Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Resoconto sui malware di gennaio 2014

4 febbraio 2014

A gennaio 2014 è stato scoperto il primo bootkit della storia che infetta il SO Android. Doctor Web segue la rete dannosa formata tramite questo programma: alla fine di gennaio questa botnet contava oltre ottocentocinquanta dispositivi mobili infetti. Inoltre, sono state scoperte nuove minacce per il SO Windows.

Programmi malevoli più diffusi

Dalle statistiche delle scansioni eseguite tramite l'utility Dr.Web CureIt! a gennaio, possiamo vedere che i seguenti programmi malevoli risultano i più diffusi: il Trojan.Packed.24524 — un installer camuffato da programma legittimo che installa adware e applicazioni non attendibili; il Trojan.LoadMoney.1 e il Trojan.InstallMonster.38 — programmi che visualizzano pubblicità indesiderata; il BackDoor.Bulknet.1329, nonché il Trojan.BtcMine.221, utilizzato dagli hacker per il mining delle monete elettroniche. Elenchiamo la top venti delle minacce di gennaio 2014.

NomeNumero%
Trojan.Packed.24524509474.71
Trojan.LoadMoney.1357833.31
Trojan.InstallMonster.38195581.81
Trojan.Siggen5.64541173711.61
BackDoor.Bulknet.1329159291.47
Trojan.BtcMine.221141001.30
Trojan.Siggen6.685116731.08
Trojan.BPlug.10107610.99
BackDoor.Maxplus.24106220.98
BackDoor.IRC.NgrBot.42101680.94
Trojan.InstallMonster.28100390.93
Trojan.DownLoad.64782100080.93
Trojan.Fraudster.50298970.91
Trojan.Fraudster.52497390.90
Trojan.Hosts.681596920.90
Trojan.LoadMoney.7682370.76
Trojan.Packed.2481481890.76
Trojan.BPlug.474350.69
Trojan.DownLoader10.5682072200.67
Trojan.DownLoader10.2870969710.64

Botnet

Si estende la rete dannosa creata con l'ausilio del "file virus" Win32.Rmnet.12 che dispone delle funzioni di un backdoor e può rubare le credenziali di accesso a diverse applicazioni. A gennaio, circa diciottomila nuovi computer aderivano a una delle sottoreti Win32.Rmnet.12 ogni giorno. Questo aumento è riflesso nel seguente grafico.

Nuovi bot nella botnet Win32.Rmnet.12 a gennaio 2014
(1° sottorete)

graph

Anche la seconda sottorete è cresciuta, però il numero di nuovi arrivi è diminuito dai ventimila al giorno all'inizio di gennaio fino ai dodicimila al giorno alla fine del mese. Possiamo vedere questi cambiamenti nel grafico sottostante.

Nuovi bot nella botnet Win32.Rmnet.12 a gennaio 2014
(2° sottorete)

graph

La botnet creata dal modulo dannoso Trojan.Rmnet.19 ha tanti computer quanti nel mese precedente: 2607 alla fine di dicembre e 2633 il 29 gennaio. La botnet BackDoor.Dande si è ristretta dai 1098 computer a dicembre fino ai 930 a gennaio. Vi ricordiamo che questo backdoor ruba informazioni dai computer su cui è installato il software specializzato del settore farmaceutico.

Il numero di Mac intrappolati nella botnet BackDoor.Flashback.39 è diminuito di qualche centinaio: 28829 a dicembre e 28160 a gennaio. La maggior parte di Mac infetti si trova negli Stati Uniti (14733). In Canada risultano 5564 computer infetti, nel Regno Unito 4120 e in Australia 1582. In Russia abbiamo scoperto soltanto due computer Mac OS X infettati dal malware "Flashback".

Nuovo adware

A gennaio gli specialisti di Doctor Web hanno comunicato di un nuovo trojan, nominato Trojan.Zipvideom.1, ideato per la visualizzazione di pubblicità indesiderata. Il malware si diffondeva in messaggi su Facebook e anche in altri modi. Il programma malevolo consiste di alcuni componenti, uno dei quali scarica apposite estensioni malevole per Mozilla Firefox e Google Chrome.

screenshot

screenshot

Le estensioni installate dal trojan impediscono la libera visualizzazione delle pagine web aperte nel browser e mostrano pubblicità indesiderata. Inoltre, le estensioni sono in grado di scaricare altri programmi indesiderati sul computer compromesso. Così, abbiamo scoperto che alla visita sui siti dei social network (Twitter, Facebook, Google+, YouTube, "VKontakte"), le estensioni scaricano alcuni Java-script di dubbia utilità.

Minacce per Android

Ricordiamo il gennaio del 2014 come il mese in cui è comparso il primo bootkit per il SO Android: il programma dannoso è stato aggiunto ai database Dr.Web sotto il nome di Android.Oldboot.1. Questo trojan penetra nel settore di avvio del sistema operativo e per questa ragione può avviarsi all'inizio della partenza del SO e diventa anche più difficile da rimuovere completamente. Una volta attivato, l'Android.Oldboot.1 estrae gli altri suoi componenti e li mette nelle cartelle di sistema installandoli come applicazioni normali. In seguito questi oggetti malevoli, classificati da Dr.Web come Android.Oldboot.2 e Android.Oldboot.1.origin, si connettono a un server remoto per ricevere comandi. A seconda del comando ricevuto, possono eseguire varie azioni distruttive, in particolare, possono scaricare, installare o rimuovere diverse applicazioni.

screenshot

Secondo le informazioni ottenute dagli analisti dei virus di Doctor Web, alla fine di gennaio il malware Android.Oldboot.1 ha infettato ottocentoventiseimila dispositivi mobili appartenenti agli utenti da diversi paesi, quali Spagna, Italia, Germania, Russia, Brasile, gli Stati Uniti e alcuni paesi dell'Asia Sudorientale. Va notato che la maggioranza delle vittime si trova in Cina, essendo questo paese il target principale degli autori del trojan Android.Oldboot.1.

Numero di dispositivi infetti per paese
graph

graph

Doctor Web ha pubblicato un articolo dedicato a questa minaccia che potete leggere sul nostro sito.

A gennaio è stata trovata un'altra minaccia rivolta agli utenti cinesi. Il malware, chiamato Android.Spy.67.origin da Dr.Web, è camuffato dall'aggiornamento di qualche software utile e se l'utente lo accetta sul dispositivo, il malware imita l'installazione di alcune applicazioni, creando le corrispondenti icone sulla schermata principale dello smartphone.

screenshot

screenshot

All'avvio il trojan elimina queste icone e raccoglie le informazioni personali dell'utente: cronologia degli SMS, registro chiamate, coordinate GPS. Il trojan può attivare la video camera e il microfono del dispositivo mobile, nonché esegue l'indicizzazione delle foto memorizzate, creando miniature. Quindi il trojan carica tutte le informazioni rubate sul server di controllo dei malintenzionati. Se l'Android.Spy.67.origin ha i permessi di root, disturba il funzionamento degli antivirus eliminando i database dei virus, nonché attiva un modulo malevolo che è capace di installare di nascosto diverse applicazioni.

A gennaio è stata rilevata una successiva applicazione malevola nel catalogo Google Play. Il gioco Real Basketball non fornisce le funzioni dichiarate, ma esegue le azioni indesiderate. Doctor Web ha chiamato quest'applicazione Android.Click.3.origin.

screenshot

Gli utenti che volevano provare questo gioco, hanno invece ricevuto un programma per l'accesso a Google Play. Però le funzioni principali del programma Android.Click.3.origin sono di aprire nel browser gli URL impostati dai suoi creatori e di fare clic su diversi banner pubblicitari. In questo modo i malintenzionati possono migliorare il posizionamento di alcuni siti web e aumentare il numero di visualizzazioni di pubblicità, cioè possono trarre profitti dalle azioni eseguite in automatico. L'applicazione è stata installata da circa diecimila utenti, quindi si può pensare che i malintenzionati abbiano guadagnato una certa somma.

screenshot screenshot

Oltre a ciò, a gennaio abbiamo registrato ulteriori attacchi ai dispositivi degli utenti sudcoreani. Vi sono stati centoquaranta mailing che diffondono programmi malevoli, un numero più basso rispetto al dicembre scorso. I trojan più diffusi nello spazio informatico sudcoreano sono: Android.Backdoor.31.origin (55%), Android.Spy.71 (9%), Android.Spy.45.origin (8%), Android.Spy.47.origin (4%) e Android.Spy.74 (3%). Va notato che sono state rilevate tante nuove versioni dei programmi malevoli, il che conferma l'elevato interesse degli hacker nelle possibilità dello spazio informatico sudcoreano.

Minacce per Android inclusi negli SMS malevoli inviati sui dispositivi degli utenti sudcoreani
graph

File malevoli rilevati a gennaio nelle e-mail

01.01.2014 00:00 - 31.01.2014 23:00
1Trojan.DownLoad3.281610.84%
2Trojan.DownLoader9.228510.78%
3Trojan.Inject2.230.68%
4Trojan.DownLoad3.315320.66%
5Trojan.DownLoader9.152910.64%
6Trojan.DownLoad3.314010.61%
7Trojan.DownLoad3.300750.59%
8Trojan.DownLoader9.149620.50%
9Trojan.Siggen6.17470.48%
10Trojan.DownLoad.648570.40%
11Trojan.DownLoad3.315410.38%
12Trojan.DownLoader9.152950.38%
13Trojan.Siggen6.53110.36%
14Trojan.DownLoad3.316170.36%
15Trojan.PWS.Panda.47950.35%
16Trojan.DownLoad3.315330.30%
17Trojan.DownLoad3.315340.30%
18Trojan.PWS.Panda.5470.30%
19Trojan.Packed.6660.30%
20Trojan.DownLoader9.135840.29%

File malevoli rilevati a gennaio sui computer scansionati

01.01.2014 00:00 - 31.01.2014 23:00
1SCRIPT.Virus1.00%
2Adware.Downware.9150.63%
3Trojan.Fraudster.5240.58%
4Tool.Unwanted.JS.SMSFraud.260.57%
5Trojan.Packed.245240.55%
6Trojan.LoadMoney.10.55%
7Tool.Skymonk.140.53%
8Adware.NextLive.20.52%
9Adware.Downware.1790.48%
10Trojan.LoadMoney.150.45%
11Trojan.Fraudster.5020.41%
12JS.Redirector.2090.41%
13Trojan.InstallMonster.470.40%
14Tool.Skymonk.170.39%
15BackDoor.IRC.NgrBot.420.37%
16Trojan.Packed.248140.37%
17Adware.InstallCore.900.36%
18BackDoor.PHP.Shell.60.34%
19Adware.NextLive.10.31%
20Adware.Downware.16550.31%

Scopri di più con Dr.Web

Statistiche di virus Biblioteca delle descrizioni Tutti i resoconti sui virus Laboratorio live

La tua opinione conta per noi

Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2021

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125124, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A