Si utilizza un browser obsoleto!
La pagina può visualizzarsi in modo non corretto.
30 giugno 2016
Il primo mese estivo del 2016 è stato assai caldo per gli specialisti della sicurezza informatica — all'inizio di giugno gli analisti dei virus Doctor Web hanno finito di studiare un nuovo virus bancario Bolik, e in seguito è stato esaminato il trojan pubblicitario "incorporeo" Trojan.Kovter.297. Inoltre, a giugno sono diventati più frequenti gli attacchi agli utenti dei programmi contabili russi. Prima è stata registrata la diffusione di un trojan, scritto nel linguaggio di programmazione incorporato 1С, che lanciava sul computer attaccato un pericoloso cryptolocker. In seguito è stato studiato il trojan-spione Trojan.PWS.Spy.19338 capace di catturare battiture in varie applicazioni, tra cui nei programmi contabili popolari. Inoltre, durante il mese gli analisti dei virus hanno rilevato due volte trojan per la piattaforma mobile Android su Google Play.
I software della famiglia 1C sono largamente utilizzati nella contabilità delle aziende russe. Anche gli autori dei virus manifestano un interesse verso tali software: gli analisti Doctor Web già incontravano applicazioni malevole scritte nel linguaggio di programmazione incorporato 1C. Il trojan 1C.Drop.1 è diverso da quelle applicazioni per la sua architettura e lo scopo funzionale — è un dropper con piene funzionalità che salva su disco e avvia il pericoloso cryptolocker Trojan.Encoder.567.
Il trojan si diffonde in messaggi di posta elettronica con l'oggetto "Cambiato il BIC della banca" a cui è allegato un file di elaborazione esterna per il programma "1C:Enterprise". Se il destinatario di tale email seguirà le istruzioni suggerite e aprirà questo file nel programma "1C:Enterprise", il trojan invierà una sua copia sugli indirizzi di posta elettronica rilevate nel database dei partner e quindi estrarrà dalle sue risorse, salverà su disco e lancerà il trojan-cryptolocker Trojan.Encoder.567. Questo cryptolocker pericoloso, che ha diverse varianti, cripta file memorizzati sui dischi del computer infetto e richiede un riscatto per la decifratura.
Fa parte di una famiglia dei programmi malevoli che appartengono alla categoria dei trojan bancari. Quest'applicazione rappresenta una minaccia agli utenti dei sistemi di home-banking in quanto consente ai malintenzionati di rubare le informazioni confidenziali intercettando dati inseriti in moduli web nel browser e incorporando falsi moduli nelle pagine web di alcune banche.
A giugno 2016 si è diffuso largamente il cryptolocker Trojan.Encoder.4860, anche conosciuto come JS.Crypt. Questo cryptolocker è notevole in quanto è interamente scritto nel linguaggio JScript. Il trojan ha una denominazione intrinseca — "virus RAA"; i file criptati ottengono l'estensione *.locked. Dopo aver criptato i file, Trojan.Encoder.4860 mette nelle directory radice dei dischi un documento RTF che ha i seguenti contenuti
Purtroppo, attualmente gli specialisti Doctor Web non hanno gli strumenti per poter decriptare file corrotti da questa versione del cryptolocker.
Queste funzioni sono mancanti nella licenza "Antivirus Dr.Web per Windows"
Prevenzione della perdita di dati | |
---|---|
Per maggiori informazioni Guardate il video su configurazione
All'inizio di giugno gli analisti dei virus Doctor Web hanno finito di studiare il pericoloso virus bancario Trojan.Bolik.1. Può rubare denaro dai conti dei clienti di banche russe, ricavare informazioni riservate e spiare utenti. Il virus eredita alcune delle soluzioni tecniche dei noti trojan bancari Zeus (Trojan.PWS.Panda) e Carberp, ma a differenza di questi programmi può diffondersi senza la partecipazione dell'utente e infettare file eseguibili.
Su comando dei criminali informatici Trojan.Bolik.1 cerca file eseguibili nelle cartelle condivise e sui dispositivi USB connessi al computer, dopodiché li infetta. I programmi infettati da questo virus vengono rilevati da Antivirus Dr.Web come Win32.Bolik.1. All'interno di ogni tale programma si conservano nella forma cifrata Trojan.Bolik.1 e altre informazioni necessarie per i virus.
Trojan.Bolik.1 può controllare dati inviati e ricevuti dai browser Microsoft Internet Explorer, Chrome, Opera e Mozilla Firefox (grazie a cui può rubare le informazioni che l'utente digita in moduli visualizzati sullo schermo). In aggiunta, il virus può catturare schermate e battiture, creare sulla macchina infetta un proprio server proxy e un web server che gli consente di scambiarsi file con i malintenzionati. Per sapere di più di questo programma malevolo, leggete un articolo panoramico pubblicato sul sito Doctor Web.
Un'altra novità di giugno è il trojan "incorporeo" Trojan.Kovter.297. Questo programmo malevolo avvia in background in un modo impercettibile per l'utente alcune copie del browser Microsoft Internet Explorer, attraverso cui visita siti indicati dai malintenzionati e aumenta il numero di visualizzazioni di annunci, facendo clic su link e banner pubblicitari. Una caratteristica distintiva del trojan è che non è presente sul computer infetto nella forma di un file separato, ma funziona direttamente nella memoria operativa utilizzando per la propria memorizzazione il registro di sistema di Windows.
Potete trovare più informazioni su Trojan.Kovter.297 nella relativa notizia.
Alla fine del mese gli analisti Doctor Web hanno scoperto un intero gruppo di programmi malevoli, tra cui Trojan.PWS.Spy.19338 — un trojan-spia diretto contro ragionieri. Ha l'obiettivo principale di catturare battiture nelle finestre di una serie di applicazioni, tra cui i software 1C di varie versioni e SBIS++. Inoltre, raccoglie le informazioni circa il sistema infettato e trasmette ai malintenzionati i dati degli Appunti del computer compromesso.
A giugno è stata registrata la diffusione di un trojan per Linux — ovvero Linux.BackDoor.Irc.13. Questo programma malevolo è una versione di Linux.BackDoor.Tsunami, ma non contiene le funzioni per l'attuazione di attacchi DDoS. Questo trojan riceve comandi tramite il protocollo IRC (Internet Relay Chat) progettato per l'invio di messaggi di testo in Internet.
Non sono sfuggiti all'attenzione degli autori dei virus neanche gli utenti dei computer Apple: a giugno gli specialisti Doctor Web hanno rilevato un nuovo trojan per OS X, denominato Mac.BackDoor.SynCloud.1. Ad avvio il malware ricava i login e le password di tutti gli utenti di OS X al momento autenticati nel sistema e spedisce queste informazioni sul server di gestione. Su comando dei malintenzionati Mac.BackDoor.SynCloud.1 può scaricare dal server di controllo e lanciare sul computer compromesso un file eseguibile o uno script in Python, nonché può eseguire altre operazioni, per esempio aggiornare la sua versione. Vengono cifrate tutte le informazioni che Mac.BackDoor.SynCloud.1 si scambia con il suo server di controllo.
A giugno 2016, 1.716.920 indirizzi Internet sono stati aggiunti al database dei siti malevoli e sconsigliati.
Maggio 2016 | Giugno 2016 | La dinamica |
---|---|---|
+ 550.258 | + 1.716.920 | +212% |
A giugno gli analisti dei virus Doctor Web hanno rilevato diverse applicazioni malevole che venivano distribuite su Google Play. Una di queste app è stata denominata Android.Valeriy.1.origin. Questo trojan carica siti web non attendibili e li visualizza come banner pubblicitari che offrono all'utente di indicare un numero di telefono per avere l'accesso a vari servizi, ma dopo l'inserimento del numero sull'account mobile della vittima viene addebitata una somma di pagamento. Inoltre, il trojan è capace di scaricare altre applicazioni malevole e di eseguire script JavaScript.
Un altro programma malevolo rilevato su Google Play è stato aggiunto al database dei virus come Android.PWS.Vk.3. Questo trojan è un lettore multimediale con piene funzioni che consente di ascoltare brani musicali pubblicati su "VKontakte" (un social network russo a cui si connettono oltre 60 milioni di utenti al giorno). Android.PWS.Vk.3 richiede le credenziali dell'account dell'utente e quindi le trasmette ai malintenzionati.
Gli eventi più notevoli relativi alla sicurezza mobile a giugno:
Per maggiori informazioni circa le minacce ai dispositivi mobili a giugno, consultate il nostro resoconto specifico.
Statistiche di virus Biblioteca delle descrizioni Tutti i resoconti sui virus