Nuovi Trojan di banche, ulteriori truffe in reti sociali e altri eventi del gennaio 2012



Documenti analoghi
Doctor Web: rassegna delle attività di virus a febbraio marzo 2013

Risultati dell esame degli oggetti scaricati da BackDoor.Flashback sui Mac infetti

Rassegna delle attività di virus nel febbraio 2012: un exploit per Mac OS Х e un trojan che fa la spia all utente attraverso la web cam

Identità e autenticazione

F-Secure Mobile Security per Nokia E51, E71 ed E75. 1 Installazione ed attivazione Client 5.1 F-Secure

Fonte:

SPSS Statistics per Windows - Istruzioni di installazione per (Licenza per utenti singoli)

Istruzioni per l installazione del software per gli esami ICoNExam (Aggiornate al 15/01/2014)

CAPITOLO VI. Internet Termini più usati Apparecchiature necessarie Software necessari Avviare Internet explorer Avviare Outlook Express

SICUREZZA INFORMATICA MINACCE

2.1 Configurare il Firewall di Windows

1. Il Client Skype for Business

MANUALE PARCELLA FACILE PLUS INDICE

Internet Explorer 7. Gestione cookie

Studio Legale. Guida operativa

Software Servizi Web UOGA

e quindi di navigare in rete. line può essere limitato a due persone o coinvolgere un ampio numero

INDICE. IL CENTRO ATTIVITÀ... 3 I MODULI... 6 IL MY CLOUD ANASTASIS... 8 Il menu IMPORTA... 8 I COMANDI DEL DOCUMENTO...

LA SICUREZZA INFORMATICA SU INTERNET NOZIONI DI BASE SU INTERNET

IBM SPSS Statistics per Windows - Istruzioni di installazione (Licenza per sito)

PORTALE CLIENTI Manuale utente

Installazione di GFI WebMonitor

IBM SPSS Statistics per Windows - Istruzioni di installazione (Licenza per utenti singoli)

ESERCITAZIONE Semplice creazione di un sito Internet

Usare la webmail Microsoft Hotmail

Internet e posta elettronica. A cura di Massimiliano Buschi

Aggiornamenti Sistema Addendum per l utente

Premessa Le indicazioni seguenti sono parzialmente tratte da Wikipedia ( e da un tutorial di Pierlauro Sciarelli su comefare.

Guida all Utilizzo dell Applicazione Centralino

Direzione Centrale per le Politiche dell Immigrazione e dell Asilo

MANUALE MOODLE STUDENTI. Accesso al Materiale Didattico

MANUALE D'USO DEL PROGRAMMA IMMOBIPHONE

Installazione del software Fiery per Windows e Macintosh

Consiglio regionale della Toscana. Regole per il corretto funzionamento della posta elettronica

CAPITOLO 1 PREREQUISITI DI INSTALLAZIONE SOFTWARE RICAMBI CAPITOLO 2 PROCEDURA

Domande e risposte su Avira ProActiv Community

IBM SPSS Statistics per Mac OS - Istruzioni di installazione (Licenza per sito)

A cura del Prof. Pasquale Vastola. Iscrizione alla piattaforma virtuale MOODLE FASE 1. 1) Accedere al seguente indirizzo internet :

ACQUISTI MASSIVI SU SCUOLABOOK

Modulo 7 Reti informatiche

Manuale NetSupport v Liceo G. Cotta Marco Bolzon

Guida di Pro PC Secure

Guida ai requisiti di accesso e alla modalità operativa del sistema E.Civis ASP

Tipologie e metodi di attacco

Introduzione a Internet e cenni di sicurezza. Dott. Paolo Righetto 1

Guida di Pro Spam Remove

Titolare del trattamento dei dati innanzi descritto è tsnpalombara.it

Proteggiamo il PC con il Firewall di Windows Vista

BMSO1001. Virtual Configurator. Istruzioni d uso 02/10-01 PC

Sophos Computer Security Scan Guida di avvio

Il sofware è inoltre completato da una funzione di calendario che consente di impostare in modo semplice ed intuitivo i vari appuntamenti.

Guida Microsoft Outlook Express, Creare e configurare l'account su dominio PEC generico

Con accesso remoto s'intende la possibilità di accedere ad uno o più Personal Computer con un modem ed una linea telefonica.

F-Secure Mobile Security per Windows Mobile 5.0 Installazione e attivazione dell F-Secure Client 5.1

Mac Application Manager 1.3 (SOLO PER TIGER)

Configurazione account di posta elettronica certificata per Microsoft Outlook Express

IBM SPSS Statistics per Windows - Istruzioni di installazione (Licenza per utenti singoli)

Inoltro telematico delle pratiche SUAP

Sicurezza e Rischi. Mi è arrivata una mail con oggetto: ATTENZIONE!!! chiusura sistematica del tuo conto VIRGILIO. Come proteggersi dallo Spam

Per effettuare la registrazione al sito bisogna cliccare sul link registrati in alto a destra del sito (Vedi Fig.1).

ATOLLO BACKUP GUIDA INSTALLAZIONE E CONFIGURAZIONE

La VPN con il FRITZ!Box Parte II. La VPN con il FRITZ!Box Parte II

Il seguente Syllabus è relativo al Modulo 7, Reti informatiche, e fornisce i fondamenti per il test di tipo pratico relativo a questo modulo

1.1 Installare un nuovo Client di Concept ed eseguire il primo avvio

Manuale Operativo Adesione Attività. Promozionali FIPAV

Installazione di TeamLab su un server locale

Gestione delle informazioni necessarie all attività di validazione degli studi di settore. Trasmissione degli esempi da valutare.

Il tuo manuale d'uso. F-SECURE MOBILE SECURITY 6 FOR ANDROID

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

MANUALE PORTALE UTENTE IMPRENDITORE

Guida all'installazione (Italiano) Primi passi

Benvenuti! Novità di PaperPort 10

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

U N I V E R S I T À D E G L I S T U D I D I S A L E R N O

PROGETTO PER LA TRASMISSIONE DOCUMENTI RELATIVI ALL APPROVAZIONE DELLE MANIFESTAZIONI IN FORMA DIGITALE

Proteggi gli account personali

REOL-Services Quick Reference Ver. 1.1 Tecno Press Srl. 1

Dr.WEB ENTERPRISE. La soluzione per la protezione delle reti

Sophos Mobile Control Guida utenti per Windows Mobile. Versione prodotto: 3.6

File, Modifica, Visualizza, Strumenti, Messaggio

DINAMIC: gestione assistenza tecnica

Guida Microsoft Outlook Express, Creare e configurare l'account su proprio dominio PEC

filrbox Guida all uso dell interfaccia WEB Pag. 1 di 44

Infrastruttura wireless d Ateneo (UNITUS-WiFi)

Avvio di Internet ed esplorazione di pagine Web.

Guida alla configurazione della posta elettronica dell Ateneo di Ferrara sui più comuni programmi di posta

Che cosa è un VIRUS?

Guida all Utilizzo del Posto Operatore su PC

1) GESTIONE DELLE POSTAZIONI REMOTE

Come funziona il WWW. Architettura client-server. Web: client-server. Il protocollo

Guida informatica per l associazione #IDEA

Il nuovo browser italiano dedicato alla navigazione e comunicazione sicura in internet per bambini

Guida alla registrazione on-line di un DataLogger

Sicurezza. informatica. Peschiera Digitale Sicurezza

Installazione di GFI Network Server Monitor

Domande frequenti su Phoenix FailSafe

Con.Te Gestione Console Telematici

Fattura Facile. In questo menù sono raggruppati, per tipologia, tutti i comandi che permettono di gestire la manutenzione degli archivi.

Alfa Layer S.r.l. Via Caboto, Torino ALFA PORTAL

Come rimuovere un Malware dal vostro sito web o blog Che cos è un Malware

Transcript:

Nuovi Trojan di banche, ulteriori truffe in reti sociali e altri eventi del gennaio 2012 il 1 febbraio 2012 L inizio dell anno bisestile non ha fatto brutte sorprese dal punto di vista della sicurezza informatica, però al laboratorio antivirale di Doctor Web nel gennaio del 2012 sono pervenuti alcuni campioni interessanti di programmi maligni, in particolare, qualche nuovo trojan di banche. Oltre a ciò, è stato scoperto un nuovo modo di diffusione dei collegamenti malevoli tra gli utenti dei motori di ricerca, nonché un altra truffa ideata per gli frequentatori della rete sociale V Kontakte. Minacce di virus in gennaio Tra i malware rilevati a gennaio sui computer degli utenti mediante l utilità di disinfezione Dr.Web CureIt!, il capoclassifica è l infezione di file Win32.Expiro.23 (19,23% casi rilevati). All avvio questo virus cerca di aumentare i suoi privilegi nel sistema, trova servizi in corso e infetta i file eseguibili che corrispondono ad essi. Poco meno diffuso è Win32.Rmnet.8 (8,86% casi rilevati) questo virus si infiltra sul computer dai supporti di memoria flash infettati oppure con l avvio di file eseguibili infetti e dispone della capacità di auto-riproduzione cioè può copiare sé stesso senza l intervento dell utente. Il codice dannoso infetta i file con l estensione.exe,.dll,.scr,.html,.htm, e in alcuni casi anche.doc e.xls, ed è in grado di creare sui supporti rimovibili il file autorun.inf. Immediatamente dopo il suo avvio Win32.Rmnet modifica il settore di avvio principale, registra il servizio di sistema Microsoft Windows Service (questo servizio può fungere da rootkit nel sistema operativo), cerca di eliminare il servizio RapportMgmtService, incorporando nel sistema alcuni moduli maligni che si manifestano nel Gestore di attività di Windows come quattro righe con il titolo iexplore.exe. Il virus di file Win32.Rmnet ruba password dei client ftp popolari, quali Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla e Bullet Proof FTP. Queste informazioni in seguito possono essere usate dai malintenzionati per organizzare attacchi di rete o per mettere sui server remoti diversi oggetti malevoli. Anche i cavalli di troia Trojan.WMALoader e Trojan.Inor si trovano spesso sui computer infettati degli utenti russi. Affari di finanza All inizio del gennaio ai professionisti della società Doctor Web è pervenuta una versione successiva di Trojan.PWS.Ibank che corrisponde alle tendenze attuali dell uso di servizi bancari via Internet. Questo malware consente ai malintenzionati di ricevere credenziali di accesso, chiavi e informazioni sulla configurazione di molti sistemi di banca online. Questa versione del trojan si distingue perché comprende una realizzazione di server VNC. Il codice del server supporta il protocollo di comunicazione con il server dedicato Zeus (Trojan.PWS.Panda), tramite il quale si effettua la sessione di gestione remota. Un altra particolarità importante di questo trojan è la presenza del modulo destinato a rintracciare ed intercettare le informazioni del software specializzato che è usato da uno delle istituzioni finanziarie statali della Russia. Questo trojan dispone di un architettura assai complessa e consente non solo di trasmettere ai malintenzionati i dati intercettati, ma anche di eseguire sulla macchina infettata diversi comandi impartiti dal server remoto, compreso il comando annientare il sistema operativo. La società Doctor Web ha inviato tempestivamente alla polizia le informazioni dettagliate sulla struttura e sul principio di operazione di questo programma malevole.

Nello stesso tempo sono stati registrati casi di propagazione di un altro malware, mediante il quale i malintenzionati volevano organizzare un assalto di phishing ai clienti di una banca russa. Quando si è infiltrato sul computer della vittima, Trojan.Hosts.5590 crea un processo nuovo explorer.exe e ci mette il suo codice, e poi si iscrive nella cartella di autoavvio con il nome Eldesoft.exe. Se per accedere al sito della banca viene utilizzato il browser Microsoft Internet Explorer, il cavallo di troia attiva la funzione standard crypt32.dll per installare il certificato contraffatto. Aggiungendo il certificato al magazzino di certificati, il sistema operativo di solito visualizza un avviso relativo, ma il cavallo di troia intercetta e nasconde dall utente la finestra dell avviso.

Se per l accesso al sito della banca si usa un altro browser, il cavallo di troia applica funzioni della libreria standard nss3.dll per installare il certificato contraffatto. Dopo essersi connesso al centro di comando remoto, Trojan.Hosts.5590 ne riceve un file di configurazione che contiene l indirizzo IP del server di phishing e i nomi dei domini che il troiano deve sostituire con i siti fraudolenti. In seguito, quando l utente vorrà accedere al sito di banca online mediante il protocollo HTTPS, gli verrà dimostrata una pagina web contraffatta, mentre i credenziali da lui immessi nel modulo di autorizzazione verranno consegnati ai malintenzionati. Grazie alle azioni tempestive e corrette del reparto sicurezza della banca e agli sforzi dei professionisti di Doctor Web, questo malware adesso non rappresenta nessuna minaccia seria per gli utenti. Trojan.Winlock in decrescenza Nel gennaio del 2012 è diminuito del 25% il numero di richieste inviate al supporto tecnico dagli utenti i cui computer sono stati bloccati dai programmi - bloccatori di Windows. Questo è così non solo perche la quantità dei programmi-ricattatori si è ridotto, ma anche perché è stato lanciato il nuovo portale https://www.drweb.com/xperf/unlocker che consente di trovare il codice giusto per sbloccare il computer infettato dal cavallo di troia appartenente alla famiglia Trojan.Winlock. Adesso le visite giornaliere su questo portale sono da tredici- a quindicimila. Tuttavia fra i programmi-ricattatori sono tali che non hanno un codice per sboccare il sistema operativo. Un cavallo di troia di questo tipo è Trojan.Winlock.5490, orientato agli utenti francesi. Questo malware si avvia solamente sui computer personali con la localizzazione francese del sistema operativo. Nel Trojan sono incorporate le funzioni di anti-aggiustamento: nel corso del caricamento il programma verifica se il suo processo sia stato avviato all interno delle macchine virtuali VirtualBox, QEmu, VMWare ecc., e se scoperta la presenza di una macchina virtuale, il programma cessa di funzionare.

Una volta penetrato nel computer della vittima, Trojan.Winlock.5490 avvia il processo svchost.exe e ci incorpora il proprio codice, dopo di che impartisce il comando di nascondere la Barra delle applicazioni di Windows e interrompe tutti i flussi dei processi explorer.exe e taskmgr.exe. Poi il cavallo di troia si inserisce nel ramo del registro di sistema responsabile dell autoavvio delle applicazioni e visualizza sullo schermo una finestra con un testo in lingua francese che pretende che l utente paghi 100 euro tramite le carte di pagamento dei sistemi di pagamento Paysafecard o Ukash. Il numero della carta di pagamento immesso dalla vittima viene spedito sul server remoto dei malintenzionati, e come risposta il Trojan mostra un messaggio che dice: Aspetti per favore! Il Suo pagamento sarà elaborato entro 24 ore. Questo troiano non ha alcune funzioni di sblocco del sistema operativo tramite un codice, ma esso rimuove sé stesso automaticamente una settimana dopo l installazione. Malintenzionati di nuovo mirano agli utenti di V Kontakte Questa volta i malintenzionati hanno mostrato interesse nei proprietari dei telefonini con supporto di Java, che usano la rete sociale V Kontakte. Dopo le feste del capodanno, sono diventati più frequenti i casi di ampia diffusione dello spam nei client di messaggistica istantanea con protocollo ICQ. I truffatori offrono agli utenti di scaricare un applicativo per telefonino che sarebbe un client per la rete sociale V Kontakte. Nei messaggi dello spam si dice che tramite questo programma sia possibile sfruttare le funzionalità della rete sociale con maggiore comodità.

Il programma è un file nel formato.jar che si può avviare su pressoché qualsiasi dispositivo mobile con supporto di Java. Come si poteva aspettare, nel corso di installazione l applicativo invia un SMS ad uno dei numeri a pagamento e chiede all utente di inserire il codice ricevuto con l SMS di risposta nel modulo apposito locato sul sito dei malintenzionati. In questo modo, l utente accetta di abbonarsi a un certo servizio, e come canone di abbonamento ogni mese sarà addebitata una somma sul suo conto di telefonia mobile. Pagine di risultati di motori di ricerca come modo di propagare collegamenti malevoli

I metodi che i malintenzionati di Internet usano per diffondere link ai malware o ai siti fraudolenti si perfezionano ogni mese. Si impiegano vari modi per nascondere il testo, metodi di ingegneria sociale e altri trucchi. In gennaio i malintenzionati hanno rivolto la loro attenzione alle pagine di risultati di ricerca generate dai motori di ricerca. Cercando le informazioni che gli servono, l utente spesso effettua più ricerche alla volta e apre nelle nuove schede o finestre del browser le pagine con i risultati di ricerca che contengono collegamenti trovati dal motore di ricerca. Le pagine dei risultati del motore di ricerca si chiamano con la locuzione inglese Search Engine Results Page abbreviata in SERP. I malintenzionati si sono fatti l abitudine di falsificare le pagine dei risultati di ricerca sperando che in subbuglio l utente non si accorga di una pagina SERP in più. Inoltre, la maggioranza degli utenti hanno più fiducia in pagine contenenti i risultati di un motore di ricerca che in una semplice lista di collegamenti. In alcuni casi i malintenzionati non disdegnano persino di falsificare interi motori di ricerca, come, ad esempio, hanno fatto i creatori del servizio pseudo motore di ricerca LiveTool, la cui interfaccia pressoché completamente copia l aspetto del motore di ricerca Yandex, e il suo collegamento L azienda conduce sul sito dei truffatori che imita una pagina del network sociale V Kontakte. La pagina SERP del motore di ricerca falsificato può aprirsi automaticamente mentre l utente usa un collegamento della pagina SERP del vero motore di ricerca. Di solito la pagina SERP creata dai malintenzionati contiene collegamenti rilevanti alla ricerca fatta dall utente, quindi a prima vista essa non suscita alcuni sospetti. Tuttavia l utilizzo dei collegamenti collocati su questa pagina può condurre la potenziale vittima sul sito fraudolento o sulla risorsa dei truffatori che diffonde malware. Al momento attuale, tra tali collegamenti sono stati rilevati siti contraffatti che imitano pagine di reti sociali, risorse che offrono servizi sospettibili a condizione di abbonamento falsificato e siti che propagano programmi della famiglia Trojan.SmsSend. Nel recente passato i malintenzionati creavano in massa copie dei siti delle reti sociali, ma la falsificazione di pagine SERP e persino di interi motori di ricerca è senz altro un fenomeno nuovo. File malevoli, rilevati in gennaio nel traffico di posta elettronica 01.01.2012 00:00-31.01.2012 18:00 1 Trojan.DownLoad2.24758 974126 (28.66%) 2 Trojan.Oficla.zip 831616 (24.47%) 3 Trojan.Tenagour.9 423106 (12.45%)

4 Trojan.Inject.57506 258383 (7.60%) 5 EICAR Test File (NOT a Virus!) 198666 (5.84%) 6 Trojan.DownLoad2.32643 132938 (3.91%) 7 Trojan.Tenagour.3 110835 (3.26%) 8 Trojan.Siggen2.58686 66624 (1.96%) 9 Trojan.Siggen2.62026 66398 (1.95%) 10 Win32.HLLM.Netsky.18516 53409 (1.57%) 11 Trojan.DownLoad2.34604 44053 (1.30%) 12 Trojan.Packed.19696 44038 (1.30%) 13 Trojan.DownLoader5.26458 25809 (0.76%) 14 Trojan.Siggen.65070 24806 (0.73%) 15 Trojan.DownLoader4.5890 22291 (0.66%) 16 Trojan.DownLoader4.31404 22145 (0.65%) 17 Trojan.DownLoader5.886 21686 (0.64%) 18 Trojan.DownLoader4.61182 21133 (0.62%) 19 Trojan.PWS.Panda.1513 20104 (0.59%) 20 BackDoor.Bifrost.23284 6113 (0.18%) Controllati in totale: 1,149,052,932 Infetti: 3,399,130 (0.30%) File malevoli, rilevati in gennaio nei computer degli utenti 01.01.2012 00:00-31.01.2012 18:00 1 Win32.Rmnet.12 23948173 (30.31%) 2 JS.Click.218 14651677 (18.54%) 3 JS.IFrame.117 8323572 (10.53%) 4 Win32.HLLP.Neshta 8098226 (10.25%) 5 JS.IFrame.112 3734140 (4.73%) 6 JS.IFrame.95 3312785 (4.19%) 7 Trojan.IFrameClick.3 2716412 (3.44%) 8 Win32.Virut 2672403 (3.38%) 9 Trojan.MulDrop1.48542 1946447 (2.46%) 10 Trojan.Hosts.5006 1369212 (1.73%) 11 Trojan.DownLoader.17772 906094 (1.15%) 12 Trojan.PWS.Ibank.474 562056 (0.71%)

13 Win32.HLLP.Whboy.45 415298 (0.53%) 14 Trojan.DownLoader5.18057 339809 (0.43%) 15 JS.IFrame.176 319449 (0.40%) 16 Trojan.Packed.22271 318517 (0.40%) 17 Trojan.PWS.Ibank.456 280158 (0.35%) 18 Trojan.DownLoader.42350 221567 (0.28%) 19 Win32.Virut.56 218322 (0.28%) 20 JS.Autoruner 213647 (0.27%) Controllati in totale: 114,007,715,914 Infetti: 79,017,655 (0.07%)

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back