Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Il virus-banker polimorfo Bolik — un erede pericolosissimo di Zeus e Carberp

3 giugno 2016

A giugno 2016 gli analisti dei virus Doctor Web hanno finito di studiare un nuovo virus pericolosissimo. È in grado di rubare denaro dai conti dei clienti di banche russe, ricavare informazioni confidenziali e spiare le vittime in vari modi. Il virus eredita alcune delle soluzioni tecniche dei noti trojan bancari Zeus (Trojan.PWS.Panda) e Carberp, ma a differenza di questi programmi può diffondersi senza la partecipazione dell'utente e infettare file eseguibili. In questo consiste il suo principale pericolo. Inoltre, è estremamente difficile "sradicare" questo virus da un computer infetto: per la guarigione possono volerci diverse ore.

Questo programma malevolo è stato denominato Trojan.Bolik.1. Una differenza importante dagli altri trojan-banker, quali Zeus e Carberp, è che può diffondersi senza la partecipazione dell'utente e infettare file eseguibili. Dunque appartiene alla categoria dei virus di file polimorfi.

La caratteristica più pericolosa del banker è che può diffondersi in autonomo e infettare software. La funzione di diffusione automatica viene attivata su comando dei malintenzionati, dopodiché Trojan.Bolik.1 inizia a interrogare le cartelle scrivibili nell'ambiente di rete di Windows e sui dispositivi USB connessi, cerca file eseguibili memorizzati e li infetta. Trojan.Bolik.1 può infettare sia le applicazioni a 32 bit che quelle a 64 bit.

I programmi infettati da questo virus vengono rilevati da Antivirus Dr.Web come Win32.Bolik.1. All'interno di ogni tale programma si conservano nella forma cifrata Trojan.Bolik.1 e altre informazioni necessarie per i virus. Se l'utente avvia sul computer un'applicazione infetta, il virus decripterà il trojan bancario Trojan.Bolik.1 e lo eseguirà direttamente nella memoria del computer attaccato senza salvarlo sul disco. Il virus possiede un meccanismo incorporato che gli permette di modificare "al volo" il codice e la struttura della sua parte responsabile per la decriptazione di Trojan.Bolik.1. In questo modo gli autori del virus cercano di ostacolare il rilevamento del loro prodotto da parte dei software antivirus. Inoltre, Win32.Bolik.1 cerca di contrastare gli antivirus che possono eseguire programmi malevoli passo-passo in un ambiente di emulazione — nell'architettura di questo virus sono previsti metodi di "rallentamento" costituiti da un grande numero di cicli e di istruzioni ripetute.

Da Carberp Trojan.Bolik.1 ha ereditato un file system virtuale conservato in un specifico file. Il trojan memorizza questo file in una delle directory di sistema o nella cartella dell'utente. Il file system virtuale consente al programma malevolo di conservare di nascosto sul computer le informazioni necessarie per il suo funzionamento. Ugualmente a Zeus, Trojan.Bolik.1 può incorporare contenuti estranei nelle pagine web aperte dall'utente, cioè può realizzare la tecnologia web inject. Tramite questa tecnologia i malintenzionati rubano alle loro vittime i login e le password di accesso ai sistemi di home-banking e altre informazioni preziose. Trojan.Bolik.1 è studiato specialmente di rubare le informazioni ai clienti delle banche russe — questo è evidenziato da alcune particolari righe nel file di configurazione che viene trasmesso al virus dal server di controllo.

Trojan.Bolik.1 ha l'obiettivo principale di rubare varie informazioni preziose. Può raggiungere questo obiettivo in diversi modi. Per esempio, può controllare i dati trasmessi nei browser Microsoft Internet Explorer, Chrome, Opera e Mozilla Firefox. Grazie a questo, il trojan può ricavare le informazioni che l'utente digita in moduli visualizzati sullo schermo. Inoltre, le funzioni spione del trojan includono un modulo di cattura di schermate (screenshot) e di registrazione di battiture (keylogger). In aggiunta, Trojan.Bolik.1 può creare sulla macchina infetta un server proxy e un web server che gli consente di scambiarsi file con i malintenzionati. Il programma malevolo può trovare i file richiesti, utilizzando una maschera impostata in un comando specifico. Come alcuni altri trojan bancari attuali, Trojan.Bolik.1 è in grado di effettuare le cosiddette "connessioni inverse" attraverso cui i malintenzionati hanno la possibilità di comunicare con un computer compromesso che si trova in una rete protetta da firewall o che non possiede un indirizzo IP esterno, cioè opera in una rete in cui si usa NAT (Network Address Translation). Vengono cifrate secondo un algoritmo complesso e vengono compresse tutte le informazioni che Trojan.Bolik.1 si scambia con il server di controllo.

Le funzionalità di Trojan.Bolik.1 sembrano veramente tremendi, e la sua architettura interna è piuttosto complessa e problematica. Antivirus Dr.Web rileva e rimuove tutti i componenti di questo pericoloso virus, però date alcune particolarità della struttura interna di Trojan.Bolik.1 la guarigione di un computer infetto può richiedere molto tempo. Agli utenti colpiti dalle attività di questo programma malevolo si consiglia di essere pazienti durante la scansione antivirus del PC.

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web

Esperienza di sviluppo dal 1992

Dr.Web viene utilizzato in 200+ paesi del mondo

L'antivirus viene fornito come un servizio dal 2007

Supporto ventiquattro ore su ventiquattro

© Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A