Doctor Web: resoconto sull'attività dei virus a giugno 2015

[% DEFAULT FILE_REVIEW = ''; NAME_SOME_ARRAY_IN_MACROSNAME = [ { box => "Главное" }, { box => "Угроза месяца" }, { box => "Статистика" }, { box => "Ботнеты" }, { box => "Шифровальщики" }, { box => "Для Mac OS X" }, { box => "Опасные сайты" }, { box => "Для Android " } ] %] [% BLOCK global.tpl_blueprint.content %]

30 giugno 2015

A giungo 2015 sono accaduti diversi eventi molto curiosi nella sfera della sicurezza informatica. Gli specialisti Doctor Web hanno registrato i fatti della violazione da parte dei malintenzionati di alcuni siti, tra cui anche il portale del Centro russo dello studio dell'opinione pubblica. Inoltre, nel primo mese d'estate si sono diffusi nuovi programmi malevoli per i sistemi operativi Windows, Mac OS X e Android.

La minaccia del mese

All'inizio di giungo 2015 gli analisti dei virus Doctor Web hanno scoperto un nuovo programma trojan, Trojan.Proxy.27552, studiato per l'invio in massa dello spam. Questo trojan è curioso perché ancora all'inizio del suo funzionamento per un errore nel suo codice può mandare in crash il sistema operativo, causando la comparsa della schermata blu. Un'altra particolarità di Trojan.Proxy.27552 è che conserva una lista degli indirizzi dei suoi server di gestione nel registro di sistema di Windows.

L'obiettivo principale del Trojan.Proxy.27552 è inviare lo spam via email insieme a un server di spam remoto. I link inclusi nei messaggi indesiderati conducono principalmente su pagine web hackerate. Per sapere di più di questo programma malevolo, leggete quest'articolo pubblicato sul sito Doctor Web.

Secondo le informazioni dell'utility di cura dei virus Dr.Web CureIt!

• Trojan.DownLoader13.34458

  È un programma dalla famiglia dei trojan-downloader che scaricano da Internet e lanciano sul computer sotto attacco altri programmi malevoli.

• Trojan.Yontoo

  Una famiglia delle estensioni per browser studiate per visualizzare pubblicità su pagine web visitate dall'utente.

• Trojan.Click

  Una famiglia dei programmi malevoli che fanno aumentare il numero di visite di varie risorse Internet reindirizzando le richieste della vittima su determinati siti mediante la gestione del comportamento del browser.

• Trojan.LoadMoney

  Una famiglia dei programmi-downloader che vengono generati dai server del partner program LoadMoney. Queste applicazioni scaricano ed installano diversi programmi indesiderati sul computer della vittima.

• Trojan.Siggen6.33552

  Un programma malevolo studiato per installare altri software pericolosi.

Secondo le informazioni dei server delle statistiche Doctor Web

• Trojan.DownLoader13.34458

  È un programma dalla famiglia dei trojan-downloader che scaricano da Internet e lanciano sul computer sotto attacco altri programmi malevoli.

• Trojan.Siggen6.33552

  Un programma malevolo studiato per installare altri software pericolosi.

• Trojan.InstallCube

  Una famiglia dei programmi-downloader che installano varie applicazioni inutili e indesiderate sul computer dell'utente.

• Trojan.Installmonster

  Una famiglia dei programmi malevoli creati con utilizzo del partner program Installmonster. Queste applicazioni installano diversi programmi indesiderati sul computer della vittima.

Statistiche di applicazioni malevole nelle email

• Trojan.Oficla

  Una famiglia dei trojan che si diffondono principalmente attraverso le email. Al momento dell'infezione del computer, celano le loro attività malevole. In seguito Trojan.Oficla inserisce il computer in una botnet e consente ai malintenzionati di scaricare su di esso altri software dannosi. Dopo aver infettato il sistema, i possessori della botnet formata da Trojan.Oficla possono controllare il computer della vittima. In particolare, possono scaricare, installare e utilizzare su di esso pressoché qualsiasi programma malevolo.

• Trojan.DownLoader13.34458

  È un programma dalla famiglia dei trojan-downloader che scaricano da Internet e lanciano sul computer sotto attacco altri programmi malevoli.

• Worm.Siggen.12176

  È un programma malevolo del tipo worm che si diffonde principalmente come un allegato alle email.

• W97M.DownLoader.423

  Fa parte della famiglia dei programmi malevoli che si diffondono principalmente via email in documenti Microsoft Word. Ha l'obiettivo di scaricare altre applicazioni dannose sul computer sotto attacco.

• Trojan.Upatre

  Una famiglia dei trojan-downloader che scaricano ed installano di nascosto altri programmi malevoli sul computer infetto.

Le botnet

Gli analisti dei virus della società Doctor Web continuano a monitorare l'attività di alcune botnet che rappresentano una minaccia agli utenti. I seguenti diagrammi mostrano la media attività giornaliera delle due sottoreti di Win32.Rmnet.12, monitorate dagli specialisti:

Rmnet è una famiglia dei “file virus” che si diffondono senza la partecipazione dell'utente, possono incorporare contenuti estranei in pagine web visualizzate dall'utente (in linea teorica, questa funzione permette ai criminali informatici di accedere alle informazioni segrete dei conti bancari delle vittime), inoltre possono ricavare cookies e le password dei client FTP popolari ed eseguire comandi impartiti dai malfattori.

