Kaspersky Lab presenta le Top20 dei malware di Settembre

07/ott/2009 11.18.34 Sangalli M&C Contatta l'autore

Questo comunicato è stato pubblicato più di 1 anno fa. Le informazioni su questa pagina potrebbero non essere attendibili.

Gentile giornalista,

 

Kaspersky Lab è lieta di sottoporre all'attenzione degli utenti la classifica relativa alla diffusione del malware nel mese di Settembre 2009. Ricordiamo che tali classifiche vengono stilate mensilmente, sulla base dei dati acquisiti tramite Kaspersky Security Network (KSN). Gli indici cumulativi di entrambe le Top 20 si sono lievemente ridotti . Ciò è dovuto all'introduzione della nuova serie di prodotti KAV/KIS: molti utenti sono infatti passati alla nuova versione. Non appena le statistiche di KSN relative alle nuove versioni si saranno stabilizzate intendiamo inserirle nella nostra classifica mensile.

 

1

Net-Worm.Win32.Kido.ih

0

41033

2

Virus.Win32.Sality.aa

0

18027

3

not-a-virus:AdWare.Win32.Boran.z

0

12470

4

Net-Worm.Win32.Kido.ir

Nuovo

11384

5

Trojan-Downloader.Win32.VB.eql

-1

6433

6

Trojan.Win32.Autoit.ci

-1

6168

7

Virus.Win32.Induc.a

3

5947

8

Virus.Win32.Virut.ce

-2

5433

9

P2P-Worm.Win32.Palevo.jdb

Nuovo

5169

10

Net-Worm.Win32.Kido.jq

-2

4288

11

Worm.Win32.FlyStudio.cu

Nuovo

4104

12

Worm.Win32.AutoRun.dui

-5

4071

13

Virus.Win32.Sality.z

-4

4056

14

P2P-Worm.Win32.Palevo.jaj

6

3564

15

Worm.Win32.Mabezat.b

-4

2911

16

Exploit.JS.Pdfka.ti

Nuovo

2823

17

Trojan-Downloader.WMA.Wimad.y

Nuovo

2544

18

Trojan-Dropper.Win32.Flystud.yo

0

2513

19

P2P-Worm.Win32.Palevo.jcn

Nuovo

2480

20

Trojan.Win32.Refroso.bpk

Nuovo

2387

 

 

Kido è ancora attivo. Accanto al leader dell'ultima top 20 Kido.ih troviamo la novità Kido.ir. Con questo nome identifichiamo tutti i file autorun.inf, che il worm costruisce per diffondersi grazie all'aiuto di memorie di massa e altri dispositivi mobili.

Il worm Palevo si sta diffondendo con notevole velocità. Nella classifica di settembre ne sono apparse altre due nuove versioni : Palevo.jdb e Palevo.jcn. Una delle novità della precedente edizione (Palevo.jaj) è salita in un solo colpo di 6 posizioni, impresa che nessun altro è mai riuscito a compiere. Va notato che le posizioni così elevate occupate da parte di questi due malware si devono principalmente alla loro diffusione attraverso le memorie di massa mobili, il che conferma l'efficacia e popolarità di tale metodo di diffusione. La conferma di ciò la troviamo nel fatto che anche il worm di origine cinese FlyStudio.cu si trasmette attraverso questo tipo di dispositivi. Per il resto, il tipo di malware più popolare al giorno d'oggi risultano essere i backdoor.

 

Tra le novità troviamo una nuova versione del downloader multimediale già visto in classifica Wimad – Trojan-Downloader.WMA.Wimad.y. In linea di massima questa nuova versione non si distingue in nulla dai suoi predecessori: al momento dell'installazione la sua prima azione è effettuare una richiesta di download di un file dannoso, nello specifico si tratta di not-a-virus:AdWare.Win32.PlayMP3z.a. Di un altro debuttante (Exploit.JS.Pdfka.ti ) parleremo più avanti, poiché rientra anche nella seconda Top 20. Nella prima tabella gli elementi maggiormente degni di nota restano i malware in grado di auto-diffondersi, la cui tendenza a crescere di importanza ed si è mantenuta inalterata.

