14 novembre 2012

Doctor Web — sviluppatore russo dei software per la sicurezza informatica — avverte che si sta diffondendo un trojan munito delle funzioni di downloader. Il malware è stato inserito nelle basi di dati dei virus Dr.Web con il nome di Trojan.DownLoader7.21125. Dal punto di vista dell’architettura, questo malware non è complesso e non ha nessuna particolarità interessante, ma è pericoloso innanzitutto perché è molto diffuso e perché tramite questo programma sul computer si scaricano altri trojan.

Trojan.DownLoader7.21125 ha un’organizzazione primitiva: il corpo del trojan conserva nella forma non cifrata l’indirizzo di un sito web il quale, se chiamato, effettua il reindirizzamento a un altro sito da cui il trojan riceve un file comprendente una lista degli indirizzi utilizzati per il successivo download delle applicazioni malevole. Quando si tenta di connettersi al server di comando tramite il protocollo HTTP, nella finestra del browser viene visualizzata una pagina web che richiede di inserire un login e una password.

Al momento Trojan.DownLoader7.21125 scarica e installa sui computer compromessi l’applicazione per Bitcoin mining, le varianti di se stesso, diversamente pacchettate, e anche i seguenti programmi dannosi:

• BackDoor.Andromeda.22 — è un trojan - downloader molto diffuso che è in grado di scaricare altri malware dai server dei malintenzionati e installarli sul computer infettato.
• Trojan.Rodricter.21 — è un trojan - rootkit a più componenti, il cui dropper dispone delle funzioni anti-debugging. Sfrutta le vulnerabilità locali del sistema operativo per incrementare i suoi privilegi. Disattiva User Accounts Control (UAC) sia nelle declinazioni di Windows a 32 bit, che in quelle a 64 bit. Modifica le impostazioni dei browser Mozilla Firefox e Internet Explorer. Lo scopo del modulo principale del trojan è intercettare il traffico sul computer infettato.
• Trojan.PWS.Multi.879 — è un malware che può rubare password di alcune applicazioni popolari, quali ICQ, Yahoo! Messenger, FTP Commander, Paltalk, AIM, Google Talk, MSN Messenger, Miranda, Trillian e altre ancora.
• BackDoor.HostBooter.3 — è un trojan studiato per effettuare attacchi DDoS e per scaricare e lanciare file secondo un comando dato dal server di controllo.

L’antivirus Dr.Web conosce tutte le minacce enumerate. Trojan.DownLoader7.21125 può essere scaricato sul PC della vittima da altri programmi malevoli o ci si infiltra in altri modi, per esempio, attraverso vulnerabilità dei browser. Il pericolo più grande associato a questo malware è che con la sua comparsa, il computer si trasforma in una sorta di “zoo” pieno di vari “animali”, cioè programmi malevoli. Ai fini della sicurezza, Doctor Web consiglia agli utenti di mantenere aggiornate le basi di dati dei virus del software antivirale.