Kaspersky Lab è lieta di sottoporre all'attenzione degli utenti la classifica relativa alla diffusione dei diversi tipi di malware in Ottobre.
Kaspersky Lab è lieta di sottoporre all'attenzione degli utenti la classifica relativa alla diffusione dei diversi tipi di malware in Ottobre. A partire da questo mese, la nostra classifica viene compilata con i dati relativi a tutti i prodotti che dispongono del supporto di KSN: alla versione 2009 abbiamo aggiunto la 2010. Per questo motivo le due Top 20 ottenute dal lavoro di Kaspersky Security Network, sono leggermente cambiate rispetto al solito. Inoltre, in entrambe le Top 20 abbiamo riscontrato una crescita considerevole degli indici, dovuta al fatto che il numero di utenti "guariti" grazie al KSN è aumentato notevolmente.
Nella prima tabella troviamo quei programmi dannosi e potenzialmente indesiderati che sono stati individuati sui computer degli utenti e neutralizzati al primo contatto.
| Posizione | Rispetto al mese scorso | Programma malware | Numero dei computer infetti |
|---|---|---|---|
| 1 | Net-Worm.Win32.Kido.ir | 344745 | |
| 2 | Net-Worm.Win32.Kido.ih | 126645 | |
| 3 | not-a-virus:AdWare.Win32.Boran.z | 114776 | |
| 4 | Virus.Win32.Sality.aa | 87839 | |
| 5 | Worm.Win32.FlyStudio.cu | 70163 | |
| 6 | Trojan-Downloader.Win32.VB.eql | 52012 | |
| 7 | Virus.Win32.Induc.a | 49251 | |
| 8 | Packed.Win32.Black.d | 39666 | |
| 9 | Worm.Win32.AutoRun.awkp | 35039 | |
| 10 | Virus.Win32.Virut.ce | 33354 | |
| 11 | Packed.Win32.Black.a | 31530 | |
| 12 | Worm.Win32.AutoRun.dui | 25370 | |
| 13 | Trojan-Dropper.Win32.Flystud.yo | 24038 | |
| 14 | Trojan-Dropper.Win32.Agent.bcyx | 22471 | |
| 15 | Packed.Win32.Klone.bj | 21919 | |
| 16 | Trojan.Win32.Swizzor.b | 19496 | |
| 17 | Trojan-Downloader.WMA.GetCodec.s | 18571 | |
| 18 | Worm.Win32.Mabezat.b | 19708 | |
| 19 | Trojan-GameThief.Win32.Magania.cbrt | 17610 | |
| 20 | Trojan-Dropper.Win32.Agent.ayqa | 16909 |
Net-Worm.Win32.Kido.ir, apparso per la prima volta a settembre, ha raggiunto la vetta della Top 20, spodestando il campione di lungo corso Kido.ih, ulteriore conferma del fatto che le memorie di massa e i dispositivi mobili sono tra le principali fonti d'infezione.
Una parola sui dispositivi mobili: al rappresentante consolidato della categoria, il worm Autorun.dui, si è unito il worm analogo Autorun.awkp, balzato immediatamente al 9œ posto. Sotto questo nome si nascondono altri file, che scaricano automaticamente i malware sui dispositivi mobili.
Questo mese abbiamo poi assistito al ritorno di vecchi protagonisti della prima Top 20: Packed.Win32.Black.a, Packed.Win32.Klone.bj e Trojan.Win32.Swizzor.b. Inoltre, a Black.a si è unita la nuova versione: Black.d. Ricordiamo che alla famiglia Packed.Win32.Black appartengono programmi che vengono attivati grazie all'utilizzo di versioni non autorizzate di utility (legali) per la protezione dei file eseguibili. Nella fattispecie si tratta di ASProtect, molto popolare tra i cybercriminali.
Il downloader multimediale GetCodec.s è il fratello di GetCodec.r, del quale abbiamo già parlato a dicembre scorso (www.securelist.com/ru): si diffonde utilizzando il medesimo worm P2P-Worm.Win32.Nugg.
Torna ad essere attiva la famiglia Magania, un tempo molto nota: a luglio Trojan-GameThief.Win32.Magania.biht è entrato nella Top 20 dei malware più diffusi su Internet. Ad ottobre una nuova versione del malware, Magania.cbrt, insieme al Trojan-Dropper.Win32.Agent.ayqa, anch'esso legato a questa famiglia, sono entrati nella lista dei 20 malware più frequentemente individuati sui computer degli utenti.
Complessivamente, in questo mese, abbiamo riscontrato innanzitutto un'attiva diffusione dei malware attraverso i dispositivi mobili digitali, e anche l'attività di Trojan per giochi on-line, fenomeno per ora non preoccupante ma comunque degno di attenzione.
La seconda tabella descrive la situazione su Internet. In questa classifica si trovano infatti malware che sono stati individuati nelle pagine Web nonché tutti quelli i cui tentativi di caricamento avvengono sempre attraverso le pagine Web.
In questa seconda Top 20, come al solito, la situazione è piuttosto vivace e variegata.
| Posizione | Rispetto al mese scorso | Programma malware | Numero di tentativi di download |
|---|---|---|---|
| 1 | Trojan-Downloader.JS.Gumblar.x | 459779 | |
| 2 | Trojan-Downloader.JS.Gumblar.w | 281057 | |
| 3 | Trojan-Downloader.HTML.IFrame.sz | 192063 | |
| 4 | not-a-virus:AdWare.Win32.Boran.z | 171278 | |
| 5 | Trojan.JS.Redirector.l | 157494 | |
| 6 | Trojan-Clicker.HTML.Agent.aq | 118361 | |
| 7 | Trojan-Downloader.JS.Zapchast.m | 112710 | |
| 8 | Trojan.JS.Agent.aat | 107132 | |
| 9 | Trojan-Downloader.JS.Small.oj | 60425 | |
| 10 | Exploit.JS.Agent.apw | 50939 | |
| 11 | Exploit.JS.Pdfka.ti | 46303 | |
| 12 | Trojan.JS.Popupper.f | 39204 | |
| 13 | Trojan-Downloader.JS.IstBar.bh | 34944 | |
| 14 | Trojan.JS.Zapchast.an | 30546 | |
| 15 | Trojan-Downloader.JS.LuckySploit.q | 29105 | |
| 16 | Trojan-Downloader.JS.Agent.env | 27405 | |
| 17 | Trojan-Dropper.Win32.Agent.ayqa | 26994 | |
| 18 | Trojan-Clicker.HTML.IFrame.mq | 26057 | |
| 19 | Trojan-GameThief.Win32.Magania.bwsr | 26032 | |
| 20 | Exploit.JS.Agent.anr | 25517 |
I primi due posti in classifica li hanno conquistati due nuove versioni del downloader script Gumblar che, apparso alla fine del mese, ha già raggiunto posizioni di testa.
Nelle nuove versioni di Gumblar la tecnologia di infezione dei siti Web è diventata ancora più sofisticata. Nella prima versione le pagine di siti del tutto legali infettavano direttamente il cuore dello script, grazie al quale, all'insaputa del visitatore della pagina, veniva utilizzato uno script situato sul sito del cybercriminale. Oggi nelle risorse Internet compromesse vengono inseriti link a script malware, a loro volta situati su altre risorse Internet perfettamente legali e già infettate, fatto che complica il processo di analisi e pulizia delle reti.
Lo stesso script inoltre prova a sfruttare alcune vulnerabilità di Adobe Acrobat/Reader Adobe Acrobat/Reader (http://cve.mitre.org/cgi-bin/cvename.cgi?name=2007-5659, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2992, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927), Adobe Flash Player (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0071), Microsoft Office (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2496) per scaricare il malware principale: Trojan-PSW.Win32.Kates.j. Alcune varianti dello script nascondono al proprio interno il trojan menzionato in precedenza, e al momento dell'esecuzione tentano di scaricare Kates.j sul computer dell'utente e di metterlo immediatamente in esecuzione automatica. Lo scopo principale di questo tipo di infezione è il furto di dati sensibili dell'utente, nella fattispecie quelli utilizzati per l'accesso ai siti Web, che vengono in seguito infettati.
Va detto, nonostante l'attacco effettuato con l'aiuto di Gumblar sia stato progettato in modo molto attento, già nei primi giorni dell'attacco i nostri specialisti sono riusciti a individuare e a collegare in modo efficiente tutti i tasselli del puzzle criminale. La tecnica della suddivisione dello script in diverse parti sta diventando sempre più popolare. In questo mese, dei 20 componenti della classifica dei malware, un quarto è strutturato secondo tale principio: Trojan-Downloader.JS.Zapchast.n, Trojan-Downloader.JS.Small.oj, Exploit.JS.Agent.apw, Trojan.JS.Zapchast.an eTrojan-Downloader.JS.Agent.env.
Inoltre, tra i venti malware più diffusi su Internet sono apparsi Trojan-Dropper.Win32.Agent.ayqa, di cui abbiamo parlato poco sopra, e un esempio di un altro tipo di programma, pensato per il furto delle password dei giochi on-line: Trojan-GameThief.Win32.Magania.bwsr.
Riassumendo, l'evento principale del mese per quanto riguarda Internet si può senza dubbio considerare l'infezione di massa di siti legali attraverso nuove versioni del downloader script Gumblar. In aggiunta a ciò, si riscontra una notevole attività nell'uso di tecnologie di suddivisione degli script in diverse parti per complicarne l'analisi e l'individuazione.
I paesi in cui si riscontra una maggiore quantità di tentativi di infezione via Web sono:
