/ DOC

Il seguente articolo è un pezzo che ho scritto per il blog per cui lavoro. Purtroppo non ho visto che un collega ha già parlato precedentemente di questo argomento dunque, essendo stato l’argomento già trattato, il pezzo risulta non pubblicabile su oneblog. Questo fa sì che l’articolo rimanga di mia proprietà e che lo possa pubblicare sul mio blog e dato che credo che possa essere utile ho deciso di metterlo qua. L’articolo spiega come accorgersi se siete stati infettati e come potrebbero usare questo tipo di virus contro di voi.

Si chiama DNSCharger o Trojan.Win32.DNSChanger o anche DNS Changer ed è un trojan che attacca direttamente il vostro router. Con precisione attacca il sistema di DNS del vostro apparecchio il quale si occupa di effettuare la traduzione dei nomi mnemonici dei siti in numeri IP. Un cambio nelle tabelle DNS può far in modo che quando voi provate ad accedere ad un sito vi ritrovate ad un indirizzo completamente diverso.

Il DNS è il metodo studiato per tradurre il nome del sito in indirizzo IP. Per i computer un indirizzo non è altro che serie di numeri, numero che sarebbe difficile ricordare per noi. Per farvi capire quando voi scrivete www.google.it il vostro router o chi per lui(spesso se ne occupa una macchina del provider) traduce queste lettere in 64.233.161.104.

I tipi di utilizzo di questo virus sono tre. Il primo molto fastidioso ma non particolarmente pericoloso, potrebbe far anche sorridere. Se viene cambiata la traduzione da nome a IP quando voi provate ad accedere al vostro sito preferito vi ritrovate invece in tutt’altra pagina. Se il sito al quale volevate accedere ha molti accessi giornalieri e se i router infettati sono una bella somma, allora questa pagina potrà vantare una grandissima quantità di accessi anche se “rubati”. Il danno in questo caso non è alla persona infettata ma al sito che vedrebbe calare inevitabilmente le visite.

Il secondo tipo potrebbe molto più grave e problematico. Sono sicuro che anche a voi sono arrivate delle email di banche e dalle poste che chiedono di andare alla pagina linkata per rimettere i dati(username e password) che loro hanno perso per vari motivi. E’ ovvio che questi enti non possono perdere i vostri dati ma è ancora più ovvio il fatto che se li perdessero non ve li chiederebbero di certo via e-mail. Comunque per gioco qualche volta entro nelle pagine che mi vengono date e spesso rimango sorpreso dalla somiglianza che hanno questi siti con quelli veri. Anche se i siti fake sono molto simili agli originali spesso alcune parti non sono proprio fedeli. Questa è la chiave per scoprire se siete infetti, allarmatevi se vedete qualcosa di strano(anche se minima).

Bene ora pensate che cosa succederebbe se voi scrivendo www.poste.it o l’url della vostra banca invece vi ritrovate in uno di questi siti. Se vi arriva una mail vi mettete subito in guardia ma se siete voi a scrivere l’indirizzo allora siete tranquilli. In aggiunta mettete di trovarvi davanti ad un sito totalmente uguale a quello che vi aspettereste. Possiamo considerarla un’evoluzione del phishing.

Terzo tipo: attacco man in the middle. Sicuramente il più difficile da scoprire e pericoloso. Cambiando l’ip al quale il vostro router fa riferimento per la conversione nome/numero allora si può fare in modo che il router richieda questo lavoro ad un computer studiato per mettersi in mezzo. In questo modo tutto quello che voi fate sulla rete passa prima su questo computer e poi arriva al sito di destinazione password comprese. Qua le difese sono davvero poche o nulle se non siete esperti. L’unico mezzo che avete è fare un routing dei vostri pacchetti, vedere che strada fanno ma questo implica che dobbiate sapere anche quale dovrebbero fare in realtà. Questo tipo di attacco è davvero molto pericoloso.

Tags: lettere, macchina, numeri ip, siti, trojan win32, vantare, virus
Posted in Internet, Software | Comments (2)