Win32/Theola is een kwaadaardige component van de bekende "Win32/Mebroot / Sinowall / Torpig" bootkit - rootkit, deze kwaadaardige browserplug-in installeert zich in Google Chrome als extensie genaamd Default Plug-in 1.0. Zodra gebruikers ergens inloggen zoals op bijvoorbeeld de website van de bank wanneer de betreffende computer met deze malware is geïnfecteerd onderschept de malware de inloggegevens en creditcardgegevens van de gebruiker en stuurt die terug naar de cybercriminelen. Daarnaast kan Theola ook video-opnamen registreren, aangezien het namelijk over functionaliteit beschikt voor het opslaan van video's in het MPEG formaat.
Deze malware is vooral in Nederland actief volgens een onderzoek dat het Slowaakse anti-virusbedrijf ESET heeft uitgevoerd. ESET heeft in een reactie naar Security.NL laten weten dat de Rabobank de enige bank is die hardcoded in de Theola plug-in van Google Chrome zit verwerkt. Voor de rest gebruikt Theola zoals het er nu naar uitziet de lijst van Mebroot / Sinowall / Torpig, die in totaal 1541 banken bevat, waaronder eigenlijk alle Nederlandse websites van banken.
Informatie over deze malware.
De Torpig Trojan die ook bekend is onder de namen Sinowal, Mebroot of Torpig is eigenlijk geen trojan of virus maar een "rootkit" die zich op de eerste sectoren van een harde schijf nestelt, en tot de klasse van de bankingmalware wordt gerekend.
Kort samengevat is deze malware uit op bank en andere persoonlijke gegevens die via "Man in the browser" technieken achterhaald worden, door bijvoorbeeld het injecteren van websites met extra invoervelden.
Win32/Theola.F is een browserpug-in voor Google Chrome en is gebaseerd op de NPAPI interface (Netscape Plugin Application Programming Interface). Hieronder ziet u een schematisch overzicht van de betreffence browserplug-in. De volledige analyse hiervan kunt u nalezen op WeLiveSecurity van ESET.
Verspreiding en detectie.Deze malware-variant is al geruime tijd in omloop en zelfs ISP's (Internet Service Providers) zoals Ziggo en Xs4all sturen dan zelfs ook met enkele regelmaat brieven aan gebruikers waarbij is gedetecteerd dat zij geïnfecteerd zijn met de "Win32/Mebroot / Sinowall / Torpig" bootkit - rootkit. Maar ook de ING-Bank verstuurt met enige regelmaat brieven aan klanten om te waarschuwen voor een eventuele infectie met deze malware.
In het bericht op de onderstaande link ziet u een voorbeeld van een brief die door Ziggo is verstuurd. Controle en verwijdering van malware.
Om uw computer te controleren op aanwezigheid van malware kunt u gebruik maken van één van de onderstaande handleidingen. Op het forum kunnen wij u dan verder helpen bij het controleren en het malware-vrij maken van uw computer. Heeft u vragen over uw beveiliging, beveiligingssoftware of over de malware zelf kunt u terecht in de sectie: Algemene vragen & discussies over beveiliging en uw privacy
