I trojan mutaforma

Roma - La maggiore consapevolezza maturata dagli utenti Internet in merito a privacy e sicurezza, nonché le contromisure messe in atto da Microsoft e altri produttori di software, hanno contribuito in questi anni a ridimensionare il fenomeno worm e trojan. Abbassare la guardia sarebbe tuttavia imprudente, e la dimostrazione arriva dalla diffusione fatta registrare nell'ultimo periodo da minacce come Storm Worm e SpamtaLoad.

Anche noto come Small.DAM e Peacomm, Storm Worm domina ormai da molte settimane la classifica dei malware più diffusi al mondo. Il solo laboratorio di SonicWall afferma di aver registrato più di un milione di casi di infezione, con nuove varianti che compaiono in rapida successione: il codice delle varianti più recenti cambia di continuo, inclusi gli URL ai file infetti, così che la loro rilevazione diventa sempre più difficile. Secondo Guillaume Lovet, responsabile Threat Response Team EMEA di Fortinet, questo mese sono state riscontrate non meno di 36 diverse varianti attive di Storm Worm, anche se quasi il 60% dei rilevamenti è imputabile a sola una variante.

SonicWall spiega che questo worm, catalogabile anche fra i trojan, viene diffuso mediante messaggi di spam che contengono in allegato un file eseguibile camuffato da documento informativo "con notizie d'attualità di grande impatto".

"Una volta attivato - si legge in un comunicato della società di sicurezza - l'allegato inizia a scaricare automaticamente altro codice nocivo e apre una backdoor nella macchina infetta che ne consente il controllo da remoto e contemporaneamente installa un rootkit che nasconde il programma nocivo. Il computer compromesso si trasforma in uno zombie diventando parte integrante di una rete botnet". Le stesse botnet che negli scorsi mesi sono state utilizzate per lanciare attacchi verso diversi siti, tra cui quelli che ospitano database antispam.

Sebbene le prime versioni di Storm Worm utilizzassero modalità di diffusione e infezione non dissimili da quelle dei worm tradizionali, una delle più recenti incarnazioni del malware si è guadagnata l'attenzione degli esperti per il fatto di introdurre un nuovo ed efficace meccanismo di social engineering. Secure Computing, che per prima ha analizzato il comportamento della nuova variante di Storm, spiega che quest'ultima attende che l'utente invii un messaggio ad una webmail, ad un blog o a certi forum e gruppi di discussione web-based, e vi aggiunge di nascosto un link al codice virale.

"Questo annuncia un nuovo trend fra i malware che si diffondono attraverso i blog, i gruppi di discussione e le email web-based", ha affermato Dmitri Alperovitch, ricercatore presso Secure Computing. "Questa nuova minaccia è inoltre particolarmente insidiosa perché gli scanner antivirus non sempre la rilevano. Le ultime variani di Storm utilizzano tecniche polimorfiche per far apparire i loro file binari continuamente diversi rispetto alle impronte virali delle soluzioni antivirus".

Anche nel "Rapporto sulla sicurezza per il 2007" appena pubblicato da Sophos si afferma che stanno diminuendo le minacce contenute nei messaggi email a favore delle minacce ospitate sul web.

"Nel 2006 le minacce più prolifiche sono stati i worm appartenenti alle famiglie Mytob, Netsky, Sober e Zafi, che nel complesso hanno rappresentato più del 75% di tutte le mail infette", si legge nel rapporto. "Tuttavia, secondo le previsioni di Sophos, nel 2007 si assisterà a un significativo cambio di rotta: anziché utilizzare la posta elettronica per diffondere il malware, i cybercriminali sfrutteranno la popolarità di Internet a livello globale e l'accresciuta interattività degli utenti web".

"La straripante presenza dello Storm Worm non è priva di conseguenze, visto che viene sfruttata per generare e inviare ingenti quantità di spam", ha afferma Lovet di Fortinet. "Comunque la battaglia contro lo spam non è persa. Una semplice analisi dei fatti dimostra che nella corsa finale agli armamenti per contrastare i filtri di analisi dei contenuti gli spammer stanno perdendo terreno".

In queste settimane si è guadagnato l'attenzione degli esperti di sicurezza anche SpamtaLoad, un ceppo di worm e cavalli di ***** che si è dimostrato particolarmente prolifico. Tra le varianti più diffuse c'è il trojan SpamtaLoad.DO, che lo scorso martedì Panda Software ha rilevato in circa il 40% dei messaggi ricevuti dai propri laboratori internazionali.

Il celebre produttore di antivirus ha spiegato che il trojan si diffonde attraverso messaggi di posta elettronica con oggetto e testo variabili, quali "Error", "Good day", "hello" o "Mail Delivery System". SpamtaLoad.DO è contenuto in un file eseguibile allegato alla e-mail, ed anche in questo caso il nome è variabile. Se l'utente lo esegue, il trojan mostra un falso messaggio di errore o apre il blocco note contenente un testo. Questo file scarica sul sistema il worm Spamta.TQ, progettato per il rinvio di SpamtaLoad.DO a tutti gli indirizzi email recuperati dal PC infetto.

"Questo tipo di codici non è fine a se stesso", ha affermato Luis Corrons, direttore tecnico dei laboratori di Panda. "In molti casi, vengono usati per distrarre le aziende che si occupano di sicurezza. Infatti, mentre queste ultime concentrano i loro sforzi per eliminare le minacce, i cyber criminali ne approfittano per lanciare altre creazioni, spesso molto più pericolose, in maniera silenziosa".

Durante le ondate di worm come SpamtaLoad, Corrons ha spiegato che vengono messe in circolazione, in poco tempo, numerose varianti della stessa famiglia. "Gli utenti devono agire con cautela, perché questo Trojan potrebbe essere il primo di una nuova serie di aggressioni", ha ammonito il ricercatore.

"L'obiettivo degli autori dei codici maligni è quello di ottenere denaro. In quest'ottica spyware e trojan sono i due strumenti più idonei. Da qui si comprende l'ampia diffusione", ha detto Corrons di Panda. "Gli altri tipi di malware sono molto lontani da queste due categorie: 6% i worm, 5% i dialer, 3% i bot. Uno degli aspetti più curiosi in questo panorama è costituito da un 24% di infezioni che sono riconducibili a virus, cookies etc. Ciò ci fa supporre che esiste una pericolosa e considerevole frammentazione del malware".

I dati raccolti da Sophos rivelano che il 30% di tutto il malware proviene dalla Cina. Si tratta per lo più di backdoor trojan, programmati per consentire agli hacker di accedere ai computer delle ignare vittime. "È sorprendente - afferma Sophos - come il 17% del malware prodotto in Cina venga creato con l'obiettivo specifico di rubare le password dei giocatori on line". Al contrario, gli autori di malware che operano in Brasile, cui va attribuita la paternità del 14,2% di tutto il malware, puntano a sottrarre le informazioni di accesso ai conti bancari on line.

"È interessante notare come il malware differisca a seconda del luogo di origine, sfruttando spesso le tendenze Internet in auge in un dato Paese e in un dato momento. Pertanto, identificandone la provenienza, gli esperti della sicurezza e le autorità sono in grado di tracciare l'identikit degli autori e di assicurarli alla giustizia", ha commentato Narisoni.

Nel 2006 Sophos ha identificato 41.536 nuovi malware, quindi il numero complessivo di minacce da cui le soluzioni Sophos sono in grado di proteggere è salito a 207.684. La quota dei trojan è stata quattro volte superiore a quella dei virus e worm specifici di Windows. Infine, dal 2005 al 2006, il volume di mail infette è sceso da una mail su 44 a una mail su 337.

Anche Fortinet ha pubblicato un rapporto delle minacce di febbraio consultabile qui

Fonte: Punto-Informatico

__________________


L'amore non vuole che compiersi Gibran

Vuoi Fare un Regalo?

Redazione di Comunicati Stampa

Comunicazione Chiara