ERROR: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ' active_time = 1503052990, active_ip = '54.166.152.111', ac' at line 2
---
REPLACE INTO it_active SET active_id = , active_time = 1503052990, active_ip = '54.166.152.111', active_user_agent = 'CCBot/2.0 (http://commoncrawl.org/faq/)', active_session = 'q6pd11h717tqi94ifhdj9rcsb2'
---
ERROR: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ') ORDER BY comment_date ASC' at line 3
---
SELECT * FROM it_comments, it_users WHERE user_id = comment_author_id AND comment_topic = 171358 AND comment_type = 'articles' AND (comment_state = 1 OR comment_author_id = ) ORDER BY comment_date ASC
---
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ') ORDER BY comment_date ASC' at line 3 G DATA mette a nudo ZeuS Panda


Article Marketing » Computer » Sicurezza » G DATA mette a nudo ZeuS Panda



G DATA mette a nudo ZeuS Panda


Preleva il codice html | PDF | Stampa
scritto da: SABMCS - Visite: 0 - Numero di parole: 810 - Data: 10 Aug 2017 - Ora: 12:15 PM 0 commenti




Bochum - Il banking trojan ZeuS e la sua variante chiamata "Panda" hanno rappresentato negli ultimi sei anni un esempio di malware “prezzemolino” nell’universo delle minacce ai sistemi bancari. L’analisi G DATA rivela un trojan assolutamente fuori dal comune.

Come sapere se i sistemi sono infetti

Partiamo con una cattiva notizia: una volta che una macchina non protetta è stata infettata, è quasi impossibile rilevare la presenza di ZeuS Panda guardando solo i contenuti sullo schermo. Quanto visualizzato sullo schermo è infatti frutto di una intelligente manipolazione che presenta all’utente un perfetto clone di un particolare sito bancario o di sito per i pagamenti online. Gli utenti vengono indotti ad eseguire una donazione a un ente caritatevole o ingannati con richieste di restituzione di un pagamento ricevuto erroneamente, altri aggressori addirittura alzano la posta adducendo indagini sul riciclaggio di denaro condotte dalla "polizia finanziaria tedesca" (non esiste una simile istituzione in Germania, almeno non sotto questo nome). Oltre ad appropriarsi dei dati immessi sul sito web e modificare ciò che l'utente può vedere, ZeuS Panda manipola anche alcune impostazioni di sicurezza e allarmi all'interno del browser, che altrimenti potrebbero rivelarne la presenza.

Ed ora la buona notizia: esistono tecnologie in grado di rilevare un'infezione anche in assenza di una firma per questo malware, come ad esempio G DATA BankGuard.

Perchè Panda è speciale

Sono numerosissime le applicazioni dannose che cercano di eludere la rilevazione e di precludere l’analisi. ZeuS Panda è dotato di meccanismi articolati per evitare che venga analizzato: ad esempio controlla se sono presenti indicatori tipici di macchine virtuali - tra cui VMWare, OpenBox, Wine o qualsiasi tipologia di ambiente HyperV. Molti analisti testano campioni di malware in ambienti virtuali, il malware tenta quindi di compromettere l'analisi. Inoltre, Panda verifica la presenza di molti strumenti utilizzati dagli analisti tra cui ProcMon, Regshot, Sandboxie, Wireshark, IDA e il debugger SoftICE. Se viene rilevata la presenza di uno di questi programmi, il malware non viene eseguito. Altre applicazioni malevole utilizzano controlli davvero superficiali per verificare la presenza di VMWare e OpenBox, funzioni spesso copiate e incollate da codice di terzi. Nel caso di Panda, non solo la verifica è approfondita ma sono stati utilizzati diversi “packer” per creare il file dannoso, cosa che obbliga gli analisti a spacchettizzare il file manualmente. Insomma i creatori di ZeuS Panda hanno creato un malware che dà parecchio filo da torcere agli analisti.

Online circolano anche altri tipi di malware che utilizzano tecniche simili, ma in molti casi l'implementazione è scadente o il trojan stesso contiene errori, limitandone l’efficacia. Tra i numerosi esempi figurano anche casi in cui, dopo aver condotto le attività di deoffuscamento del codice, è risultato che l'URL che doveva essere contattato dal malware conteneva un errore di battitura, azzoppando l’intero costrutto.

Non è questo il caso di ZeuS Panda il cui compito è di continuare a raccogliere dati fino a quando non gli viene ordinato il contrario. Anche qualora il server di comando e controllo di riferimento sia tolto dalla rete, il malware continua ad accumulare i dati sul sistema fino a quando non può scaricarli su un altro server.

Un "coltellino svizzero" fabbricato nell'Europa orientale

Ciò che differenzia Panda in termini di meccanismi di evasione e qualità della produzione, è la sua versatilità. Sebbene ZeuS Panda sia innanzitutto un Trojan bancario, è anche in grado di rubare altri tipi di dati da un sistema, inclusi i contenuti degli appunti (ossia quello che viene copiato in un file per incollarlo altrove  - le applicazioni che gestiscono le password utilizzano spesso la clipboard per trasferire le credenziali dal gestore delle password ad un’altra applicazione o sito web) e eventuali screenshot. Inoltre può implementare una backdoor completa sul sistema infetto tramite VNC. Una situazione equiparabile all’avere qualcuno che siede alle nostre spalle e ci spia quotidianamente 24 ore su 24.

Quale funzione di ZeuS Panda è effettivamente attiva sul sistema dipende dalla configurazione del malware stesso, che si aggiorna automaticamente a intervalli regolari. L’applicazione può quindi trasformarsi da trojan bancario a spyware e controllo remoto di un PC in pochi minuti, a discrezione esclusiva dell'aggressore.

In merito all’origine di ZeuS Panda le indicazioni sono molto chiare: il malware non si attiva se rileva che il sistema aggredito si trova in Russia, Ucraina, Bielorussia o Kazakistan.

Analisi dettagliata

Il rapporto contenente l’analisi tecnica dettagliata di ZeuS Panda è scaricabile dal sito G DATA Advanced Analytics ed è integrato in due articoli postati dal team sul sito (Parte 1 e Parte 2 ).



Note biografiche dell'autore

Chi è G DATA

La sicurezza IT è nata in Germania: G DATA Software AG viene considerata a pieno titolo l'inventore dei software antivirus. L'azienda, fondata nel 1985 a Bochum sviluppò oltre 30 anni fa il primo programma contro la diffusione dei virus informatici. Oggi, G DATA è uno dei principali fornitori al mondo di soluzioni per la sicurezza IT.

Numerosi test mirati condotti sia in Germania sia da organizzazioni rinomate a livello internazionale oltre che test comparativi condotti da riviste specialistiche indipendenti hanno dimostrato che la IT security "Made in Germany" offre agli utenti di Internet la miglior protezione possibile.  Nel marzo 2017 la soluzione ha ottenuto per il decimo anno consecutivo un’eccellente valutazione per la rilevazione dei virus da Stiftung Warentest.

Inoltre, per il secondo anno consecutivo, G DATA è partner tecnico di Ducati Corse per la MotoGP ed ha il compito di proteggere i sistemi IT di pista del team Ducati.

Il portafoglio prodotti G DATA comprende soluzioni di sicurezza sia per privati, sia per le aziende, dalle PMI alle grandi imprese. Le soluzioni di sicurezza di G DATA sono disponibili in oltre 90 Paesi di tutto il mondo.

Ulteriori informazioni su G DATA e sulle soluzioni di sicurezza sono consultabili sul sito www.gdata.it

 

CONTATTI PER LA STAMPA

SAB Communications snc - Ufficio stampa G DATA

Via della Posta 16

CH - 6934 Bioggio

Tel: +41 91 2342397

email: press@sab-mcs.com



Pubblica e condividi questo articolo

Per pubblicare questo articolo sul tuo sito o blog clicca qui per prelevare il codicie HTML
Ricorda: il corpo dell'articolo, il titolo, Note biografiche dell'autore e i link non possono essere né cambiati né rimossi. Per pubblicare questo articolo devi aver letto ed accettato i termini del servizio.


Rating: Nessun voto espresso
Per votare effettua il login

Commenti

Nessun commento.

Invia un commento

Per inviare un commento devi prima effettuare il login.










Autori top

Social Bookmark
Bookmark to: Mr. Wong Bookmark to: Webnews Bookmark to: Icio Bookmark to: Oneview Bookmark to: Linkarena Bookmark to: Favoriten Bookmark to: Seekxl Bookmark to: Kledy.de Bookmark to: Social Bookmarking Tool Bookmark to: BoniTrust Bookmark to: Power Oldie Bookmark to: Bookmarks.cc Bookmark to: Favit Bookmark to: Bookmarks.at Bookmark to: Shop-Bookmarks Bookmark to: Seoigg Bookmark to: Newsider Bookmark to: Linksilo Bookmark to: Readster Bookmark to: Folkd Bookmark to: Yigg Bookmark to: Digg Bookmark to: Del.icio.us Bookmark to: Facebook Bookmark to: Reddit Bookmark to: Jumptags Bookmark to: Simpy Bookmark to: StumbleUpon Bookmark to: Slashdot Bookmark to: Propeller Bookmark to: Furl Bookmark to: Yahoo Bookmark to: Spurl Bookmark to: Google Bookmark to: Blinklist Bookmark to: Blogmarks Bookmark to: Diigo Bookmark to: Technorati Bookmark to: Newsvine Bookmark to: Blinkbits Bookmark to: Ma.Gnolia Bookmark to: Smarking Bookmark to: Netvouz

Statistiche

Categorie presenti: 0
Articoli totali: 8951
Autori iscritti: 19810
0 utenti online.

Copyright © 2017 article-marketing.biz - Tutti i diritti riservati - Powered by link UP Europe! P.IVA 09257531005
Associazione Culturale per l'uso didattico ed etico dell'informatica
Sede legale: Via Pietro Rovetti, 190 - 00177 - ROMA