Classifica malware - Novembre 2010

06 dic
Notizie Virus

Vyacheslav Zakorzhevsky

Minacce in Internet: drive-by download

Nel mese appena trascorso, i rappresentanti della famiglia dei drive-by download sono stati la maggiore minaccia per gli utenti. Nel corso degli attacchi drive-by, il computer dell’utente può essere infettato da un malware anche quando si sta visitando un sito legittimo.

Ricordiamo quindi come si svolge l’infezione dei computer nel caso dei drive-by download: dapprima l'utente viene reindirizzato al sito legittimo infetto oppure alla risorsa Web dei cybercriminali che ospita lo script redirect (uno dei più diffusi negli ultimi tempi è il Trojan-Downloader.JS.Pegel). L'utente viene reindirizzato allo script downloader che a sua volta lancia gli exploit. Di norma, gli exploit scaricano sul computer dell’utente il file eseguibile dannoso, che nella maggior parte dei casi è un backdoor, e ne avviano l’esecuzione.

новое окно
Schema di funzionamento del drive-by download

Secondo il bilancio mensile, nella TOP 20 dei malware in Internet si sono piazzati nove exploit, tre redirector e uno script downloader utilizzati negli attacchi drive-by download.

Redirector e script downloader

Negli attacchi drive-by è il redirector ad innescare l’infezione. Tra i programmi malware più diffusi in Internet sono stati rilevati il Trojan.HTML.IFrame.dl (al 5œ posto in classifica), il Trojan.JS.IFrame.pg (al 10œ posto), il Trojan.JS.Redirector.lc (al 20œ posto), il Trojan.JS.Redirector.np (al 25œ posto) e il Trojan-Downloader.JS.Iframe.bzn (al 29œ posto).

Al 2œ posto della classifica dei malware individuati in Internet si è piazzato lo script downloader Trojan-Downloader.JS.Agent.frs. Se l’utente capita nel sito ospitante il redirector che innesca l’infezione e viene reindirizzato al Trojan-Downloader.JS.Agent.frs, sul suo computer, per mezzo di exploit che sfruttano le vulnerabilità di Java, PDF e JavaScript, vengono scaricati e lanciati dei backdoor pericolosissimi, quali per esempio il Backdoor.Win32.Shiz и Backdoor.Win32.Blakken (Black Energy 2).

новое окно
Diffusione geografica dei casi di individuazione del Trojan-Downloader.JS.Agent.frs

Gli utenti che sono stati maggiormente esposti al rischio di infezione da parte del Trojan-Downloader.JS.Agent.frs sono localizzati in Russia, negli USA e in Gran Bretagna.

Downloader e exploit scritti in Java

I programmi di malware scritti nel linguaggio di programmazione multipiattaforma si stanno diffondendo con sempre maggiore velocità. Se fino a un anno fa, non si riscontravano o quasi casi di infezione da parte di malware di questo tipo, attualmente il loro numero continua a crescere.

Negli ultimi due mesi il numero dei malware della famiglia Trojan-Downloader.Java.OpenConnection è notevolmente aumentato. Nel corso degli attacchi drive-by, questi programmi svolgono le stesse funzioni degli exploit, con l’unica differenza che per scaricare il programma maligno da Internet sul computer dell’utente non sfruttano delle vulnerabilità, ma il metodo “OpenConnection” della classe URL.

новое окно
Dinamica delle individuazioni del Trojan-Downloader.Java.OpenConnection
(numero di utenti singoli): ottobre – novembre 2010

In novembre, il 1œ posto nella classifica dei malware in Internet è occupato, con notevole distacco dal secondo classificato, dal Trojan-Downloader.Java.OpenConnection.bu. I programmi che sfruttano il metodo “OpenConnection” si sono inoltre piazzati anche al 21œ e al 26œ della classifica.

 новое окно
Diffusione geografica dei malware della famiglia Trojan-Downloader.Java

Per quanto riguarda i Paesi colpiti, si nota che la diffusione geografica dei downloader basati su Java è analoga a quella del Trojan-Downloader.JS.Agent.frs. Ciò è indice del fatto che i cybercriminali utilizzano i downloader Java insieme agli script downloader nel corso degli attacchi drive-by.

Oltre ai downloader Java, si rileva anche la presenza di exploit scritti in Java. Gli exploit sfruttano ampiamente, per esempio, la vecchia vulnerabilità CVE-2009-3867 della funzione getSoundBank. Il downloader Trojan-Downloader.JS.Agent.frs, di cui si è parlato in precedenza, sfrutta anche gli exploit Java.

Si ricorda inoltre che Java, il linguaggio di programmazione multipiattaforma, e i programmi di malware scritti in tale linguaggio possono essere eseguiti in qualsiasi sistema operativo nel quale sia installata la macchina virtuale Java.

