Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Doctor Web: rassegna delle attività di virus a febbraio 2013

13 marzo 2013

A febbraio 2013, gli incidenti informatici più noti sono stati la diffusione su vasta scala dei trojan “Hosts” e la violazione di molteplici siti web finalizzata alla propagazione di malware. Inoltre a febbraio è stato scoperto un cavallo di troia che attaccava server Linux.

Situazione virale

Secondo le informazioni statistiche raccolte dall’utility Dr.Web CureIt!, la minaccia più diffusa a febbraio è stata Trojan.Mayachok, la cui versione Trojan.Mayachok.18566 guida la classifica. L’altro tipo di malware largamente presente è categorizzato da Dr.Web come Trojan.SMSSend, in particolare Trojan.SMSSend.2363. Sono trojan che inviano SMS a numeri premium (a pagamento). Le minacce del tipo “SMSSend” imitano un programma di installazione e chiedono di installare qualche applicazione per cui l’utente deve pagare inviando un messaggio di testo dal suo cellulare. Le minacce del tipo “SMSSend” imitano un programma di installazione e offrono di installare qualche applicazione per cui l’utente deve pagare inviando un messaggio di testo dal suo cellulare. All’insaputa dell’utente, il programma lo abbona a un servizio per cui viene riscosso un pagamento periodico. L’archivio che l’utente ottiene dopo l’invio dell’SMS di solito non include l’applicazione desiderata, e potrebbe contenere anche altro malware pericoloso

Inoltre, le statistiche raccolte dalla nostra utility segnalano una grande diffusione dei cavalli di troia BackDoor.IRC.NgrBot.42, Trojan.Click2.47013 e Win32.HLLP.Neshta. I dati della tabella sottostante rappresentano le venti minacce rilevate più spesso dall’utility Dr.Web CureIt! a febbraio 2013:

Minaccia%
Trojan.MayachokMEM.42,00
Trojan.SMSSend.23631,38
Trojan.Mayachok.185661,20
BackDoor.IRC.NgrBot.421,14
Trojan.Click2.470130,79
Win32.HLLP.Neshta0,78
Trojan.StartPage.481480,77
Trojan.Fraudster.2450,73
Trojan.Hosts.52680,70
Win32.HLLW.Phorpiex.540,69
Win32.Sector.220,65
Trojan.Mayachok.185790,61
Trojan.Hosts.68140,59
Trojan.Hosts.68150,59
Trojan.Hosts.68380,55
BackDoor.Butirat.2450,54
Trojan.Hosts.68090,52
Win32.HLLW.Gavir.ini0,51
Exploit.CVE2012-1723.130,51
Trojan.Mayachok.183970,47

La minaccia del mese: Linux.Sshdkit

La minaccia più rilevante trovata a febbraio dagli analisti di Doctor Web è il trojan Linux.Sshdkit volto all’infezione dei server Linux. Il trojan è una libreria dinamica le cui versioni possono funzionare nelle distribuzioni Linux a 32 bit e a 64 bit. Una volta penetrato nel sistema, il cavallo di troia si incorpora nel processo sshd intercettando le funzioni di autenticazione. Dopo che una sessione è stata iniziata e l’utente ha inserito il login e la password, il trojan invia le credenziali al server remoto dei malintenzionati. L’indirizzo IP del centro di controllo è codificato nel corpo del programma, però un indirizzo del server di comando si genera daccapo ogni due giorni. Per generare indirizzi, Linux.Sshdkit usa un algoritmo molto speciale.

Linux.Sshdkit genera due nomi DNS secondo un algoritmo e se entrambi questi nomi si riferiscono allo stesso indirizzo IP, questo si converte in un altro indirizzo IP al quale il trojan trasmette le informazioni rubate. La figura sottostante spiega l’algoritmo di generazione indirizzi applicato dal trojan:

Il team di Doctor Web ha intercettato alcuni server di controllo di Linux.Sshdkit. Secondo i dati dell’inizio marzo, 476 server Linux infetti si sono collegati ai server remoti adesso controllati dagli specialisti di Doctor Web.

Molti dei server Linux compromessi sono provider di hosting e quindi supportano un grande numero di siti web a cui i malintenzionati hanno potuto accedere. Analizzando la posizione geografica dei server compromessi, possiamo dire che 132 di essi si trovano negli Stati Uniti, 37 in Ucraina e 29 nei Paesi Bassi. La tabella sottostante riporta i dati di Linux.Sshdkit per paese:

PaeseQuantità di server compromessi%
Stati Uniti di America13227,7
Ucraina377,8
Paesi Bassi296,1
Thailandia234,8
Turchia224,6
Germania194,0
India194,0
Regno Unito173,6
Italia173,6
Francia153,2
Indonesia122,5
Australia102,1
Russia102,1
Canada102,1
Argentina102,1
Brasile102,1
Corea del Sud71,5
Vietnam71,5
Cile61,3
Spagna61,3
Cina51,1
Romania51,1
Messico51,1
Africa meridionale40,8
Altri paesi397,9

Le informazioni più dettagliate riguardanti questo malware sono disponibili in questa notizia di Doctor Web.

