http://news.drweb.com/?i=3374&c=5&lng=ru&p=0 Doctor Web: rassegna delle attività di virus a febbraio 2013 12 marzo 2013



Documenti analoghi
Fonte:

Risultati dell esame degli oggetti scaricati da BackDoor.Flashback sui Mac infetti

Nuovi Trojan di banche, ulteriori truffe in reti sociali e altri eventi del gennaio 2012

F-Secure Mobile Security per Nokia E51, E71 ed E75. 1 Installazione ed attivazione Client 5.1 F-Secure

Rassegna delle attività di virus nel febbraio 2012: un exploit per Mac OS Х e un trojan che fa la spia all utente attraverso la web cam

Questo grafico mostra com è aumentato il numero di record per i programmi malevoli per SO Android nel database dei virus Dr.Web

Software Servizi Web UOGA

F-Secure Mobile Security per Windows Mobile 5.0 Installazione e attivazione dell F-Secure Client 5.1

Outlook Plugin per VTECRM

Sophos Computer Security Scan Guida di avvio

INSTALLAZIONE DEL NUOVO SERVIZIO VPN VIRTUAL PRIVATE NETWORK (sistemi Windows e Android)

Individuare Web Shell nocive con PHP Shell

LA GESTIONE DELLE VISITE CLIENTI VIA WEB

COME CREARE E COLLEGARSI AD UN DATABASE MICROSOFT SQL SERVER O SUN MYSQL

Manuale LiveBox WEB ADMIN.

Domande e risposte su Avira ProActiv Community

IBM SPSS Statistics per Windows - Istruzioni di installazione (Licenza per sito)

Wordpress. Acquistare un sito web. Colleghiamoci con il sito

Manuale LiveBox WEB ADMIN.

Il tuo manuale d'uso. SONY ERICSSON K530I

Guida all'impostazione dei messaggi di avviso e delle destinazioni di scansione per le stampanti X500 Series

Rassegna delle attività di virus a marzo 2012: spam politico insieme a nuove minacce per Mac OS X e Android

ANALISI FORENSE. irecovery_analisi_forence.indd 1 21/01/14 17:48

Corso basi di dati Installazione e gestione di PWS

Studio Legale. Guida operativa

Per cosa posso utilizzarlo?

E-banking come impostare l accesso

TeamPortal. Servizi integrati con ambienti Gestionali

Il tuo manuale d'uso. LEXMARK X502N

2.1 Installazione e configurazione LMS [4]

Installazione di GFI Network Server Monitor

Titolare del trattamento dei dati innanzi descritto è tsnpalombara.it

Il tuo manuale d'uso. SONY ERICSSON Z550I

Sophos Mobile Control Guida utenti per Windows Mobile. Versione prodotto: 3.6

Gui Gu d i a d ra r p a i p d i a V d o a d f a one Int fone In e t r e net rnet Box Key Mini

Il tuo manuale d'uso. F-SECURE MOBILE SECURITY 6 FOR ANDROID

Documentazione. Divisione Sicurezza Dati

COOKIES COSA SONO I COOKIES? COME UTILIZZIAMO I COOKIES?

Guida rapida Vodafone Internet Box

Application Server per sviluppare applicazioni Java Enterprise

Modulo 7 Reti informatiche

FidelJob gestione Card di fidelizzazione

2.1 Configurare il Firewall di Windows

MagiCum S.r.l. Progetto Inno-School

Impostare il browser per navigare in sicurezza Opzioni di protezione

1 Introduzione Installazione Configurazione di Outlook Impostazioni manuali del server... 10

ROBERTOBIAGIOTTI.COM - COOKIE POLICY

2.5. L'indirizzo IP identifica il computer di origine, il numero di porta invece identifica il processo di origine.

IBM SPSS Statistics per Linux - Istruzioni di installazione (Licenza per sito)

Utilizzo della APP IrriframeVoice. Versione 1.0 maggio 2015

INFORMATIVA SUI COOKIE

Guida alla stampa e alla scansione per dispositivi mobili per Brother iprint&scan (Android )

19. LA PROGRAMMAZIONE LATO SERVER

IBM SPSS Statistics per Windows - Istruzioni di installazione (Licenza per utenti singoli)

TERMINALE. Creazione e gestione di una postazione terminale di Eureka

Manuale d'uso del Connection Manager

Panoramica del software

Guida al servizio wireless dell'univda

Guida alla configurazione della posta elettronica dell Ateneo di Ferrara sui più comuni programmi di posta

Quick Guide imagic. ATTENZIONE Prima di collegare l alimentazione inserire la SD CARD che si trova dentro alla scatola (vedi istruzioni all interno)

