C.R.A.M. di TG Soft => Telemetria dei virus/malware in Italia 2018-12

Il C.R.A.M. (Centro Ricerche Anti-Malware) di TG Soft ha pubblicato le statistiche dei virus/malware realmente circolanti nel mese di Dicembre 2018. Scopriamo quali sono le famiglie e varianti di Malware che hanno attaccato i PC/SERVER degli utenti/clienti.

INDICE

=> Analisi dei virus/malware

=> Analisi dei Virus/Malaware che si diffondono via Mail

=> Metodologia di elaborazione della Telemetria

=> Telemetria

=> Integra la difesa del tuo PC/SERVER per rilevare attacchi dai virus/malware realmente circolanti

Analisi dei virus/malware

Anche il mese di dicembre vede i PUP dominatori della classifica.
Il primo passo per evitare tali minacce è scaricare ed installare solo software originale e da fonti attendibili.
E' molto facile trovare nel web siti che propinano pup o pacchetti di installazione di utility, opportunamente alterati per installare oltre al software ricercato, anche uno o più pup all'interno del sistema.

Anche alcune estensioni dei browser più comuni vengono utilizzate per scopi malevoli,vedi il trojan.JS.FirefoxExt che attacca il noto browser open source.

Riportiamo come di consueto un esempio (immagine 1) dove è possibile notare un browser compromesso da MindSpark.
E' evidente la presenza di una toolbar (incredibar) e di un motore di ricerca (my start) , entrambi posso essere considerati elementi "non convenzionali".
Altra anomalia è la presenza di banner pubblicitari nell'area in basso, situazione alquanto inusuale in un browser perfettamente funzionante.

immagine1

Ben 2 virus nella top 10 Win32.Sality e WIN32.Expiro

Nonostante la loro "anzianità", le prime varianti risalgono infatti a prima del 2015, va ricordato che il Sality e l'Expiro vanno ad infettare i file di tipo eseguibile (applicazioni) ed inoltre integrano un polimorfismo particolarmente sofisticato. E' proprio quest'ultima caratteristica che li rende tecnicamente complicati da rimuovere, infatti non risulta semplice identificare correttamente tutte le possibili mutazioni dei file intaccati da essi. Un file eseguibile rimasto infetto dal Sality o Expiro può dare nuovamente inizio ad una nuova infezione vanificando tutto il lavoro di pulizia eseguito fino a quel momento.

E' di fondamentale importantanza quindi essere certi che un file, in precedenza segnalato come infetto da Win32.Sality o Win32.Expiro, venga realmente bonificato prima della sua nuova esecuzione e nel caso di mancata bonifica provvedere alla sua sostituzione / cancellazione.

Torna ad Inizio Pagina

Analisi dei virus/malware che si diffondono via email

Sempre bollino rosso per le mail con falsi allegati e link sospetti che riguardano le tipologie TROJAN e MACRO VIRUS.

Al terzo posto la tipologia PHISHING, le cui mail hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali.

Per maggiori dettagli sul phishing, sulla sua pericolosità e su come si è manifestato nel mese di Dicembre, secondo i dati raccoolti dal C.R.A.M., vi inviatiamo a cliccare il seguente LINK

Click per ingrandire

Lasciamo ora il phishing e ritorniamo alle mail con falsi allegati e/o link. Per questi è bene ricordare che i principali allegati da tenere sott'occhio sono: i file Compressi (ZIP, RAR, ARJ, 7z), i file creati con Excel e quelli creati con Word. Se per gli archivi compressi il pericolo sta nell'aprire i file al loro 'interno (EXE, VBS o JSE) , per Word ed Excel il pericolo sta nell'esecuzione delle macro.
NB In alcune mail fraudolente, l'allegato non è presente ma compare un link che spesso porta a scaricare un archivio compresso.

Quando insospettirsi?
Di fronte ad un file compresso ricevuto via mail, dovrebbero sempre nascere dei sospetti, e chiedersi:

perchè il mittente ha utilizzato questo metodo?
era necessario per il tipo di dati trattati, inviare un file compresso?
che tipo di file sono quelli all'interno dell'archivio compresso? (controllare l'estensione)

Se porsi tali domande non cancella alcun dubbio non resta che contattare il mittente per un chiarimento, potrebbe infatti accadere che il mittente reale non sia nemmeno a conoscenza di alcun invio e che a suo sfavore sia già avvenuto un furto di credenziali.

E per i documenti Word e i fogli Excel?
La pericolosità dei file editati con i software Microsoft stà principalmente nell'esecuzione delle MACRO, cosa che, salvo personalizzazioni dell'utente, viene sempre richiesta dal sistema prima dell'apertura. Se non si ha mai avuto a che fare con le MACRO è meglio non attivarle, fatta salva la piena conoscenza di cosa si sta per eseguire.
Un'alternativa per aprire senza pericolo i file potenzialmente pericolosi di casa microsoft senza incorrere nello spauracchio di infezioni è l'utilizzo di prodotti free come OpenOffice e LibreOffice i quali NON sono in grado di eseguire le macro.

Anche in questo caso chiedere chiarimenti direttamente al mittente potrebbe fugare ogni perplessità.

E se ugualmente si cade nel "tranello" ?
Una volta ingannati, le conseguenze nefaste potrebbero essere molteplici poichè è avvenuto esattamente ciò che il Cyber-Criminale voleva. Per quanto riguarda il 2018, i principali attacchi via mail hanno puntato al furto di credenziali per l'accesso ai principali servizi web (banca , facebook,amazon, pec, cloud).

Per essere aggiornati con le news di TG Soft , vi invitiamo ad iscrivervi alla newsletter

Torna ad Inizio Pagina

Quale metodologia viene utilizzata per l'elaborazione della telemetria realizzata dal C.R.A.M. di TG Soft

TG Soft, grazie al suo Centro Anti-Virus/Anti-Malware (C.R.A.M) e alle particolari competenze, è stata riconosciuta da Microsoft, ed in quanto tale inclusa, come membro attivo e partecipante al programma Virus Information Alliance.

La Virus Information Alliance (VIA) è un programma di collaborazione Anti-Malware riservato a fornitori di software di sicurezza, fornitori di servizi di sicurezza, organizzazioni di test Anti-Malware e ad altre organizzazioni coinvolte nella lotta contro il crimine informatico.

I membri del programma VIA collaborano attraverso lo scambio di informazioni tecniche sul software dannoso con Microsoft, con l'obiettivo di migliorare la protezione dei clienti/utenti dei S.O. Microsoft.

Pertanto tutti i dati elaborati in forma numerica e grafica seguono e sottostanno alle specifiche del protocollo VIA, al fine di elaborare i dati di diffusione di virus / malware uniformemente secondo le direttive già in uso da Microsoft, sviluppate a partire dal 2006.

Torna ad Inizio Pagina

Telemetria

Vediamo ora i dati relativi alla prevalenza dei malware registrati dal C.R.A.M. di TG Soft nel mese di Dicembre 2018. Per prevalenza si intende l'incidenza che i malware hanno in un determinato periodo. Il valore calcolato si chiama "rate di infezione".

Il rate di infezione viene calcolato dividendo il numero di computer ove siano stati rilevati attacchi per il numero di computer dove è installato Vir.IT. eXplorer.

Ai primi 3 posti e con valori percentuali molto più marcati rispetto alle altre voci in tabella, si attestano al primo posto i Trojan, con una percentuale del 4,66%, più staccati e al secondo posto i PUP , con una percentuale del 3%, chiudono il podio gli Adware con il 2,79%.
Ancora significativo il dato della categorie MACRO EXCEL (0,44%) stabile ormai al quinto posto.
Undicesimo posto per i Ransomware con lo 0,22% , i quali restano tra i più pericolosi malware se non addirittura i più incontrastabili qualora si fosse sprovvisti di tecnologie AntiRansomware Protezione CryptoMalware.
Ricordiamo che per Ransomware vengono considerati tutti i malware che chiedono un riscatto, come, ad esempio, i Cryptomalware (Cryptolocker, GandCrab, CryptoScarab, , GlobeImposter2.0, CryptoShade, etc.) e il vecchio e famoso FakeGDF (virus della polizia di stato, guardia di finanza etc.).

Click per ingrandire

Andiamo ora ad analizzare le infezioni del mese di Dicembre in base ai sistemi operativi suddivisi tra sistemi Server e Client.

Nelle immagini sottostanti i dati raccolti sono stati suddivisi secondo i sistemi operativi Windows Server e Client in macro categorie, senza dividere per tipo di architettura o per le varianti che la stessa versione può avere (es: Server 2008 R2, Server 2008 R2 Foundation, etc.).

Prima posizione, per quanto riguarda il numero di tentati attacchi per i sistemi Server, la versione 2012 (0,16%); secondo posto per Windows Server 2008 (0,13%). Sempre staccato dai primi due, Windows Server 2003 (0,10%), stabile da mesi al terzo posto.

E' probabile che nei server non inclusi nella tabella non si siano registrate segnalazioni significative di infezioni.

Click per ingrandire

Per quanto riguarda le postazioni Client, troviamo Windows 7 in prima posizione, come sistema con il maggior numero di attacchi, si attesta infatti al 4,03%, in seconda posizione con oltre due punti percentuali di distacco, troviamo Windows 10, il quale si attesta al 2,19%.
Al terzo posto, l'eterno Windows XP con l'1,86% , seguono in quarta posizione e sotto il punto percentuale Windows 8.1 con lo 0,44% ed in quinta piazza Windows Vista con lo 0,23%. Prossimo allo zero Windows 8 con lo 0,06%.

Click per ingrandire

TG Soft fornisce la telemetria sul rate ovvero, il tasso di incidenza percentuale di attacchi suddivisi per sistema operativo rapportati al complessivo numero di computer (PC o Server) ove sia installato quel S.O. (esempio immagine sottostante: se il rate di infezione per il S.O. Windows 7 è di poco superiore al 9% significa che, su 100 computer con Windows 7 ove sia presente Vir.IT eXplorer, 9 hanno subito un attacco o un'infezione bloccata e/o bonificata da Vir.IT eXplorer).

Click per ingrandire

Nell'immagine sopra è stato graficato il rate degli attacchi/infezioni bloccate e/o bonificate sui PC con Vir.IT eXplorer installato.

In testa alla lista Windows Vista, primo con un rate del 14,67%.
Al secondo posto troviamo Windows XP con il 10,99%.
Terza posizione nella classifica per Windows 8 con il 10,73%.
In quarta posizione troviamo Windows 7 con il 9,68%.
A seguire Windows 8.1 con il 8,85%, chiude Windows 10 con il 7,67%. unico sistema operativo sotto la soglia degli otto punti percentuali.

Considerando il trend di allineamento possiamo stimare che mediamente circa 10 PC su 100 (10,42%) ha subito un tentativo di attacco bloccato e/o bonificato da Vir.IT.

È possibile consultare la top 10 del mese di Novembre 2018 al seguente link:

TOP 10 virus-malware di Dicembre 2018.

Trovate, invece, la definizione di varie tipologie di agenti infestanti nel

glossario sui virus & malware

Torna ad Inizio Pagina

Integra la difesa del tuo PC / SERVER per rilevare attacchi dai virus/malware realmente circolanti

Segnaliamo che tutti i virus/malware realmente circolanti vengono identificati e, in moltissimi casi, anche rimossi da Vir.IT eXplorer Lite -FREE Edition- grazie alle seguenti caratteristiche peculiari:

liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
grazie alla tecnologia Intrusion Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
Procedi al download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

Centro Ricerche AntiMalware di TG Soft.

Torna ad Inizio Pagina\

Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”