Il 1° marzo 2012

Il febbraio è il mese più breve dell’anno, ma non può essere chiamato il più tranquillo. Le quattro settimane passate si sono segnalate per i seguenti eventi: sono diventati meno diffusi i programmi - bloccatori di Windows, sono comparsi un troiano che minaccia gli utenti di Facebook e alcune altre applicazioni malevole. Una di esse, in particolare, può fare la spia all’utente tramite la web cam connessa al computer. Inoltre i malintenzionati hanno scoperto come sfruttare le vulnerabilità di Java per propagare malware orientati alla piattaforma Mac OS X. All'avanguardia dei malware rilevati in febbraio sui computer degli utenti mediante l’utilità Dr.Web CureIt!, sta il file virus Win32.Expiro.23. Infiltrandosi sul computer, questo programma maligno aumenta i suoi privilegi nel sistema e infetta i file eseguibili.

Sorprendente, ma vero: nonostante le elezioni vicine del presidente della Federazione Russa, che si devono tenere il 4 marzo 2012, i temi politici nello spam praticamente non ci sono. Vi ricordiamo che una situazione simile accadeva durante le elezioni dei deputati alla Camera dei deputati della Federazione Russa. Evidentemente, lo spam non è più considerato un mezzo efficace con cui influire sugli elettori potenziali, mentre le reti sociali fungono da un mezzo adatto. Oggi tramite mailing di grandi quantità vengono annunciati diversi seminari, svaghi di famiglia nelle vacanze primaverili, raccolte di film e di brani musicali in copie pirata — cioè qualsiasi cosa tranne azioni politiche e avvenimenti relativi alle prossime elezioni.

Dal punto di vista di attività virali, il febbraio non ha prodotto grandi sorprese. All'avanguardia dei malware rilevati in febbraio sui computer degli utenti mediante l’utilità Dr.Web CureIt!, sta il file virus Win32.Expiro.23 (avendo la maggioranza dei casi di rilevazione). Infiltrandosi sul computer, questo programma maligno aumenta i suoi privilegi nel sistema e infetta i file eseguibili. Il suo compito principale è rubare password dai programmi INETCOMM Server, Microsoft Outlook, Internet Explorer, Mozilla Firefox e FileZilla. Oltre a Win32.Expiro.23, sulle macchine infettate degli utenti viene spesso trovato Trojan.Mayachok.1 — un malware che blocca l’accesso a Internet oppure ai siti più popolari. Perché il computer sia sbloccato, questo programma maligno chiede di immettere nel modulo apposito il numero di telefonino dell’utente e poi di rispondere a un SMS che arriva. Facendo questo, la vittima si abbona a diversi servizi pagati, e il canone di abbonamento verrà regolarmente addebitato sul suo conto di telefonia mobile.

Oltre a ciò, fra i dieci malware che si accampano più spesso sui computer degli utenti ci sono, come anche prima, i troiani della famiglia Trojan.Hosts, che sostituiscono nel sistema il file \drivers\etc\hosts, e di conseguenza, quando la vittima vuole visitare un sito web, essa capita al sito di phishing appositamente creato dai malintenzionati. I troiani di banche della famiglia Trojan.Carberp certamente si incontrano spesso sui computer infettati — durante il mese sono stati definiti più di 30 000 casi di rilevazione di questo malware in varie modificazioni.

Nuova minaccia per gli utenti di Facebook

Gli utenti si sono da tanto tempo abituati ai cavalli di troia orientati ai frequentatori delle reti sociali russe, ma adesso gli specialisti di sicurezza informatica hanno scoperto il malware Trojan.OneX ideato per spedire lo spam nella rete sociale più grande del mondo Facebook e anche tramite programmi di messaggistica istantanea.

Trojan.OneX opera solo nei sistemi operativi Windows a 32 bit. Avviato sulla macchina infettata, Trojan.OneX.1 verifica la presenza della sua copia nel sistema operativo e decifra in base alle proprie risorse l’indirizzo del server remoto da cui si scarica un file di testo speciale. Questo file di testo contiene alcune righe in lingua inglese del tipo “hahaha! http://goo.gl[…].jpeg, con le quali poi saranno sostituiti i messaggi dell’utente inviati nella rete sociale Facebook.

Poco tempo dopo la comparsa della prima versione del Trojan, gli analisti di virus della società “Doctor Web” hanno individuato un’altra versione chiamata Trojan.OneX.2. Per spedire messaggi, la seconda versione di Trojan.OneX sfrutta popolari programmi di messaggistica istantanea utilizzando i processi pidgin, skype, msnmsgr, aim, icq.exe, yahoom, ymsg_tray.exe, googletalk e xfire.exe. Al momento dell’invio dei messaggi, la tastiera e il mouse del computer infettato vengono bloccati. A differenza di Trojan.OneX.1, Trojan.OneX.2 è in grado di operare con i file di configurazione nella codifica Unicode.

I messaggi spediti dai cavalli di troia spesso contengono collegamenti ai siti web falsificati, in possesso dei malintenzionati: uno di essi, in particolare, imita l’aspetto del servizio RapidShare. Questo cavallo di troia non solo apre ai malintenzionati l’accesso al computer infettato e può rubare dati riservati, ma anche permette di eseguire sulla macchina infettata diversi comandi, in particolare, il comando di scaricamento e installazione di altre applicazioni. Una cosa interessante: i professionisti della società “Doctor Web” hanno registrato i casi in cui il cavallo di troia BackDoor.IRC.Bot diffonde il programma Trojan.OneX, il quale, al suo turno, facilita la diffusione di BackDoor.IRC.Bot.

Bloccatori di Windows di nuovo

In febbraio continuava a calare la quantità di richieste inviate al supporto tecnico dagli utenti cui computer sono stati bloccati dai programmi - bloccatori di Windows. In confronto alle cifre del gennaio scorso, il numero di richieste si è diminuito dell’altro 28 per cento. In tutta evidenza, sempre meno vittime si sottomettono alle esigenze degli autori di virus, preferendo altre vie per sbloccare il sistema operativo, e quindi i malintenzionati cercano nuovi modi di guadagno e mercati freschi per propagare programmi-ricattatori. Tuttavia in febbraio gli specialisti della società “Doctor Web” hanno scoperto un troiano winlock orientato verso gli utenti che parlano la lingua araba.

Trojan.Winlock.5416 è un programma-ricattatore assai primitivo: esso non ha né il codice di sblocco, né la funzione di verifica della lingua del sistema operativo, e perciò si avvia nei sistemi operativi Windows con qualsiasi lingua dell’interfaccia. Il messaggio in lingua araba visualizzato sullo schermo dice che il dato computer è stato bloccato perché l’utente aveva visitato siti di pornografia e di violenza sui minorenni e quindi trasgredito le leggi dell’Arabia Saudita. Sotto la minaccia di tribunale della sharia, all’utente viene richiesto di pagare 300 dollari comprando una scheda prepagata Ucash, il cui codice si deve inserire nella finestra del programma-bloccatore. Questo codice viene spedito al sito dei malintenzionati (la cui posizione geografica è in Lettonia). Il troiano non esegue altre azioni distruttive. Bisogna notare che questo è il primo campione di cavallo di troia - bloccatore in lingua araba conosciuto al momento dai professionisti della società “Doctor Web”.

Troiano-spammer e la famiglia Volk

Trojan.Spamer.46 si diffonde tramite torrent insieme all’archiviatore WinRAR. Stabilitosi nel sistema operativo, il malware comincia a filtrare il traffico in uscita cercando le forme di spedizione di messaggi dei siti vkontakte.ru, odnoklassniki.ru e my.mail.ru, e aggiungendo ai messaggi inviati dall’utente il testo “A proposito, guarda questo: [link]”. Il collegamento ipertestuale conduce al sito fraudolento che offre di predire fortuna con le linee presente nel palmo dietro un compenso tramite un SMS pagato.

Oltre a ciò, in febbraio è stata rilevata una famiglia intera di malware che è stata inserita nelle basi di dati di virus con il nome collettivo di BackDoor.Volk. Uno della famiglia, il troiano BackDoor.Volk.1, è scritto in linguaggio PHP, che di solito si usa per creare script oppure applicazioni di server, ed è convertito in codice eseguibile tramite l’utilità php2exe. Il cavallo di troia modifica sulla macchina infettata il file hosts, il cui compito è confrontare i nomi DNS con gli indirizzi IP, ed è anche in grado di scaricare dal server remoto e avviare sul PC infettato diverse applicazioni.

BackDoor.Volk.2, a differenza del suo predecessore, è scritto in Visual Basic e comunicando con i server remoti per trasmettere richieste utilizza il metodo POST e non GET. Oltre allo scaricamento e avvio delle applicazioni e alla sostituzione del file hosts, questo malware dispone delle funzionalità adatte per effettuare attacchi DDoS ed è in grado di rubare password dei client FTP installati sul computer infettato. Si deve segnalare che nel caso di BackDoor.Volk.2 il modulo di scambio dati con il server dirigente è ovviamente stato assimilato da un altro programma malevolo — BackDoor.Herpes, il codice sorgente del quale è comparso in accesso libero un tempo fa.

BackDoor.Volk.3 e BackDoor.Volk.4 sono anche scritti in Visual Basic e sono versioni di BackDoor.Volk.2: le modifiche principali riguardano i metodi di scambio dati con il server di gestione. Le funzionalità di questi troiani si somigliano molto. I Trojan della famiglia BackDoor.Volk sono capaci di unirsi in botnet gestite tramite una console di amministrazione speciale.

Il pericolo maggiore per gli utenti è che a causa dell’eventuale sostituzione del file hosts la vittima potenziale può capitare sui siti phishing creati dai malintenzionati. Inoltre la capacità del troiano di rubare password dei client FTP dà agli autori di virus una possibilità di ottenere accesso non autorizzato ai diversi siti web.

I malintenzionati fanno la spia all’utente attraverso la web cam

Come dice la saggezza popolare, se non si ha paranoia, questo non significa ancora che non si è seguiti. Il troiano BackDoor.Webcam.9 consente di eseguire sulla macchina infettata diversi comandi che vengono dal server remoto dei malintenzionati, e anche di intercettare immagini generate dalla camera web connessa al computer, così compromettendo la vita privata dell’utente.

Una volta eseguito, il backdoor copia se stesso nella cartella di sistema che serve per conservare i file temporanei e s’iscrive in uno dei rami del registro di sistema responsabile dell’autoavvio di applicazioni. Dopo di questo, il Trojan verifica se una sua copia è presente sulla macchina infettata. Quindi il programma maligno comunica più volte con il server remoto, consegnando ai malintenzionati alcune informazioni sul computer infettato: il suo indirizzo IP, il tipo di account dell’utente, la quantità di web cam connesse al sistema, il nome del computer e la versione del sistema operativo, e poi aspetta l’arrivo di ulteriori comandi.

Il cavallo di troia è in grado di eseguire comandi impartiti dal server remoto, come per esempio, il riavvio di se stesso, il cambio del server dirigente e la creazione di schermate. Inoltre il programma maligno è capace di intercettare e trasmettere ai malintenzionati l’immagine ricevuta dalla camera web connessa al computer infettato, quindi la loro vita privata può essere compromessa.

Exploit per Mac OS X

Le vulnerabilità di Java sono state sfruttate dai malintenzionati già più volte per propagare malware per diverse piattaforme di sistema, compreso Windows. In febbraio gli scrittori di virus hanno per primo cominciato a sfruttare alcune vulnerabilità di Java cross-piattaforma, conosciute in precedenza, per infettare computer compatibili con Apple.

Questo meccanismo funziona nel modo seguente. All’apertura di un sito infettato, si controlla lo user-agent del computer utente, e, se il sito è stato richiesto dalla piattaforma Mac OS con una determinata versione di browser, all’utente viene assegnata una pagina web che carica più applet java.

Il modulo del nome rhlib.jar sfrutta la vulnerabilità CVE-2011-3544. Esso mette nella cartella /tmp/ il file eseguibile .sysenterxx, gli dà attributi richiesti e lo avvia per esecuzione.

L’applicativo avviato controlla se nel sistema operativo sono presenti i file :

/Library/LittleSnitch
/Developer/Applications/Xcode.app/Contents/MacOS/Xcode

Nuovo malware DDoS-bot

In febbraio gli specialisti di “Doctor Web” hanno rilevato un malware che è uno strumento avanzato dei malintenzionati che attuano attacchi DDoS a diverse risorse di Internet. Trojan.Tenagour.9 consiste di due componenti: dell’iniettore e della libreria dinamica dove si conserva il carico utile. Una volta avviato nel sistema operativo, il cavallo di troia controlla se ci sia installata una sua copia, e se no, il programma malevolo si salva nella cartella %APPDATA% con il nome di smss.exe, dopodiché s’iscrive nei rami del registro di sistema responsabili di autoavvio di applicazioni.

Quindi Trojan.Tenagour.9 manda sul server di comando remoto una richiesta che contiene informazioni sulla versione e declinazione del sistema operativo, il nome del computer infettato, codificato tramite MD5, e il numero seriale della prima partizione del disco rigido. Per risposta il cavallo di troia riceve una riga crittografata con l’URL del sito che verrà assalito e con alcuni parametri ausiliari. Il server dirigente remoto può inoltre impartire al troiano il comando di aggiornamento.

Trojan.Tenagour.9 consente di attuare 8 tipi di attacchi DDoS, rivolti a diverse risorse di Internet, con l’impiego dei protocolli TCP/IP e UDP e dei metodi GET e POST. È prevista la funzionalità che aggiunge automaticamente alla lista di risorse da attaccare tutti i collegamenti trovati sul sito indicato dai malintenzionati.

File malevoli, rilevati in febbraio nel traffico di posta elettronica

File malevoli, rilevati in febbraio sui computer degli utenti