Informes sobre malware

Estadísticas de malware en julio 2010

Programas maliciosos detectados en equipos de usuarios

La siguiente lista de los Top 20 muestra malware, adware y programas potencialmente no deseados detectados y neutralizados por el escáner on-access en su primer intento de acceso:

Posición Cambios en la posición Programa malicioso Cantidad de equipos infectados
1   0 Net-Worm.Win32.Kido.ir   261718  
2   0 Virus.Win32.Sality.aa   174504  
3   0 Net-Worm.Win32.Kido.ih   158735  
4   0 Net-Worm.Win32.Kido.iq   119114  
5   0 Exploit.JS.Agent.bab   108936  
6   0 Trojan.JS.Agent.bhr   104420  
7   0 Worm.Win32.FlyStudio.cu   80196  
8   0 Virus.Win32.Virut.ce   59988  
9   -1 Trojan-Downloader.Win32.VB.eql   47798  
10   -1 Worm.Win32.Mabezat.b   40859  
11   1 Trojan-Dropper.Win32.Flystud.yo   31707  
12   new Worm.Win32.Autoit.xl   31215  
13   new P2P-Worm.Win32.Palevo.aomy   30775  
14   -3 P2P-Worm.Win32.Palevo.fuc   26027  
15   new Exploit.JS.CVE-2010-0806.aa   25928  
16   new P2P-Worm.Win32.Palevo.aoom   25300  
17   new Hoax.Win32.ArchSMS.ih   24578  
18   2 Trojan.Win32.AutoRun.ke   24185  
19   new Packed.Win32.Katusha.n   23030  
20   -5 Trojan-Downloader.Win32.Geral.cnh   22947  

La primera mitad de esta lista permaneció estable desde el anterior mes, con virus como Sality y Virut y el infame gusano Kido invariables en sus posiciones. Sin embargo, en la segunda mitad surgieron algunas sorpresas con seis nuevos registros. Vamos a referirnos a cada uno de ellos.

Worm.Win32.Autoit.xl, situado en la 12? posición, es un Autolt malicioso con una carga maliciosa variable: es capaz de desactivar el cortafuegos de Windows, modificar las políticas de restricción de algunas aplicaciones, o descargar e instalar otros programas maliciosos. Resulta interesante que Brasil sea el origen de casi el 25% todas las infecciones detectadas, mientras que alrededor de un 50% provino de Rusia y Ucrania.

P2P-Worm.Win32.Palevo.aomy, en la 13? posición, y P2P-Worm.Win32.Palevo.aoom, en la 16?, son dos nuevos representantes de la familia P2P-Worm Palevo, reconocida integrante del Top 20

Exploit.JS.CVE-2010-0806.aa, una nueva modificación para explotar la vulnerabilidad CVE-2010-0806 identificada en marzo, ha ingresado al Top 20, ocupando el 15? lugar. Los ciberdelincuentes recurren de forma activa a técnicas de ofuscación de scripts y antiemulación, lo que ha generado la aparición de nuevas variantes de este exploit. Dos nuevos integrantes de esta lista, Exploit.JS.Agent.bab (5?) y Trojan.JS.Agent.bhr (6?), también explotan la misma vulnerabilidad. Además, estos tres programas lograron ingresar a la segunda clasificación que se refiere al malware detectado en Internet.

Hoax.Win32.ArchSMS.ih, en la 7? posición, es otro nuevo integrante de nuestra clasificación. Se usa como parte de un fraude completamente nuevo. El programa se propaga principalmente disfrazado de un legítimo componente de freeware. Cuando se abre la aplicación, aparece una ventana con el aviso de que el programa está comprimido y que para obtener la contraseña para descomprimirlo, es necesario enviar entre uno y tres mensajes SMS. Cada mensaje tiene un costo de hasta 500 rublos (unos 16$), y a cambio el usuario recibe ya sea un programa malicioso, un vínculo a un sitio torrente, un mensaje de error, o un archivo comprimido vacío. La gran mayoría de equipos en los que se ha detectado este programa se encuentran en países de habla rusa; los más afectados fueron los usuarios de Rusia, seguidos por los de Ucrania, Kazajstán, Bielorrusia, Azerbaiyán y Moldavia.

El compresor malicioso Packed.Win32.Katusha.n, situado en la 19? posición, es un programa utilizado para proteger varios programas maliciosos contra soluciones antivirus. Esta detección también se extiende a falsas soluciones antivirus comprimidas con Katusha.

Programas maliciosos que circulan en Internet

La segunda clasificación Top 20 que se muestra a continuación muestra los datos generados por el componente contra los virus en la web, y refleja el escenario de las amenazas en línea. Esta tabla incluye malware y programas potencialmente no deseados detectados en páginas web o en equipos infectados desde páginas web.

Posición Cambios en la posición Programa malicioso Número de intentos únicos de descarga
1   1 Exploit.JS.Agent.bab   169086  
2   new Trojan-Downloader.JS.Pegel.bp   123446  
3   1 Exploit.Java.CVE-2010-0886.a   65794  
4   3 AdWare.Win32.FunWeb.q   58848  
5   new Trojan-Downloader.VBS.Agent.zs   58591  
6   -1 Trojan.JS.Agent.bhr   57978  
7   return Exploit.Java.Agent.f   53677  
8   new Trojan-Downloader.Java.Agent.fl   53468  
9   2 AdWare.Win32.FunWeb.ds   45362  
10   new Trojan.JS.Agent.bhl   45139  
11   3 AdWare.Win32.Shopper.l   37790  
12   new Exploit.HTML.CVE-2010-1885.a   36485  
13   new AdWare.Win32.Boran.z   28852  
14   new Exploit.Win32.IMG-TIF.b   28238  
15   new Exploit.JS.Pdfka.bys   28084  
16   new Trojan.JS.Agent.bmh   27706  
17   new Exploit.JS.CVE-2010-0806.aa   26896  
18   new Exploit.JS.Pdfka.cny   26231  
19   new AdWare.Win32.FunWeb.ci   26014  
20   new Trojan.JS.Redirector.cq   26001  

Como se puede ver, en el mes de julio aparecieron 12 nuevos registros en esta lista.

El famoso Pegel, que ha permanecido activo en los últimos tres meses, ocupó la 2? posición en julio con la modificación .bp del script descargador.

La mitad de los programas en esta lista son exploits, de los cuales ocho apuntan a conocidas vulnerabilidades.

Tal como sucedió el pasado mes, Exploit.JS.Agent.bab, que apunta a la vulnerabilidad CVE-2010-0806, lidera esta clasificación. Esta misma vulnerabilidad es el blanco de los recién ingresados Exploit.JS.CVE-2010-0806.aa (7?) y Trojan.JS.Agent.bhr (6?). Parecería entonces, que contra todas las expectativas, la vulnerabilidad CVE-2010-0806, en vez de decaer, muestra un resurgimiento.

La presencia de la plataforma Java se reafirmó en julio con el regreso a esta lista de Exploit.Java.Agent.f (8?) y el ingreso de Trojan-Downloader.Java.Agent.jl (8?). Estos dos programas apuntan a la vulnerabilidad CVE-2010-3867 y los descarga el script Trojan.JS.Agent.bmh que ocupa la 16? posición.

El recién ingresado Exploit.HTML.CVE-2010-1885.a (3?) es un script que explota la vulnerabilidad CVE-2010-1885. Hemos escrito algunos blogs sobre esta vulnerabilidad antes de su amplia expansión. El archivo que contiene este código malicioso es una página HTML que incluye un iframe con una dirección especialmente elaborada.

 новое окно
Fragmento de Exploit.HTML.CVE-2010-1885.a

Cuando se ejecuta este archivo, se descarga otro script (que Kaspersky Lab detecta como Trojan-Downloader.JS.Psyme.aoy). A su vez, este script descarga y ejecuta malware de la familia Trojan-GameThief.Win32.Magania que roba las contraseñas de los jugadores en línea. El script intermediario utiliza un interesante método para ocultar el vínculo malicioso: lo escribe de atrás para adelante (ver la captura de pantalla debajo):

 новое окно
Fragmento del script Trojan-Downloader.JS.Psyme.aoy usado por Exploit.HTML.CVE-2010-1885.a

En el mes de marzo hicimos referencia a Exploit.Win32.IMG-TIF.b que apunta a la vulnerabilidad CVE-2010-0188, pero solo ahora ha empezado a propagarse activamente. Resulta interesante observar que los autores de virus prácticamente no usaron esta vulnerabilidad en dos o tres meses después de que fuera oficialmente reconocida.

Exploit.JS.Pdfka.bys (15?) y Exploit.JS.Pdfka.cny (18?) son scripts que explotan varias vulnerabilidades en los productos de Adobe.

Cinco de los Top 20 son programas adware: tres variantes de AdWare.Win32.FunWeb (4?, 9? y 19?), AdWare.Win32.Shopper.l (11?), y AdWare.Win32.Boran.z (13?). Boran.z es un Nuevo registro que se detectó por primera vez en octubre de 2009. Se trata de un módulo BHO que viene junto a un driver diseñado para su protección.

Trojan.JS.Agent.bhl es otro programa que despliega avisos irritantes, y es también un nuevo miembro de la lista. Este script abre ventanas emergentes y usa varias tecnologías para burlar a los bloqueadores de estas ventanas. La siguiente captura de pantalla muestra los comentarios mostrados y el código que el módulo utiliza para burlar a Norton Internet Security.

 новое окно

El resto de los programas de la lista están diseñados para propagar otros programas maliciosos.

Conclusión

Las cifras del mes de julio una vez más reflejan la tendencia a explotar vulnerabilidades con el fin de propagar malware. Los programas que explotan las vulnerabilidades han logrado colocarse en la lista de programas detectados en los equipos de los usuarios.

El script descargador Pegel y las vulnerabilidades que explota (CVE-2010-0806, CVE-2010-3867 etc.) siguen muy expandidos a pesar de los esfuerzos de la industria antivirus, y de Adobe y Microsoft que oportunamente publicaron los respectivos parches. Gran parte de los programas que explotaban las recientemente publicadas vulnerabilidades CVE-2010-0188 y CVE-2010-1885 fueron detectados en julio. También vale la pena mencionar la rápida propagación de Stuxnet, un rootkit driver que utiliza signaturas digitales genuinas. El gusano sigue aprovechando la vulnerabilidad en los archivos LNK (acceso directo de Microsoft Windows) que aún no se ha solucionado. La vulnerabilidad permite la ejecución de un dll aleatorio sin que intervenga el usuario si se muestra el icono del acceso directo del programa.

La buena noticia es que Gumblar ha dejado de propagarse. La pregunta es: ¿Por cuánto tiempo?

Estadísticas de malware en julio 2010

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada