Classifica malware - Dicembre 2008

02 gen
Le nostre classifiche

In base al resoconto dell’operato di Kaspersky Security Network (KSN), per quanto riguarda il mese di dicembre 2008 abbiamo stilato le due seguenti classifiche.

Ricordiamo che la prima tabella della classifica viene formata in base ai dati raccolti durante il funzionamento dei nostri prodotti anti-virus, versione 2009. In questa tabella sono indicati quei malware, adware e programmi potenzialmente pericolosi che sono stati rilevati sui computer degli utenti.


Posizione Rispetto al mese scorso Programma malware
1   top20_noch0 Virus.Win32.Sality.aa  
2   top20_noch0 Packed.Win32.Krap.b  
3   top20_up2 Trojan-Downloader.Win32.VB.eql  
4   top20_noch0 Worm.Win32.AutoRun.dui  
5   top20_newNew Trojan.HTML.Agent.ai  
6   top20_down-3 Trojan-Downloader.WMA.GetCodec.c  
7   top20_up10 Virus.Win32.Alman.b  
8   top20_up12 Trojan.Win32.AutoIt.ci  
9   top20_down-2 Packed.Win32.Black.a  
10   top20_newNew Worm.Win32.AutoIt.ar  
11   top20_up3 Worm.Win32.Mabezat.b  
12   top20_up3 Worm.Win32.AutoRun.eee  
13   top20_newNew Trojan-Downloader.JS.Agent.czm  
14   top20_retReturn Trojan.Win32.Obfuscated.gen  
15   top20_up1 Email-Worm.Win32.Brontok.q  
16   top20_down-3 Virus.Win32.VB.bu  
17   top20_down-6 Trojan.Win32.Agent.abt  
18   top20_down-8 Trojan-Downloader.JS.IstBar.cx  
19   top20_down-1 Worm.VBS.Autorun.r  
20   top20_newNew Trojan-Downloader.WMA.GetCodec.r  

I leader del mese di novembre, Virus.Win32.Sality.aa e Packed.Win32.Krap.b, mantengono saldamente le loro posizioni. La composizione principale della classifica è rimasta sostanzialmente invariata. Tuttavia, vorremmo mettere in evidenza qualche aspetto interessante.

A dicembre, i novellini dello scorso mese i worm Mabezat.b e AutoRun.eee sono saliti di 3 posizioni: ciò testimonia l’efficacia della diffusione tramite i dispositivi portatili ed anche con metodi classici, tramite un accesso comune alle risorse di rete. Nel caso di Mabezat.b avviene anche il contagio del file. Uno schema simile lo abbiamo osservato sull’esempio del virus Sality.aa, quando metodi analoghi di diffusione lo hanno reso un leader della classifica. Adesso, grazie agli stessi metodi, migliora invece il suo punteggio Mabezat.b.

Virus.Win32.Alman.b ha fatto un balzo interessante, crescendo improvvisamente di 10 punti. Una delle funzioni di questo programma malware è il furto delle password dai vari siti di giochi online. Tenendo conto che il picco dell’ attività dei giocatori si verifica durante i mesi invernali, è facile quindi spiegare una tale ascesa. Sarà interessante esaminare che cosa succederà in seguito.

Ancora due novità, Trojan.HTML.Agent.ai e Trojan-Downloader.JS.Agent.czm sono semplici script loader, ma non presentano un particolare interesse.

Ultimamente viene rilevata un'alta percentuale di malware scritto con l’aiuto del linguaggio di script AutoIt, semplice da apprendere e, di conseguenza, da utilizzare per scrivere programmi maligni. A confermare questa osservazione, una brusca crescita del Trojan.Win32.AutoIt.ci e la comparsa, fra i debuttanti della classifica, di Worm.Win32.AutoIt.ar il quale, come i sopra citati worm Mabezat.b e AutoRun.eee, si è diffuso tramite i dispositivi portatili.

Conviene segnalare, a parte la presenza tra i primi venti classificati di ben due rappresentanti della famiglia dei Trojan-Downloader.WMA.GetCodec. Uno di loro è comparso nella Top 20 del mese scorso e subito si è trovato al terzo posto, ma ha ceduto la sua posizione in dicembre. Il secondo rappresentante - Trojan-Downloader.WMA.GetCodec.r – è un ritrovato piuttosto interessante. Durante l'esecuzione dei file multimediali infetti viene scaricato, come da tradizione, un file eseguibile mascherato da codec, il P2P-Worm.Win32.Nugg.w. Durante l’avviamento esso carica dalla rete alcuni archivi. In questi sono contenuti i file multimediali eseguibili. Come si rileva successivamente, i file eseguibili sono diverse versioni del worm P2P-Worm.Win32.Nugg e file multimediali già infetti con alcune versioni del Trojan-Downloader.WMA.Getcodec. Il worm sostituisce i nomi di questi file con il «keygen RELOADED.zip», «(hot remix).mp3» e altri nominativi che attirano l’attenzione, ed apre loro l’accesso alla popolare rete peer-to-peer Gnutella, dove gli utenti, ignari, scaricano i file infetti e trasmettono questi malware ad altri. La conclusione è la seguente: d’ora in poi anche gli usuali file multimediali vanno guardati con sospetto, e ricordiamo che non bisogna fidarsi di nessuna proposta di tipo «scaricare il codec».

top20_dec2008

Tutti i malware, l'adware e i programmi potenzialmente pericolosi rappresentati nella prima classifica si possono raggruppare secondo le principali classi delle minacce da noi rivelate. In confronto al mese precedente, le loro quote sono variate in maniera irrilevante. I programmi auto-propaganti mantengono il loro risultato raggiunto pari al 45%, che conferma i timori riguardanti la crescita della loro popolarità. La quota dei programmi auto-propaganti e trojware sono messi alla pari, e questo riflette la situazione reale.

In totale, a dicembre, sui computer degli utenti sono stati registrati 38.190 tra diversi malware, adware e programmi potenzialmente pericolosi. In questo modo si può notare una certa diminuzione del numero delle minacce «in-the-wild»: a dicembre essi sono diminuiti di 7.500 unità rispetto a quello che è stato registrato a novembre (45.690).

La seconda tabella della classifica riporta i dati relativi ai programmi malware dai quali più spesso vengono contagiati gli oggetti dei computer degli utenti. Principalmente si tratta di malware capaci di infettare i file.

Posizione Rispetto al mese scorso Programma malware
1   top20_up1 Virus.Win32.Sality.aa  
2   top20_down-1 Worm.Win32.Mabezat.b  
3   top20_up1 Virus.Win32.Xorer.du  
4   top20_newNew Trojan-Downloader.HTML.Agent.ml  
5   top20_down-2 Net-Worm.Win32.Nimda  
6   top20_up1 Virus.Win32.Alman.b  
7   top20_down-2 Virus.Win32.Parite.b  
8   top20_down-2 Virus.Win32.Virut.n  
9   top20_down-1 Virus.Win32.Sality.z  
10   top20_up1 Virus.Win32.Virut.q  
11   top20_up1 Virus.Win32.Parite.a  
12   top20_down-2 Email-Worm.Win32.Runouce.b  
13   top20_up1 Worm.Win32.Otwycal.g  
14   top20_up2 P2P-Worm.Win32.Bacteraloh.h  
15   top20_up3 Trojan.Win32.Obfuscated.gen  
16   top20_newNew Worm.Win32.Fujack.cf  
17   top20_noch0 Worm.VBS.Headtail.a  
18   top20_down-3 Virus.Win32.Hidrag.a  
19   top20_down-6 Worm.Win32.Fujack.k  
20   top20_down-11 Virus.Win32.Small.l  

La seconda Top 20 è, come sempre, piuttosto stabile.

Una delle novità è il downloader Agent.ml. Esso contiene una piccola quantità di codice - il maligno blocco iframe che viene scritto alla fine della pagina web. In tal modo, durante il caricamento della pagina principale, viene caricata anche quella indicata in questo iframe. In questo caso essa contiene un JavaScript maligno. Non è stato purtroppo possibile identificare il suo programma funzionale.

Un altro debuttante della seconda classifica di dicembre è diventato il worm Fujack.cf – la versione più tardiva rispetto a Fujack.bd, comparsa ad ottobre in 19esima posizione e già scomparsa a novembre.