Classifica malware di dicembre 2009

Nella prima tabella si trovano i programmi dannosi e potenzialmente indesiderati che sono stati individuati sui computer degli utenti e neutralizzati al primo rilevamento.

La prima Top-20 si conferma ancora una volta sostanzialmente stabile.

La comparsa in classifica di tre novità di rilievo, rispettivamente in sesta, decima ed undicesima posizione, ha determinato un lieve arretramento verso le posizioni di rincalzo di una parte dei programmi malware presenti nella Top-20 sopra riportata. L´unica eccezione a ciò è rappresentata da Packed.Win32.Krap.ag, “new entry” del mese scorso, che ha invece scalato ben 3 posizioni verso la sommità della graduatoria.

Krap.ag, alla stregua delle altre versioni di Packed, è costituito, in sostanza, da uno speciale "pacchetto" di malware. In questo caso i malware, accuratamente nascosti all´interno di wrapper regolarmente modificati, rientrano nella fattispecie degli antivirus fittizi. Gli indici assoluti relativi al suddetto programma malware hanno ugualmente fatto segnare dei lievi incrementi, a testimonianza di quanto gli pseudo-antivirus risultino di particolare attualità nel panorama del malware. In effetti, in questi ultimi tempi, i cybercriminali sono soliti far sempre più ricorso all´utilizzo di antivirus fasulli, in maniera estremamente assidua; la ragione di tutto ciò è che una diffusione capillare di tali programmi consente ai malintenzionati della Rete di poter poi realizzare dei consistenti profitti in termini economici. Un´interessante new entry nella Top-20 di Dicembre è rappresentata dall´adware GamezTar.a, che va a collocarsi al 6° posto della nostra speciale classifica. Tale programma, una volta installato, si posiziona alla stregua di una barra degli strumenti all´interno dei browser maggiormente utilizzati in Rete, al fine di favorire un rapido accesso ad una miriade di giochi on-line; naturalmente, esso fa sì che vengano al contempo mostrate agli utenti varie pubblicità intrusive. L´aspetto di maggior rilievo è tuttavia costituito dal fatto che, oltre a tutto il resto, il suddetto programma provvede altresì ad installare alcune applicazioni, le quali operano poi in maniera del tutto indipendente rispetto alla barra degli strumenti creata dall´adware nel browser, immischiandosi in numerose attività condotte dagli utenti in Rete, sia a livello di ricerca che di visualizzazione dei contenuti. Tali componenti sono descritti nelle regole d´uso (http://www.gameztar.com/terms.do), ma, di solito, durante la navigazione, gli utenti risultano ovviamente molto più attratti dal vistoso pulsante lampeggiante “click here, get free games” piuttosto che dalla scritta poco appariscente “terms of service”, presente nella parte inferiore dello schermo. Prima di effettuare il download di qualsivoglia software è quindi sempre altamente raccomandabile procedere alla lettura di documenti del genere, qualora essi siano presenti.

Al decimo posto della classifica si insedia Trojan.Win32.Swizzor.c, stretto parente di Swizzor.b, il quale aveva già fatto la sua comparsa nella Top-20 nello scorso mese di agosto), così come di Swizzor.a, che era invece stato rilevato nel mese di maggio. Gli sviluppatori di questi programmi maligni, tra l´altro magistralmente offuscati, non se ne stanno quindi fermi con le mani in mano, ma elaborano costantemente nuove varianti di malware. Il suddetto trojan è preposto a svolgere funzioni di estrema semplicità; in sostanza, esso provvede a scaricare altri file dannosi da Internet.

La seconda tabella elaborata da Kaspersky Lab descrive la situazione su Internet. In questa classifica si trovano infatti malware che sono stati individuati nelle pagine Web, nonché tutti quelli i cui tentativi di caricamento sui computer degli utenti avvengono sempre attraverso le pagine Web.

In questa seconda classifica, a differenza di quanto riscontrato nella prima Top-20 (caratterizzata da una pronunciata stabilità), solo un quarto dei programmi malware ha mantenuto le proprie posizioni ed uno di essi ha fatto il suo rientro in graduatoria. Leader incontrastato è ancora una volta Gumblar.x. I siti infettati da questo Trojan-Downloader vengono ora tuttavia gradualmente ripuliti dai webmaster.

Krap.ag, menzionato nell´ambito della prima classifica ha fatto segnare una rapida ascesa anche in questa seconda Top-20, guadagnando ben 8 posizioni. Rispetto al mese passato, il numero dei tentativi singoli di scaricamento per tale malware è difatti aumentato più di una volta e mezzo. Il gradino superiore della seconda Top-20 va invece ad appannaggio di Krap.ai, anch´esso costituito da uno speciale “pacchetto” di malware riconducibile alla categoria degli antivirus fasulli.

GamezTar.a è entrato prepotentemente a far parte anche della seconda classifica speciale stilata da noi, andando addirittura ad occupare il terzo gradino del podio; ciò era in ogni caso facilmente prevedibile, visto lo specifico orientamento del programma (rivolto all´universo dei giochi online), e proprio in ragione delle sue complessive funzionalità Web. Ha fatto inoltre il suo ingresso al 16° posto della graduatoria sopra riportata un´ulteriore variante del suddetto programma malware, ovverosia GamezTar.b.

La new entry Trojan-Clicker.JS.Iframe.db, collocatasi in quinta posizione, risulta essere un comune iframe downloader, tra l´altro non troppo astutamente offuscato.

Trojan.JS.Iframe.ez, Trojan.JS.Zapchast.bn, Packed.JS.Agent.bn, Trojan.JS.Agent.axe, Trojan-Downloader.JS.Shadraem.a, Trojan-Downloader.JS.Kazmet.d sono invece script di download di diversi livelli di complessità logica e capacità di auto-offuscamento, i quali sfruttano le vulnerabilità presenti nei prodotti Adobe e Microsoft per realizzare, successivamente, il download dei principali file eseguibili.

Trojan-Downloader.JS.Twetti.a, collocatosi al 17° posto della graduatoria di dicembre, costituisce l´esempio di maggior interesse per ciò che riguarda l´opera creativa dei malfattori della Rete; il suddetto programma maligno si è reso protagonista del contagio di una moltitudine di siti legittimi. L´algoritmo che caratterizza il funzionamento di questo downloader merita davvero di essere esaminato con particolare attenzione. In effetti, una volta decodificato, in esso non è stato rinvenuto alcun specifico link al file eseguibile principale, né tantomeno è risultato possibile identificare degli exploit oppure dei link a questi ultimi! Una più approfondita analisi condotta dagli esperti ha permesso di rivelare che tale script utilizza l´API (Interfaccia di Programmazione dell´Applicazione) di Twitter, il celebre social network che pare goda di ampia popolarità anche presso i cybercriminali ...