30 aprile 2015
LE PRINCIPALI TENDENZE DI APRILE
- Tentativi da parte dei malintenzionati di attacco mirato contro alcune imprese russe impegnate nel settore della difesa.
- Comparso un nuovo trojan bancario multicomponente che rappresenta un rischio per clienti di alcune banche.
- Diffusione dei pericolosi backdoor per i SO Windows e Linux.
- Comparse nuove applicazioni dannose per la piattaforma mobile Google Android.
Minaccia del mese
All'inizio di aprile gli specialisti Doctor Web hanno completato l'analisi di un pericoloso trojan bancario multicomponente, denominato il Trojan.Dridex.49. Questo programma malevolo è costituito da un componente che forma dati di configurazione, necessari per il funzionamento del trojan, e avvia il programma stesso, da un nucleo e dai moduli addizionali. Per la comunicazione con il server di controllo, il trojan utilizza il protocollo P2P, il che è una sua particolarità.
A seconda dei parametri impostati, il Trojan.Dridex.49 si integra nel processo explorer.exe o in quelli dei browser chrome.exe, firefox.exe, iexplore.exe. Sono cifrati tutti i messaggi scambiati dal trojan con il server di controllo. Sul computer infetto questo programma malevolo può svolgere una delle tre possibili funzioni:
- bot — così si chiama un trojan che funziona su un computer senza un indirizzo IP esterno;
- node — sono i trojan sui computer con indirizzi IP esterni che accettano messaggi dai trojan che appartengono al primo tipo e quindi li trasmettono al terzo tipo di trojan;
- admin node — sono i trojan sui computer con indirizzi IP esterni che trasmettono messaggi ricevuti dal secondo tipo di trojan ad altri admin node o sul server di controllo.
In altre parole, la botnet del Trojan.Dridex.49utilizza per lo scambio messaggi la seguente catenella: bot -> node -> admin node -> altri admin node -> server di controllo. Per provvedere alla sicurezza della connessione, i trojan scambiano chiavi. Lo schema generale di comunicazione dentro la botnet è come segue:
Il code injection è lo scopo principale del Trojan.Dridex.49, cioè il programma integra contenuti estranei nelle pagine web di organizzazioni finanziarie che l'utente apre nel browser.
Il trojan può intercettare le informazioni confidenziali digitate dall'utente in vari moduli e così consente ai malfattori di ottenere l'accesso via rete ai conti correnti della vittima e di rubare il denaro. Gli specialisti Doctor Web conoscono oltre ottanta siti di banche ed altre risorse Internet attaccate dal Trojan.Dridex.49, tra cui sono i siti delle note organizzazione finanziarie — Royal Bank of Scotland, TCB, Santander, Bank of Montreal, Bank of America, HSBC, Lloyds Bank, Barclays e di altre ancora. La firma antivirale Trojan.Dridex.49 è stata aggiunta ai database dei virus, perciò gli utenti dei prodotti antivirus Dr.Web sono protetti dalle azioni di questo programma malevolo.
Secondo le informazioni dell'utility di cura dei virus Dr.Web CureIt!
In totale ad aprile sono stati rilevati 73.149.430 oggetti malevoli e potenzialmente pericolosi.
Trojan.Siggen6.33552
Un programma malevolo studiato per installare altri software pericolosi.
Trojan.Yontoo
Una famiglia delle estensioni per browser studiate per visualizzare pubblicità su pagine web visitate dall'utente.
Trojan.LoadMoney
Una famiglia dei programmi-downloader che vengono generati dai server del partner program LoadMoney. Queste applicazioni scaricano ed installano diversi programmi indesiderati sul computer della vittima.
Trojan.Click
Una famiglia dei programmi malevoli che fanno aumentare il numero di visite di varie risorse Internet reindirizzando le richieste della vittima su determinati siti mediante la gestione del comportamento del browser.
Trojan.Lyrics
Una famiglia dei trojan che sono capaci di visualizzare pubblicità indesiderata sullo schermo e di aprire nel browser siti web con contenuti non attendibili all'insaputa dell'utente.
Trojan.Zadved
Sono delle estensioni studiate per sostituire furtivamente risultati dei motori di ricerca nella finestra del browser e per mostrare falsi messaggi dei social network. Inoltre, le loro funzioni dannose includono la possibilità di sostituire annunci visualizzati su vari siti.
Trojan.MulDrop5.10078
Installa applicazioni indesiderate e pubblicitarie sul computer infetto.
Trojan.Crossrider1.16093
Un programma trojan studiato per mostrare agli utenti di Internet diversi annunci non attendibili.
Secondo le informazioni dei server delle statistiche Doctor Web
Trojan.DownLoader
Una famiglia dei programmi malevoli che hanno l'obiettivo di scaricare altre applicazioni dannose sul computer sotto attacco.
Trojan.Siggen6.33552
Un programma malevolo studiato per installare altri software pericolosi.
Trojan.LoadMoney
Una famiglia dei programmi-downloader che vengono generati dai server del partner program LoadMoney. Queste applicazioni scaricano ed installano diversi programmi indesiderati sul computer della vittima.
Trojan.Installmonster
Una famiglia dei programmi malevoli creati con utilizzo del partner program Installmonster. Queste applicazioni installano diversi programmi indesiderati sul computer della vittima.
Statistiche delle applicazioni malevole in email
BackDoor.Siggen.58526
Un trojan che all'insaputa dell'utente può scaricare e avviare altri programmi malevoli sul computer infetto ed inoltre può eseguire comandi impartiti dai malfattori.
Trojan.DownLoader
Una famiglia dei programmi malevoli che hanno l'obiettivo di scaricare altre applicazioni dannose sul computer sotto attacco.
Trojan.Click
Una famiglia dei programmi malevoli che fanno aumentare il numero di visite di varie risorse Internet reindirizzando le richieste della vittima su determinati siti mediante la gestione del comportamento del browser.
Trojan.Siggen6.33552
Un programma malevolo studiato per installare altri software pericolosi.
Botnet
Gli specialisti Doctor Web continuano a monitorare le attività della botnet creata dai malfattori sulla base del virus Win32.Rmnet.12.
Rmnet è una famiglia dei “file virus” che si diffondono senza la partecipazione dell'utente, possono incorporare contenuti estranei in pagine web visualizzate dall'utente (in linea teorica, questa funzione permette ai criminali informatici di accedere alle informazioni segrete dei conti bancari delle vittime), inoltre possono ricavare cookies e le password dei client FTP popolari ed eseguire comandi impartiti dai malfattori.
Continua a funzionare la botnet costituita dai computer infettati dal virus Win32.Sector. Questo programma malevolo ha le seguenti funzioni:
- scarica file eseguibili da rete P2P e li esegue sulla macchina infetta;
- può incorporarsi in processi in esecuzione sul computer;
- ha la possibilità di terminare alcuni programmi antivirus e di ostacolare l'accesso ai siti dei loro sviluppatori;
- infetta oggetti di file su dischi locali e su supporti rimovibili (su cui crea un file di esecuzione automatica autorun.inf) e anche file conservati in cartelle condivise di rete.
Rimane invariato il numero di computer Apple infettati dal trojan BackDoor.Flashback.39, la botnet include circa 25.000 macchine:
BackDoor.Flashback.39
Un trojan Mac OS X che si è diffuso su larga scala ad aprile 2012. L'infezione avviene attraverso le vulnerabilità Java. Il trojan ha l'obiettivo di scaricare e di avviare sulla macchina infetta un payload che può essere qualsiasi file eseguibile specificato nel comando impartito dai malintenzionati.
Ad aprile ci sono stati molti attacchi a diverse risorse Internet, effettuati dai malfattori tramite il trojan Linux.BackDoor.Gates.5. Rispetto al mese precedente, è cresciuto di più del 48% il numero di indirizzi IP unici attaccati, in totale sono 3320. Curiosamente, se prima i malintenzionati attaccavano soprattutto risorse cinesi, ad aprile la maggior parte dei target si trovava negli Stati Uniti di America. La cartina mostra la distribuzione geografica degli attacchi:
Trojan-encoder
Numero di richieste di decifratura ricevute dal servizio di supporto tecnico Doctor Web
| Marzo 2015 | Aprile 2015 | Dinamica |
|---|---|---|
| 2361 | 1359 | - 42.4 % |
Encoder più diffusi ad aprile 2015:
- Trojan.Encoder.761;
- Trojan.Encoder.567;
- Trojan.Encoder.741;
- Trojan.Encoder.888;
- BAT.Encoder.
Dr.Web Security Space 10.0 per Windows
protegge dai trojan-encoder
Nella licenza Antivirus Dr.Web per Windows queste funzioni sono mancanti.
| Protezione preventiva | Prevenzione della perdita di dati |
|---|---|
 |  |
Per maggiori informazioni guardate il Video su configurazione
Minacce informatiche a Linux
Il mese scorso gli specialisti Doctor Web hanno studiato un nuovo trojan capace di infettare i sistemi operativi della famiglia Linux — Linux.BackDoor.Sessox.1. I malfattori possono gestire il backdoor tramite il protocollo per lo scambio di messaggi di testo IRC (Internet Relay Chat) — il bot riceve comandi dagli hacker in una chat attiva sul loro server. Per diffondersi, il trojan scansiona server remoti cercando vulnerabilità e se ne trova alcune, esegue uno script malevolo sul server non protetto, e lo script, a sua volta, può installare una copia del trojan nel sistema compromesso.
Il programma malevolo può attaccare un nodo di Internet impostato dagli hacker inviando su di esso richieste GET ripetute.
Qui trovate una descrizione dettagliata del Linux.BackDoor.Sessox.1.
Altri eventi di aprile
All'inizio del mese gli specialisti Doctor Web hanno rilevato un'email di massa, mandata sugli indirizzi di lavoro e privati dei dipendenti di alcune imprese russe impegnate nel settore della difesa, in cui i malintenzionati distribuivano un trojan pericoloso.
Il programma malevolo, denominato il BackDoor.Hser.1, su comando può trasmettere sul server remoto una lista dei processi in esecuzione sul computer compromesso, scaricare ed eseguire un'altra app malevola, nonché può aprire la console dei comandi e fare un reindirizzamento di input-output sul server posseduto dai malfattori, di conseguenza i criminali informatici possono gestire su remoto il PC infetto. Ulteriori dettagli sull'incidente sono disponibili nella notizia corrispondente.
Inoltre ad aprile è stato analizzato il nuovo programma malevolo VBS.BackDoor.DuCk.1 che è capace di eseguire comandi impartiti su remoto dai malintenzionati e di trasmettere sul server remoto le schermate catturate sul computer compromesso. Il backdoor può controllare se sul computer attaccato sono disponibili ambienti virtuali o programmi antivirus. Un articolo dedicato a questo trojan pericoloso è stato pubblicato sul sito Doctor Web.
Siti pericolosi
Ad aprile 2015, 129.199 indirizzi Internet sono stati aggiunti al database dei siti malevoli e di quelli sconsigliati da Dr.Web.
| Marzo 2015 | Aprile 2015 | Dinamica |
|---|---|---|
| 74 108 | 129 199 | + 74.3% |
Programmi malevoli ed indesiderati per Android
Ad aprile i malintenzionati hanno continuato ad attaccare dispositivi mobili Android, perciò il mese scorso è stato ricco di eventi virali. Gli eventi più significativi ad aprile, relativi al software dannoso e indesiderato per Android sono:
- scoperta del pericoloso trojan Android.Toorch.1.origin capace di ottenere l'accesso di root per scaricare, installare e rimuovere programmi di nascosto;
- comparsa su Google Play di ulteriori applicazioni con un modulo di pubblicità aggressiva;
- avanzamento dei trojan bancari.
