Martedì 08 Marzo 2011 11:01
Statistica mensile sulla diffusione del malware a Febbraio 2011
Kaspersky Labs pubblica la statistica di Febbraio 2011.
Statistiche per il mese di Febbraio 2011:
Statistiche per il mese di Febbraio 2011:
- sono stati bloccati 228.649.852 attacchi di rete;
- sono stati impediti 70.465.949 tentativi di infezione via web;
- sono stati individuati e neutralizzati 252.187.961 programmi dannosi nei computer degli utenti;
- sono stati riconosciuti 75.748.743 oggetti tramite analisi euristica.
Perfezionamenti degli attacchi drive-by
C'è stata una crescita importante nell'uso di Cascading Style Sheets (CSS) contenenti dati parziali per script downloader, un nuovo metodo per diffondere smalware che complica notevolmente il rilevamento di script pericolosi da parte dei programmi antivirus. Questa tipologia di infezione è utilizzata attualmente nella gran parte degli attacchi drive-by download e consente di scaricare programmi dannosi sul PC dell'utente senza che vengano rilevati.
Tra gli attacchi drive-by che sfruttano questa tecnica vi sono quelli che ridirezionano gli utenti da un sito infetto ad una pagina contenente CSS e uno script di download, generalmente servendosi di iFrame. Nella top 20 dei programmi dannosi rilevati in Internet a febbraio 2011 vi sono tre pagine di questo tipo: Trojan-Downloader.HTML.Agent.sl al primo posto, Exploit.JS.StyleSheeter.b al tredicesimo e Trojan.JS.Agent.bte nella posizione 19.
Lo script download presente in queste pagine scarica due tipi di exploit. Uno di essi sfrutta la vulnerabilità CVE-2010-1885, individuata come Exploit.HTML.CVE-2010-1885.ad da Kaspersky, che si trova al quarto posto nella classifica. Questo exploit è stato individuato in media sui PC di 10000 utenti distinti ogni giorno.
L'utilizzo di queste vulnerabilità non è una novità, mentre lo sfruttamento della CVE-2010-0840 è stato rilevato la prima volta a Febbraio.
Le statistiche raccolte dai moduli euristici dei prodotti Kaspersky confermano che l'uso dei CSS per proteggere gli exploit, e quindi per diffondere malware, è al momento il metodo principale utilizzato negli attacchi drive-by. La maggior parte dei domini dove avviene la redirezione è presente nel database antivirus web Kaspersky.
Tra gli attacchi drive-by che sfruttano questa tecnica vi sono quelli che ridirezionano gli utenti da un sito infetto ad una pagina contenente CSS e uno script di download, generalmente servendosi di iFrame. Nella top 20 dei programmi dannosi rilevati in Internet a febbraio 2011 vi sono tre pagine di questo tipo: Trojan-Downloader.HTML.Agent.sl al primo posto, Exploit.JS.StyleSheeter.b al tredicesimo e Trojan.JS.Agent.bte nella posizione 19.
Lo script download presente in queste pagine scarica due tipi di exploit. Uno di essi sfrutta la vulnerabilità CVE-2010-1885, individuata come Exploit.HTML.CVE-2010-1885.ad da Kaspersky, che si trova al quarto posto nella classifica. Questo exploit è stato individuato in media sui PC di 10000 utenti distinti ogni giorno.
Numero di casi unici di Exploit.HTML.CVE-2010-1885.ad individuati a febbraio 2011
Il secondo tipo di exploit sfrutta la vulnerabilità CVE-2010-0840 e tre esempi di esso trovano posto nella top 20. Sono rilevati come Trojan-Downloader.Java.OpenConnection.dd al terzo posto, Trojan.Java.Agent.ak al settimo e Trojan-Downloader.Java.OpenConnection.dc al nono.L'utilizzo di queste vulnerabilità non è una novità, mentre lo sfruttamento della CVE-2010-0840 è stato rilevato la prima volta a Febbraio.
Le statistiche raccolte dai moduli euristici dei prodotti Kaspersky confermano che l'uso dei CSS per proteggere gli exploit, e quindi per diffondere malware, è al momento il metodo principale utilizzato negli attacchi drive-by. La maggior parte dei domini dove avviene la redirezione è presente nel database antivirus web Kaspersky.
Le vulnerabilità nei documenti PDF sono ancora una minaccia
I dati statistici generati dai moduli euristici dei prodotti Kaspersky mostrano che il numero di PC distinti dove sono stati rilevati exploit PDF supera le 58.000 unità. Lo sfruttamento delle vulnerabilità dei file PDF è attualmente uno dei modi più diffusi per l'installazione di malware sui PC degli utenti. Uno in particolare – Exploit.JS.Pdfka.ddt – è entrato nei top 20 dei programmi pericolosi in Internet all'ottavo posto.
Packaged Palevo
Il packer utilizzato per proteggere il worm P2P Palevo è stato individuato su oltre 67.000 PC distinti. Il worm Palevo è responsabile della creazione del botnet Mariposa, bloccato dalla polizia spagnola qualche tempo fa. È probabile che la recente diffusione del worm "packed" sia collegata ad un tentativo di creare un nuovo botnet o riattivare il precedente.
Un aspetto interessante di questo packer è l'aggiunta di numerose righe casuali al file packed.
Un aspetto interessante di questo packer è l'aggiunta di numerose righe casuali al file packed.
Frammento del worm Pakevo packed
Minacce mobile
A febbraio sono stati individuati numerosi nuovi programmi pericolosi per la piattaforma Android. Uno di questi – Trojan-Spy.AndroidOS.Adrd.a – opera come una backdoor. Si collega ad un server remoto ed invia i dati di identificazione IMEI e IMSI dello smartphone infetto. Il server risponde inviando informazioni usate dal malware per svolgere ricerche nel sistema in background. Queste sono usaate per aumentare il numero di hit di siti specifici. È degno di nota il fatto che questo programma è stato rilevato solo in repository cinesi.
Un altro malware per Android, Trojan-Spy.AndroidOS.Geinimi.a, è un'evoluzione "migliorata" della famiglia Adrd ed è stato individuato in Cina, USA, Spagna, Brasile e Russia.
Un altro malware per Android, Trojan-Spy.AndroidOS.Geinimi.a, è un'evoluzione "migliorata" della famiglia Adrd ed è stato individuato in Cina, USA, Spagna, Brasile e Russia.
Trojan-SMS su J2ME
È in crescita anche la diffusione di programmi dannosi per la piattaforma J2ME. Ad esempio, Trojan-SMS.J2ME.Agent.cd è entrato nella Top 20 dei malware più diffusi in Internet al 18mo posto. Il suo scopo è inviare SMS a numeri a pagamento. La sua diffusione avviene soprattutto in messaggi spam inviati tramite il servizio instant messenger ICQ ed è diffuso soprattutto in Russia e Spagna.
Leggi l'articolo completo su SecureList (lingua inglese).
| < Prec. | Succ. > |
|---|
