Noticias

Boletín de seguridad Kaspersky. Enero-junio de 2006. Desarrollo de los programas maliciosos

Los primeros seis meses de 2006 trajeron cambios considerables. La cantidad de nuevos programas maliciosos (incluyendo modificaciones) aumentó cada mes en un promedio del 8% en comparación con el mismo período de 2005 (ver Diagrama 1)


Cantidad de nuevas modificaciones de programas maliciosos, encontradas en el transcurso de un mes.

El diagrama 1 muestra que los troyanos representan la mayor proporción de programas maliciosos. Los troyanos son el único tipo de programa malicioso que demostró un crecimiento en la cantidad de nuevas modificaciones, (9%) durante los primeros seis meses de este año. El incremento en la cantidad de troyanos juega un papel importante para determinar el crecimiento del malware en su conjunto.


Las cifras de virus y gusanos muestran una pequeña disminución del 1,1%, lo cual era de esperarse.


La clase MalWare mostró la mayor disminución de todas, cayendo en un 2.3% en comparación al mismo período de 2005.


Examinaremos después en mayor detalle los recientes desarrollos en las tres categorías.

Troyanos

Los programas troyanos se están desarrollando con mayor rapidez que cualquier otra clase de código malicioso. De acuerdo a lo mencionado antes, el aumento en la cantidad de nuevas modificaciones de troyanos alcanzó un 9% durante la primera mitad de 2006.


Cantidad de nuevas modificaciones realizadas a programas troyanos, encontradas en el transcurso de un mes.

Diagrama 5. Desglose de troyanos por categoría.

De los diversos tipos de programas troyanos, los más comunes son Backdoor (30%), Trojan-Downloader (26%), Trojan-PSW (12%) y Trojan-Spy (13%). ¿En que se diferencian estos troyanos de los otros? La respuesta, de hecho, es mucho más simple de lo que parece a simple vista: todo depende del dinero. Estos troyanos son elementos clave cuando se trata de robar datos personales o de crear una botnet. Esta es la razón por la que son los más populares entre los usuarios maliciosos, que cada vez están más orientados hacia las ganancias.

La popularidad de los programas Trojan-Downloader y Backdoor se puede explicar por el hecho de que se utilizan con frecuencia para crear botnets. A fin de obtener control sobre el ordenador de la víctima, un usuario de código malicioso lo infectará con un pequeño y especializado programa malicioso: un Trojan-Downloader. El trabajo de este troyano es instalar otros programas maliciosos en el sistema: la mayoría de las veces, éste será un programa Backdoor, que dará acceso remoto total al equipo de la víctima.

Después están los programas Trojan-Spy y Trojan-PSW. Como sus nombres indican, estos troyanos roban información personal. Pueden usarse para la búsqueda de casi cualquier tipo de datos personales, desde contraseñas hasta información de juegos, financiera y de otros tipos, hasta información que podría ser utilizada para estudios de mercadeo – todo sin que el usuario sospeche nada.

En contraste con los códigos maliciosos que pueden replicarse (tales como virus y gusanos), los programas troyanos deben ser entregados al equipo víctima. En la actualidad, los troyanos se entregan ya sea vía spam, con adjuntos que contienen el código malicioso; o se descargan utilizando un explotador de vulnerabilidades. Debe tenerse en cuenta que los usuarios maliciosos están mostrando una preferencia por el correo no deseado masivo en lugar del uso de exploits. Éstos cuestan entre 40 y 60 dólares por cada mil infecciones, aunque nadie asegura al cliente que “su” programa malicioso será el único en el ordenador infectado.

En el futuro, parece que la tendencia de crecimiento de la cantidad de programas troyanos se mantendrá constante, aunque podría disminuir un poco.

Virus y gusanos

Los virus y gusanos, como clase, han estado experimentando una disminución constante durante más de un año. El siguiente gráfico presenta la cantidad de nuevas modificaciones de virus y gusanos detectadas de forma mensual.


Cantidad de nuevas modificaciones de virus y gusanos por mes.

En base a los resultados de la primera mitad del 2006, la cantidad de nuevas modificaciones de virus y gusanos ha caído en un 1,1%.


Desglose de los tipos de virus y gusanos detectados durante la primera mitad del 2006.

La cantidad de nuevas modificaciones ha disminuido en todos los tipos de programas malintencionados. Esta disminución se debe a una economía simple; es menos caro desarrollar un programa troyano primitivo que crear un código malicioso que sea capaz de reproducirse, tal como un gusano.

Tanto las estadísticas como una serie de otros factores testifican una caída en la cantidad de gusanos. Por ejemplo, la cantidad de epidemias globales en los últimos seis meses ha disminuido de forma considerable en comparación con el mismo período del 2005. Esto demuestra que la tendencia de disminución que se notó hace un año se mantiene.

La caída en la cantidad de epidemias llevará, sin duda, a la disminución de daños financieros y de otros tipos. Sin embargo, aún existe el riesgo de que los usuarios no tomen las precauciones adecuadas, creando de esta manera oportunidades para usuarios maliciosos.


La cantidad de virus y de gusanos continuará disminuyendo en el futuro.

Otros programas maliciosos

Esta sección examina la última clase de código malicioso que es detectado por nuestras bases de datos antivirus. La evolución de este código malicioso, clasificado como MalWare, se muestra en el siguiente diagrama:


Cantidad de modificaciones de programas en la clase MalWare.

La cantidad de nuevos programas maliciosos de clase MalWare cayó en un 2,3% en comparación con el mismo período del 2005.


El gráfico circular en el diagrama 8 muestra los distintos tipos de MalWare de acuerdo al sistema de clasificación de Kaspersky Lab.


Desglose de los distintos tipos de MalWare

Los exploits, la clasificación más común de MalWare, representan el 30% de esta categoría de código malicioso. Son una parte integral del mecanismo utilizado por otros programas maliciosos para poder diseminarse.

Extorsión: una tendencia peligrosa

Una de las tendencias más peligrosas que se han visto en los últimos meses, es el crecimiento en la cantidad de incidentes en los que usuarios maliciosos utilizan un programa para modificar datos en un equipo víctima y después chantajean al usuario. Muchos de estos programas son muy similares los unos a los otros, y están diseñados ya sea para afectar las funciones del equipo víctima, o para bloquear el acceso a información. El crecimiento en la cantidad de nuevas modificaciones de tales programas está ilustrado en el diagrama 9 siguiente.


Cantidad de programas que modificaron datos y fueron utilizados para chantaje.

En enero del 2006, estos tipos de programas estuvieron representados básicamente por un solo troyano – Trojan.Win32.Krotten. El autor de Krotten divulgó 13 modificaciones de este código maliciosos en sólo dos semanas, con una regularidad envidiable. Cambió de forma constante el código en un esfuerzo para evitar que Krotten fuera detectado. Esto explica el salto en los inicios de los primeros seis meses de este año, como se muestra en el diagrama.

A comienzos de febrero de 2006, los chantajistas informáticos comenzaron a atraer nuestra atención con nuevos tipos de malware de una variedad de distintos autores, aunque Krotten aún estaba a la cabeza en términos de nuevas modificaciones.

A finales de enero, vimos la aparición de Virus.Win32.Gpcode, justo después de Krotten. Trojan.Win32.Krotten nunca modificaba los archivos de usuario (modificaba el registro del sistema de manera que el troyano en sí mismo fuera difícil de borrar y de manera que el equipo infectado fuera difícil de usar), lo cual significaba que sería posible, en teoría, restaurar el equipo víctima a su estado original anterior a la infección. Sin embargo, Gpcode negaba esta posibilidad al usuario. Durante los primeros seis meses del 2006, este programa malicioso evolucionó rápido: el autor pasó de utilizar, al inicio, un algoritmo de cifrado simétrico típico a uno asimétrico, extendiendo la extensión de la clave utilizada de 56 bits a 64, 260, 330 y así sucesivamente hasta 660.

Durante la primera mitad de este año, la cantidad de troyanos utilizados para chantaje se incrementaron de dos a seis (Krotten, Daideneg, Schoolboys, Cryzip, MayArchive, Gpcode). En la cumbre de su desarrollo, sus ataques estaban limitados principalmente a Rusia y a la Unión de Estados Independientes, en la antigua Unión Soviética. Sin embargo, a finales de julio, los autores o usuarios de estos programas claramente se ramificaron y se vieron casos similares de chantaje en Alemania, el Reino Unido y varios otros países.

No hay nada para prevenir que este tipo de código malicioso se siga desarrollando, lo cual produce una preocupación particular. Ya hemos visto casos en los que principiantes, que ayer apenas sabían utilizar el ratón, ahora están probando suerte con el chantaje informático. Aunque algunos intentos son más absurdos que otros – ha habido casos en los que el usuario malicioso dicta la cantidad de dinero y la forma en que debía ser transferido, pero olvida incluir los datos de contacto. Un ejemplo de este tipo de troyano sería Trojan.WinREG.Schoolboys.a.

Conclusiones

Lamentablemente, el futuro no luce especialmente brillante, ya que las técnicas utilizadas por los delincuentes informáticos continuarán evolucionando y la cantidad de programas maliciosos seguirá en aumento.

La cantidad de nuevas modificaciones a programas maliciosos está en aumento a un ritmo constante: hubo un incremento del 8% sólo en la primera mitad del año.

Los programas maliciosos más comunes en la actualidad son Trojan-Spy, Trojan-PSW, Trojan-Downloader y Backdoor: es decir, todos los programas maliciosos utilizados para construir botnets, y robar datos personales y propiedad informática de los usuarios. Lo más notorio fue la cantidad de programas que pueden utilizarse para conseguir ganancias.


También es cada vez más común el uso de programas maliciosos para realizar ataques dirigidos.

En la primera mitad del 2006, los usuarios maliciosos demostraron una preferencia obvia por infectar equipos víctimas utilizando explotadores vía sitios web de usuarios maliciosos. Este método es tan popular debido a que el programa malicioso es más o menos indetectable en el ordenador del usuario, ya que el código malicioso no necesita que una persona lo active.

Aunque las conclusiones anteriores parecen sombrías, la situación no es tan mala. Si usted actualiza sus bases de datos antivirus e instala los parches de software de forma regular, esto le ayudará a proteger su equipo o sistemas de la mayoría de las amenazas mencionadas arriba.

Boletín de seguridad Kaspersky. Enero-junio de 2006. Desarrollo de los programas maliciosos

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada