Informes sobre malware

Clasificación de los programas maliciosos, septiembre de 2008

En septiembre de 2008 hemos usado los resultados de Kaspersky Security Network (KSN) para hacer dos estadísticas.

La primera tabla contiene los veinte programas nocivos, publicitarios y potencialmente peligrosos más propagados según la cantidad de equipos en los que se los ha detectado.

Posición Cambios en la posición Programma nocivo
1   New Rootkit.Win32.Agent.cvx  
2   Return Trojan-Downloader.WMA.Wimad.n  
3   New Packed.Win32.Black.a  
4   8 Trojan.Win32.Agent.abt  
5   New Trojan-Downloader.HTML.IFrame.sz  
6   New Trojan-Downloader.Win32.VB.eql  
7   New Trojan-Downloader.JS.IstBar.cx  
8   1 Trojan.Win32.Agent.tfc  
9   1 not-a-virus:AdWare.Win32.BHO.ca  
10   New Trojan-Downloader.Win32.Small.aacq  
11   0 not-a-virus:AdWare.Win32.Agent.cp  
12   New Trojan.Win32.Obfuscated.gen  
13   1 not-a-virus:AdWare.Win32.BHO.sc  
14   1 not-a-virus:AdWare.Win32.BHO.vp  
15   3 Trojan.Win32.Chifrax.a  
16   -3 Trojan-Dropper.Win32.Agent.tbd  
17   2 Trojan.RAR.Qfavorites.a  
18   New Email-Worm.Win32.Brontok.q  
19   New Trojan-Downloader.JS.Agent.cme  
20   -12 Trojan-Downloader.JS.Agent.chk  

En septiembre de 2008, Kaspersky Security Network constata que el líder es otro programa nocivo. Trojan.Win32.DNSChanger.ech, que ocupaba el primer lugar, ha abandonado la lista para ser reemplazado por un programa nocivo completamente inesperado.

Nos referimos a Rootkit.Win32.Agent.cvx. Nuestros expertos lo detectaron el 28 de agosto y durante un mes se propagó de forma muy activa en los vastos espacios de Internet. Dos hechos son alarmantes: el primero es que según la tradición establecida, los rootkits son los adversarios que más dificultades causan a los programas antivirus. El segundo, que actualmente muy pocos antivirus son capaces de detectar este ejemplar.

Trojan-Downloader.WMA.Wimad.n ha vuelto a ocupar el segundo lugar. Es un programa nocivo muy peculiar: está conformado por ficheros multimedia que usan las vulnerabilidades de Windows Media Player para descargar otros programas troyanos al sistema.

En septiembre, una parte notable de los ataques fue realizada por medio de cargadores de scripts. Cuatro de los veinte programas de la lista eran de este tipo. Son precisamente estos tipos de ataques los que preceden a la mayoría de los ataques ‘drive-by-download’. El programa Wimad.n mencionado más arriba funciona conjuntamente con estos troyanos-descargadores.

Es curioso que prácticamente todos los programas publicitarios de la estadística anterior no sólo siguen presentes en ésta, sino que de hecho han conservado sus posiciones.

En la lista de septiembre hay pocos programas nuevos, 9 en total, mientras que en agosto fueron 16. Entre ellos, el lugar 18 lo ocupa un verdadero veterano del mundo de los virus, el gusano Brontok.q. Los lectores perspicaces que siguen con atención nuestras estadísticas, recuerdan bien que este gusano figuró permanentemente en nuestros anteriores informes, que se basaban en otras fuentes y métodos.

Todos los programas nocivos, publicitarios y potencialmente peligrosos presentes en la presente lista se pueden agrupar según la clase de amenaza que representan. Los programas troyanos siguen siendo los líderes, pero su cantidad se ha reducido del 80 al 70%.

En total, en septiembre hemos detectado 35103 nuevas denominaciones de programas nocivos, publicitarios y potencialmente peligrosos. De esta manera, este es el segundo mes consecutivo que observamos que la cantidad de amenazas en el mundo real ha crecido en 8000 ejemplares, que se suman a los 28940 registrados hasta agosto.

La segunda tabla del informe son los datos acerca de qué programas nocivos son los que con más frecuencia infectan los equipos de los usuarios. Aquí dominan los diferentes programas nocivos capaces de infectar ficheros.

Posición Cambios en la posición Programma nocivo
1   1 Virus.Win32.Xorer.du  
2   -1 Net-Worm.Win32.Nimda  
3   New Worm.Win32.Mabezat.b  
4   2 Virus.Win32.Alman.b  
5   New Virus.Win32.Sality.aa  
6   -3 Virus.Win32.Parite.b  
7   -3 Virus.Win32.Virut.n  
8   7 Virus.Win32.Small.l  
9   5 Virus.Win32.Virut.q  
10   -5 Virus.Win32.Parite.a  
11   -3 Email-Worm.Win32.Runouce.b  
12   Return Virus.Win32.Sality.s  
13   3 Virus.Win32.Hidrag.a  
14   Return Virus.Win32.Sality.z  
15   New Trojan.Win32.Obfuscated.gen  
16   -7 Worm.Win32.Fujack.k  
17   3 Virus.Win32.Tenga.a  
18   -7 Trojan-Downloader.WMA.GetCodec.d  
19   -9 Worm.VBS.Headtail.a  
20   New Virus.Win32.Sality.q  

Los cambios son mínimos: hay sólo 4 nuevos programas nocivos. Sin embargo, el líder es otro. Nimda, el programa que ocupó el primer lugar en agosto, bajó al segundo puesto, dejando el primer lugar a su competencia directa, el virus para ficheros Xorer.du.

Siguen aumentando los miembros de la familia Sality: en septiembre ya son cuatro, con Sality.aa en el quinto puesto.

El gusano Mabezat.b se convierte en un fuerte jugador a escala mundial. Detectado por primera vez en noviembre del año pasado, no mostró señales de gran actividad, por lo que suponemos que fue aumentando poco a poco el volumen de equipos y ficheros infectados. Y de pronto, salta al tercer lugar en septiembre.

A grandes rasgos, hay que mencionar que la situación con los virus y gusanos aparenta ser bastante estable y no está empeorando. En los últimos tres meses, según los datos de KSN, se ha logrado reducir la “populación” de una serie de programas nocivos que infectan ficheros: por ejemplo, los de las familias Allaple y Otwycal, que han desparecido de nuestra estadística.

Clasificación de los programas maliciosos, septiembre de 2008

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada