Rassegna delle attività di virus a marzo 2012: spam politico insieme a nuove minacce per Mac OS X e Android Il 2 aprile 2012 Il primo mese della primavera 2012 è stato insolitamente caldo : sono comparse tante nuove minacce sia per il sistema operativo Microsoft Windows, sia per le altre piattaforme. In particolare, i malintenzionati hanno inventato un nuovo modo per propagare cavalli di troia per Mac OS X e sono spuntate nuove applicazioni malevole per la piattaforma mobile Android. All inizio di marzo, subito dopo le elezioni presidenziali tenute nella Russia, sono comparsi messaggi di spam con contenuti malevoli: sfruttando i temi politici, i malintenzionati spedivano un file che era in grado di ammazzare i computer degli utenti. Inoltre, a marzo è stato rilevato un programma-bloccatore di Windows che agiva in un modo molto speciale, e un cavallo di troia che ricavava la moneta elettronica Bitcoin tramite una pagina web appositamente creata, contente un codice scritto sul linguaggio JavaScript. Secondo i dati statistici raccolti dall utilità Dr.Web CureIt! a marzo, il leader assoluto per il numero di rilevamenti è stato il malware Trojan.Mayachok.1 che impedisce al computer infettato l accesso a Internet. Sono molto diffusi troiani di banche, per esempio quelli della famiglia Trojan.Carberp che principalmente rubano password di programmi di online banking e online shopping. Nel traffico di posta elettronica spesso s individuano cavalli di troia - caricatori e file virus. A proposito di questo si deve menzionare l incidente accaduto all inizio di marzo e connesso con la propagazione di messaggi di spam che contenevano un allegato dannoso. Spam politico con una sorpresa dentro. Un regalo speciale consegnato dopo le elezioni presidenziali Il 5 marzo 2012 i professionisti della società Doctor Web hanno rilevato le e-mail inviate in grandi quantità che chiamavano a partecipare al meeting di protesta organizzato dall opposizione in piazza Pushkinskaya a Mosca. Le lettere elettroniche che avevano l oggetto Meeting per Eque Elezioni oppure Andiamo tutti a manifestare contengono un breve testo, per esempio: Leggi con attenzione le istruzioni su che cosa si deve fare alla manifestazione, Meeting contro Putin. Leggi con attenzione le istruzioni oppure È molto importante che tu studia le istruzioni, perche al meeting tutti avranno agito secondo questo scenario e anche un file allegato che è un documento di Microsoft Word nominato Istruzioni_meeting.doc. Questo file doc comprende alcune macro, le quali all apertura del file nell editor salvano sul disco ed eseguono il cavallo di troia Trojan.KillFiles.9055 studiato per mettere fuori servizio il sistema Windows infettato.
Una volta avviato sul computer, il troiano Trojan.KillFiles.9055 copia se stesso nella cartella temporanea e s iscrive nel ramo del registro di sistema responsabile dell autoavvio di applicazioni. Nello stesso tempo il programma maligno sostituisce con la spazzatura digitale i contenuti di tutti i file trovati sul disco C (che hanno estensioni.msc.exe.doc.xls.rar.zip.7z) e li segna finché siano rimossi dopo il riavvio del sistema. Di conseguenza Windows viene messo fuori uso (la solita resettazione del computer non può essere d aiuto). Trojan.KillFiles.9055 modifica le proprietà del suo processo in modo da renderlo critico per il sistema operativo e la sua terminazione fa apparire BSOD ( lo schermo blu della morte ) oppure comporta il riavvio del computer. Dopo questo, il troiano invia al server remoto dei malintenzionati un messaggio dicendo che il sistema operativo è stato ammazzato con successo. Per fortuna, è stato possibile evitare una contaminazione di massa dei computer con questo malware, perché gli utenti sono stati informati tempestivamente sulla minaccia e su tanti computer Microsoft Windows era disabilitata la possibilità di elaborare macro. Nuove minacce per Android Il 6 marzo 2012 la casa Google ha annunciato cambiamenti globali nella risorsa di Internet principale che distribuisce applicazioni e giochi per la piattaforma mobile Android Android Market. Il sito non è solo stato rinominato in Google Play e ha avuto il nuovo indirizzo play.google.com, ma anche ha abbinato in sé tali progetti, quali il servizio visualizzazione video, Android Market, Google Music e Google ebookstore. I malintenzionati non hanno mancato di sfruttare questo evento: nella Rete sono spuntati siti che imitano l aspetto della risorsa ufficiale Google Play. È stato osservato che alcuni di questi siti propagano malware per Android. Esistono programmi affiliate appositamente elaborati che consentono di creare siti falsificati dai quali vengono distribuiti diversi programmi malevoli, compresi cavalli di troia della famiglia Android.SmsSend. Per esempio, nell ambito di un programma affiliate, ai proprietari dei siti è proposto di inserire nelle loro pagine uno script speciale che può ridirigere a un sito di partner l utenti che utilizzano dispositivi mobili. Per farlo, di solito si usano il linguaggio JavaScript oppure comandi speciali, contenuti nel file.htaccess. Comunque non tutti gli utenti di Android sanno che la risorsa di Internet chiamata Android Market non esiste più. Fino ad oggi sono stati pubblicati in Internet tantissimi articoli, scritti dagli esperti, che consigliano ai proprietari dei telefonini di scaricare software solo dal sito
ufficiale Android Market. Gli utenti eseguono una ricerca relativa nei motori di ricerca e ricevono come risposta collegamenti ai siti falsificati che assomigliano nell aspetto al portale originale Android Market. Una parte di questi siti offre programmi e giochi del tutto sicuri, ma ci sono fra di loro anche i siti che propagano malware. Tra le minacce per la piattaforma mobile Android che sono state aggiunte alle base di dati di virus a marzo, si deve evidenziare il cavallo di troia Android.Moghava. Le funzionalità malevole sono contenute nel modulo che s installa come un servizio con il nome di stamper. Avviandosi fra certi periodi, questo servizio cerca le immagini in formato JPEG sulla scheda di memoria del dispositivo mobile, cioè nella cartella /DCIM/Camera/, dove di default vengono salvate le foto scattate dalla fotocamera incorporata nel telefonino. Se il troiano ci trova dei file grafici, esso sovrappone su ciascuna foto un immagine aggiuntiva con il ritratto di Ayatollah Khomeini. Inoltre, nel tempo recente si è diffuso vastamente il programma I-Girl, di cui c è moltissima pubblicità nelle reti sociali, sui forum e in molteplici messaggi di spam. Il programma è un chatbot che mostra sullo schermo del dispositivo mobile un immagine di una ragazza attraente. Il programma consente di fare dialoghi in tempo reale con la ragazza virtuale, la quale l utente può persino chiedere di spogliarsi. Ma fra un tempo risulta che il conto abbonato del proprietario del telefonino è dimagrito di una somma a seconda della durata della conversazione la somma può variare da qualche centinaio a qualche migliaio di rubli. Succede anche che la ragazza virtuale non dice niente, ma le spese vengono addebitate lo stesso sul contro di telefonia mobile dell utente. Viene fuori che per comunicare con il chatbot, bisogna pagare ogni messaggio con il denaro virtuale le voci, e che per ricaricare il saldo, il programma spedisce invisibilmente per l utente SMS a pagamento ai numeri di telefono premium. Oltre a ciò, il programma I-Girl invia al sito degli sviluppatori l identificatore del dispositivo mobile, sul quale è installato.
Il programma I-Girl, com è, non rappresenta un pericolo immediato per gli utenti finali di Android, però la società Doctor Web ha considerato opportuno aggiungerlo alla lista di riskware per le seguenti ragioni. Questo applicativo, in primo luogo, minaccia le finanze degli utenti, e in secondo luogo, si propaga con i metodi caratteristici dei riskware: tramite redirezione forzata dei visitatori arrivati al sito del distributore del programma e tramite lo spam invadente. Nuovi cavalli di troia per Mac OS X
A metà di marzo i malintenzionati hanno inventato un nuovo modo per propagare minacce per il sistema operativo Mac OS X gli autori dell idea sono stati i creatori del cavallo di troia Trojan.Muxler (OSX/Revir). La minaccia si nasconde in archivi compressi ZIP che contengono diverse fotografie. I campioni di questi archivi sono stati caricati al sito virustotal.com con i nomi Pictures and the Ariticle of Renzin Dorjee.zip e FHM Feb Cover Girl Irina Shayk H-Res Pics.zip. C è una supposizione che la propagazione di queste minacce sia connessa con il conflitto fra Cina e Tibet e sia mirata soprattutto a diverse organizzazioni attiviste che lottano per l indipendenza del Tibet. Alla decompressione dell archivio, oltre alle foto, sul disco viene salvato un applicativo, la cui icona non si distingue quasi per niente dalle immagini diminuite che si trovano nella finestra Finder. I malintenzionati si augurano che l utente non sarà abbastanza attento: avendo sbagliato l icona dell applicativo per lo schizzo diminuito di un immagine, l utente può accidentalmente avviare l applicativo. Il backdoor Trojan.Muxler.3 propagato in questo modo consente di eseguire sul computer infettato diversi comandi per scaricare e avviare file e catturare schermate della Scrivania di Mac OS X. Inoltre Trojan.Muxler.3 scarica da Internet e salva nella cartella /tmp/ il file ausiliario CurlUpload che il software antivirale Dr.Web individua come Trojan.Muxler.2. Questo malware serve per caricare diversi file dal computer infettato al server remoto dei malintenzionati Oltre ai troiani della famiglia Trojan.Muxler, nel tempo recente si è diffuso su larga scala il malware BackDoor.Lamadai.1 che sfrutta la vulnerabilità Exploit.CVE2011-3544, come pure si sono diffusi i cavalli di troia BackDoor.Lamadai.2 e BackDoor.Macontrol.1 che per infiltrarsi sui computer delle vittime sfruttano una vulnerabilità in documenti Microsoft Office per Mac (Exploit.MS09-027.1).
