malware

Per essere infettato, segui le istruzioni

Le istruzioni, insieme all’utilità di download del trojan con il malware che si nasconderà nel computer del destinatario dietro l’icona standard di un file Excel, sono contenute in un file di testo compresso. Se l’utilità di download non si apre automaticamente o viene bloccata dal software antivirus del destinatario, le istruzioni contenute nel file readme.txt forniscono indicazioni dettagliate su come eseguire il malware.

In sintesi:

Clicca per accettare tutte le condizioni: fai doppio clic sul file estratto. Ora clicca su “Accetto”, quindi su “Esegui”. Nei PC dotati di Windows 8 o del più recente Windows 10 clicca su “Ulteriori informazioni” ->”Scarica comunque” nell’avviso standard di SmartScreen.

Disabilita o spegni l’antivirus o il firewall: gli antivirus e i firewall possono bloccare tutti i file scaricati da Internet. In caso di problemi, aggiungi questo file all’elenco delle eccezioni e prova nuovamente. Oppure spegni temporaneamente l’antivirus o il firewall fino a che il file non è stato scaricato.

“Vogliono essere veramente sicuri che l’utente venga infettato correttamente”, spiega Oscar Anduiza, analista del malware di Avira. “Queste istruzioni sono esattamente il contrario di ciò che gli utenti dovrebbero fare”.

inside_zip

Il file readme.txt è scritto in un tedesco standard, ma leggermente irregolare, anche se non sembra essere il frutto di una traduzione automatica. Questo indica che il testo è stato scritto per il mercato di massa tedesco, ma che probabilmente viene distribuito anche in altre lingue, come l’inglese.

malwarereadme

“In questo modo i pirati informatici hanno una seconda possibilità che l’installazione venga effettuata correttamente, soprattutto nel caso in cui il primo tentativo sia stato bloccato dall’antivirus. Si tratta di un interessante stratagemma di ingegneria sociale, a maggior ragione se si considera che l’utilità di download e il malware non sono particolarmente sofisticati”, aggiunge Anduiza.

Comodo

ComodoSe gli utenti fanno clic, avviano un “processo di installazione” che inizia con il pop-up di un certificato radice sospetto. Questo certificato dall’aspetto ufficiale, apparentemente emesso da COMODO, fornisce a chi lo ha emesso la possibilità di apportare modifiche al sistema in maniera illimitata, scavalcare liberamente il firewall ed eludere l’antivirus installato.

Successivamente, il malware scarica un file dannoso che viene copiato in tre punti del computer.  Uno di questi, nella cartella di avvio, assicura che il malware venga eseguito ogni volta che il computer avvia Windows.

c:\ProgramData\VCFKARJR.com

c:\Users\All Users\VCFKARJR.com

c:\Users\%user%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\system.pif

Nell’attacco del 3 marzo il malware installato era un trojan bancario che sottrae credenziali e informazioni finanziarie. Tuttavia, i pirati informatici sono in grado di aggiungere il link preciso o nuove varianti in brevissimo tempo. Gli attuali trojan bancari sono rilevati da Avira.

Questo articolo è disponibile anche in: IngleseFrancese

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.