Tecnologia

Top 20 dei virus online e email di giugno 2007

Kaspersky Lab presenta la Top 20 di giugno 2007 dei virus presenti in rete e di quelli che si diffondono attraverso la posta elettronica. Questo giugno è...

di Vincenzo Forgione
· · 2 letture

Kaspersky Lab presenta la Top 20 di giugno 2007 dei virus presenti in rete e di quelli che si diffondono attraverso la posta elettronica. Questo giugno è successa una cosa piuttosto strana. Il programma che si è guadagnato la prima posizione della classifica dei virus di giugno non è proprio un virus. Top 20 online (giugno 2007)

1 Nuovo not-a-virus:AdWare.Win32.Virtumonde.jp 3.20% 2 +7 Trojan.Win32.Dialer.qn 2.70% 3 +2 Trojan-Downloader.Win32.LoadAdv.gen 2.14% 4 - Backdoor.IRC.Zapchast. 2.12% 5 Nuovo Trojan-Downloader.Win32.Agent.brf. 1.89% 6 Nuovo Trojan-Dropper.Win32.Sramler.c 1.52% 7 Nuovo Trojan-Downloader.Win32.Tiny.fl 1.25% 8 Nuovo Trojan-Downloader.Win32.Nurech.ak 1.00% 9 Nuovo Email-Worm.Win32.Zhelatin.ew 0.88% 10 Riapparso Email-Worm.Win32.Mydoom.m 0.82% 11 +4 Trojan.Win32.Obfuscated.en 0.77% 12 Nuovo Virus.Win32.Grum.a 0.75% 13 +4 Trojan-Downloader.Win32.Small.ddp. 0.72% 14 Nuovo Trojan-Clicker.Win32.Small.kj 0.71% 15 Nuovo Trojan-Proxy.Win32.Jaber.c 0.67% 16 Nuovo Trojan.Win32.Small.nt 0.63% 17 Nuovo Worm.Win32.Viking.bb 0.61% 18 -7 Email-Worm.Win32.Brontok.q 0.58% 19 Riapparso not-a-virus:Monitor.Win32.Perflogger.163 0.56% 20 Nuovo Trojan-Downloader.Win32.Agent.bnz. 0.54% Altri programmi maligni 75.94%

Alcune varianti del programma adware Virtumonde hanno colpito i computer di molti utenti per diversi mesi, installando nei loro sistemi molti programmi freeware; fino a qui sembrerebbe quasi tutto “normale”, il problema è che questi stessi programmi venivano installati attraverso dei trojan e nascondevano al sistema la loro attività per mezzo di rootkit. Un trojan dialer ha invece fatto un salto di posizioni nella classifica. In un solo mese Dialer.qn ha scalato sette posizioni, ricordandoci un recente passato in cui questo tipo di programmi occupavano il 25% della classifica. Forse Dialer.qn è solo il primo di una nuova ondata di attacchi di dialer.

La classifica di giugno conta sei nuovi programmi, metà dei quali sono nuove versioni di trojan downloader. Ciò significa che a breve installeranno nuove versioni di ogni sorta di malware sui computer infettati. Per esempio, nuove varianti del worm Zhelatin sembrano non avere alcuna intenzione di lasciare la nostra Top 20, sebbene questa famiglia ne sia stata fuori per un po’ di tempo in passato. Sembra proprio che gli autori di questa famiglia abbiano scelto i trojan dowloader come principale vettore per i loro worm, lasciando il metodo delle e-mail di massa come opzione di scorta.

Ci sono pochi nuovi arrivi interessanti questo mese, se si escludono due virus classici, capaci di infettare altri file: Grum.a e Viking.bb sono stati infatti presenti regolarmente nella nostra Top 20 email negli ultimi due mesi, e questo è il loro debutto nella Top 20 online. Ciò è senza dubbio legato al fatto che i virus si diffondono “aggrappandosi” agli e-mail worm, infettando il loro file e girando il mondo insieme a loro. Viking.bb è interessante prima di tutto perchè alcune variati di questo worm hanno infettato diversi computer in China, come abbiamo sottolineato nel nostro primo report trimestrale di quest’anno. Fino ad ora, Viking non ha programmato di uscire dai confini Russi. La sua presenza nelle statistiche indica che forse il worm ha iniziato a muoversi.

Altre cose da sottolineare nella Top 20 online di questo mese è l’uscita dalla classifica di una vecchia conoscenza, il worm Rays e l’inizio del declino del worm Brontok, crollato di sette posizioni questo mese. Questi worm presentano una forte somiglianza nel modo in cui funzionano e si diffondono più o meno con la stessa intensità. Sono stati una costante nei nostri report periodici sin dall’inizio. Vedremo cosa succederà nei prossimi mesi – forse siamo stati abbastanza bravi da fermare la loro lenta ma costante epidemia.

Sommario

Novità: not-a-virus:AdWare.Win32.Virtumonde.jp, TrojanDownloader.Win32.Agent.brf, Trojan-Dropper.Win32.Sramler.c, Trojan-Downloader.Win32.Tiny.fl, Trojan-Downloader.Win32.Nurech.ak, Email-Worm.Win32.Zhelatin.ew, Virus.Win32.Grum.a. Trojan-Clicker.Win32.Small.kj, Trojan-Proxy.Win32.Jaber.c, Trojan.Win32.Small.nt, Worm.Win32.Viking.bb, Trojan-Downloader.Win32.Agent.bnz. In salita: Trojan.Win32.Dialer.qn, Trojan-Downloader.Win32.LoadAdv.gen, Trojan.Win32.Obfuscated.en,Trojan-Downloader.Win32.Small.ddp.

In discesa: Email-Worm.Win32.Brontok.q.

Re-entry: Email-Worm.Win32.Mydoom.m, not-a-virus:Monitor.Win32.Perflogger.163.

Top 20 email (giugno 2007)

1 +1 Email-Worm.Win32.NetSky.q 16.06% 2 +1 Email-Worm.Win32.Bagle.gt 13.45% 3 -2 Email-Worm.Win32.NetSky.t 9.61% 4 +2 Email-Worm.Win32.NetSky.aa 8.26% 5 Nuovo Email-Worm.Win32.Warezov.oz 6.20% 6 -1 Worm.Win32.Feebs.gen 4.60% 7 - Net-Worm.Win32.Mytob.c 4.41% 8 Nuovo Email-Worm.Win32.Warezov.ov 3.96% 9 Nuovo Email-Worm.Win32.Warezov.op 3.45% 10 +6 Email-Worm.Win32.Mydoom.l 2.93% 11 Riapparso Email-Worm.Win32.Nyxem.e 2.87% 12 -2 Email-Worm.Win32.NetSky.b 2.31% 13 -2 Virus.Win32.Grum.a 1.70% 14 -5 Email-Worm.Win32.Scano.gen 1.65% 15 Riapparso Email-Worm.Win32.Warezov.do 1.34% 16 -4 Net-Worm.Win32.Mytob.t 1.27% 17 - Exploit.Win32.IMG-WMF.y 1.22% 18 Riapparso Net-Worm.Win32.Mytob.u 1.17% 19 -4 Email-Worm.Win32.NetSky.x 1.16% 20 -2 Net-Worm.Win32.Mytob.dam 0.98% Altri programmi maligni 11.40%

Il Commento di Kaspersky Lab

Come ci si aspettava, la classica calma piatta dei mesi estivi sta iniziando ad arrivare. A giugno, la nostra Top 20 email vede nelle prime posizioni alcune vecchie conoscenze, non semplici “veterani” ma veri e propri “dinosauri” della storia dei virus.

Dopo una lunga pausa, il primo posto è stato di nuovo occupato dal leader assoluto del 2004 e del 2005, il famigerato worm Netsky.q. Subito dietro c’è un worm del suo stesso periodo, Bagle.gt. Nel frattempo, Netsky.t, il leader del mese di maggio ha perso delle posizioni ed è finito al terzo posto. Probabilmente l’evento più degno di nota questo mese è la scomparsa di Sober.aa. Questo virus è comparso dopo sei mesi di inattività, occupando subito la sesta posizione in classifica. Vedremo ancora questa famiglia nei nostri prossimi report? Ne dubitiamo…

A maggio, i worm più vecchi hanno rafforzato la loro posizione, cacciando via la nuova generazione di Warezov. Quasi tutti questi worm sono scomparsi dai nostri ultimi report, ma non si sono mai arresi del tutto. Solo un mese fa, abbiamo analizzato Agent.bgs, in ottava posizione. Questo trojan è progettato per creare reti botnet Warezov e, a guardar bene, ci si accorge che queste botnet sono state alla base della nuova ondata di varianti di Warezov a giugno.

Tre nuove varianti di Warezov sono entrate in classifica, con Warezov.oz in testa in quinta posizione. Pare proprio che continueremo a vedere sempre nuove varianti di questo worm. I computer infettati da Warezov sono di solito usati come piattaforme per diffondere lo spam.

La famiglia Zhelatin non è stata in grado di competere con Warezov. Questo è il secondo mese in cui non c’è traccia di questi worm nella nostra classifica. Anche Feebs e Scano stanno pian piano perdendo posizioni e potrebbero scomparire da un momento all’altro, proprio come è successo a Sober.aa.

Questo mese abbiamo in classifica NetSky, Mytob, Bagle e Warezov. Si potrebbe prevedere che queste quattro famiglie di worm siano intenzionate a restare per un po’ di tempo, magari per anni (in realtà NetSky e Mytob hanno già una lunga storia alle spalle). Solo Sober.aa è scomparso, mentre Nyxem.e è ricomparso. Questo worm è un vero e proprio mistero. Per molto tempo, infatti, è stato il worm più comune in circolazione, poi è scomparso per un po’ dalla classifica ed è riapparso nuovamente nelle prime posizioni. Poi è scomparso ancora e proprio mentre ci stavamo per dimenticare di lui, è riapparso, questa volta in undicesima posizione.

La seconda metà della Top 20 email è disomogenea come al solito. Troviamo ancora alcune vecchie varianti di Mytob e NetSky e alcuni nuovi virus stanno mantenendo la loro posizione: ad esempio Virus.Win32.Grum.a e Exploit.Win32.IMG-WMF.y. Stanno ancora sfruttando le vulnerabilità del formato WMF. Questa vulnerabilità è stata usata anche per diffondere alcune varianti di Feebs. Altri programmi maligni hanno rappresentato l’11,4% del volume di codice maligno in circolazione, questo indica che c’è ancora un numero relativamente ampio di famiglie worm e trojan ancora attive.

Sommario Novità: Email-Worm.Win32.Warezov.oz, Worm.Win32.Warezov.ov, and Worm.Win32.Warezov.op In salita: Email-Worm.Win32.NetSky.q, Email-Worm.Win32.Bagle.gt, Email-Worm.Win32.NetSky.aa, Email-Worm.Win32.Mydoom.l, In discesa: Email-Worm.Win32.NetSky.t, Worm.Win32.Feebs.gen, Email-Worm.Win32.NetSky.b, Virus.Win32.Grum.a, Email-Worm.Win32.Scano.gen, Net-Worm.Win32.Mytob.t, Email-Worm.Win32.NetSky.x, Net-Worm.Win32.Mytob.dam Re-entry: Email-Worm.Win32.Nyxem.e, Email-Worm.Win32.Warezov.do, Net-Worm.Win32.Mytob.u

Discussione 0

I commenti vengono moderati prima di essere pubblicati.

Ancora nessun commento. Sii il primo a commentare!