18 febbraio 2014

Molti programmi malevoli analizzati dal laboratorio antivirale della società Doctor Web sono abbastanza semplici. Sono invece più rari i programmi progrediti che includono più componenti e una gamma di funzioni distruttivi, e proprio a questa categoria possiamo ordinare il nuovo Trojan.PWS.Papras.4 scoperto di recente. Questo trojan complesso è in grado di rubare le credenziali di accesso ad alcune applicazioni, di trasmettere ai malintenzionati le informazioni inserite online dall'utente e di ottenere la possibilità di controllo remoto del computer compromesso.

Il Trojan.PWS.Papras.4 è un programma che possiamo classificare come Remote Administration Tool, cioè strumento di controllo su remoto. Consente ai malintenzionati di accedere al computer infetto all'insaputa dell'utente. Il trojan è composto da alcuni componenti, uno dei quali è un dropper che, una volta avviato, estrae un altro componente (quello di injection) e lo mette in una cartella di sistema, dopo di che modifica il ramo del registro di Windows che definisce le applicazioni eseguite in automatico.

Una volta avviato, il modulo di injection estrae e spacchetta i componenti principali del trojan e quindi li incorpora in tutti i processi in esecuzione sul computer, a parte di alcuni processi del sistema. Il Trojan.PWS.Papras.4 può infettare le versioni Windows a 32 e a 64 bit.

Il trojan dispone di molteplici funzioni realizzate da alcuni moduli di programma, tra cui un server VNC e un server Socks Proxy. Un altro modulo consente di incorporare contenuti estranei nelle pagine web visualizzate dall'utente (cioè esegue il web injection). Il modulo "Grabber" intercetta le informazioni inserite dall'utente online in Microsoft Internet Explorer, Mozilla Firefox e Google Chrome e le trasmette ai malintenzionati. Il modulo "Stealer" ruba le credenziali di accesso a decine di popolari applicazioni, tra cui mail client, FTP client ecc. Infine, il modulo "backconnect" consente agli hacker di controllare su remoto la macchina infetta anche se protetta da un gateway o firewall. Inoltre, il Trojan.PWS.Papras.4 può eseguire i seguenti comandi impartiti dal server remoto dei malintenzionati:

• scaricare, salvare e avviare un'applicazione indicata dagli hacker;
• installare un aggiornamento del programma malevolo;
• inviare i cookies dei browser Microsoft Internet Explorer, Mozilla Firefox e Google Chrome sul server remoto;
• esportare certificati digitali installati sul computer e inviarli sul server remoto;
• inviare una lista dei processi in esecuzione sul server remoto;
• eliminare i cookies sul computer infetto;
• attivare la registrazione in un file di log;
• attivare un server proxy;
• attivare un server VNC;
• installare un aggiornamento del programma malevolo con una firma digitale;
• avviare programmi;
• scrivere un valore nel registro del sistema o ottenere un valore dal registro;
• eseguire una ricerca di file sul computer.

Questo malware è abbastanza pericoloso visto che dispone delle funzioni avanzate e può rubare le informazioni private che in seguito i malintenzionati potrebbero utilizzare per accedere al computer compromesso, per violare diversi siti web e account dell'utente in Internet. Gli antivirus Dr.Web sono in grado di rilevare il Trojan.PWS.Papras.4 e di proteggere con sicurezza le postazioni dei nostri utenti.