I virus informatici nel mese di gennaio 2005

I programmi pericolosi documentati da Trend Micro nel mese di gennaio sono cresciuti enormemente se paragonati allo stesso periodo del 2004, e, come già anticipato nell'analisi di fine anno, il 2005 si apre con dati che invogliano ad una maggiore attenzione alla sicurezza.

Il periodo in esame è stato infatti caratterizzato dal più alto numero di malware documentati in uno stesso mese dal giugno 2004. Questo mese la quantità di malware documentato ha superato la soglia delle 2.000 unità, un evento raro. I 2.236 casi di gennaio rappresentano un incremento del 500% rispetto allo stesso periodo dello scorso anno e oltre il 100% in più rispetto al mese precedente. Più del 70% di questa quantità si riferisce a malware di nuova scoperta, tenendo conto degli esemplari effettivamente inviati dai clienti. Ciò si traduce in 1.608 casi di malware derivanti da gestione di casistiche e segnalazioni in real-time, una cifra superiore a quella di qualunque mese dello scorso anno.

I Trojan horse ancora alla carica
La tendenza degli ultimi mesi ha confermato l'ininterrotto dominio dei Trojan horse tra il malware rilevato. Questo genere di programmi è responsabile del 42% di tutti i rilevamenti documentati: si tratta solo del 4% circa in meno rispetto al mese precedente.
Le implicazioni dell'aumento della popolazione di Trojan horse non sono ovviamente insignificanti. Da mesi ormai il crescente numero di questi programmi ha dimostrato l'apparente mutamento intervenuto presso gli autori di malware nella stesura di codice pericoloso. Note famiglie di Trojan horse specializzati nella sottrazione di password, che impiegano una grandissima quantità di modi per carpire informazioni sui conti di Internet banking (per esempio registrazione dei tasti digitati, phishing), indicano che questa specie di codice pericoloso viene utilizzato dagli autori di malware a scopo di lucro.

È interessante inoltre segnalare come il 78% di tutti i Trojan horse rilevati negli ultimi 30 giorni derivi da segnalazioni effettive di clienti.
I programmi backdoor, che sono essenzialmente Trojan horse dotati di capacità d’accesso remoto, sono stati responsabili di un altro 11% di tutto il malware del mese in esame. Ciò porta al 53% di tutto il nuovo malware rilevato questo mese - per un totale di 1.169 esemplari - utilizzabile nella pratica dai rispettivi autori a fini di lucro.

NETSKY torna a prevalere
A gennaio WORM_NETSKY.P si è ripresentato ancora una volta al primo posto dell'elenco dei malware più diffusi pubblicato dal WTC.
Una possibile spiegazione della diffusione di WORM_NETSKY risiede nell'uso di centinaia di combinazioni di titoli, messaggi e nomi di allegati, rendendo particolarmente difficile per gli utenti sospettare la natura fraudolenta dell'email.

HTML_NETSKY.P, strettamente imparentato con il malware precedente, ha fatto registrare oltre 60.000 infezioni negli ultimi 30 giorni inserendosi al secondo posto della classifica dei malware più diffusi nel periodo. E' un malware dei messaggi email contenente in allegato una copia di WORM_NETSKY.P, il quale sfrutta la vulnerabilità MS01-020 per eseguire automaticamente il codice pericoloso non appena il messaggio è letto o anche soltanto visualizzato in anteprima. Nella Top Ten relativa agli ultimi 30 giorni sono presenti anche altre quattro varianti di NETSKY che, insieme al similare HTML_NETSKY.P, raccolgono complessivamente il 67% di tutte le infezioni provocate dai malware presenti nella Top Ten.

Grayware contro malware
Se l'elenco del WTC considerasse anche i programmi grayware - ovvero spyware, adware, tool di hacking, dialer e altre minacce assortite - nella top ten apparirebbero anche due esemplari di spyware. Nel mese scorso solamente le due varianti di SPYW_GATOR hanno fatto registrare oltre 40.000 utenti desiderosi di eliminare questo tipo di spyware.
Uno dei problemi associati ai programmi spyware dipende dal loro ingresso abusivo all'interno dei sistemi (cosa che avviene normalmente attraverso freeware/shareware o autodownload), dalla presenza di cookie e dalla consueta assenza di opzioni per la disattivazione o la rimozione. I loro effetti possono essere fastidiosi (come una continua interruzione delle attività Internet per mezzo di popup pubblicitari, redirezioni, cursori e barre di scorrimento non controllabili e toolbar sconosciute) quando non addirittura dannosi (intrusioni e invasioni della privacy, sottrazione di informazioni, apertura di varchi nella sicurezza per compromettere il sistema, cambiamenti alla home page, alla pagina di ricerca e alle configurazioni di sicurezza di Internet Explorer).
Anche se numerosi problemi relativi ai programmi grayware devono essere ancora risolti, una cosa è certa: molti utenti di computer non desiderano altro che liberarsi di questi programmi indesiderati.

La minaccia wireless: arriva il virus VLASCO
Una nuova prova del fatto che gli autori di virus sono riusciti a penetrare con successo anche nell'ambito wireless è emersa il 10 gennaio 2005. Come altre precedenti minacce di questo genere, anche PE_VLASCO.A colpisce i dispositivi Bluetooth e i telefoni cellulari basati su Symbian Operating System (OS) e dotati d’ interfaccia utente Series 60 Platform. Tuttavia, a differenza dei suoi predecessori come CABIR e SKULLS, questo virus colpisce anche i sistemi Windows.

PE_VLASCO è una piccola rivoluzione nel suo genere, essendo il primo virus wireless a diffondersi sotto forma di file eseguibile; in questo modo è in grado di comportarsi come un normale vettore d’infezione informatica portando il proprio payload nocivo sui telefoni cellulari. Precedenti minacce wireless potevano essere installate sui sistemi Windows rimanendo tuttavia praticamente innocue. I file SymbianOS Installation (.SIS) si attivano solamente quando vengono installati su un dispositivo wireless, dove possono creare ulteriori file e causare il malfunzionamento di alcune applicazioni.

Di per sé, SYMBOS_VLASCO si diffonde localizzando altri dispositivi Bluetooth configurati con Inquiry Access Code (IAC) illimitato. Una volta trovato un telefono cellulare disponibile, il programma mostra una serie di messaggi che richiedono all'utente il permesso di installare un file denominato VELASCO.SIS. Gli utenti meno accorti, nonostante l'avvertimento ("Application is untrusted"), possono scoprire in seguito che alcune applicazioni non funzionano più correttamente o che sono state completamente sostituite da programmi sconosciuti.

Le minacce relative ai dispositivi mobili non si fermeranno alla tecnologia Bluetooth e sfrutteranno la popolarità di Internet per la loro propagazione e il loro sviluppo. VLASCO s’inserisce nella categoria delle minacce a tecnica mista andando ben di là delle connessioni cablate. Il settore dovrebbe prevedere lo sviluppo a maturità dei worm, dei Trojan horse e dei vettori d’ infezione file programmati per le tecnologie mobili. VLASCO dimostra quanto è facile concretizzare queste potenzialità e diventare il primo esemplare di un nuovo genere di minaccia.

Microsoft annuncia tre nuove vulnerabilità
Lo scorso 11 gennaio Microsoft ha pubblicato tre bollettini di sicurezza per avvertire gli utenti della scoperta di ulteriori vulnerabilità di Windows in grado di consentire l'esecuzione remota di codice. In poche parole, il Microsoft Security Bulletin MS05-001 riguarda il controllo ActiveX HTML Help e il modo in cui questo elabora le richieste cross-domain. Il Microsoft Security Bulletin MS05-002 affronta l'insufficiente verifica del formato di cursori e icone, mentre il Microsoft Security Bulletin MS05-003 si sofferma sull'assenza di controlli sui buffer dell'Indexing Service. Tutte queste tre vulnerabilità compromettono la sicurezza di sistema aprendo la porta a potenziali danni irreversibili.

I sistemi che accedono a siti Web personalizzati dagli attaccanti scaricano automaticamente uno script, un'icona o un pacchetto pericolosi. L'utente può risultare quindi ignaro del fatto che la propria macchina sia stata attaccata con successo accorgendosene solo quando sia troppo tardi: il sistema è a rischio, e questo può condurre a diversi scenari poco piacevoli.

Gli effetti negativi sui sistemi, tuttavia, sono ben poca cosa rispetto alle potenzialità di sottrazione delle informazioni. Microsoft ha avvisato della possibilità che un attaccante che sfrutti efficacemente queste nuove vulnerabilità possa acquisire il controllo completo del sistema bersaglio. In altre parole, qualcuno diverso dal legittimo utente può accedere liberamente ai documenti e ai cookie Internet, manipolare la configurazione di sistema e avviare programmi o script non verificati. Attaccanti esterni possono ottenere una sufficiente quantità di dati inerenti l'utente colpito (per esempio dati sull'account o sullo stato finanziario della persona) da causare vivo allarme.

Oltre alle patch rese disponibili da Microsoft e alle modifiche ai parametri di sistema consigliate dagli esperti, vigilanza e discrezione costituiscono un buon antidoto a queste vulnerabilità e alle altre che inevitabilmente seguiranno.

Il malware dello tsunami si è rivelato un flop
Non è inusuale per gli autori di malware sfruttare la popolarità di alcuni personaggi o la risonanza di certi avvenimenti per estendere la portata delle infezioni. Ad esempio, nello scorso mese di novembre è stato identificato WORM_GOLTEN.A, un malware che si diffondeva via email tramite messaggi apparentemente riguardanti notizie sulla malattia che aveva colpito il leader palestinese Yasser Arafat.

L'ultimo malware in ordine di tempo ad aver cercato di trarre vantaggio da un evento di grande risonanza per accrescere la propria diffusione è stato WORM_ZAR.A, un worm che ha tentato di approfittare dell'enorme emozione suscitata nel mondo dallo tsunami che ha mietuto centinaia di migliaia di vittime nel sud-est asiatico il giorno di S. Stefano. Questo worm mass-mailer si propaga attraverso la posta elettronica utilizzando la MAPI (Messaging Application Programming Interface) per raccogliere indirizzi email da Microsoft Outlook e inviare una propria copia ai destinatari sotto forma di allegato. WORM_ZAR.A spediva un messaggio che invitava le vittime ignare ad effettuare donazioni a favore delle vittime dello tsunami.
Tuttavia il malware WORM_ZAR.A non ha fatto registrare nemmeno un'infezione documentata dal Trend Micro World Tracking Center.

a cura della Redazione