Nuova famiglia di cavalli di troia minaccia gli utenti di - s

Nuova famiglia di cavalli di troia minaccia gli utenti di Facebook
Il 2 febbraio 2012
La società “Doctor Web” — uno sviluppatore russo di sistemi di sicurezza informatica —
avvisa gli utenti della comparsa dei malware appartenenti alla famiglia Trojan.OneX, i
quali all’infezione del computer spediscono spam nella rete sociale più grande Facebook,
nonché tramite programmi di messaggistica istantanea. Per ora sono state determinate due
modificazioni di questo cavallo di troia le cui funzionalità non sono molto diverse.
Utilizzando questo modello di propagazione dei malware, i malintenzionati potrebbero
infettare moltissimi computer degli utenti.
Trojan.OneX opera solo nei sistemi operativi Windows a 32 bit, mentre nei sistemi a 64 bit il
Trojan termina il suo funzionamento dopo aver scaricato un file di testo dal server di comando
remoto. Avviato sulla macchina infettata, Trojan.OneX.1 verifica la presenza della sua copia
nel sistema operativo e decifra in base alle proprie risorse l’indirizzo del server remoto da cui si
scarica un file di testo speciale. Questo file di testo contiene alcune righe in lingua inglese del
tipo “hahaha! http://goo.gl[…].jpeg, con le quali poi saranno sostituiti i messaggi dell’utente
inviati nella rete sociale Facebook. Le righe di questo file sostituiscono messaggi dell’utente solo
in modalità di chat. L’invio del messaggio originario viene bloccato. Ogni ora il cavallo di troia
scarica dal server remoto nuovo file di configurazione.
Trojan.OneX.1 cerca nel sistema operativo processi in esecuzione che hanno i nomi firefox,
iexplore e IEXPLORE. Trovati questi processi, il cavallo di troia si incorpora completamente in
essi e intercetta le funzioni responsabili dell’invio di messaggi.
Poco tempo dopo la comparsa della prima versione del Trojan, gli analisti di virus della società
“Doctor Web” hanno individuato un’altra versione chiamata Trojan.OneX.2. Per spedire
messaggi, la seconda versione di Trojan.OneX sfrutta popolari programmi di messaggistica
istantanea utilizzando i processi pidgin, skype, msnmsgr, aim, icq.exe, yahoom, ymsg_tray.exe,
googletalk e xfire.exe. Al momento di invio dei messaggi, la tastiera e il mouse del computer
infettato vengono bloccati. A differenza di Trojan.OneX.1, Trojan.OneX.2 è in grado di
operare con i file di configurazione nella codifica Unicode.
I messaggi spediti dai cavalli di troia spesso contengono collegamenti ai siti web falsificati, in
possesso dei malintenzionati: uno di essi, in particolare, imita l’aspetto del servizio RapidShare.
All’utente viene proposto di scaricare sotto forma di un’immagine JPEG un archivio compresso
in formato .zip, che contiene Photo14.JPG.scr — un file eseguibile (Trojan.Packed.22289) con
dentro il cavallo di troia BackDoor.IRC.Bot.1446. Questo cavallo di troia non solo apre ai
malintenzionati l’accesso al computer infettato e può rubare dati riservati, ma anche permette di
eseguire sulla macchina infettata diversi comandi, in particolare, il comando di scaricamento e
installazione di altre applicazioni. Una cosa interessante: i professionisti della società “Doctor
Web” hanno registrato i casi in cui il cavallo di troia BackDoor.IRC.Bot diffonde il programma
Trojan.OneX, il quale, al suo turno, facilita la diffusione di BackDoor.IRC.Bot.
Le firme antivirali di queste minacce sono già state aggiunte alle basi di dati Dr.Web, quindi gli
utenti del software antivirus della società “Doctor Web” sono completamente protetti
dall’infiltrazione di questi malware nei loro computer.