Kaspersky Lab è lieto di sottoporre all'attenzione degli utenti la classifica relativa alla diffusione del malware nel mese di luglio 2009
Kaspersky Lab è lieto di sottoporre all'attenzione degli utenti la classifica relativa alla diffusione del malware nel mese di luglio 2009. Ricordiamo che tali classifiche vengono stilate mensilmente, sulla base dei dati acquisiti tramite Kaspersky Security Network (KSN).
| Posizione | Rispetto al mese scorso | Programma malware | Numero dei computer infetti |
|---|---|---|---|
| 1 | Net-Worm.Win32.Kido.ih | 51126 | |
| 2 | Virus.Win32.Sality.aa | 24984 | |
| 3 | Trojan-Downloader.Win32.VB.eql | 9472 | |
| 4 | Trojan.Win32.Autoit.ci | 8250 | |
| 5 | Worm.Win32.AutoRun.dui | 6514 | |
| 6 | Virus.Win32.Virut.ce | 5667 | |
| 7 | Virus.Win32.Sality.z | 5525 | |
| 8 | Net-Worm.Win32.Kido.jq | 5496 | |
| 9 | Worm.Win32.Mabezat.b | 4675 | |
| 10 | Net-Worm.Win32.Kido.ix | 4055 | |
| 11 | Trojan-Dropper.Win32.Flystud.ko | 3764 | |
| 12 | Packed.Win32.Klone.bj | 3677 | |
| 13 | Virus.Win32.Alman.b | 3571 | |
| 14 | Worm.Win32.AutoIt.i | 3524 | |
| 15 | Packed.Win32.Black.a | 3472 | |
| 16 | Trojan-Downloader.JS.LuckySploit.q | 3335 | |
| 17 | Email-Worm.Win32.Brontok.q | 3007 | |
| 18 | not-a-virus:AdWare.Win32.Shopper.v | 2841 | |
| 19 | Worm.Win32.AutoRun.rxx | 2798 | |
| 20 | P2P-Worm.Win32.Palevo.jaj | 2719 |
La prima Top20 contiene programmi malware, adware, programmi potenzialmente pericolosi e indesiderati che sono stati identificati e neutralizzati utilizzando lo scanner “on-access”. Le statistiche “on-access” permettono di analizzare i programmi malware più recenti, nel momento stesso in cui vengono rilevati sui computer degli utenti, o quando vengono scaricati dalla Rete.
Nel mese di luglio sono avvenuti pochi cambiamenti nella prima classifica, Kido e Sality occupano ancora le posizioni di testa con un notevole scarto. In termini assoluti però, le cifre dei programmi nocivi più popolari sono leggermente diminuite. Probabilmente, ciò è dovuto al fatto che nel pieno dell’estate gli utenti trascorrono meno tempo al computer e, di conseguenza, diminuisce la quantità di malware che li colpisce.
| Posizione | Rispetto al mese scorso | Programma malware | Numero delle pagine web infette |
|---|---|---|---|
| 1 | Trojan-Downloader.JS.Gumblar.a | 8538 | |
| 2 | Trojan-Clicker.HTML.IFrame.kr | 7805 | |
| 3 | Trojan-Downloader.HTML.IFrame.sz | 5213 | |
| 4 | Trojan-Downloader.JS.LuckySploit.q | 4719 | |
| 5 | Trojan-Downloader.HTML.FraudLoad.a | 4626 | |
| 6 | Trojan-Downloader.JS.Major.c | 3778 | |
| 7 | Trojan-GameThief.Win32.Magania.biht | 2911 | |
| 8 | Trojan-Downloader.JS.ShellCode.i | 2652 | |
| 9 | Trojan-Clicker.HTML.IFrame.mq | 2576 | |
| 10 | Exploit.JS.DirektShow.o | 2476 | |
| 11 | Trojan.JS.Agent.aat | 2402 | |
| 12 | Exploit.JS.DirektShow.j | 2367 | |
| 13 | Exploit.HTML.CodeBaseExec | 2266 | |
| 14 | Exploit.JS.Pdfka.gu | 2194 | |
| 15 | Trojan-Downloader.VBS.Psyme.ga | 2007 | |
| 16 | Exploit.JS.DirektShow.a | 1988 | |
| 17 | Trojan-Downloader.Win32.Agent.cdam | 1947 | |
| 18 | Trojan-Downloader.JS.Agent.czm | 1815 | |
| 19 | Trojan-Downloader.JS.Iframe.ayt | 1810 | |
| 20 | Trojan-Downloader.JS.Iframe.bew | 1766 |
A differenza della prima, la seconda classifica è molto più interessante. Presenta i dati elaborati dal componente web anti-virus e mostra il panorama delle minacce online. La seconda Top20, risponde in pratica a due domande: “Quale malware infetta più degli altri le pagine web?” e “Qual è il codice maligno più scaricato dalle pagine infette? (con la consapevolezza dell’utente o senza).
Scorrendo la tabella, notiamo subito tre rappresentanti degli script exploit DirektShow. Sulla vulnerabilità di Internet Explorer sfruttata da questo script, abbiamo fornito delle informazioni dettagliate all’interno del nostro blog (scritto in lingua inglese) viruslist.com/en/weblog?discuss=208187760. Considerando che la maggior parte dei navigatori utilizza Internet Explorer, non sorprende che lo sfruttamento di tale vulnerabilità sia divenuto un metodo molto popolare tra i criminali informatici. Ultimamente abbiamo riscontrato la tendenza a suddividere gli script in più parti: è così per DirektShow, la cui pagina principale contiene un link ad un altro script, dal quale viene scaricato uno shellcode con relativo carico “maligno”.
All’ottavo posto Trojan-Downloader.JS.ShellCode.i è lo shellcode più diffuso, impiegato negli attacchi che sfruttano le vulnerabilità di IE. Questo metodo non presenta difficoltà, anche se non si rivela molto conveniente per chi lo impiega: lo script con shellcode può essere sostituito in qualsiasi momento, senza che il link alla pagina principale cambi. Tale struttura complica, se non rende addirittura impossibile, l’analisi e l’ulteriore rilevamento di tali malware.
È noto che per semplificare la distribuzione del malware (nello specifico di ransomware nella forma di applicazioni anti-virus non autorizzate), si usa spesso un modello standard. Trojan-Downloader.HTML.FraudLoad.a è un esempio di questo approccio, si tratta proprio di uno di questi modelli standard. Questo tipo di malware sta diventando sempre più popolare nel mondo del cybercrime, il risultato di questa tendenza è osservabile nell’enorme numero di siti web che annunciano all’utente lo stato di infezione e pericolo del computer, chiedendo di scaricare programmi che spesso pongono una sera minaccia alla sicurezza dell’utente.
Alla ventesima posizione, troviamo Trojan-Downloader.JS.Iframe.bew, proprio uno degli script usati per scaricare malware da questi siti.
La seconda classifica, offre una panoramica delle minacce più recenti delle tendenze sul loro sviluppo. In primo luogo, i criminali informatici si stanno concentrando sulla ricerca di nuove vulnerabilità tra i software più diffusi, allo scopo di sfruttarle per ottenere l’infezione dei computer tramite uno o più programmi “maligni”.<//p>
Inoltre, i cybercriminali tentano di nascondere la propria attività in modo da passare inosservati. Tutto ciò complica la vita anche all’utente più esperto che, navigando in Internet senza gli aggiornamenti del sistema operativo (le patch) o con un anti-virus non aggiornato, potrebbe trovarsi a navigare in “acque infestate”.
Paesi in cui si osserva una maggior quantità di tentativi di infezione via web:
