TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ICSA Lab ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2019-02

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

18/02/2016 15:50:17 - Statistiche virus/malware Gennaio 2016

Il C.R.A.M. (Centro Ricerche Anti-Malware) di TG Soft ha pubblicato le statistiche dei virus/malware realmente circolanti nel mese di Gennaio 2016. Scopriamo quali sono le famiglie e varianti di Malware che hanno infettato i PC degli utenti. Centro Ricerche Anti-Malware di TG Soft

Analisi dei virus/malware


Click per ingrandire
Analizzando la statistica riportata sulla sinistra è possibile osservare come la famiglia dei Trojan è sicuramente la famiglia dei malware più diffusa ed a seguire, come da molti mesi ormai, ci sono le due categorie che comprendono i programmi pubblicitari ovvero ADWARE e PUP.

Troppo spesso ci fidiamo di siti web considerati "sicuri" che distribuiscono software.

Nella maggior parte dei casi per poter aver un guadagno devono pubblicizzare altri prodotti ed è così che vanno a modificare i setup dei programmi distribuiti: in questo modo, durante l'installazione molte volte in modo poco lecito, viene chiesto all'utente di provare ulteriori software che spesso sono ADWARE e PUP.

Il C.R.A.M. di TG Soft consiglia di cercare i software gratuiti  edi scaricarli direttamente dal sito del produttore e non da siti di terze parti.

Nel mese di Gennaio 2016 ci sono stati numerosi invii di email truffa/spam contenenti allegati che scatevano Crypto Malware. Esempi sono stati:


1) 14-01-2016 -> "Falsa e-mail TELECOM Italia-TIM scatena nuove varianti di CTB-Locker che crittografano i file di dati dei PC / SERVER e richiedono il riscatto!"

2) 19-01-2016 -> "Anno nuovo... vecchie conoscenze... CryptoLocker is back !"

3) 25-01-2016 -> "Primi casi del nuovo TeslaCrypt 3.0 anche in Italia."

4) 01-02-2016 -> "Lunedì nero: nuova ondata di attacchi da parte di TeslaCrypt 3.0" che se anche datata il primo giorno di Febbraio, l'invio massivo delle email è avvenuto tra gli ultimi giorni di Gennaio ed i primi giorni di Febbraio.

Le numerose varianti di CRYPTOMALWARE non sono presenti nella classifica dato che la maggior parte elimina il proprio file eseguibile, colpevole della crittografazione, alla fine della procedura in modo da non permetterne la sua individuazione.

A destra è possibile osservare il codice all'interno dei javascript che sono stati inviati come allegati di email truffa.

Il javascript malevolo, intercettato da Vir.IT eXplorer PRO come Trojan.JS.Dropper.BA, effettua il download del Teslacrypt, nell'esempio il file 80.exe e lo salva all'interno della directory %TEMP% ovvero la cartella dove vengono salvati i file temporanei dell'utente.

Poi viene rinominato con il nome contenuto nella variabile "FILE_NAME" ed infine viene eseguito.

Il nome file del javascript contenuto come allegato alla email era formato da:

invoce_scan_<stringacasuale>.js

invoice_copy_<stringacasuale>.js

invoice_<stringacasuale>.js

Analisi dei virus / malware che si diffondono via email

Fra i virus/malware realmente circolanti che si diffondono via email in questo mese il C.R.A.M. di TG Soft ha analizzato numerosi episodi di email truffa contenenti finti allegati (come fatture, ddt ecc...). Andiamo ad analizzare le segnalazioni arrivate


Come si può notare dalla
classifica dei virus/malware maggiormente diffusi nel mese di gennaio 2016, al primo posto, troviamo il W97M.Downloader.AZ, macro contenutl all'interno di un finto documento Word spacciato per fattura.

Di seguito troviamo le macro infette contenute sempre dentro finti documenti Excel, X97M/Downloader.H e W97M/Generic.K, alcuni cryptomalware come Trojan.Win32.CTBLocker.BK e Trojan.Win32.CryptLocker.EA. Il C.R.A.M. di TG Soft ha già analizzato questi cryptomalware anche durante lo stesso mese.


Inoltre nella classifica sono presenti le solite finte fatture, file eseguibili che scaricano ulteriori malware come Trojan.Win32.Dropper varianti TH, TS e TO.


Click per ingrandire


Nelle foto sopra, a sinistra si può osservare un esempio di email truffa arrivata come "Fattura Telecom" contenente una variante di Trojan.Win32.CTBLocker.

L'allegato della email "fattura <numerocasuale>.zip" contiene il cryptomalware che avendo una doppia estensione, .pdf.exe, viene bloccato preventivamente da Vir.IT Security Monitor indicando la presenza di un file con doppia estensione come si può notare nella immagine a destra.

Se il documento ricevuto via email truffa è direttamente un file eseguibile, come il Trojan.Win32.Dropper.TH, verrà ricevuto zippato ed in quel caso l'utente non solo dovrà aprire il file compresso ma dovrà anche estrarne il contenuto ed eseguire il Trojan Dropper camuffato da finto PDF o altre icone come quella del corriere FedEx come si può osservare nella immagine a destra.

Per difendersi su queste tipologie di attacco è sempre bene non fidarsi delle email ricevute contenenti queste tipologie di link e/o file allegati ed è opportuno verificarne la fonte o l'attendibilità chiedendo al proprio supporto sistemistico di verificarne il contenuto.

È possibile consultare la top 10 del mese di Gennaio 2016 al seguente link: TOP 10 virus-malware di Gennaio 2016.
Trovate, invece, la definizione di varie tipologie di agenti infestanti nel glossario sui virus & malware

Segnaliamo che tutti i virus/malware realmente circolanti vengono identificati e, in moltissimi casi, anche rimossi da Vir.IT eXplorer Lite -FREE Edition- che TG Soft rende liberamente utilizzabile sia in ambito privato sia in ambito aziendale. Vir.IT eXplorer Lite è interoperabile con altri AntiVirus già presenti sul computer, senza doverli disinstallare, permettendo quindi quel controllo incrociato che oggigiorno non è più un vezzo, ma una necessità. Vai alla pagina di download.

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283