Top20 Malware dicembre 2009

Virus: ale 13 Gennaio 10 @ 16:00 pm

Kaspersky sottopone all'attenzione degli utenti la classifica relativa alla diffusione dei diversi tipi di malware a Dicembre.

Nella prima tabella troviamo i programmi dannosi e potenzialmente indesiderati che sono stati individuati sui computer degli utenti e neutralizzati al primo rilevamento.

Posizione, Variazione, Malware, N° computer infettati
1 0 Net-Worm.Win32.Kido.ir 265622
2 0 Net-Worm.Win32.Kido.iq 211101
3 0 Net-Worm.Win32.Kido.ih 145364
4 0 Virus.Win32.Sality.aa 143166
5 0 Worm.Win32.FlyStudio.cu 101743
6 Nuovo not-a-virus:AdWare.Win32.GamezTar.a 63898
7 -1 not-a-virus:AdWare.Win32.Boran.z 61156
8 -1 Trojan-Downloader.Win32.VB.eql 61022
9 -1 Trojan-Downloader.WMA.GetCodec.s 56364
10 Nuovo Trojan.Win32.Swizzor.c 54811
11 Nuovo Trojan-GameThief.Win32.Magania.cpct 42676
12 -3 Virus.Win32.Virut.ce 45127
13 -3 Virus.Win32.Induc.a 37132
14 0 Trojan-Dropper.Win32.Flystud.yo 33614
15 3 Packed.Win32.Krap.ag 31544
16 -3 Packed.Win32.Black.a 31340
17 0 Worm.Win32.Mabezat.b 31020
18 -2 Packed.Win32.Klone.bj 28814
19 -7 Packed.Win32.Black.d 28560
20 -5 Worm.Win32.AutoRun.dui 28551

La prima Top-20 da noi stilata si conferma ancora una volta sostanzialmente stabile.

La comparsa in classifica di tre novità di rilievo, rispettivamente in sesta, decima ed undicesima posizione, ha determinato un lieve arretramento verso le posizioni di rincalzo di una parte dei programmi malware presenti nella Top-20 sopra riportata. L'unica eccezione a ciò è rappresentata da Packed.Win32.Krap.ag, “new entry” del mese scorso, che ha invece scalato ben 3 posizioni verso la sommità della graduatoria.

Ricordiamo che Krap.ag, alla stregua delle altre versioni di Packed, è costituito, in sostanza, da uno speciale "pacchetto" di malware. In questo caso i malware, accuratamente nascosti all'interno di wrapper regolarmente modificati, rientrano nella fattispecie degli antivirus fittizi. Gli indici assoluti relativi al suddetto programma malware hanno ugualmente fatto segnare dei lievi incrementi, a testimonianza di quanto gli pseudo-antivirus risultino di particolare attualità nel panorama del malware. In effetti, in questi ultimi tempi, i cybercriminali sono soliti far sempre più ricorso all'utilizzo di antivirus fasulli, in maniera estremamente assidua; la ragione di tutto ciò è che una diffusione capillare di tali programmi consente ai malintenzionati della Rete di poter poi realizzare dei consistenti profitti in termini economici. Un'interessante new entry nella Top-20 di Dicembre è rappresentata dall'adware GamezTar.a, che va a collocarsi al 6° posto della nostra speciale classifica. Tale programma, una volta installato, si posiziona alla stregua di una barra degli strumenti all'interno dei browser maggiormente utilizzati in Rete, al fine di favorire un rapido accesso ad una miriade di giochi on-line; naturalmente, esso fa sì che vengano al contempo mostrate agli utenti varie pubblicità intrusive. L'aspetto di maggior rilievo è tuttavia costituito dal fatto che, oltre a tutto il resto, il suddetto programma provvede altresì ad installare alcune applicazioni, le quali operano poi in maniera del tutto indipendente rispetto alla barra degli strumenti creata dall'adware nel browser, immischiandosi in numerose attività condotte dagli utenti in Rete, sia a livello di ricerca che di visualizzazione dei contenuti. Tali componenti sono descritti nelle regole d'uso (http://www.gameztar.com/terms.do), ma, di solito, durante la navigazione, gli utenti risultano ovviamente molto più attratti dal vistoso pulsante lampeggiante “click here, get free games” piuttosto che dalla scritta poco appariscente “terms of service”, presente nella parte inferiore dello schermo. Prima di effettuare il download di qualsivoglia software è quindi sempre altamente raccomandabile procedere alla lettura di documenti del genere, qualora essi siano presenti.

Al decimo posto della classifica si insedia Trojan.Win32.Swizzor.c, stretto parente di Swizzor.b, il quale aveva già fatto la sua comparsa nella Top-20 nello scorso mese di agosto, così come di Swizzor.a, che era invece stato rilevato da noi nel mese di maggio. Gli sviluppatori di questi programmi maligni, tra l'altro magistralmente offuscati, non se ne stanno quindi fermi con le mani in mano, ma elaborano costantemente nuove varianti di malware. Il suddetto trojan è preposto a svolgere funzioni di estrema semplicità; in sostanza, esso provvede a scaricare altri file dannosi da Internet.

La seconda tabella descrive la situazione su Internet. In questa classifica si trovano infatti malware che sono stati individuati nelle pagine Web, nonché tutti quelli i cui tentativi di caricamento sui computer degli utenti avvengono sempre attraverso le pagine Web.

Posizione, Variazione, Malware, Numero download
1 0 Trojan-Downloader.JS.Gumblar.x 445881
2 3 Trojan.JS.Redirector.l 178902
3 Nuovo not-a-virus:AdWare.Win32.GamezTar.a 165678
4 -2 Trojan-Downloader.HTML.IFrame.sz 134215
5 Nuovo Trojan-Clicker.JS.Iframe.db 128093
6 -2 not-a-virus:AdWare.Win32.Boran.z 109256
7 Nuovo Trojan.JS.Iframe.ez 91737
8 Nuovo Trojan.JS.Zapchast.bn 64756
9 Nuovo Packed.JS.Agent.bn 60361
10 Nuovo Packed.Win32.Krap.ai 43042
11 8 Packed.Win32.Krap.ag 41731
12 Nuovo Exploit.JS.Pdfka.asd 36044
13 Nuovo Trojan.JS.Agent.axe 35309
14 Nuovo Trojan-Downloader.JS.Shadraem.a 35187
15 Rientro Trojan.JS.Popupper.f 33745
16 Nuovo not-a-virus:AdWare.Win32.GamezTar.b 33266
17 Nuovo Trojan-Downloader.JS.Twetti.a 30368
18 Nuovo Trojan-Downloader.Win32.Lipler.iml 28634
19 Nuovo Trojan-Downloader.JS.Kazmet.d 28374
20 Nuovo Trojan.JS.Agent.axc 26198

In questa seconda classifica, a differenza di quanto riscontrato nella prima Top-20 presa in esame nel presente report (caratterizzata, come abbiamo visto, da una pronunciata stabilità), solo un quarto dei programmi malware ha mantenuto le proprie posizioni; uno di essi ha fatto il suo rientro in graduatoria, mentre per il resto rileviamo come l'aspetto della tabella sopra riportata, dedicata al malware diffuso via Internet, sia radicalmente mutato rispetto al mese precedente.

Leader incontrastato è ancora una volta Gumblar.x. I siti infettati da questo Trojan-Downloader vengono ora tuttavia gradualmente ripuliti dai webmaster; basti pensare a tal proposito che, rispetto al mese di Novembre, il numero dei tentativi singoli di scaricamento registratisi a Dicembre è diminuito di oltre tre volte.

Krap.ag, menzionato nell'ambito della prima classifica da noi analizzata, ha fatto segnare una rapida ascesa anche in questa seconda Top-20, guadagnando ben 8 posizioni. Rispetto al mese passato, il numero dei tentativi singoli di scaricamento per tale malware è difatti aumentato più di una volta e mezzo. Il gradino superiore della seconda Top-20 va invece ad appannaggio di Krap.ai, anch'esso costituito da uno speciale “pacchetto” di malware riconducibile alla categoria degli antivirus fasulli.

GamezTar.a è entrato prepotentemente a far parte anche della seconda classifica speciale stilata da noi, andando addirittura ad occupare il terzo gradino del podio; ciò era in ogni caso facilmente prevedibile, visto lo specifico orientamento del programma (rivolto all'universo dei giochi online), e proprio in ragione delle sue complessive funzionalità Web. Ha fatto inoltre il suo ingresso al 16° posto della graduatoria sopra riportata un'ulteriore variante del suddetto programma malware, ovverosia GamezTar.b.

La new entry Trojan-Clicker.JS.Iframe.db, collocatasi in quinta posizione, risulta essere un comune iframe downloader, tra l'altro non troppo astutamente offuscato.

Trojan.JS.Iframe.ez, Trojan.JS.Zapchast.bn, Packed.JS.Agent.bn, Trojan.JS.Agent.axe, Trojan-Downloader.JS.Shadraem.a, Trojan-Downloader.JS.Kazmet.d sono invece script di download di diversi livelli di complessità logica e capacità di auto-offuscamento, i quali sfruttano le vulnerabilità presenti nei prodotti Adobe e Microsoft per realizzare, successivamente, il download dei principali file eseguibili.

Ci soffermiamo infine ad analizzare con dovizia di particolari Trojan-Downloader.JS.Twetti.a (collocatosi al 17° posto della graduatoria di dicembre), il quale costituisce l'esempio di maggior interesse per ciò che riguarda l'opera creativa dei malfattori della Rete; il suddetto programma maligno si è reso protagonista del contagio di una moltitudine di siti legittimi. L'algoritmo che caratterizza il funzionamento di questo downloader merita davvero di essere esaminato con particolare attenzione. In effetti, una volta decodificato, in esso non è stato rinvenuto alcun specifico link al file eseguibile principale, né tantomeno è risultato possibile identificare degli exploit oppure dei link a questi ultimi! Una più approfondita analisi condotta dai nostri esperti ha poi permesso di rivelare che tale script utilizza l'API (Interfaccia di Programmazione dell'Applicazione) di Twitter, il celebre social network che, a quanto pare, gode di ampia popolarità anche presso i cybercriminali...

Lo schema di funzionamento del suddetto trojan è il seguente: viene in sostanza formulata una query per l'API, il cui risultato sarà rappresentato dai dati relativi ai cosiddetti «trend», ovverosia gli argomenti più discussi in Twitter. Con i dati ottenuti viene in seguito elaborato un nome di dominio pseudo-casuale, la cui registrazione viene effettuata in anticipo dai cybercriminali, essendo lo stesso stato ottenuto mediante identico algoritmo; viene infine realizzato il «passaggio nascosto» ad esso. In seno a tale dominio vengono poi dispiegati i principali elementi nocivi, quali ad esempio l'exploit PDF od il file eseguibile. In tal modo, l'elaborazione del link maligno ed il successivo «passaggio» attraverso di esso vengono in pratica realizzati "al volo", tramite un intermediario, nella circostanza rappresentato da Twitter.

E' interessante sottolineare come, per infettare i computer degli utenti della Rete, i programmi malware Packed.JS.Agent.bn e Trojan-Downloader.JS.Twetti.a utilizzino un file PDF appositamente generato, il quale viene individuato come Exploit.JS.Pdfka.asd e che, tra l'altro, come si può vedere, è entrato anch'esso a far parte della seconda Top-20 da noi stilata, piazzandosi al 12° posto della graduatoria. Si può pertanto facilmente presumere che almeno tre dei programmi maligni maggiormente diffusi nel mese di dicembre costituiscano l'opera di un unico drappello di criminali informatici. Annotiamo inoltre come, tra i file eseguibili che a seguito di attacchi drive-by download vengono scaricati sui computer-vittima, siano stati individuati illustri membri delle famiglie di malware TDSS, Sinowal e Zbot, i quali possono essere di sicuro annoverati tra le minacce informatiche più serie attualmente esistenti; anche tale elemento induce di sicuro ad effettuare opportune riflessioni in materia.

Tirando le somme, si può a ragion veduta affermare che nel mese di Dicembre le tendenze precedentemente manifestatesi siano rimaste sostanzialmente invariate. Gli attacchi condotti dai cybercriminali divengono sempre più sofisticati e, di conseguenza, sempre più difficili da analizzare; nella stragrande maggioranza dei casi essi vengono messi in atto dai malintenzionati della Rete al solo scopo di poter ricavare, in un modo o nell'altro, dei congrui profitti dall'azione criminosa. Aumenta inoltre la gravità delle minacce virtuali, le quali tuttavia, allo stato dei fatti, si rivelano poi essere pienamente reali ed effettive. Emerge quindi da tutto ciò come, al momento attuale, occorra, quale impellente priorità, preoccuparsi seriamente per la sicurezza dei propri apparati informatici, adottando tutte le misure necessarie per poter contrastare efficacemente l'azione subdola ed ignominiosa del malware.