giovedì 5 agosto 2010

Kaspersky Lab presenta il report malware di luglio 2010



Kaspersky Lab annuncia la pubblicazione del report mensile sui malware per luglio 2010. Il rapporto comprende due classifiche: la prima include i primi venti programmi più comunemente rilevati e bloccati sui computer degli utenti, mentre la seconda quelli che si incontrano più frequentemente su Internet. Il programma malware Worm.Win32.Autoit.xl (12^ posizione) è in sostanza costituito da uno script maligno elaborato in linguaggio AutoIt, preposto all'esecuzione di numerosi task dannosi per i computer degli utenti: disattivazione del firewall di Windows, applicazione di regole inibitorie, download ed installazione di ulteriori programmi maligni.

E' interessante osservare come quasi un quarto dei casi di rilevamento e neutralizzazione di tale malware si sia prodotto in Brasile.

Malware individuati nei computer degli utenti


Posizione
Variazione
Nome
Numero di computer infettati
1  
0
Net-Worm.Win32.Kido.ir  
261718  
2  
0
Virus.Win32.Sality.aa  
174504  
3  
0
Net-Worm.Win32.Kido.ih  
158735  
4  
0
Net-Worm.Win32.Kido.iq  
119114  
5  
0
Exploit.JS.Agent.bab  
108936  
6  
0
Trojan.JS.Agent.bhr  
104420  
7  
0
Worm.Win32.FlyStudio.cu  
80196  
8  
0
Virus.Win32.Virut.ce  
59988  
9  
-1
Trojan-Downloader.Win32.VB.eql  
47798  
10  
-1
Worm.Win32.Mabezat.b  
40859  
11  
1
Trojan-Dropper.Win32.Flystud.yo  
31707  
12  
new
Worm.Win32.Autoit.xl  
31215  
13  
new
P2P-Worm.Win32.Palevo.aomy  
30775  
14  
-3
P2P-Worm.Win32.Palevo.fuc  
26027  
15  
new
Exploit.JS.CVE-2010-0806.aa  
25928  
16  
new
P2P-Worm.Win32.Palevo.aoom  
25300  
17  
new
Hoax.Win32.ArchSMS.ih  
24578  
18  
2
Trojan.Win32.AutoRun.ke  
24185  
19  
new
Packed.Win32.Katusha.n  
23030  
20  
-5
Trojan-Downloader.Win32.Geral.cnh  
22947  

Circa la metà dei rilevamenti, invece, ha avuto luogo in Russia ed in Ucraina. Annotiamo poi la comparsa in classifica di due nuovi rappresentanti di P2P-Worm Palevo, famiglia di malware di cui Kaspersky aveva già ampiamente riferito in occasione di precedenti report stilati: P2P-Worm.Win32.Palevo.aomy (13^ posizione) e P2P-Worm.Win32.Palevo.aoom (16^ posizione). Ha fatto ugualmente il suo ingresso in classifica la nuova variante «aa» di Exploit.JS.CVE-2010-0806 (15^ posizione), exploit in grado di sfruttare la vulnerabilità CVE-2010-0806, individuata nel mese di marzo dell'anno in corso. I malintenzionati fanno attualmente sempre più ricorso all'applicazione di processi di offuscamento degli script, così come a metodiche di antiemulazione; ciò genera, ovviamente, la progressiva comparsa di nuove varianti del suddetto exploit. Ricordiamo, con l'occasione, come la vulnerabilità CVE-2010-0806 sia altresì utilizzata da due ulteriori programmi maligni presenti in graduatoria:

Exploit.JS.Agent.bab (5^ posizione) e Trojan.JS.Agent.bhr (in 6^ posizione). Evidenziamo come questo «trio» compaia ugualmente nella seconda classifica oggetto del presente report, ovverosia il rating relativo ai programmi malware individuati nelle pagine Web. Un'ulteriore «new entry» è poi costituita da Hoax.Win32.ArchSMS.ih, malware che è andato a collocarsi al 17° posto di questa speciale graduatoria da noi stilata. Questo singolare programma maligno si è reso protagonista dell'introduzione di un metodo del tutto nuovo al fine di ingannare gli utenti della Rete. In genere il programma viene distribuito camuffato sotto forma di software gratuito e apparentemente legittimo. La seconda tabella descrive la situazione su Internet. In questa classifica si trovano infatti malware che sono stati individuati nelle pagine Web, nonché tutti quelli i cui tentativi di caricamento sui computer degli utenti avvengono sempre attraverso le pagine Web.

La seconda posizione della nostra speciale classifica risulta saldamente occupata dal tristemente noto Trojan Downloader Pegel, la cui attività, nel corso di questi ultimi tre mesi, si è costantemente mantenuta su livelli elevati. In luglio ha fatto il suo ingresso nei piani alti della classifica una nuova variante di tale script downloader, ovverosia “bp”. La metà dei programmi malware presenti in questa seconda graduatoria da noi stilata è costituita da exploit; ben 8 di essi sfruttano vulnerabilità già note. Così come nel mese precedente, è andato ad insediarsi al primo posto della classifica Exploit.JS.Agent.bab, il quale utilizza la vulnerabilità CVE-2010-0806. Questa stessa vulnerabilità viene ugualmente sfruttata da una «new entry» del rating, Exploit.JS.CVE-2010-0806.aa (17^ posizione), e da Trojan.JS.Agent.bhr (collocatosi al 6° posto). Contrariamente a quanto era lecito attendersi, rileviamo quindi come il livello di «popolarità» raggiunto dalla vulnerabilità CVE-2010-0806 risulti in fase di crescita.


Malware diffusi via internet


Posizione
Variazione
Nome
Tentativi di download
1  
1
Exploit.JS.Agent.bab  
169086  
2  
new
Trojan-Downloader.JS.Pegel.bp  
123446  
3  
1
Exploit.Java.CVE-2010-0886.a  
65794  
4  
3
AdWare.Win32.FunWeb.q  
58848  
5  
new
Trojan-Downloader.VBS.Agent.zs  
58591  
6  
-1
Trojan.JS.Agent.bhr  
57978  
7  
return
Exploit.Java.Agent.f  
53677  
8  
new
Trojan-Downloader.Java.Agent.fl  
53468  
9  
2
AdWare.Win32.FunWeb.ds  
45362  
10  
new
Trojan.JS.Agent.bhl  
45139  
11  
3
AdWare.Win32.Shopper.l  
37790  
12  
new
Exploit.HTML.CVE-2010-1885.a  
36485  
13  
new
AdWare.Win32.Boran.z  
28852  
14  
new
Exploit.Win32.IMG-TIF.b  
28238  
15  
new
Exploit.JS.Pdfka.bys  
28084  
16  
new
Trojan.JS.Agent.bmh  
27706  
17  
new
Exploit.JS.CVE-2010-0806.aa  
26896  
18  
new
Exploit.JS.Pdfka.cny  
26231  
19  
new
AdWare.Win32.FunWeb.ci  
26014  
20  
new
Trojan.JS.Redirector.cq  
26001  


Non cedono le loro posizioni in classifica nemmeno i malware che «rappresentano» la piattaforma Java. Non solo: ai due programmi nocivi già presenti in alcuni nostri precedenti report, ovverosia Exploit.Java.CVE-2010-0886.a (3^ posizione) e Exploit.Java.Agent.f (7^ posizione) si è aggiunto un ulteriore malware, Trojan-Downloader.Java.Agent.jl (insediatosi all' 8° posto). Gli ultimi due programmi malware sopra citati sfruttano la vulnerabilità CVE-2010-3867 e vengono caricati sul computer-vittima tramite lo script collocatosi al 16œ posto della graduatoria, Trojan.JS.Agent.bmh. Una delle “new entry” della classifica, Exploit.HTML.CVE-2010-1885.a (3^ posizione) è in pratica costituita da uno script che si avvale della vulnerabilità CVE-2010-1885. Nel suo blog Kaspersky aveva già evidenziato la comparsa di tale vulnerabilità. Tuttavia, essa non risultava ancora così “popolare”, come invece lo è stata nel mese passato. Il file che contiene il codice nocivo è costituito da una pagina html, all'interno della quale viene posto un iframe contenente un indirizzo appositamente predisposto dai malintenzionati.

I dati relativi al mese analizzato riflettono ancora una volta la marcata tendenza, da parte dei malintenzionati della Rete, a cercare di diffondere i malware sfruttando le vulnerabilità presenti nel sistema e nelle applicazioni utilizzate dall'utente. I programmi che si avvalgono di tali vulnerabilità risultano presenti anche nel rating riguardante i malware individuati nei computer degli utenti. Lo script downloader Pegel, così come le vulnerabilità da esso sfruttate (CVE-2010-0806, CVE-2010-3867, etc.), risultano tuttora molto diffusi, nonostante gli sforzi compiuti dalle società produttrici di antivirus, nonché da Adobe e Microsoft per effettuare con prontezza il rilascio delle patch necessarie. Nel mese di luglio è stata rilevata una quantità piuttosto consistente di programmi malware volti a sfruttare le vulnerabilità CVE-2010-0188 e CVE-2010-1885, descritte recentemente da Kaspersky. Il fatto che il Top 20 dei programmi malevoli rilevati su Internet includa dodici new entry suggerisce che, indipendentemente dal periodo dell’anno, i cybercriminali sono inflessibili nei loro sforzi distruttivi così come l’industria degli antivirus nel combatterli. Source: Kaspersky News

Nessun commento:

Posta un commento