Il C.R.A.M. (Centro Ricerche Anti-Malware) di TG Soft ha pubblicato le statistiche dei virus/malware realmente circolanti nel mese di aprile 2015. Scopriamo quali sono le famiglie e varianti di malware che hanno infettato i PC degli utenti.

La top 10 del mese di aprile non subisce sostanziali cambiamenti rispetto al mese precedente. A popolarla troviamo numerosi PUP (Potentially Unwanted Program) e Adware. Si tratta di programmi che vengono installati all'insaputa dell'utente al momento dell'installazione di altri applicativi scaricati da siti di distribuzione di software gratuito.

In particolare, questo mese assistiamo all'entrata in top 10 a metà classifica dell'Adware.Win32.SaveClicker.C, un finto assistente per lo shopping che mostra nei browser diversi popup pubblicitari invasivi inerenti all'acquisto di prodotti online. Solitamente viene installato nella cartella %programfiles%\saveclicker, ma è possibile trovarlo anche in c:\programdata con altri nomi, come digisaver, savelots, proshopper etc... Oltre a SaveClicker, è entrato tra le prime dieci posizioni in classifica anche l'Adware.Win32.Generic.CI, un altro programma simile che, una volta installato sul computer dell'utente, mostra continuamente annunci pubblicitari indesiderati nelle pagine web.

Alcune regole fondamentali per evitare di incorrere in questo tipo di infezioni, sono:

1. scaricare qualsiasi software dal sito ufficiale del produttore;
2. leggere attentamente i termini dell'installazione del programma scaricato, che potrebbero celare l'invito all'installazione di altri software, procedendo ove sia possibile all'esclusione di quei programmi da considerarsi non necessari ai fini dell'installazione;
3. per coloro che utilizzano come browser Internet Explorer, è consigliabile integrare la propria protezione AntiVirus installando Vir.IT eXplorer Lite che rende disponibile WebFilter Protection che blocca preventivamente l'accesso a siti web pericolosi o infetti e a siti che distribuiscono software i cui programmi di installazione sono stati modificati ad arte per installare, oltre al programma cercato, anche altri programmi di dubbia affidabilità (adware, PUP etc. etc.).

Analisi dei virus / malware che si diffondono via email

Fra i virus/malware realmente circolanti diffusi via email troviamo numerosi agenti infestanti appartenenti alla famiglia dei Phishing, e nello specifico le varianti Phishing.BancoPosta.K, Phishing.PostePay.X e Phishing.PostePay.R. Si tratta di file HTML che riproducono quasi alla perfezione alcune pagine ufficiali delle Poste Italiane e che vengono allegati alle email. L'utente è invitato ad inserire i dati riguardanti il proprio conto postale o account attraverso queste pagine HTML fasulle. Quando verrà eseguita l'operazione di submit premendo sul bottone alla fine del form, i dati inseriti dall'utente verranno inviati ad una pagina web che non appartiene a Poste Italiane, ma che serve appositamente per ricevere i dati sensibili degli utenti.

Per difendersi dal phishing bisogna porre estrema attenzione ai messaggi di posta elettronica che si ricevono: non verrà mai richiesto da un istituto di credito, da una banca, etc. di inserire dei dati personali compilando un modulo contenuto in un file HTML che è stato allegato ad una email. Inoltre, le pagine web delle istituzioni e delle banche fanno uso del protocollo https, che utilizza il certificato SSL per il trasferimento sicuro di dati sensibili, e la sigla "https" è visibile all'inizio del link presente nella barra degli indirizzi nella parte superiore del browser.

Qui sopra un esempio di finta pagina web Bancoposta utilizzata dai cyber-criminali per rubare i dati degli utenti.

Continuando ad analizzare quali sono i virus/malware più diffusi che si diffondono via email, ci sono tre Trojan.Dropper che rientrano nella top 10, rispettivamente Trojan.Win32.Dropper.MN,  Trojan.Win32.Dropper.MO e Trojan.Win32.Dropper.ML. Questi malware vengono allegati ad email che solitamente riguardano fatture da stampare o pacchi spediti attraverso i più noti vettori di trasporti. I Dropper sono file eseguibili con estensione .exe o con doppia estensione (.doc.exe, .xls.exe, .pdf.exe...) che vengono compressi all'interno di file .zip, .rar o .cab. Quando vengono eseguiti, procedono ad installare altri virus che possono essere finalizzati a rubare le credenziali del conto bancario (come il Trojan.Win32.Banker.AOP in terza posizione in top 10) o a crittografare i dati degli utenti e richiedere un riscatto per effettuare la decrittografazione (come CTB-Locker, Cryptolocker, Cryptowall etc...).

I più temibili sono ancora i Crypto-malware

I Crypto-Malware continuano ad essere ancora oggi la famiglia di virus più temibile perchè inibiscono l'accesso, la lettura e la modifica dei file personali dell'utente, quali documenti di Word, Excel, pdf e immagini, ma anche file di database e file compressi, richiedendo un riscatto. Nuove varianti di CTB-Locker sono state inviate in modo massivo verso la metà di aprile 2015 e successivamente verso fine mese, in quantità ridotta, attraverso email contenenti finti MMS. Inoltre, molte macchine con sistema operativo non aggiornato, persistendo vulnerabilità, sono state e possono ancora essere colpite da nuove varianti di Cryptowall e Cryptolocker 2.

1. Eseguire copie di sicurezza dei dati di lavoro quotidiani con frequenza settimanale o, ancora meglio giornaliera, possibilimente in un disco esterno all'unità interna di lavoro quotidiana per evitare di perderli irrimediabilmente qualora il disco interno del computer dovesse danneggiarsi. I clienti di Vir.IT eXplorer PRO possono usufruire dell'utility Vir.IT Backup, sistema di backup avanzato, che permette di salvare delle copie di file e cartelle del proprio computer, in particolare file/cartelle dove sono organizzati i file di lavoro quotidiano, che verranno presidiate dallo scudo residente in tempo reale Vir.IT Security Monitor. Grazie all'attività di presidio di Vir.IT Security Monitor, i file di backup generati da Vir.IT Backup non potranno ne' essere modificati/cancellati dagli utenti, ne' volontariamente ne' involontariamente, ne' venire crittografati da eventuali Crypto-Malware anche di nuova generazione.
2. NON scaricare e/o estrarre o eseguire gli allegati di email in formato compresso (.zip, .rar, .cab) o eseguibile (.exe). Inoltre, diffidare dalle email inattese riguardanti merce acquistata o fatture da stampare, che chiedono di scaricare file allegati o visitare link.
3. Impostare la visualizzazione delle estensioni dei file attraverso la scheda "Visualizzazione" delle opzioni cartella, raggiungibili dal pannello di controllo.
4. I clienti di Vir.IT eXplorer PRO, nel caso non l'avessero già abilitato, possono abilitare la protezione Anti-CryptoMalware dalle opzioni dello scudo residente in tempo reale Vir.IT Security Monitor mettendo la spunta sulla voce "Protezione Anti-CryptoMalware". Questa nuova tecnologia monitora i processi in esecuzione e blocca preventivamente quelli che tentano di eseguire operazioni di crittografazione sui file.
5. I clienti di Vir.IT eXplorer PRO, nel caso non l'avessero già abilitato, possono abilitare Vir.IT Web Filter Protection dalle opzioni dell'antivirus togliendo la spunta dalla voce "Disattiva Vir.IT WebFilter Protection" e procedere al riavvio del computer di modo che dalla successiva attivazione questo diventerà attivo/operativo. Questo modulo, una volta attivo, impedisce l'accesso a siti web infetti o considerati pericolosi e viene costantemente aggiornato per impedire agli utenti di visitare pagine web dalle quali potrebbe scaricare, tra gli altri, anche Crypto-Malware già noti o di nuova generazione.

Segnaliamo che tutti i virus/malware realmente circolanti vengono identificati e, in moltissimi casi, anche rimossi da Vir.IT eXplorer Lite -FREE Edition- che TG Soft rende liberamente utilizzabile sia in ambito privato sia in ambito aziendale. Vir.IT eXplorer Lite è interoperabile con altri AntiVirus già presenti sul computer, senza doverli disinstallare, permettendo quindi quel controllo incrociato che oggigiorno non è più un vezzo, ma una necessità. Vai alla pagina di download.

C.R.A.M. Centro Ricerche Anti-Malware by TG Soft