Kaspersky Lab sottopone all'attenzione degli utenti le classifiche relative alla diffusione dei diversi tipi di malware nel mese di ottobre.
Kaspersky Lab sottopone all'attenzione degli utenti le classifiche relative alla diffusione dei diversi tipi di malware nel mese di ottobre.
Anche se, in generale, il mese è trascorso in maniera relativamente tranquilla, desideriamo tuttavia richiamare l'attenzione su alcuni avvenimenti interessanti. All’inizio di ottobre è stato individuato il Virus.Win32.Murofet che ha infettato gran parte dei file PE eseguibili di Windows. La sua caratteristica principale consiste nel rigenerare dei link con l’ausilio di un particolare algoritmo che si basa sull’orario e sulla data attuale del computer infettato. Il virus rileva nel sistema le informazioni relative all’anno, al mese, al giorno e all’ora attuali, rigenera due parole doppie, calcola sulla loro base l’md5, aggiunge una delle possibili aree di dominio (.biz, .org, .com, .net, .info) e aggiunge alla fine della riga "/forum", dopodiché utilizza il link risultante. È interessante osservare che questo virus non infetta gli altri file eseguibili ed è strettamente legato a Zeus. I link generati non rientrano nella sua infrastruttura, ma attraverso di essi si installano i downloader del bot vero e proprio. Questo virus dimostra l'ingegnosità e lo zelo con i quali i programmatori di Zeus tentano di diffondere la propria creazione in tutto il mondo.
Aumenta la diffusione degli archivi fasulli, individuati da noi come Hoax.Win32.ArchSMS. Una volta installatosi, il programma propone all'utente di inviare uno o più messaggi SMS ad un determinato numero a pagamento per ricevere l'archivio contenuto. Nella maggior parte dei casi, dopo l’invio del messaggio, sullo schermo del computer appaiono visualizzate delle istruzioni per l'uso del tracker contenente i file torrent e/o del link di collegamento al tracker. Le varianti possibili sono davvero numerose, ma il risultato non varia: l’utente perde i suoi soldi e non riceve il file desiderato. Frodi del genere sono apparse in un periodo relativamente recente, vale a dire alcuni mesi fa, ma l'interesse che da allora hanno suscitato nei cybercriminali non cessa come conferma la statistica redatta con l’ausilio di KSN (Kaspersky Security Network):
Si deve inoltre menzionare che in ottobre l'azienda Microsoft ha battuto il suo record per quanto riguarda il numero di patch rilasciate. Il 12 ottobre infatti sono stati rilasciati 16 bollettini di sicurezza, riguardanti ben 49 vulnerabilità diverse. Lo scorso record era stato stabilito in agosto, ma le vulnerabilità allora riparate erano solo 34. Ciò indica che i cybercriminali sfruttano attivamente i difetti dei prodotti di questo colosso del software per attuare i loro propositi. Per esempio, il famoso worm Stuxnet al momento della sua comparsa sfruttava quattro vulnerabilità ancora non coperte dallo "zero-day". Nel bollettino di ottobre è stata corretta la terza vulnerabilità sfruttata da Stuxnet, mentre una delle quattro resta ancora scoperta.
Malware individuati nei computer degli utenti
Nella prima tabella sono elencati i programmi dannosi e potenzialmente indesiderati che sono stati individuati e neutralizzati sui computer degli utenti.
| Posizione | Variazione di posizione | Malware | Quantità di computer infettati |
| 1 | Net-Worm.Win32.Kido.ir | 386141 | |
| 2 | Virus.Win32.Sality.aa | 150244 | |
| 3 | Net-Worm.Win32.Kido.ih | 141210 | |
| 4 | Trojan.JS.Agent.bhr | 104094 | |
| 5 | Exploit.JS.Agent.bab | 85185 | |
| 6 | Virus.Win32.Virut.ce | 81696 | |
| 7 | Packed.Win32.Katusha.o | 74879 | |
| 8 | Worm.Win32.FlyStudio.cu | 73854 | |
| 9 | Virus.Win32.Sality.bh | 57624 | |
| 10 | Exploit.Win32.CVE-2010-2568.d | 54404 | |
| 11 | Exploit.Win32.CVE-2010-2568.b | 51485 | |
| 12 | Trojan-Downloader.Win32.VB.eql | 49570 | |
| 13 | Worm.Win32.Autoit.xl | 43618 | |
| 14 | Worm.Win32.Mabezat.b | 43338 | |
| 15 | Trojan-Downloader.Win32.Geral.cnh | 39759 | |
| 16 | Worm.Win32.VBNA.b | 33376 | |
| 17 | Trojan-Dropper.Win32.Sality.cx | 30707 | |
| 18 | Trojan.Win32.Autoit.ci | 29835 | |
| 19 | Trojan-Dropper.Win32.Flystud.yo | 29176 | |
| 20 | Worm.Win32.VBNA.a | 26385 |
Nel mese appena trascorso non si sono verificati cambiamenti significativi nella tabella. A guidare la classifica sono come sempre Kido, Sality, Virut, CVE-2010-2568. Vale la pena rilevare un aumento della quantità di individuazioni del wrapper maligno Packed.Win32.Katusha.o (al 6œ posto), sfruttato dai programmatori di virus per proteggere e diffondere i falsi antivirus. Il Worm.Win32.VBNA.a (20œ posto) è analogo al malware precedente, ma è tuttavia scritto in linguaggio Visual Basic di alto livello. Nelle TOP 20 passate, i due packer sono stati descritti in maggior dettaglio.
Malware diffusi via Internet
La seconda tabella descrive la situazione su Internet. In questa classifica si trovano infatti malware che sono stati individuati nelle pagine Web nonché tutti quelli i cui tentativi di caricamento avvengono sempre attraverso le pagine Web.
| Posizione | Variazione di posizione | Malware | Quantità di tentativi singoli di scaricamento |
| 1 | Trojan.JS.FakeUpdate.bp | 114639 | |
| 2 | Exploit.JS.Agent.bab | 96296 | |
| 3 | Exploit.Java.CVE-2010-0886.a | 89012 | |
| 4 | Hoax.Win32.ArchSMS.jxi | 78235 | |
| 5 | Trojan.JS.Agent.bhr | 63204 | |
| 6 | AdWare.Win32.FunWeb.di | 62494 | |
| 7 | Trojan.JS.Redirector.nj | 61311 | |
| 8 | AdWare.Win32.FunWeb.ds | 52404 | |
| 9 | Trojan.JS.Agent.bmx | 35889 | |
| 10 | AdWare.Win32.FunWeb.q | 34850 | |
| 11 | AdWare.Win32.FunWeb.fb | 34796 | |
| 12 | Trojan-Downloader.Java.Agent.hx | 34681 | |
| 13 | Exploit.JS.CVE-2010-0806.i | 33067 | |
| 14 | Exploit.JS.CVE-2010-0806.b | 31153 | |
| 15 | Trojan-Downloader.Java.Agent.hw | 30145 | |
| 16 | Trojan.JS.Redirector.lc | 29930 | |
| 17 | Exploit.Win32.CVE-2010-2883.a | 28920 | |
| 18 | Trojan-Downloader.Java.Agent.gr | 27882 | |
| 19 | AdWare.Win32.FunWeb.ci | 26833 | |
| 20 | AdWare.Win32.FunWeb.ge | 25652 |
Nel mese passato non ci sono stati cambiamenti significativi in tabella: come in precedenza ai vertici della classifica troviamo gli exploit CVE-2010-0806 e gli adware FunWeb. Tuttavia notiamo la comparsa di alcuni curiosi esemplari.
Individuato poco più di un mese fa, l’Exploit.Win32.CVE-2010-2883.a, che sfrutta la rispettiva vulnerabilità, si è piazzato al 17œ posto. Si può quindi dire che i cybercriminali hanno introdotto questo exploit nella loro dotazione in tempi relativamente brevi. La falla è situata nella biblioteca vulnerabile cooltype.dll, facente parte di Adobe Reader, mentre la vulnerabilità vera e propria consiste nell'elaborazione non corretta di un file di script appositamente creato. Se si considera la diffusione geografica dell’Exploit.Win32.CVE-2010-2883.a, è evidente che è stato riscontrato con maggiore frequenza negli USA, nel Regno Unito e in Russia. Evidentemente, i cybercriminali contavano sul fatto che in questi Paesi si sarebbe concentrata la maggior parte di computer senza patch per Adobe Reader.
Lo script maligno Trojan.JS.Redirector.nj (7œ posto) è situato in alcuni siti pornografici e invia un messaggio all’utente invitandolo a spedire un SMS a un determinato numero a pagamento per utilizzare la risorsa. Lo script è strutturato in modo tale che per chiudere la pagina si deve utilizzare il task manager o un programma con funzione analoga.
Messaggio inviato dal Trojan.JS.Redirector.nj
In classifica anche il Trojan.JS.Agent.bmx (9œ posto), un exploit classico per browser che scarica un trojan downloader, che a sua volta riceve un elenco di ben trenta link che portano a diversi malware. Tra di essi il Trojan-GameThief.Win32.Element, il Trojan-PSW.Win32.QQShou, il Backdoor.Win32.Yoddos, il Backdoor.Win32.Trup, il Trojan-GameThief.Win32.WOW ecc.
Al primo posto si riconferma lo script della famiglia FakeUpdate, il Trojan.JS.FakeUpdate.bp, anch'esso contenuto in siti pornografici, che invita a scaricare un video porno. Tuttavia quando l’utente cerca di vedere il filmato, appare una finestra pop-up che informa che per riprodurre il video è necessario scaricare un nuovo player.
Invito a scaricare il nuovo player, visualizzato dal Trojan.JS.FakeUpdate.bp
Le ricerche hanno dimostrato che l’installer, oltre a contenere il player legittimo Fusion Media Player 1.7, contiene anche un trojan che modifica il file hosts. Questo trojan imposta l’indirizzo IP del computer locale 127.0.0.1 come molti siti diffusi e installa sul computer infetto il web server locale, dopodiché quando si tenta di accedere a uno dei siti intercettati, nel browser dell’utente viene visualizzata la richiesta di pagamento per poter vedere il filmato pornografico.
La pagina visualizzata al posto del sito bash.org.ru
