Classifica malware - Marzo 2010

06 apr
Notizie Virus

Kaspersky Lab è lieta di sottoporre all'attenzione degli utenti la classifica relativa alla diffusione dei diversi tipi di malware nel mese di marzo appena trascorso.

Malware individuati nei computer degli utenti

Nella prima tabella troviamo quei programmi dannosi e potenzialmente indesiderati che sono stati individuati sui computer degli utenti e neutralizzati al primo contatto.


Posizione Variazione Nome Numero di computer infettati
1   0 Net-Worm.Win32.Kido.ir   332833  
2   0 Virus.Win32.Sality.aa   211229  
3   0 Net-Worm.Win32.Kido.ih   186685  
4   0 Net-Worm.Win32.Kido.iq   181825  
5   0 Worm.Win32.FlyStudio.cu   121027  
6   0 Trojan-Downloader.Win32.VB.eql   68580  
7   New Trojan.Win32.AutoRun.abj   66331  
8   1 Virus.Win32.Virut.ce   61003  
9   1 Packed.Win32.Krap.l   55823  
10   -2 Worm.Win32.AutoIt.tc   55065  
11   4 Worm.Win32.Mabezat.b   49521  
12   -5 Exploit.JS.Aurora.a   43776  
13   New Packed.Win32.Krap.as   40912  
14   New Trojan.Win32.AutoRun.aay   40754  
15   3 Trojan-Dropper.Win32.Flystud.yo   40190  
16   -4 Virus.Win32.Induc.a   38683  
17   -4 not-a-virus:AdWare.Win32.RK.aw   38547  
18   New Trojan.Win32.AutoRun.abd   37037  
19   -5 not-a-virus:AdWare.Win32.Boran.z   36996  
20   0 not-a-virus:AdWare.Win32.FunWeb.q   34177  


A marzo le variazioni tra i componenti della prima tabella sono state poco significative.

Tra quelle degne di nota registriamo la comparsa improvvisa di ben tre versioni del trojan Autorun. Analogamente a due mesi fa, si tratta di file autorun.inf-, grazie ai quali si diffondono attraverso le memorie di massa e i dispositivi mobili malware quali P2P-Worm.Win32.Palevo e Trojan-GameThief.Win32.Magania.

Anche questo mese notiamo inoltre la comparsa in tabella di un nuovo membro della famiglia Packed. In questo caso sotto il nome di Packed.Win32.Krap.as (13œ posto) si nascondono degli pseudo-antivirus. L'utilizzo da parte dei cybercriminali di wrapper appositamente progettati per file eseguibili è un trend molto evidente degli ultimi tempi. Nuovi metodi usati dai malware più popolari per impacchettare e nascondere le reali funzioni del file agli antivirus e ad altre soluzioni di protezione vengono sviluppati continuamente, ed è questo che genera un ricambio praticamente mensile tra le diverse varianti di Krap e programmi simili.

Malware nelle pagine web

La seconda tabella descrive la situazione su Internet. In questa classifica si trovano infatti malware che sono stati individuati nelle pagine Web nonché tutti quelli i cui tentativi di caricamento avvengono sempre attraverso le pagine Web.


Posizione Variazione Nome Tentativi di download
1   0 Trojan-Downloader.JS.Gumblar.x   178965  
2   New Exploit.JS.CVE-2010-0806.i   148721  
3   -1 Trojan.JS.Redirector.l   126277  
4   2 Trojan-Clicker.JS.Iframe.ea   102226  
5   4 Exploit.JS.Aurora.a   88196  
6   4 Trojan.JS.Agent.aui   80654  
7   -3 not-a-virus:AdWare.Win32.Boran.z   75911  
8   New Trojan.HTML.Fraud.aj   68809  
9   New Packed.Win32.Krap.as   64329  
10   New Exploit.JS.CVE-2010-0806.b   50763  
11   New Trojan.JS.FakeUpdate.ab   49412  
12   New Trojan.HTML.Fraud.aq   48927  
13   3 Packed.Win32.Krap.ai   47601  
14   Return Trojan-Downloader.JS.Twetti.a   46858  
15   New Exploit.JS.Pdfka.bub   45762  
16   New Trojan-Downloader.JS.Iframe.byo   44848  
17   New Trojan.JS.FakeUpdate.aa   42352  
18   Return not-a-virus:AdWare.Win32.Shopper.l   41888  
19   New Trojan-Clicker.HTML.IFrame.fh   38266  
20   New Packed.Win32.Krap.ao   36123  

Anche questo mese ci sono novità da segnalare nella classifica dei malware su Internet.

Iniziamo da una vulnerabilità del tutto nuova CVE-2010-0806 di Internet Explorer, il cui exploit ha raggiunto una notevole diffusione dopo la descrizione forse un po' troppo dettagliata della vulnerabilità effettuata su . Oggi solo i cybercriminali più pigri non usano tali exploit nei propri attacchi: nella Top 20 troviamo due diverse varianti di questo exploit: Exploit.JS.CVE-2010-0806.I (2) e Exploit.JS.CVE-2010-0806.b (10).

La nuova ondata dell'epidemia di Gumblar procede a pieno regime. Oltre alla seconda versione del downloader, che risponde al nome di Gumblar.x e occupa il primo posto in classifica ne è apparsa una nuova identificata come HEUR:Trojan-Downloader.Script.Generic.

L'exploit Aurora.a, di cui abbiamo già parlato, a febbraio, continua ad essere attivamente utilizzato dai criminali informatici, fatto confermato dalla sua ascesa dal 9œ al 5œ posto.

L'interessante downloader Twetti.a (14œ posto in classifica), di cui parlavamo a dicembre, è tornato di nuovo in classifica dopo un'assenza di due mesi. Come nel caso di Gumblar, i cybercriminali si sono presi una breve pausa e poi hanno tentato di infettare di nuovo, con questo malware, la gran parte delle risorse Web.

Anche Exploit.JS.Pdfka.bub (15œ posto) è apparso in classifica per una ragione ben precisa: Questo file PDF dannoso è uno dei componenti degli attacchi drive-by, il cui punto di partenza è Twetti.a.

In classifica appaiono anche quattro nuovi rappresentanti della categoria dei modelli standard di pagine Web attraverso cui si diffondono pseudo-antivirus e blocker: Trojan.HTML.Fraud.aj, Trojan.JS.FakeUpdate.ab, Trojan.HTML.Fraud.aq e Trojan.JS.FakeUpdate.aa.

I paesi in cui si riscontra una maggiore quantità di tentativi di infezione via Web sono:

Nel complesso poco è cambiato in questo mese: tra i diversi tipi di attacchi agli utenti prevalgono quelli attraverso il Web, che utilizzano le vulnerabilità più frequenti nei software di maggiore diffusione. Fortunatamente, tali vulnerabilità vengono spesso corrette a livello operativo dai produttori dei software. Purtroppo sono ben pochi gli utenti che applicano patch e correzioni non appena vengono pubblicate. Negli ultimi tempi tutti i malware più importanti sfruttano, nei loro attacchi, l'inesperienza e l'ingenuità degli utenti. Tra questi malware a marzo i più popolari tra i cybercriminali sono stati i ben noti pseudo-antivirus e i blocker.