10 giugno 2014

Gli autori dei programmi malevoli moderni provengono principalmente dai paesi dell'ex Unione Sovietica o sono di madrelingua cinese — si può giungere a questa conclusione analizzando il codice del malware. Dopo questa considerazione, si mette in risalto il BackDoor.Zetbo.1 scoperto dagli specialisti Doctor Web alla fine di maggio 2014. A giudicare dall'abbondanza di stringhe in turco nella struttura di questo programma, capace di eseguire comandi sul computer infetto, possiamo concludere che i loro autori vengono dalla Turchia.

Il programma malevolo BackDoor.Zetbo.1 si installa nel sistema come il servizio Windows Power Management (winpwrmng) che ha la seguente descrizione: Allows Users to Manage the Power Options. Il backdoor salva sul disco il suo file eseguibile con il nome taskmgr.exe, e conserva tutti i suoi file nella cartella %APPDATA%\Roaming\. Durante l'installazione il backdoor visualizza il seguente messaggio scritto in turco: rundll bu dosyayı açamıyor. Dosya çok büyük, che vuol dire: "rundll non può aprire questo file. Il file è troppo grande".

Una volta avviato sul pc infetto, il servizio malevolo controlla se il backdoor è in esecuzione, e in caso contrario, lo avvia forzatamente. Se si tenta di arrestare il servizio, il programma termina Windows e visualizza sullo schermo l'avviso: Windows had to be closed. Windows Power Services is turned off.

Il programma malevolo ha un obiettivo solito per i backdoor, cioè esegue sul pc infetto diversi comandi impartiti dal server remoto di controllo (l'indirizzo del quale è specificato nel corpo del programma stesso), compresi i seguenti comandi: aggiornarsi, rimuovere determinati file, verificare la disponibilità sul disco dei propri componenti, terminare il sistema operativo. Il trojan è capace di trasmettere ai malintenzionati le informazioni circa il computer infetto (per esempio, la matricola del disco rigido). Inoltre, possiamo segnalare un metodo molto interessante utilizzato dal programma per ottenere parametri dal server di controllo: dopo essere connesso al nodo remoto, il trojan "Zetbo.1" cerca un'apposita pagina web collocata dai malintenzionati, sulla quale si trovano alcuni pulsanti. Il programma analizza i valori dei tag html responsabili della visualizzazione di questi pulsanti nel browser e in questo modo determina i dati di configurazione necessari per il suo funzionamento.

La firma antivirale del BackDoor.Zetbo.1 è stata aggiunta ai database dei virus Doctor Web, perciò questo programma non rappresenta alcuna minaccia per gli utenti dei nostri antivirus.