Informes sobre malware

Análisis de las actividades virales en mayo de 2011

Este mes, en los equipos de los usuarios de Kaspersky Lab:

  • se neutralizaron 242.663.383 ataques de red,
  • se bloquearon 71.334.947 intentos de infección mediante la web;
  • se detectaron y desactivaron 213.713.174 programas maliciosos (intentos de infección local);
  • los veredictos heurísticos se activaron 84.287.491 veces.

Antivirus falsos para Mac OS X

Según los resultados de 2010, ha tenido lugar una reducción generalizada de la cantidad de antivirus falsos. Tras llegar a la cima de su virulencia en febrero-marzo de 2010 (aproximadamente 200.000 incidentes por mes), a finales de 2010 se redujo la cantidad de antivirus falsos en casi cuatro veces. Este desarrollo de los acontecimientos puede parecer un poco extraño, ya que para los delincuentes informáticos este tipo de software es una verdadera veta de oro. En efecto, la cantidad de antivirus falsos es menor, pero los delincuentes informáticos que han continuado dedicándose a este tipo de actividades se han concentrado en ciertos países (EEUU, Francia, Alemania y España), en vez de propagarlos en todos los espacios posibles.

 
Distribución de las detecciones de una de las familias de antivirus falsos, por países (mayo de 2011)

En mayo, la cantidad de intentos de infección realizada por los antivirus falsos mediante la web fue de 109.218 incidentes. Sin embargo, la reducción de la cantidad de rogueware no significa que este tipo de programas haya dejado de desarrollarse. Este mes, los usuarios de Mac sufrieron ataques de diferentes antivirus falsos, como por ejemplo Best Mac Antivirus y MAC Defender. Los primeros ataques se detectaron el 2 de mayo, cuando en Internet abundaban los titulares sobre la muerte de Osama Bin Laden. En respuesta a algunas de las solicitudes de búsqueda relacionadas con este acontecimiento, Google mostraba en los navegadores de los usuarios (en lugar de las respuestas de costumbre) lo siguiente:

 

A pesar de la apariencia “a la Windows” del escáner falso, al pulsar el botón “Remove all”, éste le propone al usuario descargar un fichero de instalación MPKG (en este caso, MAC Defender) para Mac OS X. Si el usuario lanzaba el paquete de instalación, se le pedía ingresar su contraseña de root.

Una vez instalado el software estafador, el usuario veía la ventana principal del antivirus falso MAC Defender:

 

No puedo dejar de mencionar la cantidad de “firmas” que se encuentran en la “base antivirus” de MAC Defender: 184.230. Sobre todo porque, hoy en día, la cantidad de programas maliciosos para Mac se cuenta por centenares, pero de ninguna manera son decenas de miles.

Después de “descubrir” en el ordenador del usuario varios programas maliciosos, que en realidad no existen, MAC Defender pide una suma bastante elevada dinero para “eliminarlos”: de 59 a 80 dólares americanos, dependiendo del tipo de suscripción. La víctima que paga por usar el antivirus falso recibe una llave para registrar el producto. Después de ingresarla, el antivirus falso finge eliminar las amenazas, en verdad inexistentes, después de lo cual el usuario visualiza una ventana con un mensaje de que ahora el sistema está limpio y protegido:

 

Los delincuentes informáticos suelen, por periodos, volver su mirada a Mac OS X, creando y difundiendo diferente software malicioso para esta plataforma. Y en la mayoría de los casos estos ataques repiten con exactitud los escenarios de ataques contra los usuarios de Windows.

Programas nocivos para Win64

El sostenido crecimiento de la cantidad de sistemas operativos x64 no podía dejar de reflejarse en el crecimiento de los programas maliciosos para esta plataforma. Los escritores de virus siguen haciendo versiones de sus criaturas para x64. Ya en 2010 habíamos registrado versiones del popular rootkit TDSS para Win64. En mayo de este año los delincuentes informáticos brasileños y también los creadores del popular caballo de Troya ZeroAccess se integraron a la tendencia.

Los “bankers” brasileños

Durante varios años, los delincuentes informáticos brasileños se han dedicado sobre todo a los troyanos bancarios. En mayo apareció el primer rootkit “bancario” para sistemas operativos de 64 bits, que nuestro antivirus detecta como Rootkit.Win64.Banker.

El propósito de los delincuentes era robar los logins y contraseñas de los usuarios de sistemas de banca online. Durante los ataques los usuarios trataban de remitir a los usuarios a páginas phishing, que eran réplicas exactas de los sitios web de algunos bancos. Para esto, modificaban el fichero HOST mediante el rootkit que infectaba el sistema durante el ataque drive-by.

Después de irrumpir en un popular sitio web brasileño, los delincuentes pusieron allí una aplicación Java maliciosa que, aparte del exploit, contenía dos ficheros SYS que tenían las mismas funcionalidades (para Win32 y Win64). Usando un certificado falsificado, los delincuentes usaban la utilidad bcdedit.exe para lanzar drivers sin firma digital. Con la ayuda de algunos parámetros de la utilidad bcdedit.exe DISABLE_INTEGRITY_CHECKS”, “TESTSIGNING ON” y “type= kernel start= boot error= normal”), los delincuentes los copiaban en la carpeta estándar de los drivers y al mismo tiempo los daban de alta para que la siguiente vez se iniciaran junto con el sistema.

Al iniciarse, los drivers maliciosos modificaban el fichero HOST, agregándole las redirecciones a sitios phishing (el usuario los visitaba cuando trataba de abrir la página de su banco online).

El troyano ZeroAccess

Antes sólo se conocía la versión de 32 bits del troyano ZeroAccess. Ahora nos la tenemos que ver con la versión de 64 bits. El ataque empieza descargando en el ordenador de la víctima el downloader ZeroAccess (mediante un downloader drive-by), el cual, después de averiguar si el sistema es de 32 o 64 bits, descarga la versión correspondiente del backdoor.

Si el equipo tiene un sistema operativo de 64 bits, el descargador descarga un backdoor para Win64.

 
Este código determina si el sistema operativo es de 32 o 64 bits

El backdoor, a diferencia de su “congénere” de 32 bits, no contiene ningún rootkit. El inicio automático se realiza mediante la llave del registro HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystems. El programa malicioso se ubica en la carpeta system32 bajo el nombre de consrv.dll.

La carga útil adicional (por ejemplo, la sustitución de los resultados de las búsquedas y los clickers) descargada por el programa en el equipo también está destinada a la plataforma x64.

Necurs

Otro incidente ha sido al mismo tiempo curioso y un poco extraño.

El troyano-descargador Trojan-Downloader.Win32.Necurs.a, que se propaga con la ayuda del paquete de exploits BlackHole, contiene dos drivers de rootkit (uno para x32 y el otro para x64) de idénticas funcionalidades. La instalación de los programas maliciosos se lleva a cabo según el mismo mecanismo que describimos más arriba en la sección “Los bankers brasileños”. Después de instalarse en el sistema operativo, el rootkit bloquea la ejecución de los drivers relacionados con los componentes antirootkit de los productos antivirus.

Lo curioso es lo siguiente: el troyano-descargador Necurs trata de descargar en el equipo de la víctima antivirus falsos para Win32. Sin embargo, en uno de los enlaces se encuentra Hoax.OSX.Defma.f, el antivirus falso para Mac OSX que ya hemos descrito. Pero la más interesante es que el programa malicioso trata de ejecutarlo en Windows.

La aparición de programas completamente nuevos para x64 está condicionada por el hecho de que son cada vez más los usuarios que prefieren instalar sistemas operativos de 64 bits. Estamos seguros de que en el futuro la cantidad de códigos maliciosos para la plataforma x64 seguirá creciendo.

Sony: continúan los hackeos

Las consecuencias del hackeo de Sony Playstation Network y Sony Online Entertainment a fines de abril y principios de mayo, que derivó en la fuga de datos personales de decenas de millones de usuarios de estos servicios no ha sido el único problema con el que la corporación se ha tenido que enfrentar en estos dos últimos meses.

Después del reinicio del funcionamiento de PSN, anunciado el 17 de mayo, Sony propuso a los usuarios cambiar las contraseñas de sus cuentas. Para cambiar la contraseña el usuario tenía que ingresar su dirección de correo electrónico y su fecha de nacimiento. En otras palabras, los datos robados durante el hackeo. Teniendo estos datos, los delincuentes podían usarlos en lugar de los usuarios. La corporación declaró que se daba cuenta de los posibles problemas, pero durante la recuperación de las cuentas de los usuarios no se registraron nuevos incidentes.

El 20 de mayo los hackers irrumpieron en el sitio tailandés de Sony, causando que en hdworld.sony.co.th se pusiera una página phishing dirigida a los usuarios italianos de tarjetas de crédito.

Sin embargo, con esto no terminaron las pesadillas de la compañía. El 22 de mayo fue hackeado el sitio SonyMusic.gr y el ataque tuvo como resultado el robo de la información sobre los usuarios (apodos, nombre verdadero y dirección de correo electrónico) y su posterior publicación en Internet.

Dos días después, el 24 de mayo, se descubrieron varias vulnerabilidades en el sitio sony.co.jp. Sin embargo, la base de datos robada no contenía datos personales de los usuarios.

En nuestros pronósticos para el 2011 afirmamos que el objetivo de muchos ataques sería el robo de cualquier tipo de información. Por desgracia, la secuencia de hackeos de Sony ha confirmado una vez más nuestros pronósticos. Hoy, todas las cuestiones relacionadas con la seguridad de la información personal están a la orden del día. Los servicios como PSN o iTunes tratan de recopilar la mayor cantidad posible de información personal. Por desgracia, la legislación referente a estos datos no siempre es clara y es poco lo que los usuarios pueden hacer, excepto dejar de usarlos.

Sin duda, los ataques contra Sony fueron bien planeados y preparados. No excluimos la probabilidad de que en el futuro se repitan ataques parecidos, lanzados contra servicios similares a PSN. Por esta razón los usuarios deben estar alertas, al igual que las compañías que prestan estos servicios.

TOP 20 de programas maliciosos en Internet

Lugar Cambios en la posición Objeto detectado Cantidad de ataques
1   0 AdWare.Win32.HotBar.dh   783931  
2   0 Trojan.JS.Popupper.aw   739998  
3   4 AdWare.Win32.FunWeb.kd   472777  
4   New Trojan-Downloader.JS.IstBar.cx   364197  
5   1 AdWare.Win32.FunWeb.jp   243612  
6   New Trojan-Downloader.JS.Agent.fxq   233868  
7   New Exploit.HTML.CVE-2010-4452.h   182151  
8   New Trojan.JS.Agent.bun   180370  
9   New Trojan-Downloader.JS.Iframe.cew   172075  
10   New Exploit.JS.CVE-2010-1885.k   150738  
11   4 Trojan.HTML.Iframe.dl   135098  
12   New Trojan-Downloader.HTML.JScript.l   127424  
13   New Trojan-Downloader.SWF.Agent.ec   123600  
14   New Exploit.Java.CVE-2010-4452.a   118110  
15   -3 Trojan.JS.Agent.uo   112662  
16   New Trojan-Downloader.JS.Agent.fww   81024  
17   -4 Trojan-Downloader.JS.Iframe.cdh   80158  
18   New Trojan-Downloader.JS.Agent.fyk   73666  
19   New Hoax.Win32.Screensaver.b   72975  
20   New Hoax.Win32.ArchSMS.huey   71125  

TOP 20 de malware detectado en los ordenadores de los usuarios

Lugar Cambios en la posición Objeto detectado Cantidad de usuarios únicos
1   0 Net-Worm.Win32.Kido.ir   465397  
2   1 Virus.Win32.Sality.aa   200381  
3   -1 Net-Worm.Win32.Kido.ih   183936  
4   New AdWare.Win32.FunWeb.kd   179700  
5   1 Trojan.Win32.Starter.yy   158218  
6   -1 Virus.Win32.Sality.bh   147599  
7   2 Trojan-Downloader.Win32.Geral.cnh   93831  
8   8 Virus.Win32.Sality.ag   84662  
9   1 HackTool.Win32.Kiser.il   83925  
10   New Trojan-Downloader.Win32.FlyStudio.kx   70375  
11   New Exploit.Win32.CVE-2010-2568.d   67924  
12   8 Virus.Win32.Nimnul.a   67094  
13   -5 HackTool.Win32.Kiser.zv   64813  
14   -2 Worm.Win32.FlyStudio.cu   64593  
15   -8 Hoax.Win32.ArchSMS.pxm   64074  
16   2 Worm.Win32.Mabezat.b   62011  
17   -6 Hoax.Win32.Screensaver.b   60218  
18   -4 Trojan.JS.Agent.bhr   59722  
19   -2 Trojan-Downloader.Win32.VB.eql   58577  
20   New Trojan.Win32.AutoRun.bhs   55422  

Análisis de las actividades virales en mayo de 2011

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada