Kaspersky Analisi Top 20 Malware Report Gennaio 2011

Classifica malware - gennaio 2011
Gennaio in cifre
Nel corso del mese nei computer degli utenti dei prodotti «Kaspersky Lab»:
•
sono stati respinti 213.915.256 attacchi della rete;
•
sono stati bloccati 68.956.183 tentativi di infezione via Internet;
•
sono stati individuati e neutralizzati 187.234.527 programmi malware (tentativi di infezione
locale);
sono state registrate 70.179.070 attivazioni di analisi euristiche.
•
Cybercriminali nella rete
La maggior parte dei programmi malware, particolarmente complessi, nasconde la
propria presenza nel sistema e operano a insaputa dell'utente. Tuttavia per attuare i
suoi schemi fraudolenti, la cybercriminalità ha bisogno della partecipazione attiva
dell'utente. Per poter sfuggire alle trappole dei cybercriminali è pertanto di estrema
importanza che l'utente conosca quali sono gli approcci utilizzati.
Regali pericolosi
I cybercriminali sfruttano spesso la diffusione di certi servizi Internet o di determinati
prodotti. Anche la popolarità di cui godono i prodotti «Kaspersky Lab» non è sfuggita
all'attenzione dei cybercriminali e in gennaio se ne avuta una chiara conferma.
In Internet si vanno diffondendo delle utility che consentono di utilizzare alcuni prodotti
«Kaspersky Lab» senza bisogno di effettuarne l'attivazione. Tali programmi sono stati da
noi individuati come programmi potenzialmente indesiderati della famiglia Kiser. In
gennaio due rappresentanti di questa famiglia sono addirittura rientrati nella classifica
dei venti verdetti più diffusi individuati nei computer degli utenti (9° e 11° posto).
Dopo le festività di fine anno abbiamo individuato un trojan dropper, mascherato sotto
le mentite spoglie di generatore di chiavi per l'attivazione di prodotti «Kaspersky Lab»
(http://www.securelist.com/ru/blog/40232/Syurpriz_dlya_lyubiteley_khalyavy).
Il
dropper installa e avvia due pericolosi malware sui computer degli amanti dell'utilizzo
«a sbafo» di prodotti software: l'uno sottrae i dati di registrazione dai programmi e le
password dei giochi online, mentre l'altro è un backdoor che svolge inoltre le funzioni di
un key logger.
All'inizio di gennaio i nostri esperti hanno individuato un sito «Kaspersky Lab» fasullo, il
cui
indirizzo
si
differenzia
da
kaspersky.ru
di
una
sola
lettera
(http://www.securelist.com/en/blog/11127/Mistyping_leads_to_infections). In questo
sito gli utenti venivano invitati a scaricare una versione gratuita di Kaspersky Internet
Security 2011 come «regalo» per festeggiare il nuovo anno.
Invece del KIS2011 sui computer veniva scaricato il Trojan-Ransom.MSIL.FakeInstaller.e,
la cui installazione comportava il riavvio del computer. Dopo il riavvio, il trojan
visualizzava una schermata fasulla del social network russo «Odnoklassniki» (compagni
di scuola) con un messaggio che informava l'utente della vincita di un telefono Samsung
Galaxy S che il «fortunato» vincitore avrebbe potuto ritirare dietro il pagamento di soli
1.200 rubli (circa 30 euro). Per confermare la «vincita», si doveva poi inviare un SMS ad
un numero a pagamento. La storia della «vincita» si concludeva quindi con il prelievo di
una determinata somma dal conto dell'utente per l'invio dell'SMS.
Invitiamo gli utenti a prestare la massima attenzione e a utilizzare solo i servizi e i
prodotti che vengono offerti nei siti ufficiali della nostra azienda.
IE «gratuito» per soli 300 rubli
Un altro programma che per la sua popolarità è caduto nel mirino dei criminali
informatici è Internet Explorer. In gennaio su Runet sono state individuate delle pagine
Web, nelle quali si invitava l'utente ad «aggiornare il browser Internet Explorer».
Dapprima si dovevano selezionare i necessari «aggiornamenti», dopodiché apparivano
una schermata che ne simulava l'installazione e un messaggio che invitava l'utente ad
attivare il «software già installato», inviando un SMS ad un numero a pagamento.
Frammento Hoax.HTML.Fraud.e con l'invito a effettuare l'«аttivazione»
Dopo aver inviato l'SMS a pagamento, l'utente riceveva un link di accesso al programma
di installazione gratuito Internet Explorer 8 e… «ad articoli sulla sicurezza e sulla
protezione dei computer».
Queste pagine Web con contenuti fraudolenti vengono rilevate come
Hoax.HTML.Fraud.e, programma che si è così aggiudicato il 17° posto nella classifica TOP
20 di gennaio dei malware individuati in Internet.
Archivi fasulli
Presso i cybercriminali della rete continua a godere di una certa popolarità anche un
altro metodo di guadagno illecito: gli archivi fasulli. In gennaio la nuova versione di
Hoax.Win32.ArchSMS.mvr si è aggiudicata immediatamente un posto in entrambe le
ТОP 20, sia in quella dei malware riscontrati in Internet (11° posto) sia in quella dei
malware individuati nei computer degli utenti (17° posto).
Attacchi mediante Twitter
Nel report del mese scorso abbiamo parlato della diffusione in Twitter dei link maligni
abbreviati con il servizio goo.gl. A metà gennaio la diffusione dei link maligni abbreviati è
rimasta
massiccia
(http://www.securelist.com/en/blog/11136/New_Twitter_worm_redirects_to_Fake_AV
). Come anche in dicembre, cliccando sui link maligni l'utente viene reindirizzato per
mezzo di alcuni redirector a una pagina con un «antivirus online». Il falso antivirus opera
quindi secondo lo schema già visto in dicembre: apre una finestra simile a quella delle
«Risorse del computer», imita la scansione del computer e propone all'utente di pagare
per eliminare i malware «rilevati».
Programmi adware
Come anche in passato si continua a registrare un'attiva diffusione di programmi
adware. Senza richiedere il consenso dell'utente, l'AdWare.Win32.WhiteSmoke.a, che si
è aggiudicato il 12° posto nella classifica dei programmi malware riscontrati in Internet,
aggiunge sulla scrivania del PC lo shortcut «Improve your PC». Dopodiché, quando
l'utente vi clicca sopra, si apre una pagina con l'invito ad «eliminare dal computer
eventuali errori» che compromettono le prestazioni del PC. Se l'utente accetta l'invito,
sul suo computer si installa un programma denominato RegistryBooster 2011 che
effettua una scansione del computer e si offre di eliminare a pagamento i problemi
individuati.
RegistryBooster 2011 in azione
Il componente del diffuso adware FunWeb Hoax.Win32.ScreenSaver.b, sebbene alla sua
prima apparizione nella TOP 20 dei malware bloccati nei computer degli utenti, si è
piazzato subito al 4° posto. Ricordiamo che FunWeb fa parte di una famiglia di adware, i
rappresentanti della quale figurano ininterrottamente da un anno nelle classifiche dei
malware più diffusi. Questi adware predominano nei Paesi anglofoni, quali gli Stati Uniti,
il Canada, la Gran Bretagna e anche l'India.
Vulnerabilità e aggiornamenti
Per l'ennesima volta invitiamo gli utenti a non ignorare gli aggiornamenti critici. Nella
TOP 20 di gennaio delle minacce più diffuse bloccate nei computer degli utenti si è
piazzato l'Exploit.JS.Agent.bbk (al 20° posto) che sfrutta la vulnerabilità CVE-2010-0806.
Sebbene questa vulnerabilità sia già stata riparata alla fine del marzo 2010 (la patch è
disponibile
al
seguente
indirizzo
http://www.microsoft.com/rus/technet/security/bulletin/ms10-018.mspx), oltre che
dall'Agent.bbk viene anche sfruttata da altri malware presenti nella TOP 20 (al 6° e al
13° posto). Ciò significa che la breccia nel software non è ancora stata chiusa in molti
computer e continua quindi ad essere efficacemente sfruttata dai cybercriminali.
Download di file per mezzo dei malware Java
Il download di file per mezzo di malware Java con il metodo OpenConnection, che ha
cominciato ad essere utilizzato dai cybercriminali nell'ottobre dell'anno scorso, risulta
attualmente essere uno dei metodi di download maggiormente diffusi. In gennaio, nella
TOP 20 dei malware più diffusi in Internet, si piazzano (rispettivamente al 9° e al 20°
posto)
due
nuovi
rappresentanti
della
famiglia
TrojanDownloader.Java.OpenConnection.
Sviluppo dei casi di individuazione del Trojan-Downloader.Java.OpenConnection
(numero di utenti singoli): ottobre 2010 – gennaio 2011
Se si utilizzano le ultime versioni di JRE (ambiente operativo Java), all'avvio del
pericoloso applet Java l'utente riceve un relativo avviso. Per evitare eventuali infezioni
del computer, è sufficiente quindi annullarne l'avvio.
Malware complessi: il nuovo e-mail worm
In gennaio ha fatto la sua comparsa un nuovo e-mail worm, l'Email-Worm.Win32.Hlux,
che si diffonde tramite la notifica della ricezione di una cartolina elettronica d’auguri.
Nella notifica è contenuto il link alla pagina dove viene suggerito di scaricare Flash
Player per una corretta visione della e-card. A prescindere dalla risposta dell'utente, il
worm tenta di infiltrarsi nel suo computer: trascorsi cinque secondi dall'apertura della
finestra di dialogo l'utente viene reindirizzato alla pagina contenente un set di exploit e i
programmi della famiglia Trojan-Downloader.Java.OpenConnection che cominciano ad
avviare Hlux sul suo computer.
Il worm, oltre ad autodiffondersi per posta elettronica, svolge la funzione di bot e
collega il computer infetto alla botnet. Hlux si collega al centro di controllo della botnet,
esegue i suoi comandi e, in particolare, invia dello spam farmaceutico. Il bot comunica
con il centro di controllo mediante i proxy server della rete Fast-Flux. Se il computer
infetto possiede un indirizzo IP esterno, può essere utilizzato come nodo della rete FastFlux. La grande quantità di computer infetti consente ai cybercriminali di cambiare
molto frequentemente gli indirizzi IP dei domini nei quali vengono collocati i centri di
controllo della botnet.
Frequenza del cambiamento di indirizzi IP dei domini C&C delle botnet Hlux
Nuovo SMS trojan: un altro metodo di furto
In gennaio i cybercriminali hanno cominciato ad utilizzare un altro modo per accedere
alle tasche dei possessori di telefoni cellulari. Il nuovo Trojan-SMS.J2ME.Smmer.f
(http://www.securelist.com/ru/blog/43141/SMS_troyantsy_novyy_vitok) si diffonde
secondo la modalità ormai consueta dei malware Java per piattaforme mobili ossia per
mezzo di spam SMS contenenti un link di rinvio a una «cartolina virtuale». Dopo esser
stato installato sul telefono, il trojan invia gratuitamente un SMS a due diversi numeri.
Come viene conseguito quindi il guadagno illecito? I due numeri vengono utilizzati da un
operatore di telefonia cellulare per trasferire soldi da un conto all'altro. Nel primo
messaggio inviato dal trojan, vengono indicati la somma che verrà prelevata dal conto
del possessore del telefono infetto (200 rubli, circa 5 euro) e il numero utilizzato dai
cybercriminali per ricevere i soldi, mentre il secondo SMS viene inviato per confermare il
trasferimento del denaro.
Ci siamo già imbattuti in un simile tipo di frode due anni or sono: allora la truffa
interessava gli utenti indonesiani, oggi i cybercriminali hanno preso di mira la Russia.
TOP 20 dei programmi malware in Internet
Malware
Posizione
Variazione
di
posizione
Numero di
singoli
attacchi*
1
AdWare.Win32.HotBar.dh
0
169173
2
Trojan-Downloader.Java.OpenConnection.cf
0
165576
3
Exploit.HTML.CVE-2010-1885.aa
Novità
140474
4
AdWare.Win32.FunWeb.gq
Novità
114022
5
Trojan.HTML.Iframe.dl
-2
112239
6
Trojan.JS.Redirector.os
Novità
83291
7
Trojan-Clicker.JS.Agent.op
7
82793
8
Trojan.JS.Popupper.aw
-4
80981
9
Trojan-Downloader.Java.OpenConnection.cg
Novità
66005
10
Trojan.JS.Agent.bhr
2
53698
11
Hoax.Win32.ArchSMS.mvr
Novità
47251
12
AdWare.Win32.WhiteSmoke.a
Novità
44889
13
Trojan.JS.Fraud.ba
5
44561
14
Exploit.JS.Agent.bab
-4
42800
15
Trojan.JS.Redirector.lc
-7
42231
16
Exploit.Java.CVE-2010-0886.a
-8
41232
17
Hoax.HTML.Fraud.e
Novità
37658
18
Trojan-Clicker.JS.Agent.om
Novità
36634
19
Trojan-Downloader.JS.Small.os
-6
35857
20
Trojan-Downloader.Java.OpenConnection.cx
Novità
35629
*Numero complessivo dei singoli casi di infezione individuati dall'antivirus Web nei computer degli utenti
TOP 20 dei programmi malware individuati nei computer degli utenti
Malware
Variazione di
posizione
Numero di
singoli
utenti*
Posizione
1
Net-Worm.Win32.Kido.ir
0
466686
2
Virus.Win32.Sality.aa
1
210635
3
Net-Worm.Win32.Kido.ih
-1
171640
4
Hoax.Win32.Screensaver.b
5
AdWare.Win32.HotBar.dh
6
135083
Novità
0
134649
Trojan.JS.Agent.bhr
-2
131466
7
Virus.Win32.Sality.bh
-1
128206
8
Virus.Win32.Virut.ce
-1
114286
9
HackTool.Win32.Kiser.zv
10
Packed.Win32.Katusha.o
11
HackTool.Win32.Kiser.il
12
Worm.Win32.FlyStudio.cu
-2
85184
13
Exploit.JS.Agent.bab
-1
77302
14
Trojan-Downloader.Win32.Geral.cnh
-1
62426
15
Trojan-Downloader.Win32.VB.eql
-1
58715
16
Worm.Win32.Mabezat.b
0
58579
17
Hoax.Win32.ArchSMS.mvr
18
Packed.Win32.Klone.bq
19
Worm.Win32.Autoit.xl
Rientro
43454
20
Exploit.JS.Agent.bbk
Novità
41193
104673
Novità
-2
90499
Novità
50981
Novità
-1
*Numero di singoli utenti nei computer dei quali l'antivirus ha individuato l'oggetto
90870
50185