25 agosto 2014

I programmi Trojan.Mayachok si sono diffusi largamente nella prima metà dell'anno scorso e contavano oltre millecinquecento varianti. Questi programmi bloccano la connessione Internet sul computer compromesso e richiedono un "riscatto" per la possibilità di rimuovere le limitazioni. Nei mesi passati però, è diminuito l'utilizzo di questi trojan da parte dei malintenzionati che hanno dato priorità ai programmi di altri generi. Ciononostante ad agosto 2014, è comparsa una nuova versione Trojan.Mayachok.18831 scoperta e studiata dagli specialisti Doctor Web.

Il Trojan.Mayachok.18831 viene distribuito dai pirati informatici in diverse email indesiderate. Una volta avviato sul computer, il trojan controlla se una sua copia sia già in esecuzione, e se è così, si chiude. Inoltre, il malware cerca sul computer processi dei popolari antivirus e delle macchine virtuali — successivamente queste informazioni vengono mandate sul server remoto dei malintenzionati. In seguito, il Trojan.Mayachok.18831 ricava dal registro di sistema le informazioni sulla directory home dell'utente di Windows corrente, nella quale cerca di leggere il proprio file di configurazione creato in precedenza, e se non ci riesce, utilizza le impostazioni memorizzate nel proprio corpo. Il Trojan.Mayachok.18831 genera un altro file di configurazione che comprende le informazioni raccolte sul computer infetto — il trojan manda questo file sul server dei malintenzionati. Oltre alle sue principali funzioni dannose, il Trojan.Mayachok.18831 può scaricare sul computer altri programmi malevoli da Internet — per esempio l'esemplare studiato dagli specialisti Doctor Web scarica il Trojan.LoadMoney.15.

Il programma esaminato può funzionare sui sistemi Windows a 32 bit e a 64 bit, e l'algoritmo di funzionamento è diverso a seconda del numero di bit dell'SO. Tuttavia in entrambi i casi, il Trojan.Mayachok.18831 ha lo stesso obiettivo: cioè incorpora contenuti estranei nelle pagine web visualizzate dall'utente nei browser Microsoft Internet Explorer, Google Chrome, Mozilla Firefox, Opera, e Yandex.Browser. Quando l'utente apre alcune risorse di rete, il trojan mostra pubblicità indesiderata sopra la finestra del browser:

Gli autori del malware non si sono accontentati di sola visualizzazione di pubblicità, ma hanno creato altre funzioni. Così quando l'utente del computer compromesso cerca di accedere al suo account in social network (immagine sopra), il Trojan.Mayachok.18831 visualizza, invece del profilo normale, foto e testi di carattere osceno (immagine sotto):

Il trojan incorpora i propri contenuti nella pagina del social network in tale modo che il nome e le generalità dell'utente non cambiano (ad eccezione dell'elenco degli interessi) e il nuovo testo e le foto vengono inseriti dallo script malevolo. Se l'utente cerca di modificare il suo profilo, lo aspetta un'altra "sorpresa" — il "gestore" propone di ripristinare il profilo violato per 250 rubli (circa 5,26 euro):

Il modulo visualizzato dal malware consente di indicare qualsiasi numero di telefono, non necessariamente quello a cui è associato l'account. Dopo che si fa clic sul pulsante "Ripristina profilo", sullo schermo viene visualizzato un modulo di iscrizione a servizio a pagamento, generato dal sito dell'operatore mobile, che nel caso normale dovrebbe avere il seguente aspetto:

Però il malware Trojan.Mayachok.18831 apporta alcune modifiche a questo modulo, quindi sul computer infetto viene visualizzato così:

Dopo che l'utente fa clic sul pulsante "Ottiene accesso", sul suo telefono arriva un sms che informa della possibilità di accedere al sito http://onlinesoftzone.org a canone di 20 rubli (circa 42 centesimi) al giorno.

Tra le altre cose, il trojan è in grado di catturare schermate sul computer infetto e di mandarle ai malintenzionati. La firma antivirale del Trojan.Mayachok.18831 è stata aggiunta ai database dei virus, quindi i prodotti Doctor Web proteggono in modo sicuro contro la penetrazione di questo malware sul computer. Tuttavia, gli specialisti della società consigliano di essere attenti e di non eseguire applicazioni ricevute come allegati in email inattendibili.

Per maggiori informazioni sulla minaccia