Informes sobre malware

Desarrollo de las amenazas informáticas en el segundo trimestre de 2010

El trimestre en cifras

  • En total se han neutralizado 540 millones de intentos de infectar los ordenadores de los usuarios en diferentes países.
  • La mayor parte de los ataques afectaron a los usuarios de China (17,09%), Rusia (11,36%), India (9,30%), EEUU (5,96%) y Vietnam (5,44%).
  • El 27% de los programas nocivos detectados eran scripts maliciosos incrustados por los delincuentes en diversos sitios web.
  • Se rechazaron 157.626.761 ataques realizados desde recursos de Internet ubicados en diferentes países.
  • Se han detectado 8.540.223 exploits. El segmento de los exploits creció en un 0,7%.
  • Siguen liderando los exploits que usan las vulnerabilidades de Adobe Reader, pero el segmento que ocupan ha decrecido en un 17% en comparación con el primer trimestre.
  • En los ordenadores de los usuarios se detectaron 33.765.504 vulnerabilidades abiertas.
  • En los ordenadores de los usuarios se bloquearon y neutralizaron 203.997.565 programas maliciosos.

Panorama general de la situación

Botnets

De una u otra manera, la mayor parte de los acontecimientos más importantes del segundo trimestre de 2010 estuvo relacionada con las botnets. También se ha seguido creando nuevos bots y desarrollando los ya existentes, por ejemplo, TDSS (ver el artículo escrito por nuestros analistas de virus) y Zbot (ZeuS), sobre el cuál escribiremos a continuación.

ZeuS

Es interesante la evolución del troyano ZeuS (Zbot), sobre cuya base se organizan las botnets. A finales de abril se detectó una nueva modificación de este programa malicioso, que incluía funcionalidades de virus de fichero y podía infectar ficheros ejecutables. El código y el método de inoculación elegidos no eran muy complejos. En el fichero exe no se incluía el troyano, sino un pequeño código de 512 bytes. Después se modificaba el punto de entrada del fichero infectado: primero se ejecutaba el código ajeno y sólo después el original.

El código incrustado servía para descargar nuevas versiones del troyano en el ordenador infectado, en caso de que se borrase el componente principal de ZeuS. Los creadores del virus usaron los ordenadores de los usuarios de EEUU como plataforma de pruebas de la nueva versión del troyano. Reiteramos que la principal presa de ZeuS son las cuentas bancarias. En EEUU el sistema de banca online está más desarrollado y los ordenadores de los usuarios estadounidenses son codiciados por los delincuentes. Kaspersky Lab detecta como Trojan-Spy.Win32.Zbot.gen la versión de ZeuS que descargaba el fragmento incrustado de código y que fue creada para robar las cuentas de los clientes del importante banco Bank of América.

Otra novedad interesante es que ZeuS se propaga mediante ficheros pdf. Un investigador independiente descubrió que los ficheros ejecutables incrustados en documentos pdf se pueden ejecutar sin necesidad de recurrir al uso de vulnerabilidades. El lanzamiento del fichero se realiza mediante la función “Launch” descrita en la especificación del formato pdf. La información correspondiente se publicó el 29 de marzo y al cabo de unos días los usuarios empezaron a recibir mensajes con un documento pdf adjunto que usaba el método descrito para lanzar ficheros que infectaban el sistema con el troyano ZeuS. Bastaba que el usuario curioso abriese el documento adjunto para que su ordenador pasase a formar parte del ejército de bots.

TwitterNET Builder

En los anteriores informes trimestrales hemos escrito sobre los primeros intentos que hicieron los delincuentes de administrar las botnets usando redes sociales. Pero entonces eran sólo pruebas de concepto y decidimos esperar para ver cómo se desarrollaban los acontecimientos. La espera fue corta. En mayo, en las vastas extensiones de la red mundial, apareció un utilitario para crear bots, TwitterNET Builder. Este programa construye una botnet que usa una cuenta en Twitter como centro de administración.

Para trabar con el programa no se necesita saber programación. Se trata de un juguete ideal para los novatos: un par de clics y el bot está listo. Kaspersky Lab detecta este “juguete” como Backdoor.Win32.Twitbot. En el arsenal del bot creado se encuentran las siguientes funciones: descarga y ejecución de ficheros, ataques DDoS y visitas a los sitios web predeterminados por los delincuentes. Para recibir instrucciones, el bot busca en Twitter determinada cuenta en la que, en forma de texto, se publican las órdenes del dueño.

Nos alegra el hecho de que este bot no haya conseguido hacerse muy popular. La razón es que hay muchos investigadores que están tras las pistas de este tipo de trucos. Las botnets con una gestión tan primitiva, donde ni siquiera se cifran las instrucciones y se las envía abiertamente mediante una red social, son bastante fáciles de detectar y es sencillo desconectarlas del centro de administración con sólo cerrar la cuenta del delincuente. Ya a mediados de junio no quedaban centros de administración en Twitter, lo que habla muy bien de la velocidad de reacción de los servicios de seguridad de esta red.

Los ataques en las redes sociales

Para los usuarios, las redes sociales se han convertido en un medio efectivo de intercambio de información. A su vez, entre los delincuentes se está haciendo cada vez más popular el uso de las redes sociales para hacer estafas, enviar spam y propagar programas maliciosos. En este artículo contaremos sobre los incidentes más notables que ocurrieron en las redes sociales en el segundo trimestre.

Propagación de programas nocivos

En el presente vemos que en las redes sociales se propagan activamente enlaces a programas maliciosos mediante spam. Con el tiempo, las redes sociales podrán reemplazar al correo electrónico en la innoble tarea de propagar programas maliciosos.

Por ejemplo, hasta hace poco en Brasil los troyanos bancarios se propagaban sobre todo por medio del correo electrónico. Al parecer, los delincuentes brasileños se dieron cuenta de que las redes sociales son mucho más efectivas para conseguir este objetivo: desde principios de trimestre, en las redes sociales se han empezado a hacer envíos masivos de spam con programas maliciosos destinados a los clientes de los bancos de este país.

Las cifras confirman la efectividad de los envíos masivos en las redes sociales. En el transcurso de un ataque llevado a cabo en la red Twitter, en tan sólo una hora 2.000 usuarios siguieron el enlace enviado.

También fue en Twitter que ocurrió una historia relacionada con iPhone. El 19 de mayo la administración de Twiterr hizo una declaración oficial sobre la aparición de una nueva aplicación, “TTwitter para iPhone”. Los delincuentes decidieron aprovechar la ola de comentarios provocada por el anuncio. Antes de que pasara una hora desde la publicación de la noticia, Twitter se inundó de mensajes en los cuales se repetía la combinación “twitter iPhone application” y los enlaces llevaban al programa Worm.Win32.VBNA.b.

Este ejemplar de programa malicioso es interesante desde varios puntos de vista. En primer lugar, el gusano tiene un buen sistema de autodefensa: usando trucos antiemulación, deja fuera de servicio algunos programas auxiliares de Windows y se propaga por medio de dispositivos USB. En segundo lugar, su principal función es el robo de la información necesaria para ejecutar operaciones financieras. No fue casualidad que se haya elegido la noticia para difundir el gusano. La mayoría de los propietarios de smartphones son personas solventes y los delincuentes sueñan con apoderarse de sus cuentas bancarias y tarjetas de crédito. Tomando en cuenta lo dicho, no nos sorprende que cerca de la tercera parte de los ataques de VBNA.b (27-33%) haya afectado a los ordenadores de los usuarios estadounidenses, que son los que más interés representan para los delincuentes cibernéticos.

Hay que estar atentos, porque hoy en día los delincuentes aprovechan cualquier noticia de actualidad y si uno tiene algo que perder, es mejor que reflexione antes de pulsar cualquiera de los enlaces propagados en la red.

Likejacking

El aumentar la cantidad de “clics” en los contadores siempre fue una fuente estable de entradas para los delincuentes. Con la aparición de las redes sociales, este negocio se hizo aún más lucrativo, ya que la cantidad de usuarios de las grandes redes sociales puede compararse con la de los países más grandes del mundo.

En mayo, apareció en Facebook un nuevo tipo de ataque, relacionado con la introducción de la función “like”. Como es fácil suponer, esta función controla la lista de aquellas cosas que le gustaron al dueño de la cuenta. Miles de usuarios se convirtieron en víctimas del ataque que recibiría el nombre de likejacking, por analogía con clickjacking.

En Facebook se colocaba un atractivo enlace, por ejemplo “mundial 2010 en alta resolución” o “las 101 mujeres más atractivas del mundo”. El enlace conducía a una página ad-hoc, en la cual un escenario escrito en Javascript ponía un botón “like” (me gusta) invisible justo debajo del cursor. El botón se desplazaba junto con el cursor de tal manera que dondequiera que el usuario pulsara, inevitablemente apretaba en este botón y, como consecuencia, agregaba en su “muro” una copia del enlace. El resultado es que en las “últimas noticias” de sus amigos aparecerá que este enlace le gusta (he or she likes). Más adelante, el ataque creció como una bola de nieve: primero los amigos seguían el enlace, después los amigos de los amigos, etc.

Pero… ¿para qué se hacía todo esto? Por supuesto, para ganar dinero. Después de agregar el enlace a su “muro”, el usuario recibía lo prometido: llegaba a una página con una imitación de reproductor de vídeo que supuestamente transmitía los partidos del mundial de fútbol, o con fotografías de muchachas. En la misma página había un pequeño escenario JavaScript de una campaña comercial que evadía los bloqueadores de ventanas publicitarias. Gracias a este escenario, el estafador recibía una pequeña suma de dinero por cada visita de los usuarios a la página. Si consideramos que fueron miles las víctimas del ataque, queda claro que la suma recibida por los delincuentes no fue tan pequeña.

Por suerte, hasta el momento no hemos registrado casos de envíos de programas maliciosos con este método.

Revelación de información sobre vulnerabilidades

En el segundo trimestre tuvieron lugar dos sucesos inesperados relacionados con las vulnerabilidades y la compañía Google. En ambos casos un empleado de Google reveló la información completa sobre las vulnerabilidades. Como era de esperarse, esto condujo a que los “malos muchachos” hicieran uso masivo de estas vulnerabilidades, ya que en el momento de la publicación de la información no existía ningún parche que cerrara las brechas.

El 9 de abril se descubrió una vulnerabilidad de día cero en Java Web Start (CVE-2010-0886). Oracle empezó de inmediato a elaborar un parche, que publicó el 16 de abril. Pero los delincuentes fueron más rápidos: en un par de días ya estaban usando al máximo un exploit y lo habían incluido en un paquete de exploits (exploitpack). El negocio criminal de utilización de exploits empezó a producirlos en serie: los delincuentes registraron el dominio desde el cual, a partir de entonces, se harían los ataques un día antes de la publicación de la información sobre la vulnerabilidad correspondiente.

En el segundo caso, el mismo empleado de Google reveló una vulnerabilidad en Windows Help and Support Center (CVE-2010-1885). La situación se repitió, y muy pronto aparecieron nuevos exploits en Internet.

Lo más probable es que la fuerza que motiva a que el investigador revele la información sobre las vulnerabilidades sea el sentido de justicia. Él cree que poniendo esta información a disposición del público, está realizando una buena acción. Pero en realidad ¿lo está haciendo?

Por una parte, la revelación de la vulnerabilidad conduce a que los fabricantes de software se apresuren a publicar los parches correspondientes. Pero por otra parte, también pone en las manos de los delincuentes cibernéticos armas que tienen una efectividad de casi el 100%. Y al mismo tiempo, corregir un error en los modernos sistemas que contienen millones de renglones de código es una tarea que toma más de un día, mientras que los delincuentes pueden aprovechar las vulnerabilidades casi enseguida. ¿No es este un precio demasiado alto por la rápida corrección de los errores?

Las cifras dicen que esta forma de mejorar el mundo lleva a resultados completamente opuestos. Según los datos de nuestras estadísticas, los exploits que usan la vulnerabilidad CVE-2010-0886 se han hecho masivos muy rápido. En el pico de su popularidad, llegaron a ser el 17% de todos los exploits. La situación con el exploit de la vulnerabilidad CVE-2010-1885 en HSC es similar. Su popularidad está creciendo a pasos acelerados y en la estadística trimestral de exploits ya está en el puesto 13, a pesar de haber aparecido en el último mes del trimestre. Sólo nos queda esperar que los investigadores hayan aprendido la lección.

Las plataformas alternativas

El último día de mayo, apareció en Internet la noticia de que la compañía Google dejaba de lado a Windows para pasar a usar Linux y Mac OS. Según los representantes de Google, entre las causas de esta decisión estaban los problemas de seguridad. No obstante, los hechos dicen que Linux y Mac OS no están mejor protegidos que Windows ni mucho menos.

Este trimestre los programas maliciosos para plataformas alternativas han conquistado nuevas fronteras. El 20 de abril apareció un nuevo backdoor de la familia Reshe para Mac OS X, denominado Backdoor.OSX.Reshe.a. Al irrumpir en el sistema, el programa malicioso toma precauciones para protegerse, enmascarándose para hacerse pasar por la popular aplicación iPhoto y se pone en la lista de ejecución automática durante el inicio del sistema. Este backdoor permite al delincuente obtener un control irrestricto sobre el sistema infectado: enviar spam, buscar y robar ficheros, descargar y ejecutar programas, hacer capturas de pantalla y muchas cosas más. El backdoor está escrito en el idioma RealBasic y funciona en los ordenadores Apple con procesadores PowerPC o Intel. Por el momento no se ha notado el uso masivo de este programa malicioso, pero no hay que olvidar que esta arma ya está en las manos de los delincuentes.

El 3 de junio, varios días después de que Google anunciase su transición a los sistemas operativos alternativos, nuestros especialistas detectaron un nuevo troyano-espía para Mac OS X. Este programa malicioso se disfrazaba de “sistema publicitario” y se difundía junto con productos software legítimos. Además de robar información del ordenador, el programa malicioso también tiene funcionalidades de backdoor, que permiten a los delincuentes enviar instrucciones al ordenador.

Muchos usuarios de Mac OS tienen la falsa sensación de estar protegidos. Están seguros de que no existen amenazas informáticas que funcionen en su sistema operativo. Pero la misma Apple reconoce que existen códigos maliciosos para Mac. En la última actualización de OS X 10.6.4, sin hacer aspavientos, Apple incluyó en su escáner antivirus una nueva firma para proteger contra el programa Backdoor.OSX.Reshe.a, mencionado más arriba. Sin embargo, estas actualizaciones no anunciadas por el productor sólo hacen que el usuario conserve su sensación de falsa seguridad, en vez de hacerla desaparecer.

Queremos hacer hincapié en que no existen sistemas operativos completamente seguros. En este momento, Mac OS X no es un sistema más seguro que, por ejemplo, Windows 7. Desde el punto de vista técnico, para que su funcionamiento sea seguro, Mac OS X también necesita protección contra los programas maliciosos. Si se toman en cuenta los incidentes citados más arriba, es muy posible que pronto surjan ataques dirigidos a los usuarios de los ordenadores Mac.

Países cuyos usuarios sufren ataques con mayor frecuencia

Durante los últimos tres meses se han neutralizado más de 540 millones de ataques en 228 países. En este trimestre, hasta la pequeña isla australiana Norfolk, poblada por 2.141 habitantes está presente en la pantalla de nuestro radar antivirus. Cada mes la cantidad de intentos de infección en todo el mundo aumenta en un promedio del 4,5%.

La probabilidad de que un ordenador se infecte depende de su ubicación. La siguiente tabla ilustra este hecho, mostrando en qué países los ordenadores de los usuarios sufrieron ataques con más frecuencia.

Distribución de los ataques según países en el primer y segundo trimestre de 2010

Segundo trimestre de 2010 Primer trimestre de 2010
1 China 17,09% 1 China 18,05%
2 Rusia 11,36% 2 Rusia 13,18%
3 India 9,30% 3 India 8,52%
4 Estados Unidos 5,96% 4 Estados Unidos 5,25%
5 Vietnam 5,44% 5 Vietnam 3,73%
6 Alemania 2,65% 6 Alemania 3,01%
7 Malasia 2,37% 7 Malasia 2,69%
8 Arabia Saudita 2,19% 8 Francia 2,38%
9 Francia 2,14% 9 Ucrania 2,34%
10 Ucrania 2,11% 10 España 2,30%
11 Italia 2,06% 11 Italia 2,24%
12 España 2,00% 12 México 2,09%
13 México 1,96% 13 Arabia Saudita 1,99%
14 Turquía 1,96% 14 Turquía 1,92%
15 Brasil 1,77% 15 Reino Unido 1,60%
16 Reino Unido 1,51% 16 Brasil 1,57%
17 Tailandia 1,37% 17 Egipto 1,48%
18 Egipto 1,36% 18 Tailandia 1,30%
19 Bangladesh 1,25% 19 Filipinas 1,11%
20 Indonesia 1,17% 20 Indonesia 1,08%
  Otros 22,59%   Otros 22,16%

En el TOP 20 casi todos los países son los mismos, excepto Filipinas, que desplazó del puesto 19 a Bangladesh. Los cinco primeros puestos siguen perteneciendo a los mismos países: China (17,09% de todos los ataques), Rusia (11,36%), India (9,30%), EEUU (5,96%) y Vietnam (5,44%).

En la distribución proporcional, los cambios más notables han ocurrido con Rusia (-1,82%) y Vietnam (+1,71%).

Hace bastante tiempo que no vemos a Australia en el TOP 20 (puesto 31, 0,5%), país en que se están tomando medidas activas en la lucha contra los delitos informáticos. Así, en el último informe del comité de comunicaciones de la Cámara de Representantes de Australia se recomienda a los proveedores de Internet (ISP) no prestar acceso a Internet a los ordenadores que no posean un antivirus y un cortafuegos, y esta recomendación puede convertirse en obligatoria para todos los usuarios australianos.

Esta medida puede parecer bastante fuerte, pero demos un vistazo a nuestra estadística. En el primer renglón está China, donde según los datos de una encuesta realizada por CNNIC, cerca del 4,4% de los usuarios (¡unos 17 millones!) se conectan a Internet sin ningún tipo de protección. Es como salir de casa y dejar todas las puertas y ventanas abiertas. Es de notar que los mismos usuarios no se apresuran a aprender de sus errores, pues según los datos de la misma encuesta, 1/6 de los encuestados confesó que habían sido víctimas de los delincuentes cibernéticos y perdieron propiedades virtuales, las cuales hoy en día son muy fáciles de convertir en dinero contante y sonante.

Programas nocivos en Internet

En el segundo trimestre de 2010 nuestra compañía ha detectado 157.626.761 intentos de infectar ordenadores a través de Internet. Veamos qué categorías de programas maliciosos dominaron en Internet.

 
TOP 5 de las categorías de programas maliciosos en Internet

En el TOP 5 hay diferentes troyanos, exploits y programas publicitarios, con la particularidad de que casi la mitad (48%) de todas las detecciones en Internet correspondió a programas de la categoría Trojan (troyanos). El 57% de ellos eran scripts maliciosos incrustados por los delincuentes en diversos sitios web. Entre estos sitios había también sitios legítimos, que contaban con miles, y en ciertos casos, con millones de visitantes. Estos scripts se detectan como Trojan.Script.Iframer y Trojan.Script.Generic. Se caracterizan porque usan un enlace, invisible en el navegador, para desviar a los usuarios y hacerlos visitar la página de los delincuentes. Por lo general, los enlaces llevan a páginas con exploits (y en los esquemas más tradicionales, a conjuntos de exploits), que permiten a los delincuentes dar el primer paso en la tarea de evadir la defensa del ordenador y conseguir el objetivo final de descargar y ejecutar cualquier fichero. Más adelante escribiremos con más detalle sobre los exploits.

Un 7,15% de todas las detecciones correspondió al software publicitario (AdWare). En el trimestre anterior, un 70% de los programas publicitarios detectados pertenecían a las familias Zwangi y Boran. En este trimestre las familias Shopper (26,06%) y FunWeb (22,81%) les han arrebatado la supremacía, ya que ambas sumaron un 49% de las detecciones de AdWare.

Más de la tercera parte de las detecciones de Shopper, FunWeb y Zwangi ocurrió entre los usuarios de EEUU e Inglaterra. Al mismo tiempo, el 93% de las detecciones de Boran, cuya participación se redujo en un 8%, fueron detectadas en los ordenadores de China.

El crecimiento del porcentaje de Shopper, que es un plugin que sugiere los mejores precios de mercadería en Internet, está condicionado por su nuevo esquema de propagación mediante los paquetes de instalación de programas gratuitos con licencia GPL. Al instalar uno de estos programas, obtenido de alguna fuente extraoficial, en el ordenador del usuario se instala también el programa Adware.Win32.Shopper.

Geografía de las amenazas

En el segundo trimestre de 2010 nuestra compañía ha detectado 157.626.761 ataques lanzados desde recursos de Internet ubicados en diferentes países. Más del 95% de los ataques detectados por nuestra compañía se realizaron desde 20 países.

TOP-20 de los países que hospedan programas nocivos

Segundo trimestre de 2010 Primer trimestre de 2010
1 Estados Unidos 28,99% 1 Estados Unidos 27,57%
2 Rusia 16,06% 2 Rusia 22,59%
3 China 13,64% 3 China 12,84%
4 Alemania 5,89% 4 Países Bajos 8,28%
5 Países Bajos 5,49% 5 España 6,83%
6 España 5,28% 6 Alemania 6,78%
7 Reino Unido 4,62% 7 Reino Unido 3,29%
8 Suecia 4,34% 8 Filipinas 1,60%
9 Ucrania 2,76% 9 Ucrania 1,35%
10 Letonia 2,02% 10 Canadá 1,29%
11 Canadá 1,63% 11 Suecia 0,95%
12 Francia 1,49% 12 Francia 0,80%
13 Turquía 0,63% 13 Turquía 0,72%
14 Moldavia 0,55% 14 Australia 0,48%
15 República Checa 0,40% 15 Moldavia 0,42%
16 Hong Kong 0,40% 16 Letonia 0,31%
17 Tailandia 0,38% 17 República Checa 0,31%
18 Filipinas 0,37% 18 Luxemburgo 0,26%
19 Malasia 0,37% 19 Malasia 0,26%
20 Vietnam 0,36% 20 Vietnam 0,25%
  Otros 4,33%   Otros 2,80%

Al igual que el trimestre pasado, los tres primeros lugares de la estadística están ocupados por EEUU (28,99%), Rusia (16,06%) y China (13,64%). Este último país no ha podido recuperar el liderazgo que perdió el trimestre anterior.

Los sitios infectados en el territorio de la Federación de Rusia se han reducido en un 6,5%. Al mismo tiempo, ha aumentado la cantidad de ataques desde los recursos web ubicados en Holanda y Suecia, con un incremento del 2,8% y 3,4% respectivamente.

Exploits

En Internet, la mayoría de los ataques empieza con el uso de exploits, que permiten a los delincuentes obtener acceso –sin que nadie se dé cuenta– al sistema para descargar en el ordenador del usuario el programa malicioso que necesita. No en vano en el mercado negro los precios de los conjuntos de exploits pueden llegar a varios miles de dólares.

En el segundo trimestre se detectaron 8.540.223 exploits.

Entre los delincuentes los exploits más populares fueron:

 новое окно
TOP10 de familias de exploits detectadas en Internet

Al igual que antes, siguen liderando los exploits que usan las vulnerabilidades de Adobe Reader. Pero lo primero que salta a la vista es la considerable reducción de la presencia de estos programas maliciosos en comparación con el primer trimestre de 2010 (-17,11%).

La causa de la disminución de la cantidad de exploits para Adobe Reader es el crecimiento de la popularidad de la familia Exploit.JS.CVE-2010-0806 y Exploit.JS.Agent.bab, que usan las vulnerabilidades que MS Internet Explorer versiones 6 y 7 tiene en el componente “Peer Object” de la biblioteca iepeers.dll (CVE-2010-0806). En nuestro anterior informe relatamos la enojosa historia de la rápida propagación de estos exploits. Después de llegar a formar parte de metasploit framework, sin sufrir modificaciones se las agregó a muchos conjuntos de exploits que se pusieron a la venta, lo que condujo a que su uso se convierta en masivo. Durante el trimestre, nuestros productos neutralizaron un promedio de 31.000 ataques diarios que explotaban la vulnerabilidad CVE-2010-0806 mediante los exploits Exploit.JS.Agent.bab y Exploit.JS.CVE-2010-0806.

Estos exploits se utilizaban en esquemas criminales de diversa naturaleza, pero se puede afirmar que el principal objetivo de los delincuentes eran las cuentas en los juegos en línea. Según los resultados de nuestras investigaciones, los descargadores que se instalan después del uso de Exploit.JS.CVE-2010-0806, en la mayor parte de los casos tratan de descargar en el ordenador del usuario Trojan-GameThief.Win32.Magania y Trojan-GameThief.Win32.WOW. El interés de los malhechores por las cuentas de los jugadores también lo confirma la distribución geográfica de los ataques que usan estos exploits: entre los primeros cinco países en la lista, que experimentaron el 96,5% de todos los ataques, están China, Taiwan, Corea, EEUU y Vietnam, donde por tradición existe una gran cantidad de aficionados a los juegos MMORPG.

Otro cambio importante es el aumento de la presencia de exploits para Java, que aprovechan la vulnerabilidad CVE-2010-0886 y CVE-2009-3867. Es sobre todo gracias a ellos que la cantidad de programas maliciosos para Java en este trimestre haya crecido en un 2%. El principal vector de ataque de estos exploits son los países europeos: Alemania, Inglaterra, Rusia, Italia, Ucrania y España, como también los países norteamericanos, EEUU y Canadá. En los ordenadores de los usuarios se carga Backdoor.Win32.Bredolab, cuya principal tarea es descargar y ejecutar otros programas maliciosos. Es larguísima la lista de estos programas, desde los bots-spam hasta los programas para el robo de contraseñas de FTP y los antivirus falsos.

Los exploits usados en un ataque denominado Aurora están perdiendo con mucha rapidez su popularidad entre los delincuentes: su cantidad se ha reducido en un 7,08%. La ola de informes sobre el ataque que usa la vulnerabilidad CVE-2010-0249 que vimos en todos los medios de comunicación no pasó inadvertida. Los usuarios empezaron a actualizar la versión de Internet Explorer 6.0, cuya vulnerabilidad se había aprovechado para irrumpir en el sistema. Según los datos de “Net Applications”, la cantidad de usuarios de MS Internet Explorer 6.0 bajó en un 3% desde enero.

La reducción de la cantidad de usuarios de MS Internet Explorer 6.0 se ve también en la disminución de los exploits de la familia Explorer, que usan una vieja vulnerabilidad de esta versión del navegador.

Los exploits que usan la vulnerabilidad CVE-2010-1885 en Windows Help and Support Center, sobre cuya publicación hemos escrito más arriba, están conquistando nuevas posiciones con gran celeridad. Según los resultados del segundo trimestre, ocupan el puesto 13, a pesar de que la vulnerabilidad se hizo pública sólo el 9 de junio. Merece la pena destacar que Microsoft publicó el parche correspondiente sólo un mes después, el 13 de julio, lo que permitió a los delincuentes utilizar esta vulnerabilidad durante bastante tiempo. Los ataques con estos exploits se lanzan sobre todo contra los usuarios rusos, alemanes, españoles y estadounidenses. Estos exploits se usan sobre todo en los esquemas pay-per-install (de las citadas “partnerkas”), donde los delincuentes pagan por propagar programas maliciosos una suma que depende de la cantidad y ubicación de los ordenadores infectados.

