Un set di trojan apre l'accesso non autorizzato al computer vittima

11 novembre 2015

Tra i molti tipi di programmi malevoli c'è una categoria separata delle applicazioni che di per sé non sono pericolose, ma i malintenzionati potrebbero utilizzarle per scopi illegali. Si tratta dei cosiddetti programmi di amministrazione remota che possono essere utilizzati sia in un modo perfettamente legale — per gestire un computer in rete, che in un modo illegale: con lo stesso obiettivo, ma senza la conoscenza dell'utente Gli specialisti dell'azienda antivirus Doctor Web hanno esaminato uno dei schemi di attacco impiegati dagli hacker in cui si utilizza un'applicazione legittima per l'organizzazione di accesso remoto.

Un intero pacchetto dei programmi malevoli con il nome generale BackDoor.RatPack viene propagato dai criminali informatici tramite l'exploit Exploit.CVE2012-0158.121 come un documento nel formato RTF dopo il tentativo dell'apertura del quale viene decifrato e salvato sul computer un file nocivo. È interessante che questo file, che è un programma-installer, possieda una firma digitale valida (come anche quasi tutti i file dal pacchetto BackDoor.RatPack).

Una volta avviato, l'installer prova a rilevare sul computer sotto attacco la presenza di macchine virtuali, di programmi-monitor e debugger, dopodiché controlla se nel sistema sono disponibili programmi di home-banking di alcune banche russe. Se tutti i controlli sono finiti con successo, l'installer scarica dal server dei malintenzionati e avvia sul computer sotto attacco un altro installer nel formato NSIS (Nullsoft Scriptable Install System) contenente un altro set di file eseguibili e diversi archivi protetti da password. Questo installer decomprime gli archivi e lancia i file eseguibili.

Il payload dell'installar è una variante dell'utility legittima shareware Remote Office Manager — nei malware analizzati gli specialisti Doctor Web ne hanno trovato almeno tre varianti con varie configurazioni. Intercettando una serie di funzioni di sistema, il programma malevolo nasconde le icone di questa utility nell'area di notifica e nella barra delle applicazioni di Windows in modo che l'utente non possa scoprirla al tempo giusto. Si può ipotizzare che tramite il BackDoor.RatPack i malintenzionati provino ad accedere ai conti correnti e alle informazioni confidenziali memorizzate sul computer infetto impiegando il metodo di amministrazione remota del computer.

Le firme antivirali di tutti i file malevoli che fanno parte del BackDoor.RatPack sono state aggiunte ai database dei virus Dr.Web e non rappresentano rischio per gli utenti dei nostri prodotti antivirus.

© "Doctor Web"
2003 — 2024

Doctor Web è un’azienda russa per la sicurezza informatica, produttrice degli antivirus “Dr.Web”. I nostri prodotti, sviluppati fin dal 1992, sono capaci di soddisfare un’esigenza essenziale dell’impresa odierna — quella della sicurezza dell’informazione. Doctor Web è un’azienda all’avanguardia nel suo settore anche perché siamo uno dei pochi fornitori di antivirus nel mondo che possiedono tecnologie di rilevamento e trattamento di programmi malevoli proprie. Il sistema di protezione antivirale Dr.Web consente ai sistemi d’informazione dei nostri clienti di resistere validamente a qualsiasi minaccia informatica, persino a quelle ancora sconosciute. Doctor Web è stata la prima azienda che ha lanciato sul mercato russo il modello innovativo di distribuzione dell’antivirus come servizio e oggi è il leader incondizionato del mercato dei web service di sicurezza forniti ai venditori dei servizi IT. I programmi Dr.Web, creati da esperti programmatori russi, hanno acquistato la fiducia degli utenti in diversi paesi del mondo e hanno ricevuto molteplici premi e certificati di approvazione dello stato grazie alla loro elevata qualità.

Altre risorse:
www.drweb.com – il sito ufficiale dell'azienda "Doctor Web"
www.av-desk.com – il sito del progetto Dr.Web AV-Desk