sabato 26 novembre 2011

Trojan blocca PC

Fonte Notizia http://news.wintricks.it

Questo trojan prende di mira il Master Boot Record, ovvero il settore zero del disco rigido che serve ad avviare il sistema operativo e si innesta sostituendo il codice presente in esso con il proprio. Infatti, non appena abbiamo provato ad effettuare il boot del computer è comparso uno strano messaggio che, spacciandosi per Microsoft, avverte che la licenza d’uso del sistema operativo è scaduta ed è necessario acquistare (a caro prezzo) un nuovo codice di attivazione chiamando un numero italiano a pagamento, iniziante con il famigerato prefisso 899.

Ecco il testo del messaggio:

"Attention! Windows activation period is exceeded.
This windows copy is illegal and not registered properly. The further work is not possible. For activating this copy of windows you must enter registration code.
This code you can find in your windows distribution package. If you not find them you can receive it by the phone: 899 *** ***.
Registration code must be entered not later then three days, if it entered later the unlocking is not possible"

A questo punto il messaggio invita a digitare il codice richiesto.Nulla di più falso! Il trojan MBRLock è un perfetto esempio di utilizzo di tecniche di ingegneria sociale: abbiamo potuto verificare infatti che il trojan non blocca l’accesso ai dati, né li cancella o li cripta, ma previene solamente il caricamento del sistema operativo. Ma tanto basta a spaventare la maggior parte degli utenti, mettendoli in allarme e convincendoli ad effettuare la “carissima” telefonata.

Da un'analisi più approfondita abbiamo scoperto che il trojan è programmato per capire la provenienza geografica del PC infetto, al fine di mostrare numeri di telefono differenti e specifici (gli utenti maggiormente presi di mira sono quelli italiani, austriaci, svizzeri e belgi). Fortunatamente il codice di sblocco richiesto da MBRLock non è complesso. Il meccanismo di verifica usato dal trojan, infatti, controlla solo la lunghezza del codice inserito: inserendo un qualsiasi codice di 14 cifre (ad esempio "12345678901234") il trojan lo accetta, si auto-rimuove e consente il normale avvio del sistema operativo. Insomma, una grande paura ma fortunatamente nient’altro. Tuttavia, l’unico vero modo effettivo di contrastare tali infezioni è quello di effettuare costantemente backup dei propri dati, perché la prossima volta potremmo non essere così fortunati e il trojan potrebbe essere molto più “duro a morire“!

2 commenti:

  1. Io personalmente consiglio invece di passare a linux.

    Su linux raramente succedono queste cose.

    RispondiElimina
  2. Ciao Ignota hai ragione però come dici tu queste cose succedono raramente ma succedono, potrebbero accadere anche a linux in futuro, per adesso accadono a microsoft e noi le divulghiamo per informare.

    Ciao Ignota alla prossima ;)

    RispondiElimina