝy wykonać następujące czynności w programie Windows Explorer: 1. Narzędzia 2. Opcje folderów 3. Po otwarciu się okna Opcje folderów wybrać Widok 4. Zaznaczyć PokaŜ ukryte pliki i foldery 5. Odznaczyć Ukryj chronione pliki systemu operacyjnego 6. Po wybraniu tej opcji pokaŝe się OstrzeŜenie naleŝy wybrać Tak 7. Następnie w oknie Opcje i folderów przycisk OK. JeŜeli wykonaliśmy wszystko zgodnie z zaleceniami powyŝej i system komputerowy jest zaraŝony Trojanem Mebroot w katalogu C:\WINDOWS\Temp pokaŝą się pliki bca4e2da.$$$ i fa56d7ec.$$$. 5/7
4. Jak usunąć? Na dzień dzisiejszy Ŝaden z programów antywirusowych czy antyrootkitowych nie wykrywa i nie usuwa automatycznie Trojana Mebroot. W celu ręcznego usunięcia Trojana Mebroot naleŝy wykonać następujące czynności: 1. NaleŜy uruchomić komputer z CD-ROM-a instalacyjnego Windowsa 2. Gdy na ekranie pojawi się Zapraszamy do programu instalacyjnego naleŝy wybrać klawisz R = Napraw Po wybraniu opcji R = Napraw pokazuje się konsola odzyskiwania, gdzie kolejno wykonujemy następujące czynności: 1. Wybieramy numer instalacji, do której chcemy się zalogować. Zazwyczaj jest tylko jedna instalacja, więc naleŝy wybrać przycisk z cyfrą 1 i nacisnąć Enter 2. Podajemy hasło administratora i zatwierdzamy Enter. Po podaniu prawidłowego hasła system zgłasza się kursorem C:\WINDOWS> 3. Wpisujemy polecenie fixmbr, które potwierdzamy Enter. 4. System wyświetli pytanie Czy na pewno chcesz zapisać nowy rekord MBR? JeŜeli jesteśmy tego pewni wpisujemy t i potwierdzamy Enter 5. Po prawidłowej zmianie MBR wyciągamy CD i wykonujemy polecenie exit. Nastąpi ponowne uruchomienie system operacyjnego. 6/7
NaleŜy jednak pamiętać, Ŝe najlepszym i najbardziej skutecznym rozwiązaniem jest formatowanie dysku i instalowanie sytemu operacyjnego od nowa. 7/7