Kaspersky Lab è lieta di sottoporre all'attenzione degli utenti la classifica relativa alla diffusione dei diversi tipi di malware in marzo.
Kaspersky Lab è lieta di sottoporre all'attenzione degli utenti la classifica relativa alla diffusione dei diversi tipi di malware nel mese di marzo appena trascorso.
Malware individuati nei computer degli utenti
Nella prima tabella troviamo quei programmi dannosi e potenzialmente indesiderati che sono stati individuati sui computer degli utenti e neutralizzati al primo contatto.
| Posizione | Variazione | Nome | Numero di computer infettati |
| 1 | Net-Worm.Win32.Kido.ir | 332833 | |
| 2 | Virus.Win32.Sality.aa | 211229 | |
| 3 | Net-Worm.Win32.Kido.ih | 186685 | |
| 4 | Net-Worm.Win32.Kido.iq | 181825 | |
| 5 | Worm.Win32.FlyStudio.cu | 121027 | |
| 6 | Trojan-Downloader.Win32.VB.eql | 68580 | |
| 7 | Trojan.Win32.AutoRun.abj | 66331 | |
| 8 | Virus.Win32.Virut.ce | 61003 | |
| 9 | Packed.Win32.Krap.l | 55823 | |
| 10 | Worm.Win32.AutoIt.tc | 55065 | |
| 11 | Worm.Win32.Mabezat.b | 49521 | |
| 12 | Exploit.JS.Aurora.a | 43776 | |
| 13 | Packed.Win32.Krap.as | 40912 | |
| 14 | Trojan.Win32.AutoRun.aay | 40754 | |
| 15 | Trojan-Dropper.Win32.Flystud.yo | 40190 | |
| 16 | Virus.Win32.Induc.a | 38683 | |
| 17 | not-a-virus:AdWare.Win32.RK.aw | 38547 | |
| 18 | Trojan.Win32.AutoRun.abd | 37037 | |
| 19 | not-a-virus:AdWare.Win32.Boran.z | 36996 | |
| 20 | not-a-virus:AdWare.Win32.FunWeb.q | 34177 |
A marzo le variazioni tra i componenti della prima tabella sono state poco significative.
Tra quelle degne di nota registriamo la comparsa improvvisa di ben tre versioni del trojan Autorun. Analogamente a due mesi fa, si tratta di file autorun.inf-, grazie ai quali si diffondono attraverso le memorie di massa e i dispositivi mobili malware quali P2P-Worm.Win32.Palevo e Trojan-GameThief.Win32.Magania.
Anche questo mese notiamo inoltre la comparsa in tabella di un nuovo membro della famiglia Packed. In questo caso sotto il nome di Packed.Win32.Krap.as (13œ posto) si nascondono degli pseudo-antivirus. L'utilizzo da parte dei cybercriminali di wrapper appositamente progettati per file eseguibili è un trend molto evidente degli ultimi tempi. Nuovi metodi usati dai malware più popolari per impacchettare e nascondere le reali funzioni del file agli antivirus e ad altre soluzioni di protezione vengono sviluppati continuamente, ed è questo che genera un ricambio praticamente mensile tra le diverse varianti di Krap e programmi simili.
Malware nelle pagine web
La seconda tabella descrive la situazione su Internet. In questa classifica si trovano infatti malware che sono stati individuati nelle pagine Web nonché tutti quelli i cui tentativi di caricamento avvengono sempre attraverso le pagine Web.
| Posizione | Variazione | Nome | Tentativi di download |
| 1 | Trojan-Downloader.JS.Gumblar.x | 178965 | |
| 2 | Exploit.JS.CVE-2010-0806.i | 148721 | |
| 3 | Trojan.JS.Redirector.l | 126277 | |
| 4 | Trojan-Clicker.JS.Iframe.ea | 102226 | |
| 5 | Exploit.JS.Aurora.a | 88196 | |
| 6 | Trojan.JS.Agent.aui | 80654 | |
| 7 | not-a-virus:AdWare.Win32.Boran.z | 75911 | |
| 8 | Trojan.HTML.Fraud.aj | 68809 | |
| 9 | Packed.Win32.Krap.as | 64329 | |
| 10 | Exploit.JS.CVE-2010-0806.b | 50763 | |
| 11 | Trojan.JS.FakeUpdate.ab | 49412 | |
| 12 | Trojan.HTML.Fraud.aq | 48927 | |
| 13 | Packed.Win32.Krap.ai | 47601 | |
| 14 | Trojan-Downloader.JS.Twetti.a | 46858 | |
| 15 | Exploit.JS.Pdfka.bub | 45762 | |
| 16 | Trojan-Downloader.JS.Iframe.byo | 44848 | |
| 17 | Trojan.JS.FakeUpdate.aa | 42352 | |
| 18 | not-a-virus:AdWare.Win32.Shopper.l | 41888 | |
| 19 | Trojan-Clicker.HTML.IFrame.fh | 38266 | |
| 20 | Packed.Win32.Krap.ao | 36123 |
Anche questo mese ci sono novità da segnalare nella classifica dei malware su Internet.
Iniziamo da una vulnerabilità del tutto nuova CVE-2010-0806 di Internet Explorer, il cui exploit ha raggiunto una notevole diffusione dopo la descrizione forse un po' troppo dettagliata della vulnerabilità effettuata su . Oggi solo i cybercriminali più pigri non usano tali exploit nei propri attacchi: nella Top 20 troviamo due diverse varianti di questo exploit: Exploit.JS.CVE-2010-0806.I (2) e Exploit.JS.CVE-2010-0806.b (10).
La nuova ondata dell'epidemia di Gumblar procede a pieno regime. Oltre alla seconda versione del downloader, che risponde al nome di Gumblar.x e occupa il primo posto in classifica ne è apparsa una nuova identificata come HEUR:Trojan-Downloader.Script.Generic.
L'exploit Aurora.a, di cui abbiamo già parlato, a febbraio, continua ad essere attivamente utilizzato dai criminali informatici, fatto confermato dalla sua ascesa dal 9œ al 5œ posto.
L'interessante downloader Twetti.a (14œ posto in classifica), di cui parlavamo a dicembre, è tornato di nuovo in classifica dopo un'assenza di due mesi. Come nel caso di Gumblar, i cybercriminali si sono presi una breve pausa e poi hanno tentato di infettare di nuovo, con questo malware, la gran parte delle risorse Web.
Anche Exploit.JS.Pdfka.bub (15œ posto) è apparso in classifica per una ragione ben precisa: Questo file PDF dannoso è uno dei componenti degli attacchi drive-by, il cui punto di partenza è Twetti.a.
In classifica appaiono anche quattro nuovi rappresentanti della categoria dei modelli standard di pagine Web attraverso cui si diffondono pseudo-antivirus e blocker: Trojan.HTML.Fraud.aj, Trojan.JS.FakeUpdate.ab, Trojan.HTML.Fraud.aq e Trojan.JS.FakeUpdate.aa.
I paesi in cui si riscontra una maggiore quantità di tentativi di infezione via Web sono:
Nel complesso poco è cambiato in questo mese: tra i diversi tipi di attacchi agli utenti prevalgono quelli attraverso il Web, che utilizzano le vulnerabilità più frequenti nei software di maggiore diffusione. Fortunatamente, tali vulnerabilità vengono spesso corrette a livello operativo dai produttori dei software. Purtroppo sono ben pochi gli utenti che applicano patch e correzioni non appena vengono pubblicate. Negli ultimi tempi tutti i malware più importanti sfruttano, nei loro attacchi, l'inesperienza e l'ingenuità degli utenti. Tra questi malware a marzo i più popolari tra i cybercriminali sono stati i ben noti pseudo-antivirus e i blocker.
