A novembre i pirati informatici hanno preso di mira con particolare zelo i sistemi di messaggistica istantanea. Secondo la classifica aggiornata curata da ESET NOD32, una delle minacce più diffuse è stata la new entry Win32/Injector.ZPB, un trojan che dal PC infetto può diffondersi attraverso le reti di Instant Messaging.
In sostanza installa una backdoor controllabile da remoto. Contiene un elenco di indirizzi URL a cui si connette usando il protocollo IRC. Il malware può infettare sistemi operativi Microsoft e ricevere dati e comandi da un computer remoto o da Internet: sul computer infetto può scaricare file, avviare eseguibili, inviare messaggi spam, diffondersi attraverso le reti IM, aprire un indirizzo URL predefinito e infine disabilitare il servizio di aggiornamento automatico di Windows.
La classifica di ESET NOD32
A novembre la percentuale di prevalenza mondiale è stata prossima allo zero fino
al 28 del mese, quando ha registrato una brusca impennata soprattutto in Germania e Italia. La sua percentuale di rilevazioni fra gli utenti ESET è stata del 10,13%.
La seconda new entry è decisamente meno minacciosa: si tratta di Win32/Kryptik.APMR, un altro trojan che scarica ed esegue file da server remoto su PC infetti dotati di sistemi operativi Microsoft. Alcune varianti di questo malware sono anche in grado di diffondersi attraverso i dischi rimovibili. Il Trojan inietta il suo codice nel file 5Sysdir%spoolsv.exe, attraverso cui tenta di replicarsi all’interno di tutti i dischi disponibili, creando un file autorun.inf, che resta nascosto. In questo modo, quando si accede al disco di rete o a quello rimovibile da un altro computer che supporta la caratteristica Autorun, il malware viene eseguito automaticamente. A
novembre ha colpito soprattutto Regno Unito, Giappone e Nuova Zelanda. Debutta al quinto posto della top 5, con il 3,08% di rilevazioni.
HTML/ScrInject è il secondo in classifica ed è responsabile del 5,68% delle infezioni. Nasconde script e tag iframe all'interno delle pagine web HTML, reindirizzando automaticamente al download di malware. Nei mesi scorsi la sua fastidiosa presenza era diminuita, ora è stata registrata una riacutizzazione in Romania e nei paesi scandinavi.
Scende dal primo al terzo posto JS/Exploit.Pdfka, presente nel 5,6% delle infezioni. Si tratta di un XFA contenente Java Script, che si nasconde in documenti PDF malevoli per scaricare e lanciare l’esecuzione di un programma all’insaputa dell’utente. Il Trojan sfrutta una vulnerabilità delle versioni 8 e 9 di Adobe Reader e di Acrobat per eseguire un codice malevolo sui computer infetti. La percentuale di contagio si è abbassata rispetto ai mesi scorsi, ma in
Europa centrale e in Italia continua a imperversare.
Infine perde due posizioni HTML/Iframe, presente nel 3,14% delle infezioni. È un altro generatore di tag iframe malevoli inseriti nelle pagine
HTML, che reindirizzano il browser a uno specifico URL contenente il software malevolo. In Italia è ancora abbastanza diffuso.