Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Doctor Web: resoconto sui virus a giugno 2016

30 giugno 2016

Il primo mese estivo del 2016 è stato assai caldo per gli specialisti della sicurezza informatica — all'inizio di giugno gli analisti dei virus Doctor Web hanno finito di studiare un nuovo virus bancario Bolik, e in seguito è stato esaminato il trojan pubblicitario "incorporeo" Trojan.Kovter.297. Inoltre, a giugno sono diventati più frequenti gli attacchi agli utenti dei programmi contabili russi. Prima è stata registrata la diffusione di un trojan, scritto nel linguaggio di programmazione incorporato 1С, che lanciava sul computer attaccato un pericoloso cryptolocker. In seguito è stato studiato il trojan-spione Trojan.PWS.Spy.19338 capace di catturare battiture in varie applicazioni, tra cui nei programmi contabili popolari. Inoltre, durante il mese gli analisti dei virus hanno rilevato due volte trojan per la piattaforma mobile Android su Google Play.

Le principali tendenze di giugno

  • La comparsa del virus polimorfo bancario Bolik
  • La diffusione di un trojan per un'applicazione popolare 1C
  • La comparsa del trojan pubblicitario "incorporeo" Trojan.Kovter
  • La diffusione del pericoloso trojan-spione Trojan.PWS.Spy.19338

La minaccia del mese

I software della famiglia 1C sono largamente utilizzati nella contabilità delle aziende russe. Anche gli autori dei virus manifestano un interesse verso tali software: gli analisti Doctor Web già incontravano applicazioni malevole scritte nel linguaggio di programmazione incorporato 1C. Il trojan 1C.Drop.1 è diverso da quelle applicazioni per la sua architettura e lo scopo funzionale — è un dropper con piene funzionalità che salva su disco e avvia il pericoloso cryptolocker Trojan.Encoder.567.

screen Trojan.Encoder.567 #drweb

Il trojan si diffonde in messaggi di posta elettronica con l'oggetto "Cambiato il BIC della banca" a cui è allegato un file di elaborazione esterna per il programma "1C:Enterprise". Se il destinatario di tale email seguirà le istruzioni suggerite e aprirà questo file nel programma "1C:Enterprise", il trojan invierà una sua copia sugli indirizzi di posta elettronica rilevate nel database dei partner e quindi estrarrà dalle sue risorse, salverà su disco e lancerà il trojan-cryptolocker Trojan.Encoder.567. Questo cryptolocker pericoloso, che ha diverse varianti, cripta file memorizzati sui dischi del computer infetto e richiede un riscatto per la decifratura.

Secondo le statistiche dell'utility di cura dei virus Dr.Web CureIt!

Secondo le statistiche dell'utility di cura dei virus Dr.Web CureIt! #drweb

Secondo le informazioni dei server delle statistiche Doctor Web

Secondo le informazioni dei server delle statistiche Doctor Web #drweb

Le statistiche delle applicazioni malevole nel traffico di email

Le statistiche delle applicazioni malevole nel traffico di email #drweb

Cryptolocker

Cryptolocker #drweb

Cryptolocker più diffusi a giugno 2016:

A giugno 2016 si è diffuso largamente il cryptolocker Trojan.Encoder.4860, anche conosciuto come JS.Crypt. Questo cryptolocker è notevole in quanto è interamente scritto nel linguaggio JScript. Il trojan ha una denominazione intrinseca — "virus RAA"; i file criptati ottengono l'estensione *.locked. Dopo aver criptato i file, Trojan.Encoder.4860 mette nelle directory radice dei dischi un documento RTF che ha i seguenti contenuti

screen Trojan.Encoder.4860 #drweb

Purtroppo, attualmente gli specialisti Doctor Web non hanno gli strumenti per poter decriptare file corrotti da questa versione del cryptolocker.

Dr.Web Security Space 11.0 per Windows
protegge dai trojan-encoder

Queste funzioni sono mancanti nella licenza "Antivirus Dr.Web per Windows"

Prevenzione della perdita di dati
Preventive protection Data Loss Prevention

Per maggiori informazioni Guardate il video su configurazione

Altri eventi

All'inizio di giugno gli analisti dei virus Doctor Web hanno finito di studiare il pericoloso virus bancario Trojan.Bolik.1. Può rubare denaro dai conti dei clienti di banche russe, ricavare informazioni riservate e spiare utenti. Il virus eredita alcune delle soluzioni tecniche dei noti trojan bancari Zeus (Trojan.PWS.Panda) e Carberp, ma a differenza di questi programmi può diffondersi senza la partecipazione dell'utente e infettare file eseguibili.

