Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Doctor Web: resoconto sull'attività dei virus a dicembre 2015

24 dicembre 2015

Il primo mese d'inverno si dimostra, tradizionalmente, abbastanza tranquillo dal punto di vista delle minacce alla sicurezza informatica — nel periodo precedente a Capodanno e Natale i pirati informatici tendono a essere meno attivi. E il dicembre 2015 non è stato un'eccezione. All'inizio del mese è stata registrata la diffusione di un trojan per SO Linux, capace di scaricare e installare diversi programmi sui dispositivi infetti, nonché di un installer delle applicazioni indesiderate per OS X. Inoltre gli analisti dei virus Doctor Web hanno di nuovo registrato la diffusione del pericoloso trojan bancario per la piattaforma mobile Google Android che era stato scoperto all'inizio dell'anno e per il momento è stato rilevato su oltre 31.000 dispositivi mobili.

Le principali tendenze di dicembre

  • Diffusione di un nuovo programma malevolo per Linux
  • Comparsa di un installer delle applicazioni indesiderate per OS X
  • Diffusione di un pericoloso trojan bancario per Android

La minaccia del mese

L'interesse dei malintenzionati verso il sistema operativo OS X aumenta gradualmente — ciò è dimostrato dalla continua crescita del numero di programmi malevoli progettati per questa piattaforma. La stragrande maggioranza delle minacce ai computer Apple sono al momento trojan pubblicitari e installer delle applicazioni indesiderate. Proprio a quest'ultima categoria appartiene il nuovo malware Adware.Mac.Tuguu.1rilevato dagli analisti dei virus Doctor Web a dicembre 2015. L'Adware.Mac.Tuguu.1 consente di installare di nascosto sul "mac" della potenziale vittima diverse applicazioni supplementari, di solito inutili e talvolta nocive.

screen Adware.Mac.Tuguu.1 #drweb screen Adware.Mac.Tuguu.1 #drweb

L'installer si diffonde nella forma di vari software gratuiti per OS X. All'avvio Adware.Mac.Tuguu.1 legge i contenuti del file di configurazione ".payload" situato nella cartella da cui è stata avviata l'applicazione, determina l'indirizzo del server di gestione, lo modifica in un specifico modo e si connette al server per avere un elenco dei software addizionali da offrire all'utente. Sono cifrati tutti i dati che il programma malevolo scambia con il suo centro di comando. A giudicare dalla numerazione interna utilizzata dall'installer, in totale esistono 736 diverse applicazioni che Adware.Mac.Tuguu.1 cpuò installare sul "mac" compromesso. Prima di iniziare un'istallazione, Adware.Mac.Tuguu.1 controlla se i programmi da esso offerti sono compatibili uno con gli altri — così per esempio non installerà insieme le applicazioni MacKeeper e MacKeeper Grouped. Inoltre Adware.Mac.Tuguu.1 cerca di farsi certo che i software offerti non sono già installati nel sistema e prima di terminare il suo funzionamento controlla se l'installazione è andata a buon fine. Per avere maggior informazioni su quest'applicazione pericolosa, consultate questo articolo sul sito Doctor Web.

Secondo le informazioni dell'utility di cura dei virus Dr.Web CureIt!

screen #drweb

Secondo le informazioni dei server delle statistiche Doctor Web

screen #drweb

Le statistiche delle applicazioni malevole nel traffico di email

screen #drweb

Le botnet

Gli specialisti Doctor Web continuano a monitorare l'attività della botnet creata dai malfattori sulla base del pericoloso virus Win32.Rmnet.12. Alla fine del mese c'è stata una tendenza al calo dell'attività in entrambe le sottoreti di questa botnet, come testimoniano le seguenti grafici:

screen #drweb

screen #drweb

Rmnet è una famiglia dei virus di file che si diffondono senza la partecipazione dell'utente, possono incorporare contenuti estranei in pagine web visualizzate dall'utente (in linea teorica, questa funzione permette ai criminali informatici di accedere alle informazioni segrete dei conti bancari delle vittime), inoltre possono ricavare cookies e le password dei client FTP popolari ed eseguire comandi impartiti dai malfattori.

