Classifica malware - Ottobre 2010

08 nov
Le nostre classifiche

Kaspersky Lab sottopone all'attenzione degli utenti le classifiche relative alla diffusione dei diversi tipi di malware nel mese di ottobre.

Anche se, in generale, il mese è trascorso in maniera relativamente tranquilla, desideriamo tuttavia richiamare l'attenzione su alcuni avvenimenti interessanti. All’inizio di ottobre è stato individuato il Virus.Win32.Murofet che ha infettato gran parte dei file PE eseguibili di Windows. La sua caratteristica principale consiste nel rigenerare dei link con l’ausilio di un particolare algoritmo che si basa sull’orario e sulla data attuale del computer infettato. Il virus rileva nel sistema le informazioni relative all’anno, al mese, al giorno e all’ora attuali, rigenera due parole doppie, calcola sulla loro base l’md5, aggiunge una delle possibili aree di dominio (.biz, .org, .com, .net, .info) e aggiunge alla fine della riga "/forum", dopodiché utilizza il link risultante. È interessante osservare che questo virus non infetta gli altri file eseguibili ed è strettamente legato a Zeus. I link generati non rientrano nella sua infrastruttura, ma attraverso di essi si installano i downloader del bot vero e proprio. Questo virus dimostra l'ingegnosità e lo zelo con i quali i programmatori di Zeus tentano di diffondere la propria creazione in tutto il mondo.

Aumenta la diffusione degli archivi fasulli, individuati da noi come Hoax.Win32.ArchSMS. Una volta installatosi, il programma propone all'utente di inviare uno o più messaggi SMS ad un determinato numero a pagamento per ricevere l'archivio contenuto. Nella maggior parte dei casi, dopo l’invio del messaggio, sullo schermo del computer appaiono visualizzate delle istruzioni per l'uso del tracker contenente i file torrent e/o del link di collegamento al tracker. Le varianti possibili sono davvero numerose, ma il risultato non varia: l’utente perde i suoi soldi e non riceve il file desiderato. Frodi del genere sono apparse in un periodo relativamente recente, vale a dire alcuni mesi fa, ma l'interesse che da allora hanno suscitato nei cybercriminali non cessa come conferma la statistica redatta con l’ausilio di KSN (Kaspersky Security Network):

Si deve inoltre menzionare che in ottobre l'azienda Microsoft ha battuto il suo record per quanto riguarda il numero di patch rilasciate. Il 12 ottobre infatti sono stati rilasciati 16 bollettini di sicurezza, riguardanti ben 49 vulnerabilità diverse. Lo scorso record era stato stabilito in agosto, ma le vulnerabilità allora riparate erano solo 34. Ciò indica che i cybercriminali sfruttano attivamente i difetti dei prodotti di questo colosso del software per attuare i loro propositi. Per esempio, il famoso worm Stuxnet al momento della sua comparsa sfruttava quattro vulnerabilità ancora non coperte dallo "zero-day". Nel bollettino di ottobre è stata corretta la terza vulnerabilità sfruttata da Stuxnet, mentre una delle quattro resta ancora scoperta.

Malware individuati nei computer degli utenti

Nella prima tabella sono elencati i programmi dannosi e potenzialmente indesiderati che sono stati individuati e neutralizzati sui computer degli utenti.


Posizione Variazione di posizione Malware Quantità di computer infettati
1   0 Net-Worm.Win32.Kido.ir   386141  
2   0 Virus.Win32.Sality.aa   150244  
3   0 Net-Worm.Win32.Kido.ih   141210  
4   0 Trojan.JS.Agent.bhr   104094  
5   0 Exploit.JS.Agent.bab   85185  
6   1 Virus.Win32.Virut.ce   81696  
7   8 Packed.Win32.Katusha.o   74879  
8   -2 Worm.Win32.FlyStudio.cu   73854  
9   2 Virus.Win32.Sality.bh   57624  
10   -1 Exploit.Win32.CVE-2010-2568.d   54404  
11   1 Exploit.Win32.CVE-2010-2568.b   51485  
12   -2 Trojan-Downloader.Win32.VB.eql   49570  
13   0 Worm.Win32.Autoit.xl   43618  
14   0 Worm.Win32.Mabezat.b   43338  
15   5 Trojan-Downloader.Win32.Geral.cnh   39759  
16   1 Worm.Win32.VBNA.b   33376  
17   -1 Trojan-Dropper.Win32.Sality.cx   30707  
18   New Trojan.Win32.Autoit.ci   29835  
19   New Trojan-Dropper.Win32.Flystud.yo   29176  
20   New Worm.Win32.VBNA.a   26385  

Nel mese appena trascorso non si sono verificati cambiamenti significativi nella tabella. A guidare la classifica sono come sempre Kido, Sality, Virut, CVE-2010-2568. Vale la pena rilevare un aumento della quantità di individuazioni del wrapper maligno Packed.Win32.Katusha.o (al 6œ posto), sfruttato dai programmatori di virus per proteggere e diffondere i falsi antivirus. Il Worm.Win32.VBNA.a (20œ posto) è analogo al malware precedente, ma è tuttavia scritto in linguaggio Visual Basic di alto livello. Nelle TOP 20 passate, i due packer sono stati descritti in maggior dettaglio.

Malware diffusi via Internet

La seconda tabella descrive la situazione su Internet. In questa classifica si trovano infatti malware che sono stati individuati nelle pagine Web nonché tutti quelli i cui tentativi di caricamento avvengono sempre attraverso le pagine Web.


Posizione Variazione di posizione Malware Quantità di tentativi singoli di scaricamento
1   21 Trojan.JS.FakeUpdate.bp   114639  
2   -1 Exploit.JS.Agent.bab   96296  
3   8 Exploit.Java.CVE-2010-0886.a   89012  
4   21 Hoax.Win32.ArchSMS.jxi   78235  
5   1 Trojan.JS.Agent.bhr   63204  
6   -2 AdWare.Win32.FunWeb.di   62494  
7   21 Trojan.JS.Redirector.nj   61311  
8   -3 AdWare.Win32.FunWeb.ds   52404  
9   21 Trojan.JS.Agent.bmx   35889  
10   3 AdWare.Win32.FunWeb.q   34850  
11   -1 AdWare.Win32.FunWeb.fb   34796  
12   21 Trojan-Downloader.Java.Agent.hx   34681  
13   21 Exploit.JS.CVE-2010-0806.i   33067  
14   1 Exploit.JS.CVE-2010-0806.b   31153  
15   21 Trojan-Downloader.Java.Agent.hw   30145  
16   21 Trojan.JS.Redirector.lc   29930  
17   21 Exploit.Win32.CVE-2010-2883.a   28920  
18   -6 Trojan-Downloader.Java.Agent.gr   27882  
19   -3 AdWare.Win32.FunWeb.ci   26833  
20   21 AdWare.Win32.FunWeb.ge   25652  

Nel mese passato non ci sono stati cambiamenti significativi in tabella: come in precedenza ai vertici della classifica troviamo gli exploit CVE-2010-0806 e gli adware FunWeb. Tuttavia notiamo la comparsa di alcuni curiosi esemplari.

Individuato poco più di un mese fa, l’Exploit.Win32.CVE-2010-2883.a, che sfrutta la rispettiva vulnerabilità, si è piazzato al 17œ posto. Si può quindi dire che i cybercriminali hanno introdotto questo exploit nella loro dotazione in tempi relativamente brevi. La falla è situata nella biblioteca vulnerabile cooltype.dll, facente parte di Adobe Reader, mentre la vulnerabilità vera e propria consiste nell'elaborazione non corretta di un file di script appositamente creato. Se si considera la diffusione geografica dell’Exploit.Win32.CVE-2010-2883.a, è evidente che è stato riscontrato con maggiore frequenza negli USA, nel Regno Unito e in Russia. Evidentemente, i cybercriminali contavano sul fatto che in questi Paesi si sarebbe concentrata la maggior parte di computer senza patch per Adobe Reader.

Lo script maligno Trojan.JS.Redirector.nj (7œ posto) è situato in alcuni siti pornografici e invia un messaggio all’utente invitandolo a spedire un SMS a un determinato numero a pagamento per utilizzare la risorsa. Lo script è strutturato in modo tale che per chiudere la pagina si deve utilizzare il task manager o un programma con funzione analoga.


Messaggio inviato dal Trojan.JS.Redirector.nj

In classifica anche il Trojan.JS.Agent.bmx (9œ posto), un exploit classico per browser che scarica un trojan downloader, che a sua volta riceve un elenco di ben trenta link che portano a diversi malware. Tra di essi il Trojan-GameThief.Win32.Element, il Trojan-PSW.Win32.QQShou, il Backdoor.Win32.Yoddos, il Backdoor.Win32.Trup, il Trojan-GameThief.Win32.WOW ecc.

Al primo posto si riconferma lo script della famiglia FakeUpdate, il Trojan.JS.FakeUpdate.bp, anch'esso contenuto in siti pornografici, che invita a scaricare un video porno. Tuttavia quando l’utente cerca di vedere il filmato, appare una finestra pop-up che informa che per riprodurre il video è necessario scaricare un nuovo player.


Invito a scaricare il nuovo player, visualizzato dal Trojan.JS.FakeUpdate.bp

Le ricerche hanno dimostrato che l’installer, oltre a contenere il player legittimo Fusion Media Player 1.7, contiene anche un trojan che modifica il file hosts. Questo trojan imposta l’indirizzo IP del computer locale 127.0.0.1 come molti siti diffusi e installa sul computer infetto il web server locale, dopodiché quando si tenta di accedere a uno dei siti intercettati, nel browser dell’utente viene visualizzata la richiesta di pagamento per poter vedere il filmato pornografico.


La pagina visualizzata al posto del sito bash.org.ru