La Top20 dei malware di Ottobre

Kaspersky Lab sottopone all’attenzione degli utenti la classifica relativa alla diffusione dei diversi tipi di malware in Ottobre. A partire da questo mese, la nostra classifica viene compilata con i dati relativi a tutti i prodotti che dispongono del supporto di KSN: alla versione 2009 abbiamo aggiunto la 2010. Per questo motivo le due Top 20 ottenute dal lavoro di Kaspersky Security Network, sono leggermente cambiate rispetto al solito. Inoltre, in entrambe le Top 20 abbiamo riscontrato una crescita considerevole degli indici, dovuta al fatto che il numero di utenti “guariti” grazie al KSN è aumentato notevolmente.

Nella prima tabella troviamo quei programmi dannosi e potenzialmente indesiderati che sono stati individuati sui computer degli utenti e neutralizzati al primo contatto.

Posizione – Malware –  Variazione – N.  computer infettati
1 Net-Worm.Win32.Kido.ir 3 344745
2 Net-Worm.Win32.Kido.ih -1 126645
3 not-a-virus:AdWare.Win32.Boran.z 0 114776
4 Virus.Win32.Sality.aa -2 87839
5 Worm.Win32.FlyStudio.cu 6 70163
6 Trojan-Downloader.Win32.VB.eql -1 52012
7 Virus.Win32.Induc.a 0 49251
8 Packed.Win32.Black.d Nuovo 39666
9 Worm.Win32.AutoRun.awkp Nuovo 35039
10 Virus.Win32.Virut.ce -3 33354
11 Packed.Win32.Black.a Rientro 31530
12 Worm.Win32.AutoRun.dui -1 25370
13 Trojan-Dropper.Win32.Flystud.yo 4 24038
14 Trojan-Dropper.Win32.Agent.bcyx Nuovo 22471
15 Packed.Win32.Klone.bj Rientro 21919
16 Trojan.Win32.Swizzor.b Rientro 19496
17 Trojan-Downloader.WMA.GetCodec.s Nuovo 18571
18 Worm.Win32.Mabezat.b -4 19708
19 Trojan-GameThief.Win32.Magania.cbrt Nuovo 17610
20 Trojan-Dropper.Win32.Agent.ayqa Nuovo 16909

Net-Worm.Win32.Kido.ir, apparso per la prima volta a settembre, ha raggiunto la vetta della Top 20, spodestando il campione di lungo corso Kido.ih, ulteriore conferma del fatto che le memorie di massa e i dispositivi mobili sono tra le principali fonti d’infezione.
Una parola sui dispositivi mobili: al rappresentante consolidato della categoria, il worm Autorun.dui, si è unito il worm analogo Autorun.awkp, balzato immediatamente al 9° posto. Sotto questo nome si nascondono altri file, che scaricano automaticamente i malware sui dispositivi mobili.
Questo mese abbiamo poi assistito al ritorno di vecchi protagonisti della prima Top 20: Packed.Win32.Black.a, Packed.Win32.Klone.bj e Trojan.Win32.Swizzor.b. Inoltre, a Black.a si è unita la nuova versione: Black.d. Ricordiamo che alla famiglia Packed.Win32.Black appartengono programmi che vengono attivati grazie all’utilizzo di versioni non autorizzate di utility (legali) per la protezione dei file eseguibili. Nella fattispecie si tratta di ASProtect, molto popolare tra i cybercriminali.

Il downloader multimediale GetCodec.s è il fratello di GetCodec.r, del quale abbiamo già parlato a dicembre scorso: si diffonde utilizzando il medesimo worm P2P-Worm.Win32.Nugg.

Torna ad essere attiva la famiglia Magania, un tempo molto nota: a luglio Trojan-GameThief.Win32.Magania.biht è entrato nella Top 20 dei malware più diffusi su Internet. Ad ottobre una nuova versione del malware, Magania.cbrt, insieme al Trojan-Dropper.Win32.Agent.ayqa, anch’esso legato a questa famiglia, sono entrati nella lista dei 20 malware più frequentemente individuati sui computer degli utenti.
Complessivamente, in questo mese, abbiamo riscontrato innanzitutto un’attiva diffusione dei malware attraverso i dispositivi mobili digitali, e anche l’attività di Trojan per giochi on-line, fenomeno per ora non preoccupante ma comunque degno di attenzione.

La seconda tabella descrive la situazione su Internet. In questa classifica si trovano infatti malware che sono stati individuati nelle pagine Web nonché tutti quelli i cui tentativi di caricamento avvengono sempre attraverso le pagine Web.
In questa seconda Top 20, come al solito, la situazione è piuttosto vivace e variegata.

Posizione Malware Variazione
1 Trojan-Downloader.JS.Gumblar.x Nuovo 459779
2 Trojan-Downloader.JS.Gumblar.w Nuovo 281057
3 Trojan-Downloader.HTML.IFrame.sz 0 192063
4 not-a-virus:AdWare.Win32.Boran.z -3 171278
5 Trojan.JS.Redirector.l -3 157494
6 Trojan-Clicker.HTML.Agent.aq -1 118361
7 Trojan-Downloader.JS.Zapchast.m Nuovo 112710
8 Trojan.JS.Agent.aat Rientro 107132
9 Trojan-Downloader.JS.Small.oj Nuovo 60425
10 Exploit.JS.Agent.apw Nuovo 50939
11 Exploit.JS.Pdfka.ti -7 46303
12 Trojan.JS.Popupper.f Nuovo 39204
13 Trojan-Downloader.JS.IstBar.bh -1 34944
14 Trojan.JS.Zapchast.an Nuovo 30546
15 Trojan-Downloader.JS.LuckySploit.q -6 29105
16 Trojan-Downloader.JS.Agent.env Nuovo 27405
17 Trojan-Dropper.Win32.Agent.ayqa Nuovo 26994
18 Trojan-Clicker.HTML.IFrame.mq Rientro 26057
19 Trojan-GameThief.Win32.Magania.bwsr Nuovo 26032
20 Exploit.JS.Agent.anr Nuovo 25517

I primi due posti in classifica li hanno conquistati due nuove versioni del downloader script Gumblar che, apparso alla fine del mese, ha già raggiunto posizioni di testa.

Nelle nuove versioni di Gumblar la tecnologia di infezione dei siti Web è diventata ancora più sofisticata. Nella prima versione le pagine di siti del tutto legali infettavano direttamente il cuore dello script, grazie al quale, all’insaputa del visitatore della pagina, veniva utilizzato uno script situato sul sito del cybercriminale. Oggi nelle risorse Internet compromesse vengono inseriti link a script malware, a loro volta situati su altre risorse Internet perfettamente legali e già infettate, fatto che complica il processo di analisi e pulizia delle reti.

Alcune varianti dello script nascondono al proprio interno il trojan menzionato in precedenza, e al momento dell’esecuzione tentano di scaricare Kates.j sul computer dell’utente e di metterlo immediatamente in esecuzione automatica. Lo scopo principale di questo tipo di infezione è il furto di dati sensibili dell’utente, nella fattispecie quelli utilizzati per l’accesso ai siti Web, che vengono in seguito infettati.

Va detto, nonostante l’attacco effettuato con l’aiuto di Gumblar sia stato progettato in modo molto attento, già nei primi giorni dell’attacco i nostri specialisti sono riusciti a individuare e a collegare in modo efficiente tutti i tasselli del puzzle criminale. La tecnica della suddivisione dello script in diverse parti sta diventando sempre più popolare. In questo mese, dei 20 componenti della classifica dei malware, un quarto è strutturato secondo tale principio: Trojan-Downloader.JS.Zapchast.n, Trojan-Downloader.JS.Small.oj, Exploit.JS.Agent.apw, Trojan.JS.Zapchast.an eTrojan-Downloader.JS.Agent.env.

Inoltre, tra i venti malware più diffusi su Internet sono apparsi Trojan-Dropper.Win32.Agent.ayqa, di cui abbiamo parlato poco sopra, e un esempio di un altro tipo di programma, pensato per il furto delle password dei giochi on-line: Trojan-GameThief.Win32.Magania.bwsr.
Riassumendo, l’evento principale del mese per quanto riguarda Internet si può senza dubbio considerare l’infezione di massa di siti legali attraverso nuove versioni del downloader script Gumblar. In aggiunta a ciò, si riscontra una notevole attività nell’uso di tecnologie di suddivisione degli script in diverse parti per complicarne l’analisi e l’individuazione.

Annunci

Rispondi

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: