Top Malware - Febbraio - report - Kaspersky Lab – Newsroom Europe.

Classifica malware: febbraio 2012
Aleksandr Gostev
Denis Maslennikov
Jurij Namestnikov
Dmitrij Tarakanov
Febbraio in cifre
Nel corso del mese, nei computer degli utenti dei prodotti Kaspersky Lab:
•
•
•
sono stati bloccati 143.574.335 tentativi di infezione via Internet;
sono stati individuati e neutralizzati 298.807.610 programmi malware;
sono stati individuati 30.036.004 URL nocivi;
•
sono stati respinti 261.830.529 attacchi di rete.
DUQU, le ultime notizie
Le indagini e le ricerche condotte riguardo il famigerato programma Trojan denominato Duqu sono
ormai passate dalla fase primaria - caratterizzata da analisi attivamente eseguite sulla base delle «tracce
ancora fresche» lasciate dal malware - ad uno stadio più complesso ed avanzato, in cui i dati
pazientemente raccolti vengono sottoposti ad analisi estremamente dettagliate e a processi di sintesi
finale. Nel corso dei mesi di gennaio e febbraio 2012, gli esperti di Kaspersky Lab hanno in particolar
modo focalizzato la loro attenzione sugli aspetti tecnici che determinano l'esistenza stessa del malware
Duqu, quali i sistemi di server adibiti alla raccolta dei dati illegalmente carpiti o la struttura interna dei
moduli di cui si compone il Trojan in questione.
Dalla fine del mese di dicembre dello scorso anno ad oggi, non abbiamo tuttavia più rilevato alcun
segnale relativo ad un'effettiva presenza di Duqu nell'ambito del world wide web. Come è noto, il primo
e il secondo giorno di dicembre 2011, gli autori del Trojan hanno condotto una nuova operazione
globale di «cancellazione delle tracce» su tutti i server utilizzati. I malintenzionati hanno cercato di
correggere gli errori commessi il 20 ottobre scorso, in occasione della prima «campagna» di clean-up
eseguita sui server di controllo nocivi (maggiori dettagli a tal proposito sono riportati nella sesta parte
della serie di blogpost specificamente dedicati a Duqu).
A questo punto possiamo cercare di tirare le somme riguardo all'ultimo attacco informatico di cui si è
reso protagonista il malware Duqu.
Sono stati individuati circa una quindicina di incidenti virali in cui è stato dispiegato il potenziale nocivo
del Trojan; la maggioranza delle «vittime» di Duqu è risultata essere ubicata in Iran. L'analisi delle
attività condotte dalle aziende e dagli enti iraniani sottoposti ad attacco, così come il carattere dei dati e
delle informazioni alle quali generalmente sono soliti interessarsi gli autori di Duqu, inducono a trarre
l'evidente conclusione che l'obiettivo principale degli «attaccanti» fosse rappresentato dalla raccolta del
maggior numero di informazioni possibile riguardo ai sistemi di gestione della produzione in vari settori
dell'industria iraniana, così come il tentativo di carpire informazioni in merito ai rapporti commerciali
intrattenuti da numerose società ed organizzazioni iraniane.
A seguito di attente analisi condotte sul codice di Duqu, gli esperti di Kaspersky Lab sono giunti alla
conclusione che, oltre ad utilizzare una sorta di piattaforma comune, da noi denominata Tilded, gli
autori del programma si sono avvalsi di un proprio framework, sviluppato sulla base di un linguaggio di
programmazione sconosciuto. Riguardo a tale specifica soluzione di sviluppo del malware, unica e
singolare, abbiamo riferito in un blogpost a parte.
Sulla base dei dati raccolti, è lecito presupporre che gli sviluppatori della piattaforma Tilded non
andranno di certo ad interrompere in questa fase il lavoro intrapreso e in futuro (forse già
nell'immediato futuro) ci imbatteremo in qualche ulteriore elaborazione.
Gli attacchi nei confronti dei singoli utenti
Vulnerabilità nel sistema di pagamento mobile Google Wallet
Nell'autunno del 2011, la società Google ha lanciato il nuovo sistema denominato Google Wallet, che
consente di effettuare il pagamento di prodotti e servizi mediante l'utilizzo di smartphone dotati di
sistema operativo Android e di apposito modulo NFC (Near Field Communication), che si avvale della
tecnologia wireless. In pratica, viene installata sullo smartphone l’applicazione Google Wallet e viene in
seguito definita la carta di credito da utilizzare per le transazioni finanziarie. Per effettuare il pagamento,
il proprietario dello smartphone dovrà semplicemente inserire un codice PIN all'interno dell'applicazione
Google Wallet e avvicinare il proprio telefono cellulare al dispositivo previsto per le operazioni di lettura;
in tal modo lo smartphone provvederà a trasmettere in maniera automatica, sotto forma cifrata, tutti i
dati necessari per eseguire la transazione.
Quando il gigante di Mountain View ha annunciato il lancio del nuovo servizio, gli esperti di sicurezza IT
hanno subito espresso alcuni dubbi riguardo i livelli di sicurezza del nuovo sistema di pagamento mobile
in caso di furto o smarrimento del telefono o nella malaugurata ipotesi in cui lo smartphone munito di
Google Wallet fosse andato a finire nelle mani sbagliate. In effetti, i primi di febbraio, sono stati resi di
pubblico dominio due metodi di hacking in grado di violare il portafoglio elettronico allestito da Google,
metodi di cui i malintenzionati possono avvalersi nelle circostanze sopra descritte.
Joshua Rubin, ingegnere senior presso zVelo Inc. - società statunitense specializzata in tecnologie web e
sicurezza IT - ha scoperto e reso noto online (https://zvelo.com/blog/entry/google-wallet-security-pinexposure-vulnerability) come possa essere individuato e carpito il codice PIN nel caso in cui qualcuno
abbia la possibilità di accedere al telefono cellulare smarrito o rubato. I dati relativi all'account bancario
sono conservati in un dispositivo protetto (Secure Element) simile ad una smart card, presente nel chip
NFC, mentre l'hash del codice PIN viene custodito nel file system del telefono. Per poter leggere l'hash in
questione è necessario disporre di un accesso root al telefono, che può essere facilmente ottenuto
tramite metodi di hacking ben conosciuti. Dato che il codice PIN di Google Wallet è formato da un
numero di sole 4 cifre, non risulterà particolarmente complesso, per i malintenzionati, riuscire ad
individuare la giusta combinazione di cifre necessarie per ricomporlo, tramite l'applicazione di un
semplice metodo «brute force» (forza bruta), che consente di simulare ogni possibile combinazione
esistente. Dopo essersi impossessati del codice, i malintenzionati potranno quindi procedere al
pagamento dei prodotti o dei servizi acquistati, utilizzando l'account Google Wallet del legittimo
proprietario.
Il giorno successivo all'individuazione della vulnerabilità sopra descritta, sono state pubblicate sul web
informazioni, corredate da un video, (http://thesmartphonechamp.com/second-major-security-flawfound-in-google-wallet-rooted-or-not-no-one-is-safe-video/) riguardo ad un ulteriore metodo in grado di
poter garantire un facile accesso al portafoglio virtuale Google Wallet presente sullo smartphone
rubato. Tutto senza dover in alcun modo ricorrere a violazioni del sistema e quindi senza dover disporre
di un accesso root. Nella circostanza, si faceva riferimento ad una vulnerabilità individuata
nell’applicazione Google Wallet. In effetti, accedendo al menu relativo alle impostazioni delle
applicazioni presenti nello smartphone ed eliminando tutti i dati riguardanti l'applicazione Google
Wallet, emergeva che al riavvio di quest'ultima sarebbe stato richiesto all'utente di impostare un nuovo
codice PIN, senza dover inserire il codice precedentemente utilizzato.
Le vulnerabilità sono state subito segnalate a Google, la quale ha immediatamente provveduto a
sospendere per alcuni giorni l'operatività delle tecnologie utilizzate in Google Wallet, fino
all'eliminazione delle minacce di sicurezza. Successivamente, Google ha dichiarato di aver corretto la
vulnerabilità presente nell'applicazione e ha ripristinato il servizio di pagamento tramite dispositivi
mobili; a inizio marzo, tuttavia, non è ancora comparsa alcuna comunicazione in merito all'avvenuta
correzione della prima vulnerabilità sopra descritta, relativa all'utilizzo, da parte dei malintenzionati, di
metodi di «forza bruta» al fine di entrare in possesso dell'esatto codice PIN. Per impedire l'accesso
all'hash del codice PIN occorre che questo, al pari degli altri dati sensibili riguardanti il conto
bancario/carta di credito, venga custodito in una sezione protetta del chip NFC. Qui sorgono tuttavia
complicazioni di natura giuridica: in tal caso, ogni responsabilità inerente alla sicurezza del codice PIN
passa da Google agli istituti bancari, che risultano responsabili per il settore protetto Secure Element.
Codici fasulli per Google Analytics
L'hacking dei siti web viene nella maggior parte dei casi utilizzato dai malintenzionati per realizzare la
diffusione di programmi malware; in sostanza, i cybercriminali introducono codici nocivi all'interno dei
codici sorgente di determinate pagine Internet che compongono le risorse web violate. Per far sì che i
proprietari dei siti compromessi si accorgano il più tardi possibile di eventuali modifiche dannose
apportate alle pagine web, gli hacker ricorrono all'applicazione di vari metodi. All'inizio del mese di
febbraio 2012 abbiamo individuato una vera e propria ondata di infezioni informatiche legate a tale
fenomeno, le quali si caratterizzavano per il fatto che il codice dannoso introdotto all'interno dei siti
legittimi violati risultava mascherato da un codice apparentemente riconducibile a Google Analytics, il
servizio statistico implementato online dalla società di Mountain View.
Il codice nocivo in questione presenta alcune caratteristiche:
1. come evidenzia lo screenshot sopra riportato, tale codice nocivo utilizza un indirizzo con
doppia lineetta <google--analytics.com>, anziché l'indirizzo originale <googleanalytics.com>.
2. Nel codice originale, l'identificatore dell'account è costituito da una stringa univoca munita
di determinate cifre (ad esempio «UA-5902056-8»), preposta ad identificare in maniera
univoca il sito web oggetto dei rilievi statistici. Nella circostanza, il codice nocivo presenta la
stringa generica «UA-XXXXX-X», anziché una stringa univoca.
3. Il codice dannoso iniettato dai malintenzionati viene inserito proprio all'inizio del codice
relativo alla pagina web violata, a volte addirittura prima dello stesso tag <html>, mentre il
codice originale di Google Analytics viene invece abitualmente aggiunto dagli sviluppatori
alla fine della pagina web.
Il risultato prodotto dall'azione nociva svolta dal codice maligno è di particolare complessità e gravità:
sul browser dell'utente viene caricato, dall'indirizzo predisposto dai malintenzionati, ovvero <google-analytics.com>, il javascript offuscato «ga.js», cosicché il visitatore della pagina web compromessa, dopo
vari redirecting, viene indirizzato a sua totale insaputa su un server appositamente equipaggiato con il
kit di exploit denominato BlackHole Exploit Kit. In caso di esito positivo dell'attività nociva svolta dal
suddetto exploit, il computer dell’utente viene infettato da un programma nocivo.
Al momento attuale il sito <google--analytics.com> non risulta funzionante. Tuttavia, all'interno di
alcune risorse web violate, stiamo ancora continuando ad osservare alcuni codici fasulli apparentemente
riconducibili a Google Analytics, per quanto innocui (almeno per il momento).
Le minacce per i dispositivi mobili
Gli ultimi avvenimenti che si sono prodotti nel panorama delle minacce mobili evidenziano chiaramente
come, nel corso del 2012, le botnet mobili si stiano apprestando a divenire una delle principali
problematiche sia per gli utenti degli smartphone che per le società produttrici di soluzioni antivirus.
La botnet mobile RootSmart
I virus writer cinesi sono riusciti a creare in tempi rapidi una rete-zombie composta da un numero di
dispositivi mobili attivi che varia costantemente dalle 10.000 alle 30.000 unità; il numero complessivo
dei dispositivi infettati lungo tutto il periodo di esistenza della suddetta botnet mobile ammonta ad
alcune centinaia di migliaia di smartphone. In base alla classificazione eseguita da Kaspersky Lab, i bot
che si trovano all'origine della rete-zombie in questione sono riconducibili alla famiglia
Backdoor.AndroidOS.RootSmart. Tutti i dispositivi mobili infettati parte della botnet RootSmart sono in
grado di ricevere ed eseguire da remoto i comandi provenienti dall'apposito server C&C.
Una simile quantità di apparecchi infetti costituiva una prerogativa delle botnet «ordinarie», formate da
computer-zombie dotati di sistema operativo Windows. A quanto pare, le dimensioni delle botnet
mobili e delle reti-zombie «convenzionali» sembrano coincidere; sta quindi divenendo realtà un
fenomeno che fino a poco tempo fa si collocava ancora nel quadro delle ipotesi. Dal punto di vista della
«monetizzazione», da parte dei proprietari delle reti-zombie delle due diverse tipologie di botnet,
sussistono differenze. In effetti, mentre per far soldi con le botnet ordinarie si ricorre all'organizzazione
di attacchi DDoS e al dispiegamento di imponenti campagne di spam, i metodi di «arricchimento»
utilizzati dai malintenzionati che si avvalgono delle botnet mobili sono di natura diversa.
I malfattori che controllano la botnet RootSmart hanno scelto il metodo di «monetizzazione» più
tradizionale e diffuso nel mondo della cybercriminalità mobile: l'invio di messaggi SMS verso costosi
numeri a pagamento, a totale insaputa dell'utente. Coloro che amministrano la suddetta rete-zombie
hanno la possibilità di stabilire la frequenza dell'invio di tali SMS (una, due, tre o più volte al giorno), il
numero di giorni durante i quali sarà eseguito l'invio dei messaggi dai telefoni contagiati dal malware,
nonché i numeri telefonici verso i quali saranno indirizzati gli SMS a pagamento. Dato che i proprietari
della botnet RootSmart hanno il pieno controllo sui dispositivi mobili infettati, essi possono agire in
maniera tale che gli utenti degli smartphone-vittima non sospettino nulla di quanto stia in realtà
avvenendo (ricorrendo ad esempio all'utilizzo dei numeri a pagamento meno «onerosi» in termini di
costo); tali malintenzionati riescono quindi a controllare a loro piacimento il processo di
«monetizzazione» della botnet RootSmart. Questo genere di approccio al business illecito consente loro,
a differenza di quanto generalmente avviene con i Trojan-SMS ordinari, di ottenere profitti significativi
per un lungo periodo di tempo.
L'arresto degli autori di Foncy
Nel mese di gennaio 2012 abbiamo individuato l'esempio più eclatante di programma maligno mediante
il quale i malfattori possono controllare da remoto il dispositivo mobile infettato, inviando a i più
disparati comandi: si tratta del malware Backdoor.Linux.Foncy.a.
Tale backdoor viene installato nel sistema mediante un programma dropper in formato APK (Android
application package file), assieme ad un root exploit (Exploit.Linux.Lotoor.ac) ed un Trojan-SMS (TrojanSMS.AndroidOS.Foncy.a). Ricordiamo come la famiglia dei Trojan-SMS Foncy fosse già stata individuata
e classificata nel mese di novembre del 2011.
L'inizio di febbraio è stato marcato da un'ottima notizia: sono state arrestate a Parigi due persone
sospettate di aver causato l'infezione di oltre 2.000 dispositivi mobili - equipaggiati con sistema
operativo Android - mediante programmi malware riconducibili alla famiglia Foncy. Tale provvedimento
rappresenta il primo caso di arresto di autori di programmi nocivi «dedicati» alle piattaforme mobili. Dal
momento in cui sono state rese di pubblico dominio le informazioni relative all'esistenza del malware
Foncy sino al giorno dell'arresto dei suoi autori sono tuttavia trascorsi ben 3 mesi. Ci auguriamo che
l'affare possa giungere ben presto alla sua più naturale e logica conclusione e che venga diffusa in tempi
rapidi la notizia relativa all'emissione della prima sentenza di condanna di virus writer resisi responsabili
della creazione e dello sviluppo di software nocivi preposti ad attaccare i dispositivi mobili. Secondo le
prime stime raccolte dalle autorità competenti, i due malintenzionati hanno complessivamente causato
agli utenti di smartphone perdite finanziarie nell'ordine di circa 100.000 euro.
Gli attacchi nei confronti delle reti informatiche e dei siti web di
grandi società e organizzazioni
Nel corso del mese di febbraio 2012 sono proseguiti gli attacchi informatici condotti dagli hacktivisti di
Anonymous nei confronti di risorse web facenti capo a enti finanziari e organizzazioni politiche.
Sono risultati sottoposti ad attacchi portati dagli hacktivisti i siti web delle società americane Combined
Systems Inc. (CSI) e Sur-Tec Inc. Tali società sono state dichiarate dagli esponenti di Anonymous
responsabili della fornitura in vari paesi di mezzi e strumenti utilizzati per esercitare forme di
sorveglianza sui cittadini, sia di gas lacrimogeni e altri strumenti per la repressione di manifestazioni di
piazza. Nella fattispecie, la società CSI è stata accusata di aver fornito simili strumenti tecnologici in
Egitto (ai tempi in cui si trovava ancora al potere il presidente Mubarak, ormai dimessosi da più di un
anno), così come in Israele, Guatemala ed altri paesi ancora. Gli hacker sono riusciti ad impossessarsi
delle comunicazioni e delle corrispondenze interne della società in questione, dell'elenco dei clienti e di
una serie di documenti interni della Combined Systems Inc.; tutto il materiale sottratto è stato
pubblicato sul sito pastebin.com, facilmente accessibile da parte dei navigatori della Rete.
Oltre a ciò, il gruppo Anonymous ha violato una serie di siti appartenenti alla Federal Trade Commission
(FTC) degli Stati Uniti. Tale azione è stata condotta nel quadro della lotta intrapresa da Anonymous nei
confronti del trattato ACTA (the Anti Counterfeiting Trade Agreement). All'interno dei siti web scardinati
è stato collocato un video di protesta nei confronti dell'adozione del trattato. Gli hacktivisti di onymous
hanno carpito dai siti in questione anche i login e le password appartenenti agli utenti delle risorse web
violate; così come nel caso precedente, anche in tale circostanza il materiale rubato è stato pubblicato
su pastebin.com.
Si è assunto la responsabilità della conduzione di tali attacchi informatici il medesimo gruppo che aveva
provveduto ad organizzare, nello scorso mese di gennaio, una serie di attacchi DDoS in segno di protesta
nei confronti della chiusura del sito web Megaupload.com. Nel caso specifico erano stati messi “fuori
combattimento” i siti web facenti capo al Ministero della Giustizia statunitense, così come i siti
appartenenti alla Universal Music Group, alla Recording Industry Association of America e alla MPAA
(Organizzazione americana dei produttori cinematografici).
Un altro gruppo di hacktivisti riconducibile ad Anonymous (LONGwave99) ha poi sferrato un attacco nei
confronti di note istituzioni finanziarie statunitensi. Il 14 e il 15 febbraio scorso, tramite l'utilizzo di
attacchi DDoS, essi sono difatti riusciti a rendere inaccessibili agli utenti del web, per alcune ore, i siti
delle borse valori NASDAQ, BATS, Chicago Board Options Exchange (CBOE) e Miami Stock Exchange. Tali
assalti, riuniti sotto la comune denominazione «Operation Digital Tornado», secondo le dichiarazioni
rilasciate da esponenti delle istituzioni borsistiche,non hanno tuttavia in alcun modo sul regolare
svolgimento delle contrattazioni effettuate nel corso delle due giornate.
Nel frattempo, le forze di cyber polizia stanno continuando a condurre attivamente le loro indagini
riguardo alle attività svolte dagli hacktivisti su scala planetaria. Alla fine del mese di febbraio 2012, a
seguito di un'operazione congiunta compiuta dall'Interpol e dalle forze dell'ordine di Argentina, Cile,
Colombia e Spagna, sono state arrestate ben 25 persone, sospettate di aver preso parte ad una serie di
attacchi informatici. In risposta alla suddetta operazione, gli esponenti di Anonymous hanno
immediatamente organizzato un attacco DDoS nei confronti del sito web dell'Interpol, il quale ha
causato, per alcune ore, la messa fuori servizio del sito.
In Russia, alla vigilia delle elezioni presidenziali di marzo 2012, gli attacchi DDoS e la pratica della
violazione dei siti web sono divenuti strumenti di lotta politica ampiamente utilizzati. Sono così risultati
sottoposti ad assalti informatici ispirati da motivazioni di natura politica i siti di vari mass media, nonché
le risorse web riconducibili sia a forze di opposizione che a forze governative. E' di particolare interesse
rilevare come, per la conduzione dell'intera serie di attacchi individuati dagli esperti di Kaspersky Lab, i
malintenzionati abbiano fatto ricorso ad alcune botnet riconducibili ad una medesima e unica tipologia
(Ruskill), alternando l'utilizzo delle reti-zombie in questione. Abbiamo riscontrato 8 centri di comando e
controllo di tali botnet, collocati in vari paesi, su varie piattaforme, e ospitati da vari provider. Tutti i C&C
sopra menzionati sono da ricondurre ad un medesimo gruppo di persone.
In molti casi è risultato che le botnet coinvolte nella conduzione di attacchi «politici» fossero state in
precedenza utilizzate nel corso di assalti DDoS di natura commerciale, mediante i quali i malintenzionati
si prefiggevano di colpire negozi online, istituti bancari, forum tematici e blog personali. E' evidente
come le botnet si siano rese artefici di insistiti attacchi DDoS - intrisi di motivazioni politiche - dietro una
precisa base commerciale; i titolari di tali reti-zombie hanno in pratica agito come veri e propri
mercenari, disposti, per soldi, ad attaccare chiunque.
Le classifiche di febbraio 2012
I dati indicati sono stati elaborati sulla base dei rilevamenti effettuati dal modulo anti-virus e sono
stati raccolti tramite gli utenti dei prodotti Kaspersky Lab che hanno fornito il consenso alla
trasmissione.
TOP 10 dei malware in Internet
№
Denominazione del malware
rilevato dall'anti-virus web
1
2
3
4
5
6
7
8
9
10
Malicious URL
Trojan.Script.Iframer
Trojan.Script.Generic
Trojan-Downloader.Script.Generic
Trojan.Win32.Generic
Trojan-Downloader.JS.Agent.gmr
Trojan-Spy.JS.Agent.c
TrojanDownloader.Win32.Agent.gyai
Trojan.JS.Redirector.ue
Trojan.JS.Popupper.aw
% sul numero
complessivo
di attacchi
91,26%
5,81%
2,15%
0,95%
0,47%
0,43%
0,37%
0,35%
0,31%
0,30%
Variazione in classifica
0
0
0
+2
-2
Novità
-2
+1
Novità
-1
TOP 10 dei paesi nelle cui risorse web sono stati ospitati programmi dannosi
№
1
2
3
4
5
6
7
8
9
10
Paese*
Paesi Bassi
Stati Uniti
Federazione Russa
Germania
Ukraina
Gran Bretagna
Isole Vergini Britanniche
Francia
Cina
Canada
% sul numero
complessivo di attacchi
22,49%
20,97%
16,82%
10,09%
4,57%
4,43%
1,89%
1,79%
1,45%
1,10%
* Per determinare l'origine geografica dell'attacco informatico è stato applicato il metodo che
prevede la comparazione del nome di dominio con il reale indirizzo IP nel quale tale
dominio risulta collocato; si è allo stesso modo fatto ricorso all'accertamento della
collocazione geografica di tale indirizzo IP (GEOIP).
TOP 10 delle zone di dominio nelle quali sono risultati dislocati i programmi
malware
№
Zona di dominio
Numero di attacchi*
1
ru
48 523 586
2
com
46 111 931
3
info
15 454 153
4
net
10 140 453
5
org
5 326 917
6
in
4 724 839
7
pl
1 465 601
8
me
1 100 728
9
eu
704 525
10
biz
637 536
*Numero complessivo di attacchi unici, rilevati dal componente anti-virus web, provenienti da risorse
Internet dislocate nella zona di dominio.
TOP 10 dei paesi nei quali gli utenti sono risultati maggiormente esposti al
rischio di infezioni mediante Internet
№
Paese
%*
Variazione in
classifica
1
53,75%
2
Federazione
Russa
Costa d'Avorio
3
Armenia
45,47%
4
Kazakhstan
44,99%
0
49,25%
Novità
-1
+1
5
Bielorussia
43,89%
6
Azerbaijan
43,08%
7
Ukraina
41,93%
8
Moldavia
38,16%
+1
-2
0
+2
9
Bangladesh
35,70%
10
Uzbekistan
35,37%
Novità
-2
Nell'effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle
soluzioni anti-virus di Kaspersky Lab risulta relativamente contenuto (meno di 10.000 utenti).
* Quote percentuali relative al numero di utenti unici sui computer dai quali sono state bloccate e
neutralizzate minacce informatiche provenienti dal web, rispetto al numero complessivo di utenti
unici dei prodotti Kaspersky Lab nel paese.
TOP 10 dei paesi i cui utenti sono risultati sottoposti al minor rischio di
infezioni informatiche via Web
№
Paese
%*
Variazione in
classifica
1
Taiwan
8,22%
+6
2
Giappone
8,23%
+2
3
Benin
9,21%
-2
4
Lussemburgo
10,13%
5
Mozambico
10,15%
6
10,35%
10,68%
8
Hong Kong (regione
amministrativa speciale della
Repubblica Popolare Cinese)
Macao (regione amministrativa
speciale della Repubblica
Popolare Cinese)
Danimarca
9
Nuova Zelanda
11,23%
+2
+3
7
Novità
+2
11,01%
-4
Novità
10
Sudafrica
12,04%
Novità
Nell'effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle
soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
* Quote percentuali relative al numero di utenti unici sui computer dei quali sono state bloccate e
neutralizzate minacce informatiche provenienti dal web, rispetto al numero complessivo di utenti
unici dei prodotti Kaspersky Lab nel paese.