Rassegna delle attività di virus a marzo 2012: spam - s

Rassegna delle attività di virus a marzo 2012: spam politico insieme a nuove minacce per
Mac OS X e Android
Il 2 aprile 2012
Il primo mese della primavera 2012 è stato insolitamente “caldo”: sono comparse tante
nuove minacce sia per il sistema operativo Microsoft Windows, sia per le altre piattaforme.
In particolare, i malintenzionati hanno inventato un nuovo modo per propagare cavalli di
troia per Mac OS X e sono spuntate nuove applicazioni malevole per la piattaforma mobile
Android. All’inizio di marzo, subito dopo le elezioni presidenziali tenute nella Russia, sono
comparsi messaggi di spam con contenuti malevoli: sfruttando i temi politici, i
malintenzionati spedivano un file che era in grado di “ammazzare” i computer degli utenti.
Inoltre, a marzo è stato rilevato un programma-bloccatore di Windows che agiva in un
modo molto speciale, e un cavallo di troia che ricavava la moneta elettronica Bitcoin
tramite una pagina web appositamente creata, contente un codice scritto sul linguaggio
JavaScript.
Secondo i dati statistici raccolti dall’utilità Dr.Web CureIt! a marzo, il leader assoluto per il
numero di rilevamenti è stato il malware Trojan.Mayachok.1 che impedisce al computer
infettato l’accesso a Internet. Sono molto diffusi troiani di banche, per esempio quelli della
famiglia Trojan.Carberp che principalmente rubano password di programmi di online banking
e online shopping.
Nel traffico di posta elettronica spesso s’individuano cavalli di troia - caricatori e file virus. A
proposito di questo si deve menzionare l’incidente accaduto all’inizio di marzo e connesso con la
propagazione di messaggi di spam che contenevano un allegato dannoso.
Spam politico con una “sorpresa” dentro. Un “regalo” speciale consegnato dopo le elezioni
presidenziali
Il 5 marzo 2012 i professionisti della società “Doctor Web” hanno rilevato le e-mail inviate in
grandi quantità che chiamavano a partecipare al meeting di protesta organizzato dall’opposizione
in piazza Pushkinskaya a Mosca. Le lettere elettroniche che avevano l’oggetto “Meeting per
Eque Elezioni” oppure “Andiamo tutti a manifestare” contengono un breve testo, per esempio:
“Leggi con attenzione le istruzioni su che cosa si deve fare alla manifestazione”, “Meeting
contro Putin. Leggi con attenzione le istruzioni” oppure “È molto importante che tu studia le
istruzioni, perche al meeting tutti avranno agito secondo questo scenario” e anche un file
allegato che è un documento di Microsoft Word nominato Istruzioni_meeting.doc.
Questo file doc comprende alcune macro, le quali all’apertura del file nell’editor salvano sul
disco ed eseguono il cavallo di troia Trojan.KillFiles.9055 studiato per mettere fuori servizio il
sistema Windows infettato.
Una volta avviato sul computer, il troiano Trojan.KillFiles.9055 copia se stesso nella cartella
temporanea e s’iscrive nel ramo del registro di sistema responsabile dell’autoavvio di
applicazioni. Nello stesso tempo il programma maligno sostituisce con la “spazzatura digitale” i
contenuti di tutti i file trovati sul disco C (che hanno estensioni .msc .exe .doc .xls .rar .zip .7z) e
li segna finché siano rimossi dopo il riavvio del sistema. Di conseguenza Windows viene messo
fuori uso (la solita resettazione del computer non può essere d’aiuto). Trojan.KillFiles.9055
modifica le proprietà del suo processo in modo da renderlo critico per il sistema operativo e la
sua terminazione fa apparire BSOD (“lo schermo blu della morte”) oppure comporta il riavvio
del computer. Dopo questo, il troiano invia al server remoto dei malintenzionati un messaggio
dicendo che il sistema operativo è stato “ammazzato” con successo.
Per fortuna, è stato possibile evitare una contaminazione di massa dei computer con questo
malware, perché gli utenti sono stati informati tempestivamente sulla minaccia e su tanti
computer Microsoft Windows era disabilitata la possibilità di elaborare macro.
Nuove minacce per Android
Il 6 marzo 2012 la casa Google ha annunciato cambiamenti globali nella risorsa di Internet
principale che distribuisce applicazioni e giochi per la piattaforma mobile Android — Android
Market. Il sito non è solo stato rinominato in Google Play e ha avuto il nuovo indirizzo
play.google.com, ma anche ha abbinato in sé tali progetti, quali il servizio visualizzazione video,
Android Market, Google Music e Google eBookstore.
I malintenzionati non hanno mancato di sfruttare questo evento: nella Rete sono spuntati siti che
imitano l’aspetto della risorsa ufficiale Google Play. È stato osservato che alcuni di questi siti
propagano malware per Android. Esistono programmi affiliate appositamente elaborati che
consentono di creare siti falsificati dai quali vengono distribuiti diversi programmi malevoli,
compresi cavalli di troia della famiglia Android.SmsSend.
Per esempio, nell’ambito di un programma affiliate, ai proprietari dei siti è proposto di inserire
nelle loro pagine uno script speciale che può ridirigere a un sito “di partner” l’utenti che
utilizzano dispositivi mobili. Per farlo, di solito si usano il linguaggio JavaScript oppure comandi
speciali, contenuti nel file .htaccess.
Comunque non tutti gli utenti di Android sanno che la risorsa di Internet chiamata Android
Market non esiste più. Fino ad oggi sono stati pubblicati in Internet tantissimi articoli, scritti
dagli esperti, che consigliano ai proprietari dei telefonini di scaricare software solo dal sito
ufficiale Android Market. Gli utenti eseguono una ricerca relativa nei motori di ricerca e
ricevono come risposta collegamenti ai siti falsificati che assomigliano nell’aspetto al portale
originale Android Market. Una parte di questi siti offre programmi e giochi del tutto sicuri, ma ci
sono fra di loro anche i siti che propagano malware.
Tra le minacce per la piattaforma mobile Android che sono state aggiunte alle base di dati di
virus a marzo, si deve evidenziare il cavallo di troia Android.Moghava.
Le funzionalità malevole sono contenute nel modulo che s’installa come un servizio con il nome
di stamper. Avviandosi fra certi periodi, questo servizio cerca le immagini in formato JPEG sulla
scheda di memoria del dispositivo mobile, cioè nella cartella /DCIM/Camera/, dove di default
vengono salvate le foto scattate dalla fotocamera incorporata nel telefonino. Se il troiano ci trova
dei file grafici, esso sovrappone su ciascuna foto un’immagine aggiuntiva con il ritratto di
Ayatollah Khomeini.
Inoltre, nel tempo recente si è diffuso vastamente il programma I-Girl, di cui c’è moltissima
pubblicità nelle reti sociali, sui forum e in molteplici messaggi di spam. Il programma è un
chatbot che mostra sullo schermo del dispositivo mobile un’immagine di una ragazza attraente. Il
programma consente di fare dialoghi in tempo reale con la ragazza virtuale, la quale l’utente può
persino chiedere di spogliarsi. Ma fra un tempo risulta che il conto abbonato del proprietario del
telefonino è “dimagrito” di una somma a seconda della durata della “conversazione” — la
somma può variare da qualche centinaio a qualche migliaio di rubli. Succede anche che la
ragazza virtuale non “dice” niente, ma le spese vengono addebitate lo stesso sul contro di
telefonia mobile dell’utente. Viene fuori che per comunicare con il chatbot, bisogna pagare ogni
messaggio con il denaro virtuale — le “voci”, e che per ricaricare il saldo, il programma spedisce
invisibilmente per l’utente SMS a pagamento ai numeri di telefono premium. Oltre a ciò, il
programma I-Girl invia al sito degli sviluppatori l’identificatore del dispositivo mobile, sul quale
è installato.
Il programma I-Girl, com’è, non rappresenta un pericolo immediato per gli utenti finali di
Android, però la società “Doctor Web” ha considerato opportuno aggiungerlo alla lista di
riskware per le seguenti ragioni. Questo applicativo, in primo luogo, minaccia le finanze degli
utenti, e in secondo luogo, si propaga con i metodi caratteristici dei riskware: tramite redirezione
forzata dei visitatori arrivati al sito del distributore del programma e tramite lo spam invadente.
Nuovi cavalli di troia per Mac OS X
A metà di marzo i malintenzionati hanno inventato un nuovo modo per propagare minacce per il
sistema operativo Mac OS X — gli autori dell’idea sono stati i creatori del cavallo di troia
Trojan.Muxler (OSX/Revir).
La minaccia si nasconde in archivi compressi ZIP che contengono diverse fotografie. I campioni
di questi archivi sono stati caricati al sito virustotal.com con i nomi Pictures and the Ariticle of
Renzin Dorjee.zip e FHM Feb Cover Girl Irina Shayk H-Res Pics.zip. C’è una supposizione che
la propagazione di queste minacce sia connessa con il conflitto fra Cina e Tibet e sia mirata
soprattutto a diverse organizzazioni attiviste che lottano per l’indipendenza del Tibet.
Alla decompressione dell’archivio, oltre alle foto, sul disco viene salvato un applicativo, la cui
icona non si distingue quasi per niente dalle immagini diminuite che si trovano nella finestra
Finder. I malintenzionati si augurano che l’utente non sarà abbastanza attento: avendo sbagliato
l’icona dell’applicativo per lo schizzo diminuito di un’immagine, l’utente può accidentalmente
avviare l’applicativo.
Il backdoor Trojan.Muxler.3 propagato in questo modo consente di eseguire sul computer
infettato diversi comandi per scaricare e avviare file e catturare schermate della Scrivania di Mac
OS X. Inoltre Trojan.Muxler.3 scarica da Internet e salva nella cartella /tmp/ il file ausiliario
CurlUpload che il software antivirale Dr.Web individua come Trojan.Muxler.2. Questo
malware serve per caricare diversi file dal computer infettato al server remoto dei
malintenzionati
Oltre ai troiani della famiglia Trojan.Muxler, nel tempo recente si è diffuso su larga scala il
malware BackDoor.Lamadai.1 che sfrutta la vulnerabilità Exploit.CVE2011-3544, come pure si
sono diffusi i cavalli di troia BackDoor.Lamadai.2 e BackDoor.Macontrol.1 che per infiltrarsi
sui computer delle vittime sfruttano una vulnerabilità in documenti Microsoft Office per Mac
(Exploit.MS09-027.1).
Trojan.Winlock sempre vivissimo
Tradizionalmente per bloccare l’accesso al sistema operativo, i programmi - ricattatori usano un
applicativo speciale che sostituisce con sé l’interfaccia utente (la shell) di Windows o il file
userinit.exe e visualizza sullo schermo del computer un testo adeguato. Nello stesso tempo i
programmi malevoli di solito controllano e impediscono l’avvio di alcune utilità ausiliarie, quali
il Task Manager, la Riga di Comando, l’Editor del registro ecc. Invece gli autori del malware
Trojan.Winlock.5729. hanno scelto una via diversa e molto più semplice.
Il cavallo di troia si nasconde nella distribuzione d’installazione del popolare programma
Artmoney destinata a modificare i parametri numerici di giochi per computer. Oltre al vero
installatore di Artmoney, la distribuzione include altri tre file: il file modificato logonui.exe
nominato iogonui.exe (questo file si occupa di visualizzare l’interfaccia grafica all’entrata
dell’utente in Windows XP) e due archivi autoestraenti che contengono file bat. Al caricamento
dell’installatore infetto, si avvia il primo dei due file bat, chiamato password_on.bat. Questo file
contiene un set di comandi che eseguono una valutazione del sistema operativo: se sul disco fisso
è presente la cartella c:\users\, il che è la proprietà dei sistemi operativi Windows Vista e
Windows 7, i componenti malevoli si eliminano, se invece tale cartella non c’è, il troiano
presume che sia stato avviato nel sistema operativo Windows XP. In questo caso
Trojan.Winlock.5729 modifica il registro di sistema, sostituendo al caricamento di Windows il
file standard logonui.exe con il suo file iogonui.exe, e cambia le password degli account di
Windows appartenenti all’utente corrente e agli utenti locali con i nomi “amministratore” e
“amministratore di sistema”. Se l’utente corrente usa un account limitato, il troiano termina il
suo funzionamento. L’altro file bat — password_off.bat — rimuove tutte le password e ripristina
nel registro di sistema il valore originario del parametro UIHost.
Il file iogonui.exe è il file autentico logonui.exe di Windows XP, nel quale tramite l’editor di
risorse la riga standard di benvenuto Windows è stata sostituita con l’esigenza di mandare un
SMS a pagamento.
Dunque, essendo uscito dal sistema o avendo riavviato il sistema, l’utente non può entrarci più
perché le password di tutti gli account sono state cambiate.
Altre minacce del marzo 2012
Gli specialisti della società “Doctor Web” hanno osservato la propagazione di un nuovo cavallo
di troia che è pensato per ricavare la moneta elettronica Bitсoin. Una volta avviato nel sistema
infetto, Trojan.IEMine.1 crea un esemplare dell’oggetto COM del navigatore Microsoft
Internet Explorer con una finestra invisibile e imparte al browser il comando di aprire la pagina
web appartenente ai malintenzionati. Questa pagina contiene uno scenario scritto in linguaggio
JavaScript, che ricava la moneta elettronica Bitcoin. Il cavallo di troia è pericoloso per l’utente
finale perché i calcoli che vengono eseguiti sulla pagina web dei malintenzionati impegnano
molte risorse del computer, il che su un computer con una configurazione meno avanzata può
comportare un rallentamento notevole del sistema.
