19 agosto 2014

Uno dei metodi di guadagno dei criminali informatici è la distribuzione dei programmi capaci di mostrare pubblicità indesiderata nella finestra del browser. A febbraio 2014 Doctor Web ha informato della diffusione di un programma malevolo di questo genere, nominato Trojan.Triosir.1, capace di sostituire contenuti dei siti tramite il web injection. Oggi vorremmo raccontare di un altro programma di questa categoria.

Qualche tempo fa, gli specialisti Doctor Web si sono imbattuti in un sito con l'indirizzo vkuserspy.net da cui veniva distribuito un trojan di pubblicità, camuffato dal programma VK User Spy che, secondo la descrizione, sarebbe ideato per visualizzare messaggi del social network VKontakte senza contrassegnarli come letti. È interessante che esista veramente un plugin progettato per questo scopo, nominato VKSpy — i malintenzionati l'hanno modificato riducendone le funzioni ed aggiungendo possibilità malevole, però non hanno eliminato i nomi degli autori dell'app originaria dal codice di programma. Di seguito, riportiamo l'immagine della pagina web creata dagli hacker per la promozione del plugin manipolato (a sinistra), mentre a destra si vede la pagina da cui si può scaricare il plugin originario VKSpy:

Lo studio condotto dagli analisti dei virus Doctor Web mostra che cominciando da maggio 2014 questa estensione malevola, nominata Trojan.Triosir.9, viene distribuita tramite il partner program Installmonster ben conosciuto dagli esperti della sicurezza informatica come il mezzo di diffusione di molti altri programmi malevoli, per esempio del Trojan.Triosir.1. Si può supporre che il malware sia stato sviluppato dalla società Trioris di Novosibirsk perché Installmonster non installa il Trojan.Triosir.9 sul computer vittima se scopre nel sistema segni della presenza delle altre applicazioni Trioris. Il trojan include una lista dei siti e dei segni, sulla base dei quali il programma non visualizza pubblicità su determinati siti web, nonché ha una lista dei siti sui quali la pubblicità viene visualizzata forzatamente. Il metodo di selezione dei siti per la visualizzazione di pubblicità del Trojan.Triosir.9 coincide con quello del Trojan.Triosir.1. Tuttavia differentemente dalla versione precedente, il nuovo trojan non incorpora contenuti estranei nelle pagine web, sostituendo moduli esistenti, ma visualizza pubblicità sopra le pagine visualizzate dall'utente. Il modulo in cui viene visualizzata la pubblicità è dotato di un pulsante che consente di nascondere la finestra, nonché contiene un'iscrizione appena visibile: Powered by VkUserSpy.

Sebbene il plugin malevolo consenta di chiudere la finestra pop-up con la pubblicità e persino informi l'utente sul fatto quale estensione è responsabile della comparsa di questa finestra, gli specialisti Doctor Web hanno classificato questo prodotto Trioris come programma malevolo (anche tenendo conto dei prodotti precedenti di questo sviluppatore). La firma antivirale del Trojan.Triosir.9 è stata aggiunta ai database dei virus Dr.Web, quindi questo trojan non rappresenta alcuna minaccia per i nostri utenti.