Classifica malware - Maggio 2010

07 giu
Notizie Virus

Kirill Kruglov

Kaspersky Lab è lieta di sottoporre all'attenzione degli utenti la classifica relativa alla diffusione dei diversi tipi di malware in maggio.

Malware individuati nei computer degli utenti

Nella prima tabella troviamo i programmi dannosi e potenzialmente indesiderati che sono stati individuati sui computer degli utenti e neutralizzati al primo contatto.


Posizione Variazione di posizione Malware Quantità di computer infettati
1   0 Net-Worm.Win32.Kido.ir   339585  
2   0 Virus.Win32.Sality.aa   210257  
3   0 Net-Worm.Win32.Kido.ih   201746  
4   0 Net-Worm.Win32.Kido.iq   169017  
5   9 Trojan.JS.Agent.bhr   161414  
6   -1 Worm.Win32.FlyStudio.cu   127835  
7   -1 Virus.Win32.Virut.ce   70189  
8   0 Trojan-Downloader.Win32.VB.eql   66486  
9   0 Worm.Win32.Mabezat.b   54866  
10   0 Trojan-Dropper.Win32.Flystud.yo   50490  
11   0 Worm.Win32.AutoIt.tc   47044  
12   1 Packed.Win32.Krap.l   44056  
13   New Trojan.JS.Iframe.lq   38658  
14   New Trojan.Win32.Agent2.cqzi   35423  
15   1 Trojan.Win32.Autoit.ci   34670  
16   New Trojan-GameThief.Win32.Magania.dbtv   31066  
17   New Trojan-Downloader.Win32.Geral.cnh   30225  
18   New Trojan.JS.Zapchast.dv   29592  
19   -2 Virus.Win32.Induc.a   28522  
20   -8 Exploit.JS.CVE-2010-0806.e   27606  

Nella TOP 20 di maggio fanno il loro ingresso cinque nuovi malware.

Le varianti dell'exploit CVE-2010-0806, la cui presenza era stata registrata il mese scorso, sono scomparse dalla classifica con la stessa rapidità con la quale erano apparse. Tuttavia, i cybercriminali sono ben lungi dal rinunciare a sfruttare la vulnerabilità CVE-2010-0806. Nel mese di maggio, Trojan.JS.Agent.bhr (5œ posto), una delle varianti dell'exploit CVE-2010-0806 , è salita di ben 9 punti in classifica, mentre il novello Trojan.JS.Iframe.lq (13œ posto) altro non è se non l'anello di congiunzione per un attacco drive-by: mediante questo trojan, infatti, l'utente viene reindirizzato all'Exploit.JS.CVE-2010-0806.i. Anche il Trojan.JS.Zapchast.dv è strettamente legato alla vulnerabilità CVE-2010-0806. Questo trojan costituisce infatti parte dell'Exploit.JS.CVE-2010-0806.e (20œ posto).

La presenza al 16œ posto del Trojan-GameThief.Win32.Magania.dbtv conferma le nostre previsioni in merito allo scopo finale degli expoit precedentemente menzionati: l'obiettivo principale dei cybercriminali che li utilizzano è ottenere i dati confidenziali degli utenti che possiedono un account nei gettonatissimi siti di giochi on-line. Tra le vittime rientrano gli utenti dei siti «CabalOnline», «Metin2», «Mu Online» e dei giochi dell'azienda «Nexon.net».

Lo schema generale di infezione è il seguente:

  1. Inizialmente l'utente si trova in un sito contenente Trojan.JS.Iframe.lq, Trojan.JS.Zapchast.dv oppure una delle due varianti dell'exploit CVE-2010-0806.
  2. L'exploit scarica Trojan-Downloader.Win32.Geral.cnh, un potente trojan della famiglia dei downloader. Il suo arsenale comprende 2 rootkit che nascondono al programma antivirus la presenza del trojan nel sistema, un algoritmo che permette ai cybercriminali di sfruttare le liste di download e la funzione Worm.Win32.Autorun che favorisce la diffusione del trojan mediante dispositivi collegabili al computer.
  3. Il downloader Geral scarica sul computer-vittima diverse versioni dei trojan Trojan-PSW.Win32.QQPass e Trojan-GameThief.Win32.OnlineGames/WOW/Magania, tra cui anche il Trojan-GameThief.Win32.Magania.dbtv.

Malware diffusi via Internet

La seconda tabella descrive la situazione in Internet. In questa classifica si trovano infatti malware che sono stati individuati nelle pagine Web nonché tutti quelli i cui tentativi di caricamento avvengono sempre attraverso le pagine Web.

Posizione Variazione di posizione Malware Quantità di tentativi singoli di scaricamento
1   New Trojan-Clicker.JS.Iframe.bb   397667  
2   New Exploit.Java.CVE-2010-0886.a   244126  
3   New Trojan.JS.Redirector.cq   194285  
4   New Exploit.Java.Agent.f   108869  
5   New Trojan.JS.Agent.bhr   107202  
6   New Exploit.Java.CVE-2009-3867.d   85120  
7   -2 not-a-virus:AdWare.Win32.FunWeb.q   82309  
8   -6 Exploit.JS.CVE-2010-0806.i   79192  
9   -5 Exploit.JS.CVE-2010-0806.b   76093  
10   New Trojan.JS.Zapchast.dv   73442  
11   -2 Trojan-Clicker.JS.Agent.ma   68033  
12   New Trojan.JS.Iframe.lq   59109  
13   New Trojan-Downloader.JS.Agent.fig   56820  
14   5 not-a-virus:AdWare.Win32.Shopper.l   50497  
15   2 Exploit.JS.CVE-2010-0806.e   50442  
16   -4 Trojan.JS.Redirector.l   50043  
17   New Trojan.JS.Redirector.cj   47179  
18   -2 not-a-virus:AdWare.Win32.Boran.z   43514  
19   -6 Trojan-Dropper.Win32.VB.amlh   43366  
20   New Exploit.JS.Pdfka.chw   42362  

I cambiamenti verificatisi in questa tabella hanno interessato tutte le sue voci senza nessuna eccezione.

Nel mese di maggio sono state circa 400.000 le pagine infettate dal trojan Trojan-Clicker.JS.Iframe.bb (1œ posto), che migliora il posizionamento dei siti Internet infetti sulla base del numero di accessi effettuati dai loro ignari visitatori.

Il nuovo redirector Trojan.JS.Redirector.cq (3œ posto) reindirizza i visitatori verso pagine nelle quali vengono diffusi falsi antivirus.

7 dei 20 malware più frequenti in Internet sono degli exploit. Da notare inoltre che 3 delle new entry riportate nella tabella (Exploit.Java.CVE-2010-0886.a, Exploit.Java.Agent.f, Exploit.Java.CVE-2009-3867.d) sono exploit che sfruttano le vulnerabilità della piattaforma Java.

Uno di essi, l'Exploit.Java.CVE-2010-0886.a, si è classificato addirittura al 2œ posto. Questo malware è costituito da due componenti, ossia da un downloader scritto in JavaScript e da un applet Java. Il downloader sfrutta la funzione launch del kit Java Development Toolkit. Come argomento della funzione si utilizza una stringa costituita da speciali parametri-chiave e un indirizzo al quale si trova l'applet Java maligno. Il codice JavaScript, a insaputa dell'utente, avvia nel computer l'esecuzione del programma Java che nella maggior parte dei casi si comporta come un Trojan-Downloader. Il programma, a sua volta, scarica un file maligno eseguibile e ne avvia l'esecuzione sul computer dell'utente. È interessante osservare come l'exploit CVE-2010-0886.a abbia acquisito la popolarità di cui gode soprattutto in seguito al suo sfruttamento nell'ennesimo attacco del downloader Pegel, di cui abbiamo già parlato nel mese di febbraio.

La seconda new entry è l'Exploit.Java.CVE-2009-3867.d, che si classifica al 6œ posto. Si tratta di un exploit che sfrutta la tecnica di riempimento dello stack mediante il richiamo della funzione getSoundBank. Questa funzione viene utilizzata per scaricare contenuti multimediali e, in qualità di parametro, si aspetta di ricevere l'indirizzo dell'oggetto soundbank. Questa vulnerabilità ha reso possibile sfruttare lo shell-code che consente ai cybercriminali di eseguire un codice arbitrario nel computer-vittima.

Gli exploit menzionati in precedenza sono collegati nella maggior parte dei casi a redirector e a pagine legittime infette. Nel mese di maggio al novero di questi «malware concomitanti» si sono aggiunti anche Trojan.JS.Agent.bhr (5œ posto), Trojan.JS.Zapchast.dv (10œ posto), Trojan.JS.Iframe.lq (12œ posto) e Trojan-Downloader.JS.Agent.fig (13œ posto).

I Paesi in cui si riscontra una maggiore quantità di tentativi di infezione via Web sono:

Conclusioni

Nel corso degli ultimi mesi i cybercriminali hanno sfruttato attivamente gli exploit allo scopo di ottenere i dati confidenziali degli utenti. I cambiamenti che si sono verificati riguardano i metodi di diffusione dei codici malevoli e le tecniche utilizzate per rendere più difficile analizzare e individuare il malware.

Dei 20 malware riscontrabili con maggiore frequenza in Internet nel mese di maggio, 11 sono exploit e trojan ad essi connessi. In classifica, questi malware occupano ben 5 posizioni di fila (a cominciare dal secondo posto) e sono inoltre presenti nella Top 20 a blocchi di 2-3 versioni.

Notiamo inoltre che, data l'ampia diffusione di exploit che sfruttano le vulnerabilità della piattaforma Java, agli utenti dei software Sun si consiglia vivamente di verificare con regolarità la disponibilità di aggiornamenti per i programmi in uso.