Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Un set di trojan apre l'accesso non autorizzato al computer vittima

11 novembre 2015

Tra i molti tipi di programmi malevoli c'è una categoria separata delle applicazioni che di per sé non sono pericolose, ma i malintenzionati potrebbero utilizzarle per scopi illegali. Si tratta dei cosiddetti programmi di amministrazione remota che possono essere utilizzati sia in un modo perfettamente legale — per gestire un computer in rete, che in un modo illegale: con lo stesso obiettivo, ma senza la conoscenza dell'utente Gli specialisti dell'azienda antivirus Doctor Web hanno esaminato uno dei schemi di attacco impiegati dagli hacker in cui si utilizza un'applicazione legittima per l'organizzazione di accesso remoto.

Un intero pacchetto dei programmi malevoli con il nome generale BackDoor.RatPack viene propagato dai criminali informatici tramite l'exploit Exploit.CVE2012-0158.121 come un documento nel formato RTF dopo il tentativo dell'apertura del quale viene decifrato e salvato sul computer un file nocivo. È interessante che questo file, che è un programma-installer, possieda una firma digitale valida (come anche quasi tutti i file dal pacchetto BackDoor.RatPack).

screen BackDoor.RatPack #drweb

Una volta avviato, l'installer prova a rilevare sul computer sotto attacco la presenza di macchine virtuali, di programmi-monitor e debugger, dopodiché controlla se nel sistema sono disponibili programmi di home-banking di alcune banche russe. Se tutti i controlli sono finiti con successo, l'installer scarica dal server dei malintenzionati e avvia sul computer sotto attacco un altro installer nel formato NSIS (Nullsoft Scriptable Install System) contenente un altro set di file eseguibili e diversi archivi protetti da password. Questo installer decomprime gli archivi e lancia i file eseguibili.

Il payload dell'installar è una variante dell'utility legittima shareware Remote Office Manager — nei malware analizzati gli specialisti Doctor Web ne hanno trovato almeno tre varianti con varie configurazioni. Intercettando una serie di funzioni di sistema, il programma malevolo nasconde le icone di questa utility nell'area di notifica e nella barra delle applicazioni di Windows in modo che l'utente non possa scoprirla al tempo giusto. Si può ipotizzare che tramite il BackDoor.RatPack i malintenzionati provino ad accedere ai conti correnti e alle informazioni confidenziali memorizzate sul computer infetto impiegando il metodo di amministrazione remota del computer.

Le firme antivirali di tutti i file malevoli che fanno parte del BackDoor.RatPack sono state aggiunte ai database dei virus Dr.Web e non rappresentano rischio per gli utenti dei nostri prodotti antivirus.

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web

Esperienza di sviluppo dal 1992

Dr.Web viene utilizzato in 200+ paesi del mondo

L'antivirus viene fornito come un servizio dal 2007

Supporto ventiquattro ore su ventiquattro

© Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A