Vulnerabilidades

En el segundo trimestre de 2010 hemos detectado en los ordenadores de los usuarios 33.765.504 aplicaciones y ficheros vulnerables. Cabe destacar que en uno de cada cuarto casos detectamos en el ordenador más de siete vulnerabilidades abiertas.

En la tabla siguiente aducimos las 10 vulnerabilidades más comunes:

TOP 10 de vulnerabilidades detectadas en los ordenadores de los usuarios.

Secunia ID,
identificador
único de la
vulnerabilidad
Cambios
en la
estadística
Nombre
y vínculo
a la descripción
de la vulnerabilidad
Posibilidades
que ofrece la
vulnerabilidad
a los delincuentes
Porcentaje
de usuario
en cuyos
equipos se
detectó la
vulnerabilidad
Fecha
de publicación
Nivel
de peligro
de la vulnerabilidad
1 SA 38805 7 Microsoft Office Excel Multiple Vulnerabilities Acceso al sistema y ejecución de cualquier código con privilegios de usuario local 39,45% 2009-
06-09
Alto
2 SA 37255 Nuevo Sun Java JDK / JRE Multiple Vulnerabilities evasión del sistema de seguridad 38,32% 2010-
02-12
Alto
3 SA 35377 -2 Microsoft Office Word Two Vulnerabilities Acceso al sistema y ejecución de cualquier código con privilegios de usuario local 35,91% 2010-
03-09
Alto
4 SA 38547 -1 Adobe Flash Player Domain Sandbox Bypass Vulnerability evasión del sistema de seguridad 30,46% 2009-
04-03
Muy alto
5 SA 31744 1 Microsoft Office OneNote URI Handling Vulnerability Acceso al sistema y ejecución de cualquier código con privilegios de usuario local 27,22% 2007-
01-09
Alto
6 SA 34572 -2 Microsoft PowerPoint OutlineTextRefAtom Parsing Vulnerability Acceso al sistema y ejecución de cualquier código con privilegios de usuario local 21,14% 2008-
09-09
Extremadamente crítico
7 SA 39272 Nuevo Adobe Reader / Acrobat Multiple Vulnerabilities Acceso al sistema y ejecución de cualquier código con privilegios de usuario local
Cross-site scripting
21,12% 2010-
04-04
Alto
8 SA 29320 2 Microsoft Outlook “mailto:” URI Handling Vulnerability Acceso al sistema y ejecución de cualquier código con privilegios de usuario local 19,54% 2008-
03-11
Alto
9 SA 39375 Nuevo Microsoft Office Publisher File Parsing Buffer Overflow Vulnerability Acceso al sistema y ejecución de cualquier código con privilegios de usuario local 16,08% 2010-
04-13
Alto
10 SA 37690 -1 Adobe Reader/Acrobat Multiple Vulnerabilities Acceso al sistema y ejecución de cualquier código con privilegios de usuario local
Cross-site scripting
15,57% 2009-
12-15
Extremadamente crítico

Seis de las vulnerabilidades del TOP 10 se encontraron en los productos de Microsoft, tres en los productos de Adobe y una en los de Sun. Pero esto no significa que los programas de estas compañías contienen gran cantidad de errores. Es más bien un indicio de la popularidad que gozan estos productos entre los usuarios.

En el TOP 10 hay dos novatos: las vulnerabilidades en MS Office Publisher (SA 39375) y en Adobe Reader (SA 39272). Ambas tienen un alto nivel de peligrosidad, ya que permiten a los delincuentes obtener acceso irrestricto al sistema y ejecutar cualquier programa. Las dos vulnerabilidades fueron detectadas a mediados de abril, con diferencia de un día.

Actualmente, el sistema de actualizaciones automáticas de Microsoft está activado de forma predeterminada en la mayoría de los ordenadores, mientras que la presentación del nuevo sistema de actualizaciones para Adobe Reader/Acrobat Reader tuvo lugar sólo el 13 de abril de 2010, junto con las actualizaciones trimestrales de costumbre. La actualización automática de los programas populares es un factor importante, que influye en la seguridad de la totalidad del sistema operativo. Los vendedores que agregan esta funcionalidad a sus productos hacen bien, porque les permite añadir nuevas funciones y cerrar las nuevas vulnerabilidades con más efectividad. Mientras más rápido los fabricantes publiquen e instalen automáticamente parches para sus productos en los ordenadores de los usuarios, menor será el riesgo de que éstos se infecten.

Amenazas a los ordenadores de los usuarios

Es tan interesante como importante la estadística de los programas maliciosos detectados y neutralizados en los ordenadores de los usuarios.

En el segundo trimestre, nuestro antivirus bloqueó 203.997.565 intentos de infectar los ordenadores de los usuarios que forman parte de la red de seguridad Kaspersky Security Network.

TOP10 de objetos detectables encontrados en los ordenadores de los usuarios en el segundo trimestre de 2010.

Nombre % Cambios en la estadística Modo de difusión
1 Trojan.Win32.Generic 12,02% 1 n/a
2 DangerousObject.Multi.Generic 10,46% -1 n/a
3 Net-Worm.Win32.Kido.ir 7,40% 0 Red, discos extraíbles
4 Virus.Win32.Sality.aa 4,62% 0 Infección de ficheros
5 Net-Worm.Win32.Kido.ih 3,82% 0 Red, discos extraíbles
6 Net-Worm.Win32.Kido.iq 3,51% 0 Red, discos extraíbles
7 Worm.Win32.FlyStudio.cu 2,78% 0 Discos locales y extraíbles
8 Trojan.JS.Agent.bhr 2,76% Nuevo  
9 HackTool.Win32.Kiser.il 2,14% Nuevo n/a
10 Exploit.Script.Generic 2,07% Nuevo Vulnerabilidades en los programas
11 Virus.Win32.Virut.ce 1,69% -3 Infección de ficheros
12 Trojan-Downloader.Win32.VB.eql 1,53% Nuevo n/a
13 Exploit.JS.Agent.bab 1,53% Nuevo Vulnerabilidades en los programas
14 Worm.Win32.Generic 1,19% -4 Red, discos extraíbles
15 Worm.Win32.Mabezat.b 1,16% -4 Red, discos extraíbles, correo, infección de ficheros
16 Trojan-Dropper.Win32.Flystud.yo 1,11% 1 Discos extraíbles, discos de red
17 Worm.Win32.Autoit.tc 1,02% -4 Discos extraíbles, discos de red
18 Trojan.Win32.Pakes.Krap.l 0,95% Nuevo n/a
19 Trojan.Script.Generic 0,84% 0 n/a
20 Trojan.Script.Iframer 0,82% Nuevo n/a

En esta estadística 5 de las posiciones corresponden a detecciones heurísticas (Generic). Esto se explica porque los métodos heurísticos están entre los más efectivos cuando se trata de amenazas complejas.

En el primer lugar se encuentran diferentes programas troyanos, detectados como Trojan.Win32.Generic (12%). Estos programas no cuentan con un sistema integrado de propagación, pero sí con diferentes funcionalidades destructivas: desde el robo de contraseñas hasta la concesión del acceso irrestricto al delincuente.

El segundo puesto de la estadística lo ocupan los programas maliciosos detectados como DangerousObject.Multi.Generic con la ayuda de la tecnología de detección inmediata UDS. La tecnología UDS garantiza, en tiempo real, la protección de los ordenadores que son parte de KSN.

En el TOP 10 vemos 3 diferentes modificaciones de Kido (puestos 3, 5 y 6), que no abandonan sus posiciones desde el trimestre anterior. Por desgracia, el sistema de propagación de Kido resultó muy efectivo y, a pesar de que no existen nuevas versiones de Kido y de que los escritores de virus no han hecho más esfuerzos por seguir propagándolo, el gusano sigue en la cima y no tiene intenciones de abandonarla. Tampoco tiene intenciones de rendirse el virus Sality.aa (puesto 4), que infecta los ficheros ejecutables. A diferencia de Kido, nuevas versiones de Sality aparecen con regularidad, aunque es la modificación aa, detectada a finales de 2008, la que está más difundida.

En el TOP 20 hay 2 programas escritos en “E” un lenguaje de programación bastante infrecuente. Se trata de los programas maliciosos Worm.Win32.FlyStudio.cu (puesto 7) y Trojan-Dropper.Win32.Flystud.yo (puesto 16), propagados mayormente en un solo país, pero que es el más poblado del mundo. Las detecciones de más de la mitad de estos programas maliciosos ocurrieron en los ordenadores de los usuarios chinos. Un novato más de la estadística también pertenece a la categoría de programas escritos en lenguajes de script. Trojan.Win32.Pakes.Krap.l (puesto 18) es el nombre de los programas maliciosos enmarañados escritos en el lenguaje de script AutoIT.

A diferencia del trimestre anterior, cuando no hubo ni un representante de los exploits en el TOP 20, esta vez hay dos. El primero es Exploit.Script.Generic (puesto 10) que es la detección de los exploits escritos en diferentes lenguajes de script. El segundo es Exploit.JS.Agent.bab (puesto 13), que explota una vulnerabilidad en MS Internet Explorer y permite al delincuente descargar y ejecutar programas en el ordenador del usuario. Nuestra estadística confirma que hoy en día los exploits son uno de los instrumentos más efectivos para infectar los ordenadores de los usuarios.

Desarrollo de las amenazas informáticas en el segundo trimestre de 2010

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada