Kaspersky Lab è lieta di sottoporre all'attenzione degli utenti la classifica relativa alla diffusione del malware nel mese di agosto 2009
Kaspersky Lab è lieta di sottoporre all'attenzione degli utenti la classifica relativa alla diffusione del malware nel mese di agosto 2009. Ricordiamo che tali classifiche vengono stilate mensilmente, sulla base dei dati acquisiti tramite Kaspersky Security Network (KSN).
| Posizione | Rispetto al mese scorso | Programma malware | Numero dei computer infetti |
|---|---|---|---|
| 1 | Net-Worm.Win32.Kido.ih | 48281 | |
| 2 | Virus.Win32.Sality.aa | 23156 | |
| 3 | not-a-virus:AdWare.Win32.Boran.z | 16872 | |
| 4 | Trojan-Downloader.Win32.VB.eql | 8030 | |
| 5 | Trojan.Win32.Autoit.ci | 7846 | |
| 6 | Virus.Win32.Virut.ce | 6248 | |
| 7 | Worm.Win32.AutoRun.dui | 5516 | |
| 8 | Net-Worm.Win32.Kido.jq | 5446 | |
| 9 | Virus.Win32.Sality.z | 5157 | |
| 10 | Virus.Win32.Induc.a | 4476 | |
| 11 | Worm.Win32.Mabezat.b | 3982 | |
| 12 | Net-Worm.Win32.Kido.ix | 3579 | |
| 13 | Packed.Win32.Klone.bj | 3579 | |
| 14 | Trojan.Win32.Swizzor.b | 3327 | |
| 15 | Packed.Win32.Katusha.b | 3139 | |
| 16 | Worm.Win32.AutoIt.i | 3076 | |
| 17 | not-a-virus:AdWare.Win32.Shopper.v | 2947 | |
| 18 | Trojan-Dropper.Win32.Flystud.yo | 2745 | |
| 19 | Email-Worm.Win32.Brontok.q | 2706 | |
| 20 | P2P-Worm.Win32.Palevo.jaj | 2664 |
La prima Top20 contiene programmi malware, adware, programmi potenzialmente pericolosi e indesiderati che sono stati identificati e neutralizzati utilizzando lo scanner “on-access”. Le statistiche “on-access” permettono di analizzare i programmi malware più recenti, nel momento stesso in cui vengono rilevati sui computer degli utenti, o quando vengono scaricati dalla Rete.
I leader storici della nostra classifica, Net-Worm.Win32.Kido.ih e Virus.Win32.Sality.aa, hanno mantenuto le loro posizioni. Ma ad agosto sono apparsi sei nuovi arrivati, tra i quali alcuni degni di nota.
Il più interessante è Virus.Win32.Induc.a, del quale abbiamo discusso più volte nella sezione news del blog. È importante notare che il meccanismo di riproduzione di Virus.Win32.Induc.a è a due fasi e sfrutta l'ambiente Delphi: il codice sorgente del virus viene inserito e compilato nei moduli .dcu intermedi che vengono in seguito compilati per ottenere i file eseguibili in ambiente Windows. Considerando che in tal modo molti prodotti software possono essere infettati da questo virus già in fase di compilazione, non sorprende che, appena individuato, sia già al decimo posto in classifica.
Ancora più in alto, direttamente al terzo posto della classifica troviamo un'altra novità: not-a-virus:AdWare.Win32.Boran.z – componente del pannello strumenti Baidu Toolbar per Internet Explorer, molto popolare in Cina. Questo malware utilizza diverse tecnologie rootkit per rendere più difficile agli utenti la sua rimozione manuale.
Trojan.Win32.Swizzor.b e Packed.Win32.Katusha.b, rispettivamente al quattordicesimo e quindicesimo posto, sono entrati nella nostra classifica più rapidamente dei loro predecessori. Entrambe le new entry si distinguono per il loro elevato grado di perfezionamento, complessità e ricercatezza rispetto al passato.
Il worm P2P-Worm.Win32.Palevo.ddm, apparso per la prima volta a maggio, ha preso il posto del suo predecessore, Palevo.jaj, che occupava l'ultima posizione in classifica. Va detto che questo worm è molto pericoloso: oltre a diffondersi nelle reti di file sharing, infetta anche le memorie di massa e si diffonde attraverso i servizi di messaggistica istantanea. Inoltre, dispone di notevoli funzionalità backdoor, che permettono ai malintenzionati di utilizzare i computer infetti con grande flessibilità.
Nel complesso, la prestazione più notevole del mese è stata registrata da Virus.Win32.Induc, che ha introdotto una nuova modalità di contagio dei computer. Per il resto riportiamo una certa stabilità nel primo gruppo, soprattutto se paragonato al secondo.
La seconda tabella è stata redatta sulla base dei dati ottenuti dall'antivirus on-line e rappresenta la situazione riscontrata nella rete. In questa classifica si trovano i malware che sono stati individuati nelle pagine Web nonché tutti quelli i cui tentativi di caricamento avvengono attraverso pagine Web.
| Posizione | Rispetto al mese scorso | Programma malware | Numero delle pagine web infette |
|---|---|---|---|
| 1 | not-a-virus:AdWare.Win32.Boran.z | 16760 | |
| 2 | Trojan-Downloader.HTML.IFrame.sz | 5228 | |
| 3 | Trojan.JS.Redirector.l | 4693 | |
| 4 | Trojan-Downloader.JS.Gumblar.a | 4608 | |
| 5 | Trojan-Clicker.HTML.Agent.w | 4564 | |
| 6 | Exploit.JS.DirektShow.k | 4475 | |
| 7 | Trojan-GameThief.Win32.Magania.biht | 4416 | |
| 8 | Trojan-Downloader.JS.LuckySploit.q | 3416 | |
| 9 | Trojan-Clicker.HTML.IFrame.kr | 3323 | |
| 10 | Trojan-Downloader.JS.Major.c | 2688 | |
| 11 | Exploit.JS.Sheat.c | 2684 | |
| 12 | Trojan-Downloader.JS.FraudLoad.d | 2553 | |
| 13 | Trojan-Clicker.HTML.IFrame.mq | 2367 | |
| 14 | Trojan.JS.Agent.aat | 2246 | |
| 15 | Exploit.JS.DirektShow.j | 2128 | |
| 16 | Trojan-Downloader.JS.IstBar.bh | 1973 | |
| 17 | Trojan-Downloader.JS.Iframe.bmu | 1933 | |
| 18 | Exploit.JS.DirektShow.l | 1838 | |
| 19 | Exploit.JS.DirektShow.q | 1753 | |
| 20 | Trojan-Downloader.Win32.Agent.ckwd | 1504 |
Nel mese di agosto la seconda Top 20 è costituita per più della metà da nuovi esempi delle attività dei criminali informatici.
Al primo posto troviamo sempre not-a-virus:AdWare.Win32.Boran.z, di cui abbiamo già parlato. Un mese fa abbiamo parlato della vulnerabilità di Internet Explorer sfruttata dall'exploit che i nostri antivirus identificano come Exploit.JS.DirektShow. A luglio erano presenti tre varianti: .a, .j e .o. Oggi ne troviamo quattro versioni. Ciò significa che lo sfruttamento di tale vulnerabilità rimane molto popolare. Probabilmente i cybercriminali presumono che molti utenti non abbiano ancora installato le patch appropriate e continuano i loro tentativi di attacco attraverso questa falla.
Un'altra vulnerabilità, questa volta di Microsoft Office, è stata sfruttata intensamente dai criminali informatici in agosto: una delle varianti dell'exploit in oggetto, che il nostro antivirus identifica come Exploit.JS.Sheat, ha raggiunto l'undicesimo posto in classifica.
In Internet vi sono molte pagine da cui si diffondono antivirus falsi. Uno degli script con cui è possibile ottenere questo scopo si trova al dodicesimo posto della nostra classifica. Kaspersky Antivirus lo identifica come Trojan-Downloader.JS.FraudLoad.d. Quando l'utente arriva su un sito contenente questo script, gli viene comunicato che il suo computer potrebbe essere stato infettato da una grande quantità di malware, e ne propone la rimozione. Se l'utente accetta, nel suo computer viene caricato un antivirus fittizio, FraudTool.
Il trojan Redirector.l agisce reindirizzando le ricerche dell'utente su alcuni server specifici per aumentare il numero delle visite agli stessi, mentre il downloader Iframe.bmu è il tipico contenitore che nasconde al suo interno diversi exploit, in questo caso per prodotti Adobe.
Il trend riscontrato a luglio si mantiene inalterato: i criminali informatici continuano a sfruttare le vulnerabilità contenute nei diversi prodotti software. Inoltre, si diffondono in modo dinamico i falsi antivirus e i semplici clicker iframe. È possibile prevedere che la situazione si mantenga inalterata, poiché con tali schemi i cybercriminali vanno praticamente a colpo sicuro.
Provenienza del malware per aree geografiche:
