Ancora dati sulla diffusione dei Virus secondo TrendMicro. +50% a febbraio

Continua il trend di crescita delle minacce informatiche. Nonostante il leggero rallentamento registrato verso la fine del 2004, la tendenza è tornata al rialzo con l'inizio del nuovo anno. Trend Micro, nel mese di febbraio, ha documentato un totale di 3.185 nuovi esemplari di programmi pericolosi, quasi il 50% in più rispetto ai 2.236 del mese precedente. I worm hanno guidato la carica mensile del malware con oltre 1.200 nuovi rilevamenti documentati. I Trojan horse, nonostante un lieve aumento rispetto alle cifre del mese precedente, si sono fermati al secondo posto con 1.083 casi.
Occorre notare come 150 Trojan horse appena scoperti, quasi il 20% dei 778 totali, siano varianti delle famiglie BANKER, BANCBAN e BANCOS specializzate nel furto di password e informazioni relative a conti bancari online. E’ previsto un mese di marzo “difficile” con una media elevata di allarmi (tra 3 e 5), che tra l’altro potrebbero riguardare malware di nuova invenzione.

Il numero di rilevamenti è in continua crescita da dicembre 2004: la Figura 1 propone un confronto tra i valori registrati dall'ottobre 2004 al febbraio 2005.

Figura 1. La tendenza dei rilevamenti di malware dall'ottobre 2004 al febbraio 2005

Controtendenza ai vertici della Top Ten

Contrariamente a quanto accade di solito, a febbraio, un bot worm si è posizionato al primo posto della top ten del malware. WORM_SDBOT.APA ha registrato il maggior numero di infezioni nell'intero periodo superando il malware più diffuso del 2004, WORM_NETSKY.P. I bot worm sono noti per generare un enorme numero di varianti senza tuttavia causare epidemie estese. WORM_SDBOT.APA, scoperto il 31 gennaio 2005, è andato in controtendenza causando oltre 100.000 infezioni in meno di 30 giorni. La Figura 2 mostra i dieci principali malware rilevati dal WTC nel periodo compreso tra il 21 gennaio e il 20 febbraio 2005.

Figura 2. I dieci principali malware rilevati dal WTC nel periodo compreso tra il 21 gennaio e il 20 febbraio 2005.

I dieci malware di questo elenco hanno totalizzato 450.742 infezioni, il 30% in più rispetto alle 340.801 dello scorso mese. Al momento di scrivere queste note, il WTC aveva registrato per il mese di febbraio 2005 un totale di 3.264.739 infezioni, un valore lievemente superiore a quello dello stesso periodo dell'anno scorso, quando le infezioni rilevate dal WTC erano state 3.325.776.

Crescono i rischi per l’instant messaging

Un’altra tendenza sta prendendo piede: i servizi di instant messaging (IM) stanno diventando rapidamente un comodo mezzo di trasporto per worm e altri programmi pericolosi. È vero che gli instant messenger non promettono infezioni devastanti, ma risultano tuttavia adatti quanto le tecnologie peer-to-peer e la posta elettronica. Il 2 febbraio è stato infatti scoperto un worm privo di tecniche di mass-mailing in via di rapida diffusione negli Stati Uniti e in alcune zone dell'Asia, fatto che ha spinto Trend Micro a dichiarare un allarme a medio rischio. WORM_BROPIA.F è un esponente di una famiglia relativamente poco nota di worm che si propagano attraverso MSN Messenger. WORM_BROPIA.F spedisce semplicemente all'utente un file dal nome allettante spingendolo ad aprirlo: mostra quindi un'immagine umoristica (un pollo in bikini!) per distrarre l'utente affinché non si accorga dell'esecuzione di un file pericoloso.

Il periodo compreso tra il 21 gennaio e il 20 febbraio ha visto diffondersi altri due worm per instant messenger che, per coincidenza, utilizzano applicazioni differenti: ICQ e AOL Instant Messenger (AIM). WORM_VAMPIRE.A e WORM_AIMDES.A

Trend Micro nel periodo in analisi ha diramato anche due allarmi di rischio medio causati dalle varianti di due “vecchie conoscenze”: BAGLE E MYDOOM. WORM_BAGLE.AZ, apparso il 26 gennaio 2005 fa seguito a 16 epidemie di BAGLE negli ultimi 14 mesi. Come le versioni precedenti, anche WORM_BAGLE.AZ è un mass-mailer che invia copie di se stesso come allegati a messaggi che fanno finta di essere spediti da servizi di delivery di posta elettronica. MYDOOM.BB ha riportato in scena MYDOOM dopo sei mesi di assenza. Anche questo worm invia copie di se stesso via posta elettronica a destinatari raccolti sia sui sistemi colpiti, sia attraverso richieste ai motori di ricerca.

Nel periodo in questione hanno fatto la loro comparsa anche un Trojan horse che attacca l'applicazione Microsoft Windows Antispyware (TROJ_SPYWIN.A), due varianti di un worm che spedisce auguri di San Valentino in anticipo (WORM_KIPIS.C e WORM_KIPIS.E)., e un malware che usa come esca il nome di una giovane celebrità (WORM_AHKER.C). Quest’ultimo spinge gli utenti a scaricarne una copia spacciandosi per un video a luci rosse dell'ereditiera Paris Hilton.