Kaspersky Lab: le Top20 dei malware di giugno

La prima tabella si riferisce ai programmi nocivi, adware e programmi potenzialmente pericolosi rilevati e resi inoffensivi al primo trattamento anti-virus da subito, nel quadro dell´azione svolta dal componente di programma “scanner on-access”. L´impiego della metodologia di statistica “on-access” consente di condurre un´immediata analisi dei programmi malware più recenti, dei più pericolosi e dei più diffusi. Tali programmi vengono di fatto bloccati ed inibiti nel momento stesso in cui tentano di avviarsi, o durante il loro download dalla rete sui computer degli ignari utenti. 

I cambiamenti che abbiamo introdotto nella metodologia di analisi delle minacce, non hanno influito sulla leadership della classifica: Net-Worm.Win32.Kido.ih mantiene saldamente la prima posizione. Inoltre, in questa Top-20 compaiono anche due varianti di tale worm, ovverosia Kido.jq e Kido.ix. Evidentemente, la copiosa presenza di Kido nella classifica sopra riportata, è legata al fatto che i «rappresentanti» di tale famiglia di worm sono soliti diffondersi anche tramite supporti mobili, precedentemente utilizzati su unità sprovviste di un´adeguata protezione anti-virus.

Per gli stessi motivi, compaiono in classifica anche AutoRun.dui e AutoRun.rxx, della famiglia di worm Autorun. Troviamo poi, all´interno di questa Top-20, un Trojan Script di particolare interesse, peraltro attivamente utilizzato dai criminali informatici: Trojan-Downloader.JS.LuckySploit.q (ne parleremo più avanti).

Al ventesimo posto si colloca l´adware Shopper.v, uno dei più famosi programmi nel suo genere (la società che lo ha elaborato, Zango - in precedenza Hotbar - è stata chiusa alcuni mesi fa). Tale applicazione installa toolbar di vario tipo, molto difficili da disinstallare, sia nei browser che nei client di posta: saranno in tal modo mostrati in continuazione all´utente dei banner pubblicitari.

La seconda classifica è stata stilata sulla base dei dati acquisiti grazie alle attività condotte dall´anti-virus web: rispecchia la situazione attualmente presente in ambito Internet. Questa Top-20 è composta dal malware rilevato sulle pagine web, così come da quei software nocivi che cercano subdolamente di infiltrarsi nei computer degli utenti tramite il download dalle pagine Internet. In altre parole, questa seconda classifica fornisce illuminanti risposte a due diverse domande: Quali sono i programmi nocivi che infettano con maggiore frequenza le pagine web? e Qual è il malware più frequentemente scaricato - in maniera consapevole od inconsapevole - dalle pagine Internet nocive ed infette?.

La prima posizione è occupata di diritto dal Trojan Downloader Gumblar.a. L´azione che esso conduce rappresenta un eccellente esempio di drive-by-download. Gumblar.a è uno script codificato di piccole dimensioni: quando viene eseguito, reindirizza l´utente al sito infetto dal quale, a sua volta, viene scaricato ed installato il file nocivo eseguibile. Quest´ultimo, dopo essere stato installato nel sistema, esercita evidenti effetti sul traffico web dell´utente, modificando ad esempio i risultati delle ricerche eseguite tramite Google; allo stesso modo, ricerca nel computer dell´utente le password relative ai server FTP, per poi successivamente procedere all´infezione di questi ultimi. Si assiste così alla formazione di una botnet costituita da server infettati, grazie alla quale i malintenzionati potranno agevolmente caricare sui computer degli utenti qualsivoglia tipo di programma nocivo.

La quantità di server infetti è davvero enorme: la diffusione del contagio si è finora prodotta proprio tramite quei computer sprovvisti di adeguata protezione anti-virus. Un ulteriore significativo esempio di download drive-by è rappresentato dal Trojan Downloader LuckySploit.q, che si colloca al terzo posto della classifica sopra riportata e fa altresì parte, come abbiamo visto, della prima Top-20. Si tratta di uno script magistralmente offuscato, il quale inizialmente raccoglie tutte le informazioni relative alla configurazione del browser dell´utente, per poi inviarle al sito nocivo, cifrandole tramite chiave RSA diretta. Nel server, tali informazioni vengono poi decifrate mediante chiave RSA inversa e, a seconda della configurazione del browser precedentemente individuata, viene restituito all´utente un intero bouquet di script, i quali sfrutteranno le vulnerabilità presenti nel computer e provvederanno al caricamento in esso di ulteriori programmi malware. Oltretutto, una combinazione così articolata e mutevole rende di particolarmente difficile un’analisi su campioni dello script iniziale, preposto a raccogliere le informazioni relative al browser: nel caso poi in cui il server che decifra tali informazioni risulti inaccessibile, non sarà possibile nemmeno la ricezione dei dati riguardanti gli script che saranno, nella circostanza, subdolamente inviati all´utente.

Vi è poi tutta una serie di malware che sfruttano proprio le vulnerabilità presenti nei programmi elaborati da alcune delle maggiori software house. La presenza in classifica degli exploit Trojan-Clicker.SWF.Small.b, Exploit.JS.Pdfka.gu, Exploit.JS.Pdfka.lr ed Exploit.SWF.Agent.az è allo stesso tempo indice sia della popolarità che della vulnerabilità dei prodotti Adobe Flash Player e Adobe Reader. Vengono altresì sfruttate vulnerabilità di vario genere insite nelle soluzioni software elaborate da Microsoft: Trojan-Downloader.JS.Major.c, ad esempio, nella sua azione cerca di avvalersi immediatamente di alcune vulnerabilità presenti in varie componenti sia del sistema operativo che delle applicazioni di Microsoft Office. Tirando le somme, si può senz´altro asserire che in questi ultimi tempi si osserva distintamente la tendenza, da parte dei cybercriminali, ad utilizzare in maniera sempre più marcata le varie tipologie del subdolo ma astuto metodo di download drive-by, per infettare i computer degli utenti: è proprio questo, oramai, l´orientamento imperante nel Web. In ragione di quanto sopra esposto, risulta pertanto sempre più indispensabile, per gli utenti, effettuare tempestivamente l´installazione degli aggiornamenti riguardanti sia il sistema operativo che i programmi da essi utilizzati; è in egual modo strettamente necessario, ovviamente, procedere sempre agli aggiornamenti del proprio programma anti-virus.