Análisis de las actividades virales en marzo de 2011

Marzo en cifras

Este mes, en los equipos de los usuarios de Kaspersky Lab:

• se neutralizaron 241.151.171 ataques de red,
• se bloquearon 85 853 567 de intentos de infección mediante la web,
• se detectaron y neutralizaron 219.843.736 programas maliciosos (intentos de infección local),
• se registraron 96.702.092 veredictos heurísticos.

Unos pierden, otros ganan

En varias ocasiones hemos escrito que los delincuentes no tienen reparos en usar los sucesos trágicos para sus propios objetivos. No fueron excepciones ni los tsunamis en Japón, ni el fallecimiento de Elizabeth Taylor.

Muchas personas en Japón perdieron a sus seres queridos y sus casas. El mundo entero sigue con alarma el desarrollo de los sucesos en la central nuclear japonesa de Fukusima, dañada por el terremoto. Los estafadores y escritores de virus, difunden con cinismo enlaces maliciosos con noticias “frescas”, crean sitios web maliciosos, cuyo contenido está de una manera u otra relacionado con la tragedia en Japón y envían cartas “nigerianas” con suplicas lacrimosas de ayuda a los damnificados enviando dinero a las cuentas de los remitentes.

Por ejemplo en uno de los mensajes spam había enlaces a unas “últimas noticias” sobre los acontecimientos en Japón. Al seguir estos enlaces los usuarios se convertían en víctimas de un ataque drive-by realizado mediante paquetes de exploits. Si el ataque tenía éxito, se instalaba Trojan-Downloader.Win32.CodecPack en el equipo del usuario. Cada representante de esta familia tiene tres centros de administración predeterminados, a los cuales se conecta para recibir la lista de ficheros maliciosos que descargará y ejecutará en el ordenador del usuario. Una de las páginas web detectadas por nuestra compañía ofrecía a los usuarios descargar varios videoclips sobre los sucesos en Japón. Pero en vez de ver los clips, el usuario descargaba un backdoor a su equipo.

Los estafadores más rápidos están en Twitter: los enlaces maliciosos que aprovechaban la noticia del fallecimiento de Elizabeth Taylor aparecieron allí al día siguiente de su publicación.

Exploits

Las llamadas que hacen las compañías de seguridad informática para hacer actualizaciones regulares del software siguen teniendo vigencia, porque los exploits siguen siendo uno de los instrumentos preferidos por los delincuentes.

Exploits Java

La cantidad de exploits Java es bastante grande: constituyeron cerca del 14% del total de los exploits detectados. En el TOP 20 de malware en Internet hay tres exploits Java. Dos de ellos, Exploit.Java.CVE-2010-0840.d (puesto 15) y Exploit.Java.CVE-2010-0840.c (puesto 19) son nuevos exploits para la vulnerabilidad CVE-2010-0840 de Java. Recordamos que el activo uso de esta brecha fue descubierto el mes pasado.

Según los datos de KSN, los creadores de malware cambian con frecuencia los exploits que usan durante los ataques drive-by, para evitar su detección. Esto se puede ver en el gráfico que muestra la dinámica de la detección de los exploits de la familia Exploit.Java.CVE-2010-0840.

 
Dinámica de la detección de la familia Exploit.Java.CVE-2010-0840

Los picos del gráfico corresponden a los periodos de detección de los exploits que se usan en los ataques drive-by y las caídas, al momento de la aparición de las nuevas modificaciones del exploit.

Exploit para la vulnerabilidad de Adobe Flash Player

Es sorprendente la rapidez con la que los escritores de virus reaccionan a las noticias sobre nuevas vulnerabilidades. Un ejemplo es el exploit para la vulnerabilidad de Adobe Flash Player anunciada por la compañía Adobe el 14 de marzo. La vulnerabilidad se encuentra en authplay.dll y se la considera crítica: su explotación les da a los delincuentes la posibilidad de tomar el control del equipo del usuario.

Ya el 15 de marzo Kaspersky Lab detectó un exploit para esta vulnerabilidad. Es un fichero Excel, que contiene un fichero SWF malicioso y se detecta como Trojan-Dropper.SWF.CVE-2011-0609.a.

El 25 de marzo detectamos otra variante del exploit, una página HTML que contenía un JavaScript con un código shell y una llamada a un fichero Flash malicioso. El código shell recibía el control después de llamar al fichero SWF que usaba una brecha de seguridad. Los ficheros HTML y SWF maliciosos se detectan como Exploit.JS.CVE-2011-0609 y Exploit.SWF.CVE-2011-0609 respectivamente.

 
Fragmento de Exploit.JS.CVE-2011-0609.d

Esta historia tiene un final feliz: la vulnerabilidad no tardó en cerrarse. La compañía Adobe anunció el parche para la vulnerabilidad el 22 de marzo. Por supuesto, este final feliz sucede sólo en los equipos actualizados a tiempo por sus dueños.

Páginas HTML maliciosas: defensa contra su detección

Con cierta regularidad informamos sobre la detección de páginas HTML que los delincuentes usan para propagar programas maliciosos o como parte de esquemas de estafa. Los creadores de estas páginas siempre están inventándose nuevas formas de ocultarlas de los programas antivirus.

Uso de la etiqueta <textarea>

En el informe de febrero escribimos que los delincuentes usaban las tablas de estilos CSS para proteger los scripts maliciosos contra la detección. Ahora, en las páginas HTML en vez de CSS usan la etiqueta <textarea>.

Con la ayuda de la etiqueta <textarea> se visualizan los campos de entrada de texto.

Campo de entrada de datos ejecutado mediante la etiqueta <textarea>

Los delincuentes usan esta etiqueta como un contenedor para guardar los datos que después usará el script principal.

En marzo, Trojan-Downloader-JS.Agent.fun (una de las páginas web en la que se detectó la combinación de script malicioso y la etiqueta <textarea> que contenía los datos para el script) incluso ingresó al TOP 20 (puesto 9). El script, usando los datos de la etiqueta <textarea>, ejecuta otros exploits mediante diferentes métodos.

La página cifrada

En los informes de diciembre y enero escribimos sobre los antivirus falsos. Ahora la página web donde se hace un simulacro de escaneo del equipo y se trata de vender un antivirus falso, está cifrada y ejecutada como un JavaScript polimorfo, lo que dificulta su detección.

 
Fragmento de página cifrada con un antivirus web falso

Nuestra compañía detecta estos scripts polimorfos como Trojan.JS.Fraud.bl (puesto 18 en el TOP20 de malware en Internet) y Trojan.JS.Agent.btv (puesto 8).

Rustock

En marzo, una de las principales noticias del mes fue la clausura de la botnet Rustock. Recordamos que la red creada por Rustock contaba con varios cientos de miles de equipos infectados y se la usaba para hacer envíos masivos de spam. La operación de clausura de la botnet fue organizada por la compañía Microsoft y los órganos del estado de EEUU. El 17 de marzo Microsoft informó que todos los servidores de administración de la botnet habían sido deshabilitados. En todos los servidores de los centros de administración de la botnet clausurados por Microsoft se instaló una redirección a microsoftinternetsafety.net.

Según los datos de Kaspersky Lab, los últimos ejemplares de Rustock se instalaron en los equipos de los usuarios desde los centros de administración de la botnet el 16 de marzo y la última instrucción de envío de spam se envió el 17 de marzo. Después, no se envió más instrucciones a los bots. Es más, después del 16 de marzo no se detectó ni un solo nuevo descargador que instalase Rustock en los equipos de los usuarios.

¿Significa esto que ha desaparecido una de las más famosas botnets? ¿O los dueños de la botnet bloqueada sólo han decidido esperar que lleguen tiempos mejores, cuando sea posible recuperarse sin miedo? Más adelante sabremos las respuestas a estas preguntas.

Malware para Android

Los programa maliciosos para Android ya no son nada exótico. En marzo, los delincuentes lograron propagarlos como si fuesen aplicaciones legales en Android Market.

A principios de marzo, en Android Market, descubrimos versiones infectadas de aplicaciones legítimas. Contenían los root-exploits “rage against the cage” y “exploid”, que les permiten a los programas maliciosos obtener en los smartphones Android los derechos de root, que brindan acceso irrestricto a su sistema operativo.

En el archivo APK malicioso, además de los root-exploits había dos componentes maliciosos. Uno de ellos, después de obtener los derechos de root, mediante el método POST enviaba al servidor remoto del delincuente un fichero XML especial que contenía el IMEI y el IMSI, además de otros datos sobre el dispositivo, y quedaba en espera de instrucciones. Otro programa malicioso tenía funcionalidades de troyano-descargador, pero hasta ahora no hemos logrado recibir los ficheros que descarga.

TOP 20 de programas maliciosos en Internet

Posición	Cambios en la posición	Programa malicioso
1	4	AdWare.Win32.FunWeb.gq
2	New	Hoax.Win32.ArchSMS.pxm
3	3	AdWare.Win32.HotBar.dh
4	8	Trojan.HTML.Iframe.dl
5	New	Hoax.HTML.OdKlas.a
6	New	Trojan.JS.Popupper.aw
7	1	Exploit.JS.Pdfka.ddt
8	-8	Trojan.JS.Agent.btv
9	-9	Trojan-Downloader.JS.Agent.fun
10	-10	Trojan-Downloader.Java.OpenStream.bi
11	-7	Exploit.HTML.CVE-2010-1885.ad
12	New	Trojan.JS.Agent.uo
13	New	Trojan-Downloader.JS.Iframe.cdh
14	New	Packed.Win32.Katusha.o
15	New	Exploit.Java.CVE-2010-0840.d
16	1	Trojan.JS.Agent.bhr
17	New	Trojan-Clicker.JS.Agent.om
18	New	Trojan.JS.Fraud.bl
19	New	Exploit.Java.CVE-2010-0840.c
20	New	Trojan-Clicker.HTML.Iframe.aky

TOP 20 de malware detectado en los ordenadores de los usuarios

Posición	Cambios en la posición	Programa malicioso
1	0	Net-Worm.Win32.Kido.ir
2	0	Virus.Win32.Sality.aa
3	1	Net-Worm.Win32.Kido.ih
4	New	Hoax.Win32.ArchSMS.pxm
5	0	Virus.Win32.Sality.bh
6	-3	HackTool.Win32.Kiser.zv
7	-1	Hoax.Win32.Screensaver.b
8	-1	AdWare.Win32.HotBar.dh
9	8	Trojan.Win32.Starter.yy
10	1	Packed.Win32.Katusha.o
11	1	Worm.Win32.FlyStudio.cu
12	-2	HackTool.Win32.Kiser.il
13	-4	Trojan.JS.Agent.bhr
14	2	Trojan-Downloader.Win32.Geral.cnh
15	New	Porn-Tool.Win32.StripDance.d
16	New	Exploit.JS.Agent.bbk
17	New	Trojan.Win32.AutoRun.azq
18	-5	Trojan-Downloader.Win32.VB.eql
19	-5	Worm.Win32.Mabezat.b
20	-5	Packed.Win32.Klone.bq