Capita spesso che il leader della classifica online cambi, ma il leader di questo mese è davvero insolito. Dlena.cb deriva da una grande famiglia di Trojan con circa 90 varianti; è stato possibile individuare programmi provenienti da questa famiglia da più di un anno. Top 20 online (aprile 2007)
1 Trojan-Proxy.Win32.Dlena.cb 3.23% 2 Packed.Win32.PolyCrypt.b 2.87% 3 Trojan-Spy.Win32.ProAgent.21 1.88% 4 Email-Worm.Win32.Brontok.q 1.52% 5 not-a-virus:AdWare.Win32.Virtumonde.if 1.43% 6 Trojan.Win32.Agent.qt 1.26% 7 Trojan-Downloader.Win32.INService.bl 1.17% 8 Virus.VBS.Small.a 1.17% 9 Trojan-Clicker.Win32.Small.kj 1.08% 10 Trojan-Downloader.Win32.Small.dge 1.08% 11 Packed.Win32.Tibs.r 1.08% 12 IM-Worm.Win32.Sohanad.t 0.99% 13 Trojan-Downloader.Win32.Small.edb 0.99% 14 Email-Worm.Win32.Rays. 0.90% 15 not-a-virus:Monitor.Win32.Perflogger.163 0.90% 16 not-a-virus:Porn-Dialer.Win32.GBDialer.i 0.81% 17 Trojan-Downloader.Win32.Small.ddx 0.81% 18 Email-Worm.Win32.Zhelatin.ch 0.72% 19 Trojan-PSW.Win32.OnLineGames.bs 0.63% 20 Trojan.Win32.Obfuscated.ev 0.63% Altri programmi maligni 74,85%
Tuttavia, in tutto questo tempo, non c’è mai stata nessuna epidemia significativa causata da un programma di questa famiglia, e quindi non è mai entrato nella nostra classifica. Di solito, se un programma maligno si sta diffondendo rapidamente o sta per diventare una minaccia costante, come i worm Warezov, perfino la prima variante sarà ben visibile ed entrerà nella classifica. In questo caso, invece, sembra che gli autori abbiano impiegato un anno di tempo e una dozzina di programmi provvisori per far sì che una variante diventi statisticamente rilevante.
Nel complesso, non c’è niente di veramente nuovo in Dlena.cb, un tipico Trojan proxy che può essere usato per spedire lo spam. Esistono dozzine di famiglie simili, e fino ad ora la più conosciuta era la famiglia Horst. Tuttavia, Dlena potrà causare seri problemi in futuro.
La quantità di programmi Trojan spy è diminuita notevolmente. Esiste solo un programma di questo tipo nella Top 20 di Aprile, il ProAgent, che occupa il terzo posto. Siamo a conoscenza dell’esistenza di questo programma da molti anni; è in grado di registrare tutti i dati digitati sulla tastiera, e sebbene non sia sofisticato come i Trojan che sono in grado di sottrarre i dati dei conti bancari, è comunque piuttosto efficiente ed è molto popolare tra gli script kiddies.
Virtumonde, un programma adware, sta continuando ad evolversi. Questo codice maligno è entrato nella nostra classifica da diversi mesi in quanto i suoi autori non solo hanno iniziato ad utilizzare i rootkit per permettere al programma di rimanere nascosto nel sistema, ma lo hanno diffuso anche attraverso veri e propri Trojan. Ad esempio, INService.bl, che occupa il settimo posto, installa Virtumonde oltre ad altri programmi.
Small.a, il virus script che occupa l’ottava posizione, è anch’esso degno d’interesse. Potrebbe sembrare che questi virus abbiano fatto il loro corso: l’ultimo rappresentante degno di nota all’interno di questo gruppo infatti è il virus Redlof, di un paio di anni fa. Tuttavia, Small.a è riuscito a diffondersi su un gran numero di computer, in particolare in Russia, come parte di altri programmi maligni.
Altri programmi maligni degni di nota sono gli IM-worm.Win32.Sohanad.t e not-a-virus:Porn-Dialer.Win32.GBDialer.i.
Il primo programma appartiene ad una classe di virus che si sta diffondendo rapidamente attraverso i programmi di Instant Messaging. Questa è la prima volta che un worm appartenente a questa classe entra nella nostra classifica, ma è probabile che in futuro questi worm entrino nella Top 20 più spesso.
A differenza degli IM-Worm, i programmi Porn Dialer hanno fatto già parte della Top 20 in passato. Inoltre, un po’ di tempo fa, i Trojan dialer hanno occupato quasi metà della classifica. Non sono chiari i motivi che hanno causato questo aumento dell’attività e non si sa se questa possa diventare una tendenza costante. I programmi dialer mantengono una presenza significativa, e sembra che questa tendenza si stia stabilizzando.
Un ultimo cenno sui worm Rays e Brontok. Pochi programmi maligni sono stati così tenaci o hanno causato così tanti problemi di recente. Per fortuna, questi worm si sono diffusi poco via email, ma sono inclini a infettare le reti locali attraverso le risorse di rete accessibili.
Top 20 email (aprile 2007)
1 Email-Worm.Win32.NetSky.t 14.00% 2 Email-Worm.Win32.Warezov.ms 12.35% 3 Email-Worm.Win32.NetSky.q 12.15% 4 Email-Worm.Win32.Bagle.gt 10.02% 5 Trojan-Spy.HTML.Bankfraud.ri 7.73% 6 Worm.Win32.Feebs.gen 5.38% 7 Net-Worm.Win32.Mytob.c 4.04% 8 Email-Worm.Win32.NetSky.aa 3.55% 9 Email-Worm.Win32.NetSky.b 2.18% 10 Email-Worm.Win32.Scano.gen 1.93% 11 Trojan-Spy.HTML.Bankfraud.ra 1.80% 12 Email-Worm.Win32.Warezov.nf 1.80% 13 Email-Worm.Win32.Mydoom.l 1.58% 14 Email-Worm.Win32.Warezov.do 1.50% 15 Email-Worm.Win32.Mydoom.m 1.38% 16 Email-Worm.Win32.Zhelatin.dam 1.18% 17 Email-Worm.Win32.LovGate.w 1.14% 18 Email-Worm.Win32.Zhelatin.cs 1.09% 19 Net-Worm.Win32.Mytob.t 1.06% 20 Email-Worm.Win32.Zhelatin.cq 0.98% Altri programmi maligni 13.16%
E’ sempre più interessante osservare le statistiche sui codici maligni nel traffico email. Warezov e Zhelatin causano regolarmente epidemie di virus, e creano una grande quantità di lavoro ai laboratori di virus nel mondo, ma è NetSky.t, un vecchio worm email, che ha conquistato il primo posto questo mese. Nel corso dei tre anni dalla sua comparsa, NetSky.t è riuscito ad occupare al massimo il quarto posto nel febbraio 2006. In seguito è scomparso dalla classifica, ma è poi tornato ad aggirarsi nei pressi delle posizioni più alte della classifica. E questo mese ha occupato il primo posto, lasciandosi alle spalle tutte le nuove generazioni di worm. Questo è probabilmente il risultato di una nuova tattica: i programmatori di virus stanno ora diffondendo varianti multiple delle loro ultime creazioni in un tempo relativamente breve. Molte di queste varianti sono entrate nella Top 20, ma qualche volta la quantità di varianti non permette loro di conquistare una posizione più elevata: NetSky.t, una singola variante che si sta diffondendo ampiamente, è la prova di questo.
D’altra parte, questi nuovi arrivati non sono così indietro rispetto ad alcuni vecchi programmi maligni familiari. Il secondo posto è occupato da Warezov.ms, creato da alcuni criminali sconosciuti della rete, che si pensa siano cinesi. Sebbene di questa variante non se ne sia parlato tanto quanto del suo fratello più giovane Warezov.nf, le nostre statistiche mostrano che la variante .ms scomparirà a maggio, ripetendo lo schema delle altre varianti. Tra tutte le varianti di Warezov che sono entrate nella classifica lo scorso autunno e inverno, solo Warezov.do si trova nella Top 20 di aprile.
Il worm Zhelatin, che è un diretto concorrente di Warezov, è presente in classifica con altre tre varianti. Tuttavia, in percentuale i risultati di Zhelatin sono molto meno impressionanti, dato che occupa il sesto, diciottesimo e ventesimo posto.
Il phishing sta continuando ad evolversi rapidamente. Il mese scorso, Bankfraud.ra, un’email di phishing, occupava il primo posto della classifica. Sebbene questo mese sia sceso all’undicesimo posto, questo non significa che il phishing stia diminuendo: il quinto posto è stato occupato da una nuova variante di Bankfraud.ri. Questo è un segno del rapido aumento della diffusione degli attacchi di phishing, confrontabile come dimensioni alle epidemie di worm.
Il ritorno di alcuni veri veterani come LovGate.w e Mytob.t, è anch’esso degno di nota. La ricomparsa di questi programmi maligni nella Top 20 non era attesa. Tuttavia, la quantità di volte in cui questi programmi sono comparsi in precedenza nella classifica testimonia la loro tenacia e le dimensioni delle epidemie causate da questi worm in passato.
Altri programmi maligni costituiscono una percentuale significativa (13.16%) di tutti i codici maligni trovati nel traffico email, indicando che un numero significativo di altri worm e Trojan è attualmente in circolazione.
Discussione 0
Ancora nessun commento. Sii il primo a commentare!