Classifica malware – Febbraio 2010

10 mar
Le nostre classifiche

Nella prima tabella sono riportati programmi malware, adware e programmi potenzialmente pericolosi che sono stati individuati e neutralizzati dalla scansione online.


Posizione Variazione Nome Numero di computer infettati
1   0 Net-Worm.Win32.Kido.ir   274729  
2   1 Virus.Win32.Sality.aa   179218  
3   1 Net-Worm.Win32.Kido.ih   163467  
4   -2 Net-Worm.Win32.Kido.iq   121130  
5   0 Worm.Win32.FlyStudio.cu   85345  
6   3 Trojan-Downloader.Win32.VB.eql   56998  
7   New Exploit.JS.Aurora.a   49090  
8   9 Worm.Win32.AutoIt.tc   48418  
9   1 Virus.Win32.Virut.ce   47842  
10   4 Packed.Win32.Krap.l   47375  
11   -3 Trojan-Downloader.WMA.GetCodec.s   43295  
12   0 Virus.Win32.Induc.a   40257  
13   New not-a-virus:AdWare.Win32.RK.aw   39608  
14   -3 not-a-virus:AdWare.Win32.Boran.z   39404  
15   1 Worm.Win32.Mabezat.b   38905  
16   New Trojan.JS.Agent.bau   34842  
17   3 Packed.Win32.Black.a   32439  
18   1 Trojan-Dropper.Win32.Flystud.yo   32268  
19   Return Worm.Win32.AutoRun.dui   32077  
20   New not-a-virus:AdWare.Win32.FunWeb.q   30942  

Le prime 5 posizioni non sono mutate rispetto al mese scorso, e a giudicare dal numero di infezioni, l’epidemia di Kido ha leggermente perso vigore.

Exploit.JS.Aurora.a, un exploit molto attivo che approfitta delle vulnerabilità di diversi software, è entrato direttamente in settima posizione. Forniremo ulteriori informazioni più avanti, nella seconda Top 20 (il malware in Internet).

Tra le new entry, una coppia di programmi adware.

FunWeb.q in ventesima posizione, è un perfetto esempio di adware: è una toolbar per i browser più diffusi, e consente agli utenti un accesso facilitato alle risorse di alcuni siti web (di solito quelli a contenuto multimediale). FunWeb.q modifica inoltre le pagine che l’utente visita in modo da mostrare i banner pubblicitari.

Le cose si fanno più complicate nel caso di un non-virus: AdWare.Win32.RK.aw, che occupa la tredicesima posizione. Si tratta dell’applicazione RelevantKnowledge che si diffonde e installa assieme ad altri software. Nelle norme di privacy stabilite dalla società produttrice l’utente viene informato che il programma traccierà virtualmente tutta la sua attività, soprattutto su Internet, raccogliendo automaticamente le informazioni personali del malcapitato, e salvandole sui propri server. Prosegue dicendo che tutti questi dati raccolti verranno usati con il solo scopo di “aiutare a creare il futuro di Internet” e che tutti i dati saranno ben protetti. Sta poi all’utente decidere se credere o meno a quanto riportato.

Il malware in Internet

La seconda Top Twenty presenta i dati generati dal componente web dell’anti-virus, e offre una panoramica sulla situazione delle minacce online. Questa classifica include i programmi identificati su pagine web come dei malware scaricati sui computer da pagine web.


Posizione Variazione Nome Tentativi di download
1   Return Trojan-Downloader.JS.Gumblar.x   453985  
2   -1 Trojan.JS.Redirector.l   346637  
3   New Trojan-Downloader.JS.Pegel.b   198348  
4   3 not-a-virus:AdWare.Win32.Boran.z   80185  
5   -2 Trojan-Downloader.JS.Zapchast.m   80121  
6   New Trojan-Clicker.JS.Iframe.ea   77067  
7   New Trojan.JS.Popupper.ap   77015  
8   3 Trojan.JS.Popupper.t   64506  
9   New Exploit.JS.Aurora.a   54102  
10   New Trojan.JS.Agent.aui   53415  
11   New Trojan-Downloader.JS.Pegel.l   51019  
12   New Trojan-Downloader.Java.Agent.an   47765  
13   New Trojan-Clicker.JS.Agent.ma   45525  
14   New Trojan-Downloader.Java.Agent.ab   42830  
15   New Trojan-Downloader.JS.Pegel.f   41526  
16   Return Packed.Win32.Krap.ai   38567  
17   New Trojan-Downloader.Win32.Lipler.axkd   38466  
18   New Exploit.JS.Agent.awd   35024  
19   New Trojan-Downloader.JS.Pegel.k   34665  
20   New Packed.Win32.Krap.an   33538  

Prima di tutto, notiamo un aumento improvviso Gumblar.x, che ancora una volta ha riguadagnato posizioni dopo essere virtualmente sparito in gennaio. Il mese scorso avevamo previsto un altro attacco di Gumblar che si è puntualmente manifestato. Ad ogni modo, questa volta i criminali informatici non hanno apportato grandi modifiche, ma semplicemente raccolto nuovi dati per accedere ai siti visitati dagli utenti e poi infettarli il più ampiamente possibile. Continueremo a tenere d’occhio gli ulteriori sviluppi di questo programma.


Diagram 1. Number of websites infected by Gumblar.x

L’epidemia di Pegel iniziata a gennaio è cresciuta di 6 volte: ci sono 4 rappresentanti di questa famiglia tra le new entry, uno dei quali è salito subito in terza posizione. Si tratta di un downloader non diverso da Gumblar, che infetta, tra gli altri, anche i siti fidati. Un utente che visiti una pagina infetta, viene reindirizzato dallo script maligno verso una risorsa pericolosa. Per assicurarsi che l’utente non sospetti di nulla, vengono usati nomi di siti popolari nelle url di queste pagine, ad esempio:

http://friendster-com.youjizz.com.jeuxvideo-com.**********.ru:8080/sify.com/sify.com/pdfdatabase.com/google.com/allegro.pl.php

http://avast-com.deviantart.com.dangdang-com.**********.ru:8080/wsj.com/wsj.com/google.com/nokia.com/aweber.com.php

Tali link conducono a pagine contenenti un altro script, che fa uso di svariati metodi per scaricare il file eseguibile principale. I metodi usati sono piuttosto tradizionali: lo sfruttamento delle vulnerabilità di prodotti software quali Internet Explorer (CVE-2006-0003) e Adobe Reader (CVE-2007-5659, CVE-2009-0927) così come il download tramite una speciale applet Java (un’applicazione Java a codice byte).

Il file eseguibile principale è il noto Backdoor.Win32.Bredolab, impacchettato usando vari packer maligni (parecchi di questi sono identificati come Packed.Win32.Krap.ar e Packed.Win32.Krap.ao). Abbiamo già analizzato questo programma, ma vale la pena menzionare nuovamente che oltre a controllare i computer da remoto, esso può anche scaricare altri file maligni.

Torniamo quindi a Exploit.JS.Aurora.a, menzionato prima.

Alla nona posizione della seconda classifica troviamo, Aurora.a, l’exploit per la vulnerabilità di CVE-2010-0249 identificato dopo un massiccio attacco diretto verso svariate versioni di Internet Explorer a gennaio.

L’attacco, che ha avuto ampia copertura negli ambienti IT, ha colpito grosse società (tra cui Google e Adobe) ed è stato nominato Aurora da parte del nome di percorso del file usato dagli autori per uno dei file eseguibili. Aurora ha cercato di accedere alle informazioni riservate degli utenti e ha minacciato la proprietà intellettuale delle società colpite tentando di impossessarsi di codici sorgenti. L’attacco è stato condotto utilizzando e-mail contenenti link a siti di malware con exploit che portavano al download sui computer di file eseguibili senza che gli utenti se ne accorgessero.



Diagram 2. A fragment of code from one version of Exploit.JS.Aurora.a

È da notare che i programmatori Microsoft erano consapevoli di questa falla da parecchi mesi, ma nonostante ciò è stata riparata solo dopo un mese dall’inizio del suo sfruttamento. Nel frattempo il codice sorgente dell’exploit è diventato di pubblico dominio e solo i cyber-criminali più pigri non sono riusciti ad impiegarlo nei propri attacchi: nella nostra raccolta contiamo già oltre 100 variazioni di exploit che sfruttano questa vulnerabilità.

I fatti parlano da sè. Le maggiori minacce per gli utenti rimangono le vulnerabilità presenti in alcuni dei software più diffusi. Il semplice fatto che i criminali informatici facciano largo impiego di vulnerabilità identificate parecchi mesi addietro, significa che esse rappresentano ancora un problema. Purtroppo, installare tutti gli aggiornamenti dei maggiori pacchetti di software non è sufficiente a garantire la sicurezza dei computer, poiché spesso i vendor non rilasciano le patch in tempo. Pertanto, gli utenti devono continuare a stare in guardia, soprattutto se usano frequentemente Internet, senza mai dimenticarsi di aggiornare la propria soluzione antivirus!