Italia

eSecurity e virus: la top ten di ottobre. Ancora minacce dalle mail, cresce il phishing

La classifica online Kaspersky Lab per il mese di ottobre è piuttosto inconsueta. Ciò che la differenzia dalle precedenti è la stabilità. Infatti , tre programmi maligni sono riusciti a mantenere la stessa posizione del mese scorso. Molti altri hanno inoltre mostrato cambiamenti poco significativi e sono entrati in classifica solo cinque nuovi programmi maligni: un caso davvero raro. La prima posizione è occupata da Packed.Win32.NSAnti.r, una famiglia completa di Trojan uniti dall’hacker protector NSAnti. Le prime varianti sono apparse ad ottobre, e da allora sono state individuate più di 8000 modifiche.

I primi posti della classifica

I worm Rays e Brontok si sono posizionati tra i primi posti della classifica. A luglio e ad agosto non facevano parte della classifica. E’ probabile che gli utenti continueranno ancora per molto tempo ad avere problemi con questi worm, che si diffondono principalmente attraverso dispositivi mobili (flash memory card). Il programma adware BHO.cc, individuato per la prima volta all’inizio di luglio e distribuito insieme al programma BitAccelerator, è salito di cinque posizioni all’interno della classifica. E’ interessante notare come Google individui più di 2.700.000 link correlati a questo termine.

Il leader di settembre in termini

Il virus script VBS.Small.a è il leader di settembre in termini di crescita. Sebbene questo mese sia rimasto fisso all’ottavo posto, è probabile che salga di alcune posizioni, dato che utilizza gli stessi metodi di Rays e Brontok per diffondersi. I worm Sohanad IM si stanno diffondendo rapidamente: le varianti .t e .as sono salite entrambe di due posizioni, e Sohanad.t ha raggiunto il decimo posto. Il numero di programmi della classe not-a-virus è leggermente inferiore rispetto al mese scorso: solo cinque di questi programmi fanno parte della classifica online di ottobre. Non ci sono altri cambiamenti significativi nella classifica. Perfino il ritorno di Backdoor.IRC.Zapchast alla sesta posizione non è degno di nota: il programma è rimasto in classifica per così tanto tempo che un’unica uscita dalla classifica seguita da un ritorno deve venire considerata come un evento limitato. Infine, i Trojan Spy sono rappresentati da un programma, una variante modificata del programma legale Perflogger.

La classifica di questo mese fosse stata compilata

Se la classifica di questo mese fosse stata compilata con i dati disponibili al 26 ottobre, non sarebbe stato possibile includere due importanti eventi correlati alla diffusione dei malware. Il riferimento è ai due mailing di massa che si sono sviluppati alla fine del mese. Sono risultati tra i più grandi mailing di massa degli ultimi mesi, in particolare sulla rete russa. Il primo ha portato Fraud.ay, un attacco di phishing, al secondo posto in classifica. L’attacco è stato provocato da cybercriminali non identificati che ancora una volta stavano cercando di accedere agli account degli utenti di Yandex.Money. A questo punto, hanno creato dozzine di siti falsi e hanno organizzato uno spam di massa, richiedendo agli utenti di accedere ai link indicati nel messaggio e di digitare le informazioni relative al proprio account. E’ interessante notare come i cybercriminali abbiano agito in maniera così rilassata da non ricordarsi di controllare i link indicati nel messaggio di phishing. Hanno così indicato un indirizzo web che nega l’accesso al sito da Microsoft Outlook e Outlook Express, entrambi client mail standard. L’unico client mail che ha ignorato il messaggio di errore e ha aperto la pagina web è The Bat, il client che è stato utilizzato per creare il messaggio. Inoltre, i siti di phishing erano localizzati su risorse utilizzate in precedenza per attacchi simili, presenti nella blacklist dell’Anti-Phishing Working Group. L’attacco è stato effettuato su larga scala, ma è stato poco efficace. Il secondo attacco, iniziato venerdì 26 ottobre, si è rivelato più articolato. Il traffico email è stato invaso di messaggi che avevano come allegato un file .pdf. Questo file conteneva un exploit conosciuto e scoperto di recente grazie ad una vulnerabilità nei prodotti Adobe. All’apertura del file .pdf, viene eseguito un codice maligno ed installato un Trojan downloader. L’attacco è al sesto posto della nostra classifica: Exploit.Win32.PDF-URI.k.

Un file virus classico

La terza novità è rappresentata da un file virus classico, Virut.a. E’ stato individuato per la prima volta nel maggio 2006, ma solo ora è entrato nella classifica. In che modo? Il metodo è abbastanza diffuso tra i virus odierni: infettando i file dei worm email. Virut ha utilizzato questo metodo per diffondersi, posizionandosi sulle spalle degli altri worm. Tutte le altre posizioni della classifica sono occupate da vecchi worm già conosciuti: NetSky, Mydoom, Bagle, Feebs, Nyxem e Scano. Perfino il ritorno in classifica di Lovegate.w non è stato inaspettato, dato che questo worm è ancora piuttosto attivo nei Paesi vicino al Sud Est asiatico, dove ha avuto origine. L’unico nuovo arrivato della classifica di settembre, l’attacco di phishing Paylap.bg, è sceso all’ultimo posto. Gli altri programmi maligni costituiscono più dell’8% di tutti i codici maligni presenti nel traffico email, indicando che c’è ancora una quantità relativamente ampia di altri worm e famiglie di Trojan in circolazione. (r.n.)

(08 novembre 2007)

© 2002-2012 Key4biz