Kaspersky è lieto di sottoporre all’attenzione degli utenti la classifica relativa alla diffusione del malware nel mese di luglio 2009. Ricordiamo che tali classifiche vengono stilate mensilmente, sulla base dei dati acquisiti tramite Kaspersky Security Network (KSN).
1 Net-Worm.Win32.Kido.ih 0 51.126 2 Virus.Win32.Sality.aa 0 24.984 3 Trojan-Downloader.Win32.VB.eql 1 9.472 4 Trojan.Win32.Autoit.ci 2 8.250 5 Worm.Win32.AutoRun.dui 0 6.514 6 Virus.Win32.Virut.ce 1 5.667 7 Virus.Win32.Sality.z 3 5.525 8 Net-Worm.Win32.Kido.jq 1 5.496 9 Worm.Win32.Mabezat.b -1 4.675 10 Net-Worm.Win32.Kido.ix 4 4.055 11 Trojan-Dropper.Win32.Flystud.ko -8 3.764 12 Packed.Win32.Klone.bj 5 3.677 13 Virus.Win32.Alman.b -1 3.571 14 Worm.Win32.AutoIt.i 1 3.524 15 Packed.Win32.Black.a -2 3.472 16 Trojan-Downloader.JS.LuckySploit.q -5 3.335 17 Email-Worm.Win32.Brontok.q 1 3.007 18 not-a-virus:AdWare.Win32.Shopper.v 2 2.841 19 Worm.Win32.AutoRun.rxx 0 2.798 20 IM-Worm.Win32.Sohanad.gen New 2.719
La prima Top20 contiene programmi malware, adware, programmi potenzialmente pericolosi e indesiderati che sono stati identificati e neutralizzati utilizzando lo scanner “on-access”. Le statistiche “on-access” permettono di analizzare i programmi malware più recenti, nel momento stesso in cui vengono rilevati sui computer degli utenti, o quando vengono scaricati dalla Rete.
Nel mese di luglio sono avvenuti pochi cambiamenti nella prima classifica, Kido e Sality occupano ancora le posizioni di testa con un notevole scarto. In termini assoluti però, le cifre dei programmi nocivi più popolari sono leggermente diminuite. Probabilmente, ciò è dovuto al fatto che nel pieno dell’estate gli utenti trascorrono meno tempo al computer e, di conseguenza, diminuisce la quantità di malware che li colpisce.
1 Trojan-Downloader.JS.Gumblar.a 0 8.538 2 Trojan-Clicker.HTML.IFrame.kr 2 7.805 3 Trojan-Downloader.HTML.IFrame.sz 2 5.213 4 Trojan-Downloader.JS.LuckySploit.q -1 4.719 5 Trojan-Downloader.HTML.FraudLoad.a New 4.626 6 Trojan-Downloader.JS.Major.c 0 3.778 7 Trojan-GameThief.Win32.Magania.biht New 2.911 8 Trojan-Downloader.JS.ShellCode.i New 2.652 9 Trojan-Clicker.HTML.IFrame.mq -1 2.576 10 Exploit.JS.DirektShow.o New 2.476 11 Trojan.JS.Agent.aat -2 2.402 12 Exploit.JS.DirektShow.j New 2.367 13 Exploit.HTML.CodeBaseExec New 2.266 14 Exploit.JS.Pdfka.gu 0 2.194 15 Trojan-Downloader.VBS.Psyme.ga New 2.007 16 Exploit.JS.DirektShow.a New 1.988 17 Trojan-Downloader.Win32.Agent.cdam -10 1.947 18 Trojan-Downloader.JS.Agent.czm -5 1.815 19 Trojan-Downloader.JS.Iframe.ayt -17 1.810 20 Trojan-Downloader.JS.Iframe.bew New 1.766
A differenza della prima, la seconda classifica è molto più interessante. Presenta i dati elaborati dal componente web anti-virus e mostra il panorama delle minacce online. La seconda Top20, risponde in pratica a due domande: “Quale malware infetta più degli altri le pagine web?” e “Qual è il codice maligno più scaricato dalle pagine infette? (con la consapevolezza dell’utente o senza).
Scorrendo la tabella, notiamo subito tre rappresentanti degli script exploit DirektShow. Considerando che la maggior parte dei navigatori utilizza Internet Explorer, non sorprende che lo sfruttamento di tale vulnerabilità sia divenuto un metodo molto popolare tra i criminali informatici. Ultimamente abbiamo riscontrato la tendenza a suddividere gli script in più parti: è così per DirektShow, la cui pagina principale contiene un link ad un altro script, dal quale viene scaricato uno shellcode con relativo carico “maligno”.
All’ottavo posto Trojan-Downloader.JS.ShellCode.i è lo shellcode più diffuso, impiegato negli attacchi che sfruttano le vulnerabilità di IE. Questo metodo non presenta difficoltà, anche se non si rivela molto conveniente per chi lo impiega: lo script con shellcode può essere sostituito in qualsiasi momento, senza che il link alla pagina principale cambi. Tale struttura complica, se non rende addirittura impossibile, l’analisi e l’ulteriore rilevamento di tali malware.
È noto che per semplificare la distribuzione del malware (nello specifico di ransomware nella forma di applicazioni anti-virus non autorizzate), si usa spesso un modello standard. Trojan-Downloader.HTML.FraudLoad.a è un esempio di questo approccio, si tratta proprio di uno di questi modelli standard.
Questo tipo di malware sta diventando sempre più popolare nel mondo del cybercrime, il risultato di questa tendenza è osservabile nell’enorme numero di siti web che annunciano all’utente lo stato di infezione e pericolo del computer, chiedendo di scaricare programmi che spesso pongono una sera minaccia alla sicurezza dell’utente.
Alla ventesima posizione, troviamo Trojan-Downloader.JS.Iframe.bew, proprio uno degli script usati per scaricare malware da questi siti.
La seconda classifica, offre una panoramica delle minacce più recenti delle tendenze sul loro sviluppo. In primo luogo, i criminali informatici si stanno concentrando sulla ricerca di nuove vulnerabilità tra i software più diffusi, allo scopo di sfruttarle per ottenere l’infezione dei computer tramite uno o più programmi “maligni”.
Inoltre, i cybercriminali tentano di nascondere la propria attività in modo da passare inosservati. Tutto ciò complica la vita anche all’utente più esperto che, navigando in Internet senza gli aggiornamenti del sistema operativo (le patch) o con un anti-virus non aggiornato, potrebbe trovarsi a navigare in “acque infestate”.
