4 maggio 2017

Doctor Web avverte circa un successivo programma malevolo: a rischio sono gli amanti di chiavi gratuite. Questa volta i malfattori si sono allontanati dai tradizionali metodi di distribuzione dei software malevoli.

Da qualche tempo nel gruppo ufficiale di Doctor Web nel social network "VKontakte" sono iniziati a comparire degli messaggi da utenti anonimi che offrivano di scaricare chiavi di licenza gratuite per Antivirus Dr.Web. Di regola, tali messaggi contengono un link accorciato al file hosting RGhost. Se la potenziale vittima clicca tale link, le verrà offerto di scaricare un archivio RAR grande di circa 26 Kbyte. Naturalmente, i moderatori della community Doctor Web cercano di cancellare prontamente tali messaggi, però talvolta non riescono a farlo subito dopo che vengono pubblicati.

L'archivio contiene un piccolo file eseguibile che ha l'icona di un documento di testo semplice. Tutti i campioni esaminati di questa applicazione rappresentano un uguale backdoor, però prima di collocarlo in Internet, i malfattori ricomprimono ogni volta il programma malevolo per evitare il rilevamento tramite le firme antivirus. Come il risultato, il trojan, denominato Trojan.MulDrop7.26387, non viene rilevato per un breve tempo da Antivirus Dr.Web — ogni nuovo campione inizia ad essere rilevato solo dopo un successivo aggiornamento dei database dei virus. A quanto pare, distribuendo un trojan con il pretesto delle chiavi di licenza per un antivirus, i malfattori contavano su utenti sconsiderati sui cui computer non è installato alcun software antivirus o è in uso un programma di sicurezza gratuito.

Trojan.MulDrop7.26387 è un backdoor multifunzionale con un insieme di funzioni abbastanza divertente, "scolare". È creato sulla base del noto strumento di amministrazione remota (RAT, Remote Administration Tool) Njrat 0.7 Golden By Hassan Amiri, che viene rilevato da Dr.Web come BackDoor.NJRat.1013.

è un backdoor multifunzionale con un insieme di funzioni abbastanza divertente, "scolare". È creato sulla base del noto strumento di amministrazione remota (RAT, Remote Administration Tool) Njrat 0.7 Golden By Hassan Amiri, che viene rilevato da Dr.Web come

• sostituire lo sfondo del desktop Windows;
• spegnere o riavviare il computer;
• visualizzare un messaggio di sistema con un testo specificato;
• invertire le funzioni dei pulsanti del mouse;
• riprodurre attraverso altoparlanti una determinata frase, utilizzando il sintetizzatore vocale;
• nascondere o visualizzare nuovamente la barra delle applicazioni di Windows;
• aprire o chiudere l'unità ottica;
• accendere o spegnere il monitor;
• aprire nel browser una pagina impostata;
• leggere, impostare o eliminare un valore specificato del registro di sistema;
• catturare una schermata e trasmetterla sul server di controllo;
• scaricare e lanciare un file eseguibile indicato;
• aggiornare o rimuovere il file eseguibile del trojan.

Una delle funzioni più pericolose del backdoor è un keylogger incorporato che memorizza le battiture sui tasti. Su comando questi dati vengono caricati sul server degli intrusi. Inoltre, i trojan è in grado di riprodurre sullo schermo della macchina infetta filmati SWF di contenuto spaventoso.

Gli analisti dei virus Doctor Web notano che tali programmi malevoli — che hanno l'obiettivo principale di spaventare o confondere gli utenti — sono rari negli ultimi anni. La maggior parte dei trojan di oggi è orientata all'ottenimento dei profitti commerciali da parte dei malfattori, e della diffusione dei virus con lo scopo di far paura alla vittima per il proprio piacere si occupano perlopiù adolescenti in età di scuola superiore.

La saggezza popolare dice che il formaggio c'è gratis solo in una trappola per topi, perciò le svariate offerte di scaricare chiavi di licenza per prodotti software commerciali sono comunque fraudolente. L'azienda Doctor Web incoraggia gli utenti a rimanere vigili e a non cedere di fronte a tali provocazioni.

Informazioni sul trojan