11 dicembre 2013

Doctor Web — azienda russa per la sicurezza informatica — segnala la diffusione del programma malevolo Trojan.Zadved.1, un plugin per i browser che dovrebbe essere uno strumento di protezione da siti fraudolenti e potenzialmente pericolosi. In realtà, il programma svolge le funzioni diametralmente opposte: sostituisce le pagine dei risultati dei motori di ricerca, reindirizza l'utente su determinati siti e visualizza pubblicità indesiderata.

Le prime copie del malware Trojan.Zadved.1 sono state aggiunte ai database dei virus Dr.Web all'inizio di novembre. Questo trojan si propaga sotto forma di un'estensione per i browser chiamata SafeWeb. Gli sviluppatori dichiarano che l'estensione sia studiata per assicurare un utilizzo sicuro della rete mondiale. Invece, non è così. Dopo che il programma è stato scaricato e lanciato, si apre la finestra dell'installer che installa l'estensione sul computer della potenziale vittima. Di recente, la versione attuale dell'installer – Trojan.Zadved.1 – è comparsa tra i software distribuiti dal partner program installmonster.ru (della stessa origine del partner programma zipmonster.ru che propaga i Trojan.SmsSend studiati per inviare messaggi all'insaputa dell'utente). Dobbiamo notare che tra i pacchetti di "installmonster" si trova spessissimo qualche malware.

Finita l'installazione, il plugin malevolo compare nella lista dei componenti aggiuntivi del browser e scarica dai server remoti alcuni script mediante i quali realizza le sue funzioni dannose. Uno degli script sostituisce le pagine dei risultati dei motori di ricerca visualizzando link estranei.

Un altro script visualizza finestre pop-up che imitano messaggi del social network "VKontakte". Per far sembrare veritieri i messaggi, il malware li mostra solo se è aperto il sito del social network vk.com. Inoltre, il trojan sostituisce i teaser pubblicitari del social network con quelli impostati nel programma.

Un altro script realizza il tipo di pubblicità "click under": se l'utente fa clic in qualsiasi parte di una pagina web, lo script apre una nuova finestra del browser in cui si carica il sito pubblicizzato dai malintenzionati.

Trojan.Zadved.1 viene rilevato dall'antivirus Dr.Web, dunque i nostri utenti sono protetti da questo malware. Gli specialisti di Doctor Web consigliano: non scaricate programmi da siti poco attendibili ed eseguite una scansione antivirale del disco fisso a cadenze regolari.