Classifica malware - Febbraio 2009

03 mar
Le nostre classifiche

Per il mese di febbraio Kaspersky Security Network (KSN) ha stilato due classifiche.

La prima è basata sui dati raccolti dall’utilizzo della versione di prodotto antivirus Kaspersky 2009. La classifica è composta da codici maligni, adware e programmi potenzialmente dannosi frequentemente rilevati sui computer degli utenti.

Posizione Rispetto al mese scorso Programma malware
1   top20_noch0 Virus.Win32.Sality.aa  
2   top20_up14 Net-Worm.Win32.Kido.ih  
3   top20_down-1 Packed.Win32.Krap.b  
4   top20_up3 Packed.Win32.Black.a  
5   top20_noch0 Trojan.Win32.Autoit.ci  
6   top20_down-3 Worm.Win32.AutoRun.dui  
7   top20_newNew Packed.Win32.Krap.g  
8   top20_down-4 Trojan-Downloader.Win32.VB.eql  
9   top20_newNew Packed.Win32.Klone.bj  
10   top20_down-2 Virus.Win32.Alman.b  
11   top20_down-5 Trojan-Downloader.WMA.GetCodec.c  
12   top20_noch0 Worm.Win32.Mabezat.b  
13   top20_newNew Trojan-Downloader.JS.SWFlash.ak  
14   top20_down-1 Worm.Win32.AutoIt.ar  
15   top20_noch0 Virus.Win32.Sality.z  
16   top20_newNew Trojan-Downloader.JS.SWFlash.aj  
17   top20_down-3 Email-Worm.Win32.Brontok.q  
18   top20_newNew Packed.Win32.Tdss.c  
19   top20_newNew Worm.Win32.AutoIt.i  
20   top20_newNew Trojan-Downloader.WMA.GetCodec.u  

La classifica malware di febbraio si distingue per importanti cambiamenti rispetto alla precedente. Prima di tutto, il worm Kido, che ha causato un attacco epidemico agli inizi di gennaio, sta continuando a mietere vittime. Attività di detenzione di routine sono state aggiunte al database a metà gennaio e ciò nonostante una mole impressionante di file infetti è stata rilevata anche a febbraio.

Secondariamente, ci sono tre interessanti new entry: Packed.Win32.Krap.g, Packed.Win32.Klone.bj e Packed.Win32.Tdss.c. Questi sono rispettivamente associati al riconoscimento di:

  • Una variante dell’utilità di compressione (packer) per Magania Trojans – una famiglia molto conosciuta che ruba password a giocatori on-line
  • Uno specifico tipo di “offuscazione” per script AutoIt. Da notare, la funzionalità dello script originario è limitata solamente dai vincoli del linguaggio stesso
  • Una intera classe di programmi crittografati che utilizzano il nuovo packer maligno TDSS

Il terzo malware è interessante in quanto i programmi maligni non crittografati possono essere di qualsiasi tipo includendo Trojans, worms e rootkits.

Trojan-Downloader.WMA.GetCodec.r, è stato sostituto da un un downloader multimediale molto simile, GetCodec.u, mentre il nuovo arrivato della classifica di gennaio, Exploit.JS.Agent.aak, è stato sorpassato da 2 script di downloading, SWFlash.aj e SWFlash.ak, che hanno avuto la meglio su alcune vulnerabilità di Flash Player.

  • TrojWare – 30%
  • VirWare – 45%
  • MalWare – 25%

Tutti i programmi di tipo “malicious” presenti nella classifica malware possono essere essere raggruppati secondo le più conosciute classi di minacce rilevate da Kaspersky. Non ci sono state variazioni nemmeno rispetto a gennaio. Le statistiche degli scorsi mesi mostrano un numero di programmi auto-replicanti che anche a febbraio si mantiene elevato. In totale, 45.396 singoli codici maligni, adware e potenziali programmi indesiderati sono stati rilevati sui pc nel corso di febbraio. Febbraio propone così un rilevamento molto simile al mese di gennaio

top20_feb2009

La seconda classifica malware presenta invece i codici maligni che più frequentemente infettano oggetti dei pc degli utenti. I programmi maligni che infettano “file” compongono per lo più questa classifica.

Posizione Rispetto al mese scorso Programma malware
1   top20_noch0 Virus.Win32.Sality.aa  
2   top20_noch0 Worm.Win32.Mabezat.b  
3   top20_up2 Net-Worm.Win32.Nimda  
4   top20_newNew Virus.Win32.Virut.ce  
5   top20_down-1 Virus.Win32.Xorer.du  
6   top20_noch0 Virus.Win32.Sality.z  
7   top20_down-2 Virus.Win32.Alman.b  
8   top20_down-1 Virus.Win32.Parite.b  
9   top20_newNew Trojan-Clicker.HTML.IFrame.acy  
10   top20_down-1 Trojan-Downloader.HTML.Agent.ml  
11   top20_down-1 Virus.Win32.Virut.n  
12   top20_down-4 Virus.Win32.Virut.q  
13   top20_up3 Virus.Win32.Parite.a  
14   top20_down-3 Email-Worm.Win32.Runouce.b  
15   top20_down-2 P2P-Worm.Win32.Bacteraloh.h  
16   top20_down-2 Virus.Win32.Hidrag.a  
17   top20_retReturn Worm.Win32.Fujack.k  
18   top20_retReturn Virus.Win32.Neshta.a  
19   top20_down-4 Virus.Win32.Small.l  
20   top20_down-2 P2P-Worm.Win32.Deecee.a  

Questa classifica include un’importante nuova entrata: Virus.Win32.Virut.ce, una variante del virus sofisticato e polimorfico Virut. Le caratteristiche evolutive di questo software comportano, tra l’altro, l’infezione di file HTML sul computer dell’utente con un blocco iframe.

Queste pagine sono rilevate dalle nostre soluzioni come Trojan-Clicker.HTML.IFrame.acy. In febbraio il numero dei file infetti utilizzando questo metodo è stato abbastanza ampio. La simbiosi tra Virus.Win32.Virut.ce e Trojan-Clicker.HTML.IFrame.acy si riscontra nei due codici presenti alla 4a e alla 9a posizione della classifica.

Occorre inoltre notare che, sebbene la famiglia Sality sia ancora prominente, all’interno della classifica non si sono registrate varianti maligne del programma. Diverso è il caso della famiglia Virut precedentemente citata.