Exploit PDF

In novembre sono stati individuati anche degli exploit che sfruttano le vulnerabilità e le peculiarità dei documenti PDF. In genere questi documenti sono scritti in linguaggio Javascript. Per numero di singoli download i rappresentanti di queste minacce, l’Exploit.JS.Pdfka.cyk e l’Exploit.JS.Pdfka.cyy, hanno occupato rispettivamente il 24œ e il 28œ posto in classifica. Tuttavia la tendenza che si registra vede un calo nel numero degli exploit PDF: negli ultimi sei mesi il numero medio delle risposte dell'antivirus ai malware della famiglia Pdfka è diminuito di quasi tre volte.

 новое окно
Dinamica delle individuazioni di programmi della famiglia Exploit.JS.Pdfka: da giugno a novembre

Ciò è dovuto alle misure attive intraprese da Adobe per chiudere le falle dei propri prodotti. Infatti, a novembre è uscito Adobe Reader X, nel quale si utilizza una protezione Sandbox che consente di contrastare meglio gli exploit.

TOP 20 dei programmi malware in Internet


Attuale posizione in classifica Variazione di posizione Malware Numero di utenti
1   New Trojan-Downloader.Java.OpenConnection.bu   167617  
2   New Trojan-Downloader.JS.Agent.frs   73210  
3   1 Exploit.Java.CVE-2010-0886.a   68534  
4   New Trojan.HTML.Iframe.dl   56075  
5   1 Trojan.JS.Agent.bhr   46344  
6   -3 Exploit.JS.Agent.bab   42489  
7   6 Trojan.JS.Agent.bmx   40181  
8   New Trojan.HTML.Agent.di   35464  
9   29 Trojan.JS.Iframe.pg   28385  
10   74 Trojan.JS.Redirector.nz   26203  
11   9 Trojan.JS.Popupper.aw   25770  
12   New Trojan-Downloader.Java.Agent.il   23048  
13   -2 AdWare.Win32.FunWeb.q   22922  
14   11 Trojan-Downloader.Win32.Zlob.aces   22443  
15   3 AdWare.Win32.FunWeb.ci   19557  
16   -1 Exploit.JS.CVE-2010-0806.b   19487  
17   -3 Exploit.JS.CVE-2010-0806.i   18213  
18   9 Exploit.SWF.Agent.du   17649  
19   -3 Trojan.JS.Redirector.lc   16645  
20   -10 Trojan-Downloader.Java.Agent.hx   16242  

Archivi fasulli

La tendenza degli archivi fasulli, della quale abbiamo già parlato, non perde la sua attualità. Gli archivi fasulli si diffondono con grande efficienza: quando l’utente effettua una ricerca mediante i motori di ricerca, si rigenerano automaticamente delle pagine contenenti dei banner, che propongono le informazioni cercate.

Il principio di funzionamento di questo tipo di truffa Internet è semplice: per ricevere il contenuto dell’archivio, all’utente viene richiesto di inviare un SMS a pagamento. Tuttavia, una volta inviato l’SMS, l’utente non riceve le informazioni desiderate: l’archivio risulta infatti essere vuoto, “danneggiato”, contiene file torrent ecc.

Nella figura sottostante è riportato un esempio di invito fraudolento a scaricare delle informazioni in archivio:

 новое окно

“Kaspersky Lab” individua gli archivi fasulli, quali ad esempio quelli della famiglia Hoax.Win32.ArchSMS. Gli archivi fasulli ArchSMS vengono bloccati soprattutto sui computer degli utenti residenti nei Paesi della CSI.

 новое окно
Diffusione geografica di Hoax.Win32.ArchSMS

Minacce nei computer degli utenti

Anche le minacce che si diffondono per la maggior parte attraverso la rete locale e le memorie di massa e i dispositivi mobili godono di grande popolarità presso i cybercriminali e sono estremamente pericolose.

Questi virus, quali ad esempio Virus.Win32.Sality.aa (3œ posto), Virus.Win32.Sality.bh (8œ posto) e Virus.Win32.Virut.ce (6œ posto), occupano le prime posizioni della classifica dei programmi malware individuati nei computer degli utenti. La loro peculiarità essenziale, che consiste nella capacità di infettare i file eseguibili, ne aumenta l’efficienza.

Nella TOP 20 si trovano anche malware che sfruttano vulnerabilità già riparate: è questo il caso in particolare di Kido che si aggiudica i primi due posti in classifica. Gli exploit che sfruttano la vulnerabilità CVE-2010-2568 dei file short cut restano di grande attualità (13œ e 14œ posto). Spesso questi exploit vengono utilizzati per diffondere Stuxnet e altri programmi maligni. Ciò conferma ancora una volta quando si è già detto più volte in passato: gli utenti non possono e non devono ignorare gli aggiornamenti del sistema operativo e dei programmi più comunemente diffusi che hanno installato sui loro computer.