Kaspersky Lab presenta la Top 20 dei virus online e email di maggio 2007

Kaspersky Lab presenta la Top 20 dei virus online e email di maggio 2007

Kaspersky Lab, società specializzata in soluzioni per la sicurezza informatica, presenta la Top 20 di maggio 2007 dei virus presenti in rete e di quelli che si diffondono attraverso la posta elettronica.

Il Commento di Kaspersky Lab

Nella Top 20 online di maggio 2007, i worm email risultano i più diffusi di tutte le classi di programmi maligni presenti in classifica, con un totale di quattro famiglie differenti e sei varianti diverse. Tra queste ci sono alcuni veterani come Rays e Brontok, e nuove generazioni di worm che stanno attaccando attivamente gli utenti di mailbox, come Zhelatin e Warezov.

I primi sette programmi maligni sono una specie di monolite, in testa alla classifica con un distacco minimo. Compilando la stessa classifica un paio di giorni prima o un paio di giorni dopo, potrebbe risultare molto diversa. Non c’è un leader assoluto a maggio: sebbene il Trojan-Downloader.Agent.bjo occupi il primo posto, è uno di quei programmi che hanno un ciclo vitale molto breve, e che scomparirà così rapidamente come è comparso. Lo seguono a breve distanza il Trojan.Win32.Agent.qt, e Virtumonde.if, un programma adware. Nessuno di questi programmi maligni è nuovo nella classifica, e sembra che rimarranno nella Top 20 online per un po’. Vengono utilizzati diversi metodi per diffondere Virtumonde su Internet: tecnologie rootkit, programmi Trojan downloader e spam di massa.

E’ interessante notare come gli scrittori di virus che stanno creando i Trojan downloader stiano variando attivamente il tipo di file scaricati, passando dai programmi maligni agli adware. Un giorno può venire scaricato un worm email, mentre il giorno successivo l’ultima versione di Virtumonde, un programma di pubblicità, e il giorno dopo già un altro tipo di programma. Tuttavia, i più utilizzati in assoluto sono gli adware, e questo non è sorprendente, dato che i ricavi relativi alla pubblicità su Internet ammontano a grandi cifre. Un tipico esempio di questo tipo di Trojan è il Trojan-Downloader.Win32.LoadAdv.gen, che occupa il quinto posto nella classifica di maggio. Mostra infatti un incremento della sua attività verso la fine del mese, e probabilmente salirà nella classifica il mese prossimo.

Zhelatin, al sesto posto, non dovrebbe rimanere nella nostra classifica per molto tempo. Gli autori di questo worm stanno creando troppo rapidamente nuove varianti, per avere un impatto significativo nella classifica.

Aprile è stato il primo mese in cui l’IM-Worm è entrato nella Top 20 Online. Sembra che l’IM-Worm.Win32.Sohanad.t abbia creato un precedente, e questo è confermato dalla classifica di maggio, dove l’IM-Worm.Win.32.VB.az occupa il dodicesimo posto. Questa è una tendenza preoccupante, dato che la maggior parte degli utenti non presta particolare attenzione quando invia link attraverso messenger, link che naturalmente portano ad un sito infetto.

Un programma di keylogging appartenente alla famiglia dei Perflogger e il file virus Parite occupano gli ultimi posti della classifica. Per un lungo periodo questi programmi sono entrati e usciti dalla classifica di continuo. E’ evidente che sebbene nessun programma stia realmente causando un’epidemia, stiano entrambi mantenendo una presenza stabile sui computer degli utenti.

Il Commento di Kaspersky Lab

Un primo sguardo ai primi posti della classifica di maggio dà l’impressione di essere tornati indietro alla fine del 2005: Netsky, Bagle e Sober occupano ancora i primi posti, come qualche anno fa.

Netsky.t e Netsky.q sono stati ai primi posti della nostra Top 20 per un periodo piuttosto lungo; Bagle.gt si è spostato all’interno della classifica per diversi mesi risalendo verso le prime tre posizioni; il quarto posto questo mese è stato inaspettatamente occupato da Sober.aa. Il primo campione di questo worm è stato scoperto da un analista dei Kaspersky Lab il 7 aprile 2007. Questo può non sembrare molto significativo, ma la precedente versione di questo worm, Sober.z, risale a metà novembre 2005! E’ passato più di un anno e mezzo da allora. Sober.z è stato uno dei worm più diffusi del suo tempo; sembrava che la polizia tedesca stesse indagando sulle tracce dell’autore e che fosse imminente un arresto. Tuttavia, non è accaduto nulla, ed ora qualcuno (forse un autore diverso dall’originale) ha lanciato una nuova versione di questo vecchio worm email. I risultati sono chiari: Sober.aa, un worm primitivo, è stato in grado di superare worm con funzionalità più avanzate, e può risalire nella classifica nei mesi a venire.
Le famiglie di worm Zhelatin e Warezov sono tra le vittime in questa ultima battaglia tra virus. Warezov.ms, che occupava il secondo posto nella classifica di aprile, è uscito dalla classifica, e Warezov.ns, che è andato ad occupare il suo posto, non è stato in grado di risalire più in alto di un modesto diciannovesimo posto. Tuttavia, il Trojan-Downloader.Win32.Agent.bqs ha alzato la bandiera rossa: è stato inviato tramite un mailing di massa il 24 maggio ed ha raggiunto l’ottavo posto nella Top 20 di maggio. Questo è un segnale di avviso per l’Agent.bqs che scarica le nuove versioni di Warezov sui computer delle vittime, creando un’enorme epidemia potenziale e una gigantesca botnet.

A maggio i phisher risultano meno attivi rispetto a marzo e aprile. Non c’è neanche un’email di phishing in tutta la classifica Top 20 di questo mese. Tuttavia, è chiaramente un fenomeno temporaneo e gli attacchi di phishing torneranno indubbiamente per riprendere i propri posti all’interno della classifica delle minacce più comuni nel traffico email.

E’ interessante notare come il decimo e il ventesimo posto sia occupato questo mese da due classici file virus, Grum e Cheburgen. I file virus non sono tipici per la Top 20 ma hanno guadagnato la loro posizione grazie ad una peculiarità nel ciclo di vita di un file virus. Come accade nel mondo naturale, Grum e Chebrugen sono effettivamente parassiti. Non sono in grado di diffondersi da soli, né via Internet né attraverso le reti locali. Tuttavia, sono estremamente aggressivi e sono in grado di infettare indiscriminatamente tutti i file presenti sul computer della vittima. Di conseguenza, i file dei worm email presenti sul computer della vittima verranno infettati. E la conseguenza è che un messaggio infetto spedito dal computer della vittima conterrà un “sandwich”: un worm che viene infettato anche da un virus.

Gli altri programmi maligni rappresentano il 10.97% di tutti i codici maligni presenti nel traffico email, indicando che esiste un numero relativamente ampio di altri worm e famiglie di Trojan in circolazione.

Per maggiori informazioni, visitate il sito www.viruslist.com.