Este informe proporciona información estadística y comentarios sobre eventos significativos del año pasado. También examina el crecimiento continuo de los códigos maliciosos en el mercado e incluye un análisis de la situación actual.
Está dirigido a profesionales en seguridad que están interesados en programas maliciosos. También puede ser de utilidad para usuarios interesados en virus informáticos.
- TrojWare – programas troyanos
- VirWare – gusanos y virus
- MalWare – otros programas maliciosos
- Otras tendencias
- Conclusión
En 2005 hubo cambios significativos en el mundo de los códigos maliciosos. A fin de año los analistas de Kaspersky Lab habían detectado un promedio de 6,368 programas maliciosos por mes. Éste es un aumento del 117% en el 2005 en total, y excede las cifras del año pasado en un 24%. Este aumento resalta el crecimiento continuo en la demanda de códigos maliciosos.
Para clasificar los programas maliciosos, el sistema Kaspersky Lab los divide en tres clases:
- TrojWare:Programas troyanos que no pueden reproducirse por sí mismos (backdoor, rootkits y todo tipo de troyanos).
- VirWare: Programas maliciosos que pueden reproducirse por sí mismos (ej: virus y gusanos).
- MalWare:Programas que son utilizados activamente para crear programas maliciosos y organizar ataques.
El siguiente gráfico muestra la distribución de programas maliciosos interceptados por los analistas de Kaspersky Lab, según su clase:
1. Distribución de programas maliciosos según clase (fines de 2005)>
En la tabla siguiente se muestra los cambios en comparación con 2004
Clase | Cambio |
TrojWare | +8.76% |
VirWare | -6.53% |
MalWare | -2.23% |
Tabla 1. Cambios en la distribución (2005 vs. 2004) |
La tabla claramente muestra el creciente número de programas en la clase TrojWare. Ésta es una continuación de la tendencia establecida en 2004. El incremento en TrojWare se relaciona con una reducción del número de programas en las clases VirWare y MalWare, un proceso que también comenzó en 2004.
Las cifras son más fáciles de explicar en términos económicos: desarrollar troyanos es más sencillo y barato que escribir códigos maliciosos capaces de reproducirse de manera independiente. Además, los envíos masivos alcanzarán a usuarios aún no infectados más rápido que un gusano de correo electrónico que se propaga independientemente.
Veamos los cambios con mayor detalle.
TrojWare – Programas troyanos
El gráfico siguiente muestra el número de programas troyanos interceptados por los analistas de Kaspersky Lab cada mes:
2. Aumento de TrojWare.
El gráfico muestra que en 2004 comenzó un intenso aumento del número de programas troyanos interceptados cada mes, el cual continuó durante todo 2005. El índice de crecimiento ha seguido aumentando, y para fines del 2005, alcanzó el 124%. En otras palabras, durante 2005, el aumento del número de programas en la clase TrojWare fue de más del doble.
El gráfico siguiente muestra un detalle de la distribución de los programas troyanos según su comportamiento:
3. Distribución de TrojWare según su comportamiento (fines de 2005)
La tabla de abajo muestra cómo los programas que exhiben diferentes comportamientos dentro de la clase TrojWare han aumentado en comparación con 2004. La raya (-) significa que inclusive los nuevos programas que muestran estos comportamientos son raramente detectados, o que los cambios identificados no exceden los márgenes de los errores estadísticos.
Comportamiento | Cambio en número de programas maliciosos (2005 vs 2004) |
Backdoor | +95% |
Trojan | +90% |
Trojan-AOL | – |
Trojan-ArcBomb | – |
Trojan-Clicker | +86% |
Trojan-DDoS | – |
Trojan-Downloader | +272% |
Trojan-Dropper | +212% |
Trojan-IM | – |
Trojan-Notifier | – |
Trojan-Proxy | +68% |
Trojan-PSW | +122% |
Trojan-Spy | +104% |
Rootkit | +413% |
TrojWare | +124% |
Tabla 2. Cifras de crecimiento para comportamientos individuales dentro de la clase TrojWare de programas maliciosos (2005) |
Miremos de cerca los comportamientos individuales.
La gran mayoría de programas de la clase TrojWare han ido aumentando en número por más de un año.
Los programas Trojan_AOL, Trojan-ArcBomb, Trojan-DDos, Trojan-IM, and Trojan_Notifierson todos relativamente raros. El número de programas de este tipo ha permanecido estable, y los analistas de Kaspersky detectaron unas cuantas muestras cada mes durante 2005.
Backdoor, Trojan-Downloader, Trojan-Dropper, and Trojan-Proxyson los programas TrojWare que muestran aumentos más significativos en número. Los usuarios maliciosos utilizan todos estos programas a fin de crear sistemas bot. Estos sistemas están compuestos de un gran número de ordenadores infectados que se unen en una sola red. El usuario malicioso administra el sistema a distancia. Además, él es el propietario del sistema. Recientemente, estos sistemas han llegado a ser muy populares entre los criminales cibernéticos, lo que explica el aumento de los programas mencionados. Estos son programas que se utilizan para crear los sistemas bot y asegurar su actualización. Cada vez es más común que estos troyanos se distribuyan vía correo masivo.
También se detectó un incremento en el número de los programas Trojan-PSW and Trojan-Spyque refleja el crecimiento del mercado de software malicioso. Estos programas se usan para robar datos de ordenadores víctimas, sobre todo datos financieros. Está claro que los usuarios maliciosos no están escribiendo virus sólo para divertirse, sino que están creando y utilizando los programas troyanos con fines de lucro. Los analistas de Kaspersky Lab han detectado programas Trojan-Spy que pueden obtener información de varios bancos en línea y de sistemas de pago por correo electrónico. Estos datos pueden ser posteriormente vendidos.
LosTrojan-Clickersse utilizan sobre todo para aumentar la popularidad de los sitios web seleccionados por los usuarios maliciosos. El aumento en el número de programas que exhiben este comportamiento es menor que el crecimiento de toda la clase. Esto indica que los usuarios maliciosos están volcando su atención hacia programas maliciosos más ‘rentables’.
Sin duda, losTroyanos clásicosestán entre los representantes más antiguos de la clase TrojWare. Este término cubre todos los programas troyanos que por una u otra razón no fueron clasificados por no tener uno de los comportamientos antes mencionados. El aumento en el número de programas de esta clase es inferior al crecimiento total de la clase, pero aún así se mantiene un total alto.
Los rootkits son unas de las adiciones más recientes a esta clase, habiendo comenzado a extenderse hace 2 o 3 años. Durante este periodo, los rootkits han atraído significativamente la atención. Recientemente, Kaspersky Lab ha registrado un gran incremento del número de programas que muestran el comportamiento rootkit; que en 2005 alcanzó el 413%. Notemos que esta cifra, aunque parezca impresionante, se debe parcialmente a que el año pasado los rootkits aparecieron a un ritmo sostenido de 6 por mes. Sin embargo, en 2005 hubo un promedio de 28 nuevos rootkits por mes. Esto demuestra el gran interés que experimenta la comunidad informática clandestina por este tipo de programas. Aclaremos que los rootkits por sí mismos no tienen carga maliciosa, sino que son utilizados para enmascarar la actividad de otros programas maliciosos. Debido a que los rootkits están cada vez más difundidos, les daremos un vistazo más detallado luego en este artículo.
Es notable que la mayoría de los programas de la clase TrojWare hayan aumentado en número en comparación con 2004. TrojWare es la única clase que muestra un crecimiento tan acelerado durante el periodo analizado.
VirWare – gusanos y virus
El gráfico siguiente presenta datos del número de programas en la clase VirWare detectados por Kaspersky Lab:
4. Incremento en Vir Ware.
El gráfico siguiente muestra un detalle de estos programas por comportamiento:
5. Distribución de VirWare por comportamiento (fines de 2005)
El gráfico muestra que el estancamiento de esta clase, que comenzó en 2004, no solamente continúa, sino que se ha hecho más marcado. El crecimiento de esta clase como un todo es insignificante en comparación con el incremento de los programas maliciosos en general. Adicionalmente, esta clase parece estar experimentando una meseta debido a que ciertos gusanos que exhiben comportamientos específicos han aumentado en número. Los otros programas de esta clase continúan disminuyendo. Los datos en la tabla 3 ilustran claramente lo mencionado. Se tiene que reiterar que la caída de muchos programas de la clase VirWare se debe al creciente interés que comunidad informática clandestina muestra por los programas TrojWare.
Comportamiento | Cambio en el número de programas maliciosos (2005 vs 2004) |
Email-Worm | +2% |
IM-Worm | 32 new modifications per month |
IRC-Worm | -31% |
Net-Worm | +43% |
P2P-Worm | -43% |
Worm | -3% |
Virus | -45% |
VirWare | -2% |
Tabla 3. Índices de comportamientos individuales dentro de la clase VirWare de programas maliciosos (2005) |
El insignificante aumento en el número de gusanos de correo electrónicos se debió enteramente a la actividad de los autores de Bagle. Los programas creados por esos escritores de virus siguen siendo detectados como gusanos de correo electrónico, a pesar de que a menudo son programas troyanos, utilizados para mantener redes zombi. Si no hubiera sido por la actividad de uno o dos grupos de criminales, las cifras de 2005 de los gusanos de correo electrónico, sin duda, habrían caído. Más aún, el 2% de crecimiento es mucho más pequeño que el crecimiento de los programas maliciosos en total; esto puede señalar la lenta muerte de los gusanos de correo electrónicos, en contraste con el crecimiento de los programas troyanos, que son mucho más baratos de desarrollar y distribuir.
A pesar de que aparecieron por primera vez en 2001, los gusanos IM solamente llegaron a ser comunes a mediados de 2004. Para fines de 2005, se detectaba un promedio de 35 nuevos gusanos IM por mes.
Los gusanos IRC continúan descendiendo en número y se reencarnan en puertas traseras. Aunque se continúa detectando gusanos IRC, los nuevos son relativamente raros.
El año pasado, el índice de crecimiento de los gusanos de red fue más del doble, creciendo un 43% en 2005, en contraste con el 21% en 2004. En parte, esto se debe a las nuevas vulnerabilidades, como por ejemplo, la vulnerabilidad detallada en el Boletín de Seguridad de Microsoft MS05-39. Un gusano que fue escrito para explotar esta vulnerabilidad causó una epidemia global. En parte, esto se debe a que estos gusanos no dependen de los seres humanos para reproducirse (no necesitan esperar hasta que el usuario active el gusano abriendo un adjunto). Esto aumenta su velocidad de propagación.
El número de P2P-Wormscontinúa decreciendo, siguiendo la tendencia que se inició en 2004. La disminución se explica fácilmente por las campañas contra las redes de archivos compartidos iniciadas por entidades legales y otros organismos relacionados con los derechos de autor.
Ahora, veamos al tipo más antiguo de programas maliciosos para ordenadores: los virus clásicos. El año pasado, el número de virus detectado cada mes continuaba bajando, pero a un ritmo menor que en 2004 (-45% el 2005 contra -54% en 2004). Esto no es sorprendente, ya que toma mucho esfuerzo desarrollar un virus. Además, la velocidad con que los virus clásicos pueden infectar, es mucho menor que la velocidad con que los ordenadores pueden ser infectados por malware, p. ej., utilizando tecnología de envíos masivos.
Los programas VirWare indican que aunque los programas maliciosos exhiben determinados comportamientos, se han difundido menos; esto se ha compensado por el incremento de programas maliciosos que exhiben otros comportamientos. La clase en general ha mostrado una caída insignificante del -2%.
MalWare – otros programas maliciosos
Los programas maliciosos de esta clase son los menos comunes, pero exhiben el rango más amplio de comportamientos. Las estadísticas del año 2005 muestran que el número de programas en esta clase ha crecido levemente: sin embargo, la cifra de crecimiento general es la más baja entre todos los programas maliciosos detectados por Kaspersky Lab.
6. Incremento en MalWare.
El gráfico siguiente da un detalle de estos programas por comportamiento:
7. Distribución de MalWare por comportamiento (fines de 2005)
De todos los comportamientos exhibidos por programas de esta clase, sólo cinco merecen mayor atención. Los programas maliciosos que muestran comportamientos no exhibidos por estas 5 clases aparecen con muy poca frecuencia; por esta razón, es imposible decir que están evolucionando de forma significativa.
Comportamiento | Cambio en número de programas maliciosos (2005 vs 2004) |
Exploit | +68% |
HackTool | +33% |
Constructor | +1% |
Flooders | +20% |
SpamTool | 6 new modifications per month |
MalWare | +43% |
Tabla 4. Índices de crecimiento para comportamientos individuales dentro de la clase MalWare (2005). |
Los Exploits, como siempre bastantes, exhiben el índice de crecimiento más alto en la clasificación MalWare. La identificación constante de nuevas vulnerabilidades en los sistemas y software han capacitado a los exploits para que se conviertan en líderes indudables de esta clase. No hay razón para suponer que la situación pueda ser alterada en el futuro próximo; este comportamiento obtiene la palma de victoria en número de nuevos programas y modificaciones detectadas.
Los
HackToolsse utilizan para realizar varios ataques. Aunque la disminución del 33% en 2005 es menor que el aumento mostrado por la clase MalWare en general, aún indica el creciente interés de los usuarios maliciosos en esos programas.
LosConstructorsse usan para crear nuevas modificaciones de programas maliciosos ya existentes, y la disminución en el número de estos programas ha sido poco notable.
Los
Flooders (IM-Flooders, Email-Flooders, SMS-Flooder etc). Los usuarios maliciosos los utilizan para enviar cantidades masivas de información al azar. Los programas que exhiben este comportamiento aumentaron en un 20%, la misma cifra que la clase general.
SpamToolSe designan así a los programas que recolectan direcciones de correo electrónico de ordenadores víctimas. Éstas son luego transmitidas a usuarios remotos, para que puedan utilizarlas en envíos masivos. Aunque el aumento de estos programas es relativamente pequeño, el sostenido crecimiento mostrado por este grupo muestra que los usuarios maliciosos siguen estando interesados en ellos.
En general, no podemos decir que 2005 fuese un año exitoso para el MalWare. El incremento total del número de programas de esta clase es notablemente menor que el incremento de programas maliciosos. En el transcurso del año, el número de programas MalWare cayó de forma estable, mientras que el número de programas en la clasificación TrojWare se elevó de forma estable.
Otras tendencias
Banca por Internet
Se debe resaltar que el número de programas troyanos diseñados para robar información financiera ha aumentado significativamente. Los usuarios maliciosos recurren a esta información para acceder a cuentas bancarias y retirar fondos.
Este grupo de programas maliciosos muestra un índice de crecimiento más alto que cualquier tipo de software malicioso y llegó a alcanzar un 402% al final del año. Por otra parte, Kaspersky Lab ha detectado atentados de usuarios maliciosos para crear algo similar a una red bot: primero se distribuye un programa dirigido a instalar Trojan-Spy.Win32.Banker, y luego un usuario malicioso puede configurar la red bot de tal forma que puede robar información de cualquier sistema bancario.
Código malicioso para nuevas plataformas y código malicioso multiplataforma.
