Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Un trojan pericoloso sostituisce furtivamente pagine web

7 maggio 2013

Doctor Web — produttore russo dei software antivirus — ha esaminato una delle minacce più diffuse ad aprile 2013, il cavallo di troia chiamato Trojan.Mods.1, che prima aveva il nome Trojan.Redirect.140. Secondo le statistiche raccolte dall’utility di cura Dr.Web CureIt!, la percentuale di rilevamento di questi trojan è stata 3,07% della quantità totale di programmi malevoli rilevati. In quest’articolo Vi presentiamo in breve i risultati dell’indagine.

Questo cavallo di troia consiste da due componenti: un dropper e una libreria dinamica che porta le principali funzioni dannose. Mentre si installa sul computer vittima, il dropper crea una sua copia in una cartella sul disco fisso e si avvia per essere eseguito. Nel sistema operativo Microsoft Windows Vista, per aggirare il controllo degli account (User Accounts Control, UAC), il dropper può avviarsi sotto forma di un aggiornamento di Java e chiedere all’utente di confermare il download dell’applicazione.

screen

In seguito, il dropper salva sul disco la libreria principale del trojan che si incorpora in tutti i processi in esecuzione sul pc infetto, però continua a funzionare solamente nei processi dei browser Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome, Chromium, Mail.Ru Internet, Yandex.Browser, Rambler Nichrom. Il file di configurazione con tutte le informazioni necessarie per Trojan.Mods.1 si conserva nella libreria nella forma cifrata.

Lo scopo principale di Trojan.Mods.1 è sostituire furtivamente le pagine web visualizzate dall’utente con le pagine che appartengono ai malintenzionati. Il trojan raggiunge questo scopo intercettando le funzioni di sistema che risolvono i nomi DNS dei siti web in indirizzi IP. Di conseguenza, l’utente viene reindirizzato ai siti fraudolenti su cui i malintenzionati gli chiedono di inserire un numero di cellulare e di rispondere agli SMS inviati dal numero breve 4012. Se la vittima esegue queste azioni, al suo conto di telefonia viene addebitata una determinata somma.

screen

L’architettura di Trojan.Mods.1 prevede un algoritmo speciale tramite il quale è possibile disattivare il reindirizzamento del browser a un determinato gruppo di indirizzi.

La firma antivirale di questo malware è stata aggiunta ai database di Dr.Web, quindi Trojan.Mods.1 non è pericoloso per i computer su cui sono installati prodotti della società “Doctor Web”.

La tua opinione conta per noi

Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2021

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125124, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A