Classifica malware - Ottobre 2009

05 nov
Notizie Virus

Kaspersky Lab è lieta di sottoporre all'attenzione degli utenti la classifica relativa alla diffusione dei diversi tipi di malware in Ottobre. A partire da questo mese, la nostra classifica viene compilata con i dati relativi a tutti i prodotti che dispongono del supporto di KSN: alla versione 2009 abbiamo aggiunto la 2010. Per questo motivo le due Top 20 ottenute dal lavoro di Kaspersky Security Network, sono leggermente cambiate rispetto al solito. Inoltre, in entrambe le Top 20 abbiamo riscontrato una crescita considerevole degli indici, dovuta al fatto che il numero di utenti "guariti" grazie al KSN è aumentato notevolmente.

Nella prima tabella troviamo quei programmi dannosi e potenzialmente indesiderati che sono stati individuati sui computer degli utenti e neutralizzati al primo contatto.


Posizione Rispetto al mese scorso Programma malware Numero dei computer infetti
1   top20_up3 Net-Worm.Win32.Kido.ir   344745  
2   top20_down-1 Net-Worm.Win32.Kido.ih   126645  
3   top20_noch0 not-a-virus:AdWare.Win32.Boran.z   114776  
4   top20_down-2 Virus.Win32.Sality.aa   87839  
5   top20_up6 Worm.Win32.FlyStudio.cu   70163  
6   top20_down-1 Trojan-Downloader.Win32.VB.eql   52012  
7   top20_noch0 Virus.Win32.Induc.a   49251  
8   top20_newNew Packed.Win32.Black.d   39666  
9   top20_newNew Worm.Win32.AutoRun.awkp   35039  
10   top20_down-3 Virus.Win32.Virut.ce   33354  
11   top20_retReturn Packed.Win32.Black.a   31530  
12   top20_down-1 Worm.Win32.AutoRun.dui   25370  
13   top20_up4 Trojan-Dropper.Win32.Flystud.yo   24038  
14   top20_newNew Trojan-Dropper.Win32.Agent.bcyx   22471  
15   top20_retReturn Packed.Win32.Klone.bj   21919  
16   top20_retReturn Trojan.Win32.Swizzor.b   19496  
17   top20_newNew Trojan-Downloader.WMA.GetCodec.s   18571  
18   top20_down-4 Worm.Win32.Mabezat.b   19708  
19   top20_newNew Trojan-GameThief.Win32.Magania.cbrt   17610  
20   top20_newNew Trojan-Dropper.Win32.Agent.ayqa   16909  

Net-Worm.Win32.Kido.ir, apparso per la prima volta a settembre, ha raggiunto la vetta della Top 20, spodestando il campione di lungo corso Kido.ih, ulteriore conferma del fatto che le memorie di massa e i dispositivi mobili sono tra le principali fonti d'infezione.

Una parola sui dispositivi mobili: al rappresentante consolidato della categoria, il worm Autorun.dui, si è unito il worm analogo Autorun.awkp, balzato immediatamente al 9œ posto. Sotto questo nome si nascondono altri file, che scaricano automaticamente i malware sui dispositivi mobili.

Questo mese abbiamo poi assistito al ritorno di vecchi protagonisti della prima Top 20: Packed.Win32.Black.a, Packed.Win32.Klone.bj e Trojan.Win32.Swizzor.b. Inoltre, a Black.a si è unita la nuova versione: Black.d. Ricordiamo che alla famiglia Packed.Win32.Black appartengono programmi che vengono attivati grazie all'utilizzo di versioni non autorizzate di utility (legali) per la protezione dei file eseguibili. Nella fattispecie si tratta di ASProtect, molto popolare tra i cybercriminali.

Il downloader multimediale GetCodec.s è il fratello di GetCodec.r, del quale abbiamo già parlato a dicembre scorso (www.securelist.com/ru): si diffonde utilizzando il medesimo worm P2P-Worm.Win32.Nugg.

Torna ad essere attiva la famiglia Magania, un tempo molto nota: a luglio Trojan-GameThief.Win32.Magania.biht è entrato nella Top 20 dei malware più diffusi su Internet. Ad ottobre una nuova versione del malware, Magania.cbrt, insieme al Trojan-Dropper.Win32.Agent.ayqa, anch'esso legato a questa famiglia, sono entrati nella lista dei 20 malware più frequentemente individuati sui computer degli utenti.

Complessivamente, in questo mese, abbiamo riscontrato innanzitutto un'attiva diffusione dei malware attraverso i dispositivi mobili digitali, e anche l'attività di Trojan per giochi on-line, fenomeno per ora non preoccupante ma comunque degno di attenzione.

La seconda tabella descrive la situazione su Internet. In questa classifica si trovano infatti malware che sono stati individuati nelle pagine Web nonché tutti quelli i cui tentativi di caricamento avvengono sempre attraverso le pagine Web.

In questa seconda Top 20, come al solito, la situazione è piuttosto vivace e variegata.


Posizione Rispetto al mese scorso Programma malware Numero di tentativi di download
1   top20_newNew Trojan-Downloader.JS.Gumblar.x   459779  
2   top20_newNew Trojan-Downloader.JS.Gumblar.w   281057  
3   top20_noch0 Trojan-Downloader.HTML.IFrame.sz   192063  
4   top20_down-3 not-a-virus:AdWare.Win32.Boran.z   171278  
5   top20_down-3 Trojan.JS.Redirector.l   157494  
6   top20_down-1 Trojan-Clicker.HTML.Agent.aq   118361  
7   top20_newNew Trojan-Downloader.JS.Zapchast.m   112710  
8   top20_retReturn Trojan.JS.Agent.aat   107132  
9   top20_newNew Trojan-Downloader.JS.Small.oj   60425  
10   top20_newNew Exploit.JS.Agent.apw   50939  
11   top20_down-7 Exploit.JS.Pdfka.ti   46303  
12   top20_newNew Trojan.JS.Popupper.f   39204  
13   top20_down-1 Trojan-Downloader.JS.IstBar.bh   34944  
14   top20_newNew Trojan.JS.Zapchast.an   30546  
15   top20_down-6 Trojan-Downloader.JS.LuckySploit.q   29105  
16   top20_newNew Trojan-Downloader.JS.Agent.env   27405  
17   top20_newNew Trojan-Dropper.Win32.Agent.ayqa   26994  
18   top20_retReturn Trojan-Clicker.HTML.IFrame.mq   26057  
19   top20_newNew Trojan-GameThief.Win32.Magania.bwsr   26032  
20   top20_newNew Exploit.JS.Agent.anr   25517  

I primi due posti in classifica li hanno conquistati due nuove versioni del downloader script Gumblar che, apparso alla fine del mese, ha già raggiunto posizioni di testa.

Nelle nuove versioni di Gumblar la tecnologia di infezione dei siti Web è diventata ancora più sofisticata. Nella prima versione le pagine di siti del tutto legali infettavano direttamente il cuore dello script, grazie al quale, all'insaputa del visitatore della pagina, veniva utilizzato uno script situato sul sito del cybercriminale. Oggi nelle risorse Internet compromesse vengono inseriti link a script malware, a loro volta situati su altre risorse Internet perfettamente legali e già infettate, fatto che complica il processo di analisi e pulizia delle reti.

Lo stesso script inoltre prova a sfruttare alcune vulnerabilità di Adobe Acrobat/Reader Adobe Acrobat/Reader (http://cve.mitre.org/cgi-bin/cvename.cgi?name=2007-5659, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2992, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927), Adobe Flash Player (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0071), Microsoft Office (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2496) per scaricare il malware principale: Trojan-PSW.Win32.Kates.j. Alcune varianti dello script nascondono al proprio interno il trojan menzionato in precedenza, e al momento dell'esecuzione tentano di scaricare Kates.j sul computer dell'utente e di metterlo immediatamente in esecuzione automatica. Lo scopo principale di questo tipo di infezione è il furto di dati sensibili dell'utente, nella fattispecie quelli utilizzati per l'accesso ai siti Web, che vengono in seguito infettati.

Va detto, nonostante l'attacco effettuato con l'aiuto di Gumblar sia stato progettato in modo molto attento, già nei primi giorni dell'attacco i nostri specialisti sono riusciti a individuare e a collegare in modo efficiente tutti i tasselli del puzzle criminale. La tecnica della suddivisione dello script in diverse parti sta diventando sempre più popolare. In questo mese, dei 20 componenti della classifica dei malware, un quarto è strutturato secondo tale principio: Trojan-Downloader.JS.Zapchast.n, Trojan-Downloader.JS.Small.oj, Exploit.JS.Agent.apw, Trojan.JS.Zapchast.an eTrojan-Downloader.JS.Agent.env.

Inoltre, tra i venti malware più diffusi su Internet sono apparsi Trojan-Dropper.Win32.Agent.ayqa, di cui abbiamo parlato poco sopra, e un esempio di un altro tipo di programma, pensato per il furto delle password dei giochi on-line: Trojan-GameThief.Win32.Magania.bwsr.

Riassumendo, l'evento principale del mese per quanto riguarda Internet si può senza dubbio considerare l'infezione di massa di siti legali attraverso nuove versioni del downloader script Gumblar. In aggiunta a ciò, si riscontra una notevole attività nell'uso di tecnologie di suddivisione degli script in diverse parti per complicarne l'analisi e l'individuazione.

I paesi in cui si riscontra una maggiore quantità di tentativi di infezione via Web sono:

aseev_top20_0910_it_senlarge