Le vecchie falle di sicurezza sono sempre più popolari tra i criminali online. Un problema causato dagli utenti Pc che non aggiornano con regolarità il software installato. Quando si tratta di infettare un Pc i criminali online traggono un grande vantaggio dalla mancanza di aggiornamenti del browser e dei suoi componenti. A questo riguardo le ricerche condotte dai G Data Security Labs evidenziano che le falle di sicurezza non ancora chiuse presenti nei plug-in dei browser sono ancora molto di moda presso i cyber criminali.
Questo modello di distribuzione significa che le attuali falle di sicurezza sono ben lontane dall’essere le uniche sfruttate dai criminali online, come evidenziato dall’analisi del malware più diffuso nel mese di maggio 2011. Soltanto nel mese precedente quattro dei programmi malware inseriti nella Top Ten prendeva di mira falle di sicurezza Java per le quali Oracle stava già offrendo aggiornamenti da Marzo 2010. G Data ha notato un altro incremento nel malware che installa adware o cerca di ingannare gli utenti per indurli ad installare falsi programmi antivirus.
Secondo le stime degli esperti di G Data l’industria del malware si sta focalizzando sulle falle di sicurezza di Java fin dallo scorso anno. Questo tipo di malware sta già dominando il panorama e ha recentemente soppiantato le falle di sicurezza dei file PDF nella Top Ten. “Anche se un enorme numero di aggiornamenti è stato reso disponibile, gli utenti non dovrebbero commettere l’errore di disattivare la funzione di aggiornamento automatico. Questa non si applica solo a Java, ma in generale a tutti i plug-in dei browser e alle altre applicazioni presenti sul Pc”, raccomanda Ralf Benzmüller, Head of G Data SecurityLabs. Gli utenti possono andare sul sito www.java.com e fare un rapido controllo per verificare se hanno installato la versione più aggiornata di Java e tutti i relativi update.
Potentially Unwanted Programs (PUP)
Gli esperti dei G Data SecurityLabs hanno evidenziato un altro aumento, questa volta nel malware che installa su Pc software non voluto, i cosiddetti PUP (Programmi Potenzialmente Indesiderati). Negli ultimi mesi due tipologie di malware appartenenti a questa categoria hanno fatto il loro ingresso nella Top Ten: Variant.Adware.Hotbar.1 and Trojan.FakeAlert.CJM.
I programmi funzionano in maniera differente l’uno dall’altro, spaziando dal mostrare pubblicità non richiesta all’installare spyware per proporre falsi programmi antivirus (scareware). Per esempio, il Trojan.FakeAlert.CJM fa credere agli utenti che il loro computer sia infetto e che lo possano ripulire solo acquistando il programma antivirus che viene pubblicizzato. Le vittime che cadono in questa trappola finiscono con l’acquistare un software non solo inutile, ma addirittura dannoso perché, anziché offrire protezione, scarica ed installa ulteriore malware con il fine di rubare i dati dell’utente.
Trojan.FakeAlert.CJM imita Windows Explorer nella finestra del browser |
G Data Top Ten Malware Maggio 2011
Java.Trojan.Downloader.OpenConnection.AO
Questo Trojan downloader si trova in applet Java manipolate presenti su alcuni siti Internet. Quando l’applet viene scaricata, viene generato un URL. Il downloader lo utilizza per scaricare un file eseguibile maligno sul Pc dell’utente e lo lancia. Questo downloader sfrutta la vulnerabilità CVE-2010-0840 per eludere il Java sandbox e così scrivere dati localmente.
Trojan.Wimad.Gen.1
Questo Trojan si presenta come un normale file audio .wma che può essere ascoltato solo dopo aver installato uno speciale codec/decoder in windows. Se questo file viene aperto, viene installato nel malware. Questo file audio infetto è solitamente distribuito attraverso i network P2P.