Trojan.Winlock sempre vivissimo Tradizionalmente per bloccare l accesso al sistema operativo, i programmi - ricattatori usano un applicativo speciale che sostituisce con sé l interfaccia utente (la shell) di Windows o il file userinit.exe e visualizza sullo schermo del computer un testo adeguato. Nello stesso tempo i programmi malevoli di solito controllano e impediscono l avvio di alcune utilità ausiliarie, quali il Task Manager, la Riga di Comando, l Editor del registro ecc. Invece gli autori del malware Trojan.Winlock.5729. hanno scelto una via diversa e molto più semplice. Il cavallo di troia si nasconde nella distribuzione d installazione del popolare programma Artmoney destinata a modificare i parametri numerici di giochi per computer. Oltre al vero installatore di Artmoney, la distribuzione include altri tre file: il file modificato logonui.exe nominato iogonui.exe (questo file si occupa di visualizzare l interfaccia grafica all entrata dell utente in Windows XP) e due archivi autoestraenti che contengono file bat. Al caricamento dell installatore infetto, si avvia il primo dei due file bat, chiamato password_on.bat. Questo file contiene un set di comandi che eseguono una valutazione del sistema operativo: se sul disco fisso è presente la cartella c:\users\, il che è la proprietà dei sistemi operativi Windows Vista e Windows 7, i componenti malevoli si eliminano, se invece tale cartella non c è, il troiano presume che sia stato avviato nel sistema operativo Windows XP. In questo caso Trojan.Winlock.5729 modifica il registro di sistema, sostituendo al caricamento di Windows il file standard logonui.exe con il suo file iogonui.exe, e cambia le password degli account di Windows appartenenti all utente corrente e agli utenti locali con i nomi amministratore e amministratore di sistema. Se l utente corrente usa un account limitato, il troiano termina il suo funzionamento. L altro file bat password_off.bat rimuove tutte le password e ripristina nel registro di sistema il valore originario del parametro UIHost.
Il file iogonui.exe è il file autentico logonui.exe di Windows XP, nel quale tramite l editor di risorse la riga standard di benvenuto Windows è stata sostituita con l esigenza di mandare un SMS a pagamento. Dunque, essendo uscito dal sistema o avendo riavviato il sistema, l utente non può entrarci più perché le password di tutti gli account sono state cambiate. Altre minacce del marzo 2012 Gli specialisti della società Doctor Web hanno osservato la propagazione di un nuovo cavallo di troia che è pensato per ricavare la moneta elettronica Bitсoin. Una volta avviato nel sistema infetto, Trojan.IEMine.1 crea un esemplare dell oggetto COM del navigatore Microsoft Internet Explorer con una finestra invisibile e imparte al browser il comando di aprire la pagina web appartenente ai malintenzionati. Questa pagina contiene uno scenario scritto in linguaggio JavaScript, che ricava la moneta elettronica Bitcoin. Il cavallo di troia è pericoloso per l utente finale perché i calcoli che vengono eseguiti sulla pagina web dei malintenzionati impegnano molte risorse del computer, il che su un computer con una configurazione meno avanzata può comportare un rallentamento notevole del sistema. Inoltre, la concorrenza fra i proprietari dei server giochi che operano con il motore GoldSource ha comportato una crescita dei casi quando contro i rivali vengono utilizzati programmi flooder che possono danneggiare anche quelli che li usano. Già a febbraio nell accesso libero sono comparse alcune applicazioni studiate per mettere fuori uso i server giochi che operano con il motore GoldSource. Una di esse, inserita nelle firme antivirali Dr.Web con il nome di
Flooder.HLDS, consiste in un software con interfaccia grafica che emula su un server giochi la connessione di più utenti, così causando che il server si blocchi o fallisca. Un altro malware, Flooder.HLDS.2, è in grado di spedire al server un certo pacchetto di dati che provoca un guasto del software server. In questo caso si possono scegliere una o più varianti d interazione con il server. Tutte e due le applicazioni sono vastamente diffuse sui forum dei temi giochi, e gli attacchi attuati ai server giochi tramite queste applicazioni sono cresciuti notevolmente di numero durante il mese. Gli specialisti della Doctor Web sono venuti in possesso di alcuni esemplari del programma Flooder.HLDS.2 scaricati dai forum giochi, i quali all avio infettano il computer con i cavalli di troia BackDoor.DarkNess.47 etrojan.wmchange.14. Il primo di questi funziona come un backdoor e DDoS-bot, mentre l altro troiano sostituisce nella memoria del PC infetto i numeri di borse del denaro elettronico WebMoney per consentire di rubare fondi dal contro dell utente. Quindi i poveri malintenzionati diventano loro stessi vittime degli scrittori di virus e mettono in pericolo i loro computer. File malevoli, rilevati a marzo 2012 nel traffico di posta elettronica 01.03.2012 00:00-31.03.2012 16:00 1 JS.Siggen.192 16675353 (42.27%) 2 Win32.Rmnet.12 14293914 (36.24%)
3 Win32.HLLP.Whboy 3336057 (8.46%) 4 Trojan.DownLoad2.24758 1260064 (3.19%) 5 Trojan.Oficla.zip 775752 (1.97%) 6 Win32.HLLP.Neshta 564643 (1.43%) 7 Trojan.Inject.57506 276708 (0.70%) 8 Trojan.DownLoad2.32643 194468 (0.49%) 9 Trojan.Tenagour.9 180616 (0.46%) 10 Trojan.Tenagour.3 152860 (0.39%) 11 Trojan.Carberp.208 130417 (0.33%) 12 Trojan.Siggen2.62026 116670 (0.30%) 13 Trojan.Siggen2.58686 101121 (0.26%) 14 Trojan.IFrameClick.3 99859 (0.25%) 15 Trojan.PWS.Panda.368 86438 (0.22%) 16 Trojan.WMALoader 79203 (0.20%) 17 Trojan.Packed.19696 70133 (0.18%) 18 Trojan.NtRootKit.6725 46797 (0.12%) 19 Trojan.Fraudster.261 42210 (0.11%) 20 Trojan.DownLoad2.34604 41211 (0.10%) Controllati in totale: 38,656,062,243 Infetti: 39,445,438 (0.10%) File malevoli, rilevati a marzo 2012 sui computer degli utenti 01.03.2012 00:00-31.03.2012 16:00 1 JS.Siggen.192 198194452 (76.33%) 2 Win32.Rmnet.12 38403209 (14.79%) 3 Win32.HLLP.Neshta 8647504 (3.33%) 4 JS.IFrame.112 3918622 (1.51%) 5 JS.DownLoader.216 1382451 (0.53%) 6 JS.IFrame.167 705427 (0.27%) 7 JS.IFrame.95 642246 (0.25%) 8 BAT.Batalia.491 475531 (0.18%) 9 Trojan.IFrameClick.3 424833 (0.16%) 10 Trojan.PWS.Ibank.456 403856 (0.16%)
11 JS.IFrame.236 378860 (0.15%) 12 Trojan.MulDrop1.48542 368040 (0.14%) 13 JS.Autoruner 336441 (0.13%) 14 Win32.HLLP.Whboy 279385 (0.11%) 15 Trojan.Packed.20771 201975 (0.08%) 16 Trojan.Fraudster.261 193834 (0.07%) 17 Trojan.Hosts.5571 182009 (0.07%) 18 Trojan.DownLoad.968 163980 (0.06%) 19 Adware.Predictad.1 147480 (0.06%) 20 Win32.Siggen.8 142900 (0.06%) Controllati in totale: 357,755,042,533,173,265 Infetti: 259,668,933 (0.00%)