Doctor Web: panoramica sulle attività dei virus a dicembre 2017

29.12.2017

Panoramiche sui virus | Notizie "calde" | Tutte le notizie | Sui virus

[% DEFAULT FILE_REVIEW = ''; NAME_SOME_ARRAY_IN_MACROSNAME = [ { box => "In primo piano" }, { box => "La minaccia del mese" }, { box => "Statistiche" }, { box => "Cryptolocker" }, { box => "Siti pericolosi" }, { box => "Minacce a Linux" }, { box => "Minacce ai dispositivi mobili" } ] #FILE_REVIEW = 'https://st.drweb.com/static/new-www/news/2017/DrWeb_review_dec_2017.pdf' %] [% BLOCK global.tpl_blueprint.content %]

29 dicembre 2017

L'ultimo mese dell'anno sarà ricordato dagli specialisti in sicurezza informatica per la comparsa di un nuovo backdoor per computer e dispositivi con Microsoft Windows. Inoltre, a dicembre gli analisti Doctor Web hanno scoperto che i malfattori avevano iniziato a violare siti web con l'utilizzo del trojan Linux Linux.ProxyM. Inoltre, durante il mese i database dei virus Dr.Web sono stati integrati con record di nuovi programmi malevoli progettati per la piattaforma mobile Android.

Le principali tendenze di dicembre

Comparso un nuovo backdoor per Linux
Violazione di siti con l'utilizzo di un trojan Linux
Diffusione di programmi malevoli per Android

La minaccia del mese

A dicembre gli analisti dei virus hanno analizzato un altro rappresentante della famiglia di trojan Anunak che sono in grado di eseguire comandi dei malintenzionati sul computer infetto. Il nuovo backdoor è studiato per funzionare nelle versioni di Windows a 64 bit ed è stato denominato BackDoor.Anunak.142. Il trojan può eseguire sul computer infetto le seguenti azioni:

scaricare file da un server remoto impostato;
caricare file su un server remoto;
avviare un file sul dispositivo infetto;
eseguire comandi nella console cmd.exe;
reindirizzare traffico tra porte;
scaricare e installare i propri moduli.

Maggiori informazioni su questo programma malevolo possono essere trovate in una news pubblicata sul nostro sito.

Secondo le statistiche di Antivirus Dr.Web

Trojan.Starter.7394: Un rappresentante della famiglia di trojan che hanno l'obiettivo principale di avviare nel sistema infetto un file eseguibile con un determinato set di funzioni malevole.
Trojan.Encoder.11432: Un worm cryptolocker, anche conosciuto come WannaCry.
Trojan.Zadved: Estensioni studiate per sostituire furtivamente i risultati dei motori di ricerca nella finestra del browser e per mostrare falsi messaggi pop-up dei social network. Inoltre, le loro funzioni dannose includono la sostituzione di annunci visualizzati su vari siti.
JS.BtcMine.2: Uno script nel linguaggio JavaScript progettato per l'estrazione segreta delle criptovalute (mining).
Trojan.BPlug: Estensioni (plugin) dei popolari browser che visualizzano pubblicità invadenti quando l'utente apre pagine web.

Secondo le informazioni dei server delle statistiche Doctor Web

JS.BtcMine.2: Uno script nel linguaggio JavaScript progettato per l'estrazione segreta delle criptovalute (mining).
JS.Inject: Una famiglia di script malevoli, scritti nel linguaggio JavaScript. Integrano uno script malevolo nel codice HTML di pagine web.
Trojan.Inject: Una famiglia di programmi malevoli che integrano un codice malevolo nei processi di altri programmi.
Trojan.Starter.7394: Un rappresentante della famiglia di trojan che hanno l'obiettivo principale di avviare nel sistema infetto un file eseguibile con un determinato set di funzioni malevole.
Trojan.PWS.Stealer: Una famiglia di trojan studiati per rubare password ed altre informazioni confidenziali sul computer infetto.
Trojan.DownLoader: Una famiglia di trojan che hanno l'obiettivo di scaricare altre applicazioni malevole sul computer sotto attacco.

Le statistiche sulle applicazioni malevole nel traffico email

Trojan.DownLoader: Una famiglia di trojan che hanno l'obiettivo di scaricare altre applicazioni malevole sul computer sotto attacco.
JS.Inject: Una famiglia di script malevoli, scritti nel linguaggio JavaScript. Integrano uno script malevolo nel codice HTML di pagine web.
JS.DownLoader: Una famiglia di script malevoli, scritti nel linguaggio JavaScript. Scaricano e installano sul computer altri programmi malevoli.
VBS.DownLoader: Una famiglia di script malevoli, scritti nel linguaggio VBScript. Scaricano e installano sul computer altri programmi malevoli.
JS.BtcMine.2: Uno script nel linguaggio JavaScript progettato per l'estrazione segreta delle criptovalute (mining).

Cryptolocker

A dicembre al servizio di supporto tecnico Doctor Web il più spesso si rivolgevano gli utenti le cui informazioni sono state cifrate dalle seguenti versioni dei trojan cryptolocker:

Trojan.Encoder.858 — 27,29% dei casi;
Trojan.Encoder.11539 — 12,55% dei casi;
Trojan.Encoder.3953 — 4,09% dei casi;
Trojan.Encoder.11464 — 3,41% dei casi;
Trojan.Encoder.2667 — 2,59% dei casi;
Trojan.Encoder.567 — 2,05% dei casi.

Dr.Web Security Space per Windows protegge dai trojan cryptolocker

Configura Dr.Web contro i cryptolocker!

Corso di formazione

Sul ripristino di file gratuito

Dr.Web Rescue Pack

Siti pericolosi

A dicembre 2017, 241.274 indirizzi Internet sono stati aggiunti al database dei siti malevoli e sconsigliati.

novembre 2017	dicembre 2017	La dinamica
+331 895	+241 274	-27,3%

Siti sconsigliati

Programmi malevoli per Linux

Il trojan Linux.ProxyM è noto agli analisti di virus da maggio 2017. Questo è un programma malevolo piuttosto semplice che avvia sul dispositivo infetto un server proxy SOCKS. Attraverso il malware i malintenzionati inviavano fino ai 400 messaggi di spam da ciascun nodo infetto, e poco tempo dopo hanno iniziato a diffondere email di phishing, in particolare, falsi messaggi di DocuSign, un servizio per l'elaborazione di documenti elettronici. In questo modo i criminali informatici raccoglievano le credenziali degli utenti del servizio.

A dicembre utilizzando per l'anonimato il server proxy realizzato nel trojan, i malfattori hanno iniziato a fare numerosi tentativi di violazione di siti web. Per questo scopo loro utilizzavano SQL injection (integrazione di codice malevolo SQL in una query del database del sito), XSS (Cross-Site Scripting) – un metodo di attacco che consiste nell'aggiunta alla pagina di uno script malevolo che viene eseguito sul computer ad apertura di tale pagina, e Local File Inclusion (LFI) – un metodo di attacco che permette agli hacker di leggere in remoto i file sul computer sotto attacco utilizzando comandi appositamente formati. Per informazioni dettagliate su questa minaccia leggete una nostra notizia pubblicata.

Programmi malevoli e indesiderati per dispositivi mobili

A dicembre nella directory Google Play sono stati rilevati i trojan banker Android.BankBot.243.origin e Android.BankBot.255.origin, studiati per rubare le credenziali di accesso agli account di clienti di istituti di credito. Inoltre, un trojan simile veniva diffuso anche al di fuori della directory ufficiale dei software per la piattaforma mobile Android. È stato denominato Android.Packed.15893. Inoltre, a dicembre al database dei virus Dr.Web è stato aggiunto un programma malevolo, Android.Spy.410.origin, che spiava utenti italiani.

Gli eventi più notevoli relativi alla sicurezza "mobile" a dicembre:

diffusione di nuovi trojan banker;
rilevamento di un programma malevolo spione che rubava informazioni confidenziali.

Per maggiori informazioni circa la situazione con i virus mobile a dicembre leggete la nostra panoramica specifica.

Scopri di più con Dr.Web

"Mondo antivirus!"

Corsi di formazione

Brochure

Progetti di informazione

[% END %]

Ultime notizie Tutte le notizie