Autores
- Desarrollo de las amenazas en 2008
- Las principales estadísticas de 2008
- El spam en 2008
A diferencia de nuestros anteriores informes anuales y semestrales, el presente informe se basa casi exclusivamente en los datos obtenidos y procesados por el sistema Kaspersky Security Network (KSN). Esta nueva forma de reunir datos es una de las novedades de los productos personales Kaspersky versión 2009 y actualmente se está preparando su implementación en los productos corporativos de Kaspersky Lab.
Kaspersky Security Network permite a nuestros expertos, en tiempo real, detectar los nuevos programas nocivos que todavía no tienen antídoto en forma de identikits o no son detectados por heurística. KSN permite desenmascarar las fuentes de propagación de programas nocivos en Internet y evitar que los usuarios se conecten a los sitios infectados.
Al mismo tiempo, KSN permite acelerar la velocidad de reacción ante las nuevas amenazas, ya que se puede bloquear el lanzamiento de un nuevo programa nocivo en los equipos de los usuarios de KSN en una fracción de segundo desde el momento en que se les asigne el dictamen de “peligroso”, sin necesidad de actualizar las bases antivirus.
Programas nocivos en Internet (ataques a través de la web)
El correo electrónico ha pasado a un segundo plano como método de infección, dejando su puesto a los sitios web. Los delincuentes usan los recursos web tanto para infectar los equipos de los usuarios como para descargar nuevas variantes de programas nocivos desde Internet. Con este objetivo, se echa mano de los servicios de posting ilegales, como McColo, Atrivo y el funesto RBN, y también de sitios legítimos que han caído en poder de los hackers.
La aplastante mayoría de ataques web se realiza por medio de la tecnología drive-by-download: el equipo se infecta de una forma imperceptible para el usuario cuando éste trabaja en Internet. Muchos de los sitios que han caído en manos de los delincuentes informáticos remiten al usuario, sin que llegue a sospecharlo, a otros recursos que contienen el código nocivo que se activa en su equipo, sobre todo mediante vulnerabilidades en los navegadores o en sus componentes agregados (ActiveX, RealPlayer, etc.).
Con la ayuda de Kaspersky Security Network, podemos realizar la estadística y el análisis de todos los intentos de infectar a nuestros usuarios cuando navegan en Internet.
Programas nocivos en Internet TOP 20
Según los resultados del trabajo de KSN en 2008, se han registrado 23.680.646 ataques a nuestros usuarios, la totalidad de los cuales fue neutralizada por nuestros productos. Hemos hecho una lista de los 100 programas nocivos más activos que participaron en estos ataques. Son responsables de 3.513.355 ataques.
Detectamos cada uno de estos 100 programas más de 7.000 veces. Los 20 primeros programas de la lista fueron responsables de más del 59% de los incidentes, lo que permite considerarlos como los más propagados en Internet en 2008:
| Lugar | Nombre | Cantidad de ataques | Porcentaje del TOP 100 |
| 1 | Heur.Trojan.Generic | 248.857 | 7,08% |
| 2 | Trojan-Downloader.Win32.Small.aacq | 228.539 | 6,50% |
| 3 | Trojan-Clicker.HTML.IFrame.wq | 177.247 | 5,04% |
| 4 | Exploit.JS.RealPlr.nn | 157.232 | 4,48% |
| 5 | Trojan-Downloader.SWF.Small.ev | 135.035 | 3,84% |
| 6 | Trojan-Clicker.HTML.IFrame.yo | 121.693 | 3,46% |
| 7 | Exploit.Win32.Agent.cu | 120.079 | 3,42% |
| 8 | Trojan-Downloader.HTML.IFrame.wf | 107.093 | 3,05% |
| 9 | Exploit.SWF.Downloader.hn | 85.536 | 2,43% |
| 10 | Trojan-Downloader.Win32.Small.abst | 78.014 | 2,22% |
| 11 | Trojan-Downloader.JS.Agent.dau | 73.777 | 2,10% |
| 12 | Exploit.Win32.PowerPlay.a | 70.749 | 2,01% |
| 13 | Exploit.JS.RealPlr.nl | 70.082 | 1,99% |
| 14 | Exploit.SWF.Downloader.ld | 69.804 | 1,99% |
| 15 | Trojan-Downloader.JS.IstBar.cx | 68.078 | 1,94% |
| 16 | Trojan-GameThief.Win32.Magania.gen | 66.136 | 1,88% |
| 17 | Trojan-Downloader.JS.Iframe.yv | 62.334 | 1,77% |
| 18 | Trojan.HTML.Agent.ai | 60.461 | 1,72% |
| 19 | Trojan-Downloader.JS.Agent.czf | 41.995 | 1,20% |
| 20 | Exploit.JS.Agent.yq | 40.465 | 1,15% |
El primer lugar lo ocupa un veredicto heurístico de nuevos programas troyanos que todavía no cuentan con un identikit exacto. En 2008 esta definición heurística detuvo unos 250.000 ataques a nuestros usuarios.
Pero si tomamos en cuenta sólo los programas nocivos que tienen identikit, el más propagado en 2008 fue Trojan-Downloader.Win32.Small.aacq.
En la lista TOP 20 hay siete exploits que aprovechan las vulnerabilidades de RealPlayer y Flash Player (RealPlr y SWF). Estas vulnerabilidades, detectadas en 2008, se han convertido en el principal instrumento que usan los delincuentes para infectar a los usuarios.
Diez de los 20 programas están escritos en JavaScript contenidos en etiquetas HTML, lo que una vez más hace patente la necesidad de contar con un antivirus que analice los scripts ejecutables. Un instrumento muy efectivo en la lucha contra estas amenazas son los diferentes complementos para los navegadores, que se encargan de bloquear la ejecución de scripts sin la participación del usuario, como por ejemplo NoScrip para Firefox. Recomendamos usar en los ordenadores estas soluciones como complemento a la defensa antivirus. Además de reducir el riesgo de contagio, pueden proteger contra otros tipos de ataques en Internet, por ejemplo, disminuir el riesgo relacionado con las vulnerabilidades XSS.
TOP 20 de los países que hospedan programas nocivos
Ya hemos mencionado que los delincuentes usan servicios de hospedaje “en la sombra” y sitios tomados por los hackers para instalar programas nocivos y exploits.
Los 23.508.073 ataques que registramos en 2008 se realizaron desde recursos de Internet ubicados en 126 países del mundo (no se pudo establecer a qué países corresponden 172.573 ataques). La delincuencia cibernética se ha convertido en un problema mundial y en este momento, en cualquier país hay recursos de Internet que son fuentes de infección que difunden programas nocivos.
No obstante, más del