Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Doctor Web: panoramica sulle attività dei virus a luglio 2017

31 luglio 2017

In primo piano

Di regola, a metà estate raramente si verificano eventi notevoli nella sfera della sicurezza informatica, però questo luglio è stato un'eccezione a questa regola. All'inizio del mese gli specialisti Doctor Web hanno scoperto un vero e proprio backdoor nell'applicazione per la gestione documenti M.E.Doc. Poco dopo gli analisti dei virus hanno accertato la fonte di diffusione di BackDoor.Dande, un trojan che rubava informazioni sugli approvvigionamenti di medicine ad aziende farmaceutiche. Alla fine del mese abbiamo scoperto che era compromesso il portale dei servizi per il cittadino della Federazione Russa (gosuslugi.ru). Inoltre, a luglio sono stati rilevati alcuni pericolosi programmi malevoli per la piattaforma mobile Android.

Le principali tendenze di luglio

  • Scoperto un backdoor nel software M.E.Doc
  • Individuata la fonte di diffusione del backdoor Dande
  • Compromesso il portale federale dei servizi per il cittadino

La minaccia del mese

L'applicazione per la gestione di documenti elettronici M.E.Doc, popolare sul territorio di Ucraina, è stata sviluppata dall'azienda Intellect Service. In uno dei moduli, ZvitPublishedObjects.Server.MeCom, di questa applicazione gli analisti dei virus Doctor Web hanno scoerto un record che corrisponde alla seguente chiave di registro di sistema di Windows: HKCU\SOFTWARE\WC.

#drweb

La stessa chiave di registro veniva utilizzata nel suo funzionamento dal cryptolocker Trojan.Encoder.12703. Studiando il file di log dell'antivirus Dr.Web, ottenuto da un computer di uno dei nostri clienti, abbiamo scoperto che questo cryptolocker era stato avviato sulla macchina vittima dall'applicazione ProgramData\Medoc\Medoc\ezvit.exe che è un componente del programma M.E.Doc:

#drweb

L'ulteriore studio del programma ha rilevato che in una delle sue librerie — ZvitPublishedObjects.dll — è contenuto un backdoor che può eseguire le seguenti funzioni:

Inoltre, il modulo di aggiornamento di M.E.Doc permette di avviare un payload tramite l'utility rundll32.exe con l'argomento #1 — proprio in questo modo sui computer infetti è stato avviato Trojan.Encoder.12544. Maggiori informazioni sull'investigazione Doctor Web sono disponibili in un articolo pubblicato sul nostro sito.

Statistiche

Secondo le statistiche di Antivirus Dr.Web

#drweb

Trojan.DownLoader
Una famiglia dei trojan che hanno l'obiettivo di scaricare altre applicazioni dannose sul computer sotto attacco.
Trojan.InstallCore
Una famiglia dei programmi che installano applicazioni indesiderate e malevole.
Trojan.BtcMine
Una famiglia dei programmi malevoli che sfruttano le risorse di calcolo del computer infetto senza la conoscenza dell'utente per ricavare varie criptovalute (mining), per esempio Bitcoin.

Secondo le informazioni dei server delle statistiche Doctor Web

#drweb

JS.Downloader
Una famiglia degli script malevoli, scritti nel linguaggio JavaScript. Scaricano e installano sul computer altri programmi malevoli.
JS.Inject.3
Una famiglia degli script malevoli, scritti nel linguaggio JavaScript. Integrano uno script malevolo nel codice HTML di pagine web.
Trojan.InstallCore
Una famiglia dei programmi che installano applicazioni indesiderate e malevole.
Trojan.DownLoader
Una famiglia dei trojan che hanno l'obiettivo di scaricare altre applicazioni dannose sul computer sotto attacco.
Trojan.PWS.Stealer
Una famiglia dei trojan studiati per rubare password ed altre informazioni confidenziali sul computer infetto.

Le statistiche sulle applicazioni malevole nel traffico email

#drweb

JS.Downloader
Una famiglia degli script malevoli, scritti nel linguaggio JavaScript. Scaricano e installano sul computer altri programmi malevoli.
JS.Inject.3
Una famiglia degli script malevoli, scritti nel linguaggio JavaScript. Integrano uno script malevolo nel codice HTML di pagine web.
Trojan.PWS.Stealer
Una famiglia dei trojan studiati per rubare password ed altre informazioni confidenziali sul computer infetto.
Trojan.Encoder.6218
È un esemplare della famiglia dei trojan ransomware che criptano file sul computer vittima e chiedendo alla vittima il riscatto per la decriptazione.
Trojan.InstallCore
Una famiglia dei programmi che installano applicazioni indesiderate e malevole.

Secondo i dati del bot Dr.Web per Telegram

#drweb

Android.Locker.139.origin
Un membro della famiglia dei trojan Android studiati per il riscatto. Visualizzano un messaggio invadente su una presunta trasgressione della legge da parte dell'utente e del conseguente bloccaggio del dispositivo mobile, per levare il quale viene suggerito all'utente di pagare un determinato importo.
EICAR Test File
Un file di testo specifico, progettato per la prova dell'operatività degli antivirus. Tutti i programmi antivirus devono reagire a tale file rilevato esattamente nello stesso modo come nel caso di rilevamento di una minaccia informatica reale.
Joke.Locker.1.origin
Un programma-scherzo per SO Android che blocca lo schermo del dispositivo mobile e ci visualizza una "schermata blue" di SO Windows (BSOD, Blue Screen of Death).
Android.SmsSend.20784
Un membro della famiglia dei programmi malevoli che sono studiati per inviare SMS con tariffe elevate o per abbonare gli utenti a vari servizi di contenuti a pagamento.
Trojan.PWS.Stealer
Una famiglia dei trojan studiati per rubare password ed altre informazioni confidenziali sul computer infetto.

Cryptolocker

#drweb

A luglio al servizio di supporto tecnico Doctor Web il più spesso si rivolgevano gli utenti le cui informazioni sono state cifrate dalle seguenti versioni dei trojan cryptolocker:

Siti pericolosi

A luglio 2017, 327.295 indirizzi Internet sono stati aggiunti al database dei siti malevoli e sconsigliati.

Giugno 2017Luglio 2017La dinamica
+ 229 381+ 327 295+ 42,6%

A metà luglio il portale dei servizi per il cittadino della Federazione Russa (gosuslugi.ru) si è trasformato improvvisamente in un sito pericoloso per gli utenti, su cui gli analisti dei virus Doctor Web hanno scoperto un codice potenzialmente malevolo. Questo codice forzava il web browser di qualsiasi visitatore a connettersi furtivamente con uno di almeno 15 indirizzi di dominio registrati a una persona privata sconosciuta, di cui almeno 5 appartenevano ad aziende olandesi. Durante la generazione dinamica di una pagina del sito che viene richiesta dall'utente, al codice di markup delle pagine viene aggiunto un container <iframe> che permette di caricare qualsiasi dato di terzi o richiedere qualsiasi dato dal browser dell'utente. Tutte le vulnerabilità del sito gosuslugi.ru sono state eliminate dall'amministrazione della risorsa alcune ore dopo che era stata pubblicata la nostra notizia.

Altri eventi nella sfera della sicurezza informatica

Nel 2011 Doctor Web avvertiva della comparsa del trojan BackDoor.Dande studiato per spiare aziende farmaceutiche e farmacie. Dopo aver esaminato un disco rigido fornito da una delle aziende colpite, gli analisti dei virus hanno accertato che il trojan veniva scaricato e avviato nei sistemi bersaglio da uno dei componenti dell'applicazione ePrica che viene utilizzata dalle direzioni di farmacie per analizzare i prezzi dei medicamenti e per scegliere i fornitori più adatti. Questo modulo scaricava da un server di "Spargo Technologies", sviluppatore dell'applicazione suddetta, l'installer di BackDoor.Dande che avviava il backdoor sui computer sotto attacco. Il modulo suddetto aveva una firma digitale di "Spargo".

L'analisi condotta da Doctor Web ha mostrato che i componenti di BackDoor.Dande erano incorporati direttamente in una delle versioni precedenti dell'installer di ePrica. Tra i moduli del trojan sono presenti l'installer del backdoor e inoltre componenti per la raccolta di informazioni su rifornimenti di farmaci, che ottengono le informazioni richieste dai database dei software farmaceutici. Uno dei moduli veniva utilizzato per copiare informazioni su rifornimenti di medicamenti dai database di 1S (un software progettato per l'automazione della gestione e contabilità). È importante sottolineare che persino dopo la rimozione del software ePrica il backdoor rimane nel sistema continuando a spiare gli utenti. Maggiori informazioni sull'investigazione condotta dagli specialisti Doctor Web sono riportate in un articolo pubblicato sul nostro sito.

Programmi malevoli ed indesiderati per dispositivi mobili

All'inizio del mese gli specialisti Doctor Web hanno rilevato un trojan di download di programmi Android.DownLoader.558.origin presente in un popolare gioco BlazBlue disponibile in Google Play. Questo programma malevolo poteva scaricare e avviare furtivamente componenti di applicazioni non controllati. In seguito gli analisti hanno esaminato un pericoloso trojan Android.BankBot.211.origin. Poteva controllare i dispositivi mobili infetti, rubava informazioni riservate e sensibili, tra cui password. Alla fine del mese gli analisti dei virus hanno rilevato un trojan, Android.Triada.231, che era stato integrato dai malintenzionati in una delle librerie di sistema dell'SO Android nei firmware di alcuni modelli di dispositivi mobili. Questo programma malevolo si incorporava nei processi di tutti i programmi in esecuzione e avviava di nascosto moduli trojan.

Gli eventi più notevoli relativi alla sicurezza mobile a luglio:

Per maggiori informazioni circa le minacce ai dispositivi mobili a luglio consultate il nostro resoconto specifico.

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2021

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125124, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A