Classifica malware - Giugno 2009

03 lug
Notizie Virus

Kaspersky Lab è lieto di sottoporre all'attenzione degli utenti la classifica relativa sulla diffusione del malware nel il mese di giugno. Ricordiamo che tali classifiche vengono da noi stilate con cadenza mensile, sulla base dei dati acquisiti tramite Kaspersky Security Network (KSN). Le metodologie di selezione ed analisi di tali dati, sono state in parte modificate rispetto al passato. Con l'ausilio del KSN, così come in precedenza, anche per il mese di giugno 2009 sono state stilate due diverse classifiche del malware.

La prima tabella si riferisce ai programmi nocivi, adware e programmi potenzialmente pericolosi rilevati e resi inoffensivi al primo trattamento anti-virus da subito, nel quadro dell'azione svolta dal componente di programma “scanner on-access”. L'impiego della metodologia di statistica “on-access” consente di condurre un'immediata analisi dei programmi malware più recenti, dei più pericolosi e dei più diffusi. Tali programmi vengono di fatto bloccati ed inibiti nel momento stesso in cui tentano di avviarsi, o durante il loro download dalla rete sui computer degli ignari utenti.

Posizione Programma malware Numero dei computer infetti
1   Net-Worm.Win32.Kido.ih 58200  
2   Virus.Win32.Sality.aa 28758  
3   Trojan-Dropper.Win32.Flystud.ko 13064  
4   Trojan-Downloader.Win32.VB.eql 12395  
5   Worm.Win32.AutoRun.dui 8934  
6   Trojan.Win32.Autoit.ci 8662  
7   Virus.Win32.Virut.ce 6197  
8   Worm.Win32.Mabezat.b 5967  
9   Net-Worm.Win32.Kido.jq 5934  
10   Virus.Win32.Sality.z 5750  
11   Trojan-Downloader.JS.LuckySploit.q 4624  
12   Virus.Win32.Alman.b 4394  
13   Packed.Win32.Black.a 4317  
14   Net-Worm.Win32.Kido.ix 4284  
15   Worm.Win32.AutoIt.i 4189  
16   Trojan-Downloader.WMA.GetCodec.u 4064  
17   Packed.Win32.Klone.bj 3882  
18   Email-Worm.Win32.Brontok.q 3794  
19   Worm.Win32.AutoRun.rxx 3677  
20   not-a-virus:AdWare.Win32.Shopper.v 3430  

I cambiamenti che abbiamo introdotto nella metodologia di analisi delle minacce, non hanno influito sulla leadership della classifica: Net-Worm.Win32.Kido.ih mantiene saldamente la prima posizione. Inoltre, in questa Top-20 compaiono anche due varianti di tale worm, ovverosia Kido.jq e Kido.ix. Evidentemente, la copiosa presenza di Kido nella classifica sopra riportata, è legata al fatto che i «rappresentanti» di tale famiglia di worm sono soliti diffondersi anche tramite supporti mobili, precedentemente utilizzati su unità sprovviste di un'adeguata protezione anti-virus.

Per gli stessi motivi, compaiono in classifica anche AutoRun.dui e AutoRun.rxx, della famiglia di worm Autorun. Troviamo poi, all'interno di questa Top-20, un Trojan Script di particolare interesse, peraltro attivamente utilizzato dai criminali informatici: Trojan-Downloader.JS.LuckySploit.q (ne parleremo più avanti).

Al ventesimo posto si colloca l'adware Shopper.v, uno dei più famosi programmi nel suo genere (la società che lo ha elaborato, Zango - in precedenza Hotbar - è stata chiusa alcuni mesi fa). Tale applicazione installa toolbar di vario tipo, molto difficili da disinstallare, sia nei browser che nei client di posta: saranno in tal modo mostrati in continuazione all'utente dei banner pubblicitari.

La seconda classifica è stata stilata sulla base dei dati acquisiti grazie alle attività condotte dall'anti-virus web: rispecchia la situazione attualmente presente in ambito Internet. Questa Top-20 è composta dal malware rilevato sulle pagine web, così come da quei software nocivi che cercano subdolamente di infiltrarsi nei computer degli utenti tramite il download dalle pagine Internet. In altre parole, questa seconda classifica fornisce illuminanti risposte a due diverse domande: «Quali sono i programmi nocivi che infettano con maggiore frequenza le pagine web?» e «Qual è il malware più frequentemente scaricato - in maniera consapevole od inconsapevole - dalle pagine Internet nocive ed infette?».

Posizione Programma malware Numero delle pagine web infette
1   Trojan-Downloader.JS.Gumblar.a 27103  
2   Trojan-Downloader.JS.Iframe.ayt 14563  
3   Trojan-Downloader.JS.LuckySploit.q 6975  
4   Trojan-Clicker.HTML.IFrame.kr 5535  
5   Trojan-Downloader.HTML.IFrame.sz 4521  
6   Trojan-Downloader.JS.Major.c 4326  
7   Trojan-Downloader.Win32.Agent.cdam 3939  
8   Trojan-Clicker.HTML.IFrame.mq 3922  
9   Trojan.JS.Agent.aat 3318  
10   Trojan.Win32.RaMag.a 3302  
11   Trojan-Clicker.SWF.Small.b 2894  
12   Packed.JS.Agent.ab 2648  
13   Trojan-Downloader.JS.Agent.czm 2501  
14   Exploit.JS.Pdfka.gu 2441  
15   Trojan-Clicker.JS.Agent.fp 2332  
16   Trojan-Dropper.Win32.Agent.aiuf 2002  
17   Exploit.JS.Pdfka.lr 1995  
18   not-a-virus:AdWare.Win32.Shopper.l 1945  
19   not-a-virus:AdWare.Win32.Shopper.v 1870  
20   Exploit.SWF.Agent.az 1747  

La prima posizione è occupata di diritto dal Trojan Downloader Gumblar.a. L'azione che esso conduce rappresenta un eccellente esempio di drive-by-download. Gumblar.a è uno script codificato di piccole dimensioni: quando viene eseguito, reindirizza l'utente al sito infetto dal quale, a sua volta, viene scaricato ed installato il file nocivo eseguibile. Quest'ultimo, dopo essere stato installato nel sistema, esercita evidenti effetti sul traffico web dell'utente, modificando ad esempio i risultati delle ricerche eseguite tramite Google; allo stesso modo, ricerca nel computer dell'utente le password relative ai server FTP, per poi successivamente procedere all'infezione di questi ultimi. Si assiste così alla formazione di una botnet costituita da server infettati, grazie alla quale i malintenzionati potranno agevolmente caricare sui computer degli utenti qualsivoglia tipo di programma nocivo.

La quantità di server infetti è davvero enorme: la diffusione del contagio si è finora prodotta proprio tramite quei computer sprovvisti di adeguata protezione anti-virus. Un ulteriore significativo esempio di download drive-by è rappresentato dal Trojan Downloader LuckySploit.q, che si colloca al terzo posto della classifica sopra riportata e fa altresì parte, come abbiamo visto, della prima Top-20. Si tratta di uno script magistralmente offuscato, il quale inizialmente raccoglie tutte le informazioni relative alla configurazione del browser dell'utente, per poi inviarle al sito nocivo, cifrandole tramite chiave RSA diretta. Nel server, tali informazioni vengono poi decifrate mediante chiave RSA inversa e, a seconda della configurazione del browser precedentemente individuata, viene restituito all'utente un intero bouquet di script, i quali sfrutteranno le vulnerabilità presenti nel computer e provvederanno al caricamento in esso di ulteriori programmi malware. Oltretutto, una combinazione così articolata e mutevole rende di particolarmente difficile un’analisi su campioni dello script iniziale, preposto a raccogliere le informazioni relative al browser: nel caso poi in cui il server che decifra tali informazioni risulti inaccessibile, non sarà possibile nemmeno la ricezione dei dati riguardanti gli script che saranno, nella circostanza, subdolamente inviati all'utente.

Vi è poi tutta una serie di malware che sfruttano proprio le vulnerabilità presenti nei programmi elaborati da alcune delle maggiori software house. La presenza in classifica degli exploit Trojan-Clicker.SWF.Small.b, Exploit.JS.Pdfka.gu, Exploit.JS.Pdfka.lr ed Exploit.SWF.Agent.az è allo stesso tempo indice sia della popolarità che della vulnerabilità dei prodotti Adobe Flash Player e Adobe Reader. Vengono altresì sfruttate vulnerabilità di vario genere insite nelle soluzioni software elaborate da Microsoft: Trojan-Downloader.JS.Major.c, ad esempio, nella sua azione cerca di avvalersi immediatamente di alcune vulnerabilità presenti in varie componenti sia del sistema operativo che delle applicazioni di Microsoft Office. Tirando le somme, si può senz'altro asserire che in questi ultimi tempi si osserva distintamente la tendenza, da parte dei cybercriminali, ad utilizzare in maniera sempre più marcata le varie tipologie del subdolo ma astuto metodo di download drive-by, per infettare i computer degli utenti: è proprio questo, oramai, l'orientamento imperante nel Web. In ragione di quanto sopra esposto, risulta pertanto sempre più indispensabile, per gli utenti, effettuare tempestivamente l'installazione degli aggiornamenti riguardanti sia il sistema operativo che i programmi da essi utilizzati; è in egual modo strettamente necessario, ovviamente, procedere sempre agli aggiornamenti del proprio programma anti-virus.

D'ora in poi, la nostra rassegna mensile sul malware includerà un ulteriore elemento innovativo, ovverosia la classifica relativa ai paesi in cui è stato riscontrato il maggior numero di tentativi di infezione tramite web: