Il 2 febbraio 2012

La società “Doctor Web” — uno sviluppatore russo di sistemi di sicurezza informatica — avvisa gli utenti della comparsa dei malware appartenenti alla famiglia Trojan.OneX, i quali all’infezione del computer spediscono spam nella rete sociale più grande Facebook, nonché tramite programmi di messaggistica istantanea. Per ora sono state determinate due modificazioni di questo cavallo di troia le cui funzionalità non sono molto diverse. Utilizzando questo modello di propagazione dei malware, i malintenzionati potrebbero infettare moltissimi computer degli utenti.

Trojan.OneX opera solo nei sistemi operativi Windows a 32 bit, mentre nei sistemi a 64 bit il Trojan termina il suo funzionamento dopo aver scaricato un file di testo dal server di comando remoto. Avviato sulla macchina infettata, Trojan.OneX.1 verifica la presenza della sua copia nel sistema operativo e decifra in base alle proprie risorse l’indirizzo del server remoto da cui si scarica un file di testo speciale. Questo file di testo contiene alcune righe in lingua inglese del tipo “hahaha! http://goo.gl[…].jpeg, con le quali poi saranno sostituiti i messaggi dell’utente inviati nella rete sociale Facebook. Le righe di questo file sostituiscono messaggi dell’utente solo in modalità di chat. L’invio del messaggio originario viene bloccato. Ogni ora il cavallo di troia scarica dal server remoto nuovo file di configurazione.

Trojan.OneX.1 cerca nel sistema operativo processi in esecuzione che hanno i nomi firefox, iexplore e IEXPLORE. Trovati questi processi, il cavallo di troia si incorpora completamente in essi e intercetta le funzioni responsabili dell’invio di messaggi.

Poco tempo dopo la comparsa della prima versione del Trojan, gli analisti di virus della società “Doctor Web” hanno individuato un’altra versione chiamata Trojan.OneX.2. Per spedire messaggi, la seconda versione di Trojan.OneX sfrutta popolari programmi di messaggistica istantanea utilizzando i processi pidgin, skype, msnmsgr, aim, icq.exe, yahoom, ymsg_tray.exe, googletalk e xfire.exe. Al momento di invio dei messaggi, la tastiera e il mouse del computer infettato vengono bloccati. A differenza di Trojan.OneX.1, Trojan.OneX.2 è in grado di operare con i file di configurazione nella codifica Unicode.

I messaggi spediti dai cavalli di troia spesso contengono collegamenti ai siti web falsificati, in possesso dei malintenzionati: uno di essi, in particolare, imita l’aspetto del servizio RapidShare. All’utente viene proposto di scaricare sotto forma di un’immagine JPEG un archivio compresso in formato .zip, che contiene Photo14.JPG.scr — un file eseguibile (Trojan.Packed.22289) con dentro il cavallo di troia BackDoor.IRC.Bot.1446. Questo cavallo di troia non solo apre ai malintenzionati l’accesso al computer infettato e può rubare dati riservati, ma anche permette di eseguire sulla macchina infettata diversi comandi, in particolare, il comando di scaricamento e installazione di altre applicazioni. Una cosa interessante: i professionisti della società “Doctor Web” hanno registrato i casi in cui il cavallo di troia BackDoor.IRC.Bot diffonde il programma Trojan.OneX, il quale, al suo turno, facilita la diffusione di BackDoor.IRC.Bot.

Le firme antivirali di queste minacce sono già state aggiunte alle basi di dati Dr.Web, quindi gli utenti del software antivirus della società “Doctor Web” sono completamente protetti dall’infiltrazione di questi malware nei loro computer.