La classifica di Kaspersky Lab sui peggiori malware di Luglio 2010

Malware individuati nei computer degli utenti 

Rispetto al mese di giugno, non è stata registrata alcuna variazione nella Top-10 della classifica malware sopra riportata. Virus quali Sality e Virut, così come il famigerato worm Kido, non hanno quindi ceduto le loro posizioni nella speciale graduatoria da noi stilata.

La seconda parte della classifica presenta invece numerose sorprese, sotto forma di nuovi programmi maligni entrati a far parte del rating qui analizzato. Ma andiamo ad esaminare per ordine le varie «new entry» che caratterizzano la graduatoria di luglio 2010.

Il programma malware Worm.Win32.Autoit.xl (12œ posizione) è in sostanza costituito da uno script maligno elaborato in linguaggio AutoIt, preposto all'esecuzione di numerosi task dannosi per i computer degli utenti: disattivazione del firewall di Windows, applicazione di regole inibitorie, download ed installazione di ulteriori programmi maligni. E' interessante osservare come quasi un quarto dei casi di rilevamento e neutralizzazione di tale malware si sia prodotto in Brasile. Circa la metà dei rilevamenti, invece, ha avuto luogo in Russia ed in Ucraina.

Annotiamo poi la comparsa in classifica di due nuovi rappresentanti di P2P-Worm Palevo, famiglia di malware di cui abbiamo già ampiamente riferito in occasione di precedenti report da noi stilati: P2P-Worm.Win32.Palevo.aomy (13œ posizione) e P2P-Worm.Win32.Palevo.aoom (16œ posizione).

Ha fatto ugualmente il suo ingresso in classifica la nuova variante «aa» di Exploit.JS.CVE-2010-0806 (15œ posizione), exploit in grado di sfruttare la vulnerabilità CVE-2010-0806, individuata nel mese di marzo dell'anno in corso. I malintenzionati fanno attualmente sempre più ricorso all'applicazione di processi di offuscamento degli script, così come a metodiche di antiemulazione; ciò genera, ovviamente, la progressiva comparsa di nuove varianti del suddetto exploit. Ricordiamo, con l'occasione, come la vulnerabilità CVE-2010-0806 sia altresì utilizzata da due ulteriori programmi maligni presenti in graduatoria: Exploit.JS.Agent.bab (5œ posizione) e Trojan.JS.Agent.bhr (in 6œ posizione). Evidenziamo come questo «trio» compaia ugualmente nella seconda classifica oggetto del presente report, ovverosia il rating relativo ai programmi malware individuati nelle pagine Web.

Un'ulteriore «new entry» è poi costituita da Hoax.Win32.ArchSMS.ih, malware che è andato a collocarsi al 17œ posto di questa speciale graduatoria da noi stilata. Questo singolare programma maligno si è reso protagonista dell'introduzione di un metodo del tutto nuovo al fine di ingannare gli utenti della Rete. In genere il programma viene distribuito camuffato sotto forma di software gratuito e apparentemente legittimo. Al momento della sua apertura compare sullo schermo una finestra nella quale si comunica che il programma è in forma compressa e pertanto, al fine di ottenere la password necessaria per avviare il processo di decompressione dell'archivio, occorrerà procedere all'invio di alcuni SMS (in genere da uno a tre). Il costo di ciascuno di tali messaggi può addirittura raggiungere i 500 rubli (circa 13 euro)! Una volta effettuato l'invio, l'utente riceverà «in dotazione» un programma maligno, oppure un link ad un sito torrent. In altri casi ancora egli si vedrà recapitare un messaggio di errore o un file archivio... completamente vuoto. La stragrande maggioranza dei computer nei quali è stato individuato il programma malware sopra descritto è situata in paesi russofoni: Russia, Ucraina, Kazakhstan, Bielorussia, Azerbaijan, Moldavia (in ordine decrescente per quantità di computer infettati).

L'utility di compressione Packed.Win32.Katusha.n (19œ posizione) viene invece impiegata dai malintenzionati per proteggere numerosi programmi malware dall'azione condotta dai software antivirus. Sotto tale denominazione in genere si nascondono dei falsi antivirus, compressi mediante il «packer» Katusha.

Malware diffusi via Internet

La seconda tabella descrive la situazione su Internet. In questa classifica si trovano infatti malware che sono stati individuati nelle pagine Web, nonché tutti quelli i cui tentativi di caricamento sui computer degli utenti avvengono sempre attraverso le pagine Web.

Come evidenziato nella tabella sopra riportata, nel mese analizzato nel presente report sono entrati a far parte della Top-20 relativa ai malware più diffusi via Internet ben 12 nuovi programmi maligni.

La seconda posizione della nostra speciale classifica risulta saldamente occupata dal tristemente noto Trojan Downloader Pegel, la cui attività, nel corso di questi ultimi tre mesi, si è costantemente mantenuta su livelli elevati. In luglio ha fatto il suo ingresso nei piani alti della classifica una nuova variante di tale script downloader, ovverosia “bp”.

La metà dei programmi malware presenti in questa seconda graduatoria da noi stilata è costituita da exploit; ben 8 di essi sfruttano vulnerabilità già note.

Così come nel mese precedente, è andato ad insediarsi al primo posto della classifica Exploit.JS.Agent.bab, il quale utilizza la vulnerabilità CVE-2010-0806. Questa stessa vulnerabilità viene ugualmente sfruttata da una «new entry» del rating, Exploit.JS.CVE-2010-0806.aa (17œ posizione), e da Trojan.JS.Agent.bhr (collocatosi al 6œ posto). Contrariamente a quanto era lecito attendersi, rileviamo quindi come il livello di «popolarità» raggiunto dalla vulnerabilità CVE-2010-0806 risulti in fase di crescita.

Non cedono le loro posizioni in classifica nemmeno i malware che «rappresentano» la piattaforma Java. Non solo: ai due programmi nocivi già presenti in alcuni nostri precedenti report, ovverosia Exploit.Java.CVE-2010-0886.a (3œ posizione) e Exploit.Java.Agent.f (7œ posizione) si è aggiunto un ulteriore malware, Trojan-Downloader.Java.Agent.jl (insediatosi all' 8œ posto). Gli ultimi due programmi malware sopra citati sfruttano la vulnerabilità CVE-2010-3867 e vengono caricati sul computer-vittima tramite lo script collocatosi al 16œ posto della graduatoria, Trojan.JS.Agent.bmh.

Una delle “new entry” della classifica, Exploit.HTML.CVE-2010-1885.a (3œ posizione) è in pratica costituita da uno script che si avvale della vulnerabilità CVE-2010-1885. Nel nostro blog avevamo già evidenziato la comparsa di tale vulnerabilità. Tuttavia, essa non risultava ancora così “popolare”, come invece lo è stata nel mese passato. Il file che contiene il codice nocivo è costituito da una pagina html, all'interno della quale viene posto un iframe contenente un indirizzo appositamente predisposto dai malintenzionati.

Frammento di Exploit.HTML.CVE-2010-1885.a

Una volta avviato il file, viene effettuato il download di un altro script, identificato da Kaspersky Lab come Trojan-Downloader.JS.Psyme.aoy, il quale, a sua volta, provvede in seguito a caricare ed avviare uno dei malware membri della famiglia Trojan-GameThief.Win32.Magania, preposto al furto delle password utilizzate nell'ambito dei giochi online. È interessante rilevare come nello script intermedio venga applicato un metodo piuttosto singolare per occultare il link maligno; quest'ultimo viene difatti scritto «alla rovescia». Ciò risulta evidente nello screenshot qui sotto inserito:

Frammento di Trojan-Downloader.JS.Psyme.aoy: lo script costituisce un anello intermedio all'interno dello schema operativo utilizzato da Exploit.HTML.CVE-2010-1885.a

Il malware Exploit.Win32.IMG-TIF.b, elaborato per sfruttare la vulnerabilità CVE-2010-0188, era stato per la prima volta descritto già nel mese di marzo; esso ha tuttavia iniziato a diffondersi attivamente solo da poco tempo a questa parte. E' di particolare interesse evidenziare come i virus writer non siano in pratica mai ricorsi all'utilizzo della suddetta vulnerabilità nei due-tre mesi successivi alla sua scoperta.

Scorrendo la classifica dei programmi malware individuati nelle pagine web, rileviamo poi la presenza di due ulteriori exploit: Exploit.JS.Pdfka.bys (collocatosi in 15œ posizione) ed Exploit.JS.Pdfka.cny (18œ posizione). Essi altro non sono che script elaborati per sfruttare varie vulnerabilità presenti nei prodotti Adobe.

Nell'ambito di questa seconda Top-20 del mese di luglio 2010, osserviamo come ben cinque posizioni siano andate ad appannaggio di programmi AdWare: tre varianti di AdWare.Win32.FunWeb (4œ, 9œ e 19œ posizione), AdWare.Win32.Shopper.l (11œ posizione) e AdWare.Win32.Boran.z (13œ posizione). Boran.z rappresenta una delle “new entry” della classifica; questo AdWare era già stato individuato nell'ottobre del 2009: si tratta, in sostanza, di un modulo BHO, distribuito dai malintenzionati assieme al relativo driver di protezione. Tra le novità che caratterizzano la classifica del mese di luglio 2010 troviamo infine Trojan.JS.Agent.bhl, uno di quei programmi abitualmente utilizzati per diffondere in Rete pubblicità moleste. Si tratta, nella fattispecie, di uno script che provvede ad aprire finestre pop-up indesiderate sugli schermi degli utenti. Per bypassare i sistemi di sicurezza preposti ad impedire l'apertura di tali finestre, esso si avvale di varie tecnologie. Lo screenshot sotto riportato mostra un frammento del file contenente il codice (con relativo commento) elaborato per contrastare l'azione svolta dal modulo popup blocker di Norton Internet Security.

Gli ulteriori programmi che compongono la seconda Top-20 costituiscono, in sostanza, veri e propri «anelli» intermedi nella «catena» di diffusione dei principali malware.

Conclusioni

I dati relativi al mese analizzato riflettono ancora una volta la marcata tendenza, da parte dei malintenzionati della Rete, a cercare di diffondere i malware sfruttando le vulnerabilità presenti nel sistema e nelle applicazioni utilizzate dall'utente. I programmi che si avvalgono di tali vulnerabilità risultano presenti anche nel rating riguardante i malware individuati nei computer degli utenti.

Lo script downloader Pegel, così come le vulnerabilità da esso sfruttate (CVE-2010-0806, CVE-2010-3867, etc.), risultano tuttora molto diffusi, nonostante gli sforzi compiuti dalle società produttrici di antivirus, nonché da Adobe e Microsoft per effettuare con prontezza il rilascio delle patch necessarie. Nel mese di luglio è stata rilevata una quantità piuttosto consistente di programmi malware volti a sfruttare le vulnerabilità CVE-2010-0188 e CVE-2010-1885, da noi descritte di recente.

E' inoltre di estrema importanza sottolineare come, al momento attuale, si stia attivamente diffondendo in Rete un nuovo Internet worm, Stuxnet, il cui rootkit driver risulta addirittura provvisto di firme legali. Il worm sfrutta una vulnerabilità presente nei file LNK (i «collegamenti» - o «shortcuts» - di Microsoft Windows), per la quale non è stata ancora rilasciata la patch occorrente. Tale vulnerabilità permette l'esecuzione arbitraria di una dll a totale insaputa dell'utente, ogniqualvolta lo shortcut maligno viene, per così dire, «visitato» da un qualsiasi programma che «rifletta» l'icona dello shortcut.

E per concludere un elemento positivo: è da porre sicuramente in rilievo il fatto che la diffusione di Gumblar pare essersi interrotta. Ma...per quanto tempo ancora?

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Aggiornamenti Microsoft di agosto 2010

Il 25 luglio segnalavo una falla nella Shell di Windows, i primi di agosto, Microsoft ha rilasciato una patch straordinaria che risolve la vulnerabilità in questione.

Microsoft raccomanda l'aggiornamento, qualunque sia la versione del sistema operativo che si utilizza, onde evitare il propagarsi degli attacchi.

Mentre per il consueto aggiornamento del secondo martedì del mese, sono stati rilasciati 14 aggiornamenti che risolvono ben 34 vulnerabilità, un aggiornamento da record.

Dei 14 aggiornamenti, 8 sono considerati critici e li trovate sul sito Microsoft.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

G Data un tools per risolvere la falla di Windows

Un'altra soluzione per risolvere momentaneamente la grave falla, che colpisce i sistemi operativi Windows, oltre a quella proposta da Microsoft, arriva da G.Data.

G Data ha reso disponibile un hotfix, chiamato “G Data LNK Checker”, che blocca l’esecuzione automatica dei file contenenti malware e visualizza le icone regolari come al solito. 

Ralf Benzmueller (Head of the G Data SecurityLabs) spiega che: 

“Questa recente falla di sicurezza dà ai cyber criminali un ampio ventaglio di nuove possibilità per infettare un Pc. Essi hanno solo la necessità di esseri sicuri che venga visualizzato sul Pc un file .Ink. Il file a cui il link fa riferimento non deve poi necessariamente essere su un computer – può essere perfino su Internet. Non sono colpiti soltanto gli utenti di memory stick. In un network aziendale, per esempio, è sufficiente che un file infetto venga salvata su un disco di rete. Perfino i software più comuni, come i word processor o i client e-mail, ammettono la possibilità di visualizzare shortcut. Le potenzialità di abuso connesse a questo fatto sono enormi. Ci aspettiamo che questa vulnerabilità sia a breve sfruttata in maniera significativa.” 

L'hotfix, afferma G Data, funziona indipendentemente da qualsiasi suite di sicurezza è installata e fornisce una generica protezione contro l’automatica esecuzione di malware. Dopo l’installazione, il “G Data LNK Checker” controlla la creazione di icone di shortcut e previene l’automatica esecuzione del codice nella visualizzazione delle icone. Il meccanismo di infezione, infatti, è usato solo in specifici casi, per esempio nelle icone degli elementi del sistema di controllo. 

I simboli sul desktop con i comandi più popolari e sicuri vengono visualizzati come sempre. Se viene invece segnalato un codice maligno è visualizzata un’icona con un segnale rosso di avviso.

Attenzione: un doppio click su di un file contrassegnato come pericoloso è responsabilità dell’utente. In questo caso è consigliabile avere una suite di sicurezza installata sul proprio Pc. 

Una volta che Microsoft avrà fornito una patch contro questa falla di sicurezza e gli utenti l’avranno scaricata ed installata sul proprio Pc, il “G Data LNK Checker” potrà essere disinstallato come qualsiasi altro programma. Questo hotfix è sviluppato per tutti i sistemi operativi Windows a partire da Windows XP, sia a 32 che 64-bit. Gli utenti Con Windows XP Service Pack 2 sono protetti anch’essi sebbene da poco sia cessato il supporto da parte di Microsoft. 

L'hotfix lo trovate nella pagina di download oppure direttamente da questo link.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Antitrust: multa a molti operatori telefonici

È vero che non posseggo il cellulare, strano ma è così, ma se mai ... e dico mai un giorno dovessi decidermi ad acquistarlo sono certa che non avrò mai una di quelle suonerie idiote che vengono pubblicizzate sui media, e non penso che mi rivolgerei ad altri prodotti.

E proprio le suonerie sono sovente oggetto di attenzione da parte dell'Antitrust, a causa delle moltissime truffe a cui sono legate.

A seguito delle denunce effettuate dai consumatori, relative ai mesi tra febbraio e ottobre del 2009, l'Antitrust ha sanzionato un po' di operatori di telefonia mobile per pratica commerciale scorretta, in quanto venivano proposte suonerie, sfondi. giochi, applicazioni, tramite SMS truffaldini  dal numero 48244, non richiesti, addebitando somme sottraendole dal credito residuo della propria carta SIM.

Gli operatori sanzionati sono:

• Flycell Italia S.r.l a cui è stata appioppata una multa di  120 mila; 
• Telecom Italia con una multa  90 mila euro;
• Vodafone Omnitel  dovrà pagare 80 mila euro;
• Wind Telecomunicazioni pagherà una sanzione di  70 mila euro;
• H3G  se la cava con 40 mila euro 

Aggiornamento:

Leggo che sono state commiate nuove multe a carico di alcuni operatori di comunicazioni elettroniche, per un ammontare complessivo di 1.214.632,00 euro.

Si tratta degli operatori: Noatel, Telecom Italia, Tiscali, Vodafone Omnitel, Omninetwork e Opitel, sanzionati tutti per non aver fornito, nelle condizioni generali di contratto e sui propri siti, informazioni all’utenza sulle caratteristiche dell’offerta dei servizi di accesso a internet da postazione fissa.

Maggiori info le potete trovare sul sito Agcom, oppure consultare il .pdf.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

AVG scopre 1,2 milioni di pc infettati

I ricercatori AVG, hanno comunicato di aver scoperto una rete di 1,2 milioni di computer infetti da malware.

I computer infetti sono sotto controllo grazie a un exploit toolkit Eleonore, un attack software che si può facilmente reperire in commercio che permette ai cybercriminali di controllare e gestire i computer infetti.

Sono stati individuati dalle segnalazioni dell' ottimo programma gratuito LinkScanner di AVG, quindi bloccati per salvaguardare gli utenti. 

Sul Blog ufficiale di AVG è presente una lista aggiornata di siti infetti.

"La semplicità d’uso e di reperimento dei toolkit per cybercriminali è la prova che purtroppo gli interessi che ruotano intorno al mondo hacker sono ancora molti e in fase di crescita – afferma Yuval Ben-Itzhak, senior vice presidente di AVG Technologies. “E’ per questo che diventa quanto mai importante per famiglie, uffici e tutti gli altri utenti di proteggere I propri computer da questi continui e sempre più frequenti attacchi utilizzando l’anti-virus di AVG e tutti I molteplici strumenti messi a disposizione gratuitamente da AVG quali ad esempio LinkScanner."

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Trend Micro lancia Browser Guard 2010

Trend Micro, ha da non molto rilasciato un nuovo tool gratuito per la sicurezza.

Si chiama Browser Guard 2010 è già dal nome si intuisce che lo scopo è proteggere gli utenti dalle minacce che si trovano su pagine web pericolose.

In pratica si tratta di un plug-in per il browser che protegge la navigazione su Internet, dove spesso si trovano pagine web contraffatte e che nascondo dei JavaScript dove l'utente potrebbe inconsapevolmente scaricare del malware sul proprio computer.

Browser Guard è costantemente in contatto con l'infrastruttura Trend Micro Smart Protection Network, per permettere una difesa aggiornata tanto da garantire la protezione da minacce pericolose come ad esempio gli attacchi Zero-day, Hydraq e Aurora.

I sistemi operativi supportati sono:

• Microsoft Windows XP Home / Professional (con SP2 o successivo)
• Windows Vista (con l'ultimo Service Pack)
• Microsoft Windows 7
• Windows Internet Explorer 6.0 e versioni successive
• Nota: i sistemi operativi x64 non sono supportati.

Lo potete scaricare dal sito Trend Micro (in inglese).


Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.