Doctor Web: panoramica sull'attività di virus a marzo 2019

3 aprile 2019

A marzo gli analisti Doctor Web hanno finito di studiare un trojan che minacciava gli utenti di Counter-Strike 1.6. Tra le principali minacce di marzo si osserva una dinamica rispetto alle cifre del mese scorso. Per esempio, l'attività di Trojan.MulDrop8.60634 è diminuita quasi del triplo, mentre il numero di minacce simili a Trojan.Packed.24060 ed Adware.OpenCandy.243 è aumentato drasticamente durante il mese passato. Inoltre, al database dei siti sconsigliati e malevoli sono stati aggiunti meno nomi a dominio rispetto al mese scorso, mentre al supporto tecnico Doctor Web sono arrivate più richieste di decriptazione dati.

La minaccia del mese

A marzo gli analisti Doctor Web hanno pubblicato uno studio dettagliato del trojan Belonard che utilizza le vulnerabilità zero-day del client Steam del gioco Counter-Strike 1.6. Una volta arrivato sul computer vittima, il trojan cambiava i file del client e creava server proxy di gioco per infettare ulteriori utenti. Il numero di server malevoli CS 1.6 creati dal trojan Belonard ha raggiunto il 39% di tutti i server ufficiali registrati su Steam. Ora tutti i moduli del trojan Belonard vengono rilevati con successo dall'antivirus Dr.Web e non minacciano i nostri utenti.

Informazioni sul trojan

Secondo i dati dei server delle statistiche Doctor Web

Le minacce di questo mese:

Trojan.Packed.24060

Installa estensioni di browser malevole che reindirizzano dai risultati restituiti dai motori di ricerca su altri siti.

Adware.Softobase.12

Programma installer che diffonde software obsoleti. Modifica le impostazioni del browser.

Adware.OpenCandy.243

Una famiglia di applicazioni studiate per installare vari software. I programmi di questa famiglia vengono utilizzati dagli sviluppatori di applicazioni gratuite con lo scopo di monetizzazione.

Adware.Ubar.13

Un client torrent che installa software indesiderati sul dispositivo.

Trojan.Starter.7394

Un trojan progettato per l'avvio di altri software malevoli sul dispositivo.

È diminuito il numero di minacce da:

Trojan.MulDrop8.60634

Installa altri trojan nel sistema. Tutti i componenti installati contengono Trojan.MulDrop nel loro corpo stesso.

Adware.Downware.19283

Programma installer che viene solitamente distribuito con contenuti piratati. Durante l'installazione può modificare le impostazioni dei browser e installare altri programmi indesiderati.

Le statistiche sulle applicazioni malevole nel traffico email

Exploit.ShellCode.69

Un modulo Microsoft Office Word malevolo. Utilizza la vulnerabilità CVE-2017-11882.

W97M.DownLoader.2938

Una famiglia di trojan downloader che per il loro funzionamento approfittano delle vulnerabilità nelle applicazioni per ufficio. Sono studiati per scaricare altre applicazioni malevole sul computer sotto attacco.

Exploit.Rtf.CVE2012-0158

Un documento Microsoft Office Word modificato che utilizza la vulnerabilità CVE2012-0158 per eseguire codice malevolo.

Trojan.SpyBot.699

Un trojan banker a più moduli. Consente ai criminali informatici di scaricare e avviare varie applicazioni sul dispositivo infetto e di eseguire i comandi da loro impartiti. Il trojan è studiato per furti di denaro da conti bancari.

JS.DownLoader.1225

Una famiglia di script malevoli, scritti nel linguaggio JavaScript. Scaricano e installano sul computer altri programmi malevoli.

Trojan.PWS.Stealer.23680

Una famiglia di trojan studiati per rubare password ed altre informazioni confidenziali dal computer infetto.

Cryptolocker

A marzo al servizio di supporto tecnico Doctor Web il più spesso si rivolgevano gli utenti le cui informazioni sono state cifrate dai seguenti trojan cryptolocker:

• Trojan.Encoder.858 — 28,39%;
• Trojan.Encoder.18000 — 9,54%;
• Trojan.Encoder.27210 — 4,25%;
• Trojan.Encoder.11464 — 4,14%;
• Trojan.Encoder.11539 — 4,14%;
• Trojan.Encoder.567 — 2,76%;
• Trojan.Archivelock — 2,34%.

Siti pericolosi

A marzo 2019, 270.227 indirizzi internet sono stati aggiunti al database dei siti malevoli e sconsigliati.

Programmi malevoli e indesiderati per dispositivi mobili

Il mese passato nuovi programmi malevoli sono stati rilevati nella directory Google Play. Tra di essi ci sono nuovi trojan della famiglia Android.FakeApp che si propagano sotto le mentite spoglie di programmi per guadagni online. Caricano siti web su cui viene offerto ai proprietari di dispositivi mobili di rispondere a delle domande di "aziende sponsorizzatrici". I malintenzionati promettono alle potenziali vittime una ricompensa per la partecipazione ai sondaggi. Per ottenerla, gli utenti dovranno versare una somma per pagare la tassa sul trasferimento di denaro o per confermare la loro identità. In realtà, nessuna ricompensa esiste, e gli utenti trasferiscono i soldi ai truffatori

Oltre a ciò, sono stati rilevati nuovi trojan Android.HiddenAds. Visualizzano costantemente banner pubblicitari sopra le finestre degli altri programmi e l'interfaccia di sistema ed ostacolano l'utilizzo dei dispositivi Android.

Inoltre, i malintenzionati hanno continuato a distribuire i trojan banker. Di uno di essi la nostra azienda parlava nella seconda metà di marzo. Un programma malevolo, conosciuto sotto il nome di Flexnet, ruba denaro dai conti bancari e dal credito dei telefoni cellulari degli utenti.

Alla fine del mese gli analisti di virus hanno pubblicato i dettagli di una vulnerabilità del popolare browser Android UC Browser che è in grado di scaricare plugin da fonti diverse dai server Google Play. I malintenzionati potevano utilizzare questa funzionalità per distribuire trojan.

Gli eventi più notevoli relativi alla sicurezza "mobile" a marzo:

• rilevata una vulnerabilità di UC Browser;
• propagazione di programmi malevoli su Google Play;
• diffusione di trojan banker.

Per maggiori informazioni circa la situazione con i virus per dispositivi mobili a marzo leggete la nostra panoramica.