Kaspersky Lab: Top20 dei malware di settembre

Kido è ancora attivo. Accanto al leader dell´ultima top 20 Kido.ih troviamo la novità Kido.ir. Con questo nome vengono identificati tutti i file autorun.inf, che il worm costruisce per diffondersi grazie all´aiuto di memorie di massa e altri dispositivi mobili.

Il worm Palevo si sta diffondendo con notevole velocità. Nella classifica di settembre ne sono apparse altre due nuove versioni : Palevo.jdb e Palevo.jcn. Una delle novità della precedente edizione (Palevo.jaj) è salita in un solo colpo di 6 posizioni, impresa che nessun altro è mai riuscito a compiere. Va notato che le posizioni così elevate occupate da parte di questi due malware si devono principalmente alla loro diffusione attraverso le memorie di massa mobili, il che conferma l´efficacia e popolarità di tale metodo di diffusione. La conferma di ciò si ritrova nel fatto che anche il worm di origine cinese FlyStudio.cu si trasmette attraverso questo tipo di dispositivi. Per il resto, il tipo di malware più popolare al giorno d´oggi risultano essere i backdoor.

Tra le novità troviamo una nuova versione del downloader multimediale già visto in classifica Wimad – Trojan-Downloader.WMA.Wimad.y. In linea di massima questa nuova versione non si distingue in nulla dai suoi predecessori: al momento dell´installazione la sua prima azione è effettuare una richiesta di download di un file dannoso, nello specifico si tratta di not-a-virus:AdWare.Win32.PlayMP3z.a. Un altro debuttante è l’Exploit.JS.Pdfka.ti, di cui, però, parleremo più avanti, perché rientra anche nella seconda Top 20. Nella prima tabella gli elementi maggiormente degni di nota restano i malware in grado di auto-diffondersi, la cui tendenza a crescere di importanza ed si è mantenuta inalterata.

Una delle novità è costituita da ben due rappresentanti della famiglia Exploit.JS.Pdfka: nome con cui si classificano i file JavaScript nascosti all´interno di documenti PDF che sfruttano diverse vulnerabilità dei prodotti Adobe (nella fattispecie Adobe Reader).

Pdfka.ti utilizza una vulnerabilità molto popolare, nota ormai da due anni, della funzione Collab.collectEmailInfo. Pdfka.vn utilizza una vulnerabilità più nuova, presente nella funzione getIcon dell´oggetto Collab. Tutte le varie vulnerabilità dei prodotti Adobe riscontrate nel corso degli anni vengono sfruttate in massa dai cybercriminali, indipendentemente dalla versione dei vari prodotti, per aumentare la probabilità di download del malware principale. Il ricorso a tale tecnica si spiega con il fatto che non sempre vengono rinnovati i programmi antivirus. Per questo ricordiamo, per l´ennesima volta, di rinnovare sempre i software. I protagonisti delle precedenti edizioni della Top 20, Exploit.JS.DirektShow e Exploit.JS.Sheat, sono ancora attivi.

In sostanza si osserva un mantenimento delle tendenze dei mesi passati: la quantità di pacchetti Web di malware che sfruttano tutte le vulnerabilità presenti all´interno dei principali prodotti continua a crescere, aprendo ai cybercriminali un ampio orizzonte per le operazioni future. La loro diffusione è resa possibile dai semplicissimi clicker iframe, diffusi su moltissimi siti legali infetti. I cybercriminali ottengono l´accesso a questi siti grazie all´infezione già effettuata con l´aiuto di altro malware, che si appropria di dati riservati.

Per quanto riguarda la provenienza del malware, si è rilevato che il 31,3 % proviene dalla Cina, il 15,7% dagli USA, l’8,3% dalla Russia, il 5,3% dall’India, il 3,2% dal Vietnam ed il rimanente 36,2% da altri Paesi.

Ulteriori informazioni: www.kaspersky.it - www.viruslist.com.