31 maggio 2016
L'ultimo mese di primavera del 2016 è stato contrassegnato dalla diffusione di un nuovo backdoor studiato per spiare gli utenti di Microsoft Windows e in primo luogo per rubare documenti dai computer compromessi. Non è calcata l'attività dei malintenzionati che creano programmi malevoli per la piattaforma mobile Android: a maggio gli analisti dei virus hanno registrato un rialzo di diffusione dei trojan bancari mobili. Inoltre, gli specialisti Doctor Web hanno analizzato un trojan che svolge sulla macchina infetta le funzioni di un server proxy.
Le principali tendenze di maggio
- Comparsa di un pericoloso trojan-spione per Windows
- Comparsa di un trojan che trasforma il computer infetto in un server proxy
- Diffusione di trojan-banker per SO Android
La minaccia del mese
I trojan-spyware rappresentano un grande pericolo in quanto sono in grado di rubare le informazioni confidenziali, di alto valore per gli utenti. Uno di tali programmi malevoli è il trojan BackDoor.Apper.1 analizzato dagli specialisti Doctor Web all'inizio del maggio scorso.
Questo backdoor viene diffuso tramite un dropper che è un documento Microsoft Excel in cui è incorporata una macro specifica. La macro raccoglie per byte ed esegue un archivio autoestraente. Nell'archivio è contenuto un file eseguibile che i malintenzionati hanno "preso in prestito" da un pacchetto di consegna di un popolare prodotto della società Symantec. Questo file ha una firma digitale Symantec valida e al momento dell'avvio carica nella memoria del computer una libreria dinamica in cui sono realizzate le principali funzioni malevole del trojan.
BackDoor.Apper.1 ha l'obiettivo principale di rubare vari documenti dal computer infetto, ma questo trojan può eseguire anche altri comandi dei malintenzionati. Le informazioni dettagliate su BackDoor.Apper.1 si possono trovare in un articolo pubblicato sul sito Doctor Web.
Secondo le statistiche dell'utility di cura dei virus Dr.Web CureIt!
Trojan.Zadved
Sono delle estensioni studiate per sostituire furtivamente risultati dei motori di ricerca nella finestra del browser e per mostrare falsi messaggi pop-up dei social network. Inoltre, le loro funzioni dannose includono la possibilità di sostituire annunci visualizzati su vari siti.Trojan.InstallCore.1903
Una versione dei programmi che installano applicazioni indesiderate e malevole.Trojan.MulDrop
Un programma dalla famiglia dei trojan che hanno l'obiettivo di scaricare altri programmi malevoli sul computer infetto.Trojan.StartPage
Una famiglia dei programmi malevoli che sono capaci di sostituire la pagina iniziale nelle impostazioni dei browser.
Secondo le informazioni dei server delle statistiche Doctor Web
Trojan.Zadved
Sono delle estensioni studiate per sostituire furtivamente risultati dei motori di ricerca nella finestra del browser e per mostrare falsi messaggi pop-up dei social network. Inoltre, le loro funzioni dannose includono la possibilità di sostituire annunci visualizzati su vari siti.Trojan.InstallCore.1903
Una versione dei programmi che installano applicazioni indesiderate e malevole.BackDoor.IRC.NgrBot.42
È un trojan molto diffuso, conosciuto dagli specialisti della sicurezza informatica a partire dal 2011. I programmi malevoli di questa famiglia sono in grado di eseguire sul computer infetto diversi comandi impartiti dai criminali informatici, e vengono gestiti attraverso il protocollo di messaggistica di testo IRC (Internet Relay Chat).Trojan.BPlug
Sono delle estensioni (plugin) per popolari browser che visualizzano fastidiosa pubblicità quando l'utente apre pagine web.Trojan.KillProc.41114
Un campione della famiglia dei programmi malevoli che possono terminare processi in esecuzione di altre applicazioni e inoltre attuare altre operazioni sul computer infetto.
Le statistiche delle applicazioni malevole nel traffico di email
JS.Downloader
Una famiglia degli script malevoli, scritti nel linguaggio JavaScript, pensati per il download e l'installazione di altri programmi malevoli sul computer.Trojan.Bayrob.57
Un trojan capace di rubare informazioni confidenziali ed eseguire sul computer infetto altre operazioni indesiderate per l'utente.Win32.HLLM.Graz
Un worm di mailing di massa, monitora il traffico su determinate porte e analizza i dati trasmessi per estrarne password; queste informazioni vengono utilizzate per l'ulteriore diffusione del worm.W97M.DownLoader
Una famiglia dei trojan-downloader che per il loro funzionamento si approfittano delle vulnerabilità nelle applicazioni di ufficio. Sono studiati per scaricare altre applicazioni dannose sul computer sotto attacco.
Cryptolocker
I cryptolocker più diffusi a maggio 2016:
Dr.Web Security Space 11.0 per Windows
protegge dai trojan-encoder
Queste funzioni sono mancanti nella licenza "Antivirus Dr.Web per Windows"
| Prevenzione della perdita di dati | |
|---|---|
 |  |
Per maggiori informazioni Guardate il video su configurazione
Siti pericolosi
A maggio 2016, 550.258 indirizzi Internet sono stati aggiunti al database dei siti malevoli e sconsigliati.
| Aprile 2016 | Maggio 2016 | La dinamica |
|---|---|---|
| + 749 173 | + 550 258 | -26.55% |
Altri eventi
TeamViewer è un popolare programma per l'amministrazione su remoto attraverso cui gli esperti di tecnologie informatiche e amministratori di sistema possono accedere a un sistema operativo via rete ed eseguire alcune operazioni – per esempio modificare le impostazioni o trasmettere file richiesti. Questa utility però talvolta viene utilizzata anche dai malintenzionati che modificano TeamViewer in modo che la sua icona non venga visualizzata nella barra delle applicazioni di Windows e quindi si connettono alla macchina attaccata senza la conoscenza dell'utente.
BackDoor.TeamViewer.49 anche sfrutta TeamViewer ai propri scopi, ma per un altro motivo: tramite l'utility il trojan carica nella memoria del computer una libreria in cui sono realizzate le sue principali funzioni malevole. Questo backdoor trasforma il PC infetto in un server proxy che reindirizza il traffico dal server di controllo su un nodo remoto indicato. Questo consente ai malintenzionati di mantenere l'anonimato in Internet, connettendosi ai computer remoti attraverso la macchina infetta che funge da un solito server proxy. Leggete l'articolo informativo pubblicato sul sito Doctor Web per sapere di più circa il modo di diffusione di BackDoor.TeamViewer.49 e le sue funzioni.
Programmi malevoli ed indesiderati per dispositivi mobili
I trojan-banker che infettano dispositivi mobili SO Android, come prima, rappresentano un grave rischio per gli utenti. Il maggio scorso tramite tali programmi malevoli i malintenzionati di nuovo hanno cercato di rubare denaro ai proprietari degli smartphone e dei tablet. Così, è continuata la diffusione del banker Android.SmsSpy.88.origin capace di attaccare clienti di istituti di credito in tutto il mondo. Inoltre, gli specialisti Doctor Web hanno rilevato un grande numero di siti fraudolenti attraverso cui gli hacker distribuiscono il trojan Android.BankBot.104.origin e altri banker Android.
Gli eventi più notevoli relativi alla sicurezza "mobile" a maggio:
- nuovi casi di diffusione del trojan bancario Android.SmsSpy.88.origin che attacca clienti di decine di banche in tutto il mondo;
- diffusione di trojan bancari attraverso siti web fraudolenti che offrono di scaricare software studiati per hackerare giochi e ottenere risorse di gioco infinite.
Per maggiori informazioni circa le minacce ai dispositivi mobili a maggio, consultate il nostro resoconto.
Scopri di più con Dr.Web
Statistiche di virus Biblioteca delle descrizioni Tutti i resoconti sui virus
