Programas maliciosos detectados en equipos de usuarios
La siguiente lista de los Top 20 muestra malware, adware y programas potencialmente no deseados detectados y neutralizados por el escáner on-access en su primer intento de acceso:
Posición | Cambios en la posición | Programa malicioso | Cantidad de equipos infectados |
1 | 0 | Net-Worm.Win32.Kido.ir | 261718 |
2 | 0 | Virus.Win32.Sality.aa | 174504 |
3 | 0 | Net-Worm.Win32.Kido.ih | 158735 |
4 | 0 | Net-Worm.Win32.Kido.iq | 119114 |
5 | 0 | Exploit.JS.Agent.bab | 108936 |
6 | 0 | Trojan.JS.Agent.bhr | 104420 |
7 | 0 | Worm.Win32.FlyStudio.cu | 80196 |
8 | 0 | Virus.Win32.Virut.ce | 59988 |
9 | -1 | Trojan-Downloader.Win32.VB.eql | 47798 |
10 | -1 | Worm.Win32.Mabezat.b | 40859 |
11 | 1 | Trojan-Dropper.Win32.Flystud.yo | 31707 |
12 | new | Worm.Win32.Autoit.xl | 31215 |
13 | new | P2P-Worm.Win32.Palevo.aomy | 30775 |
14 | -3 | P2P-Worm.Win32.Palevo.fuc | 26027 |
15 | new | Exploit.JS.CVE-2010-0806.aa | 25928 |
16 | new | P2P-Worm.Win32.Palevo.aoom | 25300 |
17 | new | Hoax.Win32.ArchSMS.ih | 24578 |
18 | 2 | Trojan.Win32.AutoRun.ke | 24185 |
19 | new | Packed.Win32.Katusha.n | 23030 |
20 | -5 | Trojan-Downloader.Win32.Geral.cnh | 22947 |
La primera mitad de esta lista permaneció estable desde el anterior mes, con virus como Sality y Virut y el infame gusano Kido invariables en sus posiciones. Sin embargo, en la segunda mitad surgieron algunas sorpresas con seis nuevos registros. Vamos a referirnos a cada uno de ellos.
Worm.Win32.Autoit.xl, situado en la 12? posición, es un Autolt malicioso con una carga maliciosa variable: es capaz de desactivar el cortafuegos de Windows, modificar las políticas de restricción de algunas aplicaciones, o descargar e instalar otros programas maliciosos. Resulta interesante que Brasil sea el origen de casi el 25% todas las infecciones detectadas, mientras que alrededor de un 50% provino de Rusia y Ucrania.
P2P-Worm.Win32.Palevo.aomy, en la 13? posición, y P2P-Worm.Win32.Palevo.aoom, en la 16?, son dos nuevos representantes de la familia P2P-Worm Palevo, reconocida integrante del Top 20
Exploit.JS.CVE-2010-0806.aa, una nueva modificación para explotar la vulnerabilidad CVE-2010-0806 identificada en marzo, ha ingresado al Top 20, ocupando el 15? lugar. Los ciberdelincuentes recurren de forma activa a técnicas de ofuscación de scripts y antiemulación, lo que ha generado la aparición de nuevas variantes de este exploit. Dos nuevos integrantes de esta lista, Exploit.JS.Agent.bab (5?) y Trojan.JS.Agent.bhr (6?), también explotan la misma vulnerabilidad. Además, estos tres programas lograron ingresar a la segunda clasificación que se refiere al malware detectado en Internet.
Hoax.Win32.ArchSMS.ih, en la 7? posición, es otro nuevo integrante de nuestra clasificación. Se usa como parte de un fraude completamente nuevo. El programa se propaga principalmente disfrazado de un legítimo componente de freeware. Cuando se abre la aplicación, aparece una ventana con el aviso de que el programa está comprimido y que para obtener la contraseña para descomprimirlo, es necesario enviar entre uno y tres mensajes SMS. Cada mensaje tiene un costo de hasta 500 rublos (unos 16$), y a cambio el usuario recibe ya sea un programa malicioso, un vínculo a un sitio torrente, un mensaje de error, o un archivo comprimido vacío. La gran mayoría de equipos en los que se ha detectado este programa se encuentran en países de habla rusa; los más afectados fueron los usuarios de Rusia, seguidos por los de Ucrania, Kazajstán, Bielorrusia, Azerbaiyán y Moldavia.
El compresor malicioso Packed.Win32.Katusha.n, situado en la 19? posición, es un programa utilizado para proteger varios programas maliciosos contra soluciones antivirus. Esta detección también se extiende a falsas soluciones antivirus comprimidas con Katusha.
Programas maliciosos que circulan en Internet
La segunda clasificación Top 20 que se muestra a continuación muestra los datos generados por el componente contra los virus en la web, y refleja el escenario de las amenazas en línea. Esta tabla incluye malware y programas potencialmente no deseados detectados en páginas web o en equipos infectados desde páginas web.
Posición | Cambios en la posición | Programa malicioso | Número de intentos únicos de descarga |
1 | 1 | Exploit.JS.Agent.bab | 169086 |
2 | new | Trojan-Downloader.JS.Pegel.bp | 123446 |
3 | 1 | Exploit.Java.CVE-2010-0886.a | 65794 |
4 | 3 | AdWare.Win32.FunWeb.q | 58848 |
5 | new | Trojan-Downloader.VBS.Agent.zs | 58591 |
6 | -1 | Trojan.JS.Agent.bhr | 57978 |
7 | return | Exploit.Java.Agent.f | 53677 |
8 | new | Trojan-Downloader.Java.Agent.fl | 53468 |
9 | 2 | AdWare.Win32.FunWeb.ds | 45362 |
10 | new | Trojan.JS.Agent.bhl | 45139 |
11 | 3 | AdWare.Win32.Shopper.l | 37790 |
12 | new | Exploit.HTML.CVE-2010-1885.a | 36485 |
13 | new | AdWare.Win32.Boran.z | 28852 |
14 | new | Exploit.Win32.IMG-TIF.b | 28238 |
15 | new | Exploit.JS.Pdfka.bys | 28084 |
16 | new | Trojan.JS.Agent.bmh | 27706 |
17 | new | Exploit.JS.CVE-2010-0806.aa | 26896 |
18 | new | Exploit.JS.Pdfka.cny | 26231 |
19 | new | AdWare.Win32.FunWeb.ci | 26014 |
20 | new | Trojan.JS.Redirector.cq | 26001 |
Como se puede ver, en el mes de julio aparecieron 12 nuevos registros en esta lista.
El famoso Pegel, que ha permanecido activo en los últimos tres meses, ocupó la 2? posición en julio con la modificación .bp del script descargador.
La mitad de los programas en esta lista son exploits, de los cuales ocho apuntan a conocidas vulnerabilidades.
Tal como sucedió el pasado mes, Exploit.JS.Agent.bab, que apunta a la vulnerabilidad CVE-2010-0806, lidera esta clasificación. Esta misma vulnerabilidad es el blanco de los recién ingresados Exploit.JS.CVE-2010-0806.aa (7?) y Trojan.JS.Agent.bhr (6?). Parecería entonces, que contra todas las expectativas, la vulnerabilidad CVE-2010-0806, en vez de decaer, muestra un resurgimiento.
La presencia de la plataforma Java se reafirmó en julio con el regreso a esta lista de Exploit.Java.Agent.f (8?) y el ingreso de Trojan-Downloader.Java.Agent.jl (8?). Estos dos programas apuntan a la vulnerabilidad CVE-2010-3867 y los descarga el script Trojan.JS.Agent.bmh que ocupa la 16? posición.
El recién ingresado Exploit.HTML.CVE-2010-1885.a (3?) es un script que explota la vulnerabilidad CVE-2010-1885. Hemos escrito algunos blogs sobre esta vulnerabilidad antes de su amplia expansión. El archivo que contiene este código malicioso es una página HTML que incluye un iframe con una dirección especialmente elaborada.
Fragmento de Exploit.HTML.CVE-2010-1885.a
Cuando se ejecuta este archivo, se descarga otro script (que Kaspersky Lab detecta como Trojan-Downloader.JS.Psyme.aoy). A su vez, este script descarga y ejecuta malware de la familia Trojan-GameThief.Win32.Magania que roba las contraseñas de los jugadores en línea. El script intermediario utiliza un interesante método para ocultar el vínculo malicioso: lo escribe de atrás para adelante (ver la captura de pantalla debajo):
Fragmento del script Trojan-Downloader.JS.Psyme.aoy usado por Exploit.HTML.CVE-2010-1885.a
En el mes de marzo hicimos referencia a Exploit.Win32.IMG-TIF.b que apunta a la vulnerabilidad CVE-2010-0188, pero solo ahora ha empezado a propagarse activamente. Resulta interesante observar que los autores de virus prácticamente no usaron esta vulnerabilidad en dos o tres meses después de que fuera oficialmente reconocida.
Exploit.JS.Pdfka.bys (15?) y Exploit.JS.Pdfka.cny (18?) son scripts que explotan varias vulnerabilidades en los productos de Adobe.
Cinco de los Top 20 son programas adware: tres variantes de AdWare.Win32.FunWeb (4?, 9? y 19?), AdWare.Win32.Shopper.l (11?), y AdWare.Win32.Boran.z (13?). Boran.z es un Nuevo registro que se detectó por primera vez en octubre de 2009. Se trata de un módulo BHO que viene junto a un driver diseñado para su protección.
Trojan.JS.Agent.bhl es otro programa que despliega avisos irritantes, y es también un nuevo miembro de la lista. Este script abre ventanas emergentes y usa varias tecnologías para burlar a los bloqueadores de estas ventanas. La siguiente captura de pantalla muestra los comentarios mostrados y el código que el módulo utiliza para burlar a Norton Internet Security.
El resto de los programas de la lista están diseñados para propagar otros programas maliciosos.
Conclusión
Las cifras del mes de julio una vez más reflejan la tendencia a explotar vulnerabilidades con el fin de propagar malware. Los programas que explotan las vulnerabilidades han logrado colocarse en la lista de programas detectados en los equipos de los usuarios.
El script descargador Pegel y las vulnerabilidades que explota (CVE-2010-0806, CVE-2010-3867 etc.) siguen muy expandidos a pesar de los esfuerzos de la industria antivirus, y de Adobe y Microsoft que oportunamente publicaron los respectivos parches. Gran parte de los programas que explotaban las recientemente publicadas vulnerabilidades CVE-2010-0188 y CVE-2010-1885 fueron detectados en julio. También vale la pena mencionar la rápida propagación de Stuxnet, un rootkit driver que utiliza signaturas digitales genuinas. El gusano sigue aprovechando la vulnerabilidad en los archivos LNK (acceso directo de Microsoft Windows) que aún no se ha solucionado. La vulnerabilidad permite la ejecución de un dll aleatorio sin que intervenga el usuario si se muestra el icono del acceso directo del programa.
La buena noticia es que Gumblar ha dejado de propagarse. La pregunta es: ¿Por cuánto tiempo?
Estadísticas de malware en julio 2010