Nel corso del mese di febbraio sui computer degli utenti...
Febbraio in cifre
Nel corso del mese nei computer degli utenti dei prodotti Kaspersky Lab:
- sono stati respinti 228 649 852 attacchi della rete;
- sono stati bloccati 70 465 949 tentativi di infezione via Internet;
- sono stati individuati e neutralizzati 252 187 961 programmi malware (tentativi di infezione locale);
- sono state registrate 75 748 743 attivazioni di analisi euristiche.
Attacchi drive-by: i cybercriminali vanno perfezionandosi
Il mese di febbraio è stato caratterizzato da un significativo aumento della popolarità di un nuovo metodo di diffusione dei malware: i cybercriminali hanno cominciato a utilizzare i fogli di stile a cascata (CSS) per depositare la parte di dati dello script downloader, accorgimento che per molti antivirus complica notevolmente il rilevamento degli script maligni. Questo metodo viene utilizzato ora nella maggior parte degli attacchi drive-by e consente ai cybercriminali di proteggere gli exploit responsabili del download da un eventuale rilevamento.
Nel corso di un attacco drive-by da parte di un sito infetto, in genere per mezzo di IFrame, l'utente viene reindirizzato alla pagina contenente il CSS e lo script downloader maligno. Nella TOP 20 di Internet si sono piazzati subito tre programmi maligni che effettuano un simile reindirizzamento: il Trojan-Downloader.HTML.Agent.sl (1œ posto), l'Exploit.JS.StyleSheeter.b (13œ posto) e il Trojan.JS.Agent.bte (19œ posto).
Gli script downloader delle pagine web infette eseguono due tipi di exploit: uno dei due, che sfrutta la vulnerabilità CVE-2010-1885, è stato da noi individuato come Exploit.HTML.CVE-2010-1885.ad (4œ posto). Questo exploit è stato responsabile in media di ben 10.000 attivazioni dell'antivirus al giorno nei computer dei singoli utenti.
Il secondo tipo di exploit sfrutta la vulnerabilità CVE-2010-0840. Gli exploit di questo tipo sono stati da noi individuati come Trojan.Java.Agent.ak (7œ posto), Trojan-Downloader.Java.OpenConnection.dc (9œ posto) e Trojan-Downloader.Java.OpenConnection.dd (3œ posto).
Mentre avevamo già incontrato in passato exploit che sfruttano la prima delle suddette vulnerabilità, lo sfruttamento attivo della vulnerabilità CVE-2010-0840 rappresenta invece una novità del mese di febbraio.
La statistica del modulo euristico conferma che la tendenza a utilizzare i fogli di stile per proteggere gli exploit e quindi in fin dei conti per diffondere i malware è attualmente predominante negli attacchi drive-by perpetrati dai cybercriminali. La maggior parte dei domini nei quali avviene il reindirizzamento è già stata inserita nella nostra base antivirus web e viene rilevata come "blocked".
Vulnerabilità nei PDF: pericolo non ancora cessato
Secondo i dati statistici del nostro modulo euristico, il numero di singoli utenti presso i quali sono stati individuati exploit PDF, supera le 58.000 unità. Lo sfruttamento delle vulnerabilità dei file PDF rappresenta attualmente uno dei metodi più utilizzati per infettare i computer degli utenti. Uno degli exploit PDF, l'Exploit.JS.Pdfka.ddt, si è aggiudicato l'8œ posto della classifica dei malware riscontrati in Internet.
Il packed worm Palevo
Per mezzo del modulo di protezione euristica, il wrapper maligno utilizzato per proteggere il worm P2P Palevo è stato individuato nei computer di oltre 67.000 singoli utenti. Ricordiamo che è proprio questo worm il responsabile della creazione della botnet Mariposa che è stata chiusa dalla polizia spagnola. È probabile che la diffusione attiva di questo packed worm sia legata all'intenzione da parte dei cybercriminali di creare una nuova botnet o forse di ripristinare quella vecchia.
Il wrapper presenta un'interessante peculiarità, ossia aggiunge una serie di stringhe casuali al file che sottopone all'impacchettamento.
Minacce per i dispositivi mobili
Android
Sin dall'inizio di febbraio sono stati individuati alcuni nuovi malware per la piattaforma mobile Android. Uno di essi, il Trojan-Spy.AndroidOS.Adrd.a, opera secondo le modalità dei backdoor. Collegandosi a un server remoto, invia a quest'ultimo i dati di identificazione del telefono mobile (IMEI e IMSI). Il centro di controllo risponde inviando un'informazione che viene utilizzata dal malware per effettuare delle richieste al motore di ricerca in background. Tali richieste vengono sfruttate per aumentare i costi. Vale la pena notare che questo malware è stato individuato solo in repository cinesi. Un'altra minaccia che riguarda il sistema operativo Android è il Trojan-Spy.AndroidOS.Geinimi.a che si presenta come una versione "ottimizzata" della famiglia Adrd e non è stata rilevata solamente in Cina, ma anche negli Stati Uniti, in Spagna, in Brasile e in Russia.
Trojan-SMS in J2ME
Vale la pena menzionare che anche i malware per la piattaforma J2ME godono di altrettanta popolarità e diffusione. Per esempio, il Trojan-SMS.J2ME.Agent.cd si è meritato un posto nella classifica dei malware maggiormente diffusi in Internet (18œ posto). La sua funzione principale è quella di inviare SMS a numeri a pagamento. Il trojan si diffonde fondamentalmente per mezzo di link contenuti nei messaggi spam di ICQ. Questo malware predomina in Russia e in Spagna, mentre la sua diffusione in altri Paesi è pressoché irrilevante.
TOP 20 dei programmi malware in Internet
| Attuale posizione in classifica | Delta | Verdetto |
| 1 | Novità | Trojan-Downloader.HTML.Agent.sl |
| 2 | 18 | Trojan-Downloader.Java.OpenConnection.cx |
| 3 | Novità | Trojan-Downloader.Java.OpenConnection.dd |
| 4 | Novità | Exploit.HTML.CVE-2010-1885.ad |
| 5 | -1 | AdWare.Win32.FunWeb.gq |
| 6 | -5 | AdWare.Win32.HotBar.dh |
| 7 | Novità | Trojan.Java.Agent.ak |
| 8 | Novità | Exploit.JS.Pdfka.ddt |
| 9 | Novità | Trojan-Downloader.Java.OpenConnection.dc |
| 10 | Novità | Trojan.JS.Iframe.rg |
| 11 | -2 | Trojan-Downloader.Java.OpenConnection.cg |
| 12 | -7 | Trojan.HTML.Iframe.dl |
| 13 | Novità | Exploit.JS.StyleSheeter.b |
| 14 | -1 | Trojan.JS.Fraud.ba |
| 15 | -8 | Trojan-Clicker.JS.Agent.op |
| 16 | -8 | Trojan.JS.Popupper.aw |
| 17 | -7 | Trojan.JS.Agent.bhr |
| 18 | Novità | Trojan-SMS.J2ME.Agent.cd |
| 19 | -Novità | Trojan.JS.Agent.bte |
| 20 | -6 | Exploit.JS.Agent.bab |
TOP 20 malicious programs detected on users’ computers
| Attuale posizione in classifica | Delta | Verdetto |
| 1 | 0 | Net-Worm.Win32.Kido.ir |
| 2 | 0 | Virus.Win32.Sality.aa |
| 3 | 6 | HackTool.Win32.Kiser.zv |
| 4 | -1 | Net-Worm.Win32.Kido.ih |
| 5 | 2 | Virus.Win32.Sality.bh |
| 6 | -2 | Hoax.Win32.Screensaver.b |
| 7 | -2 | AdWare.Win32.HotBar.dh |
| 8 | 0 | Virus.Win32.Virut.ce |
| 9 | -3 | Trojan.JS.Agent.bhr |
| 10 | 1 | HackTool.Win32.Kiser.il |
| 11 | -1 | Packed.Win32.Katusha.o |
| 12 | 0 | Worm.Win32.FlyStudio.cu |
| 13 | 2 | Trojan-Downloader.Win32.VB.eql |
| 14 | 2 | Worm.Win32.Mabezat.b |
| 15 | 3 | Packed.Win32.Klone.bq |
| 16 | -2 | Trojan-Downloader.Win32.Geral.cnh |
| 17 | Novità | Trojan.Win32.Starter.yy |
| 18 | Novità | AdWare.Win32.FunWeb.gq |
| 19 | Rientro | Worm.Win32.Autoit.xl |
| 20 | Novità | Trojan-Downloader.HTML.Agent.sl |
