30 ottobre 2015
Dal punto di vista delle nuove minacce alla sicurezza informatica l'ottobre scorso può essere chiamato un mese relativamente tranquillo. Ciononostante, durante il mese è stato registrato il fatto di violazione di alcune risorse Internet popolari: tramite di esse i malintenzionati distribuivano un pericoloso programma malevolo camuffato da un'utility antivirus di un noto produttore. Inoltre, ad ottobre sono comparsi nuovi trojan che mettono a rischio la piattaforma mobile Google Android — in particolare l'Android.BankBot.80.origin che si maschera da un'applicazione bancaria di una grande banca russa, nonché le applicazioni per la piattaforma iOS — viene segnalato il trojan IPhoneOS.Trojan.YiSpecter.2 studiato per mostrare pubblicità e scaricare di nascosto altri software.
Le principali tendenze di ottobre
- I malintenzionati violano siti per distribuire software dannoso
- La comparsa di un nuovo trojan capace di eseguire web inject
- La diffusione di nuove applicazioni dannose per Google Android
La minaccia del mese
A metà di ottobre gli specialisti Doctor Web hanno registrato alcuni casi di violazione di popolari siti web, tra cui anche la pagina di una nota serie televisiva russa, appartenente a una delle emittenti TV. Quando l'utente passava dai risultati della ricerca di Google sulla pagina web violata, con certe condizioni, nella finestra del browser compariva una nuova scheda che era impossibile chiudere — uno script incorporato nella pagina dagli hacker non permetteva di farlo. Quando l'utente faceva clic con il mouse o premeva tasti sulla tastiera, alla potenziale vittima veniva mostrata una finestra in cui si offriva di installare un'estensione per il browser che i criminali informatici facevano comparire per un'utility creata da un produttore degli antivirus.
Questo plugin, rilevato dall'Antivirus Dr.Web come il Trojan.BPLug.1041, è ideato per incorporare contenuti estranei nelle pagine web visualizzate dall'utente. Inoltre, il programma malevolo blocca su tutti i siti la visualizzazione di annunci di terzi da ogni dominio tranne quelli inclusi in una lista all'interno della sua configurazione. Inoltre, se l'utente si è autenticato nel social network "Odnoklassniki", il Trojan.BPLug.1041 tenta di concedere a una determinata applicazione l'accesso all'API di questo portale dall'account dell'utente: le sue credenziali potrebbero essere utilizzate per promuovere gruppi, inviare lo spam o per qualche sondaggio. Le maggiori informazioni su questo programma malevolo possono essere trovate in un materiale panoramico pubblicato sul nostro sito.
Secondo le informazioni dell'utility di cura dei virus Dr.Web CureIt!
Trojan.Siggen6.33552
Un programma malevolo studiato per installare altri software pericolosi.Trojan.Crossrider1.42770
Un campione della famiglia dei trojan studiati per mostrare agli utenti di Internet diversi annunci non attendibili.Trojan.DownLoad3.35967
È un programma dalla famiglia dei trojan-downloader che scaricano da Internet e lanciano sul computer sotto attacco altri programmi malevoli.Trojan.LoadMoney
Una famiglia dei programmi-downloader che vengono generati dai server del partner program LoadMoney. Queste applicazioni scaricano ed installano diversi programmi indesiderati sul computer della vittima.
Secondo le informazioni dei server delle statistiche Doctor Web
Trojan.InstallCube
Una famiglia dei programmi-downloader che installano varie applicazioni inutili e indesiderate sul computer dell'utente.Trojan.Siggen6.33552
Un programma malevolo studiato per installare altri software pericolosi.Trojan.DownLoad3.35967
È un programma dalla famiglia dei trojan-downloader che scaricano da Internet e lanciano sul computer sotto attacco altri programmi malevoli.Trojan.LoadMoney
Una famiglia dei programmi-downloader che vengono generati dai server del partner program LoadMoney. Queste applicazioni scaricano ed installano diversi programmi indesiderati sul computer della vittima.
Le statistiche delle applicazioni malevole nel traffico di email
Trojan.Encoder.567
È un cryptolocker della famiglia dei programmi trojan-ransomware che criptano file sui dischi del computer vittima e chiedendo un riscatto per la decriptazione. Questo trojan può criptare file importanti dell'utente, compresi i seguenti tipi: .jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, .cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx.Trojan.PWS.Stealer
Una famiglia dei trojan studiati per rubare sul computer infetto password ed altre informazioni confidenziali.Trojan.DownLoader15.52331
È un programma dalla famiglia dei trojan-downloader che scaricano da Internet e lanciano sul computer sotto attacco altri programmi malevoli.
Le botnet
Gli specialisti Doctor Web continuano a monitorare l'attività delle botnet create dai criminali informatici con utilizzo del virus di file Win32.Rmnet.12. I seguenti grafici visualizzano l'attività di queste botnet ad ottobre 2015:
Rmnet è una famiglia dei virus di file che si diffondono senza la partecipazione dell'utente, possono incorporare contenuti estranei in pagine web visualizzate dall'utente (in linea teorica, questa funzione permette ai criminali informatici di accedere alle informazioni segrete dei conti bancari delle vittime), inoltre possono ricavare cookies e le password dei client FTP popolari ed eseguire comandi impartiti dai malfattori.
Così come in precedenza, è operativa la botnet costituita dai computer infettati dal virus di file Win32.Sector. La seguente figura mostra un grafico di attività media giornaliera di questa botnet:
Questo programma malevolo ha le seguenti funzioni dannose:
- scarica file eseguibili da rete P2P e li esegue sulla macchina infetta;
- può incorporarsi in processi in esecuzione sul computer;
- ha la possibilità di terminare alcuni programmi antivirus e di ostacolare l'accesso ai siti dei loro sviluppatori;
- infetta oggetti di file su dischi locali e supporti rimovibili (dove durante l'infezione cui crea un file di esecuzione automatica autorun.inf) e anche infetta file conservati in cartelle condivise di rete.
Ad ottobre 2015 è leggermente diminuita l'attività dei malintenzionati che attuano massicci attacchi DDoS utilizzando il trojan Linux Linux.BackDoor.Gates.5. Il mese scorso il numero di nodi attaccati è diminuito del 33,29% ed era pari a 5051. Cina rimane il leader tra gli obiettivi dei criminali informatici, gli Stati Uniti si sono trasferiti alla terza posizione cedendo la seconda a Francia.
I cryptolocker (trojan-encoder)
Numero di richieste di decifratura di file ricevute dal servizio di supporto tecnico Doctor Web
| Settembre 2015 | Ottobre 2015 | La dinamica |
|---|---|---|
| 1310 | 1471 | +12,29% |
Il cryptolocker più diffuso ad ottobre 2015 è il Trojan.Encoder.567.
Dr.Web Security Space 11.0 per Windows
protegge dai cryptolocker (trojan-encoder)
Queste funzioni non sono disponibili nella licenza "Antivirus Dr.Web per Windows".
| Prevenzione della perdita di dati | |
|---|---|
 |  |
Siti pericolosi
Ad ottobre 2015, 264.970 indirizzi Internet sono stati aggiunti al database dei siti malevoli e di quelli sconsigliati da Dr.Web.
| Settembre 2015 | Ottobre 2015 | La dinamica |
|---|---|---|
| +399.227 | +264.970 | -33,6% |
Tra i siti che gli analisti Doctor Web aggiungono all'elenco delle risorse sconsigliabili una determinata parte costituiscono i negozi online che offrono le merci sospette e talvolta addirittura strane. Ne abbiamo raccontato in precedenza nelle nostre notizie, però i commercianti di rete continuano a stupire gli specialisti informatici con sempre nuovi esempi di prodotti incredibili che riforniscono l'assortimento di tali negozi. Ad ottobre abbiamo raccontato in un articolo speciale dei prodotti come i fili contro il malocchio, le pompe per le labbra e di altri ancora
Programmi malevoli ed indesiderati per dispositivi mobili
Il mese scorso di nuovo gli utenti di dispositivi mobili erano sotto attacco. Così all'inizio di ottobre è stato scoperto un nuovo trojan studiato per infettare gli smartphone e i tablet prodotti dalla casa Apple. Potevano diventare potenziali vittime dei criminali informatici i proprietari dei dispositivi sia con una versione di SO violata che con una "pulita". Inoltre, nella directory ufficiale delle applicazioni per Android Google Play è stato individuato un successivo programma malevolo che aveva potuto raggirare la protezione della casa Google. A metà del mese gli specialisti Doctor Web hanno registrato un nuovo caso di introduzione di un trojan in un firmware Android dei dispositivi mobili, più tardi hanno scoperto un successivo trojan bancario progettato per il furto di denaro agli utenti.
Gli eventi più notevoli relativi alla sicurezza "mobile" ad ottobre:
- La comparsa di un nuovo trojan che infetta i dispositivi mobili sotto la gestione di iOS
- Un successivo programma malevolo è stato rilevato nella directory delle applicazioni per Android Google Play
- È stato individuato un nuovo caso di infezione di un firmware Android da un'applicazione malevola
- I malintenzionati distribuivano nuovi trojan-banker Android
Per maggiori informazioni circa la situazione con i virus mobile ad ottobre, consultate il nostro resoconto specifico.
Scopri di più con Dr.Web
Statistiche di virus Biblioteca delle descrizioni Tutti i resoconti sui virus Laboratorio live
