2 aprile 2014

Nel primo mese primaverile Doctor Web ha completato i suoi database dei virus con molti record nuovi. Così all'inizio di marzo abbiamo scoperto un trojan che infetta gli ATM di un grande produttore. A metà di marzo abbiamo dato notizia di un programma che compromette i router Wi-Fi. Inoltre, a marzo è stata rilevata una serie di trojan per Android, sconosciuti in precedenza.

Programmi malevoli più diffusi

Le statistiche delle scansioni eseguite tramite l'utility Dr.Web CureIt! a marzo mostrano che così come a febbraio "l'ospite" più frequente sui computer scansionati è stato il programma Trojan.Packed.24524che installa adware ed applicazioni inattendibili. Il secondo posto è stato assegnato ai trojan che visualizzano pubblicità indesiderata: Trojan.InstallMonster.51 e Trojan.LoadMoney.15, e un altro programma di pubblicità Trojan.LoadMoney.1 è stato messo al terzo posto per numero di rilevamenti. Tra le minacce rilevate su molti computer possiamo segnalare anche alcune varianti dei trojan Trojan.BPlug — sotto questo nome sono raccolte le estensioni per browser che incorporano pubblicità nelle pagine web visualizzate dall'utente oppure "promuovono" diversi siti di frode. Di seguito riportiamo la top venti delle minacce rilevate a marzo tramite l'utility Dr.Web CureIt!:

Botnet

Aumenta gradualmente la botnet composta dai pc Microsoft Windows infettati dal virus Win32.Rmnet.12. A marzo la prima sottorete di questa botnet, il cui stato è controllato dagli esperti di Doctor Web, ha avuto in media 244.430 computer. La crescita della seconda sottorete ha rallentato leggermente: a marzo il numero di computer medio è stato 157.343 computer. È diminuita la botnet composta dai computer infettati dal modulo malevolo Trojan.Rmnet.19: 2.066 computer alla fine di marzo, meno dei 457 pc rispetto alle cifre del mese scorso.

Continua il calo della botnet creata sulla base del malware BackDoor.Dande, tramite il quale i malintenzionati possono accedere alle informazioni confidenziali sui computer di aziende farmaceutiche: a marzo la sua dimensione è diminuita dell'altro 5,5% e alla fine del mese la botnet contava 968 postazioni infette.

Il numero di computer Mac OS X infettati dal trojan BackDoor.Flashback.39 continua a fluttuare: a marzo la botnet includeva in media 25.912 Mac, e tutti i bot che a marzo si connettevano al server di controllo della rete dannosa erano stati infettati già in precedenza.

Altre minacce a marzo

All'inizio del mese Doctor Web ha comunicato la scoperta del malware Trojan.Skimer.19che rappresenta una minaccia per i bancomat di un produttore ben conosciuto. Dopo aver infettato il sistema operativo di un bancomat, il Trojan.Skimer.19 cattura le battiture sul pad EPP (Encrypted Pin Pad) in attesa di una determinata combinazione di caratteri. Tramite questa combinazione il trojan viene attivato e può eseguire comandi digitati dal malintenzionato sul pad, tra cui:

• Salvare i file di log sul chip della carta, decifrare codici PIN;
• Rimuovere la libreria malevola e i file di log, ripristinare il file host allo stato pulito, riavviare il sistema (i malintenzionati danno il comando al bancomat infetto due volte, il secondo comando deve seguire il primo entro dieci secondi);
• Visualizzare sul display le statistiche riassuntive del trojan: numero di transazioni effettuate, di carte uniche, di chiavi intercettate ecc.;

  

• Cancellare tutti i file di log;
• Riavviare il sistema;
• Aggiornare il file del trojan caricando l'eseguibile dal chip della carta.

Abbiamo dedicato al Trojan.Skimer.19 un articolo analitico pubblicato sul sito di Doctor Web.

Inoltre, a marzo gli esperti del laboratorio antivirus di Doctor Web hanno esaminato il Trojan.Rbrute che è in grado di scoprire le password di accesso ai router Wi-Fi con il metodo "attacco a dizionario" e di sostituire gli indirizzi dei server DNS nelle impostazioni di questi dispositivi. Il trojan può eseguire due comandi: scansionare la rete in un intervallo di indirizzi IP stabilito e scoprire la password sulla base di un "dizionario". Questi comandi non sono interconnessi e possono essere eseguiti separatamente.

Al momento i malintenzionati utilizzano il programma sopraindicato per diffondere il trojan Win32.Sector. Per maggiori informazioni leggete la notizia pubblicata da Doctor Web.

Minacce mobile

Il primo mese primaverile non è stato un periodo di tranquillità per i proprietari dei dispositivi Android. All'inizio del mese, i malintenzionati hanno organizzato la distribuzione commerciale di un nuovo trojan-bot per Android che Doctor Web classifica come Android.Dendroid.1.origin. Questo malware può essere incorporato in qualsiasi applicazione per Android neutrale e consente agli hacker di eseguire sul dispositivo compromesso una serie di azioni illegali: intercettare chiamate ed SMS, localizzare l'utente, ottenere contatti dalla rubrica e la cronologia del browser, attivare la fotocamera e il microfono del cellulare, inviare SMS all'insaputa dell'utente e così via. L'Android.Dendroid.1.origin è venduto su alcuni forum clandestini degli hacker e comprova che il mercato di servizi illegali mirati al SO Android è in continua crescita.

La privacy degli utenti di Android è sfidata anche dal trojan Android.Backdoor.53.origin scoperto dai dipendenti della società Doctor Web a metà marzo. Una particolarità di questo malware è che viene inserito nell'applicazione Webkey, la quale consente all'utente di controllare il suo dispositivo mobile su remoto. A differenza dalla versione originale dell'applicazione, la versione manipolata non dispone dell'interfaccia grafica e una volta installata nasconde la sua presenza nel sistema eliminando la sua icona dalla schermata principale. Dopo il primo avvio, l'Android.Backdoor.53.origin manda sul server remoto gli identificatori del cellulare e in questo modo lo registra come dispositivo infettato. Di conseguenza, i malintenzionati possono ottenere il completo controllo sul dispositivo, compreso l'accesso a tante informazioni private dell'utente, nonché alle caratteristiche hardware.

Alla fine di marzo Doctor Web ha scoperto un gruppo di applicazioni appartenenti alla famiglia di malware Android.DownLoader e rivolte principalmente agli utenti cinesi. Questi trojan possono scaricare e installare sul dispositivo vittima altri programmi malevoli, nonché alcune applicazioni legittime che vengono pubblicizzate in questo modo al fine di trarre profitti. Il pericolo principale è che, con la disponibilità dei permessi di root, l'installazione delle applicazioni scaricate dai trojan avviene senza la partecipazione dell'utente. Inoltre, se sul cellulare si usa un piano tariffario con la connessione Internet limitata, l'utente potrebbe essere costretto a pagare spese non pianificate a causa di consumo eccessivo del traffico dati da parte delle applicazioni. Questa minaccia è descritta nel dettaglio in una notizia di virus pubblicata sul nostro sito.

Oltre a queste minacce, a marzo Doctor Web ha rilevato alcuni trojan che eseguono il mining delle monete elettroniche. I malintenzionati diffondono questi programmi nelle versioni manipolate di alcune applicazioni popolari. I malware vengono attivati mentre il dispositivo mobile infetto è in modalità standby. Possono ridurre notevolmente la durata della batteria e potrebbero causare un disagio all'utente perché l'apparecchio si riscalda a causa delle parti in continuo funzionamento (il che potrebbe ridurre la durata di vita degli stessi). Le azioni dannose dei programmi potrebbero esaurire il credito del cellulare dato che utilizzano intensivamente la connessione a Internet. L'antivirus Dr.Web per Android classifica queste minacce come Android.CoinMine.

Per quanto riguarda la situazione nello spazio informatico nella Corea del Sud, a marzo è aumentato del 113,3% rispetto a febbraio il numero di sms in cui i malintenzionati spediscono link al download di malware. In totale, Doctor Web ha registrato 192 casi di mailing malevolo, in particolare, l'Android.Spy.64.origin era inviato in 86 casi, l'Android.SmsSpy.53.origin in 26 casi e l'Android.SmsSpy.78.origin in 18 casi. Gli altri trojan frequenti sono: Android.Spy.40.origin (13 casi), Android.MulDrop.14.origin (12 casi) e Android.SmsSpy.65.origin (10 casi).

File malevoli rilevati a marzo nelle e-mail

File malevoli rilevati a marzo sui computer scansionati

Scopri di più con Dr.Web

Statistiche di virus Biblioteca delle descrizioni Tutti i resoconti sui virus Laboratorio live