Análisis de las actividades de los virus informáticos en enero de 2011

Enero en cifras

Durante este mes en los equipos de los usuarios de los productos de Kaspersky Lab:

• se neutralizó 213.915.256 ataques de red,
• se bloqueó 68.956.183 intentos de inocular infecciones mediante la web,
• se detectó y neutralizó 187.234.527 programas maliciosos (intentos de infección local),
• el sistema heurístico se activó 70.179.070 veces.

Estafadores en Internet

La mayoría de los programas maliciosos, sobre todo los más complejos, se camuflan en el sistema y actúan de una forma que pasa desapercibida por el usuario. Sin embargo, para que un esquema de estafa funcione, hace falta la participación del usuario. Es muy importante saber los trucos que usan los estafadores para evitar caer en sus trampas.

Regalos peligrosos

Con frecuencia, los delincuentes aprovechan la popularidad de diferentes servicios de Internet. La popularidad de los productos de Kaspersky Lab también llamó la atención de los estafadores y en enero recibimos la confirmación.

En Internet se difunden utilitarios que permiten usar algunos productos de Kaspersky Lab sin activarlos. Nuestra compañía detecta estos programas como software potencialmente indeseable de la familia Kiser. En enero dos representantes de esta familia incluso ingresaron al TOP20 de los veredictos más frecuentes en los ordenadores de los usuarios (puestos 9 y 11).

Después de las fiestas de fin de año detectamos un troyano-dropper camuflado como un generador de claves para los productos de Kaspersky Lab. El dropper instala y ejecuta en los ordenadores de los amantes de la cosas gratis dos peligrosos programas. Uno de ellos roba los datos de alta de los programas y las contraseñas de los juegos online. El segundo es un backdoor que también tiene funciones de keylogger.

A principios de enero nuestros expertos descubrieron un sitio falsificado que pretendía pertenecer a Kaspersky Lab, cuya dirección se diferencia de kasperksy.ru sólo por una letra. En este sitio se les ofrecía a los usuarios descargar un “regalo de año nuevo”, una versión gratuita de Kaspersky Internet Security 2011.

En lugar de KIS2011, en el equipo se instalaba el programa malicioso Trojan-Ransom.MSIL.FakeInstaller.e, que terminaba reiniciándolo. Después del reinicio, el troyano, por alguna razón mostraba una ventana falsa de la red social rusa Odnoklassniki con una notificación de que el usuario había ganado un teléfono Samsung Galaxy S, y que para recibirlo debía pagar 1.200 rublos (unos 30 euros). Para confirmar que “había ganado”, tenía que enviar un mensaje de texto a un número de pago. Pero el envío del mensaje le costaba determinada suma al usuario y en esto terminaba la historia del premio.

Animamos a los usuarios a estar atentos y usar sólo los servicios y productos que ofrecemos en los sitios oficiales de nuestra compañía.

Internet Explorer es gratuito, pero cuesta 300 rublos

Los estafadores también se aprovecharon de la popularidad de un programa más: Internet Explorer. En enero, en el sector ruso de Internet se detectaron páginas web que ofrecían al usuario “actualizar su navegador Internet Explorer”. Al principio había que elegir las “actualizaciones” necesarias, después en la pantalla se hacía una imitación de su instalación y se exigía activar el “software instalado” enviando un mensaje de texto a un número de pago.

Una vez enviado el mensaje de texto, el usuario recibía un enlace a un instalador gratuito y accesible al público en general de Internet Explorer 8 y a una serie de artículos sobre seguridad informática.

Estas páginas de estafadores se detectan como Hoax.HTML.Fraud.e y, según los resultados del mes, el veredicto correspondiente ocupa el puesto 17 en el TOP20 de programas maliciosos en Internet.

Los archivos vacíos

Entre los estafadores de Internet sigue gozando de popularidad otro tipo de cebo, los archivos falsificados. Este mes la nueva modificación de Hoax.Win32.ArchSMS.mvr ha ingresado al TOP20 en las dos estadísticas: de los programas maliciosos en Internet (puesto 11) y de los programas maliciosos detectados en los ordenadores de los usuarios (puesto 17).

Ataques mediante Twitter

En nuestro anterior análisis escribimos sobre la propagación de enlaces maliciosos en Twitter abreviados con la ayuda del servicio goo.gl. A mediados de enero la difusión masiva de enlaces abreviados ha continuado. De la misma forma que en diciembre, al seguir los enlaces el usuario, después de peregrinar por varias redirecciones, llegaba a una página con un “antivirus online”. El antivirus falso actuaba según el mismo esquema de diciembre: abría en la página una ventana similar a la de Mi PC, hacía una imitación de escaneado del equipo y le pedía al usuario pagar para eliminar los programas maliciosos “detectados”.

Programas publicitarios

Continúa la propagación de programas publicitarios. AdWare.Win32.WhiteSmoke.a, que ocupa el puesto 12 en la estadística de programas maliciosos en Internet, agrega el acceso directo “Improve your PC” al escritorio. Cuando el usuario hace clic en éste, se abre una página que propone “limpiar los errores del equipo”. Si el dueño del equipo acepta la propuesta, se le instala un programa llamado RegistryBooster 2011 que escanea el ordenador y le pide que pague para corregir los errores detectados.

 
RegistryBooster 2011 en acción

Es la primera vez que el popular software FunWeb Hoax.Win32.ScreenSaver.b ingresa al TOP20 de programas maliciosos detectados en los ordenadores de los usuarios, pero llega directamente al cuarto lugar. Les recuerdo que FunWeb es una de las populares familias de programas publicitarios cuyos representantes suelen entrar con regularidad a las estadísticas de los programas maliciosos más populares. Estos programas publicitarios prevalecen en los países de habla inglesa: EEUU, Canadá, Inglaterra e India.

Vulnerabilidades y actualizaciones

Una vez más recomendamos a los usuarios prestar atención a las actualizaciones críticas. En enero el exploit Exploit.JS.Agent.bbk, que usa la vulnerabilidad CVE-2010-0806 entró a la veintena de las amenazas más propagadas bloqueadas en los equipos de los usuarios. A pesar de que la vulnerabilidad se cerró ya a finales de marzo de 2010 (aquí está el parche), aparte de Agent.bbk la explotan varios programas maliciosos más del TOP20 (puestos 6 y 13). Esto significa que la brecha en el software todavía sigue abierta en una multitud de equipos y los delincuentes siguen sacándole provecho.

Descargas de ficheros mediante programas maliciosos escritos en Java

La descarga de ficheros con programas escritos en Java que usan el método OpenConnection, iniciada por los delincuentes en octubre del año pasado, en el presente es uno de los métodos más populares de descarga. En la estadística de programas maliciosos en Internet de enero hay dos representantes de Trojan-Downloader.Java.OpenConnection (puestos 9 y 20).

 
Dinámica de detección de Trojan-Downloader.Java.OpenConnection (cantidad de
usuarios únicos) octubre de 2010 – enero de 2011

Cabe destacar que si se usan las últimas versiones de JRE (entorno de funcionamiento de Java), el usuario recibirá una advertencia sobre el lanzamiento de un applet Java peligroso. Es suficiente no ejecutarlo para evitar la infección del equipo.

Programas malicioso complejos: un nuevo gusano de correo

En enero apareció un nuevo gusano de correo, Email-Worm.Win32.Hlux. Se propaga mediante mensajes de que el usuario ha recibido una tarjeta y que tiene que instalar Flash Player para “que la visualización de la tarjeta sea correcta”. El enlace abre una ventana de diálogo en la que se le pregunta al usuario si quiere descargar el fichero. Independientemente de la respuesta del usuario, el gusano trata de irrumpir en el equipo: a los cinco segundos de la apertura de la ventana de diálogo, se lo remite a una página que contiene una serie de exploits y programas de la familia Trojan-Downloader.Java.OpenConnection que empiezan a descargar Hlux en el ordenador.

El gusano, aparte de difundirse por correo electrónico, tiene funcionalidades de bot e inscribe el equipo en una botnet. Hlux se conecta con el centro de administración de la botnet y empieza a ejecutar sus instrucciones, en particular, a enviar spam farmacéutico. El bot se comunica con el centro de administración mediante servidores proxy de una red fast-flux. Si el equipo infectado tiene una dirección IP externa, se lo puede usar como eslabón de la red fast-flux. La gran cantidad de equipos infectados permite a los delincuentes cambiar con gran frecuencia las direcciones IP de los dominios en que están ubicados los centros de administración de la botnet.

 
Frecuencia de cambio de las direcciones IP de los dominios de los centros de
administración de las botnets Hlux

El troyano SMS: una forma más de robar dinero

En enero los delincuentes empezaron a utilizar una nueva manera de robar dinero a los propietarios de teléfonos celulares. El nuevo troyano Trojan-SMS.J2ME.Smmer.f se propaga por medio de un método estándar para los programas móviles escritos en Java, es decir, con la ayuda de mensajes de textos que contienen un enlace a una “tarjeta virtual”. Después de instalarse en el teléfono, el troyano envía sendos mensajes de texto a dos diferentes números de pago. Los mensajes a estos números se envían gratis. ¿Pero cómo lucran los estafadores? Pues resulta que uno de los proveedores de telefonía celular usa ambos números para transferir dinero de una cuenta a otra. En el primer mensaje enviado por el troyano se indica el monto que se retirará de la cuenta del dueño del teléfono infectado (200 rublos, unos 5 euros) y el número usado por los delincuentes para recibir el dinero. El segundo mensaje se envía para confirmar la transferencia.

Hace dos años nos topamos con este tipo de estafa y las víctimas fueron los usuarios indonesios. Ahora el método ha sido adoptado por los delincuentes de Rusia.

TOP 20 de programas maliciosos en Internet

Posición	Cambios en la posición	Programa malicioso	Cantidad de ataques únicos*
1	0	AdWare.Win32.HotBar.dh	169173
2	0	Trojan-Downloader.Java.OpenConnection.cf	165576
3	New	Exploit.HTML.CVE-2010-1885.aa	140474
4	New	AdWare.Win32.FunWeb.gq	114022
5	-2	Trojan.HTML.Iframe.dl	112239
6	New	Trojan.JS.Redirector.os	83291
7	7	Trojan-Clicker.JS.Agent.op	82793
8	-4	Trojan.JS.Popupper.aw	80981
9	New	Trojan-Downloader.Java.OpenConnection.cg	66005
10	2	Trojan.JS.Agent.bhr	53698
11	New	Hoax.Win32.ArchSMS.mvr	47251
12	New	AdWare.Win32.WhiteSmoke.a	44889
13	5	Trojan.JS.Fraud.ba	44561
14	-4	Exploit.JS.Agent.bab	42800
15	-7	Trojan.JS.Redirector.lc	42231
16	-8	Exploit.Java.CVE-2010-0886.a	41232
17	New	Hoax.HTML.Fraud.e	37658
18	New	Trojan-Clicker.JS.Agent.om	36634
19	-6	Trojan-Downloader.JS.Small.os	35857
20	New	Trojan-Downloader.Java.OpenConnection.cx	35629

*Total de incidentes únicos registrados por el antivirus web en los equipos de los usuarios

TOP20 de programas maliciosos detectados en los ordenadores de los usuarios

Posición	Cambios en la posición	Programa malicioso	Cantidad de usuarios únicos*
1	0	Net-Worm.Win32.Kido.ir	466686
2	1	Virus.Win32.Sality.aa	210635
3	-1	Net-Worm.Win32.Kido.ih	171640
4	New	Hoax.Win32.Screensaver.b	135083
5	0	AdWare.Win32.HotBar.dh	134649
6	-2	Trojan.JS.Agent.bhr	131466
7	-1	Virus.Win32.Sality.bh	128206
8	-1	Virus.Win32.Virut.ce	114286
9	New	HackTool.Win32.Kiser.zv	104673
10	-2	Packed.Win32.Katusha.o	90870
11	New	HackTool.Win32.Kiser.il	90499
12	-2	Worm.Win32.FlyStudio.cu	85184
13	-1	Exploit.JS.Agent.bab	77302
14	-1	Trojan-Downloader.Win32.Geral.cnh	62426
15	-1	Trojan-Downloader.Win32.VB.eql	58715
16	0	Worm.Win32.Mabezat.b	58579
17	New	Hoax.Win32.ArchSMS.mvr	50981
18	-1	Packed.Win32.Klone.bq	50185
19	Returned	Worm.Win32.Autoit.xl	43454
20	New	Exploit.JS.Agent.bbk	41193

*Cantidad de usuarios únicos en cuyos equipos el antivirus detectó objetos maliciosos