Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Doctor Web: panoramica sulle attività dei virus a maggio 2017

31 maggio 2017

L'evento più significativo a maggio 2017 è stata la distribuzione di massa del programma malevolo WannaCry, rilevato da Antivirus Dr.Web come Trojan.Encoder.11432. Questo worm si diffondeva in autonomo infettando nodi di rete con utilizzo di una vulnerabilità nel protocollo SMB. Quindi criptava file sul computer della sua vittima e chiedeva il riscatto per la decriptazione. Inoltre, a maggio gli specialisti Doctor Web hanno esaminato un complesso trojan multicomponente per Linux, scritto in Lua. Inoltre, è stato rilevato un nuovo backdoor che minacciava gli utenti di macOS.

Le principali tendenze di maggio

  • Diffusione del pericoloso cryptolocker WannaCry
  • Scoperta di un backdoor per macOS
  • Comparsa di un trojan multicomponente per SO Linux

La minaccia del mese

Molti mass media raccontavano di un programma malevolo che è diventato noto sotto il nome di WannaCry. Questa applicazione malevola è un worm di rete che è in grado di infettare i computer SO Microsoft Windows. Il worm ha iniziato a diffondersi circa alle 10 di mattina il 12 maggio 2017. Come il payload il worm porta in sé un trojan cryptolocker. L'antivirus Dr.Web rileva tutti i componenti del worm utilizzando il nome Trojan.Encoder.11432.

wannacry #drweb

Ad avvio il worm si registra come un servizio di sistema e comincia a interrogare nodi di rete nella rete locale e in Internet con indirizzi IP casuali. Se ha potuto stabilire una connessione, il worm tenta di infettare questi computer. In caso dell'infettazione riuscita, il worm avvia il trojan cryptolocker che cifra i file sul computer utilizzando una chiave casuale. Nel corso del funzionamento Trojan.Encoder.11432 elimina le copie shadow e disattiva la funzione di ripristino del sistema. Il trojan crea una lista separata di file che vengono cifrati con utilizzo di un'altra chiave: il malware può decriptare questi file gratis per la sua vittima. In quanto questi file di test e tutti gli altri file sul computer vengono cifrati tramite chiavi diverse, non c'è nessuna garanzia di una decriptazione di file riuscita anche se venisse pagato il riscatto ai malintenzionati. Le maggiori informazioni su questo trojan possono essere trovate in un articolo e inoltre nella descrizione tecnica dettagliata del worm.

Secondo le statistiche di Antivirus Dr.Web

According to Dr.Web Anti-virus statistics #drweb

Secondo le informazioni dei server delle statistiche Doctor Web

According to Doctor Web statistics servers #drweb

Le statistiche delle applicazioni malevole nel traffico email

Statistics on malicious programs discovered in email traffic #drweb

Secondo i dati del bot Dr.Web per Telegram

According to statistics collected by Dr.Web Bot for Telegram #drweb

 #drweb

A maggio al servizio di supporto tecnico Doctor Web il più spesso si rivolgevano gli utenti le cui informazioni sono state cifrate dalle seguenti versioni dei trojan cryptolocker:

Dr.Web Security Space 11.0 per Windows
protegge dai cryptolocker (trojan-encoder)

Queste funzioni non sono disponibili nella licenza "Antivirus Dr.Web per Windows".

Prevenzione della perdita di dati
Preventive ProtectionData Loss Prevention

More information

A maggio 2017, 1.129.277 indirizzi Internet sono stati aggiunti al database dei siti malevoli e sconsigliati.

Aprile 2017Maggio 2017La dinamica
+ 568,903+ 1,129,277+ 98.5%

Siti sconsigliati

Altri eventi nella sfera della sicurezza informatica

All'inizio di maggio è stato rilevato un trojan che si propagava attraverso dei link nei commenti che i malfattori lasciavano nel gruppo ufficiale Doctor Web nel social network "VKontakte". Nei loro messaggi i criminali informatici offrivano di scaricare chiavi gratuite per l'antivirus Dr.Web, ma in realtà utilizzando il link la vittima prendeva un trojan classificato come Trojan.MulDrop7.26387.

 #drweb

Questo programma malevolo può eseguire diversi comandi dei malintenzionati: per esempio cambiare gli sfondi del Desktop di Windows, aprire e chiudere il vassoio dell'unità ottica, cambiare di posto le funzioni dei tasti del mouse, riprodurre attraverso altoparlanti una determinata frase, utilizzando il sintetizzatore vocale, o persino mostrare sullo schermo del computer filmati spaventanti. Maggiori informazioni su questo incidente informatico sono state pubblicate in un articolo sul nostro sito.

Programmi malevoli per Linux

A maggio gli analisti dei virus Doctor Web hanno studiato un trojan multicomponente per SO Linux scritto nel linguaggio Lua. Questo programma malevolo, denominato Linux.LuaBot, è costituito di 31 script Lua e può infettare non soltanto computer, ma anche diversi dispositivi "intelligenti": archiviazioni collegate alla rete, router, set-top box, telecamere IP ecc. Il trojan genera una lista di indirizzi IP da attaccare e quindi tenta di connettersi con dispositivi remoti secondo la lista creata e di autenticarsi tramite la selezione di login e password a dizionario. Riuscito a farlo, carica sul dispositivo infetto una sua copia e la esegue.

Questo trojan effettivamente è un backdoor – ovvero è in grado di eseguire comandi provenienti dai malintenzionati. Inoltre, avvia sul dispositivo infetto un server web che consente ai malintenzionati di scaricare e caricare diversi file. Gli analisti dei virus Doctor Web hanno raccolto statistiche di indirizzi IP unici dei dispositivi infettati da Linux.LuaBot — sono presentate nella figura seguente.

 #drweb

Maggiori informazioni su questo trojan multicomponente possono essere ottenute leggendo la nostra notizia o la descrizione tecnica dettagliata del programma malevolo.

Programmi malevoli per macOS

L'ultimo mese di primavera del 2017 è stato segnato dalla diffusione di un backdoor per macOS. Il trojan è stato aggiunto ai database dei virus Dr.Web sotto il nome Mac.BackDoor.Systemd.1. Il backdoor può eseguire i seguenti comandi:

Maggiori informazioni su questo programma malevolo possono sono riportate in un articolo sul nostro sito.

Programmi malevoli e indesiderati per dispositivi mobili

In May, Android.RemoteCode.28 was detected on Google Play. It downloaded other programs and shared information with the command and control server. Applications that conceal Android.Spy.308.origin were also detected in the catalog. This Trojan downloaded and ran additional program modules and displayed ads. This past month, cybercriminals distributed Android.BankBot.186.origin as MMS messages. This banking Trojan stole money from user accounts.

A maggio in Google Play è stato rilevato un trojan, Android.RemoteCode.28, che scaricava altri programmi e trasmetteva sul suo server di gestione informazioni confidenziali. Inoltre, in Google Play sono state rilevate applicazioni che nascondevano dentro di sé il trojan Android.Spy.308.origin. Lui scaricava e avviava moduli software addizionali e inoltre visualizzava pubblicità. Il mese passato gli autori dei virus, sotto l'apparenza di messaggi MMS, distribuivano il trojan bancario Android.BankBot.186.origin che rubava soldi dai conti degli utenti.

Gli eventi più notevoli relativi alla sicurezza "mobile" a maggio:

Per maggiori informazioni circa le minacce ai dispositivi mobili a maggio, consultate la nostra panoramica specifica.

Learn more with Dr.Web

Virus statistics Virus descriptions Virus monthly reviews

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125124, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A