Sophos annuncia la top ten dei virus per i primi sei mesi del 2005: sale il numero dei virus creati, mentre scende vorticosamente il tempo medio di infezione

luglio 05, 2005 Sophos Press Release

Sophos, azienda leader nella produzione di software antispam e antivirus per le aziende, ha pubblicato il rapporto relativo ai virus e ai falsi allarmi più diffusi che hanno colpito le aziende in tutto il mondo durante i primi sei mesi del 2005. Sophos nel 2005 ha identificato e protetto gli utenti da 7944 nuovi virus, il 59% in più rispetto a quelli rilevati nel primo semestre dello scorso anno.

In linea con questo sostanziale incremento nella creazione dei virus, è diminuito rapidamente il tempo medio di infezione. Esiste ora il 50% di probabilità di essere infettati da un Internet worm in soli 12 minuti dal momento della connessione, se il PC non è protetto e se non vi sono installate le patch di Windows.

Per i primi sei mesi del 2005, la top ten dei virus, come registrato dai SophosLabs, è la seguente, in ordine di frequenza:

Posizione Virus Percentuale di segnalazioni
1W32/Zafi-D
   25,3%
2W32/Netsky-P
   17,5%
3W32/Sober-N
   10,3%
4W32/Zafi-B
   4,7%
5W32/Netsky-D
   3,8%
6W32/Mytob-BE
   2,6%
7W32/Netsky-Z
   2,3%
8W32/Mytob-AS
   2,0%
9W32/Netsky-B
   1,9%
10W32/Sober-K
   1,7%
Altri27,9%

Il worm Zafi-D, conoscenza di vecchia data, rappresenta più di un quarto di tutti i virus segnalati a Sophos nel 2005. Dominando la vetta della classifica per i primi quattro mesi dell'anno, questo worm proveniente dall'Ungheria, si presenta sottoforma di cartolina natalizia per indurre l'utente ad aprire il file infetto.

"La più grande sorpresa è che Zafi-D ha circolato anche dopo il periodo delle festività natalizie, fino in primavera", ha dichiarato Walter Narisoni, security consultant in Sophos. "È solo negli ultimi due mesi che Zafi-D ha cominciato ad allentare la morsa, almeno sulla carta, ma resta ancora una minaccia significativa".

Il worm bilingue Sober-N, che occupa la terza posizione nella classifica semestrale, facendo la sua prima apparizione a maggio, si è piazzato in cima alla classifica dei virus del mese, spodestando finalmente Zafi-D. Sottoforma di biglietto per i Mondiali di Calcio 2006 in Germania, Sober-N ha compromesso migliaia di PC in 40 Paesi del mondo.

Sober-N aspetta silenziosamente nel background del PC infetto, autoaggiornandosi a una versione più recente per poter inviare grandi quantità di spam targato Germania dai computer compromessi. "La famiglia dei worm Sober dimostra quanto danno si possa arrecare ora attraverso un computer zombie", continua Narisoni. "Le forze unite degli spammer, dei creatori di virus e dei loro eserciti di computer zombie costituiscono una realtà con cui fare i conti. Sempre più spesso le aziende legittime vengono catapultate nella linea di fuoco, venendo identificate come sorgenti di spam."

"Le minacce sono spesso combinazioni di più tipi diversi, tanto che l'utente non riesce a capire se si tratta di spam, spyware, phishing, o di un problema causato da un virus. Le aziende devono essere certe di essere protette da tutti i tipi di minacce", ha aggiunto Narisoni. "Inoltre, è consigliabile rivolgersi a un vendor che abbia un'elevata expertise in tutti i campi della sicurezza, non abbassando la guardia nei confronti delle minacce che arrivano dalla Rete."

Un'altra conoscenza di vecchia data, Netsky-P, che è stato il virus più combattivo del 2004, ha dominato le posizioni alte della classifica dei virus finora rilevati nel 2005. Sven Jaschan, un teenager tedesco che ha ammesso la creazione dei worm Netsky e Sasser più di un anno fa, sarà sotto processo la prossima settimana per sabotaggio di computer, manipolazione di dati e danneggiamento di sistema pubblico.

"Anche se i worm creati da Jaschan continuano a diffondersi e a causare problemi ai computer di molti utenti, è probabile che il loro autore non verrà condannato alla prigione per la sua giovane età", dice Narisoni. "Quando si scopre che un teenager irresponsabile complotta con altri criminali in Internet per rubare milioni di dati delle carte di credito o informazioni sui conti bancari dai PC infettati, è chiaro che le sentenze dovrebbero essere più dure".

Il 2005 ha visto finora parecchi arresti molto pubblicizzati relativi a crimini informatici. In maggio, la polizia israeliana ha scovato una coppia con base operativa a Londra, che è stata arrestata per aver creato software viziati usati dalle compagnie israeliane per spiare i propri concorrenti. Nel mese precedente si era assistito all’arresto di un cipriota che spiava una ragazza di 17 anni attraverso la webcam di lei, dopo averne infettato il PC con un Trojan. In un caso analogo, ad uno studente spagnolo è stata comminata una multa.

Sophos ha constatato che il numero di Trojan che registrano le battute sulla tastiera è aumentato di tre volte finora quest’anno. I Trojan prendono di mira le aziende attraverso gli allegati e-mail o i link a determinati siti web. Vengono usati soprattutto dagli hacker in remoto per sottrarre informazioni riservate e, più spesso, per sferrare nuovi attacchi. In giugno, un'indagine del NISCC, alla quale ha partecipato anche Sophos, ha rilevato che circa 300 tra dipartimenti e aziende del governo britannico sono stati soggetti ad attacchi di Trojan.

"Abbiamo prova del dilagare di nuovi Trojan ogni giorno", dichiara Narisoni. "Sebbene alcune famiglie di worm abbiano una forte presenza nella classifica, sono i Trojan la forma di “malware” cresciuta maggiormente. Di solito i Trojan non vengono inseriti nella classifica, perché non si diffondono con i propri mezzi e vengono usati sempre più spesso per sferrare attacchi finalizzati a far soldi o rubare informazioni".

La diffusione dei crimini organizzati in ambito informatico è più elevata che mai. Il tentativo di violazione ai danni della Sumitomo Mitsui Bank di Londra e la sottrazione dei dati di 40 milioni di detentori di carte di credito MasterCard sono i maggiori esempi del trend inarrestabile di crimini informatici a scopo di lucro.

Anche le varianti del worm Mytob dominano la classifica al sesto e all'ottavo posto. Le versioni più recenti del worm hanno adottato un nuovo stratagemma, più comunemente usato dai phisher, ovvero un link fasullo che collega al codice malevolo. Ciascuna nuova variante di Mytob differisce poco dalle altre; ciò indica che gli autori potrebbero essere alla ricerca di elementi del loro codice malevolo che li aiuteranno a creare un superworm. Sophos ritiene che sia improbabile che non vengano creati nuovi worm di questa famiglia.

Il numero totale di virus da cui Sophos è in grado di proteggere è ora 106.218.

Grafici della precedente Top Ten dei virus (inglese).