29 febbraio 2016
A febbraio 2016 sono accaduti moltissimi eventi relativi alla sicurezza informatica. Così, all'inizio del mese gli specialisti Doctor Web hanno scoperto un pericoloso trojan Android capace di incorporarsi nei processi di sistema, mentre a seconda metà di febbraio sono stati trovati più programmi malevoli per SO Windows alla volta.
Le principali tendenze di febbraio
- La comparsa di un trojan Android capace di incorporarsi nei processi di sistema
- La diffusione di un trojan che inganna clienti di banche russe
- La comparsa di un programma malevolo Windows che non funziona in Russia, Ucraina, Bielorussia e Kazakhistan
La minaccia del mese
Dal punto di vista tecnico, possiamo segnalare la "novità" più interessante tra i programmi rilevati a febbraio un complesso di tre trojan Android, denominati Android.Loki.1.origin, Android.Loki.2.origin e Android.Loki.3. Questi programmi utilizzano nel loro funzionamento la libreria liblokih.so (Antivirus Dr.Web la rileva come Android.Loki.6) — un componente di Android.Loki.3 la incorpora nei processi di sistema, grazie a cui il modulo principale, ovvero Android.Loki.1.origin ottiene la possibilità di agire sul dispositivo infetto con i privilegi dell'utente "system".
In precedenza i trojan Android non potevano effettuare inject nei processi delle applicazioni di sistema, per cui possiamo notare che gli analisti dei virus Doctor Web hanno scoperto un programma con le funzioni davvero interessanti. Android.Loki.1.origin possiede una vasta gamma di funzioni, in particolare, può:
- installare e rimuovere applicazioni;
- attivare e disattivare applicazioni e componenti;
- terminare processi;
- visualizzare avvisi;
- registrare applicazioni come Accessibility Service (un servizio che monitora i tocchi dello schermo del dispositivo);
- aggiornare i propri componenti, nonché scaricare plugin su comando dal server di gestione.
Il trojan Android.Loki.2.origin, anche incluso nel sopracitato set dei programmi malevoli, è studiato per installare diverse applicazioni sul dispositivo compromesso agendo su comando dal server di gestione, nonché per mostrare annunci di pubblicità. Possiede inoltre un ampio set delle funzioni spione che consentono ai malintenzionati di raccogliere una cospicua quantità di informazioni sul dispositivo infetto. Potete leggere più nel dettaglio di questi trojan Android nel nostro relativo articolo panoramico.
Secondo le statistiche dell'utility di cura dei virus Dr.Web CureIt!
Trojan.DownLoad3.35967
È un programma dalla famiglia dei trojan-downloader che scaricano da Internet e lanciano sul computer sotto attacco altri programmi malevoli.Trojan.Zadved
Sono delle estensioni studiate per sostituire furtivamente risultati dei motori di ricerca nella finestra del browser e per mostrare falsi messaggi pop-up dei social network. Inoltre, le loro funzioni dannose includono la possibilità di sostituire annunci visualizzati su vari siti.Trojan.DownLoader
Una famiglia dei trojan che hanno l'obiettivo di scaricare altre applicazioni dannose sul computer sotto attacco.Trojan.Installmonster
Una famiglia dei programmi malevoli creati con utilizzo del partner program installmonster. Queste applicazioni installano diversi programmi indesiderati sul computer della vittima.Trojan.Crossrider1.50845
Un campione della famiglia dei trojan studiati per visualizzare diversi annunci non attendibili.
Secondo le informazioni dei server delle statistiche Doctor Web
Trojan.Zadved
Sono delle estensioni studiate per sostituire furtivamente risultati dei motori di ricerca nella finestra del browser e per mostrare falsi messaggi pop-up dei social network. Inoltre, le loro funzioni dannose includono la possibilità di sostituire annunci visualizzati su vari siti.Trojan.KillProc.35262
Un campione della famiglia dei programmi malevoli che possono terminare processi in esecuzione di altre applicazioni e inoltre attuare sul computer infetto altri obiettivi dei malintenzionati.Trojan.LoadMoney
Una famiglia dei programmi-downloader che vengono generati dai server del partner program LoadMoney. Queste applicazioni scaricano ed installano diversi programmi indesiderati sul computer della vittima.Trojan.DownLoad3.35967
È un programma dalla famiglia dei trojan-downloader che scaricano da Internet e lanciano sul computer sotto attacco altri programmi malevoli.Trojan.BPlug
Sono delle estensioni (plugin) per popolari browser che visualizzano fastidiosa pubblicità quando l'utente apre pagine web.
