Nuevos recursos para combatir al troyano Sinowal

10 Nov 2008 en Seguridad

También conocido como Torpig y Mebroot, RSA informó que también ha sido utilizado en el robo de direcciones de email y cuentas FTP de numerosos sitios Web. Ha actuado durante años, burlando los esfuerzos de los proveedores de antivirus y expertos en seguridad.
La semana pasada, el proveedor de antivirus Authentium anunció que ha conseguido crear una técnica capaz de neutralizar a este troyano y proteger a los usuarios. Dicha técnica utiliza un concepto al que Ray Dickenson, CTO de esa firma, define como “reverse sandboxing.”
Reverse Sandboxing es, según Dickenson, algo similar a lo que hace un glóbulo blanco cuando el organismo es invadido por un virus. Lo rodea y trata de impedir que siga atacando a otras partes del sistema. A diferencia del glóbulo blanco, reverse sandbox no lanza su propio ataque contra el virus. Lo que hace el producto de Authentium, SafeCentral, es dejar a Sinowal sin la capacidad de ver o registrar digitación en el teclado, hacer seguimiento de los sitios Web visitados por el usuario, ni tener acceso a sus archivos. También crea un sistema de nombres de dominios seguro y escondido, que resulta invisible a Sinowal. “No confiamos en nada que forme parte de la plataforma local, ya sea en la configuración TCP/IP de servidor DNS de la máquina o en el servidor DNS del ISP al que se está conectado,” agrega Dickenson.
SafeCentral instala un pequeño kernel de seguridad en el sistema operativo del usuario y de allí activan controles de políticas sobre las aplicaciones que puede ver el disco duro del usuario. El troyano no puede ver las vistas de DNSs o eventos de navegación del browser. Los troyanos que roban datos de banca online, capturan los datos cuando los usuarios se conectan a los sitios de los bancos y se los envían a los hackers.
Firmas especializadas como Veracode, fueron consultadas y consideran viable al enfoque de SafeCentral. Igual opinión surgió de Sean Brady, de RSA, donde FraudAction Research Laboratory trabaja sobre Sinowal. “Cualquier solución que pueda evitar la infección de los usuarios, es bienvenida.”