Le toolbar di Google e Yahoo colpite da un Trojan

di Pasquale Miele

Pubblicato 18 Settembre 2007
Aggiornato 12 Febbraio 2018 20:50

Da oggi dobbiamo fare molta attenzione anche a ciò che digitiamo nelle toolbar dei motori di ricerca. Tutta colpa di un nuovo Trojan, chiamato FakeGoogleBar.M, che si “diverte” a rubare le keyword inserite sia in Google che in Yahoo.

Nel caso in cui questo malware non trova nessuna delle due toolbar installate sul PC, non si demoralizza, bensì crea altri file per assicurarsi la sua esecuzione. In caso contrario, modifica la seguente chiave di registro:

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Explorer Browser Helper Objects

In questo modo registra la libreria GOOGLETOOLBAR1.DLL come un Browser Helper Oject, utile ad attivare il codice ogni qual volta viene avviato il browser.

Inoltre, in seguito ad un’infezione, viene stabilita una connessione sulla porta 80 del PC, attraverso la quale il Trojan invia i dati rubati al suo creatore. Un modo semplice quindi per rilevarlo è, chiudere qualunque browser, ed eseguire il comando netstat dalla Shell di Windows: nel caso in cui visualizzate una connessione stabilita sulla porta 80, vuol dire che il vostro computer è, quasi sicuramente, infetto.

Un altro metodo molto semplice è quello di equipaggiarsi di FireWall, ad esempio Ashampoo Firewall Free, e attivarlo in modo da tener traccia di qualsiasi connessione ed eventualmente bloccare quelle non desiderate (questo metodo non funziona se il malware sfrutta qualche bug del browser, poiché in questo caso il Firewall lascia libera uscita).

Il Trojan riesce anche a registrare l’indirizzo IP e quello MAC, che vengono inviati al cracker attraverso un server creato ad hoc. Per rubare informazioni personali, questo codice maligno, copia in un file, che poi viene recapitato ai cybercriminali, tutti gli indirizzi web contenenti parole come: .gov, admin, aport, bank, google, httpd, https, login, ecc. Molte di queste keyword rivelano, attraverso una tecnica chiamata Google Hack, informazioni riservate come indirizzi e-mail e dati di accesso a siti web.

Secondo voi si tratta di un “attentato” alla nostra privacy oppure di un modo come un altro per creare scompigli sulla rete?