Continua a funzionare come in precedenza la botnet costituita dai computer infettati dal virus Win32.Sector. Questo programma malevolo ha le seguenti funzioni:

• scarica file eseguibili da rete P2P e li esegue sulla macchina infetta;
• può incorporarsi in processi in esecuzione sul computer;
• ha la possibilità di terminare alcuni programmi antivirus e di ostacolare l'accesso ai siti dei loro sviluppatori;
• infetta oggetti di file su dischi locali e su supporti rimovibili (su cui crea un file di esecuzione automatica autorun.inf) e anche infetta file conservati in cartelle condivise di rete.

Rispetto al mese scorso, è diminuito notevolmente il numero di attacchi a siti web, registrati a giungo 2015, effettuati dai malfattori tramite il trojan Linux.BackDoor.Gates.5. A giugno il numero di indirizzi IP unici, a cui si effettuavano gli attacchi, è diminuito del 76,6% ed è ammontato a 1284. Sono diversi anche i bersagli degli attacchi eseguiti dai malfattori: al primo posto per numero di risorse Internet attaccate si trova Canada, alla seconda e alla terza posizione stanno Cina e gli Stati Uniti d'America:

I trojan-encoder

Numero di richieste di decifratura ricevute dal sevizio di supporto tecnico Doctor Web

Maggio 2015	Giugno 2015	Dinamica
1200	1417	+ 18%

Gli encoder più diffusi a giugno 2015:

• Trojan.Encoder.858
• Trojan.Encoder.567
• BAT.Encoder

Le minacce a Mac OS X

Tra tutti i programmi malevoli che minacciano gli utenti del sistema operativo Mac OS X, una quantità significativa sono i trojan di pubblicità e gli installer di applicazioni indesiderate. Ogni giorno di questi programmi compaiono sempre nuovi campioni — così alla fine di giugno una successiva applicazione è stata aggiunta ai database dei virus sotto il nome dell'Adware.Mac.MacInst.1.

L'installer Adware.Mac.MacInst.1 visualizza sullo schermo del computer una finestra di dialogo in cui prima vengono visualizzate le informazioni circa il file richiesto dall'utente - quello che voleva scaricare inizialmente.

Dopo che l'utente ha fatto clic sul pulsante "Next", l'installer mostra un'offerta di partner che implica che oltre al file richiesto vengano installati componenti addizionali.

Tra di loro — un programma che l'antivirus Dr.Web rileva come il Trojan.VIndinstaller.3. Questo software, a sua volta, installa sul computer le estensioni malevole per i browser Safari, Firefox e Chrome, che il nostro antivirus classifica come i trojan della famiglia Trojan.Crossrider. Per scoprire più informazioni su questo programma malevolo, leggete la relativa notizia pubblicata sul nostro sito.

• Scoprite di più sui programmi malevoli per Mac OS X!

Siti pericolosi

Tra le altre risorse Internet pericolose e indesiderate che distribuiscono malware, a giugno 2015 nei database Dr.Web sono stati aggiunti temporaneamente alcuni link del sito del Centro russo dello studio dell'opinione pubblica che era stato violato dai criminali informatici. Sono state violate sia la versione russa (wciom.ru) che quella inglese (wciom.com) del sito ufficiale. I malintenzionati hanno creato sul sito compromesso un'apposita sezione in cui si trovavano pagine web con le intestazioni che sono molto ricercate secondo le statistiche dei motori di ricerca. Tutte queste pagine includevano un link per il download di un file che il software antivirus Dr.Web rileva come un campione della famiglia Trojan.DownLoader. Tramite questo downloader, i malintenzionati installavano sul computer della vittima un programma-miner studiato per ricavare varie monete elettroniche, e anche altri software indesiderati. Secondo le informazioni statistiche raccolte dai criminali informatici, il numero di potenziali vittime ammonta a decine di migliaia.

I dettagli di questo accaduto sono disponibili in un articolo pubblicato da Doctor Web.

A giugno 2015, 978.982 indirizzi Internet sono stati aggiunti al database dei siti malevoli e di quelli sconsigliati da Dr.Web.

Maggio 2015	Giugno 2015	Dinamica
+ 221.346	+ 978.982	+ 342.28%

Siti sconsigliati

Programmi malevoli ed indesiderati per Android

A giugno gli specialisti Doctor Web hanno scoperto un grande numero di vari programmi malevoli e indesiderati per il SO Android, nonché hanno registrato dei nuovi attacchi dei malintenzionati agli utenti degli smartphone e dei tablet Android. Le principali tendenze del mese scorso, connesse con le applicazioni malevole Android:

• i malintenzionati utilizzano vari trojan-banker per rubare il denaro degli utenti del SO Android;
• comparsa di nuovi trojan-ransomware Android;
• gli autori dei virus utilizzano i trojan-downloader per distribuire malware tra i proprietari dei dispositivi Android;
• un aumento del numero di trojan che mandano dal telefono messaggi SMS all'insaputa dell'utente.

Per maggiori informazioni circa la situazione con i virus nel segmento "mobile" a giungo, consultate il nostro resoconto.

[% END %]