Continua a funzionare anche la botnet costituita dai computer infettati dal virus Win32.Sector. Questo programma malevolo ha le seguenti funzioni dannose:

La seguente figura è il grafico dell'attività media giornaliera di questa rete:

screen #drweb

I cryptolocker (trojan-encoder)

screen #drweb

I cryptolocker più diffusi a dicembre 2015:

Dr.Web Security Space 11.0 per Windows
protegge dai cryptolocker (trojan-encoder)

Queste funzioni non sono disponibili nella licenza "Antivirus Dr.Web per Windows".

Prevenzione della perdita di dati
Prevenzione della perdita di datiPrevenzione della perdita di dati

Per maggiori informazioni

Programmi malevoli per Linux

Cresce gradualmente il numero di programmi malevoli rivolti contro i sistemi operativi della famiglia Linux: così a dicembre 2015 gli analisti dei virus Doctor Web hanno scoperto il trojan Linux.Rekoobe.1 che è capace, su comando dei malintenzionati, di scaricare dal server di controllo e caricare su di esso vari file, nonché può interagire con la shell di Linux sul dispositivo infetto. Le prime versioni di Linux.Rekoobe.1 si concentravano sull'infezione dei dispositivi Linux con l'architettura SPARC, però più tardi gli autori dei virus hanno ovviamente deciso di modificare il trojan per renderlo compatibile con la piattaforma Intel. Gli specialisti Doctor Web sanno dei campioni di Linux.Rekoobe.1 per le versioni del SO Linux compatibili Intel sia a 32 bit che a 64 bit.

A determinate condizioni la comunicazione di questo trojan con il suo centro di comando passa attraverso un server proxy, inoltre, il, Linux.Rekoobe.1 possiede un ingegnoso sistema di verifica dei "pacchi" con le informazioni cifrate che ottiene dal server di controllo. Nonostante questo complesso meccanismo di lavoro, Linux.Rekoobe.1 è capace di eseguire solo tre comandi dei malintenzionati, cioè: può scaricare file dal server di gestione o caricare file su di esso, passare i comandi accettati alla shell di Linux e trasmettere l'output ottenuto sul server remoto, e grazie a questi comandi i criminali informatici hanno la possibilità di interagire su remoto con il dispositivo infetto.

Le maggiori informazioni su questo trojan sono disponibili nell'articolo pubblicato sul sito Doctor Web.

Siti pericolosi

A dicembre 2015, 210.987 indirizzi Internet sono stati aggiunti al database dei siti malevoli e di quelli sconsigliati da Dr.Web.

Novembre 2015Dicembre 2015La dinamica
+670,545+210,987-68.53%

Siti sconsigliati

Programmi malevoli ed indesiderati per dispositivi mobili

A dicembre i malintenzionati continuavano a manifestare interesse verso i dispositivi mobili, perciò per i loro proprietari l'ultimo mese dell'anno è stato abbastanza affaticante. Così gli hacker distribuivano su larga scala diversi trojan bancari progettati per il furto del denaro dai conti delle vittime. Inoltre, gli analisti dei virus hanno rilevato tanti nuovi trojan progettati per l'invio degli SMS costosi. Infine, a dicembre è stato scoperto un successivo programma malevolo che infetta i dispositivi mobili sotto la gestione di iOS.

Gli eventi più notevoli relativi alla sicurezza "mobile" a dicembre

Per maggiori informazioni circa la situazione con i virus per i dispositivi mobili a dicembre, consultate il nostro resoconto specifico.

Scopri di più con Dr.Web

Statistiche di virus Biblioteca delle descrizioni Tutti i resoconti sui virus Laboratorio live

Sviluppatore russo degli antivirus Dr.Web

Esperienza di sviluppo dal 1992

Dr.Web viene utilizzato in 200+ paesi del mondo

L'antivirus viene fornito come un servizio dal 2007

Supporto ventiquattro ore su ventiquattro

© Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A