Record di infezioni a maggio, oltre 4 milioni
Sono più di 8.000 i nuovi codici maligni scoperti nei primi cinque mesi dell’anno: +200% rispetto allo stesso periodo del 2004. La novità principale è rappresentata dal “matrimonio” tra Trojan horse, worm e spyware.
Se il mese di aprile ha concesso un po' di tregua al mondo informatico, maggio ha registrato un nuovo riacutizzarsi della minaccia sotto forma di un ritorno inatteso, di un'ennesima aggressione e di un pericoloso sodalizio tra malware e spyware.
Di seguito, le tendenze nelle tipologie di malware registrate nel periodo.
Breve sommario:
Una variante del worm SOBER, causa del primo allarme del secondo trimestre promette di assegnare biglietti per eventi sportivi - Sfruttando l'attesa per i prossimi Campionati del Mondo di Calcio che si terranno in Germania nel 2006, WORM_SOBER.S ha inviato messaggi email in inglese e in tedesco che annunciavano la vincita di biglietti per la manifestazione.
Due allarmi relativi a WORM_MYTOB diramati nello stesso giorno - Il 9 maggio WORM_MYTOB.ED è diventata la prima variante di questo malware a meritarsi il lancio di un allarme. All'incirca tredici ore più tardi è stato dichiarato un altro allarme giallo per WORM_MYTOB.EG.
Worm, Trojan horse e spyware insieme per provocare più danni - Pur non essendo un worm rivoluzionario, WORM_WURMARK.J si comporta in modo particolarmente insidioso depositando uno spyware commerciale sui sistemi infetti e registrando i tasti digitati dall'utente.
Un nuovo Trojan horse innalza a nuove vette il concetto di estorsione via Internet - È stato scoperto in circolazione un nuovo Trojan horse che cifra crittograficamente i file dell'utente e lascia un messaggio con le istruzioni per l'acquisto di un apposito decifratore. TROJ_PGPCODER.A ricerca sui sistemi colpiti 15 tipologie di file - tra cui file HTML, documenti Microsoft Word e fogli di calcolo Microsoft Excel.
Scoperti 1.505 nuovi malware in circolazione - Trend Micro ha documentato 1.505 nuovi malware tra il materiale inviato dagli utenti nel periodo compreso tra il 21 aprile e il 20 maggio 2005, il valore più basso dell'anno fino a oggi.
Il WTC registra il numero di infezioni più alto degli ultimi 22 mesi – Dal 21 aprile al 20 maggio il World Tracking Center di Trend Micro aveva registrato 2.720.351 infezioni in tutto il mondo, un valore destinato a superare entro fine mese la media mensile di 3,2 milioni della prima parte dell'anno.
NETSKY_P finalmente rallenta - Il tandem costituito da WORM_NETSKY.P, il malware più diffuso del 2004 e degli ultimi mesi, e dal suo componente HTML_NETSKY.P sta finalmente mostrando segni di rallentamento.
Rapporto completo a cura di TrendMicro:
L'IMPATTO DEGLI ATTACCHI INFORMATICI
Trend Micro lancia quattro allarmi nella prima metà del mese
Maggio è stato caratterizzato dalla comparsa di ben quattro minacce che hanno posto fine a un mese di "vacanza" da parte degli autori di malware. Il 2 maggio la tregua è stata interrotta dalla comparsa di una nuova variante di WORM_SOBER, una famiglia di worm noti per diffondere messaggi email civetta caratterizzati da allegati pericolosi. Questa volta la versione WORM_SOBER.S ha preso di mira il mondo degli appassionati di sport promettendo la vincita di biglietti per un importante evento. Secondo Ivan Macalintal, un esponente del TMIRT (Trend Micro Incident Response Team), questa particolare variante può essere etichettata come la controparte malware del film "Episodio 1" della popolare saga di Guerre Stellari: "Si tratta indubbiamente di una delle minacce più sofisticate, astute e caratterizzate da inventiva del mondo delle truffe digitali". (Questa nuova minaccia è descritta in dettaglio nella sezione seguente.) Se non poche varianti di WORM_SOBER si sono meritate il lancio di un allarme per l'insidiosità del messaggio trasmesso, è la prima volta che un attacco portato da WORM_MYTOB si ritaglia un posto sotto i riflettori. Dopo oltre un centinaio di varianti, infatti, è stato lanciato un allarme giallo per WORM_MYTOB.ED, che ha iniziato a diffondersi in Giappone e in Australia il 9 maggio. Questo worm presenta caratteristiche comuni alla propria stirpe, salvo che per i tempi estremamente ravvicinati degli attacchi. I due allarmi successivi, lanciati uno nello stesso giorno e l'altro l'11 maggio, hanno confermato la chiara vulnerabilità del mondo informatico in questo periodo.
