7 maggio 2013

Doctor Web — produttore russo dei software antivirus — ha esaminato una delle minacce più diffuse ad aprile 2013, il cavallo di troia chiamato Trojan.Mods.1, che prima aveva il nome Trojan.Redirect.140. Secondo le statistiche raccolte dall’utility di cura Dr.Web CureIt!, la percentuale di rilevamento di questi trojan è stata 3,07% della quantità totale di programmi malevoli rilevati. In quest’articolo Vi presentiamo in breve i risultati dell’indagine.

Questo cavallo di troia consiste da due componenti: un dropper e una libreria dinamica che porta le principali funzioni dannose. Mentre si installa sul computer vittima, il dropper crea una sua copia in una cartella sul disco fisso e si avvia per essere eseguito. Nel sistema operativo Microsoft Windows Vista, per aggirare il controllo degli account (User Accounts Control, UAC), il dropper può avviarsi sotto forma di un aggiornamento di Java e chiedere all’utente di confermare il download dell’applicazione.

In seguito, il dropper salva sul disco la libreria principale del trojan che si incorpora in tutti i processi in esecuzione sul pc infetto, però continua a funzionare solamente nei processi dei browser Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome, Chromium, Mail.Ru Internet, Yandex.Browser, Rambler Nichrom. Il file di configurazione con tutte le informazioni necessarie per Trojan.Mods.1 si conserva nella libreria nella forma cifrata.

Lo scopo principale di Trojan.Mods.1 è sostituire furtivamente le pagine web visualizzate dall’utente con le pagine che appartengono ai malintenzionati. Il trojan raggiunge questo scopo intercettando le funzioni di sistema che risolvono i nomi DNS dei siti web in indirizzi IP. Di conseguenza, l’utente viene reindirizzato ai siti fraudolenti su cui i malintenzionati gli chiedono di inserire un numero di cellulare e di rispondere agli SMS inviati dal numero breve 4012. Se la vittima esegue queste azioni, al suo conto di telefonia viene addebitata una determinata somma.

L’architettura di Trojan.Mods.1 prevede un algoritmo speciale tramite il quale è possibile disattivare il reindirizzamento del browser a un determinato gruppo di indirizzi.

La firma antivirale di questo malware è stata aggiunta ai database di Dr.Web, quindi Trojan.Mods.1 non è pericoloso per i computer su cui sono installati prodotti della società “Doctor Web”.