FBI, come controllare se il vostro pc è affetto dal “virus” Blackshades

Ieri è stata effettuata una maxi retata da parte dell’Europol e dell’FBI che ha portato all’arresto di quasi 100 hacker in 16 diversi paesi. I cybercriminali avevano utilizzato un tool, denominato BlackShades, per infettare circa mezzo milione di computer in tutto il mondo con lo scopo di rubare informazioni sensibili o mettere in atto vere e proprie estorsioni nei confronti delle vittime. Il gruppo di hacker aveva creato una rete di distribuzione del software, coinvolgendo oltre 100 persone.

Secondo l’FBI, i due sviluppatori di Blackshades sono lo svedese Alex Yucel e lo statunitense Michael Hogue. Il primo, ritenuto il capo dell’organizzazione, era già stato arrestato in Moldavia ed era in attesa di estradizione negli Stati Uniti. Il cybercriminale aveva creato una vera azienda, assumendo e licenziando impiegati, pagando stipendi e gestendo la distribuzione del tool attraverso un direttore del marketing, uno sviluppatore web e un team di rappresentanti che vendevano Blackshades ai clienti, ai quali veniva offerto anche un supporto tecnico. Il sito è stato ora sequestrato dall’FBI.

Blackshades è un utility per il controllo remoto (costa circa 40 dollari) che può essere utilizzato in maniera legittima (il suo nome completo è infatti Blackshades Remote Access Tool). Tuttavia sono presenti “funzionalità extra” sfruttate per eseguire azioni criminali, come attacchi DDoS, controllo della webcam, keylogging, URL redirecting, download di malware, richieste di riscatto, furto di dati personali, di identità e di password, accesso a documenti, foto e altri contenuti presenti sul computer.

Durante le indagini sono state scoperte varie versioni del tool, vendute tramite il sito web. Blackshades è molto diffuso tra gli hacker, in quanto può essere personalizzato in base alle specifiche richieste. L’FBI ha pubblicato una breve guida che spiega come rilevare l’eventuale presenza del malware sul proprio computer. Tutti gli arrestati rischiano fino a 10 anni di prigione.

Ecco un elenco di possibili indicatori che il computer potrebbe essere infettato da Blackshades o da un simile strumento di accesso remoto di malware:

• Il cursore del mouse si muove in modo irregolare senza input da utente;
• Luce della fotocamera Web (se in dotazione) si accende inaspettatamente quando fotocamera web non è in uso;
• Il monitor si spegne durante l’uso;
• I nomi utente e le password per gli account on-line sono stati compromessi;
• Accessi non autorizzati a conti bancari o trasferimenti di denaro non autorizzati;
• Viene visualizzata la finestra di chat testuale sul desktop del vostro computer in modo imprevisto;
• I file del computer diventano criptati e compare una richiesta di riscatto per sbloccarli.

Blackshades il malware colpisce i sistemi operativi basati su Microsoft Windows. Se credete che voi o qualcuno che conoscete possa avere un computer che è stato infettato da questo malware, verificate nel disco rigido del computer la presenza dei seguenti file, sono noti per essere presenti sui computer Blackshades-infetti:

• dos_sock.bss
• nir_cmd.bss
• pws_cdk.bss
• pws_chro.bss
• pws_ff.bss
• pws_mail.bss
• pws_mess.bss

Per eseguire il controllo di cui sopra, fare clic sul menu Start e digitare ogni nome di file nel campo di ricerca. Se la ricerca produce riscontri positivi per uno o più di questi file, il computer potrebbe essere infettato da Blackshades.

Oltre ai file di cui sopra viene aggiunto al disco rigido del computer, Blackshades fa anche modifiche al registro di Windows. La posizione esatta può variare a seconda della verson di Microsoft Windows che si sta utilizzando, ma è aggiunta la seguente sottochiave:

• Computer \ HKEY_CURRENT_USER \ Software \ Impostazioni Programmi VBandVBA \ srvid \ ID \ [stringa di lettere e numeri]

Per eseguire un controllo per questa modifica del Registro di sistema, adottare le seguenti misure:

1. Fare clic sul menu Start.
2. Digitare “regedit” nel campo di ricerca.
3. Eseguire l’Editor del Registro di sistema (regedit.exe). Se richiesto, selezionare “Sì” per consentire al programma di apportare modifiche al computer.
4. Selezionare “Modifica” dalla barra degli strumenti della finestra.
5. Selezionare “Trova” dal menu Modifica.
6. Digitare “srvid” nel campo Trova.

Chiunque esegue i controlli di cui sopra e ottiene risultati positivi è invitato a presentare un reclamo a Internet Crime Complaint Center dell’FBI . Si prega di inserire il termine “Blackshades” nella sezione la descrizione dell’incidente del reclamo.

E per l’assistenza sulla rimozione Blackshades, contattare il provider di servizi Internet, l’azienda di software antivirus, o altro professionista di sicurezza informatica. (wn)

L’articolo FBI, come controllare se il vostro pc è affetto dal “virus” Blackshades sembra essere il primo su CheckBlackList.