Propagazione di Trojan.Hosts e violazione di siti web

A fine febbraio — inizio marzo 2013 abbiamo osservato moltissimi casi di attacco eseguito contro siti web allo scopo di propagare malware. Utilizzando le credenziali di accesso a diverse risorse di rete tramite il protocollo FTP, i malintenzionati sostituivano il file .htaccess e incorporavano nei siti uno script di gestione. Di conseguenza, i visitatori di tali siti correvano il rischio di scaricare programmi malevoli sotto forma di applicazioni o informazioni. In particolare, il computer poteva essere infettato dai cavalli di troia dalla famiglia Trojan.Hosts. Questi trojan modificano un file sul computer (%systemroot%/system32/drivers/hosts), e in seguito a tale modifica, il browser si reindirizza automaticamente verso una pagina web creata dai pirati informatici. La figura sotto dimostra una pagina fraudolenta che offre di scaricare un libro di testo, invece del quale si scaricano Trojan.Hosts e altri cavalli di troia.

Minacce per Android

A febbraio 2013 sono state scoperte tante minacce per la piattaforma Android. In particolare, le firme antivirali di Dr.Web sono state completate con il trojan Android.Claco.1.origin che si propagava su Google Play sotto forma di un’utility finalizzata all’aumento delle prestazioni del sistema operativo. Una volta avviato sul dispositivo mobile, il trojan può eseguire le azioni malevole, quali: inviare SMS secondo un comando impartito dai malintenzionati, aprire qualsiasi URL nel browser, caricare su un server remoto le informazioni personali dell’utente (file sulla scheda di memoria, SMS, foto e contenuti della rubrica). Oltre a tutto, questo malware può trasmettere programmi malevoli verso computer Windows, il che avviene nel seguente modo. Il trojan scarica programmi malevoli dal server remoto e li memorizza sulla scheda di memoria del cellulare. Tra questi oggetti, si trovano un eseguibile e il file autorun.inf che lancia automaticamente il programma malevolo corrispondente ad esso se la scheda di memoria infetta si collega a una postazione Windows. Tuttavia va notato che la funzione di esecuzione automatica è disattivata di default nei sistemi operativi Windows cominciando dalla versione Windows Vista, perciò per molti utenti di Windows il trojan Android.Claco.1.origin non rappresentava alcuna minaccia.

Un’altra minaccia di febbraio è stata Android.Damon.1.origin. I malintenzionati la propagavano su siti web cinesi in applicazioni modificate. Questo malware è in grado di spedire SMS secondo un comando ricevuto dal server di controllo, fare chiamate, aprire qualsiasi URL, caricare su un server remoto le informazioni personali del proprietario del telefonino (quali le informazioni dei contatti dalla rubrica, il registro chiamate, la posizione geografica dell’utente), e anche altre funzioni.

I database antivirali di Dr.Web sono state completate anche con i record che definiscono nuove versioni dei trojan Android.SmsSend.

Altre minacce a febbraio

All’inizio di febbraio, abbiamo registrato i casi di propagazione di malware tramite un’applicazione su Facebook. Questo incidente è descritto in un articolo pubblicato sul sito news.drweb.com.

File malevoli, rilevati a febbraio nel traffico e-mail

 01.02.2013 00:00 - 28.02.2013 11:00 
1BackDoor.Andromeda.221.18%
2JS.Redirector.1851.12%
3Win32.HLLM.MyDoom.544640.53%
4Win32.HLLM.MyDoom.338080.39%
5Trojan.Necurs.970.39%
6Trojan.PWS.Panda.7860.39%
7Trojan.DownLoad3.209330.39%
8Trojan.PWS.Stealer.19320.39%
9Trojan.Oficla.zip0.37%
10Tool.PassView.5250.33%
11Trojan.Packed.28200.31%
12SCRIPT.Virus0.29%
13Trojan.PWS.Panda.6550.29%
14BackDoor.Tordev.80.29%
15Win32.HLLM.Beagle0.27%
16Trojan.Packed.1960.27%
17Trojan.PWS.Stealer.21550.26%
18BackDoor.Andromeda.1500.26%
19Trojan.KeyLogger.166740.24%
20Win32.HLLM.Graz0.24%

File malevoli, rilevati a febbraio sui computer degli utenti

 01.02.2013 00:00 - 28.02.2013 11:00 
1Trojan.Fraudster.2450.77%
2SCRIPT.Virus0.70%
3Tool.Unwanted.JS.SMSFraud.260.63%
4Adware.Downware.9150.61%
5JS.IFrame.3870.52%
6Adware.Downware.1790.49%
7Tool.Unwanted.JS.SMSFraud.100.42%
8Trojan.Fraudster.3940.36%
9Adware.Webalta.110.36%
10Tool.Skymonk.110.33%
11Trojan.Fraudster.4070.32%
12Win32.HLLW.Shadow0.31%
13Tool.Skymonk.120.30%
14JS.Redirector.1750.30%
15Adware.Downware.9100.29%
16Adware.InstallCore.530.29%
17Win32.HLLW.Autoruner1.335560.29%
18Adware.Downware.7740.29%
19Win32.HLLW.Autoruner.598340.29%
20JS.Redirector.1790.27%

La tua opinione conta per noi

Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2021

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125124, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A