Il 14 febbraio 2012

La società “Doctor Web” — uno sviluppatore russo di sistemi di sicurezza informatica — avvisa della diffusione dei Trojan che sono stati aggiunti alle basi di dati dei virus Dr.Web con il nome di BackDoor.Volk. Questi Trojan sono in grado di modificare il contenuto del file hosts ed eseguire sulla macchina infettata comandi provenienti dal server remoto dei malintenzionati. Una curiosità è che il paese d’origine supposto di questi troiani è l’America Meridionale.

Nel tempo recente al laboratorio dei virus della società “Doctor Web” è pervenuta una “cucciolata” grande dei troiani appartenenti alla famiglia Volk, il primo dei quali è stato BackDoor.Volk.1. È una cosa interessante che questo malware è scritto in linguaggio PHP, che di solito si usa per creare script oppure applicazioni di server, ed è convertito in codice eseguibile tramite l’utilità php2exe. Il cavallo di troia modifica sulla macchina infettata il file hosts, il cui compito è confrontare i nomi DNS con gli indirizzi IP, ed è anche in grado di scaricare dal server remoto e avviare sul PC infettato diverse applicazioni.

I Trojan della famiglia BackDoor.Volk sono capaci di unirsi in botnet gestite tramite una console di amministrazione speciale. Gli analisti di “Doctor Web” hanno un riversamento della base di dati del server dirigente di una delle botnet costruite in base di BackDoor.Volk. A giudicare dalle registrazioni in questa base di dati, la botnet include circa cento bot, e le posizioni geografiche delle macchine infettate sono molto diverse. Il numero più grande delle infezioni si trova in Cile (31%) e Uruguay (13%), poi seguono Perù (8%), Argentina (4%) e Spagna (3%). Negli USA e in India il numero dei PC infettati è il minimo (2% in ciascun paese), in Canada, Colombia e Brasile il numero è 1%. L’altro 34% dei computer infettati si trova in un paese nominato “Unknown” (ignoto) — che parzialmente potrebbe significare anche la Russia.

BackDoor.Volk.2, a differenza del suo predecessore, è scritto in Visual Basic e comunicando con i server remoti per trasmettere richieste utilizza il metodo POST e non GET. Oltre allo scaricamento e avvio delle applicazioni e alla sostituzione del file hosts, questo malware dispone delle funzionalità adatte per effettuare attacchi DDoS ed è in grado di rubare password dei client FTP installati sul computer infettato. Si deve segnalare che nel caso di BackDoor.Volk.2 il modulo di scambio dati con il server dirigente è ovviamente stato assimilato da un altro programma malevolo — BackDoor.Herpes, il codice sorgente del quale è comparso in accesso libero un tempo fa.

BackDoor.Volk.3 e BackDoor.Volk.4 sono anche scritti in Visual Basic e sono versioni di BackDoor.Volk.2: le modifiche principali riguardano i metodi di scambio dati con il server di gestione. Le funzionalità di questi troiani si somigliano molto. Il pericolo maggiore per gli utenti è che a causa dell’eventuale sostituzione del file hosts la vittima potenziale può capitare sui siti phishing creati dai malintenzionati. Inoltre la capacità del troiano di rubare password dei client FTP dà agli autori di virus una possibilità di ottenere accesso non autorizzato ai diversi siti web. Le firme antivirali relative a tutte le versioni oggi conosciute di BackDoor.Volk sono state aggiunte alle basi di dati dei virus Dr.Web.