18 giugno 2014

Gli specialisti Doctor Web hanno finito di analizzare un trojan multicomponente, nominato Trojan.Tofsee, che dispone di un'ampia gamma di possibilità. Lo scopo principale del programma malevolo è l'invio di messaggi indesiderati, però tra le sue funzioni troviamo anche una abbastanza insolita: ovvero quella di ricerca e di rimozione di altre minacce sul computer.

Alcuni utenti non ritengono necessario installare un antivirus sul computer e come risultato rimangono vittime dei distributori di malware. Da questo punto di vista, gli utenti, i cui computer sono stati infettati dal Trojan.Tofsee, sono più fortunati degli altri perché, oltre ad eseguire funzioni dannose, questo programma cerca e rimuove virus dal sistema ed è sorprendentemente bravo in questa attività.

Il Trojan.Tofsee si diffonde in diversi modi: tramite Skype e social network e attraverso dispositivi rimovibili. Nel primo caso, i malintenzionati utilizzano i classici metodi del social engineering, inviano agli utenti un messaggio in cui li avvisano che alcune loro fotografie compromettenti sono state pubblicate nella rete. Possiamo chiamare classico questo metodo perché viene utilizzato da anni per la diffusione dei virus su Internet, ciononostante alcune persone poco prudenti si imbattono ancora in questa semplice trappola.

Per la diffusione del Trojan.Tofsee nei social network Twitter, Facebook e VKontakte e in Skype, viene utilizzato un modulo separato scaricato dal server dei malintenzionati. I messaggi inviati dal programma malevolo si basano su un template incluso nel file di configurazione. I messaggi vengono scritti nella lingua nazionale impostata sul computer.

Il testo del messaggio riporta un link alla pagina su cui, come viene affermato, sono disponibili le foto e i video compromettenti. Per visualizzare questi contenuti, all'utente viene proposto di scaricare un'estensione per browser, invece della quale viene scaricato il Trojan.Tofsee.

Per l'invio dei messaggi sui siti Twitter, Facebook e VKontakte, il modulo malevolo utilizza le sessioni dai cookies dei browser Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome. In Skype i messaggi vengono mandati con l'ausilio del click sui pulsanti nella finestra dell'applicazione. Il modulo malevolo può aggirare la protezione captcha su Facebook, inviando un'immagine captcha sul server per il riconoscimento e ricevendo per risposta una stringa da immettere nel web form corrispondente.

Un altro modulo del trojan rende possibile la sua diffusione attraverso dispositivi flash rimovibili. Anche qui gli autori del malware hanno applicato un approccio tradizionale: il modulo salva il file eseguibile del Trojan.Tofsee nel Cestino e crea un file di esecuzione automatica autorun.inf nella cartella radice del dispositivo. L'infezione avviene su comando del server di gestione.

Un modulo permette di aggiornare il nucleo del Trojan.Tofsee dal server remoto dei malintenzionati. A questo scopo, viene utilizzato un apposito file di configurazione contenente i parametri necessari per l'esecuzione di questa procedura. Se manca uno dei parametri, invece dell'aggiornamento, il malware scarica dal server quest'immagine curiosa:

Tra le funzioni del Trojan.Tofsee, la più peculiare è la possibilità di rilevamento e di rimozione di altri programmi malevoli sul computer. Il plugin che esegue questa funzionalità può cercare file sul disco in base a una lista predefinita e record nel registro di sistema di Windows, può elencare processi in esecuzione ed eliminare file pericolosi. Se sul computer vittima non è installato un antivirus, il Trojan.Tofsee "si prende cura della sicurezza".

Lo scopo principale del Trojan.Tofsee è l'invio di messaggi di spam. I testi dei messaggi vengono generati in base ai template che il trojan scarica dal server remoto. Le funzioni che permettono di utilizzare la rete e il protocollo SMTP sono realizzate nel modulo principale del programma malevolo. Una volta connesso al server di gestione, il trojan riceve le chiavi per la decifratura dei dati trasmessi. In seguito, il trojan manda sul server i propri dati e riceve un task che include comandi da eseguire. È interessante che per la creazione dei messaggi il programma utilizza un linguaggio di scripting proprio, una cosa molto rara nel mondo del malware.

Al momento, il Trojan.Tofsee può scaricare dai server remoti diciassette moduli realizzati nella forma di librerie dinamiche. Oltre ai moduli descritti sopra, possiamo segnalare i seguenti:

• un modulo che verifica la correttezza degli indirizzi di nodi remoti, ricevuti dal trojan come un frammento dei dati di configurazione;
• un plugin che esegue attacchi DDoS. È in grado di realizzare due generi di attacco: http flood e syn flood;
• un modulo che è il cifrato Trojan.PWS.Pony.5;
• un modulo per il logging dei dati di Microsoft Internet Explorer. Estrae la libreria IEStub.dll dal proprio corpo e la incorpora nel processo del browser; viene gestito da un file di configurazione separato;
• un modulo per il trattamento di file grafici che scarica immagini in apposite strutture per il successivo utilizzo da parte degli altri moduli malevoli;
• un modulo che estrae indirizzi email da Internet Account Manager e da PStoreCreateInstance, genera un indirizzo del mittente del genere %NAMEPC%@mail.ru e cerca di inviare messaggi in base a una lista creata;
• un plugin che scarica il Trojan.BtcMine.148 progettato per il mining della moneta elettronica Bitcoin. Installa il Trojan.BtcMine.148 nel sistema e gli fornisce i parametri necessari durante l'avvio;
• un modulo che installa il Trojan.Siggen.18257 nella cartella system32\drivers\ sotto forma di un file con un nome occasionale e con l'estensione .sys, dopodiché lo avvia;
• un modulo che realizza le funzioni del proxy http- socks5;
• un modulo progettato per la generazione e la spedizione delle email. Per la generazione dei messaggi utilizza un linguaggio di scripting incorporato, spedisce i messaggi su HTTPS. Per la cifratura SSL utilizza Microsoft Unified Security Protocol Provider;
• una libreria progettata per l'intercettazione e l'analisi del traffico su basso livello, per questo scopo utilizza un apposito driver. Cerca nei flussi di dati le informazioni trasmesse via FTP e SMTP e può sostituire furtivamente gli indirizzi e il corpo dei messaggi;
• un plugin che gestisce i template di configurazione e li genera nella memoria in modo appropriato;
• un modulo in cui è realizzato il linguaggio di scripting utilizzato per la creazione dei messaggi inviati dal trojan.

Le firme antivirali del Trojan.Tofsee e dei suoi moduli sono state aggiunte ai database Dr.Web, quindi il trojan non rappresenta alcuna minaccia per gli utenti dei nostri prodotti antivirus. Gli specialisti Doctor Web consigliano di non aspettare finché sui computer compaia un virus capace di rilevare altri programmi malevoli, ma di proteggere il pc con un antivirus moderno, aggiornando tempestivamente i suoi database.