10 giugno 2016

Tra i programmi malevoli attuali vi è una categoria specifica dei trojan che vengono chiamati "incorporei" dagli specialisti della sicurezza informatica. Infatti, non sono presenti sul computer infetto nella forma di un file separato, ma funzionano direttamente nella memoria operativa, utilizzando per la memorizzazione vari contenitori, come ad esempio il registro di sistema di Windows. In questo articolo Doctor Web parla di un membro del gruppo dei trojan "incorporei", che è stato chiamato Trojan.Kovter.297.

Trojan.Kovter viene diffuso tramite un altro malware — Trojan.MulDrop6.42771 appositamente creato per installare applicazioni malevole sui computer attaccati. Questa combinazione di programmi malevoli viene rilevata da Antivirus Dr.Web come Trojan.Kovter.297. Nonostante l'apparente semplicità del suo scopo, Trojan.MulDrop6.42771 possiede un'architettura abbastanza complessa. Il codice del trojan, al fine di complicarne l'analisi, contiene molte casuali stringhe e invocazioni di funzioni e la principale libreria malevola è nascosta nelle risorse di Trojan.MulDrop6.42771 nella forma di un'immagine. Questo trojan può determinare se sul computer sono in esecuzione macchine virtuali e altri strumenti di debug, che di solito vengono utilizzati dagli analisti dei virus per studiare campioni dei software dannosi, e se ne rileva uno, si chiude. Inoltre, può visualizzare un messaggio sullo schermo del computer e disattivare la funzione di controllo degli account utenti di Windows (User Accounts Control, UAC).

Trojan.MulDrop6.42771 può assicurare la propria esecuzione automatica nel sistema in sette modi diversi, e per avviare il carico utile sono previsti sei metodi diversi: Trojan.MulDrop6.42771 utilizza il metodo impostato nella sua configurazione. Inoltre, questo programma malevolo può copiarsi nelle cartelle radice di tutti i dischi connessi alla macchina infetta, creandoci un file di esecuzione automatica autorun.inf, cioè può diffondersi allo stesso modo di un worm.

Come abbiamo già detto, alcuni campioni di Trojan.MulDrop6.42771 contengono un trojan incorporeo della famiglia Trojan.Kovter. Di solito, viene avviato dal trojan-dropper, ma possiede anche un proprio meccanismo di avvio automatico. Questo programma malevolo crea nel registro di sistema alcuni record: uno contiene il corpo del trojan nella forma cifrata, un altro contiene uno script per la decifratura e per il caricamento nella memoria del computer. I nomi di questi record includono caratteri illeggibili specifici per cui il programma standard "regedit" non può visualizzarli.

In effetti, Trojan.Kovter funziona nella memoria operativa del computer infetto senza salvare su disco una sua copia nella forma di un file separato, il che in una certa misura rende difficile la sua ricerca e rimozione. Dal punto di vista delle funzioni malevole, Trojan.Kovter può essere inserito nella categoria di trojan pubblicitari — avvia in background in un modo impercettibile per l'utente alcune copie del browser Microsoft Internet Explorer, attraverso cui "visita" siti indicati dai malintenzionati e aumenta il numero di visualizzazioni di annunci, facendo clic su link e banner pubblicitari. In questo modo i malintenzionati traggono profitto dagli organizzatori di partner program e dagli inserzionisti che pubblicano annunci con il pagamento per clic e passaggi.

Sebbene Trojan.Kovter cerchi di operare in un modo impercettibile su una macchina compromessa, una scansione del computer tramite Antivirus Dr.Web consente di liberarsi dall'infezione. È consigliabile aggiornare tempestivamente i database dei virus ed eseguire scansioni del computer con regolarità se si sospetta che il PC sia infettato da un software malevolo.