Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Resoconto sui malware di dicembre 2013

9 gennaio 2014

Il dicembre 2013 verrà ricordato come il mese in cui sono comparsi molteplici trojan ideati per il mining (estrazione) delle cripto-monete Bitcoin e Litecoin. Inoltre, a dicembre gli specialisti di Doctor Web hanno scoperto un grande numero di "trojan pubblicitari" che si propagavano dai siti malevoli e anche tramite alcuni partner program. Sono state individuate nuove minacce per Android, il cui numero è come sempre molto alto.

Malware più diffusi

Le statistiche raccolte tramite l'utility Dr.Web CureIt! a dicembre 2013 mettono in rilievo le seguenti minacce più diffuse. Così come in precedenza, i leader sono i trojan pubblicitari Trojan.InstallMonster.38 e Trojan.LoadMoney.1. Inoltre, l'utility ha rilevato spesso il Trojan.Packed.24524 e li Trojan.Siggen5.64541 — librerie dinamiche che intercettano diverse funzioni dei browser. Elenchiamo la top venti delle minacce di dicembre.

NomeNumero%
Trojan.InstallMonster.38268862.85
Trojan.LoadMoney.1242272.57
Trojan.Packed.24524238672.53
Trojan.Siggen5.64541121301.29
BackDoor.IRC.NgrBot.42120041.27
Trojan.Hosts.6815110921.18
Trojan.LoadMoney.7696701.03
Trojan.InstallMonster.2896521.02
Trojan.LoadMoney.22596011.02
Trojan.Fraudster.50291780.97
BackDoor.Maxplus.2489100.95
Trojan.Fraudster.52482490.88
Trojan.DownLoader10.5682080890.86
Trojan.BtcMine.22179650.84
Trojan.StartPage.5673473220.78
Trojan.Siggen5.6398065870.70
Trojan.BPlug.163850.68
Trojan.BPlug.461110.65
Win32.HLLP.Neshta57050.61
BackDoor.Andromeda.17847120.46

Botnet

A dicembre 2013 è aumentata la dimensione della botnet Win32.Rmnet.12. La prima delle sottoreti seguite dagli specialisti di Doctor Web registrava circa ventimila bot nuovi al giorno (è una cifra maggiore di cinquemila rispetto a quella di novembre). Il grafico sottostante mostra la crescita della rete dannosa.

Nuovi arrivi nella botnet Win32.Rmnet.12 a dicembre 2013 (1° sottorete)
screenshot

Nella seconda sottorete della botnet Win32.Rmnet.12 l'indicatore di nuovi bot non è cambiato, restando alla cifra media di dodicimila.

Nuovi arrivi nella botnet Win32.Rmnet.12 a dicembre 2013 (2° sottorete)
screenshot

Si è ridotta la rete creata dal modulo malevolo Trojan.Rmnet.19 — da 3.345 computer alla fine di novembre a 2.607 nella seconda decade di dicembre. La botnet BackDoor.Bulknet.739 ha praticamente cessato di esistere: se alla fine di novembre comprendeva 1.270 computer infetti, il 23 dicembre ne sono rimasti soltanto 121. Non è cambiata molto la dimensione della botnet BackDoor.Dande, una rete dannosa composta da postazioni delle aziende farmaceutiche, creata per rubare informazioni e segreti commerciali: il 23 dicembre il numero di computer nella botnet è stato 1.098. È interessante che la botnet BackDoor.Flashback.39 ideata per infettare computer Apple diminuisce molto lentamente — così a dicembre il numero totale di Mac infetti è stato 28.829, di soli 4.110 Mac in meno.

Minaccia del mese

A dicembre, gli specialisti di Doctor Web hanno esaminato il malware Trojan.Zadved.1, le prime versioni del quale erano comparse all'inizio di novembre. Di recente, il partner program Installmonster.ru ha cominciato a distribuire la versione attuale. Gli sviluppatori dell'applicazione dichiarano che essa sia studiata per assicurare un utilizzo sicuro della rete mondiale. In realtà, il programma svolge le funzioni diametralmente opposte.

Una volta installato nel sistema, il plugin malevolo compare nella lista dei componenti aggiuntivi del browser e scarica dai server remoti alcuni script mediante i quali realizza le sue funzioni dannose. Uno degli script sostituisce le pagine dei risultati dei motori di ricerca e visualizza link estranei.

screenshot

Un altro script visualizza finestre pop-up che imitano messaggi del social network "VKontakte". Per far sembrare veritieri i messaggi, il malware li mostra solo se è aperto il sito del social network vk.com. Inoltre, il trojan sostituisce i teaser pubblicitari del social network con quelli impostati nel programma. Un altro script realizza il tipo di pubblicità "click under": se l'utente fa clic in qualsiasi parte di una pagina web, lo script apre una nuova finestra del browser in cui si carica il sito pubblicizzato dai malintenzionati. Potete trovare una descrizione di questa minaccia in una nostra notizia.

Mese del mining

A dicembre sono stati scoperti molti trojan destinati al mining delle cripto-monete Bitcoin e Litecoin. All'inizio di dicembre, gli specialisti di Doctor Web hanno aggiunto al database la firma antivirale del Trojan.BtcMine.221 che si propagava su alcuni siti web appartenenti ai malintenzionati mascherato da un'estensione per browser che aiuterebbe l'utente nella scelta degli articoli acquistabili online. Gli autori dell'applicazione affermano che questo plugin, chiamato Shopping Suggestion, riconosca in modo automatico gli articoli guardati dall'utente in vari negozi elettronici e trovi in Internet gli stessi articoli offerti a un prezzo più basso. Il trojan si maschera anche da altre applicazioni utili, per esempio da un lettore VLC o da un programma per la navigazione anonima sulla rete. In realtà, il Trojan.BtcMine.221 è studiato per eseguire il mining (estrazione) della cripto-moneta Litecoin utilizzando all'insaputa dell'utente le capacità del suo computer infettato. Al momento della scoperta, abbiamo registrato 311.477 installazioni di questo trojan; la distribuzione per paese è mostrata nella seguente immagine. Un nostro articolo analitico informa gli utenti di questa minaccia più nel dettaglio.

screenshot

Inoltre, a dicembre è stato esaminato un altro trojan studiato per il mining, aggiunto ai database sotto il nome di Trojan.BtcMine.218. Anche quest'applicazione veniva propagata dal partner program Installmonster.ru. Una cosa particolare è che gli autori del virus hanno lasciato nei dati di debugging alcune informazioni che si riferiscono ai loro nomi o nickname. Così l'installer del Trojan.BtcMine.218, scritto in linguaggio AutoIt, contiene le seguenti stringhe:

FILEINSTALL("C:\Users\Antonio\Desktop\Glue\SmallWeatherSetup.exe", @TEMPDIR & "\Setup_1.exe") FILEINSTALL("C:\Users\Antonio\Desktop\Glue\Install.exe", @TEMPDIR & "\Setup_2.exe")

Mentre il codice del trojan include questa stringa:

c:\Users\Кошевой Дмитрий\Documents\Visual Studio 2012\Projects\Miner\Instal\obj\Debug\Instal.pdb

Questa minaccia è stata descritta in una notizia pubblicata sul nostro sito.

Infine, alla Vigilia di Natale, Doctor Web ha comunicato di una nuova versione dei Trojan.Mods, nominata Trojan.Mods.10. La differenza principale della nuova versione da quelle precedenti è la presenza di un modulo che esegue il mining della cripto-moneta Bitcoin. Invece, lo scopo principale del Trojan.Mods.10 è di sostituire nel browser le pagine web che l'utente vuole aprire con quelle dei malintenzionati tramite l'intercettazione delle funzioni di sistema che convertono i nomi a dominio in indirizzi IP.

Le minacce destinate al mining delle monete elettroniche si espandono perché l'utilizzo di questi programmi porta notevoli somme ai loro autori. Secondo le informazioni riguardanti il Trojan.BtcMine.221 raccolte dagli specialisti di Doctor Web, il reddito medio giornaliero dei malintenzionati ammonta a 1.454,53 dollari statunitensi.

Minacce per Android

L'ultimo mese dell'anno 2013 non è stato un periodo tranquillo per gli utenti dei dispositivi Android. Tra i malware comparsi a dicembre, possiamo segnalare alcuni nuovi trojan-spia e altre nuove applicazioni pericolose.

In particolare, il database mobile di Dr.Web è stato completato con una decina di firme antivirali delle applicazioni del tipo Android.SmsSpy e Android.Spy. La maggior parte si propagava nella Corea del Sud tramite SMS indesiderati contenenti un link al download del malware. Rispetto a novembre, il numero di tali mailing malevoli è aumentato dell'88,9%: in totale 204 casi registrati. Le minacce trovate sui dispositivi degli utenti sudcoreani sono: Android.Spy.45.origin (51%), Android.SmsSpy.51.origin (19%),Android.SmsSpy.53.origin (9%) e Android.Spy.67 (9%). Il seguente diagramma fa vedere la distribuzione per tipo di minaccia.

Minacce per Android propagate a dicembre tramite SMS indesiderati nella Corea del Sud
screenshot

Un altro evento degno di nota è la scoperta su Google Play dell'applicazione malevola WhatsAppCopy che rubava informazioni dal client del popolare servizio di messaggistica WhatsApp per Android. L'applicazione malevola, inserita nei database Dr.Web sotto il nome di Android.WhatsappSpy.1.origin, caricava sul server del suo autore il database dei messaggi inviati tramite il client di messaggistica. Oltre ai messaggi, il malware inviava verso il server immagini e il numero di cellulare connesso all'account di WhatsApp.

screenshot screenshot

Dopo che le informazioni sono state rubate, chiunque poteva accedere ai messaggi di un concreto utente inserendo il suo numero telefonico sul sito dell'autore del trojan. Sebbene l'autore avesse classificato l'app come uno strumento di backup dei messaggi inviati nel programma WhatsApp, il rischio che fosse usata in modo improprio ha costretto Google a rimuovere l'app dal catalogo Google Play. Tuttavia, il programma rimane disponibile sul sito dell'autore, quindi molti utenti potrebbero correre il rischio di divulgazione delle informazioni confidenziali.

Un'altra applicazione che potrebbe causare un danno all'utente e di cui si è parlato molto a dicembre in vari riviste sulla rete, si chiama Bazuc. Consente agli utenti di guadagnare inviando SMS di pubblicità o d'informazione dai loro cellulari. Gli sviluppatori scrivono che le tariffe illimitate siano più adatte per inviare tali SMS, però il programma non ha alcun controllo di tariffa. Di conseguenza, gli utenti potrebbero essere costretti a pagare importi considerevoli o persino potrebbero essere sconnessi dalla rete da parte dell'operatore perché Bazuc è in grado di mandare migliaia di SMS al giorno. Inoltre, i destinatari degli SMS possono vedere il numero telefonico del mittente, quindi gli involontari spammer potrebbero ricevere telefonate dalle persone sconosciute, talvolta poco amichevoli.

screenshot

screenshot

Il programma è stato rimosso dal catalogo Google Play, però è ancora disponibile sul sito dello sviluppatore. Considerando i potenziali rischi di questo programma, gli specialisti di Doctor Web hanno deciso di aggiungerlo al database di rilevamento sotto il nome di Program.Bazuc.1.origin, quindi i nostri utenti sono protetti da questo programma.

File malevoli rilevati a dicembre nelle e-mail

1Trojan.Packed.251011.34%
2Trojan.DownLoader9.228511.01%
3Trojan.DownLoad3.300750.92%
4Trojan.DownLoad3.281610.75%
5Trojan.DownLoad3.307030.74%
6Trojan.Inject2.230.69%
7Trojan.DownLoader9.40340.65%
8BackDoor.Comet.1520.60%
9Trojan.PWS.Panda.5470.54%
10Trojan.DownLoad.647460.54%
11Trojan.PWS.Panda.47950.50%
12BackDoor.Kuluoz.40.44%
13Trojan.Fraudster.5170.44%
14Trojan.DownLoader9.39750.44%
15Win32.HLLM.MyDoom.338080.42%
16Trojan.PWS.Panda.24010.42%
17BackDoor.Maxplus.130260.37%
18Tool.MailPassView.2250.30%
19Trojan.PWS.Panda.56600.25%
20Trojan.DownLoader10.620840.23%

File malevoli rilevati a dicembre sui computer degli utenti

1Trojan.InstallMonster.380.75%
2Trojan.Fraudster.5240.73%
3Trojan.DownLoader10.568200.69%
4Trojan.LoadMoney.10.64%
5Trojan.Fraudster.5020.55%
6BackDoor.IRC.NgrBot.420.46%
7BackDoor.PHP.Shell.60.40%
8Trojan.Packed.245240.37%
9Win32.HLLW.Shadow0.33%
10Trojan.StartPage.574590.32%
11Trojan.Fraudster.5890.31%
12Win32.HLLW.Autoruner.598340.30%
13Trojan.MulDrop4.253430.27%
14Trojan.Packed.27820.26%
15Trojan.SMSSend.41960.25%
16Trojan.Hosts.68380.24%
17Trojan.Fraudster.4300.24%
18Trojan.Packed.248140.23%
19Trojan.DownLoader10.579200.22%
20Trojan.LoadMoney.2250.22%

Scopri di più con Dr.Web

Statistiche di virus Biblioteca delle descrizioni Tutti i resoconti sui virus Laboratorio live

La tua opinione conta per noi

Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2021

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125124, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A