Noticias

Evolución los programas nocivos durante el primer semestre de 2007

Este informe semestral se concentra en los cambios de la dinámica del desarrollo de los programas nocivos en relación al segundo semestre de 2006. Se basa en el uso de una metodología estadística que difiere de la aplicada hasta ahora. Los indicadores para el año 2006 que se mencionan en este informe han sido adaptados al nuevo método, lo que significa que quizás no lleguen a corresponderse con los datos presentados en el informe del año pasado.

Tipos de programas nocivos en el primer semestre de 2007

Recordemos que según la clasificación establecida por Kaspersky Lab, hay tres categorías de programas nocivos:

  • Troyanos: Diferentes tipos de troyanos incapaces de multiplicarse de manera autónoma (puertas traseras, rootkits y todos los posibles troyanos);
  • Virus: Son programas nocivos capaces de multiplicarse (virus y gusanos);
  • Otros programas nocivos: Programas muy populares que los ciberdelincuentes utilizan para crear programas nocivos y para organizar sus ataques.

El primer semestre de 2007 estuvo marcado por cambios que no pasaron desapercibidos. El número de nuevos programas nocivos descubiertos cada mes ha aumentado en un promedio de 89% en relación al segundo semestre de año pasado, es decir, 15.292,2 unidades (contra 8.108,5 en el segundo semestre de 2006). Durante el primer semestre de 2007, se identificaron 91.753 nuevos programas nocivos.

La tendencia observada desde hace ya algunos años se mantuvo durante el primer semestre de 2007: un incremento en el número de troyanos de todo tipo y la correspondiente disminución de los indicadores Virware y Other MalWare.




FIG. 2. Relación (%) entre las categorías de programas nocivos

Durante el primer semestre de 2007, la porción de troyanos aumentó de 2,61% a 91,36%. La relativa facilidad con la que se puede crear programas nocivos de esta categoría (en contraste con los gusanos y virus) y su rol en el robo de información, la creación de redes zombies y la difusión de correo spam, siguen siendo las causas principales del aumento del número de troyanos circulando en Internet.

El retroceso de gusanos y virus (VirWare) tampoco es tan marcado como en años anteriores (-2,26%), lo que se explica por el nivel de por sí muy bajo de este indicador. Es muy poco probable que la porción de Virware siga decreciendo en el corto plazo, e incluso podemos afirmar que esta categoría ha alcanzado su “punto de equilibrio”. Los gusanos y los virus no van a desaparecer de la escena por completo. Más al contrario, se espera que recuperen algo de su popularidad en 2007, lo que dependerá en gran medida del descubrimiento eventual de nuevas vulnerabilidades en el sistema operativo Windows, en general, y en su nueva versión Vista, en particular.

En cuanto al grupo Other MalWare (otros programas nocivos, principalmente diversos códigos de ejecución), aún si su número va en aumento en relación al segundo semestre de 2006, su participación global ha decaído de nuevo en 0,36%, alcanzando un nivel casi insignificante de 1,95%.

A continuación nos abocaremos a detalles sobre las variaciones registradas en cada una de estas categorías.

Troyanos

El gráfico nœ 3 muestra el número de nuevos troyanos que los analistas de Kaspersky Lab descubrieron mes a mes:

De un simple vistazo es posible percibir la popularidad creciente de los troyanos. En la mayoría de los casos se tornan cada vez más peligrosos, pues se trata de troyanos que buscan causar daños financieros a sus víctimas.

El siguiente es quema muestra la distribución de los troyanos en función de su popularidad:

Para comprender mejor las modificaciones que se producen entre los troyanos, debemos detenernos un instante en los datos relativos a la dinámica del crecimiento de los troyanos de diversos comportamientos en cada categoría. La casi totalidad de los troyanos han reforzado activamente sus indicadores cuantitativos:

  %% modificaciones 2006 2007
Otros 0,07 -9% 68 62
Trojan-Clicker 1,36 57% 722 1137
Trojan-Dropper 1,92 27% 1270 1611
Trojan-Proxy 2,27 11% 1710 1901
Trojan-Spy 8,51 69% 4216 7131
Trojan 9,75 42% 5737 8170
Trojan-Downloader 21,56 46% 12363 18076
Trojan-PSW 24,33 135% 8694 20393
Backdoor 30,24 202% 8397 25345
Troyanos   94% 43177 83826

Las puertas traseras son el tipo de troyanos que ha registrado el crecimiento más notable durante los primeros meses de 2007: 202%. Esto recuerda el desarrollo de los gusanos de mensajería entre 2002 y 2004. Actualmente, la mayoría de las puertas traseras se crean en China; según nuestras estimaciones, la producción china representa más del 30% de todas las puertas traseras descubiertas en 2007.

El rápido crecimiento de puertas traseras ha modificado la distribución que existía hasta ahora en el comportamiento de los programas nocivos de la categoría TrojWare: mientras que en 2006 la categoría más importante era la de Trojan-Downloader, actualmente esta no representa más que un tercio del grupo.

Además de las puertas traseras que representan ahora casi un tercio de los troyanos (y casi un tercio de todos los programas nocivos), el número de troyanos espías (Trojan-PSW) que roban datos de acceso a diversos servicios, juegos en línea y aplicaciones, también ha aumentado de manera significativa (+135%). En la categoría TrojWare, este comportamiento ocupa, tal como en el segundo semestre de 2006, el segundo lugar en número, por delante de la categoría Trojan-Downloader.

Se han conformado tres grupos de comportamientos en la categoría TrojWare:

  1. Backdoor, Trojan-PSW, Trojan-Downloader. Se trata de los troyanos más expandidos que representan más del 70% del total de la categoría TrojWare (la distribución de cada uno de estos comportamientos en el total de troyanos sobrepasa el 20%).
  2. Trojan, Trojan-Spy. La participación de estos comportamientos en el grupo es del 8 al 10%, que son índices medios de crecimiento. Es prácticamente imposible que aumenten hasta el nivel indispensable para ubicarse en el segundo grupo, y también es improbable un retroceso hasta el nivel del tercer grupo.
  3. Trojan-Proxy, Trojan-Dropper, Trojan-Clicker, Other (otros). La participación de cada uno de estos comportamientos es inferior al 3%. A excepción de Trojan-Clicker, el índice de crecimiento de los comportamientos de este grupo no sobrepasa el 30%. No se descarta que el número de alguno de estos componentes se incremente hasta el nivel del segundo grupo. Dicho esto, es muy probable que la participación de los programas nocivos de este grupo retroceda mucho más, bajo la presión de los componentes del primer grupo.

Troyanos para juegos

Durante el primer semestre de 2007, el número de Trojan-PSW aumentó en 135% y se observó una marcada tendencia en favor de una continuación de este crecimiento. El comportamiento de Trojan-PSW logró sobrepasar sus resultados en 2006: en aquel entonces su crecimiento había sido de +125%. Estas cifras elevadas se explican por el hecho de que el 68% de los componentes de la subcategoría Trojan-PSW son lo que se conoce como “troyanos para juegos”, es decir, troyanos desarrollados para robar datos de cuentas de usuarios de diferentes juegos en línea.

La popularidad de los juegos en línea ha alcanzado una verdadera explosión: millones de personas en el mundo entero, y principalmente en Asia, participan en juegos en línea como World of Warcraft, Lineage o Legend of Mir. Los personajes y los diferentes accesorios utilizados en estos juegos pueden llegar a costar miles de dólares americanos. Los ciberdelincuentes no podían ignorar tal fenómeno y se dedican a robar datos de acceso a las cuentas para apropiarse de los bienes virtuales de los usuarios de estos juegos para luego revenderlos en sitios de subastas en línea.

Hemos añadido las siguientes familias de troyanos espía a los troyanos de juegos:

  I-2007 II-2006 Crecimiento Participación
Juegos en línea 8783 640 1272% 63,58
Lmir 477 601 -21% 3,45
Nilage 2602 2034 28% 18,83
WOW 510 594 -14% 3,69
Magania 1181 462 156% 8,55
Gamec 36 85 -58% 0,26
Tibia 45 15 200% 0,33
Hangame 181 155 17% 1,31
  13815 4586 201% 100,00

La familia OnlineGames cubre el 64% del total de troyanos de juegos descubiertos en el transcurso del primer semestre de 2007. Esta familia se distingue de otras por el hecho de que agrupa troyanos de juego elaborados para robar datos de acceso a dos o más juegos, así como troyanos dedicados a juegos menos populares y menos expandidos. Recién en el transcurso del segundo semestre de 2006 Kaspersky Lab otorgó un tratamiento especial a esta categoría, lo que explica por qué su índice de crecimiento es del 1.272%, una cifra que no refleja la realidad debido al corto tiempo de registros estadísticos.

El troyano Lmir (creado para el juego Legends of Mir), el más antiguo y más numeroso (en una época) de la familia, sigue perdiendo terreno: la participación de estos tipos de espía en 2007, ha decaído en 21%. Los troyanos dedicados al juego World Of Warcarft (WOW) han experimentado un ligero descenso del 14%.

Es muy evidente el incremento del interés de los autores de virus por los juegos Gamania (familia Magania) y Tibia. Si el crecimiento del 200% para Tibia puede explicarse por el número aún relativamente bajo de troyanos (45 nuevos en 2007), Gamania resulta ser el segundo juego más popular de entre todos los juegos atacados.

Si se tiene en cuenta el carácter no representativo del indicador Online Games, entonces la familia Nilage sigue ocupando el primer lugar. La participación de los troyanos dedicados al robo de cuentas de los usuarios de Lineage representa más del 18% de todos los troyanos de juegos.

Troyanos para bancos

La categoría de troyanos Bankers representa el 69% del crecimiento de los programas nocivos dentro el comportamiento Trojan-Spy. Estos troyanos se crean para robar los datos de acceso de los usuarios de varios sistemas de pago en línea, de consulta en línea de cuentas bancarias, o los datos de tarjetas de crédito. Se trata, sin duda alguna, de la expresión más evidente de la ciberdelincuencia. Además de la categoría Trojan-Spy, los troyanos Bankers incluyen también ciertos Trojan-Downloader (familia Banload) que se encargan de descargar diversos troyanos Bankers en los ordenadores infectados. Esta particularidad los vuelve inseparables de los troyanos Bankers.

Los troyanos bancarios continuaron su evolución en 2006 y su número prácticamente se duplicó: +97% en relación a 2005. En 2007, el ritmo de crecimiento decayó levemente: sólo +62% respecto al segundo semestre de 2006. Sin embargo, en términos cuantitativos, representa más de 4.500 nuevos troyanos.

Herramientas de camuflaje de actividades

Tampoco podemos ignorar este otro tipo de troyanos para lograr que ciertas actividades pasen desapercibidas. No cuentan con un indicador propio en el cuadro general de distribución de troyanos según el comportamiento, porque su número actualmente es inferior al de la categoría Trojan-Clicker. Sin embargo, las herramientas de camuflaje de actividades a menudo sirven de cobertor a diversos tipos de troyanos, y una misma herramienta de invisibilidad de actividades puede ser utilizada por varios ciberdelincuentes. Según nuestra clasificación, las herramientas de invisibilidad de actividades reúnen no sólo a los programas nocivos que resultan ser rootkits, sino también a ciertas familias de otros troyanos que usan las tecnologías de invisibilidad de actividades, como por ejemplo Backdoor.Win32.HacDef.

En 2005, año en el que las herramientas de camuflaje de actividades merecieron tener su propia categoría, registraron un crecimiento sin precedentes del 413%. En ese entonces, las herramientas de invisibilidad de actividades constituían tema de acalorados debates por parte de un sector de la seguridad informática, y los autores de virus se interesaron activamente en la tecnología. Luego de un despegue también impresionante, en 2006 se mantuvieron en un elevado nivel, con un +74%.

El primer semestre de 2007 fue testigo de un crecimiento mucho más fulgurante, que llegó a 178%.

Los gusanos de mensajería de la familia Zhelatin son los programas nocivos que más han utilizado las herramientas de invisibilidad de actividades, así como varias puertas traseras creadas en China.

Aún no es posible ver los efectos del lanzamiento de Windows Vista que, según sus desarrolladores, no concede ni una sola oportunidad de ejecutarse a las herramientas de invisibilidad de actividades.

Gusanos y virus

El gráfico nœ 10 muestra el número de nuevos virus que los analistas de Kaspersky Lab han descubierto mes a mes:

El estancamiento de esta tecnología en 2004 y 2005 dio lugar a un crecimiento a fines de 2006. Este repunte se mantuvo durante el primer semestre de 2007, aunque los indicadores absolutos siempre son inferiores al máximo registrado en octubre del año pasado cuando nos enfrentamos a cientos de nuevas versiones del gusano Warezov.

Analicemos los datos sobre la dinámica del crecimiento del número de programas nocivos con diversos comportamientos en esta categoría.

  %% modificaciones 2006 2007
IRC-Worm 0,36 -4% 22 23
P2P-Worm 2,54 77% 156 88
Net-Worm 2,82 73% 173 100
IM-Worm 4,07 51% 250 166
Virus 16,57 237% 1017 302
Worm 22,52 103% 1382 680
Email-Worm 51,12 5% 3137 2993
Virus   41% 6137 4352

Durante el primer semestre de 2007, son los virus tradicionales los que mostraron el mayor crecimiento entre todos los tipos de programas nocivos, con un 237%. Esto está vinculado a la inmensa popularidad del modo de difusión de los virus a través de los dispositivos USB. En 2007, la familia de virus Win32.Autorun tiene registradas más de 200 nuevas versiones. Entre los incidentes relacionados a los dispositivos USB infectados, se cuentan por centenas los de cámaras fotográficas, teléfonos y lectores MP3. Hay que reconocer que la función de inicio automático de los archivos de los dispositivos USB con la ayuda del archivo autorun.inf incluido por defecto en Windows es una falla adicional en el sistema de seguridad de este sistema operativo. No olvidemos que la familia Autorun cuenta en su haber con decenas de modificaciones del gusano Viking, al cual nos referiremos después.

Los índices del comportamiento de los programas Worm han mantenido la tendencia mostrada en 2006, cuando registraron un crecimiento de más de 200%. En 2007, el ritmo de crecimiento de los programas de la categoría Worm ha decaído levemente, pero se mantiene por encima de 100%. Los gusanos-virus Viking, creados en Asia, se sitúan nuevamente a la cabeza. Hemos estudiado la historia y las causas de esta epidemia localizada en China en nuestro informe trimestral. Debemos mencionar que, a pesar del arresto del creador del gusano, los códigos fuente de Viking aún permanecen circulando en Internet y los desarrolladores de programas antivirus no cesan de recibir nuevas versiones elaboradas por otras personas.

El gráfico siguiente ilustra la distribución de los diferentes comportamientos de la categoría VirWare:

Los gusanos de mensajería (Email-Worm) representan el comportamiento más expandido de la categoría: más de la mitad de todos los elementos VirWare. Mientras que el crecimiento de los gusanos de mensajería llegó al 43% en 2006 (principalmente debido a la locura de otoño desatada por Warezov), no representó más del 5% en el primer semestre de 2007, lo que no es realmente notable. Como en el pasado, el número de representantes de Email-Worm se distribuye en tres grandes familias: Warezov, Zhelatin y Bagle. Si una de ellas abandonara la competencia, la participación correspondiente a este comportamiento en el conjunto probablemente caería en decenas de puntos porcentuales.

Podemos identificar dos grupos principales de comportamiento en la categoría VirWare:

  • Email-Worm, Worm, Virus.- La participación de cada uno de estos comportamientos supera el 15% del número total de VirWare. Estancamiento en el desarrollo del líder (Email-Worm) e índices explosivos de crecimiento de las categorías Worm y Virus. No se excluye que la categoría Virus se encuentre en segunda posición a fines del segundo semestre de 2007, y que la participación de la categoría Worm se incremente.
  • IM-Worm, Net-Worm, P2P-Worm, IRC-Worm.- La participación de cada uno de estos comportamientos en el número total de VirWar es inferior al 5%. El índice de crecimiento medio se ubica entre el 50 y 80%. La probabilidad de crecimiento de la participación en el nivel de los comportamientos sólo puede darse para IM-Worm, debido al desarrollo de servicios de mensajería como Skype. Para Net-Worm, la situación sigue deteriorándose: la ausencia de vulnerabilidades críticas en los servicios de red de Windows no da lugar a que los creadores de virus puedan surgir con nuevas propuestas

    En general, el ritmo de crecimiento de la categoría VirWare está muy por detrás del de la categoría TrojWare (41% contra 94%) e incluso es inferior a los indicadores Other MalWare, a los que nos referimos más adelante.

    Otros programas nocivos

    Esta categoría es la menos representada en términos de programas nocivos descubiertos, pero es la más importante en términos de comportamientos.

    El incremento en el número de nuevos programas nocivos en esta categoría durante 2004 y 2005 (13 y 43%, respectivamente) sufrió una ligera reducción en 2006 (-7%). Sin embargo, el primer semestre de 2007 mostró que 2006 fue sobre todo un periodo de estabilización para esta categoría, un reforzamiento en las posiciones ocupadas antes de pasar a un nivel superior. Esto se ha manifestado claramente durante el segundo semestre de 2007, cuando el número de nuevos programas de esta categoría descubiertos cada mes prácticamente se ha duplicado.

    <

    En general, podemos afirmar que esta categoría registró un crecimiento cercano al 60% durante los primeros meses de 2007, pero eso no fue suficiente para conservar su porcentaje en la masa total de programas nocivos: Pasó del 2,51% en 2006 al 1,95%.

    A continuación se muestran las distribuciones de los diferentes comportamientos de la categoría Other MalWare (otros programas nocivos):

    Para comprender mejor las modificaciones que se producen en esta categoría de programas nocivos, debemos detenernos un instante en los datos relacionados al ritmo de crecimiento de los representantes de los diversos comportamientos en el grupo:

      %% modificaciones 2006 2007
    Sniffer 0,06 -75% 1 4
    SMS-Flooder 0,22 0% 4 4
    Email-Flooder 0,28 -62% 5 13
    Spoofer 0,34 50% 6 4
    Nuker 1,40 178% 25 9
    VirTool 1,62 93% 29 15
    BadJoke 1,73 -39% 31 51
    DoS 1,90 209% 34 11
    Flooder 2,29 28% 41 32
    IM-Flooder 3,07 -11% 55 62
    Other 7,54 22% 135 111
    HackTool 12,07 47% 216 147
    Constructor 12,85 23% 230 187
    Hoax 12,85 23% 230 187
    SpamTool 20,50 222% 367 114
    Exploit 28,83 83% 516 282
    MalWare   56% 1925 1233

    El correo spam y los ataques del tipo denegación de servicio (DoS) figuran entre los principales temas de actualidad en la industria de la seguridad informática en 2007. Desde el mes de octubre del año pasado, cuando el gusano Warezov comenzó a crear inmensas redes de zombies, pudimos observar una nueva fase del desarrollo del correo spam en Internet: su volumen se incrementa tanto como su diversidad. En general, nos inclinamos por juntar ambos eventos. Warezov conformaba bases de datos de direcciones electrónicas y las enviaba a los ciberdelincuentes. Además, instalaba en los ordenadores infectados varios módulos encargados de diseminar los mensajes spam. Zhelatin y Bagle, otras dos versiones activas de mensajería, actuaban del mismo modo.

    Los analistas de Kaspersky Lab notaron un interés mínimo pero estable por la categoría SpamTool en 2005. En 2006, el número de programas nocivos de esta categoría registró un crecimiento explosivo de 107% y la categoría SpamTool pasó a ocupar el quinto lugar en el volumen total de los programas del grupo Other MalWare. Durante el primer semestre de 2007, la categoría SpamTool se convirtió en líder absoluto en términos de crecimiento en esta categoría. El crecimiento de 222% permitió a SpamTool lograr la segunda posición en porcentaje en la categoría.

    Los ataques DoS alcanzaron su pico de popularidad en 2002-2003, antes de volver a la sombra durante un largo tiempo. Esto puede estar relacionado a la llegada de una nueva generación de ciberdelincuentes. Los piratas cibernéticos que lanzaban los ataques DoS, hace unos 4 o 5 años, poco a poco han podido adoptar métodos más “sutiles” para ganar dinero: diseminación de correo spam, robo de datos confidenciales, instalación de programas publicitarios, entre otros. Ahora vemos la aparición de una nueva generación de script-kiddies que por el momento no tienen nada que ofrecer y que prefieren utilizar los programas desarrollados por otros, adoptando la técnica de la fuerza bruta. Esto explica la actual explosión de varios programas DoS (+209%) que permiten lanzar ataques DoS y que son utilizados en las mismas redes de zombies en el mundo entero. Aunque los indicadores de este comportamiento son aún modestos, la tendencia al crecimiento es evidente y no se excluye que este tipo de programas lleguen a contarse por centenas durante este año.

    Los códigos de ejecución de las diversas vulnerabilidades siguen ocupando el primer lugar entre los programas nocivos de la categoría Other Malware. Es importante recordar algunas historias que causaron mucha discusión cuando varios grupos de ciberdelincuentes vendían selecciones de códigos de ejecución que posteriormente se hallaron en miles de sitios comprometidos (comparar con el informe del segundo trimestre, Mpack).

    En general, se puede decir que el ritmo de crecimiento de los códigos de ejecución es mediano, lo que no impide que los códigos de ejecución representen cerca del 30% del número total de la categoría Other MalWare. Es muy poco probable que SpamTool pueda desplazar a los códigos de ejecución en términos de popularidad.

    Los elaboradores de virus siguen interesados en todos los constructores posibles e imaginables. Esto ilustra también el cambio generacional: gracias a los constructores, no es necesario crear algo en particular, además que permiten elaborar con rapidez programas nocivos aún sin poseer grandes conocimientos de programación.

    Plataformas y sistemas operativos

    Hasta ahora, jamás habíamos publicado datos estadísticos detallados sobre la distribución de programas nocivos en función de sistemas operativos y de plataformas. Nos hemos abstenido de elaborar análisis particulares sobre otros sistemas muy interesante distintos a Windows (*nix, Mac OS y Symbian). Sin embargo, para este informe hemos decidido analizar la situación en su conjunto.

    Los programas nocivos pueden atacar al sistema operativo o a una aplicación si estos son capaces de iniciar el programa sin ser parte del sistema. Todos los sistemas operativos, numerosas aplicaciones de automatización de oficinas, editores de imágenes, programas de gestión de proyectos y otras aplicaciones poseen lenguajes integrados de rutinas que responden a esta condición.

    En el primer semestre de 2007, Kaspersky Lab hizo registró programas nocivos para 30 plataformas y sistemas operativos diferentes.

    La mayoría de estos programas nocivos se desarrollaron para el ambiente Win32 y se trata de archivos ejecutables binarios. Los otros programas nocivos, relacionados con otros sistemas operativos o plataformas, no representan más que un 4% del número total.

    Sin embargo, la participación de los programas nocivos diferentes a Win32 durante el primer semestre de 2007 se incrementó del 3,18 al 3,42%. Este es un índice todavía modesto, pero el ritmo de crecimiento de estas aplicaciones representó cerca del 111%, una cifra superior al índice equivalente para Win32 (96%). Aparentemente, la participación de los programas nocivos Win32 disminuirá en el futuro debido al surgimiento de los programas nocivos Win64 y a la creciente popularidad de otros sistemas operativos.

    Posición Plataforma T3-T4 2006 T1-T2 2007 % de crecimiento
    1 Win32 49551 97100 96,0
    2 JS 247 1186 380,2
    3 VBS 261 580 122,2
    4 HTML 272 402 47,8
    5 BAT 166 339 104,2
    6 MSWord 77 150 94,8
    7 Linux 79 123 55,7
    8 Perl 55 115 109,1
    9 PHP 28 86 207,1
    10 ASP 32 72 125,0
    11 IRC 90 52 -42,2
    12 MSIL 38 34 -10,5
    13 DOS 36 24 -33,3
    14 MSExcel 11 19 72,7
    15 SymbOS 52 19 -63,5
    16 WinREG 13 19 46,2
    17 MSPPoint 23 18 -21,7
    18 SunOS 10 18 80,0
    19 NSIS 22 15 -31,8
    20 Java 9 13 44,4
    21 HTA 15 6 -60,0
    22 MSAccess 3 5 66,7
    23 Python 4 5 25,0
    24 RAR 6 4 -33,3
    25 Unix 6 4 -33,3
    26 MSOffice 1 3 200,0
    27 Ruby 1 3 200,0
    28 SWF 11 3 -72,7
    29 ALS 2 1 -50,0
    30 Win9x 3 1 -66,7
    31 WMA 2 1 -50,0

    Veamos ahora los ritmos de crecimiento de los programas nocivos para todas las demás plataformas:

    Para cerca del 50% de las plataformas y sistemas operativos víctimas de ataques de programas nocivos, notamos un crecimiento negativo del número de estos programas. Se trata, entre otros, de sistemas muy populares, como Unix (existen programas nocivos capaces de funcionar en cualquier sistema operativo de la familia *nix) y Symbian. En cuanto a MacOs, no se creó ningún programa nocivo desde julio de 2006. Esto significa la evidente pérdida de interés de parte de los autores de virus respecto a sistemas poco comunes. Los ciberdelincuentes se contentan con crear algunos conceptos para el futuro y reconcentrar sus actividades en las aplicaciones y los sistemas operativos más populares.

    Es importante remarcar el hecho de que casi todos los lenguajes de programación de rutinas figuran entre los 10 más populares y de mayor ambiente favorable para virus (JS, VBS, HTML, BAT, Perl, PHP, ASP). Mientras que el año pasado los indicadores de tres plataformas de rutinas (JS, VBS y HTML) eran más o menos idénticos (alrededor de 250 programas nocivos para cada plataforma en el segundo semestre de 2006), notamos que en 2007 JavaScript ha alcanzado una creciente popularidad.

    En realidad, JavaScript se ha convertido en el medio de desarrollo y de realización de los programas nocivos más innovadores con un crecimiento de 380%, es decir, casi el doble que el de su hermano gemelo, el lenguaje VisualBasic Script. Resulta evidente que una de las causas de este fenómeno es el incremento del número de códigos de ejecución de vulnerabilidades en los navegadores Internet Explorer y Mozilla Firefox. Además, los programas nocivos JS a veces asumen el rol de Trojan-Downloader.

    Entre los sistemas operativos, Linux conserva la segunda posición en términos de popularidad con 123 nuevos programas nocivos y un crecimiento de 55% en comparación al segundo semestre del año 2006.

    Entre las aplicaciones capaces de funcionar bajo diversos sistemas operativos, MS Word es siempre el blanco de la mayor parte de programas nocivos (150 novedades) y registra un crecimiento del 95%. Este número comprende no sólo los virus de macro, sino también las nuevas modalidades más peligrosas Trojan-Dropper que vulneran varias fallas críticas en MS Word descubiertas el año pasado. Son éstas las que constituyen la aplastante mayoría de amenazas actuales contra MS Word.

    Es importante notar el crecimiento del 80% en el número de programas nocivos para el sistema operativo SunOS, el cual es muy poco conocido. El número de amenazas para este sistema se cuenta ya por decenas, lo que nos ha llevado a estudiar este problema y a elaborar, en el futuro, un informe separado dedicado a esta problemática en particular.

    Actualizaciones de las bases de datos antivirus

    Kaspersky Lab ha reaccionado ante el aumento del número de amenazas y la frecuencia en la aparición de nuevas amenazas, reduciendo el periodo de tiempo entre las entregas de las bases de datos antivirus y acelerando la velocidad de reacción.

    Nuevas signaturas en las bases de datos antivirus

    El número de nuevas signaturas añadidas cada mes a las bases de datos antivirus de Kaspersky Anti-Virus durante el primer semestre de 2007 osciló de 8.000, al principio del periodo cubierto en el informe, hasta 25.000 al final del mismo. Al final de los seis primeros meses, el número promedio de nuevas signaturas añadidas cada mes era de 15.518, mientras que en el transcurso del segundo trimestre de 2006 sólo fue de 8.221. El aumento en el número de signaturas es de 89%, lo que corresponde, sin duda, al aumento en el número de nuevos programas nocivos identificados.

    Tal como se muestra en el gráfico, el número de signaturas añadidas cada mes a las bases de datos antivirus se ha incrementado de manera casi parecida. Sólo el mes de mayo 2007 rompe la tendencia: durante este mes, los expertos antivirus de Kaspersky Lab trataron un número récord de nuevos programas nocivos, lo que elevó el indicador a 25.205 entradas.

    Actualizaciones normales y urgentes

    Kaspersky Lab reaccionó ante el surgimiento de nuevos programas nocivos lanzando dos tipos de actualizaciones de las bases de datos antivirus: bases de datos estándar (alrededor de una vez cada hora), y bases de datos urgentes (en caso de epidemias). En cuanto a las actualizaciones normales, su número superó las 4.000 durante el primer semestre de 2007. El promedio mensual para este periodo es de cerca a 700 actualizaciones.

    Respecto a las actualizaciones urgentes, los datos que poseemos son muy interesantes en dos niveles. Primeramente, indican el número total de “epidemias” en el primer trimestre de 2007 y permiten establecer comparaciones con los indicadores correspondientes de 2006. Luego, permiten relacionar las epidemias con ciertos meses del año.

    Estos datos revelan que los sucesos que justifican una actualización urgente han disminuido en 33% en el transcurso del primer semestre de 2007 en relación al mismo periodo en 2006, pero que aumentaron en 4% en relación al segundo semestre de 2006. El número promedio d actualizaciones urgentes por mes fue de 16.

    Conclusiones

    Se han confirmado casi todas las estimaciones para 2007 que habíamos adelantado en nuestro informe anual del año 2006. Como lo esperábamos, los elaboradores de virus, en 2007, se concentraron en diversos troyanos capaces de robar datos confidenciales del usuario. Las principales víctimas siguen siendo los usuarios de sistemas de banca y de pago en línea, así como los adeptos a juegos en línea.

    La cooperación entre elaboradores de programas nocivos y elaboradores de correo spam continúa. Todas las grandes epidemias de 2007 (Warezov, Zhelatin, Bagle) tenían como objetivo la creación de redes zombies para la posterior diseminación de mensajes spam a través de ordenadores infectados, y a capturar direcciones electrónicas para la creación de bases de datos apuntando a la diseminación de correo spam.

    En cuanto a los modos seguidos por los programas nocivos para infiltrarse en los ordenadores, resaltan principalmente el correo electrónico y las vulnerabilidades en los navegadores de Internet.

    El incremento en el número de programas nocivos que recurren a las redes P2P y a los sistemas de mensajería instantánea, se mantiene en un nivel medio y no se esperan grandes cambios en esta área en el transcurso del segundo semestre de 2007.

    Durante el primer semestre de 2007, se registraron brotes de epidemias locales: se limitan sólo a un segmento nacional de Internet y no atacan a los usuarios de Internet en otros países.

    A pesar de los intentos de parte de expertos, el nuevo sistema operativo Windows Vista aún no se ha convertido en tema principal de consultas sobre seguridad en 2007. Esto se explica por el hecho de que el ritmo de su difusión aún no responde a las previsiones, y el número de usuarios que migraron al nuevo sistema está aún lejos de haber alcanzado la masa crítica para capturar la atención de los ciberdelincuentes.

    Tampoco observamos un aumento en el interés por MacOS, a pesar del aumento de la popularidad de esta plataforma y de la existencia de vulnerabilidades críticas en ella. Las plataformas Symbian y Windows Mobile atraviesan un periodo idéntico: el número de usuarios sigue aumentando mientras que el número de programas nocivos se ha reducido considerablemente. Por otra parte, encontramos con cada vez más frecuencia troyanos elaborados para la plataforma J2ME que también funciona en teléfonos portátiles.

    Es muy poco probable que se produzcan cambios radicales en estos procesos hasta fin de año, y la situación continuará evolucionando en los escenarios previstos.

  • Evolución los programas nocivos durante el primer semestre de 2007

    Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

     

    Informes

    BlindEagle vuela alto en LATAM

    Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

    MosaicRegressor: acechando en las sombras de UEFI

    Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

    Suscríbete a nuestros correos electrónicos semanales

    Las investigaciones más recientes en tu bandeja de entrada