Classifica malware - Settembre 2010

04 ott
Notizie Virus

«Kaspersky Lab» sottopone all'attenzione degli utenti le classifiche relative alla diffusione dei diversi tipi di malware nel mese di settembre.

In entrambe le classifiche si rileva una quantità relativamente modesta di nuovi malware. Vale la pena notare la comparsa di un nuovo «pacchetto», ovvero il dropper Trojan-Dropper.Win32.Sality.cx, che si installa sui computer già infettati dal Virus.Win32.Sality.bh. Per diffondersi il dropper sfrutta la vulnerabilità dei file WinLNK (file shortcut). Allo stesso modo vale la pena rilevare un notevole calo della quantità di exploit che sfruttano la vulnerabilità di Windows Help and Support Center CVE-2010-1885, vulnerabilità che nel mese di agosto è stata oggetto di numerose aggressioni. Altra particolarità che caratterizza il mese di settembre è che nella TOP 20 dei malware riscontrati in Internet, gli exploit sono numericamente equivalenti ai programmi adware (7).

Va notato che in entrambe le tabelle non sono presenti dati relativi all'identificazione euristica nella quale attualmente ricade il 25 - 30% di tutti i malware individuati. In futuro intendiamo presentare dati più dettagliati in merito ai rilevamenti euristici.

Malware individuati nei computer degli utenti

Nella prima tabella sono riportati i programmi dannosi e potenzialmente indesiderati che sono stati individuati e neutralizzati sui computer degli utenti.


Posizione Variazione di posizione Malware Quantità di computer infettati
1   0 Net-Worm.Win32.Kido.ir   371564  
2   0 Virus.Win32.Sality.aa   166100  
3   0 Net-Worm.Win32.Kido.ih   150399  
4   1 Trojan.JS.Agent.bhr   95226  
5   1 Exploit.JS.Agent.bab   81681  
6   1 Worm.Win32.FlyStudio.cu   80829  
7   1 Virus.Win32.Virut.ce   76155  
8   -4 Net-Worm.Win32.Kido.iq   65730  
9   0 Exploit.Win32.CVE-2010-2568.d   59562  
10   0 Trojan-Downloader.Win32.VB.eql   53782  
11   new Virus.Win32.Sality.bh   44614  
12   0 Exploit.Win32.CVE-2010-2568.b   43665  
13   return Worm.Win32.Autoit.xl   40065  
14   -1 Worm.Win32.Mabezat.b   39239  
15   new Packed.Win32.Katusha.o   39051  
16   new Trojan-Dropper.Win32.Sality.cx   38150  
17   -3 Worm.Win32.VBNA.b   37236  
18   new P2P-Worm.Win32.Palevo.avag   36503  
19   -4 AdWare.WinLNK.Agent.a   32935  
20   return Trojan-Downloader.Win32.Geral.cnh   31997  

Il mese scorso questa TOP 20 si era arricchita di quattro nuovi rappresentanti. Due dei malware presenti in classifica ci sono già noti dai report precedenti.

Nelle prime dieci posizioni della classifica non si rilevano cambiamenti sostanziali, ad eccezione del balzo dal quarto all’ottavo posto che interessa una variante del net worm Kido, la variante «iq».

I due exploit, l’Exploit.Win32.CVE-2010-2568.d (9œ posto) e l’Exploit.Win32.CVE-2010-2568.b (12œ posto), che sfruttano la vulnerabilità CVE-2010-2568 dei file shortcut della famiglia dei sistemi operativi Windows mantengono la loro posizione, mentre invece è cambiato il malware che sfrutta attivamente questi exploit. Se nella classifica di agosto era il Trojan-Dropper.Win32.Sality.r, adesso si tratta di nuovo rappresentante della stessa famiglia, Sality.cx (16œ posto). In quanto a struttura questo malware assomiglia alla variante «r», ma a differenza di quanto accadeva in agosto, non installa sul computer infetto il Virus.Win32.Sality.ag, ma una nuova variante del virus, vale a dire Sality.bh (11œ posto). In tal modo, avvalendosi dell’ausilio degli exploit che sfruttano la vulnerabilità CVE-2010-2568, si diffonde un nuovo rappresentante della famiglia del virus polimorfo Sality. Notiamo inoltre che nel dropper Sality.cx è stato rilevato un URL, contenente parole in lingua russa. Ciò fa supporre che sia stato probabilmente creato da programmatori di virus di lingua russa.


Frammento del Trojan-Dropper.Win32.Sality.cx contenente un link con parole russe

La distribuzione geografica del nuovo dropper Sality.cx è identica alla diffusione che ha caratterizzato il Trojan-Dropper.Win32.Sality.r nel mese passato. Tra i leader in termini di diminuzione della quantità di attuazioni figurano l’India, il Vietnam e la Russia. Evidentemente la diffusione di questa famiglia è strettamente legata all’exploit CVE-2010-2568, di cui la figura qui sotto riporta la distribuzione.


Diffusione del Trojan-Dropper.Win32.Sality.cx

In settembre ha fatto la sua comparsa un nuovo malware che rientra nella categoria dei packer maligni, ossia Packed.Win32.Katusha.o (15œ posto). Nelle classifiche passate ci siamo imbattuti in altri rappresentanti della famiglia Katusha, ma i programmatori di virus lavorano attivamente a nuove varianti del packer per contrastare la sua individuazione da parte dei programmi antivirus. Un altro wrapper, il Worm.Win32.VBNA.b (17œ posto), è leggermente retrocesso, pur riuscendo a mantenersi tra i primi venti.

A partire da maggio, per ben quattro mesi, in tutte le classifiche non è mai mancata una nuova variante del worm P2P-Worm.Win32.Palevo, che si diffonde fondamentalmente nelle reti Peer-To-Peer. In settembre è stata quindi la volta della variante Palevo.avag (18œ posto). Due malware, il Worm.Win32.AutoIt.xl (13œ posto) e il Trojan-Downloader.Win32.Geral.cnh (20œ posto), sono riapparsi nella TOP 20. L’ultima volta che sono apparsi in classifica è stato rispettivamente nei mesi di luglio e di maggio. Altri due programmi già noti dai report precedenti, il Worm.Win32.Mabezat.b (14œ posto) e l’AdWare.WinLNK.Agent.a (19œ posto), sono leggermente retrocessi.

Malware diffusi via Internet

La seconda tabella descrive la situazione su Internet. In questa classifica si trovano infatti malware che sono stati individuati nelle pagine Web nonché tutti quelli i cui tentativi di caricamento avvengono sempre attraverso le pagine Web.


Posizione Variazione di posizione Malware Quantità di tentativi singoli di scaricamento
1   1 Exploit.JS.Agent.bab   127123  
2   -1 Trojan-Downloader.Java.Agent.ft   122752  
3   14 Exploit.HTML.CVE-2010-1885.d   75422  
4   3 AdWare.Win32.FunWeb.di   61515  
5   0 AdWare.Win32.FunWeb.ds   56754  
6   -2 Trojan.JS.Agent.bhr   51398  
7   new Exploit.SWF.Agent.du   43076  
8   3 Trojan-Downloader.VBS.Agent.zs   42021  
9   new AdWare.Win32.FunWeb.ge   41986  
10   9 AdWare.Win32.FunWeb.fb   37992  
11   -1 Exploit.Java.CVE-2010-0886.a   37707  
12   new Trojan-Downloader.Java.Agent.gr   36726  
13   -5 AdWare.Win32.FunWeb.q   31886  
14   2 Exploit.JS.Pdfka.cop   29025  
15   3 Exploit.JS.CVE-2010-0806.b   28366  
16   -2 AdWare.Win32.FunWeb.ci   26254  
17   new Trojan-Downloader.Java.OpenStream.ap   21592  
18   return AdWare.Win32.Boran.z   20639  
19   new Trojan-Clicker.HTML.IFrame.fh   19799  
20   new Exploit.Win32.Pidief.ddd   19167  

Con un totale di ben sei new entry, la classifica di settembre relativa ai malware che hanno imperversato su Internet si differenzia notevolmente dalle precedenti, che ne riportavano in genere molte meno.

Tanto per cominciare diamo un'occhiata ai sette exploit presenti in classifica. L’Exploit.JS.Agent.bab (1œ posto), il Trojan.JS.Agent.bhr (6œ posto) e l’Exploit.JS.CVE-2010-0806.b (15œ posto) sfruttano la vulnerabilità CVE-2010-0806 e da alcuni mesi a questa parte presenziano ormai ininterrottamente nelle classifiche. Pare che lo sfruttamento di questa vulnerabilità di Internet Explorer godrà ancora a lungo di incontrastata popolarità presso i cybercriminali. La quantità di exploit che sfruttano la vulnerabilità CVE-2010-1885 è calata, passando da cinque in agosto a uno, l’Exploit.HTML.CVE-2010-1885.d (3œ posto) in settembre. Altri due exploit, il Trojan-Downloader.Java.Agent.ft (2œ posto) e il Trojan-Downloader.Java.Agent.gr (12œ posto), sfruttano la vecchia vulnerabilità CVE-2009-3867, basata sull’esecuzione della funzione vulnerabile getSoundBank(). L’ultimo rappresentante degli exploit, l’Exploit.Java.CVE-2010-0886.a (11œ posto), presenzia senza tregua in tutti i report a partire da maggio.

In settembre, forse per la prima volta, la quantità degli exploit presenti in classifica è pari alla quantità di programmi adware. Nella TOP 20 sono presenti infatti sette programmi AdWare.Win32, dei quali il solo FunWeb.ge (9œ posto) è al suo debutto in classifica. I restanti programmi sono vecchie conoscenze dalle classifiche precedenti: FunWeb.di (4œ posto), FunWeb.ds (5œ posto), FunWeb.fb (10œ posto), FunWeb.q (13œ posto), FunWeb.ci (16œ posto) e Boran.z (18œ posto), già incontrato nella classifica di luglio.

Passiamo ora ad occuparci delle novità della TOP 20 di settembre. Decisamente interessante è il malware l’Exploit.SWF.Agent.du (7œ posto) che si presenta come un file Flash vulnerabile. Sino ad ora sono stati osservati di rado casi di sfruttamento delle vulnerabilità della tecnologia Flash. Un nuovo rappresentante della famiglia dei trojan downloader, il Trojan-Downloader.Java.OpenStream.ap (17œ posto), sfrutta le classi standard del linguaggio Java per caricare l’oggetto maligno. Nella creazione di questo programma è stato effettuato un offuscamento.


Frammento del Trojan-Downloader.Java.OpenStream.ap

Nella schermata riportata sono visibili dei simboli che si ripetono e non lasciano presagire nulla di buono: la loro funzione è infatti quella di contrastare il rilevamento da parte dei programmi antivirus.

L’altra novità, il Trojan-Clicker.HTML.IFrame.fh (19œ posto), è una semplice paginetta HTML tra le cui funzioni rientra quella di rimandare l'utente al link maligno.

L’Exploit.Win32.Pidief.ddd (20œ posto), l’ultimo dei malware inclusi in questa classifica, si è dimostrato molto divertente. Si presenta come un file PDF nel quale è incluso uno script che avvia il cmd. Questo scrive sul disco lo script VBS e causa il messaggio «This file is encrypted. If you want to decrypt and read this file press "Open"?». Successivamente, questo script di Visual Basic si avvia e inizia a caricare lo script maligno. Nella schermata è riportato il frammetto del file PDF maligno, contenente parte dello script e la frase del messaggio.


Frammento del malware Exploit.Win32.Pidief.ddd

Stuxnet

Tirando le somme del mese appena trascorso, vale la pena menzionare il worm Stuxnet, sebbene non sia rientrato tra le voci della TOP 20, data la sua mirata specificità.

Su Stuxnet è stato scritto molto sui mezzi di informazione di massa di settembre, sebbene questo worm sia stato identificato già all’inizio di luglio. Ricordiamo che questo malware sfrutta quattro diverse vulnerabilità prima sconosciute di tipo «zero-day» e che si è avvalso di due certificati validi di Realtek e JMicron. Ad ogni modo, la peculiarità principale di Stuxnet, motivo per il quale al malware è stata dedicata particolare attenzione, è la sua specificità. La funzione fondamentale di questo malware non consiste nell'inviare spam o nel rubare le informazioni confidenziali degli utenti, bensì nell’ottenere il controllo su imprese industriali. È senza dubbio un programma di nuova generazione, la cui comparsa consente di parlare addirittura di cyberterrorismo e cyberguerre.

I Paesi maggiormente colpiti da questo malware sono stati l'India, l'Indonesia e l'Iran. La cartina riportata qui sotto illustra la diffusione del worm alla fine di settembre.