«Kaspersky Lab» sottopone all'attenzione degli utenti le classifiche relative alla diffusione dei diversi tipi di malware nel mese di settembre.
«Kaspersky Lab» sottopone all'attenzione degli utenti le classifiche relative alla diffusione dei diversi tipi di malware nel mese di settembre.
In entrambe le classifiche si rileva una quantità relativamente modesta di nuovi malware. Vale la pena notare la comparsa di un nuovo «pacchetto», ovvero il dropper Trojan-Dropper.Win32.Sality.cx, che si installa sui computer già infettati dal Virus.Win32.Sality.bh. Per diffondersi il dropper sfrutta la vulnerabilità dei file WinLNK (file shortcut). Allo stesso modo vale la pena rilevare un notevole calo della quantità di exploit che sfruttano la vulnerabilità di Windows Help and Support Center CVE-2010-1885, vulnerabilità che nel mese di agosto è stata oggetto di numerose aggressioni. Altra particolarità che caratterizza il mese di settembre è che nella TOP 20 dei malware riscontrati in Internet, gli exploit sono numericamente equivalenti ai programmi adware (7).
Va notato che in entrambe le tabelle non sono presenti dati relativi all'identificazione euristica nella quale attualmente ricade il 25 - 30% di tutti i malware individuati. In futuro intendiamo presentare dati più dettagliati in merito ai rilevamenti euristici.
Malware individuati nei computer degli utenti
Nella prima tabella sono riportati i programmi dannosi e potenzialmente indesiderati che sono stati individuati e neutralizzati sui computer degli utenti.
| Posizione | Variazione di posizione | Malware | Quantità di computer infettati |
| 1 | Net-Worm.Win32.Kido.ir | 371564 | |
| 2 | Virus.Win32.Sality.aa | 166100 | |
| 3 | Net-Worm.Win32.Kido.ih | 150399 | |
| 4 | Trojan.JS.Agent.bhr | 95226 | |
| 5 | Exploit.JS.Agent.bab | 81681 | |
| 6 | Worm.Win32.FlyStudio.cu | 80829 | |
| 7 | Virus.Win32.Virut.ce | 76155 | |
| 8 | Net-Worm.Win32.Kido.iq | 65730 | |
| 9 | Exploit.Win32.CVE-2010-2568.d | 59562 | |
| 10 | Trojan-Downloader.Win32.VB.eql | 53782 | |
| 11 | Virus.Win32.Sality.bh | 44614 | |
| 12 | Exploit.Win32.CVE-2010-2568.b | 43665 | |
| 13 | Worm.Win32.Autoit.xl | 40065 | |
| 14 | Worm.Win32.Mabezat.b | 39239 | |
| 15 | Packed.Win32.Katusha.o | 39051 | |
| 16 | Trojan-Dropper.Win32.Sality.cx | 38150 | |
| 17 | Worm.Win32.VBNA.b | 37236 | |
| 18 | P2P-Worm.Win32.Palevo.avag | 36503 | |
| 19 | AdWare.WinLNK.Agent.a | 32935 | |
| 20 | Trojan-Downloader.Win32.Geral.cnh | 31997 |
Il mese scorso questa TOP 20 si era arricchita di quattro nuovi rappresentanti. Due dei malware presenti in classifica ci sono già noti dai report precedenti.
Nelle prime dieci posizioni della classifica non si rilevano cambiamenti sostanziali, ad eccezione del balzo dal quarto all’ottavo posto che interessa una variante del net worm Kido, la variante «iq».
I due exploit, l’Exploit.Win32.CVE-2010-2568.d (9œ posto) e l’Exploit.Win32.CVE-2010-2568.b (12œ posto), che sfruttano la vulnerabilità CVE-2010-2568 dei file shortcut della famiglia dei sistemi operativi Windows mantengono la loro posizione, mentre invece è cambiato il malware che sfrutta attivamente questi exploit. Se nella classifica di agosto era il Trojan-Dropper.Win32.Sality.r, adesso si tratta di nuovo rappresentante della stessa famiglia, Sality.cx (16œ posto). In quanto a struttura questo malware assomiglia alla variante «r», ma a differenza di quanto accadeva in agosto, non installa sul computer infetto il Virus.Win32.Sality.ag, ma una nuova variante del virus, vale a dire Sality.bh (11œ posto). In tal modo, avvalendosi dell’ausilio degli exploit che sfruttano la vulnerabilità CVE-2010-2568, si diffonde un nuovo rappresentante della famiglia del virus polimorfo Sality. Notiamo inoltre che nel dropper Sality.cx è stato rilevato un URL, contenente parole in lingua russa. Ciò fa supporre che sia stato probabilmente creato da programmatori di virus di lingua russa.
Frammento del Trojan-Dropper.Win32.Sality.cx contenente un link con parole russe
La distribuzione geografica del nuovo dropper Sality.cx è identica alla diffusione che ha caratterizzato il Trojan-Dropper.Win32.Sality.r nel mese passato. Tra i leader in termini di diminuzione della quantità di attuazioni figurano l’India, il Vietnam e la Russia. Evidentemente la diffusione di questa famiglia è strettamente legata all’exploit CVE-2010-2568, di cui la figura qui sotto riporta la distribuzione.
Diffusione del Trojan-Dropper.Win32.Sality.cx
In settembre ha fatto la sua comparsa un nuovo malware che rientra nella categoria dei packer maligni, ossia Packed.Win32.Katusha.o (15œ posto). Nelle classifiche passate ci siamo imbattuti in altri rappresentanti della famiglia Katusha, ma i programmatori di virus lavorano attivamente a nuove varianti del packer per contrastare la sua individuazione da parte dei programmi antivirus. Un altro wrapper, il Worm.Win32.VBNA.b (17œ posto), è leggermente retrocesso, pur riuscendo a mantenersi tra i primi venti.
A partire da maggio, per ben quattro mesi, in tutte le classifiche non è mai mancata una nuova variante del worm P2P-Worm.Win32.Palevo, che si diffonde fondamentalmente nelle reti Peer-To-Peer. In settembre è stata quindi la volta della variante Palevo.avag (18œ posto). Due malware, il Worm.Win32.AutoIt.xl (13œ posto) e il Trojan-Downloader.Win32.Geral.cnh (20œ posto), sono riapparsi nella TOP 20. L’ultima volta che sono apparsi in classifica è stato rispettivamente nei mesi di luglio e di maggio. Altri due programmi già noti dai report precedenti, il Worm.Win32.Mabezat.b (14œ posto) e l’AdWare.WinLNK.Agent.a (19œ posto), sono leggermente retrocessi.
Malware diffusi via Internet
La seconda tabella descrive la situazione su Internet. In questa classifica si trovano infatti malware che sono stati individuati nelle pagine Web nonché tutti quelli i cui tentativi di caricamento avvengono sempre attraverso le pagine Web.
| Posizione | Variazione di posizione | Malware | Quantità di tentativi singoli di scaricamento |
| 1 | Exploit.JS.Agent.bab | 127123 | |
| 2 | Trojan-Downloader.Java.Agent.ft | 122752 | |
| 3 | Exploit.HTML.CVE-2010-1885.d | 75422 | |
| 4 | AdWare.Win32.FunWeb.di | 61515 | |
| 5 | AdWare.Win32.FunWeb.ds | 56754 | |
| 6 | Trojan.JS.Agent.bhr | 51398 | |
| 7 | Exploit.SWF.Agent.du | 43076 | |
| 8 | Trojan-Downloader.VBS.Agent.zs | 42021 | |
| 9 | AdWare.Win32.FunWeb.ge | 41986 | |
| 10 | AdWare.Win32.FunWeb.fb | 37992 | |
| 11 | Exploit.Java.CVE-2010-0886.a | 37707 | |
| 12 | Trojan-Downloader.Java.Agent.gr | 36726 | |
| 13 | AdWare.Win32.FunWeb.q | 31886 | |
| 14 | Exploit.JS.Pdfka.cop | 29025 | |
| 15 | Exploit.JS.CVE-2010-0806.b | 28366 | |
| 16 | AdWare.Win32.FunWeb.ci | 26254 | |
| 17 | Trojan-Downloader.Java.OpenStream.ap | 21592 | |
| 18 | AdWare.Win32.Boran.z | 20639 | |
| 19 | Trojan-Clicker.HTML.IFrame.fh | 19799 | |
| 20 | Exploit.Win32.Pidief.ddd | 19167 |
Con un totale di ben sei new entry, la classifica di settembre relativa ai malware che hanno imperversato su Internet si differenzia notevolmente dalle precedenti, che ne riportavano in genere molte meno.
Tanto per cominciare diamo un'occhiata ai sette exploit presenti in classifica. L’Exploit.JS.Agent.bab (1œ posto), il Trojan.JS.Agent.bhr (6œ posto) e l’Exploit.JS.CVE-2010-0806.b (15œ posto) sfruttano la vulnerabilità CVE-2010-0806 e da alcuni mesi a questa parte presenziano ormai ininterrottamente nelle classifiche. Pare che lo sfruttamento di questa vulnerabilità di Internet Explorer godrà ancora a lungo di incontrastata popolarità presso i cybercriminali. La quantità di exploit che sfruttano la vulnerabilità CVE-2010-1885 è calata, passando da cinque in agosto a uno, l’Exploit.HTML.CVE-2010-1885.d (3œ posto) in settembre. Altri due exploit, il Trojan-Downloader.Java.Agent.ft (2œ posto) e il Trojan-Downloader.Java.Agent.gr (12œ posto), sfruttano la vecchia vulnerabilità CVE-2009-3867, basata sull’esecuzione della funzione vulnerabile getSoundBank(). L’ultimo rappresentante degli exploit, l’Exploit.Java.CVE-2010-0886.a (11œ posto), presenzia senza tregua in tutti i report a partire da maggio.
In settembre, forse per la prima volta, la quantità degli exploit presenti in classifica è pari alla quantità di programmi adware. Nella TOP 20 sono presenti infatti sette programmi AdWare.Win32, dei quali il solo FunWeb.ge (9œ posto) è al suo debutto in classifica. I restanti programmi sono vecchie conoscenze dalle classifiche precedenti: FunWeb.di (4œ posto), FunWeb.ds (5œ posto), FunWeb.fb (10œ posto), FunWeb.q (13œ posto), FunWeb.ci (16œ posto) e Boran.z (18œ posto), già incontrato nella classifica di luglio.
Passiamo ora ad occuparci delle novità della TOP 20 di settembre. Decisamente interessante è il malware l’Exploit.SWF.Agent.du (7œ posto) che si presenta come un file Flash vulnerabile. Sino ad ora sono stati osservati di rado casi di sfruttamento delle vulnerabilità della tecnologia Flash. Un nuovo rappresentante della famiglia dei trojan downloader, il Trojan-Downloader.Java.OpenStream.ap (17œ posto), sfrutta le classi standard del linguaggio Java per caricare l’oggetto maligno. Nella creazione di questo programma è stato effettuato un offuscamento.
Frammento del Trojan-Downloader.Java.OpenStream.ap
Nella schermata riportata sono visibili dei simboli che si ripetono e non lasciano presagire nulla di buono: la loro funzione è infatti quella di contrastare il rilevamento da parte dei programmi antivirus.
L’altra novità, il Trojan-Clicker.HTML.IFrame.fh (19œ posto), è una semplice paginetta HTML tra le cui funzioni rientra quella di rimandare l'utente al link maligno.
L’Exploit.Win32.Pidief.ddd (20œ posto), l’ultimo dei malware inclusi in questa classifica, si è dimostrato molto divertente. Si presenta come un file PDF nel quale è incluso uno script che avvia il cmd. Questo scrive sul disco lo script VBS e causa il messaggio «This file is encrypted. If you want to decrypt and read this file press "Open"?». Successivamente, questo script di Visual Basic si avvia e inizia a caricare lo script maligno. Nella schermata è riportato il frammetto del file PDF maligno, contenente parte dello script e la frase del messaggio.
Frammento del malware Exploit.Win32.Pidief.ddd
Stuxnet
Tirando le somme del mese appena trascorso, vale la pena menzionare il worm Stuxnet, sebbene non sia rientrato tra le voci della TOP 20, data la sua mirata specificità.
Su Stuxnet è stato scritto molto sui mezzi di informazione di massa di settembre, sebbene questo worm sia stato identificato già all’inizio di luglio. Ricordiamo che questo malware sfrutta quattro diverse vulnerabilità prima sconosciute di tipo «zero-day» e che si è avvalso di due certificati validi di Realtek e JMicron. Ad ogni modo, la peculiarità principale di Stuxnet, motivo per il quale al malware è stata dedicata particolare attenzione, è la sua specificità. La funzione fondamentale di questo malware non consiste nell'inviare spam o nel rubare le informazioni confidenziali degli utenti, bensì nell’ottenere il controllo su imprese industriali. È senza dubbio un programma di nuova generazione, la cui comparsa consente di parlare addirittura di cyberterrorismo e cyberguerre.
I Paesi maggiormente colpiti da questo malware sono stati l'India, l'Indonesia e l'Iran. La cartina riportata qui sotto illustra la diffusione del worm alla fine di settembre.
