L’erede pericolosissimo di Zeus e Carberp: il virus-banker polimorfo Bolik
Il virus eredita alcune delle soluzioni tecniche dei noti trojan bancari Zeus (Trojan.PWS.Panda) e Carberp, ma a differenza di questi programmi può diffondersi senza la partecipazione dell’utente e infettare file eseguibili. In questo consiste il suo principale pericolo. Inoltre, è estremamente difficile “sradicare” questo virus da un computer infetto: per la guarigione possono volerci diverse ore.
Questo programma malevolo è stato denominato Trojan.Bolik.1. Una differenza importante dagli altri trojan-banker, quali Zeus e Carberp, è che può diffondersi senza la partecipazione dell’utente e infettare file eseguibili. Dunque appartiene alla categoria dei virus di file polimorfi.
La caratteristica più pericolosa del banker è che può diffondersi in autonomo e infettare software. La funzione di diffusione automatica viene attivata su comando dei malintenzionati, dopodiché Trojan.Bolik.1 inizia a interrogare le cartelle scrivibili nell’ambiente di rete di Windows e sui dispositivi USB connessi, cerca file eseguibili memorizzati e li infetta. Trojan.Bolik.1 può infettare sia le applicazioni a 32 bit che quelle a 64 bit.
I programmi infettati da questo virus vengono rilevati da Antivirus Dr.Web come Win32.Bolik.1. All’interno di ogni tale programma si conservano nella forma cifrata Trojan.Bolik.1 e altre informazioni necessarie per i virus. Se l’utente avvia sul computer un’applicazione infetta, il virus decripterà il trojan bancario Trojan.Bolik.1 e lo eseguirà direttamente nella memoria del computer attaccato senza salvarlo sul disco. Il virus possiede un meccanismo incorporato che gli permette di modificare “al volo” il codice e la struttura della sua parte responsabile per la decriptazione di Trojan.Bolik.1. In questo modo gli autori del virus cercano di ostacolare il rilevamento del loro prodotto da parte dei software antivirus. Inoltre, Win32.Bolik.1 cerca di contrastare gli antivirus che possono eseguire programmi malevoli passo-passo in un ambiente di emulazione — nell’architettura di questo virus sono previsti metodi di “rallentamento” costituiti da un grande numero di cicli e di istruzioni ripetute.
Da Carberp Trojan.Bolik.1 ha ereditato un file system virtuale conservato in un specifico file. Il trojan memorizza questo file in una delle directory di sistema o nella cartella dell’utente. Il file system virtuale consente al programma malevolo di conservare di nascosto sul computer le informazioni necessarie per il suo funzionamento. Ugualmente a Zeus, Trojan.Bolik.1 può incorporare contenuti estranei nelle pagine web aperte dall’utente, cioè può realizzare la tecnologia web inject. Tramite questa tecnologia i malintenzionati rubano alle loro vittime i login e le password di accesso ai sistemi di home-banking e altre informazioni preziose. Trojan.Bolik.1 è studiato specialmente di rubare le informazioni ai clienti delle banche russe — questo è evidenziato da alcune particolari righe nel file di configurazione che viene trasmesso al virus dal server di controllo.
Trojan.Bolik.1 ha l’obiettivo principale di rubare varie informazioni preziose. Può raggiungere questo obiettivo in diversi modi. Per esempio, può controllare i dati trasmessi nei browser Microsoft Internet Explorer, Chrome, Opera e Mozilla Firefox. Grazie a questo, il trojan può ricavare le informazioni che l’utente digita in moduli visualizzati sullo schermo. Inoltre, le funzioni spione del trojan includono un modulo di cattura di schermate (screenshot) e di registrazione di battiture (keylogger). In aggiunta, Trojan.Bolik.1 può creare sulla macchina infetta un server proxy e un web server che gli consente di scambiarsi file con i malintenzionati. Il programma malevolo può trovare i file richiesti, utilizzando una maschera impostata in un comando specifico. Come alcuni altri trojan bancari attuali, Trojan.Bolik.1 è in grado di effettuare le cosiddette “connessioni inverse” attraverso cui i malintenzionati hanno la possibilità di comunicare con un computer compromesso che si trova in una rete protetta da firewall o che non possiede un indirizzo IP esterno, cioè opera in una rete in cui si usa NAT (Network Address Translation). Vengono cifrate secondo un algoritmo complesso e vengono compresse tutte le informazioni che Trojan.Bolik.1 si scambia con il server di controllo.
Le funzionalità di Trojan.Bolik.1 sembrano veramente tremendi, e la sua architettura interna è piuttosto complessa e problematica. Antivirus Dr.Web rileva e rimuove tutti i componenti di questo pericoloso virus, però date alcune particolarità della struttura interna di Trojan.Bolik.1 la guarigione di un computer infetto può richiedere molto tempo. Agli utenti colpiti dalle attività di questo programma malevolo si consiglia di essere pazienti durante la scansione antivirus del PC.