Boletín de seguridad de Kaspersky

Kaspersky: Boletín de seguridad 2008. Desarrollo de los programas nocivos en el primer semestre de 2008

En este informe se analiza la dinámica del desarrollo de los programas nocivos en el primer semestre de 2008 y se la compara con los datos del segundo semestre de 2007.

El informe contiene una gran cantidad de información estadística y se mencionan muchos casos.

El informe está dirigido en primer lugar a los profesionales en el campo de la seguridad informática que tengan interés en los programas nocivos, pero también puede ser útil a todos los usuarios interesados en los problemas de la virología informática.

Resumen del semestre

La primera mitad de 2008 ha confirmado nuestros pronósticos y temores sobre las vías que seguiría el desarrollo de los programas nocivos. A finales del año pasado nuestras predicciones sobre lo que pasaría en 2008 eran:

  • Se mantiene el desarrollo de las denominadas tecnologías “Malware 2.0”
  • Se desarrollarán los rootkits
  • Regresarán los virus que afectan a los ficheros
  • Ataques contra las redes sociales
  • Aparecerán amenazas para dispositivos móviles

En el primer semestre de 2008 se han confirmado nuestros temores.

Uno de los programas nocivos más notables en este periodo ha sido el “gusano de la tormenta” (Zhelatin), que sigue a la vanguardia del Malware 2.0. Se registraron cerca de 10 periodos de alta actividad, durante los cuales se usaron métodos de probada efectividad: envíos masivos de cartas con enlaces a servidores que contenían el cuerpo del gusano, colocación de estos enlaces en las redes sociales y propagación mediante mensajerías instantáneas.

En el campo de los rootkits, los “bootkits”, aparecidos a finales de 2007, han cobrado especial relevancia en 2008 (de enero a marzo) con la aparición de nuevas modificaciones de los miembros de la familia Sinowal. Más tarde, el desarrollo de este programa nocivo se detuvo, pero esto no significa que los bootkits hayan dejado de ser un problema. Las tecnologías bootkit suponen un gran desafío para las tecnologías antivirus existentes, y la ausencia de nuevos bootkits nos hace pensar que los escritores de virus se han dado una tregua, pero sin abandonar la idea de seguir desarrollando esta prometedora (desde su punto de vista) tecnología.

Por otra parte, en el campo de los rootkits clásicos, se ha detectado un ejemplar del “mítico” Rustock.c. (la historia de su aparición y desarrollo se analiza en un artículo especial). Este suceso también dejó al descubierto la presencia de serios problemas en la industria antivirus, que no sólo guardaban relación con la detección y tratamiento de rootkits en general, sino que también atañían a los métodos de recolección y análisis de nuevos ejemplares y a la velocidad de reacción de las compañías antivirus ante la aparición de este tipo de amenazas.

Las tecnologías usadas en Rustock permiten distinguir dos cadenas: una lógica y una tecnológica que conducen a otros importantes problemas, la ofuscación y el polimorfismo. Los métodos de creación de ruidos lógicos usados en Rustock, que tienen como objetivo dificultar al máximo el análisis del código e impedir la creación de métodos de curación, son usados de forma muy activa desde hace bastante tiempo en los virus para ficheros. También deben su activo desarrollo a los creadores de virus de nacionalidad china. Sin embargo, este desarrollo consistía en que a las diferentes “puertas traseras” (backdors) y gusanos se les incluían funciones propias de los virus, y no a la creación de nuevos virus para ficheros.

Los virus modernos incluyen muchas más funciones que la de infectar ficheros. Hoy en día se han convertido en poderosos componentes de las redes zombi (botnets), entre cuyas funciones están las de robar los datos de los usuarios y organizar ataques DDoS. Los más brillantes representantes de estos programas son virus como Virut, Alman y Allaple; y los gusanos Fujack y Autorun. En el primer semestre de 2008, estos programas nocivos provocaron muchas infecciones en todo el mundo. Esto significa que en el futuro próximo las funciones de los virus se añadirán con más ahínco a los backdoors y gusanos.

las redes sociales han sufrido los ataques más crueles de toda su historia. Casi todas las redes más populares se han convertido en campo de aplicación de diferentes tecnologías de virus y spam. Ahora, no sólo son territorio de los gusanos XSS, como antes. Los creadores de virus han dejado de lado la búsqueda de vulnerabilidades en los motores de las redes sociales para utilizar un viejo pero efectivo método: la ingeniería social. Para conseguir sus objetivos, se hacen pasar por “amigos” para enviar al usuario atacado enlaces a sitios web infectados. Las redes internacionales que han sufrido más ataques son MySpace y Orkut. Más adelante se les sumaría Facebook. Los usuarios rusos fueron atacados por gusanos y programas troyanos que se propagaban mediante enlaces en Odnoklassniki.ru y Vkontakte.ru.

El comportamiento de las amenazas para dispositivos móviles cambió de golpe: en lugar de los ataques a los smartphones, los escritores de virus decidieron ampliar la zona de ataque y empezaron a especializarse en programas troyanos creados para la plataforma J2ME, capaces de funcionar en prácticamente cualquier teléfono. Los programas detectados (casi 5000 nuevas variantes) cumplen las mismas tareas: envían SMS a números de pago, vaciando el balance de los usuarios y proporcionando lucro directo a los autores de los troyanos.

Durante el primer semestre de 2008 se añadieron 440.311 programas a nuestras bases antivirus. En el semestre anterior eran 36.953.

новое окно 
новое окно

Total de programas detectados (segundo semestre de 2007 y primer semestre de 2008)

Programas detectados 2007-II 2008-I 2007-II% 2008-I% Cambios en la posición Crecimiento
TrojWare 117307 340426 85,65% 77,31% 8,34% 190,20%
AdWare 8168 46134 5,96% 10,48% -4,51% 464,81%
RiskWare 1302 17894 0,95% 4,06% -3,11% 1274,35%
VirWare 6358 14561 4,64% 3,31% 1,34% 129,02%
Otros tipos de MalWare 3660 12785 2,67% 2,90% -0,23% 249,32%
Programas pornográficos (Pornware): 158 8511 0,12% 1,93% -1,82% 5286,71%
Total de programas detectados 136953 440311 100,00% 100,00%    


Distribución según clases de los programas detectados en el primer semestre de 2008

Los datos presentados ponen de manifiesto que el total de amenazas en el primer semestre de 2008 creció en un 300% en comparación con los resultados del trimestre anterior.

Para la elaboración de este informe, se ha tomado en cuenta como parámetro de evaluación la cantidad de firmas añadidas a las bases antivirus de Kaspersky Lab en el primer semestre de 2008.

Actualmente, en la industria antivirus no existe un criterio único de cómo contar los programas nocivos. Los métodos más utilizados son la cantidad de ficheros únicos y según la cantidad de firmas detectadas. Cada uno de estos enfoques tiene sus pros y sus contras.

El cálculo de ficheros únicos (que tienen el mismo MD5) que se añaden a las colecciones de las compañías antivirus es un método muy útil a la hora de contar la cantidad de amenazas, pero no tiene relación directa con la cantidad de firmas. Este método es aplicable cuando la aplastante mayoría de amenazas son programas troyanos que no cambian su cuerpo y que no contagian otros ficheros.

No obstante, hay que tener presente que una gran cantidad de ficheros únicos son ficheros infectados por virus y diferentes instaladores-droppers, ficheros que en sí, no son programas nocivos y que se diferencian unos de otros, pero que contienen un mismo programa nocivo. Entre ellos hay diferentes ficheros script y HTML, documentos de office y todos aquellos que, a pesar de ser diferentes en cada caso en concreto contienen la misma amenaza.

En lo que concierne a las firmas, éstas pueden no tener una relación directa con el número de ficheros. Es más, serán diferentes para cada compañía antivirus, porque cada una usa diferentes tecnologías y motores de detección.

No obstante, opinamos que el método de cálculo según firmas es el más correcto si se trata de analizar la estadística de una sola compañía antivirus y refleja la dinámica general del desarrollo de las amenazas.

En el primer semestre de 2008 la cantidad de ficheros únicos detectados por Kaspersky Lab ha superado los 5.000.000 de ejemplares. Todos estos ficheros se distribuyen de forma más o menos regular entre las más de 440.000 firmas detectadas.

Tomando en consideración la existente dinámica de aparición de nuevos programas nocivos podemos pronosticar que hasta fin de año la cantidad total de ficheros únicos que contienen diferentes programas nocivos y potencialmente peligrosos será de unos 15.000.000 ejemplares.

Programas nocivos

Durante el primer semestre de 2008, los analistas de Kaspersky Lab descubrieron 367.772 nuevos programas nocivos, es decir, 290% más que en el segundo semestre de 2007. La media de los nuevos programas nocivos detectados por mes es de 61.295,33

En comparación con el segundo semestre de 2007, el número de nuevos programas aumentó en un 188,85%. El ritmo de crecimiento supera considerablemente los resultados de 2007, cuando se detectó 114% más de programas nocivos que en 2006.

Recordamos que según la clasificación de Kaspersky Lab, existen tres tipos de programas maliciosos:

  1. TrojWare: diversos programas troyanos que no son capaces de reproducirse (backdoor, rootkit y troyanos);
  2. VirWare: programas nocivos capaces de reproducirse (virus y gusanos);
  3. Otro MalWare: programas usados intensivamente por los delincuentes para crear programas nocivos y organizar ataques.

El año 2008 no ha traído cambios significativos en la relación de tipos de programas nocivos. El líder absoluto sigue siendo TrojWare, que constituye el 92% de todos los programas nocivos. Al mismo tiempo, el TrojWare ha crecido sólo un 0,43%, un índice mucho menor que en 2007 (que fue superior al 2%). El número de nuevos troyanos detectados en el primer semestre de 2008 ha crecido en un 190,2% en comparación con el semestre anterior.

Hemos notado un cambio en la tendencia de los últimos dos años, durante los cuales el porcentaje de programas troyanos iba en aumento, mientras que los porcentajes de VirWare y Otro MalWare disminuía. En el primer semestre de 2008, el porcentaje de programas de la categoría Other MalWare ha aumentado. Y este crecimiento (superior al 0,5%) es mayor que el de la categoría dominante, TrojWare.


Distribución de los tipos de programas nocivos (segundo semestre de 2007 y primer semestre de 2008)


Cantidad de nuevos programas nocivos detectados en el primer semestre de 2008 (por clases)

Total 2008 2007 Porcentaje 2008 Porcentaje 07 Cambios en el porcenaje Crecimiento
TrojWare 340426 117307 92,56% 92,13% 0,43% 190,20%
VirWare 14561 6358 3,96% 4,99% -1,03% 129,02%
Otros tipos de MalWare 12785 3660 3,48% 2,87% 0,60% 249,32%
Programas nocivos 367772 127325 100 100   188,85%

Hace un año, en el verano de 2007, la categoría Other MalWare ocupaba el 1,95% de todos los programas nocivos. Este porcentaje empezó a aumentar en el segundo semestre de 2007 (2,87%) y siguió creciendo en la primera mitad de 2008. Según los resultados del semestre, la categoría Otro MalWare ocupa el 3,48%. Si tomamos en cuenta que la cantidad de nuevos programas nocivos de esta categoría aumentó en un 350% en comparación con el segundo semestre de 2007, podemos constatar el rapidísimo crecimiento de las “amenazas no tradicionales”.

La cantidad de nuevos programas de la categoría Otro MalWare creció en un 250% en seis meses, lo que le permitió ponerse casi al nivel de VirWare. En medio año, la cantidad de nuevos representantes de la categoría Otro Malware superó en 1.776 ejemplares a la cantidad de VirWare detectados.

A finales de año, si se conserva el ritmo de crecimiento de ambas categorías, es muy probable que Otro Malware llegue a ocupar el segundo lugar.

Factores adicionales del crecimiento de la categoría Otro MalWare son la aparición de nuevos y numerosos exploits y la expansión del espectro de conductas nocivas que anteriormente estaban fuera del campo visual de las compañías antivirus (FraudTool) y que fueron añadidas a las bases antivirus en el primer semestre de 2008.

El descenso del ritmo de crecimiento de la categoría VirWare empezó hace cinco años. Los virus y gusanos que entonces lideraban la estadística, prácticamente han desaparecido en el presente. La disminución del porcentaje de la categoría VirWare continúa en 2008: según los resultados del primer semestre, estos programas ocupan menos del 4% de todos los programas nocivos, un 1,03% menos que en el segundo semestre de 2007. Al mismo tiempo, el ritmo de disminución del porcentaje de VirWare es superior al del año pasado y el crecimiento del número de los nuevos virus y gusanos está muy por detrás de los similares índices de otras categorías: se ha detectado un 120% más que en el semestre anterior.

Podemos constatar que se ha ingresado en un periodo de estabilidad en la estadística de distribución de los programas nocivos. Las causas objetivas son la existente proliferación de programas nocivos y el lento cambio que se nota en las tendencias de las nuevas amenazas.

Veamos con más detalle los cambios que han tenido lugar en cada una de las clases.

Programas troyanos

Presentamos el gráfico de la cantidad de nuevos troyanos detectados por los analistas de Kaspersky Lab.


Cantidad de nuevos programas TrojWare detectados por los analistas de Kaspersky Lab (julio de 2007-junio de 2008)

En la segunda mitad de 2007, el número de nuevos troyanos detectados mensualmente empezó a reducirse. Pero, desde principios de 2008, tuvieron un repunte que en el semestre alcanzó el 190,2%. En los primeros seis meses de 2008, se registraron tres picos: en enero, marzo y mayo. Cada pico estuvo seguido de una leve caída o de un periodo de estabilidad y posteriormente un crecimiento aún más intenso del número de nuevos troyanos. Esta dinámica replica en parte la de 2007 (que tuvo dos picos, en mayo y agosto, seguidos de caídas) y es radicalmente diferente a la situación de 2006, cuando el crecimiento de nuevos troyanos era permanente.

Lo más probable es que en un futuro próximo continúe el rápido crecimiento de nuevos troyanos. Pero este crecimiento no estará acompañado por ningún perfeccionamiento tecnológico. La aplastante mayoría de los troyanos son criaturas muy primitivas escritas por script-kiddies y el aumento en su número está condicionado exclusivamente por la accesibilidad de los troyanos en el mercado negro y por la relativa facilidad con que se pueden propagar.

En la distribución de las conductas de los troyanos los cambios más importantes son los de la categoría Trojan, que subió del quinto al tercer lugar.


TrojWare: porcentaje de las conductas dentro de la categoría

Para entender mejor los cambios que tuvieron lugar en la categoría “programas troyanos”, analizaremos el incremento de los programas de diferentes conductas.


Cantidad de nuevos programas nocivos de la clase TrojWare (por conductas).


Crecimiento de los nuevos programas nocivos de la clase TrojWare

TrojWare Primer semestre de 2008 Segundo semestre de2007 Crecimiento Porcentaje 2008 Porcentaje 2007 Cambios en el porcenaje
Backdoor 100864 39566 154,90% 29,63% 33,73% -4,100%
Trojan-Downloader 66517 25689 158,90% 19,54% 21,90% -2,360%
Trojan 61452 10451 488,00% 18,05% 8,91% 9,142%
Trojan-PSW 59973 23835 151,60% 17,62% 20,32% -2,701%
Trojan-Spy 22823 11914 91,60% 6,70% 10,16% -3,452%
Trojan-Dropper 19994 2620 663,10% 5,87% 2,23% 3,640%
Trojan-Clicker 4089 1168 250,10% 1,20% 1,00% 0,205%
Trojan-Proxy 2540 1428 77,90% 0,75% 1,22% -0,471%
Rootkit 1917 554 246,00% 0,56% 0,47% 0,091%
Trojan-DDOS 117 45 160,00% 0,03% 0,04% -0,004%
Trojan-SMS 47 9 422,20% 0,01% 0,01% 0,006%
Trojan-IM 40 8 400,00% 0,01% 0,01% 0,005%
Trojan-AOL 22 5 340,00% 0,01% 0,004% 0,002%
Trojan-Mailfinder 14 0   0,0040% 0,000% 0,004%
Trojan-Notifier 13 11 18,20% 0,0040% 0,009% -0,006%
Trojan-ArcBomb 3 4 -25,00% 0,0010% 0,003% -0,003%
Trojan-Ransom 1 0   0,0003% 0,000% 0,000%
TotalTrojWare 340426 117307 190,20%      

En la primera mitad de 2008, el crecimiento más impresionante fue el de las categorías Trojan-Dropper, Trojan, Trojan-Clicker y Rootkit. (No haremos referencia a las conductas Trojan-AOL, Trojan-IM, Trojan-SMS porque su número es muy pequeño.)

Son impactantes los resultados de Trojan-Dropper. Su crecimiento, de más de 660%, es el record absoluto de los últimos tres años entre todos los troyanos. La creciente popularidad de los programas nocivos de esta categoría se debe a que son cada vez más lo escritores de virus que usan la táctica de ocultar el fichero troyano dentro de las distribuciones de otros programas para instalar de forma simultánea la mayor cantidad posible de diferente troyanos. Esta situación es una consecuencia de que en el mundo de la delincuencia cibernética no son los autores de los programas nocivos o sus clientes los que se encargan de propagarlos. De esta tarea se encargan grupos especializados.

Estas mismas razones tienen que ver con la dinámica del porcentaje de Trojan-Downloader. Esta conducta, que en 2006 fue líder, el año pasado cedió el primer lugar a Backdoor. En el primer semestre de 2008, a pesar de que el porcentaje de Trojan-Downloader siguió reduciéndose (-2,4%), esta categoría conservó el segundo lugar, con sólo un 1% por delante de la categoría Trojan.

Es interesante el crecimiento de la cantidad de troyanos comunes y corrientes, que alcanzó un 488%. Anteriormente, la categoría Trojan era secundaria, y no había ninguna premisa para su impetuoso crecimiento. Lo que sucedió con Trojan en el primer semestre de 2008 tiene fuertes raíces en la tendencia de universalización del código de los troyanos. Los escritores de virus con cada vez más frecuencia dejan de usar la técnica de crear varios módulos funcionales que interactúen entre sí, y tratan de incluir todas las funciones en una sola aplicación. Esta forma de hacer las cosas es la reacción de los delincuentes ante las nuevas tecnologías antivirus: es más fácil prolongar la vida de un troyano solitario desde el su lanzamiento hasta el momento en que se lo incluye en la base antivirus.

La creciente popularidad de Trojan-Clicker está directamente relacionada con la atención que prestan los delincuentes informáticos a determinadas formas de lucrar en Internet. Nos referimos al dinero que se gana haciendo “clicks” en los enlaces de publicidad y haciendo subir las posiciones en los ratings de Internet. Este tipo de estafa se conoce desde hace tiempo, pero antes de 2008 no llamaba mucho la atención de los escritores de virus. En 2008 la situación cambió y como resultado en medio año aparecieron 250% más Trojan-Clicker que en los anteriores seis meses.

En lo concerniente a los rootkits, a pesar del notable ritmo de crecimiento (246%), su posición respecto a todos los demás programas troyanos casi no ha cambiado (+0,9%).

En junio de 2008 Kaspersky Lab creó nuevas categorías para algunas familias de programas nocivos. Se crearon dos nuevas conductas: Trojan-Mailfinder y Trojan-Ransom.

La principal función de los programas Trojan-Mailfinder es recolectar direcciones de correo electrónico en los equipos infectados para engrosar las bases de datos de los spammers. Esta categoría incluye diferentes programas troyanos, también de los programas que antes pertenecían a la conducta SpamTool de la categoría Other Malware.

Los troyanos extorsionadores, que son muy pocos pero de gran peligrosidad, los hemos incluido en la categoría Trojan-Ramsom. Aquí se encontrarán todos los programas nocivos que de una u otra manera interfieren con el funcionamiento del sistema operativo y cifran los ficheros del usuario, situación de la que se aprovechan los delincuentes para extorsionar a las víctimas y pedirles dinero por recuperar sus datos).

En julio de 2008 aparecieron dos conductas más en nuestra clasificación: Trojan-Banker y Trojan-GameThief.

En la categoría Trojan-Banker estarán todos los programas troyanos que roban las cuentas de los sistemas bancarios y de las tarjetas de crédito. Antes, estos programas estaban en las categorías Trojan-Spy y Trojan-PSW.

Troyan-GameThief reúne al grupo de troyanos que se dedican al robo de los datos de los usuarios de juegos en línea populares. Le recordamos que el año pasado estos troyanos fueron los programas nocivos más masivos. En la conducta Trojan-GameThief estarán varias familias que antes pertenecían a las categorías Trojan-Spy y Trojan-PSW.

La aparición de nuevas categorías de conducta deberá ejercer una notable influencia en la distribución de los programas troyanos. Es probable que podamos notar los cambios en nuestro siguiente informe, de los resultados de todo el 2008.

En el presente, dentro de la categoría TrojWare hay tres grupos de conductas:

  1. Backdoor, Trojan-Downloader, Trojan, Trojan-PSW.
    Son los programas troyanos más difundidos, que en total representan cerca del 85% de toda la clase TrojWare (el porcentaje de cada conducta es superior al 17%).

    En estos seis meses, la categoría Trojan se ha convertido en líder, y su porcentaje ha aumentado en un 9%. Señalamos que de las cuatro conductas del primer grupo, ha aumentado sólo el porcentaje de Trojan, mientras que los porcentajes de las demás conductas ha disminuido (por ejemplo, la caída de Backdoor ha sido mayor del 4%).

    Este grupo se caracterizará por su rápido ritmo de crecimiento en la segunda mitad de 2008 (más del 150%). Continuará subiendo el porcentaje de Trojan y bajando el de Trojan-Downloader y Trojan-PSW. Los Backdoors seguirán siendo los programas nocivos más populares, sobre todo por los esfuerzos de los escritores de virus chinos.

  2. Trojan-Spy y Trojan-Dropper.
    En los primeros seis meses de 2008, los Trojan abandonaron el segundo puesto para ocupar el primero. El segundo puesto lo ocuparon los Trojan-Dropper. El porcentaje del segundo puesto es de 5-7%. El ritmo de crecimiento de Trojan-Spy y Trojan-Dropper es muy diferente (recordamos que Trojan-Dropper es el campeón en ritmo de crecimiento con un 663,1%).

    En el segundo semestre de 2008 el porcentaje de Trojan-Droppers, al parecer, seguirá creciendo, lo que le permitirá acercarse al primer puesto. Es probable que el segundo puesto sea ocupado por los nuevos grupos Trojan-Banker y Trojan-GameThief.

  3. Trojan-Proxy, Trojan-Clicker, Otros.
    El porcentaje de cada una de las conductas es menor al 1,2%. A excepción de Trojan-Clicker, el ritmo de crecimiento de las conductas de esta categoría es insignificante.

    No excluimos la posibilidad de que aumente el número de alguna de las conductas, por ejemplo Trojan-Clicker, hasta alcanzar el segundo lugar, pero es aún más probable que el porcentaje de los programas de este grupo siga disminuyendo bajo la presión de los representantes del primer grupo.

En el tercer grupo, son de especial interés los Trojan-SMS, cuyo número creció en un 422% en la primera mitad de 2008 y ahora son cerca de 50 ejemplares. Por supuesto, si comparamos esta cifra con los más de 100.000 backdoors, es una cantidad muy baja, pero los Trojan-SMS se diferencian de todos los demás programas nocivos porque funcionan en teléfonos móviles y quizá sean la amenaza más real para este tipo de dispositivos.

Las “amenazas móviles”: un negocio en potencia

El primer semestre de 2008 fue muy interesante desde el punto de vista de las amenazas móviles. Y, para ser más exactos, de uno de sus tipos: los programas troyanos que envían mensajes de texto a números de pago cortos sin que el usuario se dé cuenta.

En este contexto, es importante mencionar:

  1. El crecimiento del número de programas nocivos Trojan-SMS.
  2. La capacidad de los troyanos para infectar diferentes plataformas: cualquier teléfono que admita aplicaciones Java o tenga un intérprete de Python está bajo amenaza.
  3. El crecimiento de sitios WAP que contienen este tipo de troyanos.
  4. La aparición en ICQ de envíos masivos que anuncian sitios WAP infectados.
  5. La variedad de métodos de ingeniería social que se usan durante la propagación y camuflaje de los programas nocivos.
  6. La limitada cantidad de números cortos usados por los estafadores.

Más adelante analizaremos con detalle estas y otras tendencias.

Empezaremos con el crecimiento del número de programas nocivos Trojan-SMS. En el primer semestre de 2008 se detectaron más programas de este tipo que en toda su existencia. Recordamos que Kaspersky Lab detectó el primer programa nocivo de esta conducta el 27 de febrero de 2006 (Trojan-SMS.J2ME.RedBrowser.a).


Cantidad de nuevos programas Trojan-SMS detectados por los analistas de Kaspersky Lab (por meses)

En total, en los seis primeros meses de 2008 se detectó un 422% más de nuevos Trojan-SMS que en el segundo semestre de 2007.

En este momento existen 9 familias que atacan la plataforma J2ME, de las cuales 3 son para Symbian y una para Python.

Pero… ¿qué son en realidad estos troyanos? En sí, estos programas nocivos son muy primitivos.

Si hablamos de los troyanos J2ME, la mayoría tienen la siguiente estructura: un archivo jar que contiene varios ficheros class. Uno de estos ficheros se encarga de enviar los mensajes de texto a números de pago (por supuesto, no se molesta en pedir el consentimiento del dueño del teléfono y no le dice cuánto cuesta enviar el mensaje). Los demás ficheros class son sólo camuflaje. Dentro del archivo puede haber varias imágenes (la mayoría de contenido erótico) y un fichero manifest que también es usado por el programa nocivo para enviar los mensajes.

Los programas de la familia Trojan-SMS.Python.Flocker, creados para otra plataforma (Python) casi no se diferencian de los troyanos J2ME: el programa es tan primitivo como la tarea que ejecuta. En el archivo sis hay un script en Python, que es el que envía el SMS al número corto y scripts adicionales que sirven para camuflar las actividades reales del programa nocivo.

Los Trojan-SMS suponen un gran peligro al ser programas multiplataforma. Si el teléfono (no es obligatorio que sea smartphone) tiene Máquina virtual Java (en inglés Java Virtual Machine, JVM), el Trojan-SMS.J2ME puede funcionar sin ningún problema. En lo que se refiere a Trojan-SMS.Python, éste es multiplataforma en el segmento de los smartphones basados en el sistema operativo Symbian. Si el teléfono (con cualquier sistema operativo) tiene un intérprete de Python, entonces Trojan-SMS.Python también puede funcionar sin importar el modelo.

El método más popular (de los pocos que hay) de propagación de estos programas nocivos es el uso de portales WAP que ofrecen al visitante descargar diferentes melodías, imágenes, juegos y aplicaciones para teléfonos móviles. La mayoría de los troyanos se disfrazan de aplicaciones que supuestamente pueden enviar SMS gratis, permiten usar Internet sin pagar o son de carácter erótico o pornográfico.

A veces los escritores de virus se inventan maneras bastante originales de camuflar las acciones nocivas de sus programas. Así, después de que el usuario ejecuta Trojan-SMS.J2ME.Swapi.g, en la pantalla del teléfono se le muestra un saludo y se le propone ver una foto pornográfica. Para hacerlo, hay que pulsar la tecla “Sí” antes de que deje de sonar una corta señal musical. (En el archivo jar del programa se guarda un fichero png con la foto y una melodía en MIDI). Al tratar de alcanzar la tecla, el usuario no sospecha que cada pulsación (sea a tiempo o no) envía un mensaje SMS a un número corto de pago.

Casi todos los sitios que contienen programas nocivos permiten a los usuarios subir sus ficheros. Estos sitios son de acceso gratuito y para darse de alta basta pulsar un par de botones, por eso los delincuentes no tienen mayores problemas en propagar sus primitivos programas. Al delincuente sólo le falta darle un nombre lo más atractivo posible (Internet_gratis_gprs, enviar_sms_gratis, muchacha_desnuda, etc.), escribir un comentario seductor y esperar que los usuarios “envíen gratis mensajes de texto” o “vean fotos eróticas”.

Después de poner el programa nocivo en el sitio web, el delincuente tiene que hacer publicidad. Para eso, se vale de envíos masivos en ICQ o en diferentes foros. Pero… ¿por qué ICQ? Recordemos que este servicio de mensajería instantánea es popular en Rusia y los países vecinos. Muchos usuarios que quieren tener la posibilidad de comunicarse constantemente usan los clientes móviles de ICQ. Y se convierten en potenciales víctimas de los delincuentes informáticos.

De esta manera se crea una interesante cadena: creación del programa nocivo  su colocación en un sitio WAP bajo nombres y comentarios atractivos  envío masivo de spam, que puede afectar a los usuarios de los clientes móviles de ICQ.

Ahora solo nos queda analizar el asunto de los números cortos usados por los troyanos móviles. Entre todos los programas nocivos detectados por Kaspersky Lab, los números cortos más populares eran tres: 1171, 1161, 3649. Lo interesante es que estos números no sólo eran utilizados por los delincuentes sino también por diferentes compañías legales que ofrecen diversos servicios. El destinatario del pago por el envío del mensaje de texto lo determina un prefijo que se incluye en el mensaje enviado. En diferentes Troyan-SMS estos prefijos cambian pero también se suelen encontrar repeticiones.

La popularidad de este tipo de delincuencia informática está determinada por lo simple que es hacer pagos mediante SMS.

Los operadores de telefonía alquilan estos números cortos. Para una persona es muy caro alquilar uno de estos números. Pero existen proveedores de contenidos que ofrecen subalquilar estos números, agregándoles un determinado prefijo. De esta manera, un único número corto puede ser usado por varios clientes.

Por ejemplo, el número corto 1171 pertenece a uno de estos proveedores, pero si al número 1171 se envía un mensaje que empiece por “S1”, esto hace que el sistema del proveedor transfiera parte del coste del mensaje a la cuenta del sub-cliente “S1”.

El operador de telefonía se queda con el 45-49% del precio del mensaje de texto enviado; el proveedor se queda con cerca del 10%. El resto del dinero se envía al subalquilado, en este caso, el estafador “móvil”.

En resumen: en el primer semestre de 2008 se registró un crecimiento sin precedentes de los programas nocivos móviles: estos programas envían mensajes de texto a números de pago sin que el dueño del teléfono se dé cuenta. Es evidente que todos estos programas fueron creados con el objetivo de engañar al usuario para estafarle dinero. La facilidad con la que se crean y propagan estas aplicaciones puede conducir al crecimiento de los Trojan-SMS en el segundo del 2008. Estaremos atentos al desarrollo de la situación.

Troyanos para juegos: el partido continúa

Una de las notables tendencias del año pasado (el vertiginoso crecimiento de la cantidad de nuevos programas nocivos destinado a robar contraseñas de juegos online) siguió vigente en la primera mitad de 2008. En seis meses se detectaron 49.094 de nuevos programas troyanos para juegos. Esto es un 150% más que la cantidad de programas troyanos similares detectados en todo el año 2007 y supera en un 264,6% los índices del semestre anterior.


Cantidad de nuevos programas nocivos que roban contraseñas de juegos en línea. Datos recolectados por los analistas de Kaspersky Lab.


Cantidad de nuevos troyanos para juegos. Datos recolectados por los analistas de Kaspersky Lab (julio de 2007-junio de 2008)

El 95% de todos los nuevos troyanos para juegos detectados en la primera mitad de 2008, roban los datos de varios juegos. Por ejemplo, los programas que pertenecen a las familias Trojan-PSW.Win32.OnLineGames y Trojan-PSW.Win32.Magania.

La familia OnLineGames es la más numerosa y según los resultados del año le corresponde el 57,6% de todos los troyanos para juegos. La cantidad de programas nocivos de esta familia tuvo un incremento impresionante los primeros seis meses de 2008, superando notablemente el número de troyanos que roban contraseñas de un solo juego.

Los programas troyanos de la familia Magania son interesantes porque están orientados a los usuarios de un popular portal de juegos (más detalles en en.wikipedia.org/wiki/Gamania). Desde mayo, esta familia empezó a perder popularidad ya que en el portal se clausuraron al mismo tiempo varios mundos virtuales (entre ellos uno de los más famosos, MapleStory). Pero, a pesar de todo, según los resultados del semestre, el 37,4% de todos los nuevos troyanos para juegos eran agentes de Magania.

новое окно 
новое окно

Cantidad de nuevos programas nocivos pertenecientes a las familias más populares de troyanos para juegos (meses de 2008)

Trojan-PSW.Win32.OnLineGames – roba las contraseñas de varios juegos en línea
Trojan-PSW.Win32.Magania –ataca al portal de juegos Gamania
Trojan-PSW.Win32.Ganhame – ataca el juego en línea Hangame Online
Trojan-PSW.Win32.Lmir – Legend of Mir
Trojan-PSW.Win32.Nilage – Lineage
Trojan-PSW.Win32.WOW – World of Warcraft

La popularidad de los juegos online entre los creadores de virus está en directa relación con la popularidad de que gozan los juegos entre los jugadores y con el grado de desarrollo de los valores virtuales de cada juego. La mayoría de los troyanos para juegos que roban contraseñas de un único juego online ataca a los jugadores de unos de los siguientes cuatro juegos: Legend of Mir y Hangame, populares en China, y Lineage y World of Warcraft, que se juegan en todo el mundo.


Distribución de los más populares troyanos destinados a un solo juego

Como vemos en el diagrama, la mayor parte de los programas troyanos está orientada al robo de contraseñas del juego Lineage. Según la estadística del sitio www.mmogchart.com, Lineage (juego que apareció en la Red en 1.999) tuvo durante cuatro años la mayor cantidad de suscriptores. En el presente, Lineage tiene la economía más desarrollada entre todos los juegos online y un mercado plenamente establecido de bienes virtuales que se venden por dinero en efectivo real, contante y sonante.

En el primer semestre, el juego World of Warcraft, líder en el mercado moderno de juegos online, ocupa el segundo lugar en las preferencias de los creadores de virus. Sin embargo, es el que tiene el record mensual de nuevos troyanos: en mayo se detectaron 209 troyanos destinados a los jugadores de World of Warcraft, lo que corresponde a 6-7 nuevos troyanos por día.

новое окно 
новое окно

Distribución de los suscritores de juegos en línea populares
Fuente: mmogchart.com

En el primer semestre de 2008 cambió el principal método de propagación de programas nocivos que roban contraseñas de juegos online. En 2007, los delincuentes preferían programas que se propagaban por sí mismos (gusanos y virus). Ahora, el método más popular de instalar troyanos para juegos en los equipos de los usuarios es la toma masiva de sitios (por ejemplo, mediante inyecciones SQL) y el uso de exploits.

Fue precisamente desde un sitio ruso adulterado que un troyano de la familia OnLineGames llegó al ordenador del usuario que publicó el siguiente mensaje en uno de los foros:

новое окно 
новое окно

Traducción del ruso: Kaspersky detecta en mis 4 discos un virus (09.04.2008 22:36:48, fichero D:autorun.inf, detectado “Trojan-PSW.Win32.OnLineGames.rry”). Si se elimina el virus, ¡el disco duro ya no se abre más! Aconséjenme, ¿qué hacer?

Este sistema de propagación mostró gran eficacia. Sin embargo, en la mayor parte de los casos el ataque no es selectivo: el troyano para juegos puede contagiar a cualquier visitante del sitio infectado y no sólo a aquellos que participan en los juegos. Los delincuentes han decidido aprovechar las ventajas que da una infección efectiva y, al mismo tiempo, extender las funciones de los troyanos para juegos: en la primera mitad de 2008, los autores de virus han empezado a añadir módulos backdoor a los troyanos para juegos, con el objetivo de formar redes zombi con los equipos infectados.

De esta manera, en el primer semestre de 2008, la mafia encargada de robar personajes de juegos online y bienes virtuales ha continuado desarrollándose. Cada día Kaspersky Lab descubre una media de 273 nuevos troyanos para juegos, de los cuales 259 son capaces de robar contraseñas. Por la cantidad de nuevos programas nocivos la familia Trojan-PSW.Win32.OnLineGames ocupa el segundo lugar entre todas las familias de la categoría TrojWare, dejando el primer lugar a Backdoor.Win32.Hupigon.

Los creadores de virus han optimizado el esquema de ataque. Para propagar sus nuevos programas, han empezado a apoderarse ilegalmente de sitios web. Y si antes los programas troyanos que roban contraseñas de juegos online representaban peligro sólo para los jugadores, ahora amenazan a todos los usuarios de Internet: la aplastante mayoría de los troyanos para juegos detectados en los últimos meses tienen funciones backdoor.

Es evidente que en el futuro próximo, los programas nocivos para juegos online continuarán desarrollándose.

Gusanos y virus

Los programas de las categorías VirWare mostraron los más bajos niveles de crecimiento, un 129% en total pero, en la práctica, este porcentaje representa más de dos mil nuevos virus y gusanos al mes.

Presentamos el gráfico de la cantidad de nuevos programas VirWare detectados mensualmente por los analistas de Kaspersky Lab.


Cantidad de nuevos programas TrojWare detectados por los analistas de Kaspersky Lab (julio de 2007-junio de 2008)

A primera vista, el gráfico el crecimiento de nuevos programas nocivos de esta categoría es muy similar a la de TrojWare, observándose también periodos de ascenso y descenso. La diferencia es que en 2008 VirWare tuvo sólo 2 picos, mientras que TrojWare tuvo tres. Esto demuestra que esta categoría de programas nocivos existe y se desarrolla según sus propias leyes. Las diferencias entre VirWare y las demás categorías también se confirman por el hecho de que la cantidad de programas de esta categoría crece de una forma muy lenta (sólo un 129% en comparación con el semestre anterior). En la primera mitad de 2008 esto condujo a un nuevo descenso de su porcentaje, que fue superior al 1%.

Si esta dinámica se conserva en el segundo semestre de 2008, no se excluye la posibilidad de que esta categoría caiga al tercer puesto, dejando el segundo a la categoría Other Malware.

En este medio año, dentro de VirWare han ocurrido cambios muy significativos. La distribución de las conductas de esta categoría se refleja en el siguiente diagrama:


VirWare: porcentajes de las conductas dentro de la categoría

Para entender mejor los cambios que tuvieron lugar en la categoría VirWare, analizaremos el incremento de los programas de diferentes conductas.


Cantidad de nuevos programas nocivos de la clase VirWare (por conductas).


Crecimiento de los nuevos programas nocivos de la clase Virware

VirWare Total 2008 2007-2 Crecimiento 2008% “+/-”
Worm 6386 1413 351,95% 43,857 21,63%
Net-Worm 3393 258 1215,12% 23,302 19,24%
Email-Worm 2757 1629 69,24% 18,934 -6,69%
IM-Worm 755 431 75,17% 5,185 -1,59%
Virus 666 2468 -73,01% 4,574 -34,24%
P2P-Worm 516 126 309,52% 3,544 1,56%
IRC-Worm 88 33 166,67% 0,604 0,09%
Total 14561 6358 129,02% 100  

Los virus para ficheros tradicionales sufrieron una metamorfosis difícil de explicar en la categoría VirWare. En 2007, los virus fueron los líderes por su ritmo de crecimiento (390%) y al terminar el año tuvieron un porcentaje muy sólido entre los VirWare, que alcanzó un 38,8%. Pero, en la primera mitad de 2008 los virus tuvieron un ritmo de crecimiento negativo (-73%) y según los resultados del semestre su participación en el total fue levemente superior al 4,5%.

Nuestros especialistas esperaban un aumento del número de virus que serían cada vez más complejos y que las tecnologías de polimorfismo seguirían desarrollándose. Sin embargo, todo parece indicar que los delincuentes informáticos están más interesados en escribir troyanos y no cuentan con suficientes conocimientos para desarrollar tecnologías virales masivas. Sin lugar a duda, es una buena señal para la industria antivirus.

Los gusanos (worms) se han convertido en los líderes entre los virus. Su ritmo de crecimiento (352%) ha provocado que su presencia en la categoría VirWare se duplique y ocupe el primer puesto, con un resultado cercano al 44%. Estos gusanos, que se propagan a través de unidades de almacenamiento extraíbles y redes locales, son los más difíciles de eliminar de los equipos.

El crecimiento de nuevos gusanos de red (Net-Worm) es algo sin precedentes: más del 1200% en comparación con el semestre anterior. Este tipo de conducta, que casi había desaparecido del todo en 2007, inesperadamente ocupó el segundo lugar. Es evidente que la causa de este vertiginoso crecimiento está en el desarrollo de los gusanos tradicionales, que han pasado a una nueva etapa en su evolución. Sus autores tratan de usar nuevas vías de propagación y empiezan a usar viejos métodos, pero en un nuevo nivel. En vista de la ausencia de vulnerabilidades críticas, que eran la base del funcionamiento de gusanos como Lovesan y Sasser, los gusanos de red modernos se propagan con cada vez más frecuencia vía sitios web adulterados y redes sociales.

El desarrollo de los gusanos de correo, que hemos venido observando durante los últimos años, ha continuado en 2008 pero no ha sido suficiente para garantizarles el segundo puesto. En el primer semestre de 2008, la participación de gusanos de red se ha reducido en un 6,7% y han ocupado el tercer lugar con un 19%. Esto significa que de cada cinco nuevos integrantes de VirWare, uno es un gusano que se propaga por correo electrónico. El crecimiento de estos gusanos continúa gracias a tres familias: Warezov, Zhelatin y Bagle. Lo mismo ocurrió en 2007.

La categoría VirWare se divide en dos tipos principales de conductas:

  1. Email-Worm, Worm, Net-Worm.
    En la categoría VirWare, cada una de las tres conductas ocupa por lo menos un 18%. Casi no ha cambiado el número de nuevos programas del líder anterior (Email-Worm) y ha aumentado considerablemente la cantidad de Worm y Net-Worm.

  2. IM-Worm, Virus, P2P-Worm, IRC-Worm. El porcentaje de cada una de estas conductas es menor al 6% en la categoría VirWare. Sus ritmos de crecimiento son muy diferentes, desde negativos hasta mayores al 300%. Sin embargo, sólo los Virus tienen probabilidad de aumentar notablemente su porcentaje ya que las demás conductas dependen de servicios de Internet secundarios (IM, IRC, P2P).

Otros programas nocivos (Other MalWare)

Esta categoría sigue siendo la menos propagada por la cantidad de ejemplares detectados, pero la más numerosa por la cantidad de conductas.

Su tímido crecimiento en 2004-2005, seguido por su caída en 2006 y su crecimiento en un 27% en 2007 no nos permiten hacer predicciones. Sólo podemos constatar que la primera mitad de 2008 ha resultado ser más que exitosa. Se ha detectado un 249,3% más de programas de esta clase que en el semestre pasado.


Cantidad de nuevos programas Other MalWare detectados por los analistas de Kaspersky Lab (julio de 2007–junio de 2008)

La distribución de las conductas de Otro MalWare se puede representar de la siguiente manera:


Other MalWare: porcentajes de las conductas dentro de la categoría

Analizaremos el incremento de los programas de diferentes conductas en esta categoría.


Cantidad de nuevos programas nocivos de la clase Other MalWare (por conductas).

Cantidad de nuevos programas nocivos de la clase Other MalWare
Crecimiento de los nuevos programas nocivos de la clase Virware

MalWare Total 2008 2007-2 Crecimiento 2008% “+/-”
Hoax 3371 1085 210,69% 26,367 -3,28%
FraudTool 3339 387 762,79% 26,117 15,54%
Exploit 1975 711 177,78% 15,448 -3,98%
HackTool 1377 306 350,00% 10,77 2,41%
Constructor 731 292 150,34% 5,718 -2,26%
Packed 509 403 26,30% 3,981 -7,03%
SpamTool 431 184 134,24% 3,371 -1,66%
IM-Flooder 287 55 421,82% 2,245 0,74%
Flooder 196 51 284,31% 1,533 0,14%
BadJoke 174 69 152,17% 1,361 -0,52%
VirTool 153 50 206,00% 1,197 -0,17%
Email-Flooder 77 8 862,50% 0,602 0,38%
DoS 75 37 102,70% 0,587 -0,42%
Spoofer 36 6 500,00% 0,282 0,12%
Sniffer 24 10 140,00% 0,188 -0,09%
SMS-Flooder 15 4 275,00% 0,117 0,01%
Nuker 15 2 650,00% 0,117 0,06%
Total 12785 3660 249,32% 100%  

Los programas de la conducta Hoax siguen siendo los más propagados en esta categoría. Este es el tercer año seguido que registramos un alto porcentaje de crecimiento, del 150% al 286%. A pesar de todo, según los resultados de los primeros seis meses de 2008, su porcentaje entre todos los programas de la categoría Otro Malware se redujo en más del 3%.

El que una vez fuese el líder en cantidad –Exploit- sigue perdiendo posiciones. Aunque su crecimiento es del 178%, no ha logrado mantenerse en segundo lugar. En estos momentos, ocupa el tercer lugar y un 15,5% de la cantidad total de Otro Malware.

Dos nuevas conductas, que aparecieron en nuestra clasificación sólo en 2007 -nos referimos a Packed y FraudTool- se comportan de forma muy dispar. El notable crecimiento que Packed mostró el año pasado, en la primera mitad de 2008 prácticamente se ha detenido (es de sólo el 26%). Esto supuso la disminución de la participación de Packed en más del 7%.

En cambio, FraudTool y Hoax se han convertido en los líderes. Y esto se debe al crecimiento de estos programas en más del 760%. La popularidad de esta conducta sigue aumentando entre los autores de virus. La principal subespecie de FraudTool son los programas que se hacen pasar por antivirus (en inglés rogue-antivirus). Cuando se instalan en un equipo, encuentran virus hasta en equipos que están completamente sanos y ofrecen comprar la versión completa de sus programas. Además de engañar a los usuarios, estos programas contienen programas adware.

Programas potencialmente peligrosos (PUPs)

Los programas potencialmente peligrosos (Potentially Unwanted Programs) aparecieron en nuestros informes a partir del año pasado. Son programas escritos y difundidos por compañías legales, pero que contienen funciones que los delincuentes pueden usar para causar daño a los usuarios. Resulta imposible clasificar estos programas como seguros o peligrosos, porque todo depende de quién los use.

Según la clasificación de Kaspersky Lab, existen tres tipos de programas potencialmente peligrosos:

  1. Programas publicitarios (Adware): programas destinados a mostrar anuncios publicitarios, remitir las búsquedas a páginas web publicitarias y a recopilar datos sobre el usuario (por ejemplo, qué tipo de sitios visita).
  2. RiskWare programas legales que los delincuentes pueden usar para causar pérdidas a los usuarios o dañar sus datos (eliminarlos, bloquearlos, modificar o copiar información, interferir en el funcionamiento de los equipos y redes informáticas).
  3. Programas pornográficos (Pornware): programas que muestran contenidos pornográficos (en esta categoría existen tres conductas: Porn-Tool, Porn-Dialer y Porn-Downloader).

Programas publicitarios

Es la categoría más estable. Este es el segundo año seguido que el AdWare muestra un ritmo de crecimiento estable, de más del 450%. La media mensual de nuevos ejemplares ya se acerca a los 8.000, por lo que programas publicitarios han ascendido al segundo puesto entre todos los programas detectados por nuestro antivirus.

Presentamos el gráfico de la cantidad de nuevos programas publicitarios detectados por los analistas de Kaspersky Lab:


Cantidad de nuevos programas AddWare (julio de 2007–junio de 2008)

AdWare Total 2008 2007-2 Crecimiento
AdWare 46134 8168 464,81%

En la tabla se nota el súbito incremento que tuvo lugar en los primeros meses de 2008. Una vez más, debemos reconocer que todos los esfuerzos de las legislaciones de muchos países para prohibir o someter a la ley estos programas todavía no han tenido éxito. Por supuesto, muchos programadores de AdWare han cambiado las funciones de sus productos (lo que ha causado el crecimiento de programas AdTool, al que nos referiremos más tarde); sin embargo, esto no es suficiente para que los usuarios estén a salvo de la irritante publicidad.

Es aún más triste que muchos programas publicitarios estén adquiriendo funciones de troyanos y tecnologías rootkit para hacerse invisibles en el sistema. Un buen ejemplo de este tipo de programas es Virtumonde. Hace unos años este programa era un AdWare común y corriente, pero ahora lo clasificamos como Trojan, porque sus autores usan los métodos más sucios.

Programas de las categorías RiskWare y PornWare

En vista de que las conductas PornWare son sólo tres y el porcentaje de estos programas según Kaspersky Lab alcanza el 11,7% de todos los programas potencialmente peligrosos en el primer semestre de 2008, hemos unido a esta categoría los programas RiskWare.

Presentamos el gráfico de la cantidad de nuevos programas Riskware y PornWare detectados por los analistas de Kaspersky Lab.


Cantidad de nuevos programas RiskWare y PornWare (julio de 2007–junio de 2008)

En 2008, la cantidad de programas detectados por Kaspersky Lab como RiskWare y PornWare ha superado los 26.000, con lo que el crecimiento de ambas categorías es superior al 1700%. Esto ha sido debido a que se agregó a las bases antivirus varios miles de programas AdTool. En el gráfico se puede ver claramente el pico alcanzado en marzo.

La distribución de las conductas de los RiskWare y PornWare se puede representar de la siguiente manera:


RiskWare y Pornware: distribución porcentual de las conductas

Cantidad de nuevos programas de las categorías RiskWare y PornWare (por conductas):

RiskWare&PornWare Total 2008 2007-2 Crecimiento 2008% “+/-”
AdTool 13555 50 27010,00% 51,33 47,90%
Porn-Dialer 8311 130 6293,08% 31,48 22,60%
Monitor 1491 611 144,03% 5,65 -36,20%
PSW-Tool 719 131 448,85% 2,72 -6,20%
Downloader 688 104 561,54% 2,61 -4,50%
Server-FTP 396 36 1000,00% 1,5 -1,00%
Demás programas nocivos: 246 47 423,40% 0,93 -2,30%
RemoteAdmin 228 107 113,08% 0,86 -6,50%
Net-Tool 200 73 173,97% 0,76 -4,20%
Porn-Tool 165 13 1169,23% 0,62 -0,30%
RiskTool 139 51 172,55% 0,53 -3,00%
Dialer 113 46 145,65% 0,43 -2,70%
Server-Proxy 67 17 294,12% 0,25 -0,90%
Porn-Downloader 35 15 133,33% 0,13 -0,90%
Tool 26 15 73,33% 0,1 -0,90%
Client-IRC 11 7 57,14% 0,04 -0,40%
Server-Web 7 5 40,00% 0,03 -0,30%
Server-Telnet 5 0   0,02  
WebToolbar 2 0   0,01  
Client-SMTP 1 2 -50,00% 0 -0,10%
Total 26405 1460 1708,56% 100%  

Entre las conductas de estas dos categorías se perfilan dos líderes: AdTool (51,33%) y Porn-Dialer (31,48%).

AdTool son diferentes módulos publicitarios que no se pueden clasificar como AdWare ya que tienen todos los atributos de los programas legales: cuentan con un contrato de uso, no ocultan su presencia en el equipo e informan al usuario sobre todas sus acciones. El liderazgo de AdTool era completamente predecible, a juzgar por la cantidad de estos programas agregados a las bases antivirus.

Los Porn-Dialers hacen llamadas a números de pago, lo que suele acarrear disputas legales entre los abonados y las compañías telefónicas.

Los programas de conducta Monitor, que lideraban 2007, han bajado notablemente sus porcentajes. Entre ellos están los programas keyloger legales que se producen y venden oficialmente, pero que sí contienen funciones de camuflaje en el sistema y pueden usarse como troyanos espía. En los primeros 6 meses de 2008 han perdido más del 35% y ahora ocupan el tercer lugar entre todos los programas potencialmente peligrosos.

