Classifica malware - Agosto 2009

04 set
Notizie Virus

Kaspersky Lab è lieta di sottoporre all'attenzione degli utenti la classifica relativa alla diffusione del malware nel mese di agosto 2009. Ricordiamo che tali classifiche vengono stilate mensilmente, sulla base dei dati acquisiti tramite Kaspersky Security Network (KSN).

Posizione Rispetto al mese scorso Programma malware Numero dei computer infetti
1   top20_noch0 Net-Worm.Win32.Kido.ih   48281  
2   top20_noch0 Virus.Win32.Sality.aa   23156  
3   top20_newNew not-a-virus:AdWare.Win32.Boran.z   16872  
4   top20_down-1 Trojan-Downloader.Win32.VB.eql   8030  
5   top20_down-1 Trojan.Win32.Autoit.ci   7846  
6   top20_noch0 Virus.Win32.Virut.ce   6248  
7   top20_down-2 Worm.Win32.AutoRun.dui   5516  
8   top20_noch0 Net-Worm.Win32.Kido.jq   5446  
9   top20_down-2 Virus.Win32.Sality.z   5157  
10   top20_newNew Virus.Win32.Induc.a   4476  
11   top20_down-2 Worm.Win32.Mabezat.b   3982  
12   top20_down-2 Net-Worm.Win32.Kido.ix   3579  
13   top20_down-1 Packed.Win32.Klone.bj   3579  
14   top20_newNew Trojan.Win32.Swizzor.b   3327  
15   top20_newNew Packed.Win32.Katusha.b   3139  
16   top20_down-2 Worm.Win32.AutoIt.i   3076  
17   top20_up1 not-a-virus:AdWare.Win32.Shopper.v   2947  
18   top20_newNew Trojan-Dropper.Win32.Flystud.yo   2745  
19   top20_down-2 Email-Worm.Win32.Brontok.q   2706  
20   top20_newNew P2P-Worm.Win32.Palevo.jaj   2664  

La prima Top20 contiene programmi malware, adware, programmi potenzialmente pericolosi e indesiderati che sono stati identificati e neutralizzati utilizzando lo scanner “on-access”. Le statistiche “on-access” permettono di analizzare i programmi malware più recenti, nel momento stesso in cui vengono rilevati sui computer degli utenti, o quando vengono scaricati dalla Rete.

I leader storici della nostra classifica, Net-Worm.Win32.Kido.ih e Virus.Win32.Sality.aa, hanno mantenuto le loro posizioni. Ma ad agosto sono apparsi sei nuovi arrivati, tra i quali alcuni degni di nota.

Il più interessante è Virus.Win32.Induc.a, del quale abbiamo discusso più volte nella sezione news del blog. È importante notare che il meccanismo di riproduzione di Virus.Win32.Induc.a è a due fasi e sfrutta l'ambiente Delphi: il codice sorgente del virus viene inserito e compilato nei moduli .dcu intermedi che vengono in seguito compilati per ottenere i file eseguibili in ambiente Windows. Considerando che in tal modo molti prodotti software possono essere infettati da questo virus già in fase di compilazione, non sorprende che, appena individuato, sia già al decimo posto in classifica.

Ancora più in alto, direttamente al terzo posto della classifica troviamo un'altra novità: not-a-virus:AdWare.Win32.Boran.z – componente del pannello strumenti Baidu Toolbar per Internet Explorer, molto popolare in Cina. Questo malware utilizza diverse tecnologie rootkit per rendere più difficile agli utenti la sua rimozione manuale.

Trojan.Win32.Swizzor.b e Packed.Win32.Katusha.b, rispettivamente al quattordicesimo e quindicesimo posto, sono entrati nella nostra classifica più rapidamente dei loro predecessori. Entrambe le new entry si distinguono per il loro elevato grado di perfezionamento, complessità e ricercatezza rispetto al passato.

Il worm P2P-Worm.Win32.Palevo.ddm, apparso per la prima volta a maggio, ha preso il posto del suo predecessore, Palevo.jaj, che occupava l'ultima posizione in classifica. Va detto che questo worm è molto pericoloso: oltre a diffondersi nelle reti di file sharing, infetta anche le memorie di massa e si diffonde attraverso i servizi di messaggistica istantanea. Inoltre, dispone di notevoli funzionalità backdoor, che permettono ai malintenzionati di utilizzare i computer infetti con grande flessibilità.

Nel complesso, la prestazione più notevole del mese è stata registrata da Virus.Win32.Induc, che ha introdotto una nuova modalità di contagio dei computer. Per il resto riportiamo una certa stabilità nel primo gruppo, soprattutto se paragonato al secondo.

La seconda tabella è stata redatta sulla base dei dati ottenuti dall'antivirus on-line e rappresenta la situazione riscontrata nella rete. In questa classifica si trovano i malware che sono stati individuati nelle pagine Web nonché tutti quelli i cui tentativi di caricamento avvengono attraverso pagine Web.

Posizione Rispetto al mese scorso Programma malware Numero delle pagine web infette
1   top20_newNew not-a-virus:AdWare.Win32.Boran.z   16760  
2   top20_up1 Trojan-Downloader.HTML.IFrame.sz   5228  
3   top20_newNew Trojan.JS.Redirector.l   4693  
4   top20_down-3 Trojan-Downloader.JS.Gumblar.a   4608  
5   top20_newNew Trojan-Clicker.HTML.Agent.w   4564  
6   top20_newNew Exploit.JS.DirektShow.k   4475  
7   top20_noch0 Trojan-GameThief.Win32.Magania.biht   4416  
8   top20_down-4 Trojan-Downloader.JS.LuckySploit.q   3416  
9   top20_down-7 Trojan-Clicker.HTML.IFrame.kr   3323  
10   top20_down-4 Trojan-Downloader.JS.Major.c   2688  
11   top20_newNew Exploit.JS.Sheat.c   2684  
12   top20_newNew Trojan-Downloader.JS.FraudLoad.d   2553  
13   top20_down-4 Trojan-Clicker.HTML.IFrame.mq   2367  
14   top20_down-3 Trojan.JS.Agent.aat   2246  
15   top20_down-3 Exploit.JS.DirektShow.j   2128  
16   top20_newNew Trojan-Downloader.JS.IstBar.bh   1973  
17   top20_newNew Trojan-Downloader.JS.Iframe.bmu   1933  
18   top20_newNew Exploit.JS.DirektShow.l   1838  
19   top20_newNew Exploit.JS.DirektShow.q   1753  
20   top20_newNew Trojan-Downloader.Win32.Agent.ckwd   1504  

Nel mese di agosto la seconda Top 20 è costituita per più della metà da nuovi esempi delle attività dei criminali informatici.

Al primo posto troviamo sempre not-a-virus:AdWare.Win32.Boran.z, di cui abbiamo già parlato. Un mese fa abbiamo parlato della vulnerabilità di Internet Explorer sfruttata dall'exploit che i nostri antivirus identificano come Exploit.JS.DirektShow. A luglio erano presenti tre varianti: .a, .j e .o. Oggi ne troviamo quattro versioni. Ciò significa che lo sfruttamento di tale vulnerabilità rimane molto popolare. Probabilmente i cybercriminali presumono che molti utenti non abbiano ancora installato le patch appropriate e continuano i loro tentativi di attacco attraverso questa falla.

Un'altra vulnerabilità, questa volta di Microsoft Office, è stata sfruttata intensamente dai criminali informatici in agosto: una delle varianti dell'exploit in oggetto, che il nostro antivirus identifica come Exploit.JS.Sheat, ha raggiunto l'undicesimo posto in classifica.

In Internet vi sono molte pagine da cui si diffondono antivirus falsi. Uno degli script con cui è possibile ottenere questo scopo si trova al dodicesimo posto della nostra classifica. Kaspersky Antivirus lo identifica come Trojan-Downloader.JS.FraudLoad.d. Quando l'utente arriva su un sito contenente questo script, gli viene comunicato che il suo computer potrebbe essere stato infettato da una grande quantità di malware, e ne propone la rimozione. Se l'utente accetta, nel suo computer viene caricato un antivirus fittizio, FraudTool.

Il trojan Redirector.l agisce reindirizzando le ricerche dell'utente su alcuni server specifici per aumentare il numero delle visite agli stessi, mentre il downloader Iframe.bmu è il tipico contenitore che nasconde al suo interno diversi exploit, in questo caso per prodotti Adobe.

Il trend riscontrato a luglio si mantiene inalterato: i criminali informatici continuano a sfruttare le vulnerabilità contenute nei diversi prodotti software. Inoltre, si diffondono in modo dinamico i falsi antivirus e i semplici clicker iframe. È possibile prevedere che la situazione si mantenga inalterata, poiché con tali schemi i cybercriminali vanno praticamente a colpo sicuro.

Provenienza del malware per aree geografiche:

top20_august09_it