Autores
Las amenazas en Internet: las descargas drive-by
El mes pasado la mayor amenaza para los usuarios fueron las descargas drive-by. Durante estos ataques el ordenador se puede infectar hasta si visita sitios web legítimos.
Aquí viene a cuento recordar cómo infectan los ordenadores las descargas drive-by. Al principio el usuario llega a un sitio o recurso legítimo en el que los delincuentes han puesto un script que remite a otra página. (Un ejemplo es uno de los más famosos script-redirectores de los últimos tiempos Trojan-Downloader.JS.Pegel). Con ayuda del redirector se remite al ordenador del usuario a un script-cargador, que a su vez empieza a descargar exploits. Por lo general los exploits cargan y ejecutan en el ordenador del usuario un fichero ejecutable que la mayor parte de los casos es un backdoor.
Esquema de funcionamiento de las descargas drive-by
En el TOP20 de los programa maliciosos en Internet de este mes tenemos tres redirectores y un script descargador que se usan en las descargas drive-by.
Redirectores y scripts descargadores
Toda la cadena de las descargas drive-by empieza con un redirector. Entre los redirectores que lideran en Internet están Trojan.HTML.IFrame.dl (quinto puesto), Trojan.JS.IFrame.pg (décimo puesto), Trojan.JS.Redirector.lc (vigésimo puesto), Trojan.JS.Redirector.np (vigésimo quinto puesto), Trojan-Downloader.JS.Iframe.bzn (vigésimo noveno puesto).
El segundo puesto entre los programas maliciosos detectados en Internet lo ocupa el script descargador Trojan-Downloader.JS.Agent.frs. Si el usuario llega a un sitio que tiene un redirector que lo remite a Trojan-Downloader.JS.Agent.frs, éste trata de usar los exploits para las vulnerabilidades en Java, PDF y JavaScript para descargar en su ordenador backdoors tan peligrosos como Backdoor.Win32.Shiz y Backdoor.Win32.Blakken (BlackEnergy 2).
Distribución geográfica de las detecciones de Trojan-Downloader.JS.Agent.frs
El mayor riesgo de infección por Trojan-Downloader.JS.Agent.frs afectó a los usuarios de Rusia, EEUU, Francia e Inglaterra.
Descargadores y exploits escritos en Java
Los programas maliciosos escritos en el idioma multiplataforma Java están multiplicándose a pasos acelerados. Si hace un año era difícil encontrarlos, ahora hay cada vez más.
En los últimos dos meses ha aumentado considerablemente la cantidad de programas maliciosos de la familia Trojan-Downloader.Java.OpenConnection. Durante los ataques drive-by estos programas cumplen las mismas funciones que los exploits, pero en vez de usar las vulnerabilidades para descargar programas maliciosos, recurren al método “OpenConnection” de la clase URL.
Dinámica de detección de Trojan-Downloader.Java.OpenConnection
(cantidad de usuarios únicos) octubre-noviembre de 2010
En noviembre el primer puesto del TOP20 de malware en Internet lo tiene Trojan-Downloader.Java.OpenConnection.bu, que está muy por delante de su inmediato seguidor. Dos programas más que usan el método “OpenConnection” ocupan los puestos 21 y 26.
Distribución geográfica de los programas maliciosos de la familia Trojan-Downloader.Java
La difusión de los descargadores escritos en Java según países es similar a la de Trojan-Downloader.JS.Agent.frs. Esto es un indicio de que los delincuentes usan al mismo tiempo descargadores Java y scripts descargadores durante los ataques drive-by.
Aparte de los descargadores en Java, existen también exploits escritos en este idioma. Por ejemplo, la vulnerabilidad CVE-2009-3867 en la función getSoundBank, bastante antigua por cierto, se sigue usando mucho en los exploits. El descargador Trojan-Downloader.JS.Agent.frs que hemos mencionado antes, también tiene en su arsenal exploits en Java.
Merece la pena destacar que Java es un idioma de programación multiplataforma y los programas maliciosos escritos en él se pueden ejecutar en todos los sistemas operativos que tengan instalado el equipo virtual Java.
Los exploits PDF
En noviembre también se detectaron exploits que usan las vulnerabilidades de los documentos PDF. Como regla, están escritos en JavaScript. Según el número de descargas únicas, las amenazas Exploit.JS.Pdfka.cyk y Exploit.JS.Pdfka.cyy ocuparon los puestos 24 y 28 respectivamente. Sin embargo la tendencia muestra que la cantidad de exploits PDF se va reduciendo: en los últimos seis meses nuestro antivirus ha detectado casi tres veces menos programas maliciosos de la familia Pdfka.
Dinámica de las detecciones de programas de la familia Exploit.JS.Pdfka: octubre-noviembre
Lo más probable es que esto se deba a que Adobe está tomando medidas para cerrar las brechas en sus productos. Así, en noviembre salió Adobe Reader X, que contiene un SandBox que permite hacer frente a los exploits.
TOP 20 de programas maliciosos en Internet
| Posición | Cambios en la posición | Programa malicioso | Números de usuarios |
| 1 |  New |
Trojan-Downloader.Java.OpenConnection.bu | 167617 |
| 2 | New |
Trojan-Downloader.JS.Agent.frs | 73210 |
| 3 |  1 |
Exploit.Java.CVE-2010-0886.a | 68534 |
| 4 | New |
Trojan.HTML.Iframe.dl | 56075 |
| 5 | 1 |
Trojan.JS.Agent.bhr | 46344 |
| 6 |  -3 |
Exploit.JS.Agent.bab | 42489 |
| 7 | 6 |
Trojan.JS.Agent.bmx | 40181 |
| 8 | New |
Trojan.HTML.Agent.di | 35464 |
| 9 |  29 |
Trojan.JS.Iframe.pg | 28385 |
| 10 | 74 |
Trojan.JS.Redirector.nz | 26203 |
| 11 | 9 |
Trojan.JS.Popupper.aw | 25770 |
| 12 | New |
Trojan-Downloader.Java.Agent.il | 23048 |
| 13 | -2 |
AdWare.Win32.FunWeb.q | 22922 |
| 14 | 11 |
Trojan-Downloader.Win32.Zlob.aces | 22443 |
| 15 | 3 |
AdWare.Win32.FunWeb.ci | 19557 |
| 16 | -1 |
Exploit.JS.CVE-2010-0806.b | 19487 |
| 17 | -3 |
Exploit.JS.CVE-2010-0806.i | 18213 |
| 18 | 9 |
Exploit.SWF.Agent.du | 17649 |
| 19 | -3 |
Trojan.JS.Redirector.lc | 16645 |
| 20 | -10 |
Trojan-Downloader.Java.Agent.hx | 16242 |
Archivos falsificados
Otra tendencia, sobre la que ya hemos escrito, la de los archivos falsificados, sigue teniendo vigencia. Los archivos falsificados se propagan de una forma muy efectiva: cuando el usuario busca algo en los sistemas de búsqueda, se generan automáticamente páginas con banners que ofrecen la información buscada.
La esencia de esta forma de estafa en Internet es sencilla. Para recibir el contenido del archivo, el usuario tiene que enviar un mensaje SMS de pago. Pero una vez enviado el SMS, no recibe la información buscada. El archivo resulta vacío, dañado, contiene un fichero torrent, etc.
Este es un ejemplo de oferta fraudulenta:
Kaspersky Lab detecta los archivos falsificados y los clasifica como parte de la familia Hoax.Win32.ArchSMS. Los ejemplares de ArchSMS se bloquean sobre todo en los ordenadores de los usuarios de los países de la CEI.
Distribución geográfica de Hoax.Win32.ArchSMS
Amenazas a los ordenadores de los usuarios
Las amenazas que se propagan sobre todo mediante las redes locales y los medios extraíbles también gozan de popularidad entre los delincuentes, y representan un peligro extremo.
Virus como Virus.Win32.Sality.aa (tercer puesto), Virus.Win32.Sality.bh (octavo puesto), Virus.Win32.Virut.ce (sexto puesto) ocupan puestos de liderazgo en la estadística de programas maliciosos detectados en los ordenadores de los usuarios. Y además, tienen la peculiaridad de que son capaces de infectar los ficheros ejecutables, lo que incrementa su efectividad.
Los programas maliciosos que usan vulnerabilidades ya cerradas, también se encuentran en el TOP20. En primer lugar está Kido, que ocupa los dos primeros puestos. Los exploits que usan la vulnerabilidad CVE-2010-2568 en los accesos directos siguen vigentes (puestos 13 y 14). Se usan ampliamente para propagar Stuxnet y otros programas maliciosos. Esto nos confirman una vez más que los usuarios no deben dejar de instalar las actualizaciones del sistema operativo y de los programas populares que tienen en sus ordenadores.
Autores
Análisis de las actividades de los virus informáticos en noviembre de 2010