Las categorías PSW-Tool y Downloader Siguen se mantienen extensamente representadas. Los primeros sirven para recuperar contraseñas olvidadas, pero pueden ser utilizadas por los delincuentes para averiguar las contraseñas de los usuarios. Los segundos pueden usarse para instalar programas nocivos en el equipo de la víctima.

También hay que mencionar que los programas del tipo RemoteAdmin han descendido notablemente (-6,5%).

Plataformas y sistemas operativos

El año pasado publicamos por primera vez una estadística detallada de la distribución de los programas nocivos y potencialmente peligrosos según sistemas operativos y plataformas.

Un sistema operativo o una aplicación pueden ser atacados por programas nocivos si permiten ejecutar programas que no son parte del sistema. Esta condición la cumplen todos los sistemas operativos, muchas aplicaciones ofimáticas, editores gráficos, sistemas DAO (Diseño Asistido por Ordenador) y demás programas que usen scripts.

En los primeros seis meses de 2008, Kaspersky Lab detectó programas nocivos y potencialmente peligrosos para 41 plataformas y sistemas operativos diferentes.

Por supuesto, la mayoría de los programas son para el sistema Win32 y son ficheros ejecutables. Estos programas suponían el 98,31%.

Los programas nocivos orientados a otros sistemas operativos y plataformas son menos del 2% de todos los programas detectados. En el primer semestre de 2008, la cantidad de programas nocivos y potencialmente peligrosos para Win32 creció en un 233% (en comparación con los últimos seis meses de 2007). Los programas para otras plataformas y aplicaciones crecieron en un 39%, porcentaje menor al de 2007, que fue del 63%. De esta manera, el interés de los creadores de virus sigue centrado en Win32. Por el contrario, el crecimiento de amenazas para plataformas diferentes a Windows se ha detenido y la cantidad de estas amenazas ha empezado a disminuir. (Recordamos que en el segundo semestre de 2007 eran el 4% de todas las amenazas).


Cantidad de programas nocivos y potencialmente peligrosos para diferentes plataformas

  2007-2 2008-1 Crecimiento 2007% 2008% “+/-”
Win32 130131 432862 232,60% 96,00% 98,30% -2,27
Demás programas nocivos: 5362 7449 38,90% 4,00% 1,70% 2,27
Total 135493 440311 225,00%      
  I 2008 II 2007 Crecimiento
Acad 6 5 20%
ALS 1 3 -67%
ASP 39 135 -71%
BAT 765 553 38%
DOS 45 44 2%
HTML 1103 930 19%
HWP 1 0 0%
Ichitaro 1 0 0%
IIS 1 0 0%
IRC 51 86 -41%
J2ME 41 6 583%
Java 17 25 -32%
JS 3311 2240 48%
Linux 28 45 -38%
Mac 14 33 -58%
MSAccess 14 4 250%
MSExcel 94 10 840%
MSIL 327 31 955%
MSOffice 7 3 133%
MSPPoint 42 16 163%
MSWord 135 83 63%
Multi 4 11 -64%
MySQL 1 0 0%
NSIS 27 17 59%
OLE2 1 0 0%
OSX 6 0 0%
Perl 39 37 5%
PHP 155 186 -17%
Python 10 9 11%
RAR 7 12 -42%
Ruby 3 5 -40%
Shell 5 0 0%
SWF 260 3 8567%
SymbOS 34 30 13%
VBS 820 748 10%
Win16 6 7 -14%
Win32 432862 130131 233%
Win9x 5 3 67%
WinCE 3 0 0%
WinREG 15 39 -62%
WMA 5 3 67%
Total 440311 135493 225%

El crecimiento de nuevos programas para diferentes sistemas operativos y plataformas es muy diverso. Mencionaremos los cambios más significativos que han tenido lugar en el primer semestre:

  • Los lenguajes de script VBS y JS que el año pasado estaban en las primeras posiciones han reducido notablemente su desarrollo como plataforma para la creación de virus.
  • Ha crecido en un 583% la cantidad de programas nocivos para la plataforma J2ME. Ya hemos mencionado el incremento de la cantidad de Trojan-SMS que en su mayoría funciona en esta plataforma.
  • Ha crecido en un 840% la cantidad de programas nocivos plasmados en forma de ficheros XLS que como regla aprovechan las vulnerabilidades de MS Excel. El último año se han encontrado decenas de vulnerabilidades y todas han sido aprovechadas por los autores de virus, sobre todo por los chinos.
  • Ha aumentado en un 955% la cantidad de programas para la plataforma .NET. Es un fenómeno que se esperaba desde hace mucho tiempo y que ha empezado en 2008. En perspectiva, suponemos que esta plataforma alcanzará el segundo puesto en popularidad, dejando muy atrás a Java Script. Una característica adicional de .NET, muy interesante para los creadores de virus, es la posibilidad de ejecutar ficheros no sólo en los equipos con Windows, sino también en los dispositivos móviles que funcionan con Windows Mobile.
  • Ha crecido en un 8500% la cantidad de programas nocivos en forma de ficheros SWF. La causa de este crecimiento es la presencia de una grave vulnerabilidad en el procesamiento de estos ficheros. La comunidad clandestina de Internet reaccionó de inmediato y empezó a usar los ficheros SWF como un nuevo método para infectar equipos. Como consecuencia, en la primavera de 2008 aparecieron más de 250 variantes de ficheros SWF nocivos.

Agrupemos los ataques del primer semestre de 2008 según sistema operativo y plataforma. Por ejemplo, JS y VBS estarán en el grupo de Windows; Ruby y Perl, en el de Unix-Linux, etc.

De esta manera, en:

  • *nix tenemos a Linux, Perl, PHP, Ruby и Shell;
  • Mobile – J2ME, Symbian, WinCE y Python;
  • Mac – OSX y Mac; “otros”: DOS, IIS, Multi y MySQL.
  Cantidad %
Nix 230 0,052
Mac 20 0,005
Mobile 88 0,02
Demás programas nocivos: 51 0,012
Windows 439922 99,912

Conclusiones

El desarrollo de las amenazas en 2008 sigue el escenario de 2007: los creadores de virus no se esfuerzan en generar nuevas tecnologías y le dan más importancia a la cantidad y no a la calidad de los programas nocivos que crean.

El número de nuevas amenazas crece en proporción casi geométrica. Este proceso está acompañado por una reducción del ciclo vital de los nuevos programas nocivos en el mundo real. Y es que de mil nuevos troyanos descubiertos en un día, al pasar una semana o mes, en Internet quedarán unas cuantas decenas. Todos los demás desaparecerán, dejando su lugar a nuevos programas o modificaciones creadas para burlar los programas antivirus.

Sin embargo, creemos que este impetuoso crecimiento de nuevos programas nocivos no será eterno y no se excluye la posibilidad de que su crecimiento se reduzca o estabilice durante este año. Sin duda, los volúmenes existentes (cerca de 500.000 nuevos programas nocivos en medio año) se conservarán, pero en dimensiones que las compañías antivirus podrán controlar sin dificultad.

Actualmente, la industria antivirus ha de enfrentarse a retos muy diferentes a los del pasado. Para ser más precisos, deberán dirigir sus esfuerzos en el desarrollo de métodos de “aviso temprano” de amenazas para detectarlas en el menor tiempo posible. Si antes la respuesta de los programas antivirus se medía en horas o días, ahora la cuenta va en minutos. En este tiempo los expertos en virus deben detectar el nuevo código en Internet (en cualquier lugar del mundo), analizarlo, publicar los medios de protección y hacérselos llegar al usuario

.

Kaspersky: Boletín de seguridad 2008. Desarrollo de los programas nocivos en el primer semestre de 2008

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada