Doctor Web: resoconto sull'attività dei virus a dicembre 2015
24 dicembre 2015
Il primo mese d'inverno si dimostra, tradizionalmente, abbastanza tranquillo dal punto di vista delle minacce alla sicurezza informatica — nel periodo precedente a Capodanno e Natale i pirati informatici tendono a essere meno attivi. E il dicembre 2015 non è stato un'eccezione. All'inizio del mese è stata registrata la diffusione di un trojan per SO Linux, capace di scaricare e installare diversi programmi sui dispositivi infetti, nonché di un installer delle applicazioni indesiderate per OS X. Inoltre gli analisti dei virus Doctor Web hanno di nuovo registrato la diffusione del pericoloso trojan bancario per la piattaforma mobile Google Android che era stato scoperto all'inizio dell'anno e per il momento è stato rilevato su oltre 31.000 dispositivi mobili.
Le principali tendenze di dicembre
- Diffusione di un nuovo programma malevolo per Linux
- Comparsa di un installer delle applicazioni indesiderate per OS X
- Diffusione di un pericoloso trojan bancario per Android
La minaccia del mese
L'interesse dei malintenzionati verso il sistema operativo OS X aumenta gradualmente — ciò è dimostrato dalla continua crescita del numero di programmi malevoli progettati per questa piattaforma. La stragrande maggioranza delle minacce ai computer Apple sono al momento trojan pubblicitari e installer delle applicazioni indesiderate. Proprio a quest'ultima categoria appartiene il nuovo malware Adware.Mac.Tuguu.1rilevato dagli analisti dei virus Doctor Web a dicembre 2015. L'Adware.Mac.Tuguu.1 consente di installare di nascosto sul "mac" della potenziale vittima diverse applicazioni supplementari, di solito inutili e talvolta nocive.
L'installer si diffonde nella forma di vari software gratuiti per OS X. All'avvio Adware.Mac.Tuguu.1 legge i contenuti del file di configurazione ".payload" situato nella cartella da cui è stata avviata l'applicazione, determina l'indirizzo del server di gestione, lo modifica in un specifico modo e si connette al server per avere un elenco dei software addizionali da offrire all'utente. Sono cifrati tutti i dati che il programma malevolo scambia con il suo centro di comando. A giudicare dalla numerazione interna utilizzata dall'installer, in totale esistono 736 diverse applicazioni che Adware.Mac.Tuguu.1 cpuò installare sul "mac" compromesso. Prima di iniziare un'istallazione, Adware.Mac.Tuguu.1 controlla se i programmi da esso offerti sono compatibili uno con gli altri — così per esempio non installerà insieme le applicazioni MacKeeper e MacKeeper Grouped. Inoltre Adware.Mac.Tuguu.1 cerca di farsi certo che i software offerti non sono già installati nel sistema e prima di terminare il suo funzionamento controlla se l'installazione è andata a buon fine. Per avere maggior informazioni su quest'applicazione pericolosa, consultate questo articolo sul sito Doctor Web.
Secondo le informazioni dell'utility di cura dei virus Dr.Web CureIt!
Trojan.DownLoad3.35967
È un programma dalla famiglia dei trojan-downloader che scaricano da Internet e lanciano sul computer sotto attacco altri programmi malevoli.Trojan.Crossrider1.42770, Trojan.Crossrider1.50845
Campioni della famiglia dei trojan studiati per visualizzare diversi annunci non attendibili.Trojan.Siggen6.33552
Un programma malevolo studiato per installare altri software pericolosi.Trojan.Amonetize.10301
Un programma malevolo studiato per installare altre applicazioni indesiderate.
Secondo le informazioni dei server delle statistiche Doctor Web
Trojan.InstallCube
Una famiglia dei programmi-downloader che installano varie applicazioni inutili e indesiderate sul computer dell'utente.Trojan.Zadved
Sono delle estensioni studiate per sostituire furtivamente risultati dei motori di ricerca nella finestra del browser e per mostrare falsi messaggi pop-up dei social network. Inoltre, le loro funzioni dannose includono la possibilità di sostituire annunci visualizzati su vari siti.Trojan.DownLoad3.35967
È un programma dalla famiglia dei trojan-downloader che scaricano da Internet e lanciano sul computer sotto attacco altri programmi malevoli.Trojan.Siggen6.33552
Un programma malevolo studiato per installare altri software pericolosi.Trojan.LoadMoney
Una famiglia dei programmi-downloader che vengono generati dai server del partner program LoadMoney. Queste applicazioni scaricano ed installano diversi programmi indesiderati sul computer della vittima.
Le statistiche delle applicazioni malevole nel traffico di email
Trojan.PWS.Stealer
Una famiglia dei trojan studiati per rubare password ed altre informazioni confidenziali sul computer infetto.Trojan.Encoder.567
È un cryptolocker della famiglia dei programmi trojan-estorsori che criptano file sul computer e chiedono alla vittima un riscatto per la decriptazione. Può criptare file importanti, compresi i seguenti formati: .jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, .cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx.W97M.DownLoader
Una famiglia dei trojan-downloader che per il loro funzionamento si approfittano delle vulnerabilità nelle applicazioni di ufficio. Sono studiati per scaricare altre applicazioni dannose sul computer sotto attacco.Trojan.InstallCube
Una famiglia dei programmi-downloader che installano varie applicazioni inutili e indesiderate sul computer dell'utente.
Le botnet
Gli specialisti Doctor Web continuano a monitorare l'attività della botnet creata dai malfattori sulla base del pericoloso virus Win32.Rmnet.12. Alla fine del mese c'è stata una tendenza al calo dell'attività in entrambe le sottoreti di questa botnet, come testimoniano le seguenti grafici:
Rmnet è una famiglia dei virus di file che si diffondono senza la partecipazione dell'utente, possono incorporare contenuti estranei in pagine web visualizzate dall'utente (in linea teorica, questa funzione permette ai criminali informatici di accedere alle informazioni segrete dei conti bancari delle vittime), inoltre possono ricavare cookies e le password dei client FTP popolari ed eseguire comandi impartiti dai malfattori.
Continua a funzionare anche la botnet costituita dai computer infettati dal virus Win32.Sector. Questo programma malevolo ha le seguenti funzioni dannose:
- scarica file eseguibili da rete P2P e li esegue sulla macchina infetta;
- può incorporarsi in processi in esecuzione sul computer;
- ha la possibilità di terminare alcuni programmi antivirus e di ostacolare l'accesso ai siti dei loro sviluppatori;
- infetta oggetti di file su dischi locali e supporti rimovibili (dove durante l'infezione cui crea un file di esecuzione automatica autorun.inf) e anche infetta file conservati in cartelle condivise di rete.
La seguente figura è il grafico dell'attività media giornaliera di questa rete:
I cryptolocker (trojan-encoder)
I cryptolocker più diffusi a dicembre 2015:
Dr.Web Security Space 11.0 per Windows
protegge dai cryptolocker (trojan-encoder)
Queste funzioni non sono disponibili nella licenza "Antivirus Dr.Web per Windows".
| Prevenzione della perdita di dati | |
|---|---|
 |  |
Programmi malevoli per Linux
Cresce gradualmente il numero di programmi malevoli rivolti contro i sistemi operativi della famiglia Linux: così a dicembre 2015 gli analisti dei virus Doctor Web hanno scoperto il trojan Linux.Rekoobe.1 che è capace, su comando dei malintenzionati, di scaricare dal server di controllo e caricare su di esso vari file, nonché può interagire con la shell di Linux sul dispositivo infetto. Le prime versioni di Linux.Rekoobe.1 si concentravano sull'infezione dei dispositivi Linux con l'architettura SPARC, però più tardi gli autori dei virus hanno ovviamente deciso di modificare il trojan per renderlo compatibile con la piattaforma Intel. Gli specialisti Doctor Web sanno dei campioni di Linux.Rekoobe.1 per le versioni del SO Linux compatibili Intel sia a 32 bit che a 64 bit.
A determinate condizioni la comunicazione di questo trojan con il suo centro di comando passa attraverso un server proxy, inoltre, il, Linux.Rekoobe.1 possiede un ingegnoso sistema di verifica dei "pacchi" con le informazioni cifrate che ottiene dal server di controllo. Nonostante questo complesso meccanismo di lavoro, Linux.Rekoobe.1 è capace di eseguire solo tre comandi dei malintenzionati, cioè: può scaricare file dal server di gestione o caricare file su di esso, passare i comandi accettati alla shell di Linux e trasmettere l'output ottenuto sul server remoto, e grazie a questi comandi i criminali informatici hanno la possibilità di interagire su remoto con il dispositivo infetto.
Le maggiori informazioni su questo trojan sono disponibili nell'articolo pubblicato sul sito Doctor Web.
Siti pericolosi
A dicembre 2015, 210.987 indirizzi Internet sono stati aggiunti al database dei siti malevoli e di quelli sconsigliati da Dr.Web.
| Novembre 2015 | Dicembre 2015 | La dinamica |
|---|---|---|
| +670,545 | +210,987 | -68.53% |
Programmi malevoli ed indesiderati per dispositivi mobili
A dicembre i malintenzionati continuavano a manifestare interesse verso i dispositivi mobili, perciò per i loro proprietari l'ultimo mese dell'anno è stato abbastanza affaticante. Così gli hacker distribuivano su larga scala diversi trojan bancari progettati per il furto del denaro dai conti delle vittime. Inoltre, gli analisti dei virus hanno rilevato tanti nuovi trojan progettati per l'invio degli SMS costosi. Infine, a dicembre è stato scoperto un successivo programma malevolo che infetta i dispositivi mobili sotto la gestione di iOS.
Gli eventi più notevoli relativi alla sicurezza "mobile" a dicembre
- Diffusione dei pericolosi trojan bancari;
- Comparsa dei nuovi trojan che mandano SMS;
- Scoperta di un nuovo trojan per iOS.
Per maggiori informazioni circa la situazione con i virus per i dispositivi mobili a dicembre, consultate il nostro resoconto specifico.
Scopri di più con Dr.Web
Statistiche di virus Biblioteca delle descrizioni Tutti i resoconti sui virus Laboratorio live
[% END %]