Kaspersky Lab Italia, azienda leader produttrice di software antivirus, presenta la classifica relativa alla diffusione dei diversi tipi di malware nel mese di febbraio 2010.
Classifica dei malware – Febbraio 2010
Nella prima tabella sono riportati programmi malware, adware e programmi potenzialmente pericolosi che sono stati individuati e neutralizzati dalla scansione online.
Posizione Variazione Nome Numero di computer infettati 1 0 Net-Worm.Win32.Kido.ir 274729 2 1 Virus.Win32.Sality.aa 179218 3 1 Net-Worm.Win32.Kido.ih 163467 4 -2 Net-Worm.Win32.Kido.iq 121130 5 0 Worm.Win32.FlyStudio.cu 85345 6 3 Trojan-Downloader.Win32.VB.eql 56998 7 Nuovo Exploit.JS.Aurora.a 49090 8 9 Worm.Win32.AutoIt.tc 48418 9 1 Virus.Win32.Virut.ce 47842 10 4 Packed.Win32.Krap.l 47375 11 -3 Trojan-Downloader.WMA.GetCodec.s 43295 12 0 Virus.Win32.Induc.a 40257 13 Nuovo Non virus:AdWare.Win32.RK.aw 39608 14 -3 Non virus:AdWare.Win32.Boran.z 39404 15 1 Worm.Win32.Mabezat.b 38905 16 Nuovo Trojan.JS.Agent.bau 34842 17 3 Packed.Win32.Black.a 32439 18 1 Trojan-Dropper.Win32.Flystud.yo 32268 19 Rientro Worm.Win32.AutoRun.dui 32077 20 Nuovo Non virus:AdWare.Win32.FunWeb.q 30942
Le prime 5 posizioni non sono mutate rispetto al mese scorso, e a giudicare dal numero di infezioni, l’epidemia di Kido ha leggermente perso vigore.
Exploit.JS.Aurora.a, un exploit molto attivo che approfitta delle vulnerabilità di diversi software, è entrato direttamente in settima posizione. Forniremo ulteriori informazioni più avanti, nella seconda Top 20 (il malware in Internet).
Tra le new entry, una coppia di programmi adware FunWeb.q in ventesima posizione, è un perfetto esempio di adware: è una toolbar per i browser più diffusi, e consente agli utenti un accesso facilitato alle risorse di alcuni siti web (di solito quelli a contenuto multimediale). FunWeb.q modifica inoltre le pagine che l’utente visita in modo da mostrare i banner pubblicitari.
Le cose si fanno più complicate nel caso di un non-virus: AdWare.Win32.RK.aw, che occupa la tredicesima posizione. Si tratta dell’applicazione RelevantKnowledge che si diffonde e installa assieme ad altri software. Nelle norme di privacy stabilite dalla società produttrice l’utente viene informato che il programma traccerà virtualmente tutta la sua attività, soprattutto su Internet, raccogliendo automaticamente le informazioni personali del malcapitato, e salvandole sui propri server.
Prosegue dicendo che tutti questi dati raccolti verranno usati con il solo scopo di “aiutare a creare il futuro di Internet” e che tutti i dati saranno ben protetti. Sta poi all’utente decidere se credere o meno a quanto riportato.
Il malware in Internet
La seconda Top Twenty presenta i dati generati dal componente web dell’anti-virus, e offre una panoramica sulla situazione delle minacce online. Questa classifica include i programmi identificati su pagine web come dei malware scaricati sui computer da pagine web.
Posizione Variazione Nome Tentativi di download 1 Rientro Trojan-Downloader.JS.Gumblar.x 453985 2 -1 Trojan.JS.Redirector.l 346637 3 Nuovo Trojan-Downloader.JS.Pegel.b 198348 4 3 Non virus:AdWare.Win32.Boran.z 80185 5 -2 Trojan-Downloader.JS.Zapchast.m 80121 6 Nuovo Trojan-Clicker.JS.Iframe.ea 77067 7 Nuovo Trojan.JS.Popupper.ap 77015 8 3 Trojan.JS.Popupper.t 64506 9 Nuovo Exploit.JS.Aurora.a 54102 10 Nuovo Trojan.JS.Agent.aui 53415 11 Nuovo Trojan-Downloader.JS.Pegel.l 51019 12 Nuovo Trojan-Downloader.Java.Agent.an 47765 13 Nuovo Trojan-Clicker.JS.Agent.ma 45525 14 Nuovo Trojan-Downloader.Java.Agent.ab 42830 15 Nuovo Trojan-Downloader.JS.Pegel.f 41526 16 Rientro Packed.Win32.Krap.ai 38567 17 Nuovo Trojan-Downloader.Win32.Lipler.axkd 38466 18 Nuovo Exploit.JS.Agent.awd 35024 19 Nuovo Trojan-Downloader.JS.Pegel.k 34665 20 Nuovo Packed.Win32.Krap.an 33538
Prima di tutto, notiamo un aumento improvviso Gumblar.x, che ancora una volta ha riguadagnato posizioni dopo essere virtualmente sparito in gennaio. Il mese scorso avevamo previsto un altro attacco di Gumblar che si è puntualmente manifestato.
Ad ogni modo, questa volta i criminali informatici non hanno apportato grandi modifiche, ma semplicemente raccolto nuovi dati per accedere ai siti visitati dagli utenti e poi infettarli il più ampiamente possibile. Continueremo a tenere d’occhio gli ulteriori sviluppi di questo programma.
Diagram 1. Number of websites infected by Gumblar.x
L’epidemia di Pegel iniziata a gennaio è cresciuta di 6 volte: ci sono 4 rappresentanti di questa famiglia tra le new entry, uno dei quali è salito subito in terza posizione. Si tratta di un downloader non diverso da Gumblar, che infetta, tra gli altri, anche i siti fidati.
Un utente che visiti una pagina infetta, viene reindirizzato dallo script maligno verso una risorsa pericolosa. Per assicurarsi che l’utente non sospetti di nulla, vengono usati nomi di siti popolari nelle url di queste pagine, ad esempio:
http://friendster-com.youjizz.com.jeuxvideo-com.**********.ru:8080/sify.com/sify.com/pdfdatabase.com/google.com/allegro.pl.php
http://avast-com.deviantart.com.dangdang-com.**********.ru:8080/wsj.com/wsj.com/google.com/nokia.com/aweber.com.php
Tali link conducono a pagine contenenti un altro script, che fa uso di svariati metodi per scaricare il file eseguibile principale. I metodi usati sono piuttosto tradizionali: lo sfruttamento delle vulnerabilità di prodotti software quali Internet Explorer e Adobe Reader così come il download tramite una speciale applet Java (un’applicazione Java a codice byte).
Il file eseguibile principale è il noto Backdoor.Win32.Bredolab, impacchettato usando vari packer maligni (parecchi di questi sono identificati come Packed.Win32.Krap.ar e Packed.Win32.Krap.ao). Abbiamo già analizzato questo programma, ma vale la pena menzionare nuovamente che oltre a controllare i computer da remoto, esso può anche scaricare altri file maligni.
Torniamo quindi a Exploit.JS.Aurora.a, menzionato prima. Alla nona posizione della seconda classifica troviamo, Aurora.a, l’exploit per la vulnerabilità di CVE-2010-0249 identificato dopo un massiccio attacco diretto verso svariate versioni di Internet Explorer a gennaio.
L’attacco, che ha avuto ampia copertura negli ambienti IT, ha colpito grosse società (tra cui Google e Adobe) ed è stato nominato Aurora da parte del nome di percorso del file usato dagli autori per uno dei file eseguibili. Aurora ha cercato di accedere alle informazioni riservate degli utenti e ha minacciato la proprietà intellettuale delle società colpite tentando di impossessarsi di codici sorgenti.
L’attacco è stato condotto utilizzando e-mail contenenti link a siti di malware con exploit che portavano al download sui computer di file eseguibili senza che gli utenti se ne accorgessero.
Diagram 2. A fragment of code from one version of Exploit.JS.Aurora.a
È da notare che i programmatori Microsoft erano consapevoli di questa falla da parecchi mesi, ma nonostante ciò è stata riparata solo dopo un mese dall’inizio del suo sfruttamento. Nel frattempo il codice sorgente dell’exploit è diventato di pubblico dominio e solo i cyber-criminali più pigri non sono riusciti ad impiegarlo nei propri attacchi: nella nostra raccolta contiamo già oltre 100 variazioni di exploit che sfruttano questa vulnerabilità.
I fatti parlano da sè. Le maggiori minacce per gli utenti rimangono le vulnerabilità presenti in alcuni dei software più diffusi. Il semplice fatto che i criminali informatici facciano largo impiego di vulnerabilità identificate parecchi mesi addietro, significa che esse rappresentano ancora un problema.
Purtroppo, installare tutti gli aggiornamenti dei maggiori pacchetti di software non è sufficiente a garantire la sicurezza dei computer, poiché spesso i vendor non rilasciano le patch in tempo. Pertanto, gli utenti devono continuare a stare in guardia, soprattutto se usano frequentemente Internet, senza mai dimenticarsi di aggiornare la propria soluzione antivirus!