Classifica malware - Marzo 2011

11 apr
Le nostre classifiche

Vyacheslav Zakorzhevsky

Marzo in cifre

Nel corso del mese nei computer degli utenti dei prodotti Kaspersky Lab:

  • sono stati respinti 241.151.171 attacchi di rete;
  • sono stati bloccati 85.853.567 tentativi di infezione via Internet;
  • sono stati individuati e neutralizzati 219.843.736 programmi malware (tentativi di infezione locale);
  • sono state registrate 96.702.092 attivazioni di analisi euristiche.

La disgrazia di alcuni è il lucro di altri

Abbiamo già scritto molte volte che i cybercriminali non disdegnano sfruttare eventi tragici per raggiungere i loro scopi. Non fanno eccezione né il terremoto e lo tsunami che di recente hanno travolto il Giappone né la morte di Elisabeth Taylor.

Moltissime persone in Giappone hanno perso i loro cari e le loro case, mentre tutto il mondo segue con il fiato sospeso lo sviluppo degli eventi presso la centrale nucleare Fukushima 1 anch'essa colpita dal terremoto. Ma i cybercriminali e i programmatori di virus non si fermano davanti a nulla e con sprezzante cinismo diffondono link maligni nei siti che riportano le notizie di attualità, creano pagine web infettate il cui contenuto è in un modo o nell'altro attinente alla tragedia che si è abbattuta sul Giappone e inviano «spam nigeriano» con richieste strappalacrime nelle quale si invoca l'aiuto finanziario dei destinatari mediante il trasferimento di denaro sul conto del mittente.

Per esempio in una delle e-mail di spam erano contenuti dei presunti link per collegarsi alle ultime notizie sul Giappone. In realtà, cliccando sui link, gli utenti attivavano un attacco drive-by per mezzo di pacchetti di exploit. Se l’attacco andava a segno sui computer degli utenti veniva scaricato il Trojan-Downloader.Win32.CodecPack. Per ciascun membro di questa famiglia sono rigorosamente registrati tre centri di controllo ai quali il trojan si rivolge e dai quali riceve degli elenchi di file maligni da scaricare e installare sul computer dell'utente. In una della pagine web da noi individuate come infette i visitatori venivano invitati a scaricare un filmato sugli eventi accaduti in Giappone, ma anziché riprodurre il video l'utente scaricava sul suo computer un backdoor.

I cybercriminali più lesti si danno invece da fare su Twitter, sul quale, già il giorno successivo alla notizia, sono apparsi link maligni a presunte informazioni sul decesso di Elisabeth Taylor.

Exploit

Le esortazioni delle aziende che operano nel settore della sicurezza IT ad aggiornare periodicamente il software dei computer sono come sempre attuali: gli exploit continuano a essere uno degli strumenti preferiti dai cybercriminali.

Exploit Java

La quantità di exploit Java è piuttosto elevata: in totale ha infatti inciso per circa il 14% sul numero totale degli exploit individuati. Nella TOP 20 dei malware riscontrati in Internet si sono piazzati tre exploit Java. Inoltre due di questi, l'Exploit.Java.CVE-2010-0840.d (15œ posto) e l'Exploit.Java.CVE-2010-0840.c (19œ posto), sono exploit nuovi che sfruttano la vulnerabilità CVE-2010-0840 di Java. Ricordiamo che già il mese scorso era stato segnalato lo sfruttamento di questa falla.

Secondo i dati delle statistiche KSN, i creatori di malware continuano a cambiare gli exploit che sfruttano nel corso degli attacchi drive-by per eludere i rilevamenti degli antivirus. Il grafico riportato qui sotto illustra lo sviluppo dei casi di individuazione dell'Exploit.Java.CVE-2010-0840.

 top20_march2011_pic01_all enlarge
Sviluppo dei casi di individuazione dell'Exploit.Java.CVE-2010-0840

I picchi riportati nel grafico corrispondono ai periodi di individuazione degli exploit utilizzati nel corso degli attacchi drive-by, mentre le flessioni corrispondono ai periodi in cui è apparsa una nuova versione dell'exploit.

Exploit per la vulnerabilità di Adobe Flash Player

I programmatori di virus reagiscono con velocità sorprendente alle comunicazioni di nuove vulnerabilità. Ne è un esempio l'exploit della vulnerabilità di Adobe Flash Player, la cui individuazione è stata comunicata da Adobe in data 14 marzo. La vulnerabilità è contenuta nella libreria authplay.dll ed è stata valutata come critica: il suo sfruttamento dà la possibilità ai cybercriminali di prendere il controllo del computer dell'utente.

Il 15 marzo Kaspersky Lab aveva già individuato un exploit di questa vulnerabilità che si presenta sotto forma di un file Excel che contiene il file SWF infetto e viene individuato come Trojan-Dropper.SWF.CVE-2011-0609.a.

Il 25 marzo abbiamo individuato un'altra variante dell'exploit, una pagina HTML contenente uno JavaScript con shell-code e richiamo del file Flash infetto. Dopo aver richiamato il file SWF, che sfrutta la falla nella protezione del computer, lo shell-code assume il comando. I file HTML e SWF vengono individuati rispettivamente come Exploit.JS.CVE-2011-0609 ed Exploit.SWF.CVE-2011-0609.

top20_march2011_pic02s enlarge
Frammento dell'Exploit.JS.CVE-2011-0609.d

Questa storia ha un lieto fine: la vulnerabilità è stata operativamente riparata. Adobe ha comunicato la riparazione della vulnerabilità il 22 marzo. Ovviamente il lieto fine è riservato solamente ai computer degli utenti che hanno aggiornato tempestivamente il software.

Pagine HTML infette: protezione anti-individuazione

Periodicamente informiamo gli utenti delle individuazioni di pagine HTML utilizzate dai cybercriminali per diffondere i malware o facenti parte di uno schema fraudolento. I creatori di queste pagine si inventano di continuo nuovi stratagemmi per nasconderle dai programmi antivirus.

Utilizzo del tag <textarea>

Nel report di febbraio avevamo scritto che i cybercriminali utilizzavano i fogli di stile a cascata (CSS) per proteggere gli script maligni dall'individuazione da parte degli antivirus. Attualmente nello loro pagine HTML al posto dei CSS si sono messi a utilizzare il tag <textarea>.

Con il tag <textarea> si simula il campo di immissione.

 top20_march2011_pic03
Campo di digitazione dei dati realizzato per mezzo del tag <textarea>

I cybercriminali utilizzano questo tag come container nel quale conservare i dati che verranno in seguito utilizzati come script principale.

Nella classifica TOP 20 di marzo si piazza anche il Trojan-Downloader.JS.Agent.fun (9œ posto), individuato in una pagina web nella quale è stata rilevata una combinazione dello script maligno e del tag <textarea> contenente i dati per lo script. Sfruttando i dati del tag <textarea>, lo script installa altri exploit con l'ausilio di diversi metodi.

Pagina crittata

Nei report di dicembre e di gennaio abbiamo parlato degli antivirus online fasulli. Attualmente la pagina web nella quale si imita la scansione del computer e si invita l'utente ad acquistare l'«antivirus» è crittata ed eseguita come script Java polimorfo, il che complica la procedura di individuazione da parte delle aziende produttrici di antivirus.

top20_march2011_pic04 enlarge
Frammento della pagina crittata con l'antivirus web falso

Questo genere di script polimorfi vengono da noi individuati come Trojan.JS.Fraud.bl (18œ posto nella classifica dei malware riscontrati in Internet) e Trojan.JS.Agent.btv (8œ posto).

Rustock

A marzo una delle principali notizie è stata la scoperta della botnet Rustock. Ricordiamo che la rete creata da Rustock contava alcune centinaia di migliaia di computer infetti e che per estendersi utilizzava lo spam. L'operazione di chiusura della botnet è stata organizzata da Microsoft e dalle autorità degli Stati Uniti. Il 17 marzo Microsoft ha reso nota la chiusura dei server di controllo della botnet. Su tutti i server dei centri di controllo della botnet chiusi da Microsoft è stato creato un redirect alla pagina microsoftinternetsafety.net.

Secondo i dati di Kaspersky Lab gli ultimi esemplari di Rustock sono stati scaricati sui computer degli utenti dai server di controllo della botnet in data 16 marzo, mentre il 17 marzo è stato impartito l'ultimo ordine di invio dello spam. Dopodiché ai bot non sono più giunti ulteriori comandi. Tanto più che dopo il 16 marzo non è stato individuato nessun nuovo downloader che installasse Rustock sui computer degli utenti.

Significa forse che una delle botnet spam più famose è finalmente giunta al capolinea? O forse i gestori della botnet bloccata si sono semplicemente nascosti per qualche tempo in attesa che le acque si calmino? Purtroppo per il momento non è possibile dare risposta a questi interrogativi.

Malware per Android

I malware per Android non sono più una rarità. In marzo i cybercriminali sono riusciti a diffonderli sotto forma di applicazioni legittime in Android Market.

All'inizio del mese di marzo su Android Market abbiamo individuato delle versioni infette di applicazioni legittime. Queste ultime contenevano gli exploit root "rage against the cage" e "exploid" che consentono al malware di ottenere sugli smart phone Android i diritti di accesso root, i quali danno pieno accesso al sistema operativo dell'apparecchio.

Nell'archivio maligno APK oltre agli exploit root erano contenuti anche due componenti maligni. Uno di essi, una volta ottenuti i diritti root per mezzo del metodo POST, inviava a un server remoto dei cybercriminali uno speciale file XML contenente l'IMEI e l'IMSI nonché altre informazioni sull'apparecchio e si metteva in attesa di ulteriori comandi. L'altro malware assumeva la funzione di un trojan-downloader. Attualmente non siamo ancora riusciti a entrare in possesso dei file scaricati.

TOP 20 dei programmi malware in Internet


Attuale posizione in classifica Delta Verdetto
1   top20_up4 AdWare.Win32.FunWeb.gq  
2   top20_newNew Hoax.Win32.ArchSMS.pxm  
3   top20_up3 AdWare.Win32.HotBar.dh  
4   top20_up8 Trojan.HTML.Iframe.dl  
5   top20_newNew Hoax.HTML.OdKlas.a  
6   top20_newNew Trojan.JS.Popupper.aw  
7   top20_up1 Exploit.JS.Pdfka.ddt  
8   top20_down-8 Trojan.JS.Agent.btv  
9   top20_down-9 Trojan-Downloader.JS.Agent.fun  
10 top20_down-10 Trojan-Downloader.Java.OpenStream.bi
11   top20_down-7 Exploit.HTML.CVE-2010-1885.ad  
12   top20_newNew Trojan.JS.Agent.uo  
13   top20_newNew Trojan-Downloader.JS.Iframe.cdh  
14   top20_newNew Packed.Win32.Katusha.o  
15   top20_newNew Exploit.Java.CVE-2010-0840.d  
16   top20_up1 Trojan.JS.Agent.bhr  
17   top20_newNew Trojan-Clicker.JS.Agent.om  
18   top20_newNew Trojan.JS.Fraud.bl  
19   top20_newNew Exploit.Java.CVE-2010-0840.c  
20   top20_newNew Trojan-Clicker.HTML.Iframe.aky  

TOP 20 dei programmi malware individuati nei computer degli utenti


Attuale posizione in classifica Delta Verdetto
1   top20_noch0 Net-Worm.Win32.Kido.ir  
2   top20_noch0 Virus.Win32.Sality.aa  
3   top20_up1 Net-Worm.Win32.Kido.ih  
4   top20_newNew Hoax.Win32.ArchSMS.pxm  
5   top20_noch0 Virus.Win32.Sality.bh  
6   top20_down-3 HackTool.Win32.Kiser.zv  
7   top20_down-1 Hoax.Win32.Screensaver.b  
8   top20_down-1 AdWare.Win32.HotBar.dh  
9   top20_up8 Trojan.Win32.Starter.yy  
10   top20_up1 Packed.Win32.Katusha.o  
11   top20_up1 Worm.Win32.FlyStudio.cu  
12   top20_down-2 HackTool.Win32.Kiser.il  
13   top20_down-4 Trojan.JS.Agent.bhr  
14   top20_up2 Trojan-Downloader.Win32.Geral.cnh  
15   top20_newNew Porn-Tool.Win32.StripDance.d  
16   top20_newNew Exploit.JS.Agent.bbk  
17   top20_newNew Trojan.Win32.AutoRun.azq  
18   top20_down-5 Trojan-Downloader.Win32.VB.eql  
19   top20_down-5 Worm.Win32.Mabezat.b  
20   top20_down-5 Packed.Win32.Klone.bq