Contatta il reparto vendite 800 13.40.41 | Richiedi il Supporto Partner EN flag

Articoli

Icona delle News




Doctor Web

nuovi trojan downloader funzionano di nascosto

15/03/18 coretech News

×Non sei ancora nostro cliente DrWeb? Diventa Partner CoreTech e visita il nostro configuratore prezzi

Gli analisti Doctor Web stanno esaminando diversi trojan appartenenti alla nota famiglia Trojan.LoadMoney progettata per scaricare altre applicazioni pericolose sul computer infettato.

Banner

La famiglia di malware Trojan.LoadMoney è conosciuta a partire dal 2013, con regolarità ne compaiono sempre nuovi campioni. Uno di essi è stato denominato Trojan.LoadMoney.3209. Nel trojan sono contenuti due indirizzi internet da cui esso scarica e lancia altri programmi malevoli. Al momento dello studio, il trojan scaricava da entrambi gli indirizzi un identico file cifrato e lo salvava in una cartella temporanea con un nome casuale. In seguito questo file veniva letto in memoria, veniva rimosso e quindi veniva nuovamente salvato in una cartella temporanea, anch'essa con un nome casuale. Infine, questo file eseguibile veniva letto in memoria e veniva lanciato da memoria, mentre il file originale veniva rimosso.

Uno dei file scaricati da Trojan.LoadMoney.3209 è stato denominato Trojan.LoadMoney.3558. Questo programma malevolo ha un'organizzazione più complessa. Trojan.LoadMoney.3558 svolge il ruolo del principale programma di infezione del sistema ed impiega l'utility gratuita cURL per scaricare file. Questa utility consente di interagire con più server in Internet alla volta attraverso diversi protocolli. Il trojan la decifra e salva su disco. Per scaricare file sul computer infetto tramite cURL, Trojan.LoadMoney.3558 utilizza Scheduler di Windows. Il trojan contiene quattro indirizzi internet cifrati, uno di cui viene utilizzato per il funzionamento di cURL, e dagli altri tre viene scaricato e avviato in modo impercettibile per l'utente un file eseguibile, denominato Trojan.LoadMoney.3263. Dopo l'avvio il file originale di Trojan.LoadMoney.3263 viene rimosso.

Dopo il download il trojan estrae da sé un file eseguibile, ripristina la sua intestazione e lo salva in un cartella temporanea, e quindi lo esegue. Questo file viene rilevato da Dr.Web come Trojan.Siggen7.35395. In quanto gli autori dei virus non hanno implementato nessun effetto visivo nel codice dei programmi malevoli, tutti i trojan sopracitati non si manifestano nel sistema infetto, pertanto la loro attività malevola non è facilmente rilevabile.

Gli analisti Doctor Web continuano a studiare questa famiglia di programmi malevoli e i file pericolosi che essi scaricano da Internet. Man mano che riveleremo nuovi fatti, ne informeremo i nostri lettori. I prodotti antivirus Dr.Web proteggono in modo affidabile da tutti i campioni attualmente conosciuti della famiglia Trojan.LoadMoney, perciò essi non rappresentano nessun rischio per i nostri utenti.


Articoli su DrWeb

Statistiche sulle infezioni Dr.Web AV-DeskServizio Agent Monitoring GratuitoStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskCambio tariffe Dr. WebStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskDoctor Web ha rilevato nello store di applicazioni Android ufficiale un trojan clickerStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskTrojan banker Bolik viene distribuito con il pretesto di NordVPNStatistiche sulle infezioni Dr.Web AV-DeskNuovo trojan backdoor rilevato Doctor Web su Google PlayNews Doctor Web – Compromesso il sito di VSDCStatistiche sulle infezioni Dr.Web AV-DeskDr.Web Data Loss Prevention – la migliore protezione contro i CryptolockerDoctor Web: trojan Android.InfectionAdsStatistiche sulle infezioni riscontrate da Dr.Web AV-DeskA rischio centinaia di milioni di utenti di UC Browser per AndroidDoctor Web rileva un trojan in un programma per il monitoraggio del tasso di cambio delle criptovaluteDoctor Web rileva un trojan che sfrutta una falla zero-day nel client Counter-StrikeBollettino DoctorWeb – Le minacce di Febbraio 2019Doctor Web: attenzione ai Trojan Android diffusi tramite App che sembrano innocueVariazione Listini Dr.Web dal 1 Dicembre 2018Dr.Web: l’antivirus con laboratorio R&D proprietarioConfermato il Laboratorio di Doctor Web al CoreTech Partner SummitDoctor Web6 tipi di impiegati a rischio malware in ufficioCirca l'8% delle smart TV e dei dispositivi con Android è vulnerabile a un nuovo minerDoctor Web mette in guardia dalla diffusione di un nuovo cryptolocker GandCrabAnatomia di un Antivirus: sicuri di stare al sicuro?I prodotti Dr.Web sono compatibili con gli aggiornamenti di sicurezza Windows di gennaioDoctor Web ha esaminato un nuovo backdoor per WindowsDoctor Web avverte: i malintenzionati hackerano siti web tramite "l'Internet degli oggetti"Un milione di richieste: un numero tondo per il supporto tecnico Doctor WebDoctor Web ha esaminato un nuovo trojan bankerDoctor Web ha scoperto in Google Play applicazioni con un trojan che sono state scaricate da oltre 2.000.000 di utentiDrWeb Cloud: licenze NFR gratuite per tutti i PartnerRilascio di Dr.Web Light 11.0.0 per AndroidDoctor Web: panoramica sulle attività dei virus ad ottobre 2017Rilascio di Dr.Web 11.0.4 per Microsoft Exchange ServerBadRabbit ha paura dei computer con Dr.Web: un'indagine sul trojan clamorosoCoreTech e Doctor Web, una nuova partnership per la sicurezza degli endpoint con la potenza del Cloud

Video Premium su DrWeb

Corsi Premium - Dr.Web
Ripe Ncc Member
vmware
CloudLinux
Plesk
HP
Microsoft