Classifica malware - Giugno 2010

05 lug
Le nostre classifiche

Kirill Kruglov


Kaspersky Lab sottopone all'attenzione degli utenti la classifica relativa alla diffusione dei diversi tipi di malware in giugno.

Malware individuati nei computer degli utenti

Nella prima tabella troviamo i programmi dannosi e potenzialmente indesiderati che sono stati individuati sui computer degli utenti e neutralizzati al primo contatto.


Posizione Variazione di posizione Malware Quantità di computer infettati
1   0 Net-Worm.Win32.Kido.ir   304259  
2   0 Virus.Win32.Sality.aa   193081  
3   0 Net-Worm.Win32.Kido.ih   175811  
4   0 Net-Worm.Win32.Kido.iq   141243  
5   new Exploit.JS.Agent.bab   134868  
6   -1 Trojan.JS.Agent.bhr   130424  
7   -1 Worm.Win32.FlyStudio.cu   102143  
8   -1 Virus.Win32.Virut.ce   69078  
9   -1 Trojan-Downloader.Win32.VB.eql   57578  
10   -1 Worm.Win32.Mabezat.b   47548  
11   new P2P-Worm.Win32.Palevo.fuc   44130  
12   -2 Trojan-Dropper.Win32.Flystud.yo   40081  
13   new Worm.Win32.VBNA.b   33235  
14   0 Trojan.Win32.Autoit.ci   32214  
15   2 Trojan-Downloader.Win32.Geral.cnh   31525  
16   -5 Worm.Win32.AutoIt.tc   30585  
17   -5 Packed.Win32.Krap.l   29149  
18   new Trojan.Win32.AutoRun.aje   25890  
19   return Email-Worm.Win32.Brontok.q   25183  
20   new Trojan.Win32.Autorun.ke   24809  

Le prime dieci posizioni della classifica dei programmi maligni neutralizzati nei computer degli utenti restano praticamente invariate. Le prime quattro posizioni sono stabilmente occupate dal worm Internet Kido e dal virus Sality. L'unico cambiamento rispetto al mese di maggio è costituito dalla comparsa al 5œ posto del nuovo exploit Agent.bab, che ha fatto retrocedere di una posizione i sei malware successivi. Dell'Exploit.JS.Agent.bab si parlerà in maggior dettaglio qui di seguito.

La nuova variante del diffuso P2P-Worm.Palevo occupa l'11œ posto in classifica. Palevo.fuc bracca e stana le informazioni confidenziali immesse dall'utente nella finestra del browser. Una delle nuove modalità di diffusione di questo worm è lo sfruttamento di programmi che permettono di condividere i file in reti peer-to-peer. Ecco un breve elenco di alcuni dei programmi sfruttati dal worm: BearShare, iMesh, Shareaza, eMule ecc. Copiandosi più volte nelle cartelle che servono a conservare i file scaricati o condivisi, il worm denomina le sue copie con nomi appariscenti, che attirano l'attenzione, nella speranza di destare l'interesse delle potenziali vittime. Per diffondersi il P2P-Worm.Win32.Palevo.fuc utilizza diversi metodi: molteplice copiatura di se stesso nelle cartelle di rete e nelle risorse di rete condivise, rinvio a link per scaricare dati mediante servizi di messaggistica istantanea in Internet, infezione di tutti i dispositivi rimovibili possibili immaginabili sfruttando il Trojan.Win32.Autorun.

Sono circa 50 mila i dispositivi rimovibili che sono stati infettati dai due nuovi rappresentanti del Trojan.Win32.Autorun, rispettivamente al 18œ e al 20œ posto della classifica. Entrambi i malware si presentano come file autorun.inf che, non appena l'apparecchio infettato viene connesso, avviano il worm presente sul dispositivo.

Per concludere la rassegna della classifica di questo mese, al 13œ posto troviamo il Worm.Win32.VBNA.b. Il programma è scritto su Visual Basic e rientra nella categoria dei packer maligni.

Malware diffusi via Internet

La seconda tabella descrive la situazione in Internet. In questa classifica si trovano infatti malware che sono stati individuati nelle pagine Web nonché tutti quelli i cui tentativi di caricamento avvengono sempre attraverso le pagine Web.


Posizione Variazione di posizione Malware Quantità di computer infettati
1   0 Trojan-Clicker.JS.Iframe.bb   490331  
2   new Exploit.JS.Agent.bab   341085  
3   return Trojan-Downloader.JS.Pegel.b   220359  
4   -2 Exploit.Java.CVE-2010-0886.a   214968  
5   0 Trojan.JS.Agent.bhr   77837  
6   new Exploit.JS.Pdfka.clk   74592  
7   0 not-a-virus:AdWare.Win32.FunWeb.q   65550  
8   new Exploit.JS.Pdfka.ckp   59680  
9   new Worm.Win32.VBNA.b   57442  
10   1 Trojan-Clicker.JS.Agent.ma   54728  
11   new Hoax.HTML.FakeAntivirus.f   50651  
12   new not-a-virus:AdWare.Win32.FunWeb.ds   49720  
13   -5 Exploit.JS.CVE-2010-0806.i   48089  
14   new Exploit.JS.Pdfka.clm   45489  
15   0 not-a-virus:AdWare.Win32.Shopper.l   44913  
16   0 Trojan.JS.Redirector.l   43787  
17   -8 Exploit.JS.CVE-2010-0806.b   39143  
18   new Trojan.JS.Agent.bky   36481  
19   new Trojan.JS.Fraud.af   35410  
20   -17 Trojan.JS.Redirector.cq   35375  

Nonostante i significativi cambiamenti avvenuti nella tabella, cinque delle sue voci, tra cui la capolista, hanno mantenuto le loro posizioni.

L'inaspettato ritorno del Trojan-Downloader.JS.Pegel.b, al terzo posto in classifica, ricorda la situazione che abbiamo descritto nel mese di aprile riguardo al Trojan-Downloader.JS.Gumblar.x. L'ultima volta che è stata rilevata un'elevata attività di Pegel è stata nel febbraio di quest'anno, quando ben sei rappresentanti della famiglia Pegel, capitanati dalla variante Pegel.b, sono apparsi nella TOP 20 dei malware più diffusi in Internet. Insieme a Pegel.b sono stati sfruttati diversi exploit PDF e l'exploit Java CVE-2010-0886 del quale abbiamo parlato il mese scorso. Oltre agli script downloader Pegel e Gumblar vi sono anche altri script piuttosto semplici, ma abbastanza diffusi, con i quali i cybercriminali infettano siti legittimi. Uno di questi è il Trojan.JS.Agent.bky (al 18œ posto). Le dimensioni del suo codice sono in media di 0x3B byte, ossia 59 simboli. La sua unica funzione è quella di caricare il codice maligno principale da un URL predefinito.

Il nuovo eppure vecchio exploit Agent.bab, piazzatosi al secondo posto in classifica, è stato individuato oltre 340 mila volte. Questo malware sfrutta la vecchia vulnerabilità CVE-2010-0806, scaricando sul computer-vittima diversi programmi maligni. In tal modo si ripete lo scenario già noto, secondo il quale dapprima si scarica il Trojan-Downloader.Win32.Geral e il Rootkit.Win32.Agent, Backdoor.Win32.Hupigon, e poi Trojan-GameTheif.Win32.Maganiz, Trojan-GameTheif.Win32.WOW ecc.

Nella tabella si rilevano ancora tre nuove varianti dell'Exploit.JS.Pdfka (6œ, 8œ e 14œ posto). Pare quasi che i malware di questa famiglia non se ne vogliano più andare dalla nostra classifica e che le release di aggiornamenti Adobe continueranno ad essere accompagnate dalla comparsa di nuove varietà di questo exploit. Tutte e tre le varianti hanno scaricato diversi malware che non formano tuttavia un gruppo nettamente definito.

Negli ultimi tempi non è raro imbattersi in pagine Internet nelle quali si comunica che sul computer dell'utente si trova una gran quantità di programmi maligni e si propone di effettuare immediatamente una pulizia del computer. La finestra del browser assomiglia alla finestra Risorse del computer nella quale si svolge la scansione. Al termine di questa scansione, l'utente, premendo un qualsiasi tasto del mouse anche solo per chiudere quella pagina, richiama l'avvio dell'antivirus, che nella maggior parte dei casi è un ennesimo rappresentante della famiglia Trojan-Ransom o lo stesso Trojan.Win32.FraudPack in persona. Queste pagine sono note agli utenti dei prodotti Kaspersky Lab con i nomi di Hoax.HTML.FakeAntivirus.f e Trojan.JS.Fraud.af.



I programmi potenzialmente indesiderati non si sono certo defilati dalla nostra classifica, come dimostra la comparsa al 12œ posto della nuova versione dell'AdWare.Win32.FunWeb.ds. Lo scopo di questo prodotto di software è raccogliere informazioni sulle interrogazioni ai motori di ricerca effettuate dall'utente. Nella maggior parte dei casi i dati raccolti vengono sfruttati da sistemi che visualizzano banner che compaiono poi all'improvviso mentre si naviga in rete.

I dati confidenziali rappresentano una leccornia per la maggior parte dei cybercriminali. Perfezionando diverse tecnologie per confezionare i malware e i metodi per la loro diffusione, scoprendo nuove vulnerabilità, sfruttando forme sempre più raffinate di phishing e di social engineering, i programmatori di virus cercano di strappare quanto più possono da questo bocconcino prelibato. Nonostante le aziende produttrici di antivirus stiano sul chi va là, è indispensabile che gli utenti mantengano la necessaria prudenza, perché anche quello che cercate in Internet e come lo cercate possono rivelare a terzi chi siete e che cosa possedete.

I Paesi in cui si riscontra una maggiore quantità di tentativi di infezione via Web sono: