www.MegaLab.it

Come tradizione vuole, anche i primi giorni di giugno hanno visto la pubblicazione della Top Twenty marcata Kaspersky, la classifica dei malware più attivi nel mese di maggio secondo il premiato produttore russo di antivirus. Le prime quattro posizioni sono stavolta tutte occupate da worm ben noti da tempo, la qual cosa spinge l'analista Alexander Gostev a parlare di un vero e proprio salto indietro nel tempo.

Sembra di essere tornati alla fine del 2005, dice Gostev, quando Netsky, Bagle e Sober si contendevano a suon di sistemi infetti i primi posti tra i malware più diffusi. E come alcuni anni fa, anche a maggio i tre worm hanno sbaragliato la pur agguerrita concorrenza: in particolare Email-Worm.Win32.NetSky.t continua come il mese scorso a mantenere la prima posizione nella sporca ventina, totalizzando il 15,31% di tutto il traffico di rete infetto.

Il worm-vecchio-come-il-cucco si è stavolta dato particolarmente da fare, considerando che la variante Email-Worm.Win32.NetSky.q guadagna una posizione e finisce al secondo posto, con il 14,76% delle infezioni totali, e che ulteriori varianti di NetSky si trovano al sesto, decimo e quindicesimo posto.

Dietro NetSky, al terzo posto c'è ancora Bagle.gt, che con il 13.46% delle infezioni guadagna una posizione rispetto alla classifica di aprile. Al quarto posto troviamo poi una nuova variante di Sober, altro vecchio verme che con Email-Worm.Win32.Sober.aa colonizza l'11,86% dei PC infetti. Sober.aa è stato individuato dagli analisti Kaspersky il 7 aprile scorso, e rappresenta la rentree del verme dopo quasi 2 anni di ritiro dalle scene, considerando che la sua ultima variante nota (Sober.z) risale a novembre 2005.

Vi erano notizie che la polizia tedesca fosse sulle tracce dell'autore del worm, ma non vi è stato poi nulla di concreto e Kaspersky ora ipotizza che qualcuno - forse una persona diversa dal creatore originario - ha messo in circolazione la versione rinnovata. Come risultato, Sober e gli altri della vecchia guardia sono riusciti a scalzare dai primi posti degli agenti patogeni più virulenti codici decisamente più avanzati e moderni.

Vittime illustri del trio Netsky-Bagle-Sober sono questo mese Zhelatin (aka "Storm Worm") e Warezov, che precipitano fino al 18° e 19° posto rispettivamente. In quest'ultimo caso, ad ogni modo, la situazione potrebbe radicalmente mutare nel corso dei prossimi mesi: Trojan-Downloader.Win32.Agent.bqs, malware che occupa l'ottava posizione, è progettato per scaricare sul sistema infetto proprio nuove versioni di Warezov, gettando quindi i presupposti per una nuova diffusione massiva ed epidemica del worm con corollario di botnet di PC zombi alla mercè dei soliti noti.

Meno attivi sembrano essere in questo periodo gli attacchi di phishing, anche se Gostev scommette sul ritorno in auge degli agenti infettivi a mezzo mail truffaldine nelle prossime Top Twenty. Desta infine interesse la presenza nella classifica di due file virus classici, Grum (11° posto) e Cheburgen (20°). I file virus, malware parassitari dati spesso per quasi-estinti, non sono ospiti consueti nella Top Twenty, e secondo l'analista la loro diffusione massiva nel mese trascorso è stata causata dal cosiddetto "effetto sandwich": file contenenti copie dei worm che sono stati ulteriormente infettati dagli altamente virulenti Grym e Cheburgen e successivamente spediti via mail o botnet alle macchine non protette presenti in rete.