24 dicembre 2013

Doctor Web — produttore russo di programmi per la sicurezza informatica — avverte della propagazione di una nuova variante del malware Trojan.Mods, nominata Trojan.Mods.10. Continua il trend di dicembre 2013: tra le altre funzioni dannose del Trojan.Mods.10 vi è anche la possibilità di estrazione della cripto-moneta Bitcoin.

I Trojan.Mods, largamente diffusi, comparsi in primavera 2013, sostituiscono nel browser le pagine web che l'utente vuole aprire con quelle dei malintenzionati tramite l'intercettazione delle funzioni di sistema che convertono i nomi a dominio in indirizzi IP. In seguito a tali azioni del malware, l'utente visita qualche sito web fraudolento invece del sito cercato. La barra degli indirizzi del browser visualizza l'URL "corretto" e per questo l'utente non sempre potrebbe accorgersi subito della sostituzione.

La differenza principale della versione Trojan.Mods dalle versioni precedenti è la seguente. Le versioni precedenti del trojan incorporavano le loro librerie malevole nei processi dei browser (Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome, Chromium, Mail.Ru Internet, Yandex.Browser, Rambler Nichrome), mentre la nuova versione del Trojan.Mods infetta il processo explorer.exe. Quindi il componente malevolo incorporato in questo processo cerca i processi dei browser in esecuzione e inserisce in essi il suo codice, quello che nelle versioni precedenti era una libreria dinamica.

Inoltre, il Trojan.Mods.10 contiene un programma per l'estrazione (mining) della cripto-moneta Bitcoin. Le funzioni di mining sono una tendenza attuale — il trojan "Mods.10" è già il terzo malware con tali funzioni, scoperto da Doctor Web a dicembre 2013.

Le rispettive firme antivirali sono state aggiunte ai database dei virus Dr.Web, in questo modo queste minacce non sono pericolose per gli utenti del nostro software.