Kaspersky Lab è
lieta di sottoporre all’attenzione degli utenti la classifica relativa alla
diffusione del malware nel mese di agosto 2009. Ricordiamo che tali classifiche vengono stilate mensilmente,
sulla base dei dati acquisiti tramite Kaspersky Security Network (KSN). Kaspersky Lab è lieta di sottoporre all’attenzione degli utenti la classifica relativa alla diffusione del malware nel mese di agosto 2009. Ricordiamo che tali classifiche vengono stilate mensilmente, sulla base dei dati acquisiti tramite Kaspersky Security Network (KSN).
1 Net-Worm.Win32.Kido.ih 0 48281 2 Virus.Win32.Sality.aa 0 23156 3 not-a-virus:AdWare.Win32.Boran.z Nuovo 16872 4 Trojan-Downloader.Win32.VB.eql -1 8030 5 Trojan.Win32.Autoit.ci -1 7846 6 Virus.Win32.Virut.ce 0 6248 7 Worm.Win32.AutoRun.dui -2 5516 8 Net-Worm.Win32.Kido.jq 0 5446 9 Virus.Win32.Sality.z -2 5157 10 Virus.Win32.Induc.a Nuovo 4476 11 Worm.Win32.Mabezat.b -2 3982 12 Net-Worm.Win32.Kido.ix -2 3579 13 Packed.Win32.Klone.bj -1 3579 14 Trojan.Win32.Swizzor.b Nuovo 3327 15 Packed.Win32.Katusha.b Nuovo 3139 16 Worm.Win32.AutoIt.i -2 3076 17 not-a-virus:AdWare.Win32.Shopper.v 1 2947 18 Trojan-Dropper.Win32.Flystud.yo Nuovo 2745 19 Email-Worm.Win32.Brontok.q -2 2706 20 P2P-Worm.Win32.Palevo.jaj Nuovo 2664
La prima Top20 contiene programmi malware, adware, programmi potenzialmente pericolosi e indesiderati che sono stati identificati e neutralizzati utilizzando lo scanner “on-access”. Le statistiche “on-access” permettono di analizzare i programmi malware più recenti, nel momento stesso in cui vengono rilevati sui computer degli utenti, o quando vengono scaricati dalla Rete.
I leader storici della nostra classifica, Net-Worm.Win32.Kido.ih e Virus.Win32.Sality.aa, hanno mantenuto le loro posizioni. Ma ad agosto sono apparsi sei nuovi arrivati, tra i quali alcuni degni di nota.
Il più interessante è Virus.Win32.Induc.a, del quale abbiamo discusso più volte nella sezione news del blog (http://www.viruslist.com/en/weblog?weblogid=208187832). È importante notare che il meccanismo di riproduzione di Virus.Win32.Induc.a è a due fasi e sfrutta l’ambiente Delphi: il codice sorgente del virus viene inserito e compilato nei moduli .dcu intermedi che vengono in seguito compilati per ottenere i file eseguibili in ambiente Windows. Considerando che in tal modo molti prodotti software possono essere infettati da questo virus già in fase di compilazione, non sorprende che, appena individuato, sia già al decimo posto in classifica.
Ancora più in alto, direttamente al terzo posto della classifica troviamo un’altra novità: not-a-virus:AdWare.Win32.Boran.z – componente del pannello strumenti Baidu Toolbar per Internet Explorer, molto popolare in Cina. Questo malware utilizza diverse tecnologie rootkit per rendere più difficile agli utenti la sua rimozione manuale.
Trojan.Win32.Swizzor.b e Packed.Win32.Katusha.b, rispettivamente al quattordicesimo e quindicesimo posto, sono entrati nella nostra classifica più rapidamente dei loro predecessori. Entrambe le new entry si distinguono per il loro elevato grado di perfezionamento, complessità e ricercatezza rispetto al passato.
Il worm P2P-Worm.Win32.Palevo.ddm, apparso per la prima volta a maggio, ha preso il posto del suo predecessore, Palevo.jaj, che occupava l’ultima posizione in classifica. Va detto che questo worm è molto pericoloso: oltre a diffondersi nelle reti di file sharing, infetta anche le memorie di massa e si diffonde attraverso i servizi di messaggistica istantanea. Inoltre, dispone di notevoli funzionalità backdoor, che permettono ai malintenzionati di utilizzare i computer infetti con grande flessibilità.
Nel complesso, la prestazione più notevole del mese è stata registrata da Virus.Win32.Induc, che ha introdotto una nuova modalità di contagio dei computer. Per il resto riportiamo una certa stabilità nel primo gruppo, soprattutto se paragonato al secondo.
La seconda tabella è stata redatta sulla base dei dati ottenuti dall’antivirus on-line e rappresenta la situazione riscontrata nella rete. In questa classifica si trovano i malware che sono stati individuati nelle pagine Web nonché tutti quelli i cui tentativi di caricamento avvengono attraverso pagine Web.
1 not-a-virus:AdWare.Win32.Boran.z Nuovo 16760 2 Trojan-Downloader.HTML.IFrame.sz 1 5228 3 Trojan.JS.Redirector.l Nuovo 4693 4 Trojan-Downloader.JS.Gumblar.a -3 4608 5 Trojan-Clicker.HTML.Agent.w Nuovo 4564 6 Exploit.JS.DirektShow.k Nuovo 4475 7 Trojan-GameThief.Win32.Magania.biht 0 4416 8 Trojan-Downloader.JS.LuckySploit.q -4 3416 9 Trojan-Clicker.HTML.IFrame.kr -7 3323 10 Trojan-Downloader.JS.Major.c -4 2688 11 Exploit.JS.Sheat.c Nuovo 2684 12 Trojan-Downloader.JS.FraudLoad.d Nuovo 2553 13 Trojan-Clicker.HTML.IFrame.mq -4 2367 14 Trojan.JS.Agent.aat -3 2246 15 Exploit.JS.DirektShow.j -3 2128 16 Trojan-Downloader.JS.IstBar.bh Nuovo 1973 17 Trojan-Downloader.JS.Iframe.bmu Nuovo 1933 18 Exploit.JS.DirektShow.l Nuovo 1838 19 Exploit.JS.DirektShow.q Nuovo 1753 20 Trojan-Downloader.Win32.Agent.ckwd Nuovo 1504
Nel mese di agosto la seconda Top 20 è costituita per più della metà da nuovi esempi delle attività dei criminali informatici.
Al primo posto troviamo sempre not-a-virus:AdWare.Win32.Boran.z, di cui abbiamo già parlato. Un mese fa abbiamo parlato della vulnerabilità di Internet Explorer sfruttata dall’exploit che i nostri antivirus identificano come Exploit.JS.DirektShow (http://www.microsoft.com/technet/security/bulletin/MS09-028.mspx).
A luglio erano presenti tre varianti: .a, .j e .o. Oggi ne troviamo quattro versioni. Ciò significa che lo sfruttamento di tale vulnerabilità rimane molto popolare. Probabilmente i cybercriminali presumono che molti utenti non abbiano ancora installato le patch appropriate e continuano i loro tentativi di attacco attraverso questa falla.
Un’altra vulnerabilità, questa volta di Microsoft Office, è stata sfruttata intensamente dai criminali informatici in agosto: una delle varianti dell’exploit in oggetto, che il nostro antivirus identifica come Exploit.JS.Sheat, ha raggiunto l’undicesimo posto in classifica (http://www.microsoft.com/technet/security/bulletin/MS09-043.mspx).
In Internet vi sono molte pagine da cui si diffondono antivirus falsi. Uno degli script con cui è possibile ottenere questo scopo si trova al dodicesimo posto della nostra classifica. Kaspersky Antivirus lo identifica come Trojan-Downloader.JS.FraudLoad.d. Quando l’utente arriva su un sito contenente questo script, gli viene comunicato che il suo computer potrebbe essere stato infettato da una grande quantità di malware, e ne propone la rimozione. Se l’utente accetta, nel suo computer viene caricato un antivirus fittizio, FraudTool.
Il trojan Redirector.l agisce reindirizzando le ricerche dell’utente su alcuni server specifici per aumentare il numero delle visite agli stessi, mentre il downloader Iframe.bmu è il tipico contenitore che nasconde al suo interno diversi exploit, in questo caso per prodotti Adobe.
Il trend riscontrato a luglio si mantiene inalterato: i criminali informatici continuano a sfruttare le vulnerabilità contenute nei diversi prodotti software. Inoltre, si diffondono in modo dinamico i falsi antivirus e i semplici clicker iframe. È possibile prevedere che la situazione si mantenga inalterata, poiché con tali schemi i cybercriminali vanno praticamente a colpo sicuro.
Provenienza del malware per aree geografiche