Su comando dei criminali informatici Trojan.Bolik.1 cerca file eseguibili nelle cartelle condivise e sui dispositivi USB connessi al computer, dopodiché li infetta. I programmi infettati da questo virus vengono rilevati da Antivirus Dr.Web come Win32.Bolik.1. All'interno di ogni tale programma si conservano nella forma cifrata Trojan.Bolik.1 e altre informazioni necessarie per i virus.

Trojan.Bolik.1 può controllare dati inviati e ricevuti dai browser Microsoft Internet Explorer, Chrome, Opera e Mozilla Firefox (grazie a cui può rubare le informazioni che l'utente digita in moduli visualizzati sullo schermo). In aggiunta, il virus può catturare schermate e battiture, creare sulla macchina infetta un proprio server proxy e un web server che gli consente di scambiarsi file con i malintenzionati. Per sapere di più di questo programma malevolo, leggete un articolo panoramico pubblicato sul sito Doctor Web.

Un'altra novità di giugno è il trojan "incorporeo" Trojan.Kovter.297. Questo programmo malevolo avvia in background in un modo impercettibile per l'utente alcune copie del browser Microsoft Internet Explorer, attraverso cui visita siti indicati dai malintenzionati e aumenta il numero di visualizzazioni di annunci, facendo clic su link e banner pubblicitari. Una caratteristica distintiva del trojan è che non è presente sul computer infetto nella forma di un file separato, ma funziona direttamente nella memoria operativa utilizzando per la propria memorizzazione il registro di sistema di Windows.

screen Trojan.Kovter.297 #drweb

Potete trovare più informazioni su Trojan.Kovter.297 nella relativa notizia.

Alla fine del mese gli analisti Doctor Web hanno scoperto un intero gruppo di programmi malevoli, tra cui Trojan.PWS.Spy.19338 — un trojan-spia diretto contro ragionieri. Ha l'obiettivo principale di catturare battiture nelle finestre di una serie di applicazioni, tra cui i software 1C di varie versioni e SBIS++. Inoltre, raccoglie le informazioni circa il sistema infettato e trasmette ai malintenzionati i dati degli Appunti del computer compromesso.

A giugno è stata registrata la diffusione di un trojan per Linux — ovvero Linux.BackDoor.Irc.13. Questo programma malevolo è una versione di Linux.BackDoor.Tsunami, ma non contiene le funzioni per l'attuazione di attacchi DDoS. Questo trojan riceve comandi tramite il protocollo IRC (Internet Relay Chat) progettato per l'invio di messaggi di testo in Internet.

Non sono sfuggiti all'attenzione degli autori dei virus neanche gli utenti dei computer Apple: a giugno gli specialisti Doctor Web hanno rilevato un nuovo trojan per OS X, denominato Mac.BackDoor.SynCloud.1. Ad avvio il malware ricava i login e le password di tutti gli utenti di OS X al momento autenticati nel sistema e spedisce queste informazioni sul server di gestione. Su comando dei malintenzionati Mac.BackDoor.SynCloud.1 può scaricare dal server di controllo e lanciare sul computer compromesso un file eseguibile o uno script in Python, nonché può eseguire altre operazioni, per esempio aggiornare la sua versione. Vengono cifrate tutte le informazioni che Mac.BackDoor.SynCloud.1 si scambia con il suo server di controllo.

Siti pericolosi

A giugno 2016, 1.716.920 indirizzi Internet sono stati aggiunti al database dei siti malevoli e sconsigliati.

Maggio 2016Giugno 2016La dinamica
+ 550.258+ 1.716.920+212%
Siti sconsigliati

Programmi malevoli ed indesiderati per dispositivi mobili

A giugno gli analisti dei virus Doctor Web hanno rilevato diverse applicazioni malevole che venivano distribuite su Google Play. Una di queste app è stata denominata Android.Valeriy.1.origin. Questo trojan carica siti web non attendibili e li visualizza come banner pubblicitari che offrono all'utente di indicare un numero di telefono per avere l'accesso a vari servizi, ma dopo l'inserimento del numero sull'account mobile della vittima viene addebitata una somma di pagamento. Inoltre, il trojan è capace di scaricare altre applicazioni malevole e di eseguire script JavaScript.

Un altro programma malevolo rilevato su Google Play è stato aggiunto al database dei virus come Android.PWS.Vk.3. Questo trojan è un lettore multimediale con piene funzioni che consente di ascoltare brani musicali pubblicati su "VKontakte" (un social network russo a cui si connettono oltre 60 milioni di utenti al giorno). Android.PWS.Vk.3 richiede le credenziali dell'account dell'utente e quindi le trasmette ai malintenzionati.

Gli eventi più notevoli relativi alla sicurezza mobile a giugno:

Per maggiori informazioni circa le minacce ai dispositivi mobili a giugno, consultate il nostro resoconto specifico.

Scopri di più con Dr.Web

Statistiche di virus Biblioteca delle descrizioni Tutti i resoconti sui virus

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125124, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A