I GData SecurityLabs rendono nota la lista dei dieci malware più attivi nel mese di dicembre 2011. La percentuale di diffusione nel mese conclusivo dell’anno appena trascorso è la più bassa ad essere stata registrata nella seconda metà dell’anno. Di contro, però, il numero di attacchi registrati è cresciuto quasi costantemente e lo scenario dei diversi rilevamenti si fa sempre più ampio.
La classifica si rinnova con l’ingresso di due nuovi malware: Trojan.IFrame.YX, legato alla diffusione degli adware e Gen: Variant.Kazy.45847 che attacca il gioco per computer Anno 2070. Rimane nella top 10, guadagnando adesso, il primo posto, l‘Exploit.CplLnk.Gen già utilizzato da Stuxnet e ancora attivo; mentre sale in seconda posizione rafforzando, quindi, la sua persistenza il Trojan.Wimad.Gen.1, file audio diffuso principalmente attraverso le reti di file sharing.
Dettaglio Top 10 dei malware - Dicembre 2011.
Questo exploit utilizza una verifica difettosa dei file .lnk e .pif nel trattamento dei collegamenti di Windows ed è nota come CVE-2010-2568 a partire dalla metà del 2011. Non appena una versione manipolata di questi file viene aperta in Windows per visualizzare l'icona inclusa all'interno di Windows Explorer, il codice dannoso viene eseguito all'istante. Questo codice può essere caricato da un file system locale (ad esempio da un dispositivo di archiviazione rimovibile che ospita anche il file .lnk manipolato) o tramite condivisione WebDAV su Internet.
Questo Trojan finge di essere un normale file audio .wma anche se uno di quelli che può essere riprodotto solo dopo aver installato un codec/decodificatore speciale sui sistemi Windows. Quando viene aperto con Windows Media Player, questo file apre un particolare URL in un browser web. L'utente malintenzionato può installare tutti i tipi di codice dannoso sul sistema. All'utente può essere richiesto di scaricare file codec supposto, che può costituire una minaccia alla sicurezza del sistema. I file audio infetti sono principalmente diffusi attraverso le reti di file sharing.
Questo programma malware basato su Java è un applet di download che tenta di utilizzare una vulnerabilità (CVE-2010-0840) per aggirare il meccanismo di protezione sandbox e scaricare malware addizionale sul computer. Una volta che l'applet ha ingannato il sandbox, si scarica un file .dll. Questo file non viene eseguito immediatamente ma registrato come un servizio con l'aiuto del Registro di Microsoft Server (regsvr32). Quindi, viene avviato automaticamente all'avvio del sistema. Il Centro Microsoft Malware Protection indica che questa infezione sfrutta una vulnerabilità nelle vecchie versioni di Java, quindi un aggiornamento di Java potrebbe evitare il ripetersi.
Win32: DNSChanger-VJ [Trj] fa parte di un rootkit che cerca di proteggere altri componenti malware, ad esempio bloccando l'accesso a siti di aggiornamento per gli aggiornamenti di sicurezza e gli aggiornamenti delle firme. Qualsiasi accesso ai siti host sarà risolto a "localhost", che lo renderà, in realtà, irraggiungibile. Questo è il motivo per cui viene chiamato DNSChanger, perché manipola risoluzioni DNS. La maggior parte del suo male-fare è quello di compromettere i programmi di sicurezza e rubare i dati riservati. Per sfuggire dall'antivirus, questo trojan è in grado di auto-replicarsi, disabilitare il software di protezione e aprire le porte per altri tipi di infezioni.
Questo programma software maligno è un worm che si diffonde utilizzando la funzione autorun .inf nei sistemi operativi Windows. Utilizza supporti rimovibili come le unità flash USB o i dischi rigidi esterni. Si tratta di un worm Internet e di rete che sfrutta la vulnerabilità CVE-2008-4250 di Windows. Un utente malintenzionato potrebbe sfruttare questo problema per eseguire codice arbitrario con i privilegi a livello di sistema. Il successo porterà alla compromessione completa di computer vulnerabili. Questo problema può essere soggetto a diffusi attacchi automatizzati. Gli aggressori richiedono l'accesso autenticato su piattaforme Windows Vista e Server 2008 per sfruttare questa vulnerabilità.
Si tratta di una rilevazione generica che rileva file autorun.inf dannosi, sia noti che sconosciuti. I file autorun.inf sono file di avvio che possono essere utilizzati come un meccanismo di distribuzione per i programmi informatici maligni su dispositivi USB, supporti rimovibili, CD e DVD. Quando si copia su un disco, questi worm creano anche un file chiamato autorun.inf nella radice del disco di destinazione. Il file autorun.inf contiene le istruzioni di esecuzione per il sistema operativo che vengono richiamati quando l'unità viene visualizzata, in modo da eseguire la copia del worm. Va notato che i file autorun.inf file da soli non sono necessariamente un segno di infezione, in quanto utilizzati dai programmi legittimi e CD di installazione.
Questa rilevazione è collegata alla potenziale diffusione degli adware ed è stata riscontrata principalmente su siti di hosting gratuito. Viene controllato se l'IP del visitatore ha già avuto accesso al sito negli ultimi 30 minuti e se il controllo ha esito negativo, il frame avvia la "consegna" di pubblicità che può essere potenzialmente infetta. Ci sono molti siti che tentano di eseguire un trojan iframe. Visitando ad esempio un sito, si tenta di scaricare ed eseguire gli script da un sito host. Il sito ospita lo script in una pagina separata dalla prima pagina, per aggirare il rilevamento del trojan da parte del software di sicurezza.
Si tratta di un generatore di chiavi molto popolare nelle reti P2P e siti warez in quanto consente (presumibilmente) l'uso di software altrimenti a pagamento. L'esecuzione di questa applicazione non è solo una questione legale, ma ha molti rischi connessi alla sicurezza. I siti warez si appoggiano a file-hosting per gli archivi e il caricamento di crack e, solitamente, insieme ai crack vengono anche installati worm e virus. Un rischio per l'utente che ricerca materiale di questo tipo è costituito dai cosiddetti siti warez civetta. Il download effettuato non contiene il programma scelto, bensì varietà di trojan, malware e worm. Lo scopo è alimentare le vaste botnet, usate per vari scopi illeciti.
Questo Trojan downloader si trova in applet Java manipolate sui siti web. Quando l'applet viene scaricata, viene generata una URL dai parametri dell'applet. Il downloader la utilizza per scaricare un file maligno eseguibile sul computer dell'utente e avviarne l'esecuzione. Questi file possono essere di qualsiasi tipo di software dannoso. Il downloader sfrutta la vulnerabilità CVE-2010-0840 al fine di bypassare la sandbox di Java e quindi scrivere i dati locali. Il TrojanDownloader:Java/OpenConnection.A può essere invocato da un sito web malevolo come un Java archivio .JAR. L'applet viene richiamata da una pagina HTML facendo riferimento al "Inicio.class" memorizzati nel file .jar.
Gen: Variant.Kazy.45847 appartiene al gruppo di programmi potenzialmente indesiderati (PUP). Si tratta di un file .dll di nome solidcore32.dll, che viene utilizzato per crepare il gioco per computer Anno 2070. Anno 2070 è una delle serie di maggior successo nel genere dei city building strategici, nell'arco temporale di un decennio è riuscita ad imporsi come punto di riferimento per tutti i giocatori appassionati di strategia gestionale. La modifica del file di gioco viene rilevato come dannosa. In protezione file Windows, il sistema operativo impedisce che vengano aggiornati o eliminati da un agente non autorizzato dll di sistema.
Metodologia
La Malware Information Initiative (MII) si basa sulla forza della community online community ed ogni utente delle soluzioni di sicurezza di G Data ne può far parte. L’unico prerequisito è quello di attivare questa funzione all’interno dei programmi G Data. Se un attacco malware viene respinto questo evento viene riportato in maniera completamente anonima ai G Data SecurityLabs dove i dati vengono archiviati ed analizzati statisticamente. Il consiglio è di tenere sempre aggiornato la soluzione di sicurezza installata sul sistema, non scaricare software di dubbia provenienza e tantomeno crack. Maggiori informazioni sull’azienda e sulle soluzioni per la sicurezza informatica di G Data sono disponibili sul sito internet www.gdatastore.it.
Nessun commento:
Posta un commento