Se ia un troian, i se da capacitatea de a fura date personale ale utilizatorilor, si se ascunde bine bine de scanarile antivirusilor: reteta perfecta care a facut foarte multe victime. Asta pana azi, pentru ca teribilul Sinowal, troian cunoscut si nu numele Torpig si Mebroot, in realitate face in continuare vicime. Multe, foarte multe victime: in circa doi ani, a furat peste 300.000 date de acces la servicii bancare, si mai mult de 300.000 de numere de carti de credit. Prin longevitate si cantitate a atins un record care, a atras privirile expertilor in securitate informatica. Sinowal este capabil de a se upgrada zi de zi, imbunatatindusi astfel tehnicile de ascundere, reparandusi bugurile si profitand de noile vulnerabiliati descoperite pentru a infecta cat mai multe computere. 

Sinowal este de fapt un troian, deci un program de mici dimensiuni privat de capacitatea de a se replica, in grad de a pune in contact computerul victimei cu creatorul sau. Acesta din urma preia controlul anumitor functionalitati vitale ale computerului. Ca orice troian, Sinowal parcurge trei etape: instalarea lui pe computerul victima, ascunderea sa de scanarile antivirusilor, si in sfarsit, activarea unui sistem de comunicare cu autorul sau.

O “injectie” dureroasa

In cazul troianului Sinowal, prima faza consta intr-o normala procedura de HTML injection. In practica codul periculos pe care se bazeaza, este colegat de obicei cu scripturi Java integrate dupa intr-o pagina web oarecare. Cand cineva vizieaza respectivul site web, codul se instaleaza in computer. Nu este acum momentul sa intram in detaliile acestei tehnici, insa ea este veche dar in acelas timp foarte eficienta si utilizata. In acest punct, un troian normal se instaleaza in memoria locala a unui computer ... nu insa si Sinowal, care se instaleaza insa in MBR. Master Boot Record este un mic program ce vine incarcat la bootarea computerului si se gaseste de obicei in primul sector al hard diskului. Scopul MBR-ului este de a controla de pe care partitie vine incarcat sistemul de operare. Se intelege ca prezenta de cod rauintenionat in aceasta zona de memorie este privilegiata, si Sinowal nu e singurul care profita. Spre deosebire de alti virusi, Sinowal nu modifica in nici un fel MBR-ul si din acest motiv, antivirusii, nu sunt capabili sa-l detecteze. Odata restartat computerul, Sinowal intra in actiune dupa opt minute (evitand astfel scanarea initiala facuta de multi antivirusi), modifica registrii Windows si restartaza computerul folosind o copie alterata a MBR-ului. Dupa, troianul elimina toate urmele sale.

Keylogger?

Odata instalat si activ, Sinowal intra in actiune. Dupa tehnica MBR descrisa mai sus, Sinowal are un alt AS in maneca. Defapt, scopul principal al acestui troian este de a funciona ca si keylogger deci de a inregistra tot ceea ce vine scris de la tastatura. Dat fiind faptul ca un utilizator in cateva ore poate tasta mii de caractere, autorul Sinowal pentru a evita riscul de a primi cantitati enorme de date, a creat o baza de date cu adresele web a siteurilor de care este interesat sa afle date personale (username/password). Deci daca de exemplu victima tasteaza adresa bancii sale online iar adresa aceasta exista in baza de date Sinowal, troianul se activeaza si inregistreaza datele de acces si le trimite autorului.

Chestiune de update

Puterea troianului Sinowal este data de updateul constant din partea creatorilor a acestei baza de date cu adrese web ... ajunsa la 3000 de siteuri. Si codul troianului este updatat astfel incat sa nu fie detectat de antivirusi. Ce se poate face pentru a combate Sinowal? In primul rand Sinowal afecteaza in principal Windows XP, chiar daca este updatat la zi. Dintre toti antivirusii, momentan doar Avira este capabil sa-l detecteze, sau cel putin era in masura sa-l detecteze pana azi...