Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Doctor Web: resoconto sui virus ad aprile 2017

28 aprile 2017

Ad aprile sono accaduti molti eventi relativi alla sicurezza delle informazioni. All'inizio del mese i criminali informatici hanno organizzato un invio di email malevole attraverso cui distribuivano un trojan multicomponente. È progettato per il furto di informazioni riservate dal computer infetto. A metà aprile gli specialisti Doctor Web hanno esaminato uno schema di frode in cui i malfattori utilizzavano per l'inganno un programma malevolo. Alla fine del mese è stata individuata una vulnerabilità di protezione nella suite per ufficio Microsoft Office ed è stata registrata la diffusione di un trojan che ruba password dal computer infetto.

Le principali tendenze di aprile

  • Diffusione di email malevole con un trojan multicomponente
  • Rilevata una falla in Microsoft Office
  • Diffusione di programmi trojan per Windows

La minaccia del mese

Il trojan multifunzionale, denominato Trojan.MulDrop7.24844, veniva distribuito come un allegato compresso ai messaggi di posta elettronica.

#drweb

Nell'archivio compresso si trova un container creato con utilizzo delle possibilità del linguaggio Autoit. Uno dei componenti, avviato da Trojan.MulDrop7.24844 sul computer infetto è un'applicazione per l'amministrazione remota — viene rilevata da Antivirus Dr.Web come Program.RemoteAdmin.753. Oltre a questo componente, il trojan salva su disco altre due applicazioni che sono versioni a 32 e 64 bit dell'utility Mimikatz. È progettata per l'intercettazione di password di sessioni aperte in Windows. Trojan.MulDrop7.24844 attiva un keylogger che registra in file informazioni sui tasti premuti dall'utente, e inoltre svolge una serie di altre funzioni che vengono determinate dal parametro impostato al suo avvio. Il trojan apre ai malintenzionati un accesso remoto attraverso il protocollo RDP (Remote Desktop Protocol) e di conseguenza loro possono gestire il computer infetto. Per sapere di più di questo programma malevolo, leggete un articolo pubblicato sul sito Doctor Web.

Secondo le statistiche di Antivirus Dr.Web

Secondo le statistiche di Antivirus Dr.Web #drweb

Secondo le informazioni dei server delle statistiche Doctor Web

Secondo le informazioni dei server delle statistiche Doctor Web #drweb

Le statistiche delle applicazioni malevole nel traffico email

Le statistiche delle applicazioni malevole nel traffico email #drweb

Secondo i dati del bot Dr.Web per Telegram

Secondo i dati del bot Dr.Web per Telegram #drweb

Cryptolocker #drweb

Ad aprile al servizio di supporto tecnico Doctor Web il più spesso si rivolgevano gli utenti le cui informazioni sono state cifrate dalle seguenti versioni dei trojan cryptolocker:

Dr.Web Security Space 11.0 per Windows
protegge dai cryptolocker (trojan-encoder)

Queste funzioni non sono disponibili nella licenza "Antivirus Dr.Web per Windows".

Prevenzione della perdita di dati
Preventive ProtectionData Loss Prevention

Per maggiori informazioni

Ad aprile 2017, 568.903 indirizzi Internet sono stati aggiunti al database dei siti malevoli e sconsigliati.

Marzo 2017Aprile 2017La dinamica
+ 223 173+ 568 903+ 154.91%

A metà aprile Doctor Web ha informato di uno schema di frode che viene utilizzato recentemente dai truffatori su Internet che vogliono guadagnare con le "partite truccate".

 #drweb

Di solito i truffatori vendono agli utenti creduloni informazioni inattendibili circa l'esito di prossime gare sportive, utilizzando tali informazioni si sarebbe in grado di fare presso bookmaker scommesse garantitamente vincenti. Adesso i criminali informatici offrono alla potenziale vittima di scaricare un archivio RAR autoestraente protetto da password che avrebbe contenuto un file di testo con i risultati di una partita. I truffatori inviano la password per l'archivio dopo la fine della gara – così la potenziale vittima sarebbe in grado di accertarsi della qualità della previsione. Tuttavia, invece di un archivio lei ottiene un software scritto dai malfattori che imita pienamente l'interfaccia e il comportamento di un archivio SFX creato tramite l'applicazione WinRAR. Questo "archivio" falso contiene un template di file di testo in cui attraverso un algoritmo speciale vengono inseriti i risultati richiesti della partita a seconda di ciò quale password verrà immessa dall'utente. Il programma è stato aggiunto ai database dei virus Dr.Web sotto il nome Trojan.Fraudster.2986, e gli indirizzi delle pagine web che lo diffondono – ai database dei siti sconsigliati.

