8 aprile 2013

Doctor Web — produttore russo di programmi per la sicurezza informatica — ha ottenuto il controllo di una rete dannosa che unisce computer infetti dal malware BackDoor.Bulknet.739. Questo trojan invade in media cento elaboratori all’ora e attualmente è diffuso in Italia, Francia, Turchia, Stati Uniti, Messico, Thailandia e in alcuni altri paesi. I computer compromessi vengono sfruttati dai malintenzionati per inviare email di spam.

Per la prima volta, gli esperti di Doctor Web hanno esaminato BackDoor.Bulknet.739 ad ottobre 2012. L’analisi ha mostrato che il programma malevolo era in grado di unire computer in una botnet e veniva utilizzato per propagare grandi quantità di email.

L’infezione avviene nel seguente modo. Quando un computer viene attaccato, prima si esegue un modulo speciale che spacchetta un downloader che al suo turno scarica BackDoor.Bulknet.739 utilizzando un’applicazione malevola nominata BackDoor.Bulknet.847. Quest’ultima ha un algoritmo molto interessante. Da una lista memorizzata, l’applicazione seleziona un nome di dominio che essa utilizzerà per scaricare il modulo di invio di spam. Una volta mandata una query, l’applicazione riceve l’home page del sito che si trova a questo indirizzo e analizza la sua struttura HTML cercando il tag di inserimento immagine. Il modulo principale del trojan BackDoor.Bulknet.739 si conserva nella forma cifrata dentro tale immagine.

Il modulo principale di BackDoor.Bulknet.739 ha lo scopo di inviare email in massa. A questo fine, il trojan riceve da un server remoto le informazioni necessarie: indirizzi, template e un file di configurazione. BackDoor.Bulknet.739 comunica con i pirati informatici tramite il protocollo binario. Il malware può eseguire comandi impartiti dai malintenzionati, in particolare, aggiornare e scaricare template di lettere elettroniche e liste degli indirizzi di email e fermare l’invio di messaggi. In caso di un fallimento, il programma dannoso può avvertirne i suoi proprietari generando un report speciale.

Gli esperti di Doctor Web sono riusciti a intercettare un server remoto di controllo della botnet BackDoor.Bulknet.739 e hanno raccolto una serie di dati statistici. Secondo i dati del 5 aprile 2013, circa settemila computer infetti erano connessi a questo server di controllo. Il seguente diagramma mostra la crescita della botnet nel periodo dal 2 al 5 aprile:

Attualmente la botnet BackDoor.Bulknet.739 continua a crescere ad un tasso assai alto — ogni ora in media cento macchine aderiscono alla rete dannosa. Italia, Francia, Turchia, Stati Uniti, Messico e Thailandia hanno i numeri maggiori di bot. In Australia e Russia il numero di computer infetti risulta il più basso. L’illustrazione sottostante visualizza i numeri della rete dannosa secondo la posizione geografica dei bot:

Il seguente diagramma analizza quali sistemi operativi sono installati sui computer infetti:

Doctor Web continua a osservare la situazione. La definizione del trojan BackDoor.Bulknet.739 è stata inserita nel database antivirale di Dr.Web e quindi non rappresenta alcuna minaccia per gli elaboratori protetti dal nostro antivirus completato con gli ultimi aggiornamenti.