Classifica malware - Dicembre 2010

06 gen 2011
Notizie Virus

Sebbene nel mese di dicembre non si siano rilevati casi di infezione significativi, nel corso del mese sono stati registrati i seguenti dati:

  • sono stati respinti 209.064.328 attacchi Web;
  • sono stati bloccati 67.408.107 tentativi di infezione via Internet;
  • sono stati individuati e neutralizzati 196.651.049 programmi malware nei computer degli utenti;
  • sono state registrate 70.951.950 attivazioni di analisi euristica.

La tattica utilizzata dai cybercriminali è rimasta invariata. Come al solito la navigazione in Internet continua a presentare dei rischi, mentre i cybercriminali sfruttano attivamente metodi di social engineering per indurre gli utenti ad aprire i link infetti e a scaricare sul proprio computer il programma maligno/fraudolento.

Cybercriminali nella zona DNS “.rf”

Nel novembre 2010 si è aperta la registrazione dei nomi di dominio della zona “.rf”. Abbiamo deciso di seguire da vicino come i cybercriminali sfruttano la nuova zona di nomi di dominio. Dalle ricerche compiute, risulta che tra i malware predominano i programmi di tipo fraudolento.

Tra le risorse dannose della zona “.rf” si incontrano principalmente tre tipi di malware. Al primo posto per frequenza troviamo gli archivi fittizi dei quali abbiamo già parlato ampiamente e in modo dettagliato, ad esempio, all'inizio di dicembre (http://www.securelist.com/en/analysis/204792150/Monthly_Malware_Statistics_November_2010'>) e sui quali quindi non ci soffermeremo in questa sede. Al secondo posto troviamo lo script di redirect Trojan.JS.Redirector.ki., che presenta una struttura piuttosto primitiva e la cui funzione principale è reindirizzare l'utente al sito infetto per mezzo del comando “document.location”.

Il terzo tipo di malware riscontrato con maggior frequenza è Hoax.Win32.OdnoklAgent.a, un rappresentante decisamente singolare dei programmi fraudolenti. Il programma apre la finestra “Odnoklassniki Agent” in cui si utilizza il logotipo di un social network molto popolare in Russia per la ricerca di vecchi compagni di scuola, “Odnoklassniki”. Nella finestra sono riportati dei link a siti del social network e anche dei copyright, ma il programma non è altro che una facciata vuota che non reagisce neanche quando l'utente digita una password valida per effettuare il login nel network.

 top20_december2010_pic01
La finestra aperta da Hoax.Win32.OdnoklAgent.a

Chi mai poteva avvertire la necessità di un programma apparentemente tanto inutile come Hoax.Win32.OdnoklAgent.a? Il fatto è che nella zona .rf esiste una grande quantità di siti analoghi nei quali si offrono “servizi gratuiti per agevolare la comunicazione interpersonale”. Ovviamente però questi servizi sono “gratuiti” di nome ma non di fatto: per potervi accedere l'utente deve inviare un SMS a un numero a pagamento. Il “servizi”» consiste poi nello stesso Hoax.Win32.OdnoklAgent.a: inviando l'SMS, l'utente riceve questo inutile programma.

top20_december2010_pic02 
Invito a pagare il “servizio”

In tutti questi siti, alla fine della pagina principale è presente la voce “Regolamento”, contenente un punto decisamente curioso.

I proprietari del sito si coprono in tal modo le spalle: il programma non deve fare nulla, proprio come esplicitamente dichiarato dal regolamento con la formulazione “i materiali del presente sito non hanno rilevanza né a livello informativo né concettuale”. Solo che per questo “innocente” scherzetto, gli utenti disattenti rischiano di pagare, in questo caso, a prezzo di SMS.

Gli antivirus fittizi vanno on-line

La quantità di antivirus fittizi è andata calando negli ultimi tempi: i veri antivirus sono in grado di gestire i falsi creati dai cybercriminali e i tentativi di installarli sui computer stanno perdendo la loro efficacia. Ma i criminali informatici si sono inventati un altro modo per arrivare agli utenti: hanno infatti cominciato a lanciare i falsi antivirus non sui computer degli utenti bensì in Internet. In questo caso non si richiede più di scaricare il file sul computer, ma, senza dover aggirare la protezione antivirus, si raggiunge lo scopo di reindirizzare l'utente ad un determinato sito in maniera più semplice. Nell'ultimo mese alcuni di questi nuovi “antivirus Internet” sono balzati in testa alle classifiche dei malware individuati nella rete, mentre due di essi si sono addirittura piazzati nella TOP 20 (al 18œ e al 20œ posto).

Nella schermata riportata qui sotto è possibile vedere i risultati dell'operato di uno di questi “antivirus”, il Trojan.HTML.Fraud.ct.

top20_december2010_pic03 
Il fraud-tool Web Trojan.HTML.Fraud.ct all'opera

Come si vede dalla schermata, l'“antivirus” genera una pagina Internet simile alla finestra “Risorse del computer” dei sistemi operativi Windows. Dopodiché tutto si svolge secondo il consueto copione: viene avviato un controllo fittizio del computer per rilevare la presenza di virus che vengono immediatamente “individuati”. Quando l'utente acconsente all'eliminazione dei virus dal suo sistema, sul computer viene scaricato l'antivirus fittizio che invita l'utente ad acquistare la licenza (ovviamente è previsto che la «rimozione dei virus» dal computer abbia luogo solo previo pagamento).

top20_december2010_pic04 
Frammento che illustra l'antivirus fittizio all'opera dopo il download

La maggior parte dei computer nei quali è stata rilevata la presenza di questo tipo di malware è localizzata geograficamente in paesi sviluppati, vale a dire negli Stati Uniti, in Canada, in Gran Bretagna, in Germania e in Francia. Nell'elenco rientra anche l'India, probabilmente perché lì risiedono molti utenti anglofoni.

top20_december2010_pic05 
Diffusione geografica dei casi di individuazione del Trojan.HTML.Fraud.ct

Camuffamento dei link maligni

Di recente hanno acquisito una certa popolarità i servizi per accorciare gli URL. Tale popolarità è dovuta al fatto che in Twitter la lunghezza dei messaggi è limitata a 140 caratteri. L'utilizzo di tali servizi consente di occultare link infetti, opportunità che i cybercriminali non si lasciano certo scappare.

In dicembre, nel corso di uno degli attacchi malware scagliati contro il servizio di microblog Twitter (http://www.securelist.com/en/blog/208188039/Malicious_Twitter_trends), nella pagina principale, nell'elenco dei temi che più interessano gli utenti, alcuni temi sono saliti artificiosamente di posizione, vale a dire con l'aiuto di malware. Tutti questi temi contenevano link sotto le mentite spoglie di servizi quali bit.ly, alturl.com ecc. Cliccando su questi link, l'utente veniva reindirizzato, per mezzo di alcuni redirector, alla pagina Web infetta dalla quale il computer scaricava senza dare nell'occhio il programma malware. Anche il servizio goo.gl di Google è stato utilizzato dai cybercriminali per diffondere i link maligni in Twitter all'inizio di dicembre.

Alla fine del mese abbiamo scoperto un altro metodo utilizzato per mascherare i link dannosi. È stato individuato il mailing IM con messaggi di posta elettronica contenenti link di rimando alla pagina di Facebook nella quale si avverte l'utente che sta lasciando il sito del social network. Tuttavia il link era stato manipolato dai criminali in modo tale che quando l'utente, dopo aver cliccato sul link, premeva il pulsante “Continua” nella finestra per uscire da Facebook, veniva reindirizzato alla risorsa maligna.

TDSS amplia le sue possibilità

Oltre all'organizzazione di attacchi fraudolenti in rete e ad attacchi non certo dei più complessi attuati tramite i social network, i cybercriminali lavorano anche all'“artiglieria pesante” dell'arsenale dei malware. Gli autori di uno dei malware più complessi al giorno d'oggi, il rootkit TDSS stanno continuando a perfezionarlo. In dicembre l'ultima versione del rootkit, la TDL-4, aveva cominciato a sfruttare la vulnerabilità CVE-2010-3338, scoperta nel luglio 2010 durante le ricerche compiute sul worm Stuxnet.

Non solo vulnerabilità

Nel report di novembre abbiamo scritto che la famiglia dei Trojan-Downloader.Java.OpenConnection sta continuando a crescere. Di norma, questi malware vengono utilizzati dai cybercriminali nell'ultimo stadio dei download drive-by. Tuttavia per scaricare gli oggetti maligni sui computer degli utenti, non sfruttano delle vulnerabilità, ma il metodo OpenConnection della classe URL.

Nella classifica di dicembre dei malware individuati in Internet si sono piazzati due rappresentanti del Trojan-Downloader.Java.OpenConnection (al 2œ e al 7œ posto). Nella fase di picco dell'attività dei programmi di questa famiglia la quantità di singoli utenti sui computer dei quali è stata individuata la presenza del Trojan-Downloader.Java.OpenConnection superava le 40.000 unità al giorno.

top20_december2010_pic06 
Sviluppo dei casi di individuazione del Trojan-Downloader.Java.OpenConnection
(numero di utenti singoli): ottobre – dicembre 2010

Come si è già detto in precedenza, per scaricare e lanciare il file maligno dal Web, tutti i rappresentanti della famiglia Trojan-Downloader.Java.OpenConnection non sfruttano delle vulnerabilità, bensì delle possibilità standard di Java. Per i malware scritti in linguaggio Java, questo metodo di download è attualmente uno dei principali. È facile supporre che la popolarità dei programmi maligni di questa famiglia continuerà ad aumentare fino a quando Oracle non chiuderà la possibilità di download dei file da essi sfruttata.

Adobe XML Forms nell'exploit PDF

Nella TOP 20 dei malware individuati in Internet in dicembre rientra anche l'Exploit.Win32.Pidief.ddl (11œ posto), che si presenta come un documento pdf strutturato sulla base di Adobe XML Forms. Tutto il potenziale dannoso del Pidief.ddl è racchiuso nello script JavaScript integrato nello stream XML. Nel modello Adobe XML Forms è presente l'oggetto “event”, che provoca l'esecuzione dello script al verificarsi di un determinato evento. Questo oggetto possiede la proprietà “activity”, responsabile dell'esecuzione dello script. Essa contiene una stringa che indica all'elaboratore quando richiamare lo script. Nel file in questione la stringa contiene l'istruzione “initialize”, vale a dire che, dopo aver aperto il PDF, l'utente inizializza l'avvio dello script maligno. Lo script è in sostanza un exploit che scarica e lancia altro malware.

top20_december2010_pic07 
Frammento dell'Exploit.Win32.Pidief.ddl

Si tratta del primo caso di diffusione di massa da noi registrato di documenti maligni PDF che sfruttano il modello Adobe XML Forms.

Pubblicità indesiderata

Con un notevole distacco dai suoi concorrenti, l'adware identificato come AdWare.Win32.HotBar.dh e comprendente i programmi HotBar, Zango e ClickPotato, ha conquistato il 1œ posto nella classifica delle minacce Web nonché il 5œ posto nella TOP 20 dei malware individuati nei computer degli utenti. Di norma questo software si installa insieme a degli attachment legittimi, dopodiché crea grandi difficoltà all'utente che viene importunato con messaggi pubblicitari.

top20_december2010_pic08 
Installazione dell'adware ClickPotato insieme a VLC Media Plater

Malware diffusi via Internet


Attuale posizione
in classifica
Variazione di
posizione
MalwareNumero di utenti
1  top20_newNewAdWare.Win32.HotBar.dh  203975  
2  top20_newNewTrojan-Downloader.Java.OpenConnection.cf  140009  
3  top20_up1Trojan.HTML.Iframe.dl  105544  
4  top20_up8Trojan.JS.Popupper.aw  97315  
5  top20_up13Trojan.JS.Redirector.lc  73571  
6  top20_retReturnedAdWare.Win32.FunWeb.di  70088  
7  top20_down-6Trojan-Downloader.Java.OpenConnection.bu  70006  
8  top20_down-5Exploit.Java.CVE-2010-0886.a  60166  
9  top20_down-3Trojan.JS.Agent.bmx  57539  
10  top20_down-2Exploit.JS.Agent.bab  54889  
11  top20_newNewExploit.Win32.Pidief.ddl  53453  
12  top20_down-5Trojan.JS.Agent.bhr  49883  
13  top20_newNewTrojan-Downloader.JS.Small.os  40989  
14  top20_newNewTrojan-Clicker.JS.Agent.op  40705  
15  top20_retReturnedExploit.HTML.CVE-2010-1885.v  40188  
16  top20_newNewPacked.Win32.Krap.ao  38998  
17  top20_newNewAdWare.Win32.FunWeb.fq  36187  
18  top20_newNewTrojan.JS.Fraud.ba  35770  
19  top20_down-9Trojan.JS.Iframe.pg  35293  
20  top20_newNewTrojan.HTML.Fraud.ct  33141  

Malware individuati nei computer degli utenti


Attuale posizione
in classifica
Variazione di
posizione
MalwareNumero di
utenti
1  top20_noch0Net-Worm.Win32.Kido.ir  468580  
2  top20_noch0Net-Worm.Win32.Kido.ih  185533  
3  top20_noch0Virus.Win32.Sality.aa  182507  
4  top20_noch0Trojan.JS.Agent.bhr  131077  
5  top20_newNewAdWare.Win32.HotBar.dh  122204  
6  top20_up1Virus.Win32.Sality.bh  110121  
7  top20_down-2Virus.Win32.Virut.ce  105298  
8  top20_noch0Packed.Win32.Katusha.o  100949  
9  top20_newNewPorn-Tool.Win32.StripDance.b  92270  
10  top20_down-4Worm.Win32.FlyStudio.cu  88566  
11  top20_down-11Trojan.Win32.AutoRun.avp  68970  
12  top20_down-2Exploit.JS.Agent.bab  65139  
13  top20_up1Trojan-Downloader.Win32.Geral.cnh  63651  
14  top20_down-3Trojan-Downloader.Win32.VB.eql  57155  
15  top20_down-3Exploit.Win32.CVE-2010-2568.b  55578  
16  top20_down-1Worm.Win32.Mabezat.b  54994  
17  top20_down-1Packed.Win32.Klone.bq  53160  
18  top20_down-5Exploit.Win32.CVE-2010-2568.d  50405  
19  top20_down-1AdWare.Win32.FunWeb.gq  50272  
20  top20_newNewWorm.VBS.VirusProtection.c  46563  

© 1997 - 2014 Kaspersky Lab ZAO.

Produttore leader di Software Antivirus.
Kaspersky Lab Italia - P.IVA 09923201009