Kaspersky Lab annuncia la pubblicazione del report mensile sui malware per luglio 2010. Il rapporto comprende due classifiche: la prima include i primi venti programmi più comunemente rilevati e bloccati sui computer degli utenti, mentre la seconda quelli che si incontrano più frequentemente su Internet. Il programma malware Worm.Win32.Autoit.xl (12^ posizione) è in sostanza costituito da uno script maligno elaborato in linguaggio AutoIt, preposto all'esecuzione di numerosi task dannosi per i computer degli utenti: disattivazione del firewall di Windows, applicazione di regole inibitorie, download ed installazione di ulteriori programmi maligni.
E' interessante osservare come quasi un quarto dei casi di rilevamento e neutralizzazione di tale malware si sia prodotto in Brasile.
Malware individuati nei computer degli utenti
Posizione
|
Variazione
|
Nome
|
Numero di computer infettati
|
1
|
0
|
Net-Worm.Win32.Kido.ir
|
261718
|
2
|
0
|
Virus.Win32.Sality.aa
|
174504
|
3
|
0
|
Net-Worm.Win32.Kido.ih
|
158735
|
4
|
0
|
Net-Worm.Win32.Kido.iq
|
119114
|
5
|
0
|
Exploit.JS.Agent.bab
|
108936
|
6
|
0
|
Trojan.JS.Agent.bhr
|
104420
|
7
|
0
|
Worm.Win32.FlyStudio.cu
|
80196
|
8
|
0
|
Virus.Win32.Virut.ce
|
59988
|
9
|
-1
|
Trojan-Downloader.Win32.VB.eql
|
47798
|
10
|
-1
|
Worm.Win32.Mabezat.b
|
40859
|
11
|
1
|
Trojan-Dropper.Win32.Flystud.yo
|
31707
|
12
|
new
|
Worm.Win32.Autoit.xl
|
31215
|
13
|
new
|
P2P-Worm.Win32.Palevo.aomy
|
30775
|
14
|
-3
|
P2P-Worm.Win32.Palevo.fuc
|
26027
|
15
|
new
|
Exploit.JS.CVE-2010-0806.aa
|
25928
|
16
|
new
|
P2P-Worm.Win32.Palevo.aoom
|
25300
|
17
|
new
|
Hoax.Win32.ArchSMS.ih
|
24578
|
18
|
2
|
Trojan.Win32.AutoRun.ke
|
24185
|
19
|
new
|
Packed.Win32.Katusha.n
|
23030
|
20
|
-5
|
Trojan-Downloader.Win32.Geral.cnh
|
22947
|
Circa la metà dei rilevamenti, invece, ha avuto luogo in Russia ed in Ucraina. Annotiamo poi la comparsa in classifica di due nuovi rappresentanti di P2P-Worm Palevo, famiglia di malware di cui Kaspersky aveva già ampiamente riferito in occasione di precedenti report stilati: P2P-Worm.Win32.Palevo.aomy (13^ posizione) e P2P-Worm.Win32.Palevo.aoom (16^ posizione). Ha fatto ugualmente il suo ingresso in classifica la nuova variante «aa» di Exploit.JS.CVE-2010-0806 (15^ posizione), exploit in grado di sfruttare la vulnerabilità CVE-2010-0806, individuata nel mese di marzo dell'anno in corso. I malintenzionati fanno attualmente sempre più ricorso all'applicazione di processi di offuscamento degli script, così come a metodiche di antiemulazione; ciò genera, ovviamente, la progressiva comparsa di nuove varianti del suddetto exploit. Ricordiamo, con l'occasione, come la vulnerabilità CVE-2010-0806 sia altresì utilizzata da due ulteriori programmi maligni presenti in graduatoria:
Exploit.JS.Agent.bab (5^ posizione) e Trojan.JS.Agent.bhr (in 6^ posizione). Evidenziamo come questo «trio» compaia ugualmente nella seconda classifica oggetto del presente report, ovverosia il rating relativo ai programmi malware individuati nelle pagine Web. Un'ulteriore «new entry» è poi costituita da Hoax.Win32.ArchSMS.ih, malware che è andato a collocarsi al 17° posto di questa speciale graduatoria da noi stilata. Questo singolare programma maligno si è reso protagonista dell'introduzione di un metodo del tutto nuovo al fine di ingannare gli utenti della Rete. In genere il programma viene distribuito camuffato sotto forma di software gratuito e apparentemente legittimo. La seconda tabella descrive la situazione su Internet. In questa classifica si trovano infatti malware che sono stati individuati nelle pagine Web, nonché tutti quelli i cui tentativi di caricamento sui computer degli utenti avvengono sempre attraverso le pagine Web.
La seconda posizione della nostra speciale classifica risulta saldamente occupata dal tristemente noto Trojan Downloader Pegel, la cui attività, nel corso di questi ultimi tre mesi, si è costantemente mantenuta su livelli elevati. In luglio ha fatto il suo ingresso nei piani alti della classifica una nuova variante di tale script downloader, ovverosia “bp”. La metà dei programmi malware presenti in questa seconda graduatoria da noi stilata è costituita da exploit; ben 8 di essi sfruttano vulnerabilità già note. Così come nel mese precedente, è andato ad insediarsi al primo posto della classifica Exploit.JS.Agent.bab, il quale utilizza la vulnerabilità CVE-2010-0806. Questa stessa vulnerabilità viene ugualmente sfruttata da una «new entry» del rating, Exploit.JS.CVE-2010-0806.aa (17^ posizione), e da Trojan.JS.Agent.bhr (collocatosi al 6° posto). Contrariamente a quanto era lecito attendersi, rileviamo quindi come il livello di «popolarità» raggiunto dalla vulnerabilità CVE-2010-0806 risulti in fase di crescita.
Malware diffusi via internet
Posizione
|
Variazione
|
Nome
|
Tentativi di download
|
1
|
1
|
Exploit.JS.Agent.bab
|
169086
|
2
|
new
|
Trojan-Downloader.JS.Pegel.bp
|
123446
|
3
|
1
|
Exploit.Java.CVE-2010-0886.a
|
65794
|
4
|
3
|
AdWare.Win32.FunWeb.q
|
58848
|
5
|
new
|
Trojan-Downloader.VBS.Agent.zs
|
58591
|
6
|
-1
|
Trojan.JS.Agent.bhr
|
57978
|
7
|
return
|
Exploit.Java.Agent.f
|
53677
|
8
|
new
|
Trojan-Downloader.Java.Agent.fl
|
53468
|
9
|
2
|
AdWare.Win32.FunWeb.ds
|
45362
|
10
|
new
|
Trojan.JS.Agent.bhl
|
45139
|
11
|
3
|
AdWare.Win32.Shopper.l
|
37790
|
12
|
new
|
Exploit.HTML.CVE-2010-1885.a
|
36485
|
13
|
new
|
AdWare.Win32.Boran.z
|
28852
|
14
|
new
|
Exploit.Win32.IMG-TIF.b
|
28238
|
15
|
new
|
Exploit.JS.Pdfka.bys
|
28084
|
16
|
new
|
Trojan.JS.Agent.bmh
|
27706
|
17
|
new
|
Exploit.JS.CVE-2010-0806.aa
|
26896
|
18
|
new
|
Exploit.JS.Pdfka.cny
|
26231
|
19
|
new
|
AdWare.Win32.FunWeb.ci
|
26014
|
20
|
new
|
Trojan.JS.Redirector.cq
|
26001
|
Non cedono le loro posizioni in classifica nemmeno i malware che «rappresentano» la piattaforma Java. Non solo: ai due programmi nocivi già presenti in alcuni nostri precedenti report, ovverosia Exploit.Java.CVE-2010-0886.a (3^ posizione) e Exploit.Java.Agent.f (7^ posizione) si è aggiunto un ulteriore malware, Trojan-Downloader.Java.Agent.jl (insediatosi all' 8° posto). Gli ultimi due programmi malware sopra citati sfruttano la vulnerabilità CVE-2010-3867 e vengono caricati sul computer-vittima tramite lo script collocatosi al 16œ posto della graduatoria, Trojan.JS.Agent.bmh. Una delle “new entry” della classifica, Exploit.HTML.CVE-2010-1885.a (3^ posizione) è in pratica costituita da uno script che si avvale della vulnerabilità CVE-2010-1885. Nel suo blog Kaspersky aveva già evidenziato la comparsa di tale vulnerabilità. Tuttavia, essa non risultava ancora così “popolare”, come invece lo è stata nel mese passato. Il file che contiene il codice nocivo è costituito da una pagina html, all'interno della quale viene posto un iframe contenente un indirizzo appositamente predisposto dai malintenzionati.
I dati relativi al mese analizzato riflettono ancora una volta la marcata tendenza, da parte dei malintenzionati della Rete, a cercare di diffondere i malware sfruttando le vulnerabilità presenti nel sistema e nelle applicazioni utilizzate dall'utente. I programmi che si avvalgono di tali vulnerabilità risultano presenti anche nel rating riguardante i malware individuati nei computer degli utenti. Lo script downloader Pegel, così come le vulnerabilità da esso sfruttate (CVE-2010-0806, CVE-2010-3867, etc.), risultano tuttora molto diffusi, nonostante gli sforzi compiuti dalle società produttrici di antivirus, nonché da Adobe e Microsoft per effettuare con prontezza il rilascio delle patch necessarie. Nel mese di luglio è stata rilevata una quantità piuttosto consistente di programmi malware volti a sfruttare le vulnerabilità CVE-2010-0188 e CVE-2010-1885, descritte recentemente da Kaspersky. Il fatto che il Top 20 dei programmi malevoli rilevati su Internet includa dodici new entry suggerisce che, indipendentemente dal periodo dell’anno, i cybercriminali sono inflessibili nei loro sforzi distruttivi così come l’industria degli antivirus nel combatterli. Source: Kaspersky News
Nessun commento:
Posta un commento