Gli autori di codice dannoso fanno affidamento sul comportamento di aggiornamento scadente degli utenti. Le vecchie falle di sicurezza sono molto popolari tra i criminali online.
Quando infettano i PC, i criminali online traggono sempre più vantaggio dagli aggiornamenti disinstallati dei browser utilizzati e dei loro componenti. Secondo le analisi dei G Data SecurityLabs, le lacune di sicurezza nei plug-in del browser che non sono state colmate sono attualmente molto in voga tra le cyber gang. In questo concetto di diffusione, gli autori non sfruttano in alcun modo solo le attuali lacune di sicurezza - ciò è dimostrato dalle attuali analisi del codice dannoso per il mese di maggio 2011.
Solo nel mese precedente, quattro minacce malware su dieci nella top 10 hanno preso di mira le falle di sicurezza Java, per le quali Oracle offre un aggiornamento da marzo 2010. Il produttore tedesco di sicurezza IT sta registrando un'ulteriore crescita del malware che installa adware o cerca di indurre gli utenti a installare programmi di protezione antivirus fasulli.
Informazioni sul malware per computer da G Data Malware Top10
Le funzioni dei programmi sono diverse e vanno dalla pubblicità indesiderata, all'installazione di spyware, alla commercializzazione di programmi di protezione antivirus fasulli (scareware). Trojan.FakeAlert.CJM, ad esempio, utilizza il browser per indurre gli utenti a credere che i loro computer siano infetti. Solo il "programma di protezione" pubblicizzato per l'acquisto è in grado di disinfettare nuovamente il sistema. Le vittime che cadono in questa truffa acquisiscono software completamente inutile e spesso pericoloso che, invece di proteggerlo, scarica e installa solo codice dannoso aggiuntivo e ruba dati personali.
- Java.Trojan.Downloader.OpenConnection.AO: questo downloader di trojan può essere trovato in applet Java manipolate sui siti web. Quando l'applet viene caricata, genera un URL dai parametri dell'applet e da lì il downloader scarica un file eseguibile dannoso sul computer dell'utente e lo esegue. Questi file possono essere qualsiasi tipo di malware. Il downloader sfrutta la vulnerabilità CVE-2010-0840 per uscire dalla sandbox Java e scrivere dati nel sistema.
- Trojan.Wimad.Gen.1: questo Trojan finge di essere un normale file audio .wma, che può essere riprodotto solo su sistemi Windows dopo l'installazione di uno speciale codec/decodificatore. Se il file viene eseguito dall'utente, l'autore dell'attacco può installare qualsiasi codice dannoso nel sistema. I file audio infetti si diffondono principalmente tramite reti P2P.
- Gen: Variant.Adware.Hotbar.1: Questo adware viene installato per lo più inconsapevolmente, come parte di pacchetti software gratuiti di programmi come VLC, XviD o simili, che non vengono caricati dal produttore, ma da altre fonti. I presunti sponsor di questo software attuale sono 'Clickpotato' e 'Hotbar'. Tutti i pacchetti sono firmati digitalmente da una "Pinball Corporation" e l'adware viene avviato automaticamente ogni volta che viene avviato Windows ed è integrato come icona della barra delle applicazioni.
- Worm.Autorun.VHG: questo malware è un worm che si diffonde sui sistemi operativi Windows con l'aiuto della funzione autorun.inf. Utilizza supporti rimovibili come chiavette USB o dischi rigidi mobili. È un worm Internet e di rete e utilizza la vulnerabilità di Windows CVE-2008-4250.
- Java.Trojan.Downloader.OpenConnection.AI: questo Trojan downloader può essere trovato nelle applet Java manipolate sui siti web. Quando l'applet viene caricata, genera un URL dai parametri dell'applet e da lì il downloader scarica un file eseguibile dannoso sul computer dell'utente e lo esegue. Questi file possono essere qualsiasi tipo di malware. Il downloader sfrutta la vulnerabilità CVE-2010-0840 per aggirare la sandbox Java ed essere quindi in grado di scrivere dati localmente.
- Trojan.AutorunINF.Gen: questo è un rilevamento generico che rileva file autorun.inf dannosi noti e sconosciuti. I file Autorun.inf sono file di avvio automatico che vengono utilizzati abusivamente su dispositivi USB, supporti rimovibili, CD e DVD come meccanismi per la diffusione di malware per computer.
- Java.Trojan.Downloader.OpenConnection.AN: questo downloader di trojan può essere trovato in applet Java manipolate sui siti web. Quando l'applet viene caricata, genera un URL dai parametri dell'applet e da lì il downloader scarica un file eseguibile dannoso sul computer dell'utente e lo esegue. Questi file possono essere qualsiasi tipo di malware. Il downloader sfrutta la vulnerabilità CVE-2010-0840 per uscire dalla sandbox Java e scrivere dati nel sistema.
- Java: Agent-DU [Expl]: questo malware basato su Java è un'applet di download che, attraverso una falla di sicurezza (CVE-2010-0840), tenta di aggirare i meccanismi di protezione della sandbox per scaricare ulteriore malware sul computer. Ingannando la sandbox, l'applet può, ad esempio, eseguire direttamente i file .EXE scaricati, cosa che una semplice applet non può, poiché la sandbox Java in realtà lo impedirebbe.
- Trojan.FakeAlert.CJM: questo malware tenta di indurre gli utenti di computer a scaricare programmi di protezione antivirus falsi (software Fake AV) dell'effettivo FakeAV. Il sito Web imita l'esploratore di Windows dell'utente del computer e mostra innumerevoli presunte infezioni. Non appena l'utente fa clic su un punto qualsiasi del sito Web, viene offerto un file per il download e questo contiene l'effettivo FakeAV, ad esempio una variante di "Strumento di sistema".
- HTML: Downloader-AU [Expl]: questo malware basato su Java è un'applet che carica una pagina HTML. Questa pagina HTML preparata tenta di caricare una classe Java da un URL nella VM Java vulnerabile attraverso una falla di sicurezza (descritta in CVE-2010-4452). Con questo, l'attaccante vuole bypassare i meccanismi di protezione della VM e quindi aprire la possibilità di abilitare quasi tutte le azioni sul computer.
Fonte: G Data