E-Post Office Manuale utente

Airone Gestione Rifiuti Funzioni di Esportazione e Importazione

MyFRITZ!, Dynamic DNS e Accesso Remoto

Internet gratuita in Biblioteca e nei dintorni

11/02/2015 MANUALE DI INSTALLAZIONE DELL APPLICAZIONE DESKTOP TELEMATICO VERSIONE 1.0

Manuale NetSupport v Liceo G. Cotta Marco Bolzon

Che cos'è un modulo? pulsanti di opzione caselle di controllo caselle di riepilogo

Manuale per l utilizzo dell applicazione Client per il controllo remoto di apparecchiature da laboratorio

FileMaker Pro 13. Utilizzo di una Connessione Desktop Remota con FileMaker Pro13

Guida di Pro PC Secure

Sophos Mobile Control Guida utenti per Android. Versione prodotto: 3.5

Dynamic DNS e Accesso Remoto

Il Web Server e il protocollo HTTP

Il Sito web usa i cookie per raccogliere informazioni utili a

Manuale di Aggiornamento BOLLETTINO. Rel H2. DATALOG Soluzioni Integrate a 32 Bit

Sophos Mobile Control Guida utenti per Windows Phone 8. Versione prodotto: 3.5

Guida per l utente di PrintMe Mobile 3.0

Area Cliente Guida di avvio

PROTOCOLLO INFORMATICO

WBS-01 Guida rapida alla configurazione

POLICY COOKIE Gentile visitatore,

Configurazione del Sistema Operativo Microsoft Windows XP per accedere alla rete Wireless dedicata agli Ospiti LUSPIO

GUIDA UTENTE PRIMA NOTA SEMPLICE

Guida di utilizzo GOOGLE SHOPPING

monitoraggio dei locomotori via Internet

DINAMIC: gestione assistenza tecnica

MODALITA D USO DELLA MASCHERA D INSERIMENTO CARTA DI PREVENZIONE IMA in ACCESS. Indice. Introduzione Installazione Modalità d uso...

ISTRUZIONI OPERATIVE AGGIORNAMENTO DEL 18/04/2013

IBM SPSS Statistics per Windows - Istruzioni di installazione (Licenza per utenti singoli)

Manuale Helpdesk Ecube

Marzo Funzionamento di Eye-Fi Diagrammi di flusso introduttivi

LA SICUREZZA INFORMATICA SU INTERNET NOZIONI DI BASE SU INTERNET

Manuale LiveBox APPLICAZIONE ANDROID.

1 Utilizzo di GFI MailEssentials

Faber System è certificata WAM School

Regione Piemonte Portale Rilevazioni Crediti EELL Manuale Utente

Gestione dell account AdWords di Google Guida pratica

. A primi passi con microsoft a.ccepss SommarIo: i S 1. aprire e chiudere microsoft access Start (o avvio) l i b tutti i pro- grammi

Versione 1.1. ultima revisione febbraio Ital Soft Software Production s.r.l. ITALSOFT.

Eventuali applicazioni future

Transcript:

http://news.drweb.com/?i=3374&c=5&lng=ru&p=0 Doctor Web: rassegna delle attività di virus a febbraio 2013 12 marzo 2013 A febbraio 2013, gli incidenti informatici più noti sono stati la diffusione su vasta scala dei trojan Hosts e la violazione di molteplici siti web finalizzata alla propagazione di malware. Inoltre a febbraio è stato scoperto un cavallo di troia che attaccava server Linux. Situazione virale Secondo le informazioni statistiche raccolte dall utility Dr.Web CureIt!, la minaccia più diffusa a febbraio è stata Trojan.Mayachok, la cui versione Trojan.Mayachok.18566 guida la classifica. L altro tipo di malware largamente presente è categorizzato da Dr.Web come Trojan.SMSSend, in particolare Trojan.SMSSend.2363. Sono trojan che inviano SMS a numeri premium (a pagamento). Le minacce del tipo SMSSend imitano un programma di installazione e chiedono di installare qualche applicazione per cui l utente deve pagare inviando un messaggio di testo dal suo cellulare. All insaputa dell utente, il programma lo abbona ad un servizio per cui viene riscosso un pagamento periodico. L archivio che l utente ottiene dopo l invio dell SMS di solito non include l applicazione desiderata, e potrebbe contenere anche altro malware pericoloso. Inoltre, le statistiche raccolte dalla nostra utility segnalano una grande diffusione dei cavalli di troia BackDoor.IRC.NgrBot.42, Trojan.Click2.47013 e Win32.HLLP.Neshta. I dati della tabella sottostante rappresentano le venti minacce rilevate più spesso dall utility Dr.Web CureIt! a febbraio 2013: Minaccia % Trojan.MayachokMEM.4 2,00 Trojan.SMSSend.2363 1,38 Trojan.Mayachok.18566 1,20 BackDoor.IRC.NgrBot.42 1,14 Trojan.Click2.47013 0,79 Win32.HLLP.Neshta 0,78 Trojan.StartPage.48148 0,77 Trojan.Fraudster.245 0,73 Trojan.Hosts.5268 0,70 Win32.HLLW.Phorpiex.54 0,69 Win32.Sector.22 0,65

Trojan.Mayachok.18579 0,61 Trojan.Hosts.6814 0,59 Trojan.Hosts.6815 0,59 Trojan.Hosts.6838 0,55 BackDoor.Butirat.245 0,54 Trojan.Hosts.6809 0,52 Win32.HLLW.Gavir.ini 0,51 Exploit.CVE2012-1723.13 0,51 Trojan.Mayachok.18397 0,47 La minaccia del mese: Linux.Sshdkit La minaccia più rilevante trovata a febbraio dagli analisti di Doctor Web è il trojan Linux.Sshdkit volto all infezione dei server Linux. Il trojan è una libreria dinamica le cui versioni possono funzionare nelle distribuzioni Linux a 32 bit e a 64 bit. Una volta penetrato nel sistema, il cavallo di troia si incorpora nel processo sshd intercettando le funzioni di autenticazione. Dopo che una sessione è stata iniziata e l utente ha inserito il login e la password, il trojan invia le credenziali al server remoto dei malintenzionati. L indirizzo IP del centro di controllo è codificato nel corpo del programma, però un indirizzo del server di comando si genera daccapo ogni due giorni. Per generare indirizzi, Linux.Sshdkit usa un algoritmo molto speciale. Linux.Sshdkit genera due nomi DNS secondo un algoritmo e se entrambi questi nomi si riferiscono allo stesso indirizzo IP, questo si converte in un altro indirizzo IP al quale il trojan trasmette le informazioni rubate. La figura sottostante spiega l algoritmo di generazione indirizzi applicato dal trojan:

Numero 1 Numero 2 Algoritmo 1 Algoritmo 1 Algoritmo 2 Il team di Doctor Web ha intercettato alcuni server di controllo di Linux.Sshdkit. Secondi i dati dell inizio marzo, 476 server Linux infetti si sono collegati ai server remoti adesso controllati dagli specialisti di Doctor Web. Molti dei server Linux compromessi sono provider di hosting e quindi supportano un grande numero di siti web a cui i malintenzionati hanno potuto accedere. Analizzando la posizione geografica dei server compromessi, possiamo dire che 132 di essi si trovano negli Stati Uniti, 37 in Ucraina e 29 nei Paesi Bassi. La tabella sottostante riporta i dati di Linux.Sshdkit per paese: Paese Quantità di server compromessi % Stati Uniti di America 132 27,7 Ucraina 37 7,8 Paesi Bassi 29 6,1

Thailandia 23 4,8 Turchia 22 4,6 Germania 19 4,0 India 19 4,0 Regno Unito 17 3,6 Italia 17 3,6 Francia 15 3,2 Indonesia 12 2,5 Australia 10 2,1 Russia 10 2,1 Canada 10 2,1 Argentina 10 2,1 Brasile 10 2,1 Corea del Sud 7 1,5 Vietnam 7 1,5 Cile 6 1,3 Spagna 6 1,3 Cina 5 1,1 Romania 5 1,1 Messico 5 1,1 Africa meridionale 4 0,8 Altri paesi 39 7,9 Le informazioni più dettagliate riguardanti questo malware sono disponibili in questa notizia di Doctor Web.

Propagazione di Trojan.Hosts e violazione di siti web A fine febbraio inizio marzo 2013 abbiamo osservato moltissimi casi di attacco eseguito contro siti web allo scopo di propagare malware. Utilizzando le credenziali di accesso a diverse risorse di rete tramite il protocollo FTP, i malintenzionati sostituivano il file.htaccess e incorporavano nei siti uno script di gestione. Di conseguenza, i visitatori di tali siti correvano il rischio di scaricare programmi malevoli sotto forma di applicazioni o informazioni. In particolare, il computer poteva essere infettato dai cavalli di troia dalla famiglia Trojan.Hosts. Questi trojan modificano un file sul computer (%systemroot%/system32/drivers/hosts), e in seguito a tale modifica, il browser si reindirizza automaticamente verso una pagina web creata dai pirati informatici. La figura sotto dimostra una pagina fraudolenta che offre di scaricare un libro di testo, invece del quale si scaricano Trojan.Hosts e altri cavalli di troia. Minacce per Android A febbraio 2013 sono state scoperte tante minacce per la piattaforma Android. In particolare, le firme antivirali di Dr.Web sono state completate con il trojan Android.Claco.1.origin che si propagava su Google Play sotto forma di un utility finalizzata all aumento delle prestazioni del sistema operativo. Una volta avviato sul dispositivo mobile, il trojan può eseguire le azioni malevole, quali: inviare SMS secondo un comando impartito dai malintenzionati, aprire qualsiasi URL nel browser, caricare su un server remoto le informazioni personali dell utente (file sulla scheda di memoria, SMS, foto e contenuti della rubrica). Oltre a tutto, questo malware può trasmettere programmi malevoli verso computer Windows, il che avviene nel seguente modo. Il trojan scarica programmi malevoli dal server remoto e li memorizza sulla scheda di memoria del cellulare. Tra questi oggetti, si trovano un eseguibile e il file autorun.inf che lancia automaticamente il programma malevolo corrispondente ad esso se la scheda di memoria infetta si collega a una postazione Windows. Tuttavia va notato che la funzione di esecuzione automatica è disattivata di default nei sistemi operativi Windows cominciando dalla versione Windows Vista, perciò per molti utenti di Windows il trojan Android.Claco.1.origin non rappresentava alcuna minaccia. Un altra minaccia di febbraio è stata Android.Damon.1.origin. I malintenzionati la propagavano su siti web cinesi in applicazioni modificate. Questo malware è in grado di spedire

SMS secondo un comando ricevuto dal server di controllo, fare chiamate, aprire qualsiasi URL, caricare a un server remoto le informazioni personali del proprietario del telefonino (quali le informazioni dei contatti dalla rubrica, il registro chiamate, la posizione geografica dell utente), e anche altre funzioni. I database antivirali di Dr.Web sono state completate anche con i record che definiscono nuove versioni dei trojan Android.SmsSend. Altre minacce a febbraio All inizio di febbraio, abbiamo registrato i casi di propagazione di malware tramite un applicazione su Facebook. Questo incidente è descritto in un articolo pubblicato sul sito news.drweb.com. File malevoli, rilevati a febbraio nel traffico e-mail 01.02.2013 00:00-28.02.2013 11:00 1 BackDoor.Andromeda.22 1.18% 2 JS.Redirector.185 1.12% 3 Win32.HLLM.MyDoom.54464 0.53% 4 Win32.HLLM.MyDoom.33808 0.39% 5 Trojan.Necurs.97 0.39% 6 Trojan.PWS.Panda.786 0.39% 7 Trojan.DownLoad3.20933 0.39% 8 Trojan.PWS.Stealer.1932 0.39% 9 Trojan.Oficla.zip 0.37% 10 Tool.PassView.525 0.33% 11 Trojan.Packed.2820 0.31% 12 SCRIPT.Virus 0.29% 13 Trojan.PWS.Panda.655 0.29% 14 BackDoor.Tordev.8 0.29% 15 Win32.HLLM.Beagle 0.27% 16 Trojan.Packed.196 0.27% 17 Trojan.PWS.Stealer.2155 0.26% 18 BackDoor.Andromeda.150 0.26% 19 Trojan.KeyLogger.16674 0.24% 20 Win32.HLLM.Graz 0.24% File malevoli, rilevati a febbraio sui computer degli utenti

01.02.2013 00:00-28.02.2013 11:00 1 Trojan.Fraudster.245 0.77% 2 SCRIPT.Virus 0.70% 3 Tool.Unwanted.JS.SMSFraud.26 0.63% 4 Adware.Downware.915 0.61% 5 JS.IFrame.387 0.52% 6 Adware.Downware.179 0.49% 7 Tool.Unwanted.JS.SMSFraud.10 0.42% 8 Trojan.Fraudster.394 0.36% 9 Adware.Webalta.11 0.36% 10 Tool.Skymonk.11 0.33% 11 Trojan.Fraudster.407 0.32% 12 Win32.HLLW.Shadow 0.31% 13 Tool.Skymonk.12 0.30% 14 JS.Redirector.175 0.30% 15 Adware.Downware.910 0.29% 16 Adware.InstallCore.53 0.29% 17 Win32.HLLW.Autoruner1.33556 0.29% 18 Adware.Downware.774 0.29% 19 Win32.HLLW.Autoruner.59834 0.29% 20 JS.Redirector.179 0.27%

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back