 

1

not-a-virus:AdWare.Win32.Boran.z

0

17624

2

Trojan.JS.Redirector.l

1

16831

3

Trojan-Downloader.HTML.IFrame.sz

-1

6586

4

Exploit.JS.Pdfka.ti

Nuovo

3834

5

Trojan-Clicker.HTML.Agent.aq

Nuovo

3424

6

Trojan-Downloader.JS.Major.c

4

2970

7

Trojan-Downloader.JS.Gumblar.a

-3

2583

8

Exploit.JS.ActiveX.as

Nuovo

2434

9

Trojan-Downloader.JS.LuckySploit.q

-1

2224

10

Trojan-GameThief.Win32.Magania.biht

-3

1627

11

Exploit.JS.Agent.ams

Nuovo

1502

12

Trojan-Downloader.JS.IstBar.bh

4

1476

13

Trojan-Downloader.JS.Psyme.gh

Nuovo

1419

14

Exploit.JS.Pdfka.vn

Nuovo

1396

15

Exploit.JS.DirektShow.a

Rientro

1388

16

Exploit.JS.DirektShow.k

-10

1286

17

not-a-virus:AdWare.Win32.Shopper.l

Rientro

1268

18

not-a-virus:AdWare.Win32.Shopper.v

Rientro

1247

19

Trojan-Clicker.JS.Agent.jb

Nuovo

1205

20

Exploit.JS.Sheat.f

Nuovo

1193

 

Nella seconda Top 20, come al solito, vi sono parecchie novità. Innanzitutto qui troviamo ben due rappresentanti della famiglia Exploit.JS.Pdfka: nome con cui si classificano i file JavaScript nascosti all'interno di documenti PDF che sfruttano diverse vulnerabilità dei prodotti Adobe (nella fattispecie Adobe Reader).

Pdfka.ti utilizza una vulnerabilità molto popolare, nota ormai da due anni, della funzione Collab.collectEmailInfo (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5659). Pdfka.vn utilizza una vulnerabilità più nuova, presente nella funzione getIcon dell'oggetto Collab (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927).

 

Tutte le varie vulnerabilità dei prodotti Adobe riscontrate nel corso degli anni vengono sfruttate in massa dai cybercriminali, indipendentemente dalla versione dei vari prodotti, per aumentare la probabilità di download del malware principale. Il ricorso a tale tecnica si spiega con il fatto che una parte degli utenti non rinnova i propri programmi. Per questo motivo ricordiamo per l'ennesima volta di rinnovare sempre quando possibile i pacchetti software principali e più importanti, sopratutto quelli prodotti da Adobe. I protagonisti delle precedenti edizioni della Top 20, Exploit.JS.DirektShow e Exploit.JS.Sheat, sono ancora attivi: abbiamo assistito al ritorno di DirektShow.a e alla comparsa di Sheat.f nella classifica.

 

Le altre novità nella seconda tabella sono o banali clicker iframe o parti dello stesso script di malware (di cui abbiamo parlato in maggiore dettaglio nella classifica di luglio: http://www.securelist.com/ru/analysis/208050535/Reyting_vredonosnykh_programm_iyul_2009). Considerando quanto detto sopra, possiamo concludere che si osserva un mantenimento delle tendenze dei mesi passati: la quantità di pacchetti Web di malware che sfruttano tutte le vulnerabilità presenti all'interno dei principali prodotti continua a crescere, aprendo ai cybercriminali un ampio orizzonte per le operazioni future. La loro diffusione è resa possibile dai semplicissimi clicker iframe, diffusi su moltissimi siti legali infetti. I cybercriminali ottengono l'accesso a questi siti grazie all'infezione già effettuata con l'aiuto di altro malware, che si appropria di dati riservati. E così si chiude il cerchio.

 

top20_sept09_it

Provenienza del malware per aree geografiche


 

In allegato troverà il comunicato stampa completo, siamo a sua disposizione qualora desiderasse ricevere maggiori informazioni.

Cordiali saluti.

 

 

Francesco Corona
fcorona@sangallimc.it

 

Sangalli M&C srl
Via Morimondo 26

Edificio 11 int. 5/a
20143 Milano

tel +39 02.89056404

mob +39 340.1858366

fax +39 02.89056974

skype: francesco.corona

www.sangallimc.it

 

Prima di stampare questa email considera l'impatto ambientale | Please consider environment before priniting this email

 

blog comments powered by Disqus
Comunicati.net è un servizio offerto da Factotum Srl