Le statistiche delle applicazioni malevole nel traffico di email
Trojan.PWS.Stealer
Una famiglia dei trojan studiati per rubare password ed altre informazioni confidenziali sul computer infetto.Trojan.Encoder.567
È un cryptolocker della famiglia dei programmi trojan-estorsori che criptano file sul computer e chiedono alla vittima un riscatto per la decriptazione. Può criptare file importanti, compresi i seguenti formati: .jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, .cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx.Trojan.Encoder.3714
È un cryptolocker della famiglia dei programmi trojan-estorsori che criptano file sul computer e chiedono alla vittima un riscatto per la decriptazione.
Cryptolocker
I cryptolocker più diffusi a febbraio 2016:
Va notato che quasi la metà delle richieste inviate a febbraio al servizio di supporto tecnico Doctor Web dagli utenti i cui file sono stati criptati proviene da paesi diversi da Russia.
Dr.Web Security Space 11.0 per Windows
protegge dai cryptolocker (trojan-encoder)
Queste funzioni non sono disponibili nella licenza "Antivirus Dr.Web per Windows".
| Prevenzione della perdita di dati | |
|---|---|
 |  |
Per maggiori informazioni Consultate la presentazione su configurazione
Altri programmi malevoli
I media hanno informato frequentemente dei trojan-banker della famiglia Trojan.Dyre: questi programmi maligni infastidiscono gli utenti da metà del 2014. I malintenzionati distribuivano varie versioni di Trojan.Dyre tramite partner program secondo il modello CaaS — crime-as-a-service (crimine come un servizio). I partecipanti al partner program ricevevano un specifico builder tramite cui generavano nuovi campioni del trojan. Inoltre, i malintenzionati fornivano ai loro partner un specifico pannello di amministrazione tramite cui i partecipanti potevano gestire bot. Potete leggere in un articolo pubblicato sul nostro sito di quello come gli specialisti Doctor Web combattono contro i creatori e i distributori di Trojan.Dyre.
A metà febbraio è stato scoperto il malware Trojan.Proxy2.102 che minacciava gli utenti di alcune grandi banche russe — il trojan consente ai malintenzionati di rubare denaro dai conti correnti. A tale scopo, il trojan installa nel sistema un certificato digitale radice e modifica le impostazioni di connessione Internet, trascrivendoci l'indirizzo di un server proxy appartenente ai malintenzionati.
Tramite il proxy, dei contenuti estranei vengono incorporati nelle pagine dei sistemi di home-banking aperte sul computer compromesso, e tali contenuti consentono ai malintenzionati di rubare denaro dai conti della vittima. Un articolo panoramico descrive Trojan.Proxy2.102in maggiori dettagli.
Alla fine di febbraio Doctor Web ha avvertito della comparsa del trojan-downloader BackDoor.Andromeda.1407, interessante perché non funziona sui computer su cui è impostato un layout di tastiera nazionale russo, ucraino, bielorusso o kazakho. Attualmente questo backdoor diffonde alcune pericolose applicazioni malevole.
Siti pericolosi
Nel corso di febbraio 2016, 453.623 indirizzi Internet sono stati aggiunti al database Dr.Web di siti sconsigliati e malevoli.
| Gennaio 2016 | Febbraio 2016 | La dinamica |
|---|---|---|
| + 625 588 | + 453 623 | - 27.5% |
Programmi malevoli ed indesiderati per dispositivi mobili
I trojan Android hanno provocato diversi incidenti informatici a febbraio scorso. Così, all'inizio del mese gli analisti dei virus Doctor Web hanno studiato un gruppo di applicazioni malevole multifunzione appartenenti alla famiglia Android.Loki, , che in particolare possono scaricare e installare diversi software, mostrare pubblicità e raccogliere informazioni confidenziali. Inoltre, a febbraio i malintenzionati distribuivano nuovamente i trojan-banker agli utenti di smartphone e tablet Android.
Gli eventi più notevoli relativi alla sicurezza "mobile" a febbraio:
- comparsi i trojan multifunzionali che si incorporano nei processi di sistema, possiedono ampie funzionalità;
- successivi casi di distribuzione dei trojan-banker.
Per maggiori informazioni circa le minacce ai dispositivi mobili a febbraio, consultate il nostro resoconto specifico.
<Scopri di più con Dr.Web
Statistiche di virus Biblioteca delle descrizioni Tutti i resoconti sui virus