Los criminales cibernéticos y los creadores de virus muestran un creciente interés en otras plataformas, y los continuos intentos de crear programas maliciosos multiplataforma son un tema interesante. Durante 2005, los analistas de Kaspersky Lab detectaron programas maliciosos para varias plataformas nuevas, incluyendo Trojan.PSP.Brick.a (desarrollado para PSP, la plataforma utilizada por Sony Playstation) y Trojan.NDS.Taihen.a (para los sistemas de juego Nintendo).
El aparecimiento de pruebas de concepto para estas plataformas confirma una vez más que la comunidad informática clandestina está constantemente en búsqueda de nuevos blancos, incluyendo nuevas plataformas, a fin de aprovechar nuevos recursos potenciales de lucro.
Hay también otros programas maliciosos que merecen mencionarse. El primero de estos es Worm.SymbOS.Comwar.a, el primer gusano para artefactos móviles con sistema operativo Symbian, que usó MMS para propagarse. Éste difiere de los anteriores gusanos que se propagaron vía Bluetooth, lo que limitaba su propagación a un radio de 10 metros.
Otro evento interesante en 2005 fue la aparición de Trojan.SymbOS.Cardtrap.a,. Este programa es un archivo SIS estandarizado. Sin embargo, cuando se envía, el programa extrae de sí mismo otro programa malicioso (esta vez para plataformas Win32 ) y lo guarda en dispositivos de almacenamiento removible, gracias a ciertas peculiaridades del sistema operativo Windows. Este atentado es una seria causa de preocupación.
Se tiene que mencionar también a UNIX, ya que la creciente popularidad de este sistema operativo ha conducido a un incremento del número de programas maliciosos. Durante 2004 Kaspersky Lab detectó un promedio de 22 programas maliciosos por mes para esta plataforma. Sin embargo, en 2005, se detectó un promedio de 31 programas cada mes. Para fines de 2005, el índice de crecimiento fue del 45%.
Ahora volquemos nuestra atención al AdWare. Esta clase creció en un 63% en 2005, en comparación con 2004. Éste es un crecimiento menor que el de los programas AdWare en 2004, y parece que esta clase está ingresando a una meseta estadística en su evolución. Hemos establecido previamente que la mayoría de los programas de esta clase son algo así como una tierra de nadie, donde la diferencia entre programas maliciosos e inofensivos no está del todo clara. Esto resalta el hecho de que más a menudo los programas AdWare usan tecnología de virus para realizar cualquier función que se les designe.
Las compañías antivirus están comenzando a considerar los programas AdWare como programas maliciosos. Además, hay un número creciente de acciones legales que se realizan contra las compañías que desarrollan los programas AdWare.
Conclusión
2005 trajo algunos cambios significativos en el mundo de los virus informáticos. Los datos mostrados anteriormente muestran claramente cómo el panorama malware está cambiando.
Hubo un violento incremento en el número de casi todos los tipos de programas troyanos. Como ya hemos mencionado, la comunidad informática clandestina se vuelca de modo creciente hacia la criminalidad, concentrándose en obtener acceso e información para acceder a datos beneficiosos, sean estos recursos de sistemas, cuentas bancarias, información patentada o juegos en línea. Es posible usar programas troyanos para obtener acceso a estos datos.
El aumento de los programas troyanos, juntamente con el hecho de que el número de gusanos ha permanecido relativamente estable, nos muestra que los escritores de malware están cambiando su modo de actuar, dejando de desarrollar nuevos gusanos -lo que les consume tiempo- en favor del desarrollo de troyanos que se distribuyen en envíos masivos.
Finalmente, 2005 fue un año notable porque trajo malware para nuevas plataformas (troyanos para consolas de juegos) o nuevos enfoques para viejas plataformas (gusanos más avanzados y troyanos para Symbian OS).
Sin duda, los cambios observados en 2005 continuarán desarrollándose en 2006, con nuevas tecnologías y dispositivos que influirán, en alguna medida, en la evolución de los códigos maliciosos.
Evolución de los programas maliciosos: 2005