E-Threats: Classifica Top Ten malware – Agosto 2009
Da E-Threats la Classifica di Agosto 2009 rappresentante la Top Ten delle minacce informatiche. Worms continuano a dominare la classifica delle minacce anche nel mese di agosto
1. Dopo più di 8 mesi dal primo ingresso nella BitDefender Top 10 e-Threats, Win32.Worm.Downadup è posizionato al primo posto con il 43 percento del totale delle macchine infette[1]. Conosciuto anche come Conficker o Kido, il worm impedisce l’accesso ai siti web associati ai vendors di sicurezza IT. Inoltre, l’ultima variante del worm installa un finto software di sicurezza sui PC infetti.
2. Il secondo posto della classifica di agosto è occupato da Win32.Induc.A, un malware inusuale che infetta applicazioni costruite con Borland (ora conosciuto come Embarcadero) Delphi versioni dalla 4 alla 7. Il virus non infetta file binari, ma piuttosto modifica il file SYSCONST.PAS , inserendo un codice malevolo ricompilando poi nuovamente il file. Tutte le applicazioni costruite con il compilatore compromesso vengono infettate con il virus. Win32.Induc.A non ha nessun tipo di payload, ma la sua brusca scalata nella classifica BitDefender Top 10 e-Threats mostra che solo pochi sviluppatori Delphi sono preoccupati di questa diffusa infezione.
3. Al terzo posto della lista troviamo Win32.Sality.OG un virus polimorfico che inserisce un codice criptato nei file eseguibili (.exe e .scr binari). Per nascondere la sua presenza nelle macchine infette, diffonde un rootkit e tenta di terminare le applicazioni antivirus installate sui PC.
4. Worm.Autorun.VHG è un worm di rete che sfrutta la vulnerabilità Windows MS08-067 per eseguirsi in modo remoto tramite una speciale procedura artigianale RPC (remote procedure call) un approccio utilizzato anche da Win32.Worm.Downadup. L’incremento della presenza di questo worm nella classifica BitDefender top 10 rivela che gli utenti continuano ad ignorare gli avvisi di sicurezza Microsoft impedendo quindi la diffusione delle patch di sicurezza.
5. Posizionato quinto nella classifica BitDefender , Win32.Virtob.Gen è un virus scritto in linguaggio assembly. Parti di questo malware nascondono la sua presenza poiché modificano i processi Windows, evitando però di compromettere il file di sistema. Il virus apre inoltre una backdoor che può essere sfruttata da un attacco remoto per impadronirsi della macchina infetta. Questa è un’infezione ad alto rischio; per più dettagli su come rimuovere questa minaccia, visita http://www.bitdefender.com/VIRUS-1000070-en–Win32.Virtob.Gen.html.
6. Packer.Malware.NSAnti.1 è una classe generica che unisce differenti famiglie di malware compresse/protette con lo schema di protezione NSAnti. La tecnologia NSAnti packing permette ai files di venire eseguiti “al volo” piuttosto che essere decompressi sull’ hard drive, questo minimizza le possibilità che uno scanner antivirus ne rilevi la presenza. NSAnti utilizza il polimorfismo (la capacità di modificare il codice per evitare il rilevamento antivirus basato su firme)e sfugge facilmente all’emulazione arrestando la virtual machine sulla quale viene eseguito.
7. Win32.Worm.AutoIT.AC è un file eseguibile che utilizza un’icona di tipo “cartella” per ingannare gli utenti . Il worm rilascia un keylogger e immagazzina dettagli sensibili dell’utente che scrive sulla tastiera, come account di banche, e-mail, password di siti web e così via. Win32.Worm.AutoIT.AC crea invece un file chiamato setup.ini in %System% , che permette di diffondersi tramite drive rimovibili.
8. Win32.Sality.2.OE è uno dei file rilasciati con Win32.Sality.OG come spiegato sopra.
9. GEN:TDSS.Patched.1 è una routine generica che infetta con Trojan.TDss.AT. Questa minaccia elettronica rilascia altri file malevoli inserendoli dentro spoolsv.exe con il nome di dll.dll. Una volta infettato il PC, i settaggi del DNS vengono cambiati in modo da redirezionare il traffico verso specifici siti web di phishing.
10. Win32.Worm.DownadupINF.Gen si classifica ultimo nella classifica mensile BitDefender e-threats top 10. Questo è un worm che sfrutta la vulnerabilità Microsoft Windows Server Service RPC Handling Remote Code Execution (MS08-67) in modo da diffondersi su altri computer tramite il network locale. Il worm è in grado di auto inviarsi su computer della rete per infettare flash drives o una unità disco di rete mappate o lanciare un attacco di brute-force contro computer non ancora infetti.
[1] Relativo alle top 10 minacce malware.
Articoli correlati:
Beh sicuramente curiosa e particolare questa classifica. Non sapevo che venissero addirittura stilate liste dei migliori 10 worms. Ma poi ricevono anche un premio? Eheh..
Be, può essere interessante anche conoscere le minacce informatiche e conoscerne il livello di pericolosità. Questo potrebbe aiutare gli utenti ad esser più consapevoli e di conseguenza a difendersi maggiormente da tali minacce.
Cordiali saluti.