G Data: bufera su Java

I Java exploit sono sempre più utilizzati dall’industria del malware come dimostra il Malware Report di G Data riferito al mese di Ottobre 2010.
del 09/11/10 - di Massimo Nicora

I cyber criminali stanno sfruttando le vulnerabilità di Java per distribuire malware su scala più ampia rispetto ai mesi passati. Questo è il risultato dell’analisi condotta dai G Data SecurityLabs. Per la prima volta da Febbraio 2010 c’è un cambiamento nelle prime posizioni della top ten: un Java exploit è ora nella prima posizione, mentre gli exploit nei file PDF sono soliti essere la minaccia più comune alla sicurezza. Java.Trojan.Exploit.Bytverify.N può essere trovato su siti hackerati. Esso tenta di infettare i Pc tramite download drive-by e attraverso applet Java manipolate. G Data consigli di utilizzare una buona protezione antivirus e di aggiornare qualsiasi software installato sul proprio Pc.

"Sfruttare le vulnerabilità in qualsiasi tipo di software è il modo più efficace che l’industria del malware ha per prendere il controllo di un Pc. Basta visitare un sito internet infetto con un computer non protetto è questo è sufficiente per infettare un sistema”, ha spiegato Ralf Benzmüller, Head of G Data SecurityLabs. “Abbiamo notato un significativo aumento basato sulle falle di sicurezza di Java. Sono soprattutto a rischio gli utenti che non tengono aggiornata la propria versione di Java.”

Gli specialisti di sicurezza di G Data raccomandano di utilizzare non solo un’efficace soluzione per la sicurezza informatica, ma invitano gli utenti di tenere sempre aggiornati il sistema operativo, il browser e tutti gli altri componenti. Ogni aggiornamento software o patch per la sicurezza dovrebbe essere installato il prima possibile per chiudere ogni falla di sicurezza.

Possibili ragioni per l’attuale predominio di attacchi a Java
Le vulnerabilità di Java offrono ai cyber criminali molto potenziale dal punto di vista tecnico e lo sviluppo e la distribuzione di codice maligno è considerevolmente più facile se paragonata ad altri metodi per infettare un sistema. Inoltre gli avvisi di sicurezza riguardo i file PDF nel recente passato hanno generato un alto livello di attenzione negli utenti.
Lo sforzo dei rivenditori di programmi PDF per mantenere i propri prodotti sempre aggiornati ha contribuito anche a fare in modo che lo sviluppo di malware basato su PDF exploit risultasse molto più difficile.
Il malware che usa le vulnerabilità JavaScript come, ad esempio, “JS:Downloader” è, invece, molto attivo in questo momento ed è costantemente sviluppato dai cyber criminali. Nel mese di Ottobre 2010 ben tre varianti di questo Trojan sono entrate nella malware top 10.

Metodo
La Malware Information Initiative (MII) di G Data ha la sua forza nella community online cui ogni utente G Data può contribuire. L’unico prerequisito è che la funzione venga attivata nel software G Data. Quando un attacco condotto da qualsiasi tipo di virus viene effettuato, il tutto viene riportato ai G Data SecurityLabs. Tutti i dati vengono quindi raccolti in maniera completamente anonima ed analizzati in maniera statistica.

Java.Trojan.Exploit.Bytverify.N:
Questo malware sfrutta una falla di sicurezza nel Java byte code verifier. Lo si può trovare in applet Java manipolate sui siti Internet. L’utilizzo di questo exploit consente l’esecuzione di codice maligno che inizia a scaricare, per esempio, un Trojan. In questo modo i criminali possono prendere il controllo del computer della vittima.

Worm.Autorun.VHG
Le periferiche portatili rappresentano ormai un veicolo privilegiato per la diffusione del malware. Il Worm. Autorun.VHG si propaga sui sistemi operativi Windows sfruttando la funzione autorun.inf e periferiche di archiviazione removibili come HDD portatili o chiavi USB.
Questo worm sfrutta una vulnerabilità in windows (CVE-2008-4250).

JS:Pdfka-OE [EXPL]
Gli attacchi condotti sfruttando le vulnerabilità presenti nei motori JavaScript dei programmi PDF continuano a rappresentare la minaccia più pericolosa per gli utenti Pc.
Il malware JS:Pdfka-OE[Expl] viene attivato semplicemente attraverso l’apertura di un file PDF e, una volta installatosi nel Pc dell’utente, favorisce il download di ulteriori codici maligni.

WMA:Wimad[DRP]
Il rischio di contrarre un’infezione si può annidare anche nei file audio che spesso vengono scaricati su Pc. Il Trojan WMA:Wimad [Drp] si maschera infatti da file audio .wma richiedendo, per essere ascoltato, l’installazione di un certo decoder/codec sui sistemi operativi Windows. La sua esecuzione, invece, consente ad ulteriore malware di attaccare il Pc. Questo Trojan è presente soprattutto sui network p2p.

Application.Keygen.BI
Si tratta di un key generator. È molto diffuse nei P2P network e nei siti di warez dal momento che presumibilmente consente di utilizzare software che, altrimenti, sarebbe necessario pagare. Utilizzare questa applicazione non solo è illegale, ma comporta molti rischi per la sicurezza.

JS:Downloader-AEY[TRJ]
Questo malware appare perlopiù sui siti Internet. É un Trojan scritto in JavaScript. Se un utente accede a un sito che contiene JavaScript modificato, questo Trojan si attiva automaticamente ed è in grado di scaricare codici maligni nel sistema della vittima.

Win32.Sality.OG
È un file infettante polimorfo che modifica I file eseguibili (*.exe, *.scr) e si nasconde dentro un sistema infetto con un rootkit. Sality.OG si distribuisce attraverso le reti condivise o attraverso dispositivi esterni di archiviazione installando un file auturun.inf modificato nella directory principale. I sistemi infetti mostreranno uno schermo blu quando effettuano il boot in modalità sicura.

JS:Downloader-AFR [TRJ]
I danni sono identici a quelli causati da JS:Downloader-AEY

JS:Downloader-AEU [TRJ]
I danni sono identici a quelli causati da JS:Downloader-AEY

Licenza di distribuzione:

INFORMAZIONI SULLA PUBBLICAZIONE

bizOnweb s.r.l

Responsabile account:
Massimo Nicora (Senior Account Manager)

Contatti e maggiori informazioni
Vedi altre pubblicazioni di questo utente