Il virus-banker polimorfo Bolik — un erede pericolosissimo di Zeus e Carberp

3 giugno 2016

A giugno 2016 gli analisti dei virus Doctor Web hanno finito di studiare un nuovo virus pericolosissimo. È in grado di rubare denaro dai conti dei clienti di banche russe, ricavare informazioni confidenziali e spiare le vittime in vari modi. Il virus eredita alcune delle soluzioni tecniche dei noti trojan bancari Zeus (Trojan.PWS.Panda) e Carberp, ma a differenza di questi programmi può diffondersi senza la partecipazione dell'utente e infettare file eseguibili. In questo consiste il suo principale pericolo. Inoltre, è estremamente difficile "sradicare" questo virus da un computer infetto: per la guarigione possono volerci diverse ore.

Questo programma malevolo è stato denominato Trojan.Bolik.1. Una differenza importante dagli altri trojan-banker, quali Zeus e Carberp, è che può diffondersi senza la partecipazione dell'utente e infettare file eseguibili. Dunque appartiene alla categoria dei virus di file polimorfi.

La caratteristica più pericolosa del banker è che può diffondersi in autonomo e infettare software. La funzione di diffusione automatica viene attivata su comando dei malintenzionati, dopodiché Trojan.Bolik.1 inizia a interrogare le cartelle scrivibili nell'ambiente di rete di Windows e sui dispositivi USB connessi, cerca file eseguibili memorizzati e li infetta. Trojan.Bolik.1 può infettare sia le applicazioni a 32 bit che quelle a 64 bit.

I programmi infettati da questo virus vengono rilevati da Antivirus Dr.Web come Win32.Bolik.1. All'interno di ogni tale programma si conservano nella forma cifrata Trojan.Bolik.1 e altre informazioni necessarie per i virus. Se l'utente avvia sul computer un'applicazione infetta, il virus decripterà il trojan bancario Trojan.Bolik.1 e lo eseguirà direttamente nella memoria del computer attaccato senza salvarlo sul disco. Il virus possiede un meccanismo incorporato che gli permette di modificare "al volo" il codice e la struttura della sua parte responsabile per la decriptazione di Trojan.Bolik.1. In questo modo gli autori del virus cercano di ostacolare il rilevamento del loro prodotto da parte dei software antivirus. Inoltre, Win32.Bolik.1 cerca di contrastare gli antivirus che possono eseguire programmi malevoli passo-passo in un ambiente di emulazione — nell'architettura di questo virus sono previsti metodi di "rallentamento" costituiti da un grande numero di cicli e di istruzioni ripetute.

Da Carberp Trojan.Bolik.1 ha ereditato un file system virtuale conservato in un specifico file. Il trojan memorizza questo file in una delle directory di sistema o nella cartella dell'utente. Il file system virtuale consente al programma malevolo di conservare di nascosto sul computer le informazioni necessarie per il suo funzionamento. Ugualmente a Zeus, Trojan.Bolik.1 può incorporare contenuti estranei nelle pagine web aperte dall'utente, cioè può realizzare la tecnologia web inject. Tramite questa tecnologia i malintenzionati rubano alle loro vittime i login e le password di accesso ai sistemi di home-banking e altre informazioni preziose. Trojan.Bolik.1 è studiato specialmente di rubare le informazioni ai clienti delle banche russe — questo è evidenziato da alcune particolari righe nel file di configurazione che viene trasmesso al virus dal server di controllo.

Trojan.Bolik.1 ha l'obiettivo principale di rubare varie informazioni preziose. Può raggiungere questo obiettivo in diversi modi. Per esempio, può controllare i dati trasmessi nei browser Microsoft Internet Explorer, Chrome, Opera e Mozilla Firefox. Grazie a questo, il trojan può ricavare le informazioni che l'utente digita in moduli visualizzati sullo schermo. Inoltre, le funzioni spione del trojan includono un modulo di cattura di schermate (screenshot) e di registrazione di battiture (keylogger). In aggiunta, Trojan.Bolik.1 può creare sulla macchina infetta un server proxy e un web server che gli consente di scambiarsi file con i malintenzionati. Il programma malevolo può trovare i file richiesti, utilizzando una maschera impostata in un comando specifico. Come alcuni altri trojan bancari attuali, Trojan.Bolik.1 è in grado di effettuare le cosiddette "connessioni inverse" attraverso cui i malintenzionati hanno la possibilità di comunicare con un computer compromesso che si trova in una rete protetta da firewall o che non possiede un indirizzo IP esterno, cioè opera in una rete in cui si usa NAT (Network Address Translation). Vengono cifrate secondo un algoritmo complesso e vengono compresse tutte le informazioni che Trojan.Bolik.1 si scambia con il server di controllo.

Le funzionalità di Trojan.Bolik.1 sembrano veramente tremendi, e la sua architettura interna è piuttosto complessa e problematica. Antivirus Dr.Web rileva e rimuove tutti i componenti di questo pericoloso virus, però date alcune particolarità della struttura interna di Trojan.Bolik.1 la guarigione di un computer infetto può richiedere molto tempo. Agli utenti colpiti dalle attività di questo programma malevolo si consiglia di essere pazienti durante la scansione antivirus del PC.

© "Doctor Web"
2003 — 2024

Doctor Web è un’azienda russa per la sicurezza informatica, produttrice degli antivirus “Dr.Web”. I nostri prodotti, sviluppati fin dal 1992, sono capaci di soddisfare un’esigenza essenziale dell’impresa odierna — quella della sicurezza dell’informazione. Doctor Web è un’azienda all’avanguardia nel suo settore anche perché siamo uno dei pochi fornitori di antivirus nel mondo che possiedono tecnologie di rilevamento e trattamento di programmi malevoli proprie. Il sistema di protezione antivirale Dr.Web consente ai sistemi d’informazione dei nostri clienti di resistere validamente a qualsiasi minaccia informatica, persino a quelle ancora sconosciute. Doctor Web è stata la prima azienda che ha lanciato sul mercato russo il modello innovativo di distribuzione dell’antivirus come servizio e oggi è il leader incondizionato del mercato dei web service di sicurezza forniti ai venditori dei servizi IT. I programmi Dr.Web, creati da esperti programmatori russi, hanno acquistato la fiducia degli utenti in diversi paesi del mondo e hanno ricevuto molteplici premi e certificati di approvazione dello stato grazie alla loro elevata qualità.

Altre risorse:
www.drweb.com – il sito ufficiale dell'azienda "Doctor Web"
www.av-desk.com – il sito del progetto Dr.Web AV-Desk