Una GIF mina la (in)sicurezza di Internet Explorer

Un nuovo problema di sicurezza di Internet Explorer ha come colpevole una GIF (un comune formato di immagini) innocentemente chiamata img1big.gif, che anzichè mostrare vividi colori sul monitor, invia dati riservati in giro per internet.

img1big.gif è in realtà un BHO (Browser Helper Object - una DLL che permette di personalizzare il comportamento di Internet Explorer) mascherato.

Il file img1big.gif trovato su un computer spedito al SANS Internet Storm Center, è in realtà un eseguibile Win32 di 27KB circa, compresso utilizzando UPX (un comune compressore di eseguibili). Il file si decomprime in un file di 80KB contenente due eseguibili Win32 accodati. La prima porzione del file è un Trojan che installa un qualunque eseguibile a lui accodato; la seconda porzione del file è una DLL che viene installata con un nome casuale nella directory di sistema System32 ed è registrata come Browser Helper Object di Internet Explorer. Questo particolare BHO controlla le sessioni HTTPS (quelle usate sui siti "sicuri") a decine di siti finanziari e bancari in diverse nazioni. Ogni richiesta HTTPS viene catturata prima che sia criptata con SSL e viene spedita (crittografata, per evitare i controlli di eventuali sistemi anti-intrusione) a un sito che raccoglie queste informazioni.

Un'analisi tecnica approfondita (inglese) è disponibile in PDF a http://isc.sans.org/prese ... tions/banking_malware.pdf

SANS - Internet Storm Center (qui in italiano)