Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Doctor Web: resoconto sull'attività dei virus a settembre 2015

1 ottobre 2015

Coll'inizio di autunno l'attività dei malintenzionati non è calata: a settembre abbiamo osservato che venivano distribuiti nuovi installer di programmi pubblicitari e indesiderati — sia per Windows che per Mac OS X, un nuovo trojan capace di infettare terminali POS e anche vari programmi malevoli per SO Linux e per la piattaforma mobile Android.

Le principali tendenze di settembre

  • La comparsa di un nuovo trojan capace di infettare terminali POS
  • La diffusione dei programmi che installano applicazioni indesiderate e pubblicitarie sotto Windows e Mac OS X
  • La diffusione di nuove applicazioni dannose per Google Android e Linux

La minaccia del mese

I terminali POS che funzionano sotto la gestione dei sistemi operativi della famiglia Microsoft Windows sempre suscitavano un certo interesse nel cerchio dei criminali informatici poiché sono già da tempo conosciuti diversi metodi per rubare le tracce di carte di credito dalla memoria di tali dispositivi con utilizzo di specifici programmi malevoli. Uno di tali programmi è il trojan Trojan.MWZLesson, analizzato a settembre dagli specialisti Doctor Web, che è una variante di un altro programma pericoloso — BackDoor.Neutrino.50.

Il Trojan.MWZLesson può eseguire i seguenti comandi:

Le maggiori informazioni su questo trojan sono disponibili in un materiale panoramico pubblicato sul sito Doctor Web.

Secondo le statistiche dell'utility di cura dei virus Dr.Web CureIt!

A settembre con impiego dell'utility Dr.Web CureIt! sono stati rilevati 155.554.503 oggetti potenzialmente pericolosi e malevoli.

screen

Secondo le informazioni dei server delle statistiche Doctor Web

screen

Le statistiche delle applicazioni malevole nel traffico di email

screen

Le botnet

Gli specialisti Doctor Web continuano a monitorare l'attività delle botnet create dai malfattori sulla base del pericoloso virus Win32.Rmnet.12. Le seguenti figure mostrano la media attività giornaliera a settembre 2015 in queste botnet:

screen

screen

Rmnet è una famiglia dei “file virus” che si diffondono senza la partecipazione dell'utente, possono incorporare contenuti estranei in pagine web visualizzate dall'utente (in linea teorica, questa funzione permette ai criminali informatici di accedere alle informazioni segrete dei conti bancari delle vittime), inoltre possono ricavare cookies e le password dei client FTP popolari ed eseguire comandi impartiti dai malfattori.

È operativa, così come prima, anche la botnet costituita dai computer infettati dal virus Win32.Sector — un grafico della sua attività è presentato nella seguente figura:

screen

Il virus Win32.Sector possiede le seguenti funzionalità:

A settembre 2015 di nuovo sono stati attivi i malintenzionati che si occupano di attuare massicci attacchi DDoS utilizzando il trojan Linux Linux.BackDoor.Gates.5. Rispetto al mese precedente, il numero di tali attacchi è aumentato del 263,5% e ha ammontato a 7572. Rispetto ai dati di agosto, i paesi con il maggior numero di nodi attaccati si sono scambiati di posto: adesso gli Stati Uniti si trovano sulla prima posizione e Cina occupa la seconda. La seguente figura mostra la distribuzione geografica dei nodi bersagli dei malintenzionati che organizzano attacchi DDoS con impiego del Linux.BackDoor.Gates.5:

screen

I trojan-encoder

Numero di richieste di decifratura ricevute dal sevizio di supporto tecnico Doctor Web

Agosto 2015Settembre 2015La dinamica
14251310- 8 %

Gli encoder più diffusi a settembre 2015:

Dr.Web Security Space 10.0 per Windows
protegge dai trojan-encoder

Queste funzioni non sono disponibili nella licenza "Antivirus Dr.Web per Windows"

Protezione preventivaPrevenzione della perdita di dati
Protezione preventivaPrevenzione della perdita di dati

Per maggiori informazioni Guardate il video su configurazione

Programmi malevoli per Linux

A settembre gli specialisti Doctor Web di nuovo hanno dovuto affrontare i trojan progettati per i sistemi operativi della famiglia Linux. I trojan più interessanti sono il Linux.Ellipsis.1 e il Linux.Ellipsis.2. Il secondo di essi è studiato per violare dispositivi con il metodo di selezione di login a password a dizionario. E per assicurarsi l'anonimia mentre accedono ai dispositivi violati, gli hacker utilizzano il primo trojan Linux.Ellipsis.1. È interessante che questo programma malevolo abbia un comportamento molto particolare che gli specialisti Doctor Web hanno chiamato "paranoico".

Lo scopo principale del Linux.Ellipsis.1 consiste nel creare un server proxy sul computer infetto: gli hacker utilizzano il server proxy per l'accesso non autorizzato ai dispositivi compromessi per far sparire le tracce. Per questo scopo, il trojan controlla le connessioni su un indirizzo locale e su una porta impostata, trasmettendo come proxy tutto il traffico trasmesso attraverso questo indirizzo e questa porta.

Il programma malevolo Linux.Ellipsis.1 è caratterizzato da un comportamento "paranoico": il trojan ha una vasta lista di stringhe particolari e se ne scopre alcune nel traffico di rete, blocca la comunicazione con il rispettivo server remoto. Inoltre, questo programma malevolo controlla tutte le connessioni di rete del computer e manda sul server di gestione l'indirizzo IP del nodo con cui è stata stabilita una connessione. Se il server risponde con un comando "kill", il trojan termina l'applicazione che ha stabilito la connessione e inoltre blocca questo indirizzo IP per due ore. Le informazioni più dettagliate sull'architettura e sui principi di funzionamento di questi programmi malevoli sono disponibili in un articolo pubblicato.

Programmi pericolosi per Mac OS X

Sono comuni i programmi di installazione di applicazioni pubblicitarie e indesiderate per SO Windows, però a settembre gli analisti dei virus Doctor Web hanno conosciuto un altro programma di questo genere, progettato per il sistema operativo Mac OS X. Questo campione, denominato l'Adware.Mac.WeDownload.1, è una distribuzione falsificata del lettore multimediale Adobe Flash Player e viene distribuito con impiego delle risorse di un partner program incentrato sulla monetizzazione di traffico di file.

screen Adware.Mac.WeDownload.1 #drweb

Dopo aver mandato una richiesta corrispondente, l'Adware.Mac.WeDownload.1 riceve dal server di gestione una lista delle applicazioni che verranno offerte all'utente per l'installazione. Tra di loro ci sono programmi indesiderati e francamente dannosi, in particolare: Program.Unwanted.MacKeeper, Mac.Trojan.Crossrider, Mac.Trojan.Genieo, Mac.BackDoor.OpinionSpy, diversi campioni della famiglia Trojan.Conduit e alcune altre applicazioni pericolose, e quanti e quali programmi vengono installati, dipende dall'associazione geografica dell'indirizzo IP della vittima.

Per avere maggiori informazioni sull'installer di programmi indesiderati, leggete il relativo articolo.

Altri programmi malevoli

A settembre 2015 sono stati scoperti numerosi installer di applicazioni indesiderate, pubblicitarie e persino pericolose, che vengono distribuiti all'interno di vari partner program incentrati sulla monetizzazione di traffico di file.

All'inizio del mese, gli analisti dei virus Doctor Web hanno studiato il programma malevolo Trojan.InstallCube.339 che può essere scaricato dalle potenziali vittime da varie false risorse di condivisione di file o tracker di torrent. Dopo l'avvio il trojan riceve dal server di controllo i dati necessari per il suo funzionamento e visualizza una finestra con le informazioni sull'oggetto che viene scaricato, la quale contiene l'icona di un popolare client di torrent mTorrent. È una particolarità dei server di controllo di questo programma malevolo che loro consentono di scaricare il payload solo se il computer ha un indirizzo IP russo. Per sapere di più di questo programma malevolo, leggete quest'articolo panoramico pubblicato sul sito Doctor Web.

Un altro installer pericoloso, di cui abbiamo raccontato in una notizia pubblicata a metà del mese, si chiama il Trojan.RoboInstall.1. Così come altri software di questo genere, questo trojan si diffonde attraverso siti di file sharing, falsi torrent e altre risorse di Internet simili, create dai malintenzionati. Tali programmi malevoli spesso vengono utilizzati anche dagli autori di applicazioni gratuite per la monetizzazione — loro ottengono un ricompenso per ogni utility addizionale installata dal trojan sui computer degli utenti. A differenza di molti altri installatori di software pubblicitari, nelle finestre visualizzate dal Trojan.RoboInstall.1 spesso sono non disponibili i flag attraverso cui è possibile rifiutare l'installazione di programmi aggiuntivi perciò la loro esecuzione avviene senza alcune condizioni.

Alla fine di settembre i malintenzionati hanno provato a distribuire un programma malevolo nelle false email che sfruttavano il nome della società Doctor Web.

screen

I criminali informatici offrivano alle loro vittime di partecipare al testing di un'utility inesistente, chiamata Dr.Web CureIt 2, e se l'utente accettava di scaricarla, da un sito malevolo sul computer giungeva il trojan Trojan.PWS.Stealer.13052 progettato per il furto di password. Per aumentare la chance di infezione, i malintenzionati suggerivano alle potenziali vittime di disattivare l'antivirus in uso sul computer, con il pretesto di conflitti di software tra "l'utility" e un altro programma antivirus. Per ulteriori informazioni su questa minaccia, leggete la relativa notizia.

Siti pericolosi

A settembre 2015, 399.227 indirizzi Internet sono stati aggiunti al database dei siti malevoli e di quelli sconsigliati da Dr.Web.

Agosto 2015Settembre 2015La dinamica
+ 834 753+ 399 227- 51.39 %
Siti sconsigliati

Programmi malevoli ed indesiderati per Android

A settembre sono successi molti eventi relativi alle minacce informatiche ai dispositivi mobili. Così gli specialisti della sicurezza informatica hanno scoperto una massiccia penetrazione di un'applicazione trojan nella directory App Store e anche molteplici casi di pubblicazione di vari programmi malevoli nella directory Google Play. A metà del mese gli analisti dei virus Doctor Web hanno registrato un successivo caso di presenza in un trojan preinstallato in un firmware Android ufficiale. Inoltre, gli utenti dovevano nuovamente affrontare i trojan-banker che compromettono conti bancari, gli estorsori-ransomware Android e altre applicazioni malevole.

Le tendenze più notevoli nella sfera della sicurezza del SO Android a settembre:

Per maggiori informazioni circa la situazione con i virus mobile a settembre, consultate il nostro resoconto specifico.

Scopri di più con Dr.Web

Statistiche di virus Biblioteca delle descrizioni Tutti i resoconti sui virus Laboratorio live

Sviluppatore russo degli antivirus Dr.Web

Esperienza di sviluppo dal 1992

Dr.Web viene utilizzato in 200+ paesi del mondo

L'antivirus viene fornito come un servizio dal 2007

Supporto ventiquattro ore su ventiquattro

© Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A