Gen:Variant.Adware.Hotbar.1
Questo adware viene di solito installato segretamente come parte di pacchetti software gratuiti per programmi quali VLC, XviD, etc., scaricabili da fonti diverse. I supposti sponsor di questi software si chiamano 'Clickpotato' e 'Hotbar'. Tutti questi pacchetti sono firmati digitalmente come "Pinball Cor-poration" e l’adware viene lanciato automaticamente ogni volta che Windows si avvia, integrando se stesso come un’icona systray.
Worm.Autorun.VHG
Questo programma malware è un worm che utilizza la funzione autorun.inf nei sistemi operativi Windows per distribuire se stesso. Utilizza sistemi di archiviazione removibili come le stick USB o gli Hard disk portatili. È un internet e network worm che sfrutta la vulnerabilità CVE-2008-4250.
Java.Trojan.Downloader.OpenConnection.AI
Questo Trojan downloader si trova in applet Java manipolate presenti su alcuni siti Internet. Quando l’applet viene scaricata, viene generato un URL. Il downloader lo utilizza per scaricare un file eseguibile maligno sul Pc dell’utente e lo lancia. Questo downloader sfrutta la vulnerabilità CVE-2010-0840 per eludere il Java sandbox e così scrivere dati localmente.
Trojan.AutorunINF.Gen
Questo è un software generico di riconoscimento che identifica file maligni autorun.inf, conosciuti o sconosciuti. I file autorun.inf sono file di auto start che vengono sfruttati per distribuire malware at-traverso stick USB, periferiche rimovibili di archiviazione, CD e DVD.
Java.Trojan.Downloader.OpenConnection.AN
Questo Trojan downloader si trova in applet Java manipolate presenti su alcuni siti Internet. Quando l’applet viene scaricata, viene generato un URL. Il downloader lo utilizza per scaricare un file eseguibile maligno sul Pc dell’utente e lo lancia. Questo downloader sfrutta la vulnerabilità CVE-2010-0840 per eludere il Java sandbox e così scrivere dati sul sistema.
Java:Agent-DU [Expl]
Questo malware basato su Java è un’applet scaricabile che cerca di sfruttare la falla di sicurezza hole (CVE-2010-0840) per eludere il meccanismo di protezione sandbox e scaricare malware addizionale sul Pc. Una volta che l’applet ha ingannato la sandbox, può scaricare direttamente e avviare file ti tipo .exe. Questo è qualcosa che, di norma, una semplice applet non può fare perché la sandbox Java lo impedisce.
Trojan.FakeAlert.CJM
Questo programma malware invita gli utenti a scaricare un falso programma antivirus. Nel fare questosi presenta sottoforma di unl sito che imita Windows Explorer e finge di rilevare numerosi file infetti sul Pc. Non appena l’utente clicca su questo sito viene offerto un file da scaricare che contiene il falso programma antivirus
HTML:Downloader-AU [Expl]
Questo malware basato su Java è un’applet che scarica una pagina HTML che a sua volta utilizza una falla di sicurezza (descritta in CVE-2010-4452) per scaricare un componete Java da un determinato URL sulla vulnerabile Java VM. In questo modo viene bypassato il meccanismo di protezione della VM.
Methodology
La Malware Information Initiative (MII) si basa sulla forza della community online e tutti i clienti che acquistano le soluzioni di sicurezza di G Data ne possono fare parte. Il prerequisito è quello di attivare tale funzione nel proprio software G Data. Se viene lanciato un attacco malware, un report completamente anonimo di questo evento viene redatto dai G Data SecurityLabs che lo elabora da un punto di vista statistico.
La G Data Software AG, con sede a Bochum, è un’azienda innovativa e in rapida espansione, specializzata nello sviluppo, produzione e commercializzazione di prodotti dedicati alla sicurezza informatica. Da sempre leader in qualità, l’azienda combina oggi la più alta tecnologia con una ricerca costante sull’innovazione. Maggiori informazioni http://www.gdata.it/security-labs.html Foto Crediti: http://www.gdata.it/
Nessun commento:
Posta un commento