TOP20 de programas maliciosos, febrero de 2010

Programas maliciosos detectados en los equipos de los usuarios

En la primera tabla se registran los programas maliciosos y potencialmente indeseables detectados y neutralizados por primera vez en los ordenadores de los usuarios.

Posición	Cambios en la posición	Programma nocivo	Cantidad de equipos infectados
1	0	Net-Worm.Win32.Kido.ir	274729
2	1	Virus.Win32.Sality.aa	179218
3	1	Net-Worm.Win32.Kido.ih	163467
4	-2	Net-Worm.Win32.Kido.iq	121130
5	0	Worm.Win32.FlyStudio.cu	85345
6	3	Trojan-Downloader.Win32.VB.eql	56998
7	New	Exploit.JS.Aurora.a	49090
8	9	Worm.Win32.AutoIt.tc	48418
9	1	Virus.Win32.Virut.ce	47842
10	4	Packed.Win32.Krap.l	47375
11	-3	Trojan-Downloader.WMA.GetCodec.s	43295
12	0	Virus.Win32.Induc.a	40257
13	New	not-a-virus:AdWare.Win32.RK.aw	39608
14	-3	not-a-virus:AdWare.Win32.Boran.z	39404
15	1	Worm.Win32.Mabezat.b	38905
16	New	Trojan.JS.Agent.bau	34842
17	3	Packed.Win32.Black.a	32439
18	1	Trojan-Dropper.Win32.Flystud.yo	32268
19	Return	Worm.Win32.AutoRun.dui	32077
20	New	not-a-virus:AdWare.Win32.FunWeb.q	30942

A juzgar por la cantidad de infecciones, la epidemia de Kido se está extinguiendo, aunque muy despacio: los cinco primeros puestos siguen estando ocupados por los mismos programas maliciosos.

En el séptimo lugar tenemos a un curioso representante de los exploits (programas que se aprovechan de las vulnerabilidades de software) Exploit.JS.Aurora.a, al cual le prestaremos atención detallada en la sección “programas maliciosos en Internet”.

Además, en febrero hay dos programas AdWare novatos.
Un claro ejemplo de los programas publicitarios es FunWeb.q, que ocupa el vigésimo lugar en la estadística. Este programa es un panel para navegadores populares que le da al usuario un fácil acceso a los recursos de determinados sitios web, sobre todo los que tienen contenidos multimedia. Otra de sus características es que, para mostrar los anuncios, modifica las páginas que el usuario suele visitar.

El caso de not-a-virus: AdWare.Win32.RK.aw (puesto 13) es un poco más complejo. Esta es una aplicación Relevant Knowledge, que se difunde e instala junto con diferentes programas. En el contrato de servicio, se indica que este programa efectúa una recopilación automática de la información del usuario, haciendo un seguimiento de prácticamente todas sus actividades, sobre todo en Internet y las almacena en sus servidores. La empresa afirma que todos los datos recopilados se usarán exclusivamente para buenos fines (“ayudar a formar el futuro de Internet”) y que estarán bien protegidos. Al usuario le corresponde decidir si confía o no en estas palabras.

Programas maliciosos en Internet

La segunda tabla refleja la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y los que hicieron intentos de descargarse desde páginas web.

Posición	Cambios en la posición	Programma nocivo	Número de tentativas de descarga
1	Return	Trojan-Downloader.JS.Gumblar.x	453985
2	-1	Trojan.JS.Redirector.l	346637
3	New	Trojan-Downloader.JS.Pegel.b	198348
4	3	not-a-virus:AdWare.Win32.Boran.z	80185
5	-2	Trojan-Downloader.JS.Zapchast.m	80121
6	New	Trojan-Clicker.JS.Iframe.ea	77067
7	New	Trojan.JS.Popupper.ap	77015
8	3	Trojan.JS.Popupper.t	64506
9	New	Exploit.JS.Aurora.a	54102
10	New	Trojan.JS.Agent.aui	53415
11	New	Trojan-Downloader.JS.Pegel.l	51019
12	New	Trojan-Downloader.Java.Agent.an	47765
13	New	Trojan-Clicker.JS.Agent.ma	45525
14	New	Trojan-Downloader.Java.Agent.ab	42830
15	New	Trojan-Downloader.JS.Pegel.f	41526
16	Return	Packed.Win32.Krap.ai	38567
17	New	Trojan-Downloader.Win32.Lipler.axkd	38466
18	New	Exploit.JS.Agent.awd	35024
19	New	Trojan-Downloader.JS.Pegel.k	34665
20	New	Packed.Win32.Krap.an	33538

En febrero, los programas maliciosos que andan por Internet han creado una situación muy interesante, que se ha reflejado en la segunda lista TOP20.

En primer lugar, Gumblar.x, cuya epidemia casi se había extinguido en enero, en febrero ha vuelto a acelerarse y a situarse como líder. Esto es un síntoma de que el nuevo ataque de Gumblar que habíamos descrito hace un mes no se hizo esperar demasiado. Sin embargo esta vez, a diferencia de la anterior, los delincuentes no han hecho ningún cambio fundamental, sino que más bien usaron nuevos datos de acceso a los sitios web de los usuarios para infectarlos en masa. No obstante, seguiremos muy atentamente el desarrollo de los acontecimientos y la evolución de los cambios.

En segundo lugar, la envergadura de la epidemia causada en enero por Pegel ha crecido prácticamente seis veces: en la tabla podemos observar que entre los novatos hay cuatro representantes de esta familia, uno de los cuales ocupa de súbito el tercer lugar. Este descargador, que tiene cierta similitud con Gumblar, también infecta los sitios web legítimos. Cuando el usuario visita una página infectada, un script incrustado en la misma lo remite al sitio de los delincuentes. Para reducir las probabilidades de que le surjan sospechas al usuario, los delincuentes usan nombres de sitios populares en las direcciones de las páginas, por ejemplo:

En estos enlaces hay otro script que trata, de diferentes formas, de descargar el fichero ejecutable principal. Los trucos que intenta son, en su mayoría, tradicionales: explotación de vulnerabilidades en los populares programas Internet Explorer (CVE-2006-0003 y Adobe Reader (CVE-2007-5659, CVE-2006-0003, y también la descarga mediante un applet Java especial (una aplicación Java en forma de códigos).

Pero el principal fichero ejecutable sigue siendo el famoso Backdoor.Win32.Bredolab, empaquetado mediante diferentes empaquetadores maliciosos, algunos de los cuales se detectan como Packed.Win32.Krap.ar y Packed.Win32.Krap.ao. Hemos escrito con más detalles sobre este programa malicioso, pero merece la pena mencionar que, aparte de las funciones principales de control remoto del ordenador del usuario, también puede descargar otros ficheros maliciosos.

Y, finalmente, en el noveno puesto ha aparecido Exploit.JS.Aurora.a, que más arriba habíamos prometido analizar con más detalle. Auroa.a es el identikit que detecta el exploit de la vulnerabilidad CVE-2010-0249, descubierto después de un ataque masivo efectuado en enero contra varias versiones de Internet Explorer.

Este ataque, mencionado por todos los recursos dedicados a las tecnologías informáticas, estaba dirigido a varias grandes compañías (como Google y Adobe) y recibió el nombre de Aurora, por el nombre del directorio usado por uno de sus principales ficheros ejecutables. Su objetivo era obtener la información personal de los usuarios y también la propiedad intelectual de las compañías, por ejemplo, los códigos fuente de sus proyectos. Para realizar el ataque, se hicieron envíos masivos de mensajes electrónicos que contenía un enlace a una página maliciosa en la que había un exploit que descargaba el fichero ejecutable principal sin que el usuario se percatara.

Llama la atención que los empleados de Microsoft sabían de esta vulnerabilidad varios meses antes del ataque, pero la subsanaron solo unas semanas después del ataque. No hace falta decir que en el transcurso de este tiempo, el código del exploit se hizo público y sólo los delincuentes más perezosos no lo usaron en sus ataques: en nuestra colección ya hay más de cien diferentes variantes de utilización de esta vulnerabilidad.

Las conclusiones son evidentes. Como anteriormente, la principal amenaza para los usuarios son las vulnerabilidades en los productos de software más populares. Tomando en cuenta que los delincuentes tratan de usar en sus ataques las vulnerabilidades detectadas hace varios años, se puede llegar a la conclusión de que estas siguen estando vigentes. Por desgracia, incluso si se instalan todas las actualizaciones para los grandes paquetes de software, no se puede estar seguro de que el ordenador esté fuera de peligro, ya que los productores de este software no siempre publican a tiempo los parches para las vulnerabilidades detectadas. Por esta razón, al trabajar con el ordenador, sobre todo si se hace uso intensivo de Internet, hay que tener mucho cuidado y, por supuesto, usar un antivirus con las últimas actualizaciones.