Nonostante i recenti arresti dei membri della gang criminale legata alla botnet Zeus, si stanno moltiplicando nuovi programmi maligni responsabili della sua ampia diffusione. Zeus è diventato uno dei programmi spia più frequentemente utilizzati e venduti sul mercato nero on line grazie alla facilità con cui i Trojan della famiglia Zeus possono essere configurati per rubare dati on line.
Il virus.Win32.Murofet, rilevato agli inizi di ottobre, genera i nomi del dominio che vengono poi utilizzati per diffondere la botnet Zeus. I link a dei file Zeus scaricabili e eseguibili sono generati usando il giorno e l’ora correnti nel computer della vittima. Il virus ottiene l’anno, il mese, il giorno e il minuto dal sistema, genera due parole doppie, aggiunge una delle numerose zone del dominio, e applica “/forum” alla fine della stringa, usandolo come un link.
“Queste caratteristiche del malware dimostrano fino a che punto può arrivare l’inventiva e il desiderio di massima diffusione del worm dei creatori di Zeus”, ha dichiarato Vyacheslav Zakorzhevsky, Senior Virus Analyst di Kaspersky Lab, autore del report.
Un’altra tendenza evidente nel mese di ottobre è stata la continua crescita della popolarità dei falsi programmi di archiviazione. Queste applicazioni si ‘travestono’ solitamente da freeware molto diffusi o da applicazioni per la rimozione della protezione della licenza di software legale. Dopo che un utente lancia un falso programma di archiviazione, gli viene richiesto di inviare un SMS ad un numero speciale per accedere al contenuto di un archivio. Nella maggior parte dei casi dopo che il messaggio viene inviato, l’utente riceve istruzioni su come usare un tracker per torrent e/o un link a esso.
“Esiste un grande varietà di scenari, ma il risultato è sempre lo stesso”, ha commentato Vyacheslav Zakorzhevsky. “La vittima finisce sempre per spendere soldi e non ottenere il file richiesto. Questo tipo di frode è relativamente nuovo ed è venuto alla luce solo qualche mese fa. Da allora ha suscitato un crescente interesse da parte dei criminali informatici.”. Da luglio 2010 Kaspersky Lab ha rilevato più di un milione di tentativi di infezione di questo tipo ogni mese.
Gli esperti di Kaspersky Lab, consigliano ancora una volta agli utenti di essere molto prudenti durante la navigazione in rete, astenendosi dal visitare risorse web sospette. Il trojan.JS.FakeUpdate.bp, uno script dalla famiglia FakeUpdate presente spesso sui siti porno, è in cima alla classifica. Quando l’utente fa clic su un video, appare una finestra popup con un nuovo lettore multimediale che deve essere installato per guardare il clip. Il player spesso contiene anche un trojan che modifica il file ‘hosts’.
Questo Trojan associa a un certo numero di siti visitati un indirizzo IP locale e installa un server web locale sul computer infetto. In seguito, ogni volta che l’utente cerca di accedere a uno dei siti, viene visualizzata una pagina nel browser che richiede all’utente il pagamento per la visualizzazione dei contenuti per adulti.
Per la versione completa del Malware Report di ottobre di Kaspersky Lab, si prega di visitare: http://www.kaspersky.com/it/news?id=307.
