4 febbraio 2013

Il primo mese del 2013 non ha portato alcune sorprese. A quanto pare, i creatori di virus sono stati lenti a tornare al lavoro dopo le vacanze di Natale. La tendenza principale a gennaio è stata un’altra ondata di diffusione del programma malevolo Trojan.Mayachok, nonché la comparsa di nuove minacce per Windows e Android.

Situazione virale

A gennaio 2013 il malware Trojan.Mayachok.2 è stato il leader assoluto tra le minacce trovate sui computer degli utenti dall’utility Dr.Web CureIt!. Il software antivirale Dr.Web può individuare questo programma malevolo a partire dalla primavera del 2011. A differenza degli altri Trojan.Mayachok, questa versione è speciale in quanto è un bootkit VBR. Il trojan può infettare il Volume Boot Record se il file system del computer è in formato NTFS. Trojan.Mayachok.2 è attrezzato con i driver per le versioni a 32 e a 64 bit del sistema operativo Windows. Lo scopo principale di questo programma malevolo è bloccare l’accesso dell’utente alla rete e mostrargli nella finestra del browser una proposta di scaricare un “update di sicurezza”. Per accedere all’aggiornamento finto, la vittima deve digitare nella finestra il suo numero di telefono e in seguito specificare anche un codice ricevuto sul cellulare in un SMS. Eseguendo queste azioni, l’utente, senza saperlo, accetta termini di un abbonamento e al suo conto di telefonia mobile verrà addebitato un pagamento periodico.

Giacché l’oggetto malevolo che nasconde le pagine chiamate dall’utente nel web browser si trova nella memoria operativa, non è possibile allontanarlo reinstallando i browser o utilizzando il programma di servizio Ripristino del sistema o avviando Windows nella modalità sicura. Il metodo più efficace per combatterlo è scansionare il computer con le utility di cura Dr.Web CureIt! e Dr.Web LiveCD. In un nostro articolo abbiamo analizzato gli aspetti tecnici di questa minaccia.

Le statistiche dell’utility Dr.Web CureIt! raccolte a gennaio riportano tra le minacce diffuse i cavalli di troia Trojan.Mayachok (trovati nella RAM dei computer oltre 40 000 di volte) e Trojan.Mayachok.18550. Come prima, sono molti gli archivi a pagamento,cioè Trojan.SMSSend secondo la classificazione applicata da Dr.Web. Un altro malware trovato di frequente è BackDoor.IRC.NgrBot.42. Le statistiche aggregate nella tabella sottostante rappresentano le venti minacce rilevate più spesso dall’utility Dr.Web CureIt! a gennaio 2013:

Rinasce la botnet BlackEnergy

A gennaio 2013 gli analisti di Doctor Web hanno registrato la comparsa di una nuova variante del programma malevolo BlackEnergy che è stata chiamata BackDoor.BlackEnergy.36. In estate 2012 molte riviste in tutto il mondo hanno scritto dell’eliminazione della botnet maggiore BlackEnergy (utilizzata per inviare email di spam). Al picco della sua attività, questa botnet trasferiva fino a 18 miliardi di email al giorno. Grazie agli sforzi intrapresi nell’ambito della sicurezza informatica, i principali server di comando di questa botnet sono stati bloccati prima dell’autunno scorso e all’inizio dell’inverno le attività di BlackEnergy sono cessate quasi completamente.

Tuttavia già a gennaio 2013, i malintenzionati hanno tentato di creare una nuova botnet sulla base del programma BackDoor.BlackEnergy.36. La variante BackDoor.BlackEnergy.36 ha due differenze principali rispetto alle vecchie versioni del malware. La prima è che il file di configurazione del trojan si conserva in forma cifrata in una sezione separata della libreria dinamica la quale a sua volta è memorizzata in una delle sezioni del trojan e all’avvio dello stesso si incorpora nei processi svchost.exe o explorer.exe. L’altra differenza è un protocollo di rete modificato tramite il quale il trojan comunica con il server di controllo. All’inizio i malintenzionati non impartivano alcuni comandi ai bot e probabilmente aspettavano fino a quando la crescente botnet diventa abbastanza estesa. Dopo un tempo però è stato intrapreso un attacco DDoS a un sito web di intrattenimento, molto popolare in Russia. Questo trojan è stato scoperto quando si eseguiva un monitoraggio di un’altra ampia botnet — BackDoor.Andromeda. Per maggiori informazioni si può consultare un articolo pubblicato sul sito drweb.com.

Minacce per Android

La vasta presenza dei dispositivi Android ha comportato un aumento naturale dell’interesse dei pirati informatici verso le informazioni personali custodite su tali dispositivi. Durante l’anno 2012 emergevano sempre più minacce progettate per Android e mirate al furto delle informazioni riservate, e all’inizio del 2013 questo trend prosegue.

Scoperto all’inizio di gennaio, Android.MailSteal.2.origin è orientato agli utenti giapponesi dei dispositivi Android. L’applicazione è studiata per rubare informazioni dalle rubriche dei dispositivi. Come le altre applicazioni malevole, Android.MailSteal.2.origin si propagava nelle email di spam che offrivano di installare qualche software utile. Se l’utente ingannato apriva il link contenuto nell’email, giungeva a un sito fraudolento mascherato da Google Play che sembrava di offrire più applicazioni, tutte però erano lo stesso malware. Avviato, Android.MailSteal.2.origin notificava l’utente di esecuzione della configurazione preliminare e tra poco visualizzava un avviso di impossibilità di funzionare sul dispositivo target. Nello stesso tempo il trojan cercava contatti nella rubrica del cellulare e caricava sul server remoto gli indirizzi email e i numeri telefonici. Le informazioni ottenute dai malintenzionati potrebbero essere usati in seguito per organizzare nuove spedizioni dello spam o essere vendute sul mercato nero.

Inoltre, a gennaio Doctor Web ha rivelato molteplici nuovi spyware commerciali, tra cui: Program.SpyMob.origin, Program.MSpy.2.origin, Android.Phoggi.1.origin, Program.OwnSpy.1.origin, Program.Copyten.1.origin, Program.Spector.1.origin. . Le firme antivirali sono state completate con le definizioni degli spyware per la piattaforma BlackBerry: BlackBerry.Phoggi, Program.Spector.1, Program.Spector.2, Program.Spector.3.

Vi ricordiamo che gli spyware commerciali possono controllare molte funzioni del dispositivo mobile. Questi possono intercettare SMS, chiamate in entrate e in uscita, ricavare le coordinate GPS del dispositivo ecc. Oltre all’uso legale di tali programmi, essi potrebbero essere sfruttati all’insaputa dell’utente e perciò le sue informazioni riservate sono a rischio. Dato che a gennaio sono state individuate più famiglie nuove di spyware commerciali, possiamo concludere che tali servizi hanno una domanda sufficiente e che tali programmi diventeranno sempre più numerosi.

Altre minacce a gennaio

Nella prima metà di gennaio 2013, il team di Doctor Web ha individuato un nuovo cavallo di troia, chiamato BackDoor.Finder che si era diffuso largamente negli Stati Uniti. Il trojan si incorpora nei processi dei browser popolari (Microsoft Internet Explorer, Mozilla Firefox, Maxtron, Chrome, Safari, Mozilla, Opera, Netscape o Avant), dopodiché intercetta le query dell’utente nei motori di ricerca (google.com, bing.com, yahoo.com, ask.com, search.aol.com, search.icq.com, search.xxx, www.wiki.com, www.alexa.com o yandex.com) e sostituisce i risultati di una ricerca con i link predisposti dai malintenzionati. Le informazioni dettagliate su questa minaccia sono disponibili in una notizia pubblicata sul nostro sito web.

Inoltre a gennaio è comparsa una versione nuova di un malware conosciuto da lungo (BackDoor.Butirat). Il trojan, classificato come BackDoor.Butirat.245, è in grado di scaricare e avviare sul computer infetto file eseguibili secondo un comando dei malintenzionati e di rubare password dei client FTP popolari. Il cavallo di troia è stato descritto più nel dettaglio in una notizia pubblicato su drweb.com.

File malevoli, rilevati a gennaio nel traffico e-mail

File malevoli, rilevati a gennaio sui computer degli utenti