Kaspersky Lab presenta la classifica dei malware di novembre

04/dic/2009 15.28.15 Sangalli M&C Contatta l'autore

Questo comunicato è stato pubblicato più di 1 anno fa. Le informazioni su questa pagina potrebbero non essere attendibili.

Gentile giornalista,

 

Kaspersky Lab è lieta di sottoporre all'attenzione degli utenti la classifica relativa alla diffusione dei diversi tipi di malware in novembre.

 

Malware individuati nei computer degli utenti

Nella prima tabella troviamo i programmi dannosi e potenzialmente indesiderati che sono stati individuati sui computer degli utenti e neutralizzati al primo rilevamento.

Posizione

Malware

Variazione

N° computer infettati

1

Net-Worm.Win32.Kido.ir

0

330.305

2

Net-Worm.Win32.Kido.iq

Nuovo

174.351

3

Net-Worm.Win32.Kido.ih

-1

145.332

4

Virus.Win32.Sality.aa

0

128.737

5

Worm.Win32.FlyStudio.cu

0

93.848

6

not-a-virus:AdWare.Win32.Boran.z

-3

84.825

7

Trojan-Downloader.Win32.VB.eql

-1

63.287

8

Trojan-Downloader.WMA.GetCodec.s

9

48.426

9

Virus.Win32.Virut.ce

1

47.812

10

Virus.Win32.Induc.a

-3

46.252

11

Worm.Win32.AutoRun.awkp

-2

36.453

12

Packed.Win32.Black.d

-4

36.422

13

Packed.Win32.Black.a

-2

35.094

14

Trojan-Dropper.Win32.Flystud.yo

-1

34.638

15

Worm.Win32.AutoRun.dui

-3

32.493

16

Packed.Win32.Klone.bj

-1

31.963

17

Worm.Win32.Mabezat.b

1

29.804

18

Packed.Win32.Krap.ag

Nuovo

26.041

19

Trojan-GameThief.Win32.Magania.ckqi

Nuovo

25.529

20

Trojan.Win32.Genome.bjgu

Nuovo

24.730

 

Nel complesso, le variazioni nella prima Top 20 sono state limitate, tuttavia vi sono alcuni elementi degni di nota.

Innanzitutto Kido.iq è entrato in classifica direttamente in seconda posizione. Questo malware ha funzioni simili a quelle del primo classificato nei mesi passati, ovvero Kido.ir, entrato in classifica a settembre. (http://www.kaspersky.com/it/news?id=166)

In secondo luogo il downloader multimediale GetCodec.s è salito di ben 9 posizioni, e la quantità di computer su cui GetCodec è stato individuato è più che raddoppiata. Ricordiamo che GetCodec.s si diffonde insieme al worm P2P-Worm.Win32.Nugg in modo del tutto analogo alla versione precedente dello stesso malware, cioè GetCoded.r, di cui abbiamo già parlato nel dicembre del 2008 (http://www.kaspersky.com/it/news?id=81). È evidente che i cybercriminali stanno tentando per l'ennesima volta di diffondere P2P-Worm.Win32.Nugg, utilizzando la rete di scambio file Gnutella (nella fattispecie la popolare applicazione LimeWire). Questo worm è inoltre il downloader di diversi malware, il che lo rende ancora più pericoloso per i computer degli utenti.

Un'altra novità interessante è Packed.Win32.Krap.ag. Come le altre versioni di Packed, anche questa sta ad indicare uno speciale "pacchetto" di malware. In questo caso i malware, accuratamente nascosti all'interno di wrapper regolarmente modificati, rientrano tra quegli antivirus fittizi di cui abbiamo parlato poco tempo fa (http://www.kaspersky.com/it/reading_room?chapter=207716851). In altre parole, il 18° posto della classifica è in pratica rappresentato da pseudo-antivirus.

Fin dal suo ritorno, il trojan dei giochi Magania ha occupato una posizione di rilievo in classifica: a novembre la variante Magania.cbrt, che si trovava al 19° posto, è stata sostituita dalla nuova variante   Magania.ckqi.

 

Malware diffusi via Internet

La seconda tabella descrive la situazione su Internet. In questa classifica si trovano infatti malware che sono stati individuati nelle pagine Web nonché tutti quelli i cui tentativi di caricamento avvengono sempre attraverso le pagine Web.

 

Posizione

Malware

Variazione

Numero download

1

Trojan-Downloader.JS.Gumblar.x

0

1714509

2

Trojan-Downloader.HTML.IFrame.sz

1

189881

3

Trojan-Clicker.JS.Iframe.be

Nuovo

170319

4

not-a-virus:AdWare.Win32.Boran.z

0

136748

5

Trojan.JS.Redirector.l

0

130271

6

Trojan.JS.Ramif.a

Nuovo

115163

7

Trojan.JS.Agent.aat

1

55291

8

Trojan-Clicker.HTML.Agent.aq

-2

47873

9

Trojan.HTML.Fraud.r

Nuovo

47473

10

Trojan-Downloader.JS.Gumblar.w

-8

41977

11

Trojan.JS.Iframe.dy

Nuovo

35152

12

Trojan-Downloader.JS.Zapchast.m

-5

31161

13

Trojan-Downloader.JS.IstBar.cy

Nuovo

30806

14

Trojan-Clicker.JS.Iframe.u

Nuovo

30553

15

Trojan-Downloader.JS.Psyme.gh

Rientro

30078

16

Trojan-Downloader.HTML.FraudLoad.b

Nuovo

29466

17

Trojan-Clicker.HTML.IFrame.ajn

Nuovo

29455

18

Trojan.JS.PrygSkok.a

Nuovo

27804

19

Packed.Win32.Krap.ag

Nuovo

26770

20

Trojan-Downloader.JS.LuckySploit.q

-5

26175

 

Gumblar continua nella sua avanzata in tutto il mondo. È leader dei malware via Internet, con un distacco notevole sugli altri e una quadruplicazione in termini di quantità di tentativi singoli di scaricamento.

Il nuovo attacco di Gumblar, di cui abbiamo parlato il mese scorso (http://www.kaspersky.com/it/news?id=183) prosegue anche a novembre. Tuttavia, a differenza degli attacchi di sei mesi fa (http://www.kaspersky.com/it/news?id=140), questa volta tutti i componenti (downloader, exploit, file eseguibile principale) nel corso del mese sono stati modificati con una regolarità decisamente invidiabile.

Gli pseudo-antivirus sono comparsi anche nella seconda classifica. Uno dei metodi con cui si diffondono è il download sul computer dell'utente da pagine Web, costruite secondo uno schema standard e incorporate in diversi programmi-truffa associati. A novembre i siti Web più popolari da cui vengono scaricati gli pseudo-antivirus da noi individuati sono Trojan.HTML.Fraud.r e Trojan-Downloader.HTML.FraudLoad.b. Da queste pagine si scaricano anche i malware di tipo Packed.Win32.Krap.ag di cui si è detto in precedenza, fatto che spiega la loro presenza in questa classifica.

Le altre novità, secondo una tradizione ormai consolidata, sono script di download di diversi livelli di complessità e capacità di auto-offuscamento.

               

Tendenze del mese

Dai risultati di novembre il quadro nel complesso risulta invariato. Al momento lo schema più popolare di diffusione dei malware è "script dannoso + exploit + file eseguibile" e "script dannoso + file eseguibile". In questo modo, nella maggior parte dei casi si diffondono i malware la cui finalità è il furto di dati personali o di denaro. Alcuni esempi sono: Trojan-PSW.Win32.Kates (il cui download rappresenta lo scopo principale degli attacchi di Gumblar), lo stesso Trojan-Spy.Win32.Zbot (trojan molto diffuso, che si diffonde attivamente con l'aiuto di script downloader e di diverse applicazioni di spam) e vari tipi di pseudo-antivirus.

Un'altra tendenza riscontrata nei mesi precedenti e confermata a novembre è la diffusione di falsi antivirus con l'ausilio di pagine Web dalla struttura standard.

Inoltre, i cybercriminali utilizzano attivamente i wrapper (soprattutto quelli polimorfi), contando sul fatto che tali sistemi permettono di impedire l'individuazione dei malware nascosti al loro interno senza però modificarne le funzionalità.

Questo mese abbiamo identificato un metodo di diffusione dei malware attraverso le reti P2Pcon l'aiuto di downloader multimediali secondo lo schema che i cybercriminali avevano già utilizzato nel dicembre dell'anno passato.

 

I paesi in cui si riscontra una maggiore quantità di tentativi di infezione via Web sono:

aseev_top20_0910_it

Provenienza del malware per aree geografiche


In allegato troverà il comunicato stampa completo, siamo a sua disposizione qualora desiderasse ricevere maggiori informazioni.

Cordiali saluti.

 

 

Francesco Corona
fcorona@sangallimc.it

 

Sangalli M&C srl
Via Morimondo 26

Edificio 11 int. 5/a
20143 Milano

tel +39 02.89056404

mob +39 340.1858366

fax +39 02.89056974

skype: francesco.corona

www.sangallimc.it

 

Prima di stampare questa email considera l'impatto ambientale | Please consider environment before priniting this email

 

blog comments powered by Disqus
Comunicati.net è un servizio offerto da Factotum Srl