Trend Micro: i virus e malware informatici nel primo trimestre 2005
Come procede lo sviluppo dei virus e dei malware informatici? Quali sono i rischi e quali sono i dispositivi ora a rischio? Analisi delle novità di questo primo trimestre del 2005
L’andamento del primo trimestre del 2005 non è rassicurante per la sicurezza informatica. Negli ultimi tre mesi Trend Micro ha documentato 7.598 nuovi codici pericolosi, quasi il 200% in più rispetto al trimestre precedente e quasi il 300% in più rispetto allo stesso periodo dell’anno scorso. Questi dati fanno registrare un nuovo record su base trimestrale: è la prima volta che il malware rilevato riesce a superare la soglia dei 7.000 casi.
Il numero di codici maligni documentati negli ultimi cinque trimestri, riepilogato nella Fig.1, è cresciuto costantemente: dai soli 2.695 casi del primo trimestre fino al terzo, quando se ne sono rilevati più di 6.500. Costituisce un’eccezione l’ultimo trimestre del 2004, il più calmo per quanto riguarda allarmi e infezioni e anche il più avaro in termini di nuovi malware. L’improvvisa impennata del primo trimestre del 2005 potrebbe però significare un regolare incremento per tutto il resto dell’anno.
I Trojan horse, a quota 2.997, rappresentano la porzione maggiore (39%) di tutto il malware documentato. Se si considerano anche i programmi backdoor, essenzialmente Trojan horse ad accesso remoto (11%), si arriva a oltre il 50%, ovvero 3.831 casi utilizzabili nella pratica dai loro autori per raggiungere profitti illeciti. L’implicazione della crescita della popolazione di Trojan horse, infatti, non è insignificante. Famose famiglie di Trojan horse, specializzati nella sottrazione di password come TROJ_BANKER, TROJ_BANCOS e TROJ_BANCBAN, che sfruttano una miriade di tecniche per rubare informazioni relative a conti di Internet banking (p. es. phishing, registrazione dei tasti digitati), mostrano come questo tipo di malware sia utilizzato a scopo di lucro.
I dati sulle infezioni e la classifica dei malware più diffusi
Il World Tracking Center (WTC) di Trend Micro ha registrato nel periodo in esame 8.279.477 infezioni in tutto il mondo. Questa cifra rappresenta un lieve aumento, circa il 10% rispetto agli 8.047.748 casi del trimestre precedente; tuttavia il dato costituisce il 16% in meno rispetto allo stesso periodo dell’anno scorso, quando erano state rilevate 10 milioni di infezioni.
La classifica del WTC relativa ai malware più diffusi è guidata ancora una volta da WORM_NETSKY.P. Nel trimestre in esame il WTC ha infatti registrato oltre 200.000 infezioni di questo worm: si tratta di una media di quasi 2.500 sistemi colpiti quotidianamente nell’arco degli ultimi 90 giorni. Ciò porta a un totale di 2,7 milioni infezioni da quando questo malware è stato rilevato nel marzo 2004, facendolo diventare una delle minacce più diffuse di tutti i tempi.
Altre cinque varianti di NETSKY completano la classifica dei primi dieci malware del trimestre
Le sei varianti di WORM_NETSKY più HTML_NETSKY.P totalizzano uno stupefacente 77% di tutte le infezioni registrate dai primi dieci malware, a conferma della longevità delle infezioni di NETSKY.
Nuovi MALWARE
Per l’industria degli antivirus si è trattato di un trimestre abbastanza “interessante”, anche se sulla scena sono apparse solo sei epidemie, esattamente la metà rispetto allo stesso periodo dell’anno scorso, che ne aveva contate ben 12.
Worm per instant messaging, binomi worm-worm e worm-Trojan horse
Dei sei casi registrati questo trimestre, tre sono stati causati da un sottoceppo di worm che si propagano mediante instant messaging (IM), compreso MSN Messenger. Il revival dei worm IM (il primo esemplare è comparso nel 2001) è divenuto lampante in questo trimestre con l’arrivo di BROPIA, KELVIR, FATSO e ASSIRAL che hanno cercato di convincere gli utenti a scaricare file infetti nei loro sistemi. Nell’arco di quattro anni solo un worm di questo genere era riuscito a provocare un allarme; quest’anno, invece, si sta osservando un aumento del numero di worm IM e una svolta nelle loro attività. Due di questi worm IM (WORM_KELVIR.B e WORM_BROPIA.F) hanno depositato nei sistemi infetti dei bot worm – noti per sfruttare i sistemi privi di protezione (patch) per comandarli a distanza a scopi illeciti – suggerendo così una partnership di tipo worm-worm.
Nel trimestre sono apparsi anche altri “tandem” di malware con allarmi relativi a combinazioni worm-Trojan horse. Anche se si tratta di una formula ormai datata, rimane pur sempre efficace in termini di portata infettiva e impatto sulla sicurezza. WORM_BAGLE.BE, in particolare, attiva un ciclo di infezione worm-Trojan horse che ha suscitato allarme negli Stati Uniti e in alcune parti dell’Asia.
Trojan horse contro l’Antispyware di Microsoft
Questo trimestre ha visto anche una famiglia di Trojan horse attaccare un’applicazione Antispyware appena acquisita da Microsoft. I mezzi d’informazione hanno dato risalto a questo assalto proponendo teorie relative a vendette e propaganda underground. Sembra tuttavia che si tratti di un payload necessario per il malware creato da coloro che sostengono i programmi spyware. Un altro elemento comune è la terminazione dei processi legati ad antivirus e programmi di sicurezza, pertanto le teorie dei media sembrano essere alquanto azzardate.
Rischi sempre più concreti per i cellulari
Nel trimestre in questione sono stati scoperti anche dieci esemplari di malware dedicato ai dispositivi mobili. Seguendo la rotta tracciata lo scorso anno da CABIR e SKULLS, sono venuti alla ribalta nuovi malware come VLASCO, LOCKNUT, COMWAR, DAMPIG e DREVER. Nei prossimi mesi si prevede un costante aumento di queste minacce ai cellulari, che stanno diventando sempre più pericolose grazie a tecniche più sofisticate che ne incrementano la capacità infettiva e ne rendono più difficile la rimozione. Quindi, dovrebbero essere affrontate seriamente in quanto potrebbero comportare la perdita di file, rubriche telefoniche, messaggi, fotografie e addirittura rendere inutilizzabile il telefono cellulare stesso. Secondo Jaime Lyndon “Jamz” A. Yaneza, Senior Antivirus Consultant di Trend Micro,
“I worm per instant messaging e telefoni mobili stanno crescendo con decisione. Sembra che gli autori di malware guardino a questa strada come veicolo alternativo alla posta elettronica, dato che le soluzioni per i sistemi email hanno ormai saturato il mercato”.
