A partire da questo mese, la classifica viene compilata con i dati relativi a tutti i prodotti che dispongono del supporto di KSN: alla versione 2009 è stata aggiunta la 2010. Per questo motivo le due Top 20 ottenute dal lavoro di Kaspersky Security Network, sono leggermente cambiate rispetto al solito. Inoltre, in entrambe le Top 20 è stata riscontrata una crescita considerevole degli indici, dovuta al fatto che il numero di utenti "guariti" grazie al KSN è aumentato notevolmente.
Nella prima tabella troviamo quei programmi dannosi e potenzialmente indesiderati che sono stati individuati sui computer degli utenti e neutralizzati al primo contatto.
Posizione Malware Variazione
N° computer infettati
1 Net-Worm.Win32.Kido.ir 3 344745 2 Net-Worm.Win32.Kido.ih -1 126645 3 not-a-virus:AdWare.Win32.Boran.z 0 114776 4 Virus.Win32.Sality.aa -2 87839 5 Worm.Win32.FlyStudio.cu 6 70163 6 Trojan-Downloader.Win32.VB.eql -1 52012 7 Virus.Win32.Induc.a 0 49251 8 Packed.Win32.Black.d Nuovo 39666 9 Worm.Win32.AutoRun.awkp Nuovo 35039 10 Virus.Win32.Virut.ce -3 33354 11 Packed.Win32.Black.a Rientro 31530 12 Worm.Win32.AutoRun.dui -1 25370 13 Trojan-Dropper.Win32.Flystud.yo 4 24038 14 Trojan-Dropper.Win32.Agent.bcyx Nuovo 22471 15 Packed.Win32.Klone.bj Rientro 21919 16 Trojan.Win32.Swizzor.b Rientro 19496 17 Trojan-Downloader.WMA.GetCodec.s Nuovo 18571 18 Worm.Win32.Mabezat.b -4 19708 19 Trojan-GameThief.Win32.Magania.cbrt Nuovo 17610 20 Trojan-Dropper.Win32.Agent.ayqa Nuovo 16909
Net-Worm.Win32.Kido.ir, apparso per la prima volta a settembre, ha raggiunto la vetta della Top 20, spodestando il campione di lungo corso Kido.ih, ulteriore conferma del fatto che le memorie di massa e i dispositivi mobili sono tra le principali fonti d’infezione.
Una parola sui dispositivi mobili: al rappresentante consolidato della categoria, il worm Autorun.dui, si è unito il worm analogo Autorun.awkp, balzato immediatamente al 9° posto. Sotto questo nome si nascondono altri file, che scaricano automaticamente i malware sui dispositivi mobili.
Questo mese abbiamo poi assistito al ritorno di vecchi protagonisti della prima Top 20: Packed.Win32.Black.a, Packed.Win32.Klone.bj e Trojan.Win32.Swizzor.b. Inoltre, a Black.a si è unita la nuova versione: Black.d.
Ricordiamo che alla famiglia Packed.Win32.Black appartengono programmi che vengono attivati grazie all’utilizzo di versioni non autorizzate di utility (legali) per la protezione dei file eseguibili. Nella fattispecie si tratta di ASProtect, molto popolare tra i cybercriminali.
Il downloader multimediale GetCodec.s è il fratello di GetCodec.r, del quale abbiamo già parlato a dicembre scorso: si diffonde utilizzando il medesimo worm P2P-Worm.Win32.Nugg.
Torna ad essere attiva la famiglia Magania, un tempo molto nota: a luglio Trojan-GameThief.Win32.Magania.biht è entrato nella Top 20 dei malware più diffusi su Internet. Ad ottobre una nuova versione del malware, Magania.cbrt, insieme al Trojan-Dropper.Win32.Agent.ayqa, anch’esso legato a questa famiglia, sono entrati nella lista dei 20 malware più frequentemente individuati sui computer degli utenti.
Complessivamente, in questo mese, abbiamo riscontrato innanzitutto un’attiva diffusione dei malware attraverso i dispositivi mobili digitali, e anche l’attività di Trojan per giochi on-line, fenomeno per ora non preoccupante ma comunque degno di attenzione.
La seconda tabella descrive la situazione su Internet. In questa classifica si trovano infatti malware che sono stati individuati nelle pagine Web nonché tutti quelli i cui tentativi di caricamento avvengono sempre attraverso le pagine Web.
In questa seconda Top 20, come al solito, la situazione è piuttosto vivace e variegata.
Posizione Malware Variazione 1 Trojan-Downloader.JS.Gumblar.x Nuovo 459779 2 Trojan-Downloader.JS.Gumblar.w Nuovo 281057 3 Trojan-Downloader.HTML.IFrame.sz 0 192063 4 not-a-virus:AdWare.Win32.Boran.z -3 171278 5 Trojan.JS.Redirector.l -3 157494 6 Trojan-Clicker.HTML.Agent.aq -1 118361 7 Trojan-Downloader.JS.Zapchast.m Nuovo 112710 8 Trojan.JS.Agent.aat Rientro 107132 9 Trojan-Downloader.JS.Small.oj Nuovo 60425 10 Exploit.JS.Agent.apw Nuovo 50939 11 Exploit.JS.Pdfka.ti -7 46303 12 Trojan.JS.Popupper.f Nuovo 39204 13 Trojan-Downloader.JS.IstBar.bh -1 34944 14 Trojan.JS.Zapchast.an Nuovo 30546 15 Trojan-Downloader.JS.LuckySploit.q -6 29105 16 Trojan-Downloader.JS.Agent.env Nuovo 27405 17 Trojan-Dropper.Win32.Agent.ayqa Nuovo 26994 18 Trojan-Clicker.HTML.IFrame.mq Rientro 26057 19 Trojan-GameThief.Win32.Magania.bwsr Nuovo 26032 20 Exploit.JS.Agent.anr Nuovo 25517
I primi due posti in classifica li hanno conquistati due nuove versioni del downloader script Gumblar che, apparso alla fine del mese, ha già raggiunto posizioni di testa.
Nelle nuove versioni di Gumblar la tecnologia di infezione dei siti Web è diventata ancora più sofisticata. Nella prima versione le pagine di siti del tutto legali infettavano direttamente il cuore dello script, grazie al quale, all’insaputa del visitatore della pagina, veniva utilizzato uno script situato sul sito del cybercriminale.
Oggi nelle risorse Internet compromesse vengono inseriti link a script malware, a loro volta situati su altre risorse Internet perfettamente legali e già infettate, fatto che complica il processo di analisi e pulizia delle reti.
Lo stesso script inoltre prova a sfruttare alcune vulnerabilità di Adobe Acrobat/Reader (http://cve.mitre.org/cgi-bin/cvename.cgi?name=2007-5659, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2992, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927), Adobe Flash Player (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0071), Microsoft Office (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2496) per scaricare il malware principale: Trojan-PSW.Win32.Kates.j.
Alcune varianti dello script nascondono al proprio interno il trojan menzionato in precedenza, e al momento dell’esecuzione tentano di scaricare Kates.j sul computer dell’utente e di metterlo immediatamente in esecuzione automatica.
Lo scopo principale di questo tipo di infezione è il furto di dati sensibili dell’utente, nella fattispecie quelli utilizzati per l’accesso ai siti Web, che vengono in seguito infettati.
Va detto, nonostante l’attacco effettuato con l’aiuto di Gumblar sia stato progettato in modo molto attento, già nei primi giorni dell’attacco i nostri specialisti sono riusciti a individuare e a collegare in modo efficiente tutti i tasselli del puzzle criminale.
La tecnica della suddivisione dello script in diverse parti sta diventando sempre più popolare. In questo mese, dei 20 componenti della classifica dei malware, un quarto è strutturato secondo tale principio: Trojan-Downloader.JS.Zapchast.n, Trojan-Downloader.JS.Small.oj, Exploit.JS.Agent.apw, Trojan.JS.Zapchast.an eTrojan-Downloader.JS.Agent.env.
Inoltre, tra i venti malware più diffusi su Internet sono apparsi Trojan-Dropper.Win32.Agent.ayqa, di cui abbiamo parlato poco sopra, e un esempio di un altro tipo di programma, pensato per il furto delle password dei giochi on-line: Trojan-GameThief.Win32.Magania.bwsr.
Riassumendo, l’evento principale del mese per quanto riguarda Internet si può senza dubbio considerare l’infezione di massa di siti legali attraverso nuove versioni del downloader script Gumblar.
In aggiunta a ciò, si riscontra una notevole attività nell’uso di tecnologie di suddivisione degli script in diverse parti per complicarne l’analisi e l’individuazione.
I paesi in cui si riscontra una maggiore quantità di tentativi di infezione via Web sono:
Provenienza del malware per aree geografiche