Informes sobre malware

Informe estadístico mensual sobre malware: Agosto 2010

En agosto se registró un significativo aumento de exploits para la vulnerabilidad CVE-2010-2568. El gusano Worm.Win32.Stuxnet, que tuvo una notable aparición a fines de julio, apunta a esta vulnerabilidad, al igual que el programa Trojan-Dropper, e instala la más reciente variante del virus Sality: Virus.Win32.Sality.ag. No resulta sorprendente que los blackhats se hayan aprovechado tan rápidamente de esta reciente vulnerabilidad en la versión más popular de Windows. Pero el 2 de agosto Microsoft publicó el parche MS10-046para esta vulnerabilidad. Esta actualización se clasificó como “Crítica”, es decir, que debía instalarse lo antes posible en todos los equipos con el sistema operativo vulnerable.

Programas maliciosos detectados en ordenadores de los usuarios

La primera clasificación de los Top 20 que aparece a continuación incluye malware, adware y programas potencialmente indeseables que se detectaron y neutralizaron mediante un análisis on-accessal acceder a ellos por primera vez.

Posición Cambio en posición Nombre Número de ordenadores infectados
1   0 Net-Worm.Win32.Kido.ir   280087  
2   0 Virus.Win32.Sality.aa   172770  
3   0 Net-Worm.Win32.Kido.ih   153825  
4   0 Net-Worm.Win32.Kido.iq   107156  
5   1 Trojan.JS.Agent.bhr   106796  
6   -1 Exploit.JS.Agent.bab   90465  
7   0 Worm.Win32.FlyStudio.cu   75394  
8   0 Virus.Win32.Virut.ce   68010  
9   new Exploit.Win32.CVE-2010-2568.d   52193  
10   -1 Trojan-Downloader.Win32.VB.eql   48440  
11   new P2P-Worm.Win32.Palevo.arxz   42145  
12   new Exploit.Win32.CVE-2010-2568.b   40385  
13   -3 Worm.Win32.Mabezat.b   38252  
14   new Worm.Win32.VBNA.b   37461  
15   new AdWare.WinLNK.Agent.a   37240  
16   new Virus.Win32.Sality.ag   36144  
17   new Trojan-Dropper.Win32.Sality.r   32352  
18   new Trojan.Win32.Autoit.ci   31391  
19   -8 Trojan-Dropper.Win32.Flystud.yo   29475  
20   new Packed.Win32.Krap.ao   29309  

Tal como sucedió en julio, la mitad superior de la clasificación permanece prácticamente invariable, con excepción de algunos cambios menores.

Kido (conocido también como Conficker) permanece en el primer, tercero y cuarto lugares, mientras que los virulentos Virus.Win32.Virut.ce (8o) y Virus.Win32.Sality.aa (2o) también mantuvieron sus posiciones.De la misma manera, Trojan.JS.Agent.bhr (5o) y Exploit.JS.Agent.bab (6o) mantuvieron sus posiciones, habiendo apenas intercambiado lugares.

Las estadísticas de julio mostraron una nueva vulnerabilidad en los accesos directos LNK de Windows, que después se llamó CVE-2010-2568.Como era de esperar, los ciberdelincuentes comenzaron a explotar activamente esta vulnerabilidad: las estadísticas de agosto incluyen tres piezas de malware que, de una u otra manera, están vinculadas con la vulnerabilidad CVE-2010-2568.Dos de éstas, Exploit.Win32.CVE-2010-2568.d (9o) y Exploit.Win32.CVE-2010-2568.b (12o), explotan directamente la vulnerabilidad, mientras que la tercera, Trojan-Dropper.Win32.Sality.r (17o), la usa para propagarse. Genera accesos directos LNK vulnerables con nombres muy llamativos, y los propaga a través de las redes locales.El malware se ejecuta cuando el usuario abre una carpeta que contiene uno de estos accesos directos.La principal función de Trojan-Dropper.Win32.Sality.r es instalar la última modificación de Virus.Win32.Sality.ag (16o)

 
El código Trojan-Dropper.Win32.Sality.r muestra los nombres de los accesos directos creados por el malware

Resulta curioso que ambos exploits parala vulnerabilidad CVE-2010-2568, incluidos en la clasificación, se localicen principalmente en Rusia, India y Brasil. Mientras que India es la fuente primaria del gusano Stuxnet (primer programa malicioso en apuntar a esta vulnerabilidad), no queda clara la participación de Rusia.

La distribución geográfica de Trojan-Dropper.Win32.Sality.r coincide con la de los exploits.

 
Distribución geográfica de Exploit.Win32.CVE-2010-2568.d

Otro nuevo participante en esta clasificación es, esta vez, el programa adwareAdWare.WinLNK.Agent.a (15o). Se trata de un acceso directo que, al ejecutarse, conduce al usuario a una URL especificada en un enlace publicitario. Varios programas adware instalan este acceso directo.

Trojan.Win32.Autoit.ci, un nuevo representante de la familia de programas maliciosos que usan el lenguaje de scripts Autolt, apareció en agosto en la clasificación, ocupando la 18a posición.Entre los recién llegados están los que incluyen una nueva modificación del gusano Palevo P2P: P2P-Worm.Win32.Palevo.arxz (11o). Ambas familias de programas maliciosos, que ya fueron tratadas en anteriores informes, contienen una amplia carga maliciosa, incluyendo funciones de autoejecución, la habilidad de descargar y ejecutar otros programas maliciosos, y la de propagarse en redes locales.

La clasificación también incluye dos compresores maliciosos: Packed.Win32.Krap.ao (20o), que aparece por primera vez, y Worm.Win32.VBNA.b (14o), que ya apareció en la clasificación de junio. Ambos programas se usan para evitar que las soluciones de seguridad detecten malware, y para comprimir prácticamente cualquier tipo de malware, desde antivirus rogue (falsos programas antivirus) hasta complejos backdoors, como Backdoor.Win32.Blakken.

Programas maliciosos que circulan en Internet

La segunda lista Top 20 que mostramos a continuación ofrece información generada por el componente antivirus y refleja el escenario de las amenazas que circulan en Internet. Esta tabla incluye malware y programas potencialmente indeseables detectados en páginas web o descargados en equipos cautivos desde páginas web.

Posición Cambio en posición Nombre Número de descargas intentadas
1   new Trojan-Downloader.Java.Agent.ft   135755  
2   -1 Exploit.JS.Agent.bab   127561  
3   9 Exploit.HTML.CVE-2010-1885.a   85502  
4   2 Trojan.JS.Agent.bhr   67061  
5   4 AdWare.Win32.FunWeb.ds   60129  
6   new Exploit.HTML.CVE-2010-1885.c   57988  
7   new AdWare.Win32.FunWeb.di   50928  
8   -4 AdWare.Win32.FunWeb.q   50504  
9   new Exploit.HTML.HCP.b   46874  
10   -6 Exploit.Java.CVE-2010-0886.a   45844  
11   -5 Trojan-Downloader.VBS.Agent.zs   37578  
12   8 Trojan.JS.Redirector.cq   37479  
13   new Trojan-Clicker.JS.Iframe.fq   35181  
14   5 AdWare.Win32.FunWeb.ci   33073  
15   new Exploit.Java.CVE-2010-0094.a   30062  
16   new Exploit.JS.Pdfka.cop   29588  
17   new Exploit.HTML.CVE-2010-1885.d   28396  
18   new Exploit.JS.CVE-2010-0806.b   26990  
19   new AdWare.Win32.FunWeb.fb   26350  
20   new Exploit.HTML.CVE-2010-1885.b   25820  

En comparación a los últimos meses, hay relativamente pocos debutantes (diez en total) en la clasificación de agosto, y todos son modificaciones de exploits que apuntan a vulnerabilidades ya conocidas.En general, la clasificación de este mes incluye doce exploits que apuntan a seis vulnerabilidades diferentes.

Este mes, los ciberdelincuentes se concentraron en la vulnerabilidad CVE-2010-1885.Cinco exploits de la clasificación apuntan a esta vulnerabilidad: Exploit.HTML.CVE-2010-1885.a (3o), Exploit.HTML.CVE-2010-1885.c (6o), Exploit.HTML.HCP.b (9o), Exploit.HTML.CVE-2010-1885.d (17o) y Exploit.HTML.CVE-2010-1885.b (20o).Al contrario, la clasificación de julio solo incluía uno de estos exploits.La vulnerabilidad CVE-2010-1885 está asociada con un error en Windows Help y Support Center que posibilita ejecutar códigos maliciosos en los sistemas operativos Windows XP y Windows 2003.Es posible que la popularidad de estas dos versiones de sistemas operativos fuera la causa del creciente número de exploits.

La vulnerabilidad CVE-2010-0806 ha sido tan explotada como la CVE-20100-1885; la clasificación incluye tres diferentes exploits que apuntan a esta vulnerabilidad.Dos de ellos son scripts que ya han sido tratados en anteriores informes: Exploit.JS.Agent.bab (2o) y Trojan.JS.Agent.bhr (4o). La última adición es Exploit.JS.CVE-2010-0806.b (18o).

Otros tres exploits de esta clasificación apuntan a vulnerabilidades en programas que usan el motor Java.En primer lugar se encuentraTrojan-Downloader.Java.Agent.ftque explota la vulnerabilidad CVE-2009-3867 (bastante antigua; ya fue tratada en el informe de mayo).Exploit.Java.CVE-2010-0886.a (10o), que explota la vulnerabilidad CVE-2010-0886, se ha mantenido en la clasificación desde el mes pasado. Llama la atención que la vulnerabilidad CVE-2010-0094 se detectara ya en abril de este año, y que el exploit apareciera solo en agosto. Exploit.Java.CVE-2010-0094.a (5o) llama sucesivamente a varias funciones que terminan ejecutando el código malicioso.

 
Fragmento de Exploit.Java.CVE-2010-0094.a

En agosto, sólo los ciberpiratas de países desarrollados, como EE.UU., Alemania y Reino Unido usaron este exploit.Quizás esto se deba a que los programas que usan Java sean populares en estos países.

 
Distribución geográfica de Exploit.Java.CVE-2010-0094.a

Exploit.JS.Pdfka.cop (16o) es otro exploit, esta vez uno muy estándar, que se caracteriza por utilizar las peculiaridades de los documentos PDF para ejecutar códigos maliciosos.

Trojan-Clicker.JS.Iframe.fq (13o) es una nueva adición, y cae en la categoría de scripts maliciosos que desvían a la víctima a un vínculo malicioso mediante la etiqueta HTML “<iframe>”.Otros dos scripts maliciosos son Trojan-Downloader.VBS.Agent.zs (11o) y Trojan.JS.Redirector.cq (12o); ambos ya fueron tratados en el informe del mes pasado.

Los programas Adwareson más populares que nunca. AdWare.Win32.FunWeb ha superado a Shopper.l y Boran.z, sus competidores en julio. Cinco representantes de la familia FunWeb estuvieron presentes en la clasificación de agosto.Tres de estas modificaciones (“ds”, “ci”, “q”, en 5a, 14a y 8a posiciones, respectivamente)ya estuvieron en la clasificación de julio, mientras que “fb” y “di” (19o y 7o) lograron por primera vez figurar en la clasificación en agosto.

Informe estadístico mensual sobre malware: Agosto 2010

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada