Doctor Web: panoramica sulle attività dei virus a febbraio 2018

28 febbraio 2018

A febbraio si diffondeva un trojan cryptolocker che infettava computer con Microsoft Windows. Attribuiva ai file cifrati l'estensione *.GDCB. Inoltre, l'ultimo mese di inverno sarà ricordato per la comparsa di un miner Android. Questo trojan poteva diffondersi in autonomo infettando dispositivi di rete con la modalità debug attivata. In particolare, erano a rischio smartphone, tablet, lettori multimediali, router e smart TV.

La minaccia del mese

Il nuovo trojan cryptolocker, classificato come Trojan.Encoder.24384, è stato chiamato dagli autori «GandCrab!». Cripta il contenuto di dischi rigidi, rimovibili e di rete e attribuisce ai file cifrati l'estensione *.GDCB. Dopo l'avvio, in determinate condizioni, il cryptolocker verifica la presenza sul computer dei programmi antivirus. Quindi termina programmi in esecuzione secondo una lista impostata dagli autori del malware e si installa nel sistema.

Dopo il riavvio del computer Trojan.Encoder.24384 cripta i file su dischi, salvo il contenuto delle cartelle di sistema e di servizio. Maggiori informazioni sui principi di funzionamento di questo programma malevolo sono disponibili in un articolo pubblicato sul nostro sito.

Secondo le statistiche di Antivirus Dr.Web

Trojan.Moneyinst.520

Un programma malevolo che installa sul computer vittima diversi programmi, tra cui altri trojan.

Trojan.Starter.7394

Un rappresentante della famiglia di trojan che hanno l'obiettivo principale di avviare nel sistema infetto un file eseguibile con un determinato set di funzioni malevole.

Trojan.Zadved

Estensioni studiate per sostituire furtivamente i risultati dei motori di ricerca nella finestra del browser e per mostrare falsi messaggi pop-up dei social network. Inoltre, le loro funzioni dannose includono la sostituzione di annunci visualizzati su vari siti.

Trojan.DnsChange.8268

Un programma malevolo che sostituisce furtivamente indirizzi dei server DNS nelle impostazioni di una connessione sul dispositivo infetto.

Trojan.Inject

Una famiglia di programmi malevoli che integrano un codice malevolo nei processi di altri programmi.

Secondo le informazioni dei server delle statistiche Doctor Web

JS.Inject

Una famiglia di script malevoli, scritti nel linguaggio JavaScript. Integrano uno script malevolo nel codice HTML di pagine web.

Trojan.Starter.7394

Un rappresentante della famiglia di trojan che hanno l'obiettivo principale di avviare nel sistema infetto un file eseguibile con un determinato set di funzioni malevole.

Trojan.DnsChange.8268

Un programma malevolo che sostituisce furtivamente indirizzi dei server DNS nelle impostazioni di una connessione sul dispositivo infetto.

Trojan.Encoder.11432

Un worm di rete che avvia sul computer della vittima un pericoloso trojan cryptolocker. È conosciuto anche con il nome di WannaCry.

BackDoor.Bebloh

Fa parte di una famiglia di programmi malevoli ricadenti nella categoria di trojan di online banking. Quest'applicazione rappresenta una minaccia per gli utenti dei sistemi di home-banking in quanto consente ai malintenzionati di rubare informazioni confidenziali intercettando dati inseriti in moduli web nel browser e incorporando falsi moduli nelle pagine web di alcune banche visualizzate.

Le statistiche sulle applicazioni malevole nel traffico email

BackDoor.Bebloh

Fa parte di una famiglia di programmi malevoli ricadenti nella categoria di trojan di online banking. Quest'applicazione rappresenta una minaccia per gli utenti dei sistemi di home-banking in quanto consente ai malintenzionati di rubare informazioni confidenziali intercettando dati inseriti in moduli web nel browser e incorporando falsi moduli nelle pagine web di alcune banche visualizzate.

JS.Inject

Una famiglia di script malevoli, scritti nel linguaggio JavaScript. Integrano uno script malevolo nel codice HTML di pagine web.

Java.Jrat.46

Un programma malevolo per la gestione del computer in remoto (Remote Access Tools, RAT) scritto nel linguaggio Java.

Trojan.DownLoader

Una famiglia di trojan che hanno l'obiettivo di scaricare altre applicazioni malevole sul computer sotto attacco.

Cryptolocker

A febbraio al servizio di supporto tecnico Doctor Web il più spesso si rivolgevano gli utenti le cui informazioni sono state cifrate dalle seguenti versioni dei trojan cryptolocker:

• Trojan.Encoder.858 — 24,33% dei casi;
• Trojan.Encoder.567 — 8,25% dei casi;
• Trojan.Encoder.24249 — 6,19% dei casi;
• Trojan.Encoder.11539 — 3,92% dei casi;
• Trojan.Encoder.11464 — 2,68% dei casi;
• Trojan.Encoder.2667 — 2,67% dei casi.

Siti pericolosi

A febbraio 2018 al database di siti sconsigliati e malevoli è stato aggiunto il 278,9% degli indirizzi internet in più rispetto al mese precedente.

Programmi malevoli e indesiderati per dispositivi mobili

A febbraio gli specialisti in sicurezza informatica hanno rilevato il trojan miner Android.CoinMine.15. Poteva infettare in remoto smartphone, tablet, TV, router, nonché lettori multimediali Android connessi alla rete con la modalità debug attivata. Nel caso di infezione riuscita, il programma malevolo cercava di rilevare ulteriori dispositivi connessi alla rete e ci installava una sua copia. Inoltre, il mese passato i criminali informatici diffondevano attraverso Google Play il trojan banker Android.BankBot.336.origin che rubava agli utenti informazioni confidenziali e denaro.

Gli eventi più notevoli relativi alla sicurezza "mobile" a febbraio:

• rilevamento di un trojan miner capace di infettare automaticamente dispositivi Android connessi alla rete;
• diffusione di un nuovo trojan bancario.

Per maggiori informazioni circa la situazione con i virus mobile a febbraio consultate la relativa panoramica.