Informes sobre malware

Análisis de las actividades de los virus informáticos en noviembre de 2010

Las amenazas en Internet: las descargas drive-by

El mes pasado la mayor amenaza para los usuarios fueron las descargas drive-by. Durante estos ataques el ordenador se puede infectar hasta si visita sitios web legítimos.

Aquí viene a cuento recordar cómo infectan los ordenadores las descargas drive-by. Al principio el usuario llega a un sitio o recurso legítimo en el que los delincuentes han puesto un script que remite a otra página. (Un ejemplo es uno de los más famosos script-redirectores de los últimos tiempos Trojan-Downloader.JS.Pegel). Con ayuda del redirector se remite al ordenador del usuario a un script-cargador, que a su vez empieza a descargar exploits. Por lo general los exploits cargan y ejecutan en el ordenador del usuario un fichero ejecutable que la mayor parte de los casos es un backdoor.

 
Esquema de funcionamiento de las descargas drive-by

En el TOP20 de los programa maliciosos en Internet de este mes tenemos tres redirectores y un script descargador que se usan en las descargas drive-by.

Redirectores y scripts descargadores

Toda la cadena de las descargas drive-by empieza con un redirector. Entre los redirectores que lideran en Internet están Trojan.HTML.IFrame.dl (quinto puesto), Trojan.JS.IFrame.pg (décimo puesto), Trojan.JS.Redirector.lc (vigésimo puesto), Trojan.JS.Redirector.np (vigésimo quinto puesto), Trojan-Downloader.JS.Iframe.bzn (vigésimo noveno puesto).

El segundo puesto entre los programas maliciosos detectados en Internet lo ocupa el script descargador Trojan-Downloader.JS.Agent.frs. Si el usuario llega a un sitio que tiene un redirector que lo remite a Trojan-Downloader.JS.Agent.frs, éste trata de usar los exploits para las vulnerabilidades en Java, PDF y JavaScript para descargar en su ordenador backdoors tan peligrosos como Backdoor.Win32.Shiz y Backdoor.Win32.Blakken (BlackEnergy 2).

 
Distribución geográfica de las detecciones de Trojan-Downloader.JS.Agent.frs

El mayor riesgo de infección por Trojan-Downloader.JS.Agent.frs afectó a los usuarios de Rusia, EEUU, Francia e Inglaterra.

Descargadores y exploits escritos en Java

Los programas maliciosos escritos en el idioma multiplataforma Java están multiplicándose a pasos acelerados. Si hace un año era difícil encontrarlos, ahora hay cada vez más.

En los últimos dos meses ha aumentado considerablemente la cantidad de programas maliciosos de la familia Trojan-Downloader.Java.OpenConnection. Durante los ataques drive-by estos programas cumplen las mismas funciones que los exploits, pero en vez de usar las vulnerabilidades para descargar programas maliciosos, recurren al método “OpenConnection” de la clase URL.

 
Dinámica de detección de Trojan-Downloader.Java.OpenConnection
(cantidad de usuarios únicos) octubre-noviembre de 2010

En noviembre el primer puesto del TOP20 de malware en Internet lo tiene Trojan-Downloader.Java.OpenConnection.bu, que está muy por delante de su inmediato seguidor. Dos programas más que usan el método “OpenConnection” ocupan los puestos 21 y 26.

 
Distribución geográfica de los programas maliciosos de la familia Trojan-Downloader.Java

La difusión de los descargadores escritos en Java según países es similar a la de Trojan-Downloader.JS.Agent.frs. Esto es un indicio de que los delincuentes usan al mismo tiempo descargadores Java y scripts descargadores durante los ataques drive-by.

Aparte de los descargadores en Java, existen también exploits escritos en este idioma. Por ejemplo, la vulnerabilidad CVE-2009-3867 en la función getSoundBank, bastante antigua por cierto, se sigue usando mucho en los exploits. El descargador Trojan-Downloader.JS.Agent.frs que hemos mencionado antes, también tiene en su arsenal exploits en Java.

Merece la pena destacar que Java es un idioma de programación multiplataforma y los programas maliciosos escritos en él se pueden ejecutar en todos los sistemas operativos que tengan instalado el equipo virtual Java.

Los exploits PDF

En noviembre también se detectaron exploits que usan las vulnerabilidades de los documentos PDF. Como regla, están escritos en JavaScript. Según el número de descargas únicas, las amenazas Exploit.JS.Pdfka.cyk y Exploit.JS.Pdfka.cyy ocuparon los puestos 24 y 28 respectivamente. Sin embargo la tendencia muestra que la cantidad de exploits PDF se va reduciendo: en los últimos seis meses nuestro antivirus ha detectado casi tres veces menos programas maliciosos de la familia Pdfka.

 
Dinámica de las detecciones de programas de la familia Exploit.JS.Pdfka: octubre-noviembre

Lo más probable es que esto se deba a que Adobe está tomando medidas para cerrar las brechas en sus productos. Así, en noviembre salió Adobe Reader X, que contiene un SandBox que permite hacer frente a los exploits.

TOP 20 de programas maliciosos en Internet

Posición Cambios en la posición Programa malicioso Números de usuarios
1   New Trojan-Downloader.Java.OpenConnection.bu   167617  
2   New Trojan-Downloader.JS.Agent.frs   73210  
3   1 Exploit.Java.CVE-2010-0886.a   68534  
4   New Trojan.HTML.Iframe.dl   56075  
5   1 Trojan.JS.Agent.bhr   46344  
6   -3 Exploit.JS.Agent.bab   42489  
7   6 Trojan.JS.Agent.bmx   40181  
8   New Trojan.HTML.Agent.di   35464  
9   29 Trojan.JS.Iframe.pg   28385  
10   74 Trojan.JS.Redirector.nz   26203  
11   9 Trojan.JS.Popupper.aw   25770  
12   New Trojan-Downloader.Java.Agent.il   23048  
13   -2 AdWare.Win32.FunWeb.q   22922  
14   11 Trojan-Downloader.Win32.Zlob.aces   22443  
15   3 AdWare.Win32.FunWeb.ci   19557  
16   -1 Exploit.JS.CVE-2010-0806.b   19487  
17   -3 Exploit.JS.CVE-2010-0806.i   18213  
18   9 Exploit.SWF.Agent.du   17649  
19   -3 Trojan.JS.Redirector.lc   16645  
20   -10 Trojan-Downloader.Java.Agent.hx   16242  

Archivos falsificados

Otra tendencia, sobre la que ya hemos escrito, la de los archivos falsificados, sigue teniendo vigencia. Los archivos falsificados se propagan de una forma muy efectiva: cuando el usuario busca algo en los sistemas de búsqueda, se generan automáticamente páginas con banners que ofrecen la información buscada.

La esencia de esta forma de estafa en Internet es sencilla. Para recibir el contenido del archivo, el usuario tiene que enviar un mensaje SMS de pago. Pero una vez enviado el SMS, no recibe la información buscada. El archivo resulta vacío, dañado, contiene un fichero torrent, etc.

Este es un ejemplo de oferta fraudulenta:

 

Kaspersky Lab detecta los archivos falsificados y los clasifica como parte de la familia Hoax.Win32.ArchSMS. Los ejemplares de ArchSMS se bloquean sobre todo en los ordenadores de los usuarios de los países de la CEI.

 
Distribución geográfica de Hoax.Win32.ArchSMS

Amenazas a los ordenadores de los usuarios

Las amenazas que se propagan sobre todo mediante las redes locales y los medios extraíbles también gozan de popularidad entre los delincuentes, y representan un peligro extremo.

Virus como Virus.Win32.Sality.aa (tercer puesto), Virus.Win32.Sality.bh (octavo puesto), Virus.Win32.Virut.ce (sexto puesto) ocupan puestos de liderazgo en la estadística de programas maliciosos detectados en los ordenadores de los usuarios. Y además, tienen la peculiaridad de que son capaces de infectar los ficheros ejecutables, lo que incrementa su efectividad.

Los programas maliciosos que usan vulnerabilidades ya cerradas, también se encuentran en el TOP20. En primer lugar está Kido, que ocupa los dos primeros puestos. Los exploits que usan la vulnerabilidad CVE-2010-2568 en los accesos directos siguen vigentes (puestos 13 y 14). Se usan ampliamente para propagar Stuxnet y otros programas maliciosos. Esto nos confirman una vez más que los usuarios no deben dejar de instalar las actualizaciones del sistema operativo y de los programas populares que tienen en sus ordenadores.

Análisis de las actividades de los virus informáticos en noviembre de 2010

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada