Roma - La maggiore consapevolezza maturata dagli utenti Internet in merito a privacy e sicurezza, nonché le contromisure messe in atto da Microsoft e altri produttori di software, hanno contribuito in questi anni a ridimensionare il fenomeno worm e trojan. Abbassare la guardia sarebbe tuttavia imprudente, e la dimostrazione arriva dalla diffusione fatta registrare nell'ultimo periodo da minacce come Storm Worm e SpamtaLoad.
Anche noto come Small.DAM e Peacomm,
Storm Worm domina ormai da molte settimane la classifica dei malware più diffusi al mondo. Il solo laboratorio di
SonicWall afferma di aver registrato più di un milione di casi di infezione, con nuove varianti che compaiono in rapida successione:
il codice delle varianti più recenti cambia di continuo, inclusi gli URL ai file infetti, così che la loro rilevazione diventa sempre più difficile. Secondo Guillaume Lovet, responsabile Threat Response Team EMEA di
Fortinet, questo mese sono state riscontrate non meno di 36 diverse varianti attive di Storm Worm, anche se quasi il 60% dei rilevamenti è imputabile a sola una variante.
SonicWall spiega che questo worm, catalogabile anche fra i trojan, viene diffuso mediante messaggi di spam che contengono in allegato un file eseguibile camuffato da documento informativo "con notizie d'attualità di grande impatto".
"Una volta attivato - si legge in un comunicato della società di sicurezza - l'allegato inizia a scaricare automaticamente altro codice nocivo e apre una backdoor nella macchina infetta che ne consente il controllo da remoto e contemporaneamente installa un rootkit che nasconde il programma nocivo. Il computer compromesso si trasforma in uno zombie diventando parte integrante di una rete botnet". Le stesse botnet che negli scorsi mesi sono state utilizzate per lanciare attacchi verso diversi siti, tra cui quelli che ospitano database antispam.
Sebbene le prime versioni di Storm Worm utilizzassero modalità di diffusione e infezione non dissimili da quelle dei worm tradizionali,
una delle più recenti incarnazioni del malware si è guadagnata l'attenzione degli esperti per il fatto di introdurre un nuovo ed efficace meccanismo di social engineering.
Secure Computing, che per prima ha analizzato il comportamento della nuova variante di Storm,
spiega che quest'ultima attende che l'utente invii un messaggio ad una webmail, ad un blog o a certi forum e gruppi di discussione web-based, e vi aggiunge di nascosto un link al codice virale.
"Questo annuncia un nuovo trend fra i malware che si diffondono attraverso i blog, i gruppi di discussione e le email web-based", ha affermato Dmitri Alperovitch, ricercatore presso Secure Computing. "Questa nuova minaccia è inoltre particolarmente insidiosa perché gli scanner antivirus non sempre la rilevano. Le ultime variani di Storm utilizzano tecniche polimorfiche per far apparire i loro file binari continuamente diversi rispetto alle impronte virali delle soluzioni antivirus".
Anche nel "
Rapporto sulla sicurezza per il 2007" appena pubblicato da
Sophos si afferma che
stanno diminuendo le minacce contenute nei messaggi email a favore delle minacce ospitate sul web.
"Nel 2006 le minacce più prolifiche sono stati i worm appartenenti alle famiglie Mytob, Netsky, Sober e Zafi, che nel complesso hanno rappresentato più del 75% di tutte le mail infette", si legge nel rapporto. "Tuttavia, secondo le previsioni di Sophos, nel 2007 si assisterà a un significativo cambio di rotta: anziché utilizzare la posta elettronica per diffondere il malware, i cybercriminali sfrutteranno la popolarità di Internet a livello globale e l'accresciuta interattività degli utenti web".
"La straripante presenza dello Storm Worm non è priva di conseguenze, visto che viene sfruttata per generare e inviare ingenti quantità di spam", ha afferma Lovet di Fortinet. "Comunque la battaglia contro lo spam non è persa. Una semplice analisi dei fatti dimostra che nella corsa finale agli armamenti per contrastare i filtri di analisi dei contenuti gli spammer stanno perdendo terreno".
In queste settimane si è guadagnato l'attenzione degli esperti di sicurezza anche
SpamtaLoad, un ceppo di worm e cavalli di Troia che si è dimostrato particolarmente prolifico. Tra le varianti più diffuse c'è il trojan
SpamtaLoad.DO, che lo scorso martedì
Panda Software ha rilevato in circa il 40% dei messaggi ricevuti dai propri laboratori internazionali.
Il celebre produttore di antivirus ha spiegato che il trojan si diffonde attraverso messaggi di posta elettronica con oggetto e testo variabili, quali "Error", "Good day", "hello" o "Mail Delivery System". SpamtaLoad.DO è contenuto in un file eseguibile allegato alla e-mail, ed anche in questo caso il nome è variabile. Se l'utente lo esegue, il trojan mostra un falso messaggio di errore o apre il blocco note contenente un testo. Questo file scarica sul sistema il worm Spamta.TQ, progettato per il rinvio di SpamtaLoad.DO a tutti gli indirizzi email recuperati dal PC infetto.
"
Questo tipo di codici non è fine a se stesso", ha affermato Luis Corrons, direttore tecnico dei laboratori di Panda. "In molti casi, vengono usati per distrarre le aziende che si occupano di sicurezza. Infatti, mentre queste ultime concentrano i loro sforzi per eliminare le minacce, i cyber criminali ne approfittano per lanciare altre creazioni, spesso molto più pericolose, in maniera silenziosa".
Durante le ondate di worm come SpamtaLoad, Corrons ha spiegato che vengono messe in circolazione, in poco tempo, numerose varianti della stessa famiglia. "Gli utenti devono agire con cautela, perché questo Trojan potrebbe essere il primo di una nuova serie di aggressioni", ha ammonito il ricercatore.
Talvolta i worm minacciano anche gli utenti delle piattaforme Unix. L'ultimo esempio è dato da un vermicello che, come spiegato in
questo post da Jose Nazario, senior software engineer di Arbor Networks, sfrutta una vulnerabilità zero-day nel servizio Telnet di Solaris 10 per infettare un server e diffondersi automaticamente verso altri sistemi. In attesa di correggere la falla, Sun ha pubblicato
alcune istruzioni per rilevare e rimuovere il worm.