Nel mese di aprile WORM_MYTOB ha generato una miriade di varianti affinando le caratteristiche dei bot worm generici con un affiancamento del mailing di massa e altri meccanismi di diffusione alla propagazione attraverso le reti. Se è vero che gli utenti sono diventati maggiormente sospettosi nei confronti dei messaggi email, l'assenza di attività da parte dei malware per lunghi periodi di tempo può indurli ad abbassare la guardia. Gli autori di malware cercano di sfruttare questa naturale debolezza rilasciando worm in grado di passare inosservati a un primo esame. L'idea non è poi peregrina se costringe a lanciare allarmi di grado elevato per worm altrimenti normali, come dimostra quanto accaduto in maggio. La relativa tranquillità di aprile può quindi aver contribuito al rinfocolarsi della minaccia in maggio. Anche attacchi ampiamente attesi, come quelli portati da WORM_MYTOB, hanno potuto quindi ritagliarsi il loro "quarto d'ora" di notorietà. Simile alle varianti che lo hanno preceduto, WORM_MYTOB.EG invia una copia di sé via email ai contatti recuperati sul sistema colpito. Questo worm arriva insieme a messaggi di sospensione o convalida degli indirizzi email riciclati da altre varianti, una tattica certamente non nuova per i worm. Ciononostante, per questa versione è stato necessario lanciare un allarme giallo a causa dell'alto numero di vittime provocate.
Jaime Lyndon "Jamz" A. Yaneza, Senior Antivirus Consultant di Trend Micro, è però dell'opinione che nonostante la mancata consapevolezza giochi un ruolo chiave nella diffusione del malware, anche l'atteggiamento opposto contribuisca al diffondersi della minaccia. "Non è la prima volta che il venire meno dell'attenzione da parte degli utenti contribuisce al diffondersi del malware. È vero però anche il contrario. Nel primo trimestre del 2004, nel pieno della cosiddetta 'guerra dei worm', gli utenti erano talmente impegnati nell'installazione delle patch e degli aggiornamenti necessari e sommersi da una marea di informazioni da essere totalmente confusi".
Avendo provocato epidemie in Francia, India, Singapore e Taiwan, WORM_WURMARK.J si è guadagnato lo status ufficiale di minaccia l'11 maggio. Una variante precedente della famiglia, WORM_WURMARK.D, aveva sfruttato l'atmosfera delle festività natalizie per diffondere messaggi di auguri ai primi di gennaio. WORM_WURMARK.J ha abbandonato completamente questo approccio unendo invece le forze con un altro Trojan horse identificato da Trend Micro come TROJ_DLOADER.MI e, soprattutto, con uno spyware indicato come TSPY_AGENT.C, che si registra come BHO (Browser Helper Object). Il Trojan horse scarica il worm, il quale deposita lo spyware e, tutti insieme, cooperano per sottrarre informazioni riguardanti l'utente e il sistema, con ogni probabilità per ottenere un guadagno in denaro. Questi complicati meccanismi vengono premiati quando gli autori di malware riescono a ottenere informazioni critiche quali numeri di conti correnti e indirizzi personali. "TrendLabs (il centro globale di ricerca e assistenza antivirus di Trend Micro) sospetta da tempo la definitiva convergenza tra malware e spyware proprio a causa delle prospettive di guadagno economico. "Abbiamo già assistito al matrimonio tra virus, Trojan horse e worm e oggi gli hacker e gli autori di virus vengono finanziati da organizzazioni criminali. Sembra quindi che WURMARK sarà soltanto il primo di una lunga serie", ha commentato Yaneza.
Se il mese di aprile ha concesso un po' di tregua al mondo informatico, maggio ha registrato un nuovo riacutizzarsi della minaccia sotto forma di un ritorno inatteso, di un'ennesima aggressione e di un pericoloso sodalizio tra malware e spyware. Questo brusco risveglio, anche se non certo benvenuto, ha ravvivato l'attenzione e la consapevolezza degli utenti costringendo le organizzazioni responsabili della sicurezza a risollevare la guardia.
IL RITORNO DI SOBER
Una variante del worm, causa del primo allarme del secondo trimestre, promette di conferire biglietti per eventi sportivi
Una variante di WORM_SOBER è riuscita a guadagnarsi l'attenzione del mondo informatico diffondendosi rapidamente in Germania e negli Stati Uniti a partire dal 2 maggio. Trend Micro ha lanciato di conseguenza un allarme giallo alle 11.50 (PDT) dello stesso giorno per contrastare la diffusione dell'epidemia di WORM_SOBER.S e proteggere gli utenti dagli attacchi imminenti.
WORM_SOBER è noto per gli elaborati messaggi email utilizzati, strutturati in modo da spingere gli utenti ad aprire i pericolosi allegati. Alcune di queste mail facevano riferimento a note aziende di prodotti per la sicurezza, altre riguardavano la mancata consegna di messaggi e altre ancora erano addirittura avvertimenti di imminenti attacchi da parte del worm stesso. Questa famiglia di worm è famosa anche per utilizzare messaggi in diverse lingue mentre l'ultima variante si contraddistingue per la sofisticata tecnica di social engineering impiegata.
Facendo leva sulla popolarità dei prossimi Campionati Mondiali di Calcio che si terranno nel 2006 in Germania, WORM_SOBER.S si avvale di messaggi email in inglese e in tedesco per informare gli utenti di un'avvenuta vincita di biglietti per l'evento. Alcuni messaggi appaiono generati automaticamente da sistemi e riguardano informazioni relative all'account e alla mancata consegna di email. Questo worm modifica anche l'allegato in accordo con il messaggio utilizzato, ma presenta il carattere distintivo rappresentato dall'uso di un'estensione ZIP. Gli utenti incuriositi che aprono l'allegato si rendono conto troppo tardi che il loro computer è stato compromesso e le risorse di sistema sono state utilizzate per diffondere ulteriormente WORM_SOBER. Questa variante del malware visualizza anche un messaggio di errore per sviare il prima possibile l'attenzione e nascondere le proprie manovre.
Il worm lancia inoltre un attacco a più livelli sulle macchine già infette nel tentativo di diffondersi ulteriormente. Per citare le parole di Macalintal: "La proliferazione di WORM_SOBER.S può essere etichettata come il primo capitolo di uno degli schemi più elaborati mai utilizzati nel mondo del malware. Il worm usa infatti un elenco predefinito di URL sui quali scaricare un altro malware a partire da una certa data. Prima di tale data infatti, nella fattispecie il 15 maggio, i link agli URL erano inattivi".
Considerando WORM_SOBER.S una sorta di prima puntata, il capitolo successivo è giunto regolarmente a soli sei giorni di distanza, il 15 maggio. Gli URL presenti nel corpo del malware si sono attivati e i sistemi già affetti da WORM_SOBER.S sono diventati vittime di una nuova variante della famiglia SOBER, identificata da Trend Micro come WORM_SOBER.U. Questa versione scarica costantemente file sconosciuti dai domini in elenco, con la conseguenza di provocare lo spamming di massa di messaggi email contenenti link a URL di propaganda politica di estrema destra. I sistemi già infetti diventano quindi trampolini di lancio per il messaggio email.
"Questa saga purtroppo è destinata a non terminare qui, poiché sono già giunti rapporti che indicano come a partire da una certa data WORM_SOBER.U smetterà di utilizzare la propria routine di spamming per iniziare a scaricare sempre dagli stessi domini un altro malware. Ecco quindi che si prospetta già un nuovo capitolo della storia", ha spiegato Macalintal.
Al momento della stesura del presente documento non sussistevano prove dell'imminente avvento dell'Episodio Tre della saga, con la conseguenza di lasciare i produttori antivirus sul chi vive: "[il settore informatico] sta aspettando il Terzo Episodio della serie che, riprendendo il paragone con la saga di Guerre Stellari, potrebbe intitolarsi 'Il ritorno di SOBER'", ha aggiunto Macalintal.
Se nei mesi precedenti gli attacchi portati da WORM_SOBER sono passati sotto silenzio, WORM_SOBER.S ha dimostrato rinnovati sforzi per sfruttare l'efficienza della posta elettronica e fare leva sulla naturale credulità del pubblico. WORM_SOBER.S non soltanto utilizza due lingue diverse, ma si avvale anche di approcci email differenti al preciso scopo di suscitare la curiosità degli utenti.
Il successo di questo worm potrebbe essere una delle ultime fiammate di questo genere. Secondo Yaneza: "Questo attacco [da parte di SOBER] può rappresentare la giustapposizione dell’utilizzo distorto dell’Internet marketing (spam) e del malware. Nessun programmatore software onesto osa ormai inviare allegati nel timore che questi vengano infettati durante la trasmissione, mentre invece gli utenti, sempre allettati anche dalla più remota possibilità di vincere qualcosa, continuano a tentare la sorte eseguendo allegati non verificati". Al di là di ogni opinione, soltanto il tempo potrà dire se gli attacchi portati da WORM_SOBER siano stati soltanto particolarmente fortunati. Quello che è certo è che il mailing di massa non rappresenta una novità mentre messaggi email originali e creativi non finiranno mai di assillare il mondo informatico.
IL DEBUTTO DI MYTOB
Due allarmi relativi a WORM_MYTOB lanciati nello stesso giorno
Da quando la prima versione di WORM_MYTOB è stata scoperta il 27 febbraio scorso, sono state identificate innumerevoli varianti. Questa famiglia di worm è in grado di scatenare epidemie di vaste proporzioni in quanto si propaga via email e attraverso le cartelle condivise in rete. Questo malware si può considerare come un bot worm con capacità di mass-mailing oppure, considerati i messaggi email inviati, come un lontano parente di WORM_MYDOOM. In modo simile ad altri famosi mass-mailer, WORM_MYTOB utilizza la tecnica di inviare agli account email notifiche di verifica/convalida account, sospensione o allarmi. Le estensioni utilizzate sono molteplici, tra cui BAT, EXE, PIF, SCR e ZIP. Le varianti di WORM_MYTOB differiscono fra loro unicamente per i nomi del file e il server e i canali IRC (Internet Chat Relay) utilizzati dalle routine di backdoor.
Il 9 maggio WORM_MYTOB.ED è diventata la prima variante di WORM_MYTOB a meritarsi il lancio di un allarme in considerazione del numero stranamente alto di infezioni registrate in Australia e in Giappone. Sempre il 9 maggio, a tredici ore circa di distanza, è stato lanciato un altro allarme giallo relativo questa volta a WORM_MYTOB.EG. A parte alcune trascurabili differenze nei messaggi inviati, nei processi terminati, nel canale IRC utilizzato e nelle routine di backdoor eseguite (WORM_MYTOB.ED è in grado di acquisire una copia aggiornata di se stesso), i due worm sono sostanzialmente simili. La particolarità di queste due varianti è rappresentata pertanto dall'estremo ravvicinamento degli attacchi.
WORM_MYTOB.ED è comparso lunedì alle 4.30 del mattino, pronto per l'agguato nelle caselle di posta elettronica all'orario di colazione. L'atmosfera del weekend appena concluso e la bassa attenzione dovuta alla settimana non ancora iniziata hanno congiurato facendo sì che molti utenti leggessero la loro posta elettronica senza la dovuta cura. Un messaggio apparentemente relativo a una comunicazione importante non poteva non suscitare curiosità e invogliare l'utente ad aprirlo, con la conseguenza di ritrovarsi con il sistema infetto prima dell'ora di pranzo.
A poco più di dodici ore di distanza è stato lanciato un altro allarme a causa dell'epidemia provocata da una versione simile di WORM_MYTOB: WORM_MYTOB.EG. Comparsa alle 17.57, quindi pochi minuti prima del tradizionale orario di chiusura degli uffici, questa variante ha sorpreso la maggior parte degli utenti impegnati a preparasi per l'uscita al termine di una lunga giornata di lavoro, approfittando quindi delle normali condizioni di stanchezza e disattenzione. La routine utilizzata ha fatto sì che oltre un migliaio di sistemi sparsi in tutto il mondo si trasformassero in trampolini di lancio per l'ulteriore diffusione del worm. Il fatto di essersi trattato del primo giorno lavorativo della settimana ha contribuito al successo ottenuto da queste due varianti di WORM_MYTOB. Gli allarmi lanciati per questi due worm dimostrano come fattori esterni completamente slegati dalle caratteristiche del malware possano rivelarsi determinanti nella creazione del danno.
Come ricordato in precedenza, l'assenza di allarmi per tutto il mese di aprile ha indubbiamente contribuito a far diminuire l'attenzione da parte degli utenti e i brevi intervalli tra gli allarmi dichiarati in maggio dimostrano come questo mese il settore informatico si sia lasciato sorprendere dagli autori di malware con la guardia abbassata.
AI VOSTRI POSTI
Un worm si combina con Trojan horse e spyware per scatenare un'epidemia
Alle 4.30 del mattino dell'11 maggio è stato identificato un worm in rapida diffusione allegato a un messaggio di posta vuoto il cui argomento varia coprendo una serie di tematiche come ragazze, amore, musica, notizie, immagini e curricula. L'allegato è un archivio ZIP dal nome collegato a quello dell'argomento del messaggio. Sorprendentemente, nonostante l'approccio minimalista di WORM_WURMARK.J, sono state ricevute segnalazioni di infezione da diversi Paesi spingendo Trend Micro a diramare un allarme giallo per controllarne la diffusione. Sebbene non sia un worm esattamente rivoluzionario, WORM_WURMARK.J tiene in serbo qualche trucco come quello di depositare un programma spyware commerciale sui sistemi infetti e registrare i tasti digitati dall'utente. Trend Micro rileva l'applicazione spyware depositata come TSPY_AGENT.C, che si registra sotto forma di BHO (Browser Helper Object).
Questa combinazione worm-spyware può tuttavia non essere così ideale come sembra a prima vista. Ironicamente, l'applicazione spyware viene venduta sul mercato e richiede l'approvazione di un accordo con l'utente prima di poter essere installata. Un worm che distribuisce liberamente un programma spyware che libero non è sembra quasi fatto apposta per danneggiarlo; ma vi è anche il sospetto che tutto questo non sia altro che una campagna promozionale, magari per un aggiornamento a pagamento del programma spyware al quale gli utenti potrebbero inconsapevolmente acconsentire.
A parte queste teorie cospiratorie, chiunque abbia realizzato questo worm persegue un proprio scopo personale. WORM_WURMARK.J registra anche tutti i tasti digitati dall'utente salvandoli in un file DLL: in questo modo può acquisire moltissime informazioni essenziali di natura personale o finanziaria. Gli utenti remoti che dovessero accedere a questa sorta di logfile possono accedere ad account e profili, e conseguentemente essere in grado di usarli per qualunque scopo illegale.
Questo worm può essere infine scaricato da un Trojan horse che ne permette l'ingresso nel sistema senza che l'utente si accorga di alcunché di sospetto. I Trojan horse sono maestri nell'arrivare senza farsi scorgere, e possono essere impiantati in un sistema con l'intenzione di causare danni ben maggiori in un secondo momento.
WORM_WURMARK.J dimostra la combinazione di Trojan horse, worm e spyware definendo la tendenza per le future iterazioni del malware. L'ingresso nascosto dei Trojan horse, la rapida propagazione dei worm e l'efficiente mascheramento dello spyware sono forieri di guai per il mondo dell'informatica.
IL MALWARE DEL MESE
Un nuovo Trojan horse fa evolvere le estorsioni Internet
È stato scoperto in circolazione un nuovo Trojan horse che cifra crittograficamente i file dell'utente e lascia un messaggio con le istruzioni per l'acquisto di un apposito decifratore. TROJ_PGPCODER.A ricerca sui sistemi colpiti 15 tipologie di file - tra cui file HTML, documenti Microsoft Word e fogli di calcolo Microsoft Excel - all'interno di tutte le cartelle e sottocartelle crittografandoli per renderli inutilizzabili senza un apposito decifratore.
Quello che sembrerebbe un payload distruttivo è in realtà un tentativo di estorsione del tutto differente dalle altre truffe solitamente condotte via Web. Il programma lascia infatti un file di testo contenente istruzioni per contattare un determinato indirizzo di posta elettronica presso cui poter acquistare un decifratore al prezzo di 200 dollari. Gli esperti antivirus hanno quindi battezzato questo tipo di malware come "ransomware", dalla parola inglese che significa "riscatto".
Sebbene non si tratti del primo caso di applicazione della crittografia a fini illegali (un programma che cifrava i nomi dei file era stato inviato tramite floppy disk a migliaia di enti di ricerca nei primi anni Novanta; l'autore, che si proponeva per ripristinare i sistemi colpiti in cambio di denaro, venne arrestato e successivamente condannato), il fatto che sia appoggiato a un sito Web indica chiaramente un tentativo di far evolvere le estorsioni Internet. Tutto ciò accade proprio mentre si tenta di bloccare la proliferazione di Trojan horse utilizzati a fini di lucro, soprattutto quelli che tentano di sottrarre informazioni sui conti bancari Internet.
"I Trojan horse possono diventare l'ultima delle preoccupazioni per i produttori antivirus quando si consideri il tipo di minaccia rappresentato da PGPCODER", ha commentato Macalintal. Il vero pericolo, secondo lui, è rappresentato da una possibile combinazione tra il codice di PGPCODER e quello di un worm. "Il codice di PGPCODER può essere integrato con routine di mass-mailing o viceversa. Un worm potrebbe includere per esempio la capacità di crittografare i file e offrire alle sue vittime una soluzione in cambio di informazioni personali, aziendali o finanziarie". I produttori antivirus affermano di essere in grado di decifrare i file crittografati da questo malware; ma il problema principale nella scoperta di malware di questo genere è la possibilità che derivino ulteriori minacce sempre più perfezionate, di cui ogni nuova iterazione sarebbe certamente più efficace di quella precedente.
Come se le minacce affrontate quotidianamente dagli utenti di computer non generassero sufficiente stress, una nuova varietà di malware è pronta ad attaccare il mondo informatico. Fino ad oggi le estorsioni Internet sono state rivolte alle aziende da parte di hacker che richiedevano denaro per non scatenare attacchi contro siti Web commerciali. Sfortunatamente per il normale utente di computer, TROJ_PGPCODER.A sembra segnalare l'espansione della minaccia delle estorsioni Internet al di là dei confini aziendali.
MALWARE DOCUMENTATO
1.505 nuovi esemplari di malware scoperti in libertà
Trend Micro ha documentato 1.505 nuovi esemplari di malware dalle segnalazioni effettuate dai clienti tra il 21 aprile e il 20 maggio 2005: una cifra che rappresenta il dato più basso di qualunque periodo di 30 giorni nell'anno in corso. Si tratta di una diminuzione significativa (23%) rispetto ai 1.957 casi del mese precedente, ma comunque sufficiente per far superare la soglia degli 8.000 nuovi esemplari scoperti nel 2005 - un aumento di oltre il 200% rispetto ai 2.766 casi rilevati nel corrispondente periodo dell'anno scorso. Come previsto, con 881 casi i Trojan horse dominano questa particolare classifica. I worm si piazzano in una distante seconda posizione con 379 casi, mentre il terzo posto va ai 128 esemplari di programmi backdoor. Numero dei nuovi programmi pericolosi scoperti nel periodo dal 21 aprile al 20 maggio suddivisi per tipologia Il numero di nuovi Trojan horse rilevati in questo mese equivale a una lieve (11%) diminuzione rispetto al mese precedente; tuttavia la loro proporzione rispetto a tutto il malware di nuova scoperta è la più rilevante. Da un valore inferiore al 50% registrato nei primi due mesi dell'anno, questo parametro ha di poco superato la soglia del 50% in marzo e aprile fino ad arrivare al 59% nel mese di maggio. Qualora questa tendenza dovesse proseguire, la crescita del numero di Trojan horse potrebbe superare il 60%.
Le implicazioni non sono certo insignificanti. Sebbene i Trojan horse non siano noti per l'elevato potenziale infettivo o per la presenza di payload distruttivi, ciononostante essi possono aprire porte e configurare proxy server, scaricare o depositare file pericolosi, e registrare quanto digitato alla tastiera - tutte attività associate alla sottrazione di informazioni. Di fatto ben 313 (il 36%) dei nuovi Trojan horse corrispondono a programmi spyware, nella maggior parte dei casi appartenenti alle famiglie BANKER, BANCOS, BANCBAN e BANBRA, note per sottrarre le informazioni relative a conti di Internet banking visualizzando una pagina di login contraffatta (phishing) o registrando i tasti digitati dagli utenti quando accedono a determinati siti Web bancari.
Esiste poi TROJ_PGPCODER.A, che si prevede possa dare inizio a una nuova serie di Trojan horse capaci di lanciare attacchi a scopo di estorsione.
"Con queste tendenze in atto nella comunità digitale", ha affermato Macalintal, "i produttori di antivirus devono restare sempre in guardia, mentre la sensibilizzazione degli utenti in merito all'impiego sicuro dei mezzi informatici (ovvero quei 'comandamenti' di cui un esempio potrebbe essere: 'Non cliccare su link sconosciuti e sospetti provenienti da fonti sconosciute e sospette') dovrebbe essere sempre ripetuta".
I DATI SULLE INFEZIONI
Il WTC registra il più alto numero di infezioni degli ultimi 22 mesi
Alla data del 20 maggio il World Tracking Center di Trend Micro aveva registrato 2.720.351 infezioni in tutto il mondo nel mese di maggio, una quantità rilevante rispetto a quelle degli ultimi mesi. Questa cifra è destinata a crescere e raggiungere anche i 4,2 milioni di infezioni entro la fine del mese, molto più della media di 3,2 milioni dei primi quattro mesi del 2005. Si tratta dunque del numero di infezioni più alto in un singolo mese dall'agosto 2003. Questa tendenza è interessante dal momento che in questo mese sono stati diramati quattro allarmi, un'indicazione della possibile portata infettiva che i nuovi malware sono in grado di raggiungere. Tuttavia, anche con questo considerevole aumento dei casi di infezione complessivi, esiste una netta indicazione che i malware di nuova scoperta non raggiungano le capacità infettive delle loro precedenti controparti. I dati degli ultimi mesi mostrano una correlazione estremamente debole tra il numero totale di nuovi malware scoperti e il numero di infezioni registrate dal WTC. Ciò potrebbe significare che la maggior parte delle infezioni vengano registrate non dalla pletora di nuovi malware rilasciati in libertà, bensì dal malware preesistente. WORM_MYTOB, per esempio, ha generato oltre 80 differenti varianti dal momento della scoperta della sua primissima iterazione, avvenuta verso fine febbraio. Tuttavia il numero totale di infezioni di tutte le varianti negli ultimi quattro mesi supera di poco i 65.000 casi, nulla in confronto alle infezioni di HTML_NETSKY.P registrate solo negli ultimi 30 giorni.
Come nei mesi scorsi, il Nordamerica è in testa per numero di infezioni registrate - per un 62% circa del totale globale, in aumento rispetto al 56% medio dei primi quattro mesi dell'anno. Asia ed Europa sono rispettivamente al secondo e terzo posto per numero di infezioni, con il 19% e il 15% del totale.
I MALWARE PIÙ DIFFUSI
NETSKY.P finalmente rallenta
Il tandem costituito da WORM_NETSKY.P, il malware più diffuso del 2004 e degli ultimi mesi, e dal suo componente HTML_NETSKY.P sta finalmente mostrando segni di rallentamento. Dopo aver occupato la prima posizione per 7 mesi consecutivi (escludendo un ulteriore mese agli inizi del 2004), questa coppia sta finalmente cedendo.
Nonostante HTML_NETSKY.P rimanga al vertice con un incremento di quasi il 100% nel numero di infezioni rispetto al mese precedente, WORM_NETSKY.P, il componente principale del tandem, ha registrato il minor numero di infezioni mai emerso in un arco di 30 giorni.
WORM_NETSKY.P è un mass-mailer che spedisce messaggi rilevati come HTML_NETSKY.P che non soltanto contengono copie del worm, ma sfruttano anche una delle vulnerabilità note di Internet Explorer relativa agli header MIME malformati (MS01-020), che consente di eseguire automaticamente gli allegati quando il messaggio viene aperto o visualizzato in anteprima.
HTML_NETSKY.P viene intercettato presso i gateway e sui mail server. Secondo Yaneza, "Il fatto che WORM_NETSKY.P abbia registrato meno infezioni prova solamente il miglioramento dei filtri di posta e di gateway, evitando che il worm possa raggiungere i desktop per creare ulteriori danni".
Questo dato potrebbe però significare anche la diminuzione dei sistemi che non possiedono patch per risolvere la vulnerabilità legata agli header MIME; oppure, potrebbe voler dire che i destinatari hanno imparato a non aprire l'allegato del messaggio pericoloso. È degno di nota rilevare come ben sei tra le principali minacce di questo mese siano stati programmi grayware e spyware, responsabili di oltre 165.000 infezioni registrate, a indicare come l'aumentata attenzione rivolta da Trend Micro al controllo della diffusione dei programmi spyware e grayware sia sempre più importante. I sei programmi spyware presenti nella Top Ten rappresentano da soli oltre 165.000 persone che hanno voluto liberarsi di questo tipo di minaccia negli ultimi 30 giorni.
Uno dei problemi legati ai programmi spyware e grayware risiede nel loro arrivo surrettizio all'interno del sistema - normalmente attraverso freeware/shareware o autoscaricamento, e nella presenza di cookie, nella maggior parte senza alcuna opzione di disinstallazione. I loro effetti possono essere fastidiosi (disturbo delle attività Internet a causa di pop-up pubblicitari e redirezioni, cursori e scrollbar incontrollabili e toolbar sconosciute) o anche dannosi (intrusioni e invasione della privacy, assenza di anonimato, sottrazione di informazioni, apertura di varchi nella sicurezza di sistema e modifiche alla home page, alla pagina di ricerca e ai parametri di sicurezza di Internet Explorer).
Fonte: Data Manager Online