Luis Corrons, direttore tecnico dei laboratori di Panda Security afferma “le società di sicurezza non sono in grado di affrontare la grande quantità di malware che i cyber-criminali diffondono ogni giorno in Internet. Spesso le soluzioni antivirus non rilevano gli stessi codici e per questo molti utenti potrebbero essere stati infettati senza esserne consapevoli.”
Il worm Bagle.HK è stata la minaccia più attiva della scorsa settimana. Attira l’attenzione l’attività di questa famiglia di codici, composta da 4 varianti, tutte presenti nella Top Ten di Panda Security.
1 W32/Bagle.HX.worm
2 Spyware/Virtumonde
3 W32/Bagle.RP.worm
4 Adware/Comet
5 W32/Puce.E.worm
6 W32/Bagle.QV.worm
7 Trj/Rebooter.J
8 Adware/Starware
9 Adware/Zango
10 W32/Bagle.RC.worm
Per quanto riguarda i nuovi esemplari di malware, i laboratori evidenziano i Trojan Phisher.BH e Explorea.A ed il worm Yalove.A.
Phisher.BH è progettato per raccogliere in un file .txt – denominato windowsupdate_inst.log – tutti gli indirizzi di posta archiviati sul computer. In seguito, invia il file ad un server FTP, ubicato in maniera fittizia in Brasile. Da questo stesso server vengono spedite e-mail che cercano di ricondurre gli utenti a false pagine web, correlate a servizi bancari o sistemi di pagamento in Internet, disegnate per realizzare attacchi di phishing.
Explorea.A è un Trojan che ha l’obiettivo di realizzare numerosi cambiamenti nella configurazione del sistema, alcuni dei quali molto dannosi, che possono essere utili per successivi attacchi di altri esemplari di malware. Ad esempio, disabilita l’editor del Registro di Windows, nasconde file e cartelle ed è in grado di riavviare il sistema.
Yalove.A è un pericoloso worm che scarica altri tipi di malware sul PC. Quando viene eseguito, realizza diverse copie di sé, denominandole, ad esempio, fuik.gif o mywork.exe. Inoltre, crea un file, AUTORUN.INF e mostra, in maniera casuale, link che conducono a copie della pagina del motore di ricerca Google nella barra di Internet Explorer.
Inoltre, si connette ad alcuni domini dai quali scarica una copia di se stesso ed un’estensione e modifica il file host.txt per impedire l’accesso ad una grande quantità di pagine web relative a prodotti per la sicurezza informatica che potrebbero essere installati sul sistema. Vieta l’esecuzione di strumenti di protezione e crea e modifica numerose entrate nel Registro di Windows.