Virus Sality & Worm Stuxnet: una semplice coincidenza?

Da Roma – Kaspersky Lab annuncia la pubblicazione del proprio Malware Report per il mese di settembre 2010. L’inizio dell’autunno ha portato con sé le evoluzioni del virus Sality e un aumento del numero dei programmi adware sul web.

Secondo le statistiche di Kaspersky Lab, una nuova variante del noto virus polimorfico Sality chiamata ‘bh’, è risultata essere particolarmente diffusa nei computer degli utenti, in questo mese. Così ‘Sality.bh’ è entrato nella classifica Kaspersky Lab all’undicesima posizione e si è potuto diffondere grazie al Trojan-Dropper.Win32.Sality.cx, che sfrutta una vulnerabilità nel file LNK di Windows: la prima e la stessa vulnerabilità zero-day rilevata che è stata utilizzata dall’ormai famigerato worm Stuxnet. La stessa vulnerabilità che è stata sfruttata anche, nel mese di agosto, dal Trojan-Dropper.Win32.Sality.r. La distribuzione geografica della diffusione di questi ‘dropper’ Sality rispecchia quella del worm Stuxnet: entrambi sembrano infatti essere stati più prolifici in India, seguita dal Vietnam e dalla Russia.

“I criminali informatici sono generalmente molto veloci a rilasciare degli exploit quando vengono scoperte nuove vulnerabilità, e il fatto che molti utenti non riescano ad aggiornare il proprio software su base regolare non fa che incoraggiarli. L’ampia copertura mediatica dedicata a Stuxnet è servita solo a pubblicizzare le vulnerabilità utilizzate da diversi gruppi di criminali informatici”, ha commentato Vyacheslav Zakorzhevsky, Senior Virus Analyst e autore del report.

L’influenza della pubblicità ricevuta è resa evidente anche dalla seconda classifica, quella delle minacce diffuse via Web: per la prima volta il numero dei programmi adware è stato pari al numero degli exploit, strumenti molto popolari e pubblicizzati tra i criminali informatici. Ben sette programmi AdWare.Win32 sono entrati in questo mese nella classifica Top Twenty, anche se questi tipi di adware sono generalmente più fastidiosi che dannosi. Il loro scopo principale è infatti quello di attirare l’attenzione degli utenti con banner pubblicitari integrati in software tradizionali. Ma anche se sono generalmente innocui, questi programmi fanno però rallentare la velocità di funzionamento dei computer.

Tra le curiosità, nella classifica delle minacce via web di settembre, viene segnalato l’Exploit.SWF.Agent.du, un Flash file: fino ad oggi, era stato relativamente raro che delle vulnerabilità in tecnologia Flash fossero sfruttate da criminali informatici.

La versione integrale del malware report di Kaspersky Lab per il mese di settembre è disponibile all’indirizzo: http://www.kaspersky.com/it/news?id=299.