Inoltre, la concorrenza fra i proprietari dei server giochi che operano con il motore GoldSource
ha comportato una crescita dei casi quando contro i rivali vengono utilizzati programmi flooder
che possono danneggiare anche quelli che li usano. Già a febbraio nell’accesso libero sono
comparse alcune applicazioni studiate per mettere fuori uso i server giochi che operano con il
motore GoldSource. Una di esse, inserita nelle firme antivirali Dr.Web con il nome di
Flooder.HLDS, consiste in un software con interfaccia grafica che emula su un server giochi la
connessione di più utenti, così causando che il server si blocchi o fallisca.
Un altro malware, Flooder.HLDS.2, è in grado di spedire al server un certo pacchetto di dati che
provoca un guasto del software server. In questo caso si possono scegliere una o più varianti
d’interazione con il server. Tutte e due le applicazioni sono vastamente diffuse sui forum dei
temi giochi, e gli attacchi attuati ai server giochi tramite queste applicazioni sono cresciuti
notevolmente di numero durante il mese.
Gli specialisti della “Doctor Web” sono venuti in possesso di alcuni esemplari del programma
Flooder.HLDS.2 scaricati dai forum giochi, i quali all’avio infettano il computer con i cavalli di
troia BackDoor.DarkNess.47 eTrojan.Wmchange.14. Il primo di questi funziona come un
backdoor e DDoS-bot, mentre l’altro troiano sostituisce nella memoria del PC infetto i numeri di
borse del denaro elettronico WebMoney per consentire di rubare fondi dal contro dell’utente.
Quindi i poveri malintenzionati diventano loro stessi vittime degli scrittori di virus e mettono in
pericolo i loro computer.
File malevoli, rilevati a marzo 2012 nel traffico di posta elettronica
01.03.2012 00:00 - 31.03.2012 16:00
1
JS.Siggen.192
16675353 (42.27%)
2
Win32.Rmnet.12
14293914 (36.24%)
3
Win32.HLLP.Whboy
3336057 (8.46%)
4
Trojan.DownLoad2.24758
1260064 (3.19%)
5
Trojan.Oficla.zip
775752 (1.97%)
6
Win32.HLLP.Neshta
564643 (1.43%)
7
Trojan.Inject.57506
276708 (0.70%)
8
Trojan.DownLoad2.32643
194468 (0.49%)
9
Trojan.Tenagour.9
180616 (0.46%)
10 Trojan.Tenagour.3
152860 (0.39%)
11 Trojan.Carberp.208
130417 (0.33%)
12 Trojan.Siggen2.62026
116670 (0.30%)
13 Trojan.Siggen2.58686
101121 (0.26%)
14 Trojan.IFrameClick.3
99859 (0.25%)
15 Trojan.PWS.Panda.368
86438 (0.22%)
16 Trojan.WMALoader
79203 (0.20%)
17 Trojan.Packed.19696
70133 (0.18%)
18 Trojan.NtRootKit.6725
46797 (0.12%)
19 Trojan.Fraudster.261
42210 (0.11%)
20 Trojan.DownLoad2.34604
41211 (0.10%)
Controllati in totale: 38,656,062,243
39,445,438 (0.10%)
Infetti:
File malevoli, rilevati a marzo 2012 sui computer degli utenti
01.03.2012 00:00 - 31.03.2012 16:00
1
JS.Siggen.192
198194452 (76.33%)
2
Win32.Rmnet.12
38403209 (14.79%)
3
Win32.HLLP.Neshta
8647504 (3.33%)
4
JS.IFrame.112
3918622 (1.51%)
5
JS.DownLoader.216
1382451 (0.53%)
6
JS.IFrame.167
705427 (0.27%)
7
JS.IFrame.95
642246 (0.25%)
8
BAT.Batalia.491
475531 (0.18%)
9
Trojan.IFrameClick.3
424833 (0.16%)
10 Trojan.PWS.Ibank.456
403856 (0.16%)
11 JS.IFrame.236
378860 (0.15%)
12 Trojan.MulDrop1.48542
368040 (0.14%)
13 JS.Autoruner
336441 (0.13%)
14 Win32.HLLP.Whboy
279385 (0.11%)
15 Trojan.Packed.20771
201975 (0.08%)
16 Trojan.Fraudster.261
193834 (0.07%)
17 Trojan.Hosts.5571
182009 (0.07%)
18 Trojan.DownLoad.968
163980 (0.06%)
19 Adware.Predictad.1
147480 (0.06%)
20 Win32.Siggen.8
142900 (0.06%)
Controllati in totale: 357,755,042,533,173,265
259,668,933 (0.00%)
Infetti: