Classifica malware - Gennaio 2011

18 feb 2011
Notizie Virus

Vyacheslav Zakorzhevsky

Gennaio in cifre

Nel corso del mese nei computer degli utenti dei prodotti «Kaspersky Lab»:

  • sono stati respinti 213.915.256 attacchi della rete;
  • sono stati bloccati 68.956.183 tentativi di infezione via Internet;
  • sono stati individuati e neutralizzati 187.234.527 programmi malware (tentativi di infezione locale);
  • sono state registrate 70.179.070 attivazioni di analisi euristiche.

Cybercriminali nella rete

La maggior parte dei programmi malware, particolarmente complessi, nasconde la propria presenza nel sistema e operano a insaputa dell'utente. Tuttavia per attuare i suoi schemi fraudolenti, la cybercriminalità ha bisogno della partecipazione attiva dell'utente. Per poter sfuggire alle trappole dei cybercriminali è pertanto di estrema importanza che l'utente conosca quali sono gli approcci utilizzati.

Regali pericolosi

I cybercriminali sfruttano spesso la diffusione di certi servizi Internet o di determinati prodotti. Anche la popolarità di cui godono i prodotti «Kaspersky Lab» non è sfuggita all'attenzione dei cybercriminali e in gennaio se ne avuta una chiara conferma.

In Internet si vanno diffondendo delle utility che consentono di utilizzare alcuni prodotti «Kaspersky Lab» senza bisogno di effettuarne l'attivazione. Tali programmi sono stati da noi individuati come programmi potenzialmente indesiderati della famiglia Kiser. In gennaio due rappresentanti di questa famiglia sono addirittura rientrati nella classifica dei venti verdetti più diffusi individuati nei computer degli utenti (9œ e 11œ posto).

Dopo le festività di fine anno abbiamo individuato un trojan dropper, mascherato sotto le mentite spoglie di generatore di chiavi per l'attivazione di prodotti «Kaspersky Lab» (http://www.securelist.com/ru/blog/40232/Syurpriz_dlya_lyubiteley_khalyavy). Il dropper installa e avvia due pericolosi malware sui computer degli amanti dell'utilizzo «a sbafo» di prodotti software: l'uno sottrae i dati di registrazione dai programmi e le password dei giochi online, mentre l'altro è un backdoor che svolge inoltre le funzioni di un key logger.

All'inizio di gennaio i nostri esperti hanno individuato un sito «Kaspersky Lab» fasullo, il cui indirizzo si differenzia da kaspersky.ru di una sola lettera (http://www.securelist.com/en/blog/11127/Mistyping_leads_to_infections). In questo sito gli utenti venivano invitati a scaricare una versione gratuita di Kaspersky Internet Security 2011 come «regalo» per festeggiare il nuovo anno.

top20_jan2011_pic01

Invece del KIS2011 sui computer veniva scaricato il Trojan-Ransom.MSIL.FakeInstaller.e, la cui installazione comportava il riavvio del computer. Dopo il riavvio, il trojan visualizzava una schermata fasulla del social network russo «Odnoklassniki» (compagni di scuola) con un messaggio che informava l'utente della vincita di un telefono Samsung Galaxy S che il «fortunato» vincitore avrebbe potuto ritirare dietro il pagamento di soli 1.200 rubli (circa 30 euro). Per confermare la «vincita», si doveva poi inviare un SMS ad un numero a pagamento. La storia della «vincita» si concludeva quindi con il prelievo di una determinata somma dal conto dell'utente per l'invio dell'SMS.

Invitiamo gli utenti a prestare la massima attenzione e a utilizzare solo i servizi e i prodotti che vengono offerti nei siti ufficiali della nostra azienda.

IE «gratuito» per soli 300 rubli

Un altro programma che per la sua popolarità è caduto nel mirino dei criminali informatici è Internet Explorer. In gennaio su Runet sono state individuate delle pagine Web, nelle quali si invitava l'utente ad «aggiornare il browser Internet Explorer». Dapprima si dovevano selezionare i necessari «aggiornamenti», dopodiché apparivano una schermata che ne simulava l'installazione e un messaggio che invitava l'utente ad attivare il «software già installato», inviando un SMS ad un numero a pagamento.

top20_jan2011_pic02 


Frammento Hoax.HTML.Fraud.e con l'invito a effettuare l'«аttivazione»

Dopo aver inviato l'SMS a pagamento, l'utente riceveva un link di accesso al programma di installazione gratuito Internet Explorer 8 e… «ad articoli sulla sicurezza e sulla protezione dei computer».

Queste pagine Web con contenuti fraudolenti vengono rilevate come Hoax.HTML.Fraud.e, programma che si è così aggiudicato il 17œ posto nella classifica TOP 20 di gennaio dei malware individuati in Internet.

Archivi fasulli

Presso i cybercriminali della rete continua a godere di una certa popolarità anche un altro metodo di guadagno illecito: gli archivi fasulli. In gennaio la nuova versione di Hoax.Win32.ArchSMS.mvr si è aggiudicata immediatamente un posto in entrambe le ТОP 20, sia in quella dei malware riscontrati in Internet (11œ posto) sia in quella dei malware individuati nei computer degli utenti (17œ posto).

Attacchi mediante Twitter

Nel report del mese scorso abbiamo parlato della diffusione in Twitter dei link maligni abbreviati con il servizio goo.gl. A metà gennaio la diffusione dei link maligni abbreviati è rimasta massiccia (http://www.securelist.com/en/blog/11136/New_Twitter_worm_redirects_to_Fake_AV). Come anche in dicembre, cliccando sui link maligni l'utente viene reindirizzato per mezzo di alcuni redirector a una pagina con un «antivirus online». Il falso antivirus opera quindi secondo lo schema già visto in dicembre: apre una finestra simile a quella delle «Risorse del computer», imita la scansione del computer e propone all'utente di pagare per eliminare i malware «rilevati».

Programmi adware

Come anche in passato si continua a registrare un'attiva diffusione di programmi adware. Senza richiedere il consenso dell'utente, l'AdWare.Win32.WhiteSmoke.a, che si è aggiudicato il 12œ posto nella classifica dei programmi malware riscontrati in Internet, aggiunge sulla scrivania del PC lo shortcut «Improve your PC». Dopodiché, quando l'utente vi clicca sopra, si apre una pagina con l'invito ad «eliminare dal computer eventuali errori» che compromettono le prestazioni del PC. Se l'utente accetta l'invito, sul suo computer si installa un programma denominato RegistryBooster 2011 che effettua una scansione del computer e si offre di eliminare a pagamento i problemi individuati.

top20_jan2011_pic03

RegistryBooster 2011 in azione

Il componente del diffuso adware FunWeb Hoax.Win32.ScreenSaver.b, sebbene alla sua prima apparizione nella TOP 20 dei malware bloccati nei computer degli utenti, si è piazzato subito al 4œ posto. Ricordiamo che FunWeb fa parte di una famiglia di adware, i rappresentanti della quale figurano ininterrottamente da un anno nelle classifiche dei malware più diffusi. Questi adware predominano nei Paesi anglofoni, quali gli Stati Uniti, il Canada, la Gran Bretagna e anche l'India.

top20_jan2011_pic04

Vulnerabilità e aggiornamenti

Per l'ennesima volta invitiamo gli utenti a non ignorare gli aggiornamenti critici. Nella TOP 20 di gennaio delle minacce più diffuse bloccate nei computer degli utenti si è piazzato l'Exploit.JS.Agent.bbk (al 20œ posto) che sfrutta la vulnerabilità CVE-2010-0806. Sebbene questa vulnerabilità sia già stata riparata alla fine del marzo 2010 (la patch è disponibile al seguente indirizzo http://www.microsoft.com/rus/technet/security/bulletin/ms10-018.mspx), oltre che dall'Agent.bbk viene anche sfruttata da altri malware presenti nella TOP 20 (al 6œ e al 13œ posto). Ciò significa che la breccia nel software non è ancora stata chiusa in molti computer e continua quindi ad essere efficacemente sfruttata dai cybercriminali.

Download di file per mezzo dei malware Java

Il download di file per mezzo di malware Java con il metodo OpenConnection, che ha cominciato ad essere utilizzato dai cybercriminali nell'ottobre dell'anno scorso, risulta attualmente essere uno dei metodi di download maggiormente diffusi. In gennaio, nella TOP 20 dei malware più diffusi in Internet, si piazzano (rispettivamente al 9œ e al 20œ posto) due nuovi rappresentanti della famiglia Trojan-Downloader.Java.OpenConnection.

top20_jan2011_pic05_all

Sviluppo dei casi di individuazione del Trojan-Downloader.Java.OpenConnection (numero di utenti singoli): ottobre 2010 – gennaio 2011

Se si utilizzano le ultime versioni di JRE (ambiente operativo Java), all'avvio del pericoloso applet Java l'utente riceve un relativo avviso. Per evitare eventuali infezioni del computer, è sufficiente quindi annullarne l'avvio.

Malware complessi: il nuovo e-mail worm

In gennaio ha fatto la sua comparsa un nuovo e-mail worm, l'Email-Worm.Win32.Hlux, che si diffonde tramite la notifica della ricezione di una cartolina elettronica d’auguri. Nella notifica è contenuto il link alla pagina dove viene suggerito di scaricare Flash Player per una corretta visione della e-card. A prescindere dalla risposta dell'utente, il worm tenta di infiltrarsi nel suo computer: trascorsi cinque secondi dall'apertura della finestra di dialogo l'utente viene reindirizzato alla pagina contenente un set di exploit e i programmi della famiglia Trojan-Downloader.Java.OpenConnection che cominciano ad avviare Hlux sul suo computer.

Il worm, oltre ad autodiffondersi per posta elettronica, svolge la funzione di bot e collega il computer infetto alla botnet. Hlux si collega al centro di controllo della botnet, esegue i suoi comandi e, in particolare, invia dello spam farmaceutico. Il bot comunica con il centro di controllo mediante i proxy server della rete Fast-Flux. Se il computer infetto possiede un indirizzo IP esterno, può essere utilizzato come nodo della rete Fast-Flux. La grande quantità di computer infetti consente ai cybercriminali di cambiare molto frequentemente gli indirizzi IP dei domini nei quali vengono collocati i centri di controllo della botnet.

top20_jan2011_pic06

Frequenza del cambiamento di indirizzi IP dei domini C&C delle botnet Hlux

Nuovo SMS trojan: un altro metodo di furto

In gennaio i cybercriminali hanno cominciato ad utilizzare un altro modo per accedere alle tasche dei possessori di telefoni cellulari. Il nuovo Trojan-SMS.J2ME.Smmer.f (http://www.securelist.com/ru/blog/43141/SMS_troyantsy_novyy_vitok) si diffonde secondo la modalità ormai consueta dei malware Java per piattaforme mobili ossia per mezzo di spam SMS contenenti un link di rinvio a una «cartolina virtuale». Dopo esser stato installato sul telefono, il trojan invia gratuitamente un SMS a due diversi numeri. Come viene conseguito quindi il guadagno illecito? I due numeri vengono utilizzati da un operatore di telefonia cellulare per trasferire soldi da un conto all'altro. Nel primo messaggio inviato dal trojan, vengono indicati la somma che verrà prelevata dal conto del possessore del telefono infetto (200 rubli, circa 5 euro) e il numero utilizzato dai cybercriminali per ricevere i soldi, mentre il secondo SMS viene inviato per confermare il trasferimento del denaro.

Ci siamo già imbattuti in un simile tipo di frode due anni or sono: allora la truffa interessava gli utenti indonesiani, oggi i cybercriminali hanno preso di mira la Russia.

TOP 20 dei programmi malware in Internet


PositionPositionsänderungName
1  top20_noch0AdWare.Win32.HotBar.dh  
2  top20_noch0Trojan-Downloader.Java.OpenConnection.cf  
3  top20_newNewExploit.HTML.CVE-2010-1885.aa  
4  top20_newNewAdWare.Win32.FunWeb.gq  
5  top20_down-2Trojan.HTML.Iframe.dl  
6  top20_newNewTrojan.JS.Redirector.os  
7  top20_up7Trojan-Clicker.JS.Agent.op  
8  top20_down-4Trojan.JS.Popupper.aw  
9  top20_newNewTrojan-Downloader.Java.OpenConnection.cg  
10  top20_up2Trojan.JS.Agent.bhr  
11  top20_newNewHoax.Win32.ArchSMS.mvr  
12  top20_newNewAdWare.Win32.WhiteSmoke.a  
13  top20_up5Trojan.JS.Fraud.ba  
14  top20_down-4Exploit.JS.Agent.bab  
15  top20_down-7Trojan.JS.Redirector.lc  
16  top20_down-8Exploit.Java.CVE-2010-0886.a  
17  top20_newNewHoax.HTML.Fraud.e  
18  top20_newNewTrojan-Clicker.JS.Agent.om  
19  top20_down-6Trojan-Downloader.JS.Small.os  
20  top20_newNewTrojan-Downloader.Java.OpenConnection.cx  

*Numero complessivo dei singoli casi di infezione individuati dall'antivirus Web nei computer degli utenti

TOP 20 dei programmi malware individuati nei computer degli utenti


PositionPositionsänderungName
1  top20_noch0Net-Worm.Win32.Kido.ir  
2  top20_up1Virus.Win32.Sality.aa  
3  top20_down-1Net-Worm.Win32.Kido.ih  
4  top20_newNewHoax.Win32.Screensaver.b  
5  top20_noch0AdWare.Win32.HotBar.dh  
6  top20_down-2Trojan.JS.Agent.bhr  
7  top20_down-1Virus.Win32.Sality.bh  
8  top20_down-1Virus.Win32.Virut.ce  
9  top20_newNewHackTool.Win32.Kiser.zv  
10  top20_down-2Packed.Win32.Katusha.o  
11  top20_newNewHackTool.Win32.Kiser.il  
12  top20_down-2Worm.Win32.FlyStudio.cu  
13  top20_down-1Exploit.JS.Agent.bab  
14  top20_down-1Trojan-Downloader.Win32.Geral.cnh  
15  top20_down-1Trojan-Downloader.Win32.VB.eql  
16  top20_noch0Worm.Win32.Mabezat.b  
17  top20_newNewHoax.Win32.ArchSMS.mvr  
18  top20_down-1Packed.Win32.Klone.bq  
19  top20_retReturnedWorm.Win32.Autoit.xl  
20  top20_newNewExploit.JS.Agent.bbk  

*Numero di singoli utenti nei computer dei quali l'antivirus ha individuato l'oggetto

 CONDIVIDI