• HOME
• NEWS
  • NOVITÀ
  • ARTICOLI
  • RECENSIONI
  • COMUNICATI STAMPA
  • NEWSLETTER
• PRODOTTI
  • Vir.IT eXplorer
  • Vir.IT Backup
  • VirIT Mobile
  • SERVIZI
  • PUBBLICITÀ
• DOWNLOAD
  • Vir.IT Lite
  • Vir.IT PRO
• PREZZI
  • ORDINA
  • PREVENTIVI
  • CONSIP-MEPA
• RIVENDITORI
  • CERCA
  • POLITICA
  • DIVENTA
  • AREA RISERVATA
• CLIENTI
  • ATTIVAZIONE LICENZA
  • CLIENTI
  • ASSISTENZA
  • INVIO FILE SOSPETTO
  • INVIO MAIL SOSPETTE
• C.R.A.M.
  • CENTRO RICERCHE
  • TOP TEN
  • TEST
  • BURLE-HOAX
• MALWARE WATCH
  • ULTIMI MALWARE
  • WINDOWS STARTUP MALWARE
• CONTATTI
  • CHI SIAMO
  • CONTATTI

Allo SMAU 2013 di Padova tenutosi in Aprile, il C.R.A.M. (Centro Ricerca Anti-Malware) presentò un report dettagliato su due nuove infezioni che tennero in scacco gli utenti italiani – e non solo – identificate come  FakeGDF e ZeroAccess.

Una nuova infezione che sfrutta tecniche simili di mining a quelle impiegate da ZeroAccess è ora comparsa sulla scena italiana.

ZeroAccess oltre alle attività di pc click-fraud e download di nuovi malware quali: fraudtool, trojan clicker e ransomware (FakeGDF) presenta una peculiarità: sfruttando un esercito di computer compromessi, utilizza la loro potenza di calcolo per un'attività nota come: Bitcoin mining.

Il Bitcoin è una moneta elettronica creata nel 2009 da un anonimo conosciuto solo con lo pseudonimo di Satoshi Nakamoto, questa valuta non è monopolizzata dalle banche ma è invece distribuita uniformemente attraverso la rete.
ZeroAccess, sfruttando la potenza di calcolo di tutti i computer infetti, fa eseguire loro calcoli computazionali complessi, per ogni calcolo effettuato con successo si riceve una ricompensa in Bitcoin che può essere convertita, in un secondo momento, in valuta diversa (USD, Euro, etc.).

Il Trojan.Win32.Agent.EDM condivide con ZeroAccess la struttura di sfruttamento dei computer compromessi, a differenza di Bitcon però,  il Trojan.Win32.Agent.EDM si assicura un guadagno  costante utilizzando il Litecoin mining.

La valuta Litecoin dal punto di vista tecnico è identica al Bitcoin, la creazione e il trasferimento di questa moneta digitale si basa su un protocollo crittografico open source.
Il Trojan.Win32.Agent.EDM sfrutta la valuta Litecoin in quanto il mining può essere eseguito con efficienza anche dai comuni  computer in possesso del consumatore.
L'algoritmo di mining utilizzato da Litecon è basto su scrypt, questo approccio favorisce l'utilizzo di un miner su normali computer e tra le più comuni GPU senza appesantire sensibilmente le risorse della macchina.

L'attività condotta dal Trojan.Win32.Agent.EDM può essere divisa in diverse fasi:

FASE #1 Sul PC della vittima viene posto in esecuzione automatica il file initsrv.exe aggiungendolo al percorso: C:\Documents and Settings\Utente\Menu Avvio\Programmi\Esecuzione automatica\initsrv.exe FASE  #2 initsrv.exe viene avviato dal dropper che lo ha salvato sul PC Fase 2.1: Appena eseguito, initsrv.exe, verifica se nella directory %Systemroot%/system32/ sono già presenti i file: libcurl-4.dll pthreadGC2.dll minerd.exe Se non trovati, procede al download della pagina http://pastebin.com/raw.php?i=sw[XXXXXXXX] dalla quale estrae  gli URLs di ciascun file cercato nella prima fase di avvio.

Se [nome file].exe / .dll non viene trovato nel PATH %SystemRoot%/system32/, il Trojan.Win32.Agent.EDM  contatta  l'URL associato e procede al download del file.
Se tutti e tre i file cercati sono presenti, la variabile check_passed, utilizzata per gestire l'esito positivo o meno della ricerca, è rimasta uguale a True, permettendo al programma malevolo di avanzare con l'esecuzione dell'ultima porzione di codice.

I server di pool mining sono accessibile da chiunque, è sufficiente creare un account, nella fase di registrazione il criminale dovrà creare due user name e due password.
La prima coppia di user name e password sono utilizzate dal criminale per accedere al server di Pool mining e visualizzare lo stato di guadagno, la seconda coppia invece viene data come parametro a tutti i miner distribuiti durante l'infezione.
Il sistema delle doppie credenziali è stato introdotto per ovvie ragioni di sicurezza, in quanto ciascun miner in esecuzione  trasmetterà il proprio user name e password in chiaro.
 

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"