Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Doctor Web: resoconto sui virus a gennaio 2017

31 gennaio 2017

Nel primo mese dell'anno 2017 gli specialisti Doctor Web hanno rilevato un worm che infetta archivi e rimuove altri programmi malevoli. Inoltre, gli analisti dei virus hanno rilevato diverse migliaia di dispositivi Linux infettati da un nuovo trojan. Inoltre, a gennaio ai database dei virus Dr.Web è stata aggiunta tutta una serie di pericolose programmi malevoli per la piattaforma mobile Google Android. Uno di questi trojan introduceva nell'applicazione Play Market un modulo che scarica varie applicazioni da Google Play. Un altro appartiene alla categoria di trojan bancari — i malintenzionati ne hanno pubblicato il codice sorgente in pubblico dominio, per cui gli analisti Doctor Web prevedono nel prossimo futuro una vasta diffusione di banker creati in base a questo codice sorgente.

Le principali tendenze di gennaio

  • La diffusione di un worm che è capace di infettare archivi e rimuovere altri software malevoli
  • La scoperta di diverse migliaia di dispositivi Linux infetti
  • La comparsa di un trojan Android che introduce un suo modulo nel programma Play Store
  • La diffusione di un trojan bancario per Android che è stato pubblicato in pubblico dominio

La minaccia del mese

Worm sono solitamente denominati i programmi trojan che sono capaci di distribuirsi in autonomo, senza la partecipazione dell'utente, ma che non possono infettare file eseguibili. A gennaio gli analisti Doctor Web hanno scoperto un nuovo worm – BackDoor.Ragebot.45. Ottiene comandi attraverso il protocollo di scambio di messaggi testuali IRC (Internet Relay Chat), e dopo aver infettato un computer, ci avvia un server FTP. Per il tramite di quest'ultimo il worm scarica una sua copia sul computer sotto attacco.

screen BackDoor.Ragebot.45 #drweb

Il worm si connette con gli altri computer disponibili nella rete tramite il sistema dell'accesso remoto al desktop Virtual Network Computing (VNC), selezionando le password con l'attacco a dizionario. Se ha potuto hackerare un computer, il worm stabilisce con lui una connessione VNC. Quindi ci invia segnali di battiture attraverso cui lancia l'interprete dei comandi CMD ed esegue un codice per scaricare una propria copia tramite il protocollo FTP. Così il worm si diffonde automaticamente.

Inoltre, BackDoor.Ragebot.45 può cercare e infettare archivi RAR sui supporti rimovibili e copiarsi nelle cartelle di una serie di programmi. Ma la sua caratteristica principale è che il programma su comando dei malintenzionati cerca nel sistema altri trojan e se ne trova alcuni, termina i loro processi e rimuove i file eseguibili. Per ulteriori informazioni su questo trojan e sui principi di funzionamento consultate un articolo panoramico pubblicato.

Secondo le statistiche dell'utility antivirus Dr.Web CureIt!

 Dr.Web CureIt! 2017 #drweb

Secondo le informazioni dei server delle statistiche Doctor Web

Secondo le informazioni dei server delle statistiche Doctor Web #drweb

Le statistiche delle applicazioni malevole nel traffico di email

Le statistiche delle applicazioni malevole nel traffico di email #drweb

Secondo i dati del bot Dr.Web per Telegram

Secondo i dati del bot Dr.Web per Telegram #drweb

Cryptolocker

Cryptolocker #drweb

A gennaio al servizio di supporto tecnico Doctor Web il più spesso si rivolgevano gli utenti le cui informazioni sono state cifrate dalle seguenti versioni dei trojan cryptolocker:

Dr.Web Security Space 11.0 per Windows
protegge dai cryptolocker (trojan-encoder)

Queste funzioni non sono disponibili nella licenza "Antivirus Dr.Web per Windows".

Prevenzione della perdita di dati
Превентивная защитаЗащита данных от потери

Per maggiori informazioni Scoprite la configurazione

A gennaio 2017 223.127 indirizzi Internet sono stati aggiunti al database dei siti malevoli e sconsigliati.

Dicembre 2016Gennaio 2017La dinamica
+ 226 744+ 223 127-1.59%

Siti sconsigliati

Programmi malevoli per Linux

Una diffusione di massa dei programmi malevoli per i sistemi operativi della famiglia Linux non è un evento frequente, ma gli specialisti Doctor Web ne hanno osservato una a gennaio 2017. Si tratta del trojan Linux.Proxy.10 studiato per avviare un server proxy SOCKS5 sul dispositivo infetto. I malintenzionati utilizzano tali dispositivi compromessi per mantenere l'anonimato in Internet. Secondo le informazioni a disposizione degli specialisti Doctor Web, per il 24 gennaio 2017 il numero di dispositivi Linux infetti ammontava a diverse migliaia.

Linux.Proxy.10 si diffonde, autenticandosi sui nodi vulnerabili con una determinata combinazione di login e password: è da notare che gli utenti con tali credenziali di solito vengono creati nel sistema da altri trojan Linux (o sono impostati sul dispositivo di default). Questo significa che Linux.Proxy.10 attacca principalmente i dispositivi che sono già infettati da altri software dannosi. Le maggiori informazioni su questo programma malevolo possono essere trovate in un articolo pubblicato sul nostro sito.

Inoltre, a gennaio è stato rilevato un nuovo membro della famiglia di programmi malevoli Linux.LadyLinux.Lady.4. In questa versione del trojan gli autori dei virus hanno eliminato la funzione di scaricamento e avvio dell'utility per il mining (l'estrazione delle criptovalute) e inoltre hanno aggiunto la possibilità di effettuare attacchi agli storage di rete Redis. Inoltre, nel trojan è comparso un modulo aggiuntivo che può comunicare con server remoti tramite la tecnologia RPC (Remote Procedure Call), inviarci informazioni sul sistema infettato ed eseguire comandi shell.

Programmi malevoli ed indesiderati per dispositivi mobili

Nel primo mese del 2017 gli specialisti Doctor Web hanno rilevato il trojan Android.Skyfin.1.origin che si integrava in un processo Play Store attivo e scaricava impercettibilmente applicazioni da Google Play, aumentando artificialmente la popolarità di queste applicazioni. In seguito gli analisti dei virus hanno rilevato il banker Android Android.BankBot.149.origin, di cui il codice sorgente era stato pubblicato in Internet dagli autori dei virus. Un altro banker Android, rilevato a gennaio, è stato denominato Android.BankBot.140.origin. Veniva distribuito con il pretesto del gioco Super Mario Run che non è ancora disponibile per dispositivi Android. Inoltre, il mese scorso nella directory Google Play è stato trovato il trojan-ransomware Android.Locker.387.origin che blocca smartphone e tablet.

Gli eventi più notevoli relativi alla sicurezza mobile a gennaio:

Per maggiori informazioni circa le minacce ai dispositivi mobili a gennaio, consultate il nostro resoconto specifico.

Scopri di più con Dr.Web

Statistiche di virus Libreria delle descrizioni Tutti i resoconti sui virus

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A