Fonte: http://news.drweb.com/?i=3373&c=5&lng=ru&p=0
Doctor Web — sviluppatore russo dei programmi antivirus Dr.Web — informa gli utenti di una massiccia diffusione dei cavalli di troia dalla famiglia Trojan.Hosts. Negli ultimi mesi, moltissime pagine di Internet sono state compromesse dai malintenzionati ai fini di propagare questi trojan la cui presenza sui computer è diventata quasi un’epidemia. Il numero maggiore di casi di infezione è stato tra gennaio e metà febbraio quando ogni giorno venivano infettati circa 9500 computer. A marzo i cavalli di troia Trojan.Hosts infettano circa 8000 computer al giorno
Per violare siti web, i malintenzionati utilizzano il protocollo FTP e accedono alle risorse avvalendosi di login e password rubati in precedenza. Su un sito web compromesso viene caricato un interprete di comandi (shell) tramite il quale viene modificato il file .htacess e nel sito viene incorporato uno script malevolo.
Se l’utente cerca di aprire nel browser tale sito infetto, lo script malevolo gli fa vedere una pagina web contenente collegamenti ipertestuali a diverse applicazioni maligne. In tempi recenti anche i cavalli di troia della famiglia Trojan.Hosts si propagano in questo modo.
Va notato che i trojan di questa famiglia vengono diffusi dai malintenzionati non solo mediante siti web compromessi. Esistono alcuni programmi di affiliazione che pagano ai partecipanti ricompensi per lo sfruttamento delle vittime dei trojan “Hosts”. Pertanto, questi trojan possono arrivare sui computer anche in altri modi, per esempio tramite backdoor e downloader di malware.
Ricordiamo ai nostri lettori che lo scopo principale dei cavalli di troia Trojan.Hosts è modificare il file “hosts” che si trova nella cartella di sistema Windows e si occupa della risoluzione dei nomi host negli indirizzi IP. Quando l’utente di tale computer infetto cerca di visitare una risorsa di rete popolare, l’indirizzo di rete originario viene sostituito con uno falsificato e quindi il browser viene reindirizzato a una pagina web creata dai pirati informatici.
Nei primi mesi dell’anno 2013, questa minaccia si propagava in maniera quasi epidemica. Tra gennaio e metà febbraio la velocità di propagazione era maggiore e raggiungeva 9500 casi di infezione al giorno. All’inizio di marzo, il numero si è ridotto alquanto, per esempio, l’11 marzo sono stati registrati 7658 casi di infezione. (la quantità viene conteggiata sulla base dei file “hosts” modificati dal trojan sui computer compromessi).
Il seguente diagramma mostra la velocità di propagazione della minaccia Trojan.Hosts nel periodo tra la fine dell’anno 2012 e l’inizio dell’anno 2013.
Il software Dr.Web è in grado di rimuovere dal sistema la maggior parte delle varianti conosciute di Trojan.Hosts. Oltretutto, i prodotti Dr.Web dall’ottava versione prevedono una protezione speciale del file “hosts” che impedisce modifiche non autorizzate. Questa funzione può essere impostata nella sezione Strumenti → Impostazioni → Protezione preventiva → Livello di proibizione delle azioni sospette → Personalizzato. Le impostazioni possono essere modificate in modalità di amministratore. Di default, la funzione che blocca modifiche non autorizzate del file “hosts” è attiva.
Inoltre, gli indirizzi IP dei siti web compromessi vengono inseriti prontamente nei database di Dr.Web, perciò l’accesso a tali siti viene impedito dal componente Dr.Web SpIDer Gate. Se sul vostro computer l’antivirus ha bloccato l’accesso a qualche risorsa web popolare o nota, vi consigliamo di eseguire una scansione dei dischi rigidi alla ricerca di malware.
Se non utilizzate una protezione continua assicurata dall’antivirus Dr.Web e il vostro computer è stato compromesso dal trojan “Hosts”, vi consigliamo di eseguire una scansione completa del computer tramite l’utility gratuita Dr.Web CureIt! e, se necessario, di modificare i contenuti del file Windows\System32\Drivers\etc\hosts rimovendone tutti i record estranei.