Per maggiori informazioni circa i siti sconsigliati da Dr.Web

Altri eventi nella sfera della sicurezza informatica

Alla fine di aprile è stata registrata la diffusione del programma malevolo Trojan.DownLoader23.60762 progettato per il furto di password dai browser popolari e per il download non autorizzato di file differenti. Sul computer infetto il trojan si incorpora nei processi dei browser e intercetta le funzioni responsabili della comunicazione di rete. Può eseguire i seguenti comandi:

Maggiori informazioni su questo programma malevolo possono essere trovate in un materiale pubblicato sul nostro sito.

Inoltre, ad aprile è stata rilevata una falla nell'editor di testo Word che fa parte del pacchetto Microsoft Office. I malintenzionati hanno creato per questa falla un exploit, denominato Exploit.Ole2link.1. L'exploit è realizzato come un documento Microsoft Word con l'estensione .docx. A un tentativo di apertura di questo documento, viene caricato un altro file con il nome doc.doc che contiene uno script HTA incorporato, rilevato da Dr.Web sotto il nome di PowerShell.DownLoader.72. Questo script HTA, creato con utilizzo della sintassi Windows Script, richiama l'interprete dei comandi PowerShell. In esso viene processato un altro script malevolo che scarica un file eseguibile sul computer sotto attacco. Maggiori informazioni circa questa vulnerabilità sono ritrovabili in un articolo panoramico.

Programmi malevoli per Linux

Durante il mese scorso gli esperti Doctor Web hanno registrato 1.317.388 attacchi a vari dispositivi Linux, di cui in 147.401 veniva utilizzato il protocollo SSH e in 1.169.987 il protocollo Telnet. Il rapporto proporzionale dei programmi malevoli che i criminali informatici caricavano sui dispositivi attaccati è mostrato nel seguente diagramma:

 #drweb

Ad aprile gli analisti dei virus Doctor Web hanno esaminato una versione aggiornata di un programma malevolo della famiglia Linux.UbntFM, che è stata denominata Linux.UbntFM.2. Questo trojan è stato sviluppato dagli autori dei virus per i sistemi operativi della famiglia Linux, tra cui per Air OS, che viene prodotto e installato sui dispositivi da Ubiquiti Networks. È realizzato come gli script bash che si diffondono in un archivio tgz.

Linux.UbntFM.2 crea sul computer compromesso nuovi account e inoltre può scaricare ed eseguire qualsiasi file. Inoltre, il trojan può attaccare dispositivi remoti attraverso una vulnerabilità nell'interfaccia web di Air OS, che permette di caricare qualsiasi file con qualsiasi percorso senza eseguire l'autenticazione. Se non è stato possibile stabilire il protocollo (o sul dispositivo attaccato non è installato Air OS), il trojan può cercare di trovare le credenziali per la connessione SSH in base al dizionario, utilizzando i login "root", "admin", "ubnt" e le password conservate nel file "passlst". Maggiori informazioni sui principi di funzionamento di questo programma malevolo sono contenute nella descrizione tecnica.

Inoltre, ad aprile è stata rilevata una nuova versione di un trojan della famiglia Fgt — si chiama Linux.BackDoor.Fgt.645. Dalle versioni precedenti questa variante si distingue tramite funzionalità limitate (di cui è rimasto soltanto un modulo di selezione di password per la violazione dei nodi remoti e un dropper), inoltre, la nuova versione ha avuto la possibilità di inviare richieste di download e avvio di uno script sh.

Programmi malevoli e indesiderati per dispositivi mobili

Ad aprile al database dei virus Dr.Web è stato aggiunto un nuovo trojan-spione, denominato Android.Chrysaor.1.origin. Gli autori dei virus potevano utilizzarlo per attacchi mirati finalizzati a rubare informazioni riservate agli utenti dei dispositivi mobili con SO Android. Inoltre, il mese scorso nella directory Google Play sono stati rilevati diversi nuovi trojan banker. Uno di loro ha il nome Android.BankBot.179.origin. Veniva distribuito con il pretesto dei programmi per la visualizzazione di video online che effettivamente svolgevano la funzione dichiarata. Un altro banker Android rilevato in Google Play è stato aggiunto al database dei virus come Android.BankBot.180.origin. Rappresentava un programma-torcia.

Gli eventi più notevoli relativi alla sicurezza "mobile" ad aprile:

Per maggiori informazioni circa le minacce ai dispositivi mobili ad aprile, consultate il nostro resoconto specifico.

Scopri di più con Dr.Web

Statistiche di virus Libreria delle descrizioni Tutti i resoconti sui virus

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A