Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Un pericoloso trojan che non funziona in Russia, Ucraina, Bielorussia e Kazakistan

18 febbraio 2016

Attualmente sono noti molti programmi malevoli studiati per scaricare ed eseguire sul computer infetto altre applicazioni pericolose, nonché per eseguire comandi pervenuti dai malintenzionati. Un successivo backdoor è stato scoperto dagli analisti dei virus Doctor Web a febbraio; possiede una serie di interessanti caratteristiche che lo distinguono dagli altri trojan simili.

Questo programma malevolo, denominato BackDoor.Andromeda.1407, viene portato sul computer tramite un altro malware Trojan.Sathurbot.1, anche conosciuto come "Hydra". BackDoor.Andromeda.1407 ha il principale obiettivo di eseguire comandi pervenuti dai malintenzionati, per esempio scaricare e installare altro software nocivo.

Quando viene avviato, il backdoor controlla se nella riga di comando è disponibile l'opzione "/test" e se la rileva, visualizza in console il messaggio "\n Test - OK", e quindi termina. Probabilmente, questa funzione è stata prevista dagli autori per i test di vari installer dei programmi. Successivamente il trojan cerca di determinare se sul computer sono in esecuzione macchine virtuali, applicazioni per il monitoraggio dei processi o degli accessi al registro di sistema, e inoltre alcuni altri programmi di debug. Se il backdoor scopre qualche programma per lui pericoloso, cambia in modalità di ibernazione continua.

Al passaggio successivo BackDoor.Andromeda.1407 ottiene il numero di serie del volume di sistema del disco rigido, il quale utilizza attivamente quando genera valori di vari oggetti con nome, in particolare delle variabili di ambiente, oppure nei messaggi spediti sul server di gestione. Subito dopo l'avvio il backdoor cerca di trasferirsi in un nuovo processo tramite inject e di terminare il processo iniziale. Se il programma malevolo si è incorporato nel processo scelto, ottiene una serie di informazioni sulla macchina infettata, in particolare determina il numero di bit dell'SO, la sua versione, i permessi dell'utente attuale e infine i layout di tastiera impostati sul computer. Se il backdoor trova che in Windows è impostato un layout di tastiera russo, ucraino, bielorusso o kazako, il programma termina e si elimina dal sistema automaticamente.

Quindi BackDoor.Andromeda.1407 cerca di determinare l'ora esatta inviando richieste sui server europe.pool.ntp.org, north-america.pool.ntp.org, south-america.pool.ntp.org, asia.pool.ntp.org, oceania.pool.ntp.org, africa.pool.ntp.org, pool.ntp.org, oppure si informa dell'ora di sistema, se le risorse citate non hanno spedito risposte. Il valore del tempo viene utilizzato attivamente dai plugin del trojan in corso di funzionamento. Quindi il backdoor disattiva nelle impostazioni di Windows la visualizzazione di notifiche di sistema e inoltre termina e disattiva alcuni servizi di sistema a seconda della versione di SO.

Se sul computer infetto è installato il sistema operativo Microsoft Windows 8 o superiori, il trojan continua a funzionare con i privilegi dell'utente attuali, in Windows 7 invece cerca di aumentare i suoi permessi utilizzando uno dei modi ampiamente noti. Inoltre, in Windows 7 BackDoor.Andromeda.1407 disattiva il meccanismo di controllo degli account utenti (User Accounts Control, UAC).

Il processo di installazione del trojan non finisce a questo punto: in seguito il malware disattiva la visualizzazione di file nascosti in Explorer e quindi accede ad alcune cartelle di sistema e alle cartelle dell'utente attuale per determinare quale di esse è scrivibile. Quando trova una cartella scrivibile, il malware ci copia il dropper del trojan con un nome casuale e quindi assegna a questo file gli attributi "di sistema" e "nascosto" per celarlo all'utente e ne modifica l'ora di creazione. Infine, BackDoor.Andromeda.1407 modifica i rami del registro di sistema di Windows per assicurare l'esecuzione automatica del modulo principale del programma malevolo.

Il backdoor comunica con il suo server di gestione tramite una chiave crittografata, gli indirizzi dei nodi di comando anche sono conservati nel corpo del trojan in una forma crittografata. Per scoprire l'indirizzo IP del computer compromesso, BackDoor.Andromeda.1407 si connette ai server microsoft.com, update.microsoft.com, bing.com, google.com e yahoo.com, le informazioni vengono trasmesse tramite il formato di scambio dati JSON (JavaScript Object Notation) in una forma crittografata. Proprio in questo modo il backdoor può ricevere dai malintenzionati diversi comandi di gestione, tra cui i seguenti — scaricare plugin addizionali, scaricare e lanciare file eseguibili, aggiornare il trojan, rimuovere tutti i plugin dal sistema infetto o disinstallare il programma malevolo stesso.

Attualmente gli analisti dei virus Doctor Web sanno che BackDoor.Andromeda.1407 scarica e lancia sui computer infetti i seguenti software dannosi: il cryptolocker Trojan.Encoder.3905, il banker Trojan.PWS.Panda.2401, i malware Trojan.Click3.15886, BackDoor.Siggen.60436, Trojan.DownLoader19.26835 e molti altri. BackDoor.Andromeda.1407 viene rilevato e rimosso con successo dal software antivirus Dr.Web.

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web

Esperienza di sviluppo dal 1992

Dr.Web viene utilizzato in 200+ paesi del mondo

L'antivirus viene fornito come un servizio dal 2007

Supporto ventiquattro ore su ventiquattro

© Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A