Classifica malware - Aprile 2010

06 mag
Notizie Virus

Kirill Kruglov

Kaspersky Lab è lieta di sottoporre all'attenzione degli utenti la classifica relativa alla diffusione dei diversi tipi di malware in aprile.

Malware individuati nei computer degli utenti

Nella prima tabella troviamo i programmi dannosi e potenzialmente indesiderati che sono stati individuati sui computer degli utenti e neutralizzati al primo rilevamento.


PosizioneVariazioneNomeNumero di computer infettati
1  0Net-Worm.Win32.Kido.ir  330025  
2  0Virus.Win32.Sality.aa208219  
3  0Net-Worm.Win32.Kido.ih183527  
4  0Net-Worm.Win32.Kido.iq  172517  
5  0Worm.Win32.FlyStudio.cu  125714  
6  2Virus.Win32.Virut.ce70307  
7  NewExploit.JS.CVE-2010-0806.i  68172  
8  -2Trojan-Downloader.Win32.VB.eql64753  
9  2Worm.Win32.Mabezat.b51863  
10  5Trojan-Dropper.Win32.Flystud.yo  50847  
11  -1Worm.Win32.AutoIt.tc  49622  
12  NewExploit.JS.CVE-2010-0806.e  45070  
13  -4Packed.Win32.Krap.l  44942  
14  NewTrojan.JS.Agent.bhr  36795  
15  2not-a-virus:AdWare.Win32.RK.aw  36408  
16  ReturnTrojan.Win32.Autoit.ci  35877  
17  -1Virus.Win32.Induc.a31846  
18  NewTrojan.JS.Zapchast.dj  30167  
19  ReturnPacked.Win32.Black.a  29910  
20  ReturnWorm.Win32.AutoRun.dui28343  

La classifica relativa ai programmi maligni individuati nei computer degli utenti si conferma ancora una volta sostanzialmente stabile: in effetti, così come in precedenza, le prime posizioni sono andate ad appannaggio di Kido e Sality.

La graduatoria del mese di aprile presenta ben quattro “new entry”. Fanno il loro ingresso in classifica, rispettivamente in settima ed in dodicesima posizione, due varianti dell'exploit CVE-2010-0806, da noi analizzato in dettaglio nel precedente report mensile; al quattordicesimo e diciottesimo posto della graduatoria vanno invece a collocarsi due programmi Trojan, la cui azione, come è stato appurato, è direttamente connessa allo sfruttamento della vulnerabilità CVE-2010-0806. In genere, lo stesso exploit si presenta in forma criptata od offuscata e risulta suddiviso in più parti. Le varie componenti di tale exploit vengono caricate secondo un ordine ben preciso nella finestra del browser dell'utente che ha provveduto ad aprire una pagina web infetta. Per ultima, viene caricata quella parte di codice che determina lo scompattamento dell'exploit e ne genera la successiva esecuzione. I due nuovi Trojan rappresentano, in sostanza, le componenti di una delle varianti dell'exploit CVE-2010-0806.

Ricordiamo che tale vulnerabilità, rilevata in Internet Explorer, è stata scoperta nel mese di marzo; sottolineiamo altresì come i cybercriminali abbiano attivamente iniziato a far uso dei relativi exploit dopo che sono state svelate in Rete informazioni eccessivamente dettagliate sulla stessa. Già in marzo si sono registrati all'incirca 200.000 tentativi di download dell'exploit CVE-2010-0806. Nel mese di aprile, due diverse varianti di tale exploit sono state neutralizzate, complessivamente, in oltre 110.000 computer. Analizzeremo più avanti, nel dettaglio, il processo di rapida diffusione dell'exploit CVE-2010-0806.

Rileviamo infine come il virus Virut.ce si stia lentamente ma inesorabilmente avvicinando alla parte alta della speciale classifica sopra riportata, verso le prime cinque posizioni. Nel corso degli ultimi tre mesi, esso è salito dal 10œ al 6œ posto della graduatoria; nel solo mese di aprile, tale virus è stato neutralizzato in oltre 70.000 computer degli utenti.

Malware diffusi via Internet

La seconda tabella descrive la situazione su Internet. In questa classifica si trovano infatti malware che sono stati individuati nelle pagine Web, nonché tutti quelli i cui tentativi di caricamento sui computer degli utenti avvengono sempre attraverso le pagine Web.


PosizioneVariazioneNomeTentativi di download
1  1Exploit.JS.CVE-2010-0806.i  201152  
2  NewExploit.JS.Pdfka.cab  117529  
3  7Exploit.JS.CVE-2010-0806.b  110665  
4  Newnot-a-virus:AdWare.Win32.FunWeb.q  99628  
5  NewTrojan-Downloader.JS.Twetti.с  89596  
6  NewTrojan-Downloader.JS.Iframe.bup  85973  
7  NewTrojan.JS.Agent.bhl  76648  
8  ReturnTrojan-Clicker.JS.Agent.ma  76415  
9  NewTrojan-Clicker.JS.Iframe.ev  74324  
10  NewExploit.JS.Pdfka.byp  69606  
11  -8Trojan.JS.Redirector.l  68361  
12  NewTrojan-Dropper.Win32.VB.amlh  60318  
13  NewExploit.JS.Pdfka.byq  60184  
14  -10Trojan-Clicker.JS.Iframe.ea  57922  
15  -8not-a-virus:AdWare.Win32.Boran.z56660  
16  NewExploit.JS.CVE-2010-0806.e  53989  
17  -11Trojan.JS.Agent.aui  52703  
18  0not-a-virus:AdWare.Win32.Shopper.l50252  
19  NewPacked.Win32.Krap.gy  46489  
20  NewTrojan.HTML.Fraud.am  42592  

La seconda Top-20 mantiene il suo tradizionale carattere di profonda instabilità e mutevolezza.

Il leader degli ultimi due mesi, Gumblar.x, risulta assente nella Top-20 del mese di aprile: all'improvviso, la sua attività è sensibilmente calata. Così come nella precedente circostanza, l'ultima epidemia generata da Gumblar ha avuto un inizio a dir poco devastante; essa ha raggiunto il suo picco massimo nel mese di febbraio, laddove sono stati rilevati oltre 450.000 siti web infettati da Gumblar, per poi sostanzialmente spegnersi, quasi nel nulla, due mesi più tardi. Un simile comportamento, tipico per Gumblar.x, fornisce in ogni caso agli esperti validi motivi di preoccupazione; esso ricorda, nel complesso, la situazione da noi descritta nella classifica malware relativa al mese di febbraio. Non sappiamo, al momento attuale, quando avrà inizio la successiva ondata dell'epidemia, e se mai avrà inizio; ovviamente seguiremo sempre con la massima attenzione lo sviluppo degli avvenimenti.

La repentina ed ampia diffusione dell'exploit CVE-2010-0806 ha fatto sì che nel mese di aprile 2010 tale malware sia andato ad occupare la prima posizione della seconda Top-20 da noi stilata. In genere, gli exploit CVE-2010-0806 generano il caricamento, sul computer-vittima, di piccoli programmi downloader, riconducibili a note famiglie di malware quali Trojan-Downloader.Win32.Small, Trojan-Dropper.Win32.Agent, Trojan.Win32.Inject, Trojan.Win32.Sasfis e via dicendo. I suddetti Trojan, per parte loro, provocano il download sul computer infetto di ulteriori programmi maligni. A causa dell'azione dannosa svolta da tali programmi Trojan, sono state scaricate dagli utenti, nella maggior parte dei casi, diverse varianti di Trojan-GameTheif.Win32.Magania, Trojan-GameTheif.Win32.WOW e Backdoor.Win32.Torr. Si può pertanto presupporre che, nel mese di aprile, siano stati proprio i dati confidenziali degli utenti titolari di account presso i più popolari siti di giochi online a rappresentare il principale bersaglio perseguito dai malintenzionati della Rete che si avvalgono dell'exploit CVE-2010-0806. Sono stati complessivamente individuati più di 350.000 tentativi di download riconducibili alle tre varianti del suddetto exploit che, nella classifica mensile sopra riportata, occupano rispettivamente il 1œ, il 3œ ed il 16œ posto.

Segnaliamo, tra le novità di rilievo presenti nella nostra seconda Top-20 di Aprile, tre ulteriori exploit (piazzatisi al 2œ, 10œ e 13œ posto), preposti a sfruttare le vulnerabilità individuate nelle applicazioni Adobe Reader ed Acrobat. E' interessante rilevare come le vulnerabilità sfruttate dai tre exploit PDF risultino relativamente «vecchie»; esse sono state difatti scoperte già nel 2009. Tali exploit sono, di per se stessi, documenti PDF contenenti elementi riconducibili al linguaggio Java Script. Numerosi Trojan-Downloader, scaricati sui computer-vittima grazie alla subdola azione svolta dai suddetti exploit, hanno poi generato, per parte loro, il download sui computer infetti di una gran quantità di ulteriori sample maligni. Tra i programmi malware scaricati sui computer degli utenti tramite l'exploit Pdfka.cab (seconda posizione in classifica), sono state individuate alcune varianti riconducibili alla famiglia PSWTool.Win32.MailPassView. I programmi appartenenti a tale famiglia di malware vengono comunemente utilizzati dai malintenzionati per eseguire il furto di login e password di posta elettronica.

Packed.Win32.Krap.gy, che è andato ad occupare il 19œ posto della nostra speciale classifica, al pari della maggior parte dei rappresentanti di questa famiglia di utility di compressione, nasconde in realtà dei falsi antivirus. Una delle fonti di diffusione di tali programmi fasulli è costituita dalla pagina HTML identificata da Kaspersky Lab come Trojan.HTML.Fraud.am (in ventesima posizione).

I tentativi di download riguardanti il programma malware Twetti.c (collocatosi al quinto posto della graduatoria) sono stati all'incirca 90.000. Tale Trojan possiede esattamente le medesime funzionalità del suo predecessore, Twetti.a, peraltro diffuso in forma meno offuscata, del quale abbiamo riferito nel report dedicato alle classifiche malware di dicembre 2009.

Le classifiche da noi stilate relativamente al mese di aprile 2010 evidenziano una delle più significative tendenze riscontrate in questi ultimi tempi: i cybercriminali si avvalgono sempre più attivamente degli exploit, i cui codici sorgente trovano ormai larga diffusione in Rete. Nella maggior parte dei casi, l'obiettivo di tali attacchi è costituito dal furto dei dati confidenziali degli utenti. I malfattori cercano di ottenere l'accesso agli account utilizzati da questi ultimi per i sistemi di posta elettronica, i giochi online e siti web di vario genere. Nel mese di aprile, i tentativi di download riconducibili a tali casistiche sono risultati essere varie centinaia di migliaia. I dati sensibili illegalmente carpiti dai cybercriminali vengono successivamente venduti e/o utilizzati per la diffusione di programmi maligni.

Paesi in cui è stata riscontrata la maggior quantità di tentativi di infezione via Web: