Le vecchie falle di sicurezza sono sempre più popolari fra i cybercriminali. Un danno causato da utenti che non aggiornano con regolarità programmi e browser. L’analisi di G Data.
Secondo i G Data Security Labs, le falle di sicurezza non ancora chiuse in programmi e plug-in dei browser sono ancora molto popolari fra i cybercriminali. Il che sta a significare gli utenti sono ancora restii a tenere aggiornati i software installati nel PC.
La società raccomanda agli utenti di non “commettere l’errore di disattivare la funzione di aggiornamento automatico. Questa non si applica solo a Java, ma in generale a tutti i plug-in dei browser e alle altre applicazioni presenti sul PC”.
In particolare, secondo le stime di G Data, l’industria del malware si sta focalizzando sulle falle di sicurezza di Java fin dallo scorso anno. Questo tipo di malware sta già dominando il panorama e ha recentemente soppiantato le falle di sicurezza dei file PDF nella Top Ten.
Nell’ultimo report pubblicato a maggio, gli esperti di G Data, hanno sottolineato l’incremento di malware cosiddetti PUP (Potentially Unwanted Program), che installano sul PC software non voluto. Negli ultimi mesi due tipologie di malware appartenenti a questa categoria hanno fatto il loro ingresso nella Top Ten: Variant.Adware.Hotbar.1 e Trojan.FakeAlert.CJM.
Ques’ultimo ad esempio fa credere agli utenti che il computer sia infetto e che possa essere ripulirto solo acquistando il programma antivirus che viene pubblicizzato. Le vittime che cadono in questa trappola finiscono con l’acquistare un software non solo inutile, ma addirittura dannoso perché, anziché offrire protezione, scarica ed installa ulteriore malware con il fine di rubare i dati dell’utente.
Di seguito i primi 10 malware rilevati da G Data nel mese di maggio 2011, con una breve descrizione del funzionamento
- Java.Trojan.Downloader.OpenConnection.AO
Questo trojan downloader si trova in applet Java manipolate presenti su alcuni siti Internet. Quando l’applet viene scaricata, viene generato un URL. Il downloader lo utilizza per scaricare un file eseguibile maligno sul PC dell’utente e lo lancia. Questo downloader sfrutta la vulnerabilità CVE-2010-0840 per eludere la Java sandbox e così scrivere dati in locale. - Trojan.Wimad.Gen.1
Questo trojan si presenta come un normale file audio WMA che può essere ascoltato solo dopo aver installato uno speciale codec/decoder. Se questo file viene aperto, viene installatocodice maligno. Questo file audio infetto è solitamente distribuito attraverso i network P2P. - Gen:Variant.Adware.Hotbar.1
Questo adware viene di solito installato segretamente come parte di pacchetti software gratuiti per programmi quali VLC, XviD e via dicendo, scaricabili da fonti diverse. I supposti sponsor di questi software si chiamano “Clickpotato” e “Hotbar”. Tutti questi pacchetti sono firmati digitalmente come “Pinball Corporation” e l’adware viene lanciato automaticamente ogni volta che Windows si avvia. - Worm.Autorun.VHG
Questo programma malware è un worm che utilizza la funzione autorun.inf nei sistemi operativi Windows per propagarsi. Sfrutta la vulnerabilità CVE-2008-4250 e usa chiavette USB, CD/DVD, o hard disk portatili come mezzo di diffusione. - Java.Trojan.Downloader.OpenConnection.AI
Il principio di funzionamento è lo stesso di
Java.Trojan.Downloader.OpenConnection.AO. - Trojan.AutorunINF.Gen
E’ un software generico di riconoscimento che identifica file maligni autorun.inf, conosciuti o sconosciuti. I file autorun.inf sono file di auto start che vengono sfruttati per distribuire malware attraverso chiavette USB, periferiche rimovibili di archiviazione, CD e DVD. - Java.Trojan.Downloader.OpenConnection.AN
Il principio di funzionamento è lo stesso di
Java.Trojan.Downloader.OpenConnection.AO. - Java:Agent-DU [Expl]
Questo malware basato su Java è un’applet scaricabile che cerca di sfruttare la falla di sicurezza hole (CVE-2010-0840) per eludere il meccanismo di protezione sandbox e scaricare malware addizionale sul PC. Una volta che l’applet ha ingannato la sandbox, può scaricare direttamente e avviare file eseguibili. Ricordiamo che, di norma, un’applet non può avviare un file eseguibile per la presenza della sandbox Java. - Trojan.FakeAlert.CJM
Questo malware invita gli utenti a scaricare un falso programma antivirus, che si presenta sotto forma di un sito che imita Windows Explorer e finge di rilevare numerosi file infetti sul PC. Non appena l’utente clicca su questo sito viene offerto un file da scaricare che contiene il falso programma antivirus - HTML:Downloader-AU [Expl]
Il malware basato su Java è un’applet che scarica una pagina HTML che a sua volta utilizza una falla di sicurezza (descritta in CVE-2010-4452) per scaricare un componente Java da un determinato URL sulla Java VM. In questo modo viene bypassato il meccanismo di protezione della VM.
