Classifica malware - Luglio 2009

03 ago
Notizie Virus

Kaspersky Lab è lieto di sottoporre all'attenzione degli utenti la classifica relativa alla diffusione del malware nel mese di luglio 2009. Ricordiamo che tali classifiche vengono stilate mensilmente, sulla base dei dati acquisiti tramite Kaspersky Security Network (KSN).

Posizione Rispetto al mese scorso Programma malware Numero dei computer infetti
1 top20_noch0 Net-Worm.Win32.Kido.ih 51126
2 top20_noch0 Virus.Win32.Sality.aa 24984
3   top20_new1 Trojan-Downloader.Win32.VB.eql 9472
4 top20_down2 Trojan.Win32.Autoit.ci 8250
5 top20_down0 Worm.Win32.AutoRun.dui 6514
6 top20_noch1 Virus.Win32.Virut.ce 5667
7 top20_down3 Virus.Win32.Sality.z 5525
8 top20_noch1 Net-Worm.Win32.Kido.jq 5496
9 top20_down-1 Worm.Win32.Mabezat.b 4675
10 top20_new4 Net-Worm.Win32.Kido.ix 4055
11 top20_down-8 Trojan-Dropper.Win32.Flystud.ko 3764
12 top20_down5 Packed.Win32.Klone.bj 3677
13 top20_down-1 Virus.Win32.Alman.b 3571
14 top20_new1 Worm.Win32.AutoIt.i 3524
15 top20_new-2 Packed.Win32.Black.a 3472
16 top20_down-5 Trojan-Downloader.JS.LuckySploit.q 3335
17 top20_up1 Email-Worm.Win32.Brontok.q 3007
18 top20_new2 not-a-virus:AdWare.Win32.Shopper.v 2841
19 top20_down0 Worm.Win32.AutoRun.rxx 2798
20 top20_newNew P2P-Worm.Win32.Palevo.jaj   2719

La prima Top20 contiene programmi malware, adware, programmi potenzialmente pericolosi e indesiderati che sono stati identificati e neutralizzati utilizzando lo scanner “on-access”. Le statistiche “on-access” permettono di analizzare i programmi malware più recenti, nel momento stesso in cui vengono rilevati sui computer degli utenti, o quando vengono scaricati dalla Rete.

Nel mese di luglio sono avvenuti pochi cambiamenti nella prima classifica, Kido e Sality occupano ancora le posizioni di testa con un notevole scarto. In termini assoluti però, le cifre dei programmi nocivi più popolari sono leggermente diminuite. Probabilmente, ciò è dovuto al fatto che nel pieno dell’estate gli utenti trascorrono meno tempo al computer e, di conseguenza, diminuisce la quantità di malware che li colpisce.

Posizione Rispetto al mese scorso Programma malware Numero delle pagine web infette
1 top20_new0 Trojan-Downloader.JS.Gumblar.a 8538
2 top20_up2 Trojan-Clicker.HTML.IFrame.kr 7805
3 top20_new2 Trojan-Downloader.HTML.IFrame.sz 5213
4 top20_down-1 Trojan-Downloader.JS.LuckySploit.q 4719
5 top20_newNew Trojan-Downloader.HTML.FraudLoad.a 4626
6 top20_new0 Trojan-Downloader.JS.Major.c 3778
7 top20_nochNew Trojan-GameThief.Win32.Magania.biht 2911
8 top20_downNew Trojan-Downloader.JS.ShellCode.i 2652
9 top20_down-1 Trojan-Clicker.HTML.IFrame.mq 2576
10 top20_downNew Exploit.JS.DirektShow.o 2476
11 top20_new-2 Trojan.JS.Agent.aat 2402
12 top20_newNew Exploit.JS.DirektShow.j 2367
13 top20_downNew Exploit.HTML.CodeBaseExec 2266
14 top20_down0 Exploit.JS.Pdfka.gu 2194
15 top20_downNew Trojan-Downloader.VBS.Psyme.ga 2007
16 top20_newNew Exploit.JS.DirektShow.a 1988
17 top20_new-10 Trojan-Downloader.Win32.Agent.cdam 1947
18 top20_new-5 Trojan-Downloader.JS.Agent.czm 1815
19 top20_new-17 Trojan-Downloader.JS.Iframe.ayt 1810
20   top20_newNew Trojan-Downloader.JS.Iframe.bew 1766

A differenza della prima, la seconda classifica è molto più interessante. Presenta i dati elaborati dal componente web anti-virus e mostra il panorama delle minacce online. La seconda Top20, risponde in pratica a due domande: “Quale malware infetta più degli altri le pagine web?” e “Qual è il codice maligno più scaricato dalle pagine infette? (con la consapevolezza dell’utente o senza).

Scorrendo la tabella, notiamo subito tre rappresentanti degli script exploit DirektShow. Sulla vulnerabilità di Internet Explorer sfruttata da questo script, abbiamo fornito delle informazioni dettagliate all’interno del nostro blog (scritto in lingua inglese) viruslist.com/en/weblog?discuss=208187760. Considerando che la maggior parte dei navigatori utilizza Internet Explorer, non sorprende che lo sfruttamento di tale vulnerabilità sia divenuto un metodo molto popolare tra i criminali informatici. Ultimamente abbiamo riscontrato la tendenza a suddividere gli script in più parti: è così per DirektShow, la cui pagina principale contiene un link ad un altro script, dal quale viene scaricato uno shellcode con relativo carico “maligno”.

All’ottavo posto Trojan-Downloader.JS.ShellCode.i è lo shellcode più diffuso, impiegato negli attacchi che sfruttano le vulnerabilità di IE. Questo metodo non presenta difficoltà, anche se non si rivela molto conveniente per chi lo impiega: lo script con shellcode può essere sostituito in qualsiasi momento, senza che il link alla pagina principale cambi. Tale struttura complica, se non rende addirittura impossibile, l’analisi e l’ulteriore rilevamento di tali malware.

È noto che per semplificare la distribuzione del malware (nello specifico di ransomware nella forma di applicazioni anti-virus non autorizzate), si usa spesso un modello standard. Trojan-Downloader.HTML.FraudLoad.a è un esempio di questo approccio, si tratta proprio di uno di questi modelli standard. Questo tipo di malware sta diventando sempre più popolare nel mondo del cybercrime, il risultato di questa tendenza è osservabile nell’enorme numero di siti web che annunciano all’utente lo stato di infezione e pericolo del computer, chiedendo di scaricare programmi che spesso pongono una sera minaccia alla sicurezza dell’utente.

Alla ventesima posizione, troviamo Trojan-Downloader.JS.Iframe.bew, proprio uno degli script usati per scaricare malware da questi siti.

La seconda classifica, offre una panoramica delle minacce più recenti delle tendenze sul loro sviluppo. In primo luogo, i criminali informatici si stanno concentrando sulla ricerca di nuove vulnerabilità tra i software più diffusi, allo scopo di sfruttarle per ottenere l’infezione dei computer tramite uno o più programmi “maligni”.<//p>

Inoltre, i cybercriminali tentano di nascondere la propria attività in modo da passare inosservati. Tutto ciò complica la vita anche all’utente più esperto che, navigando in Internet senza gli aggiornamenti del sistema operativo (le patch) o con un anti-virus non aggiornato, potrebbe trovarsi a navigare in “acque infestate”.

Paesi in cui si osserva una maggior quantità di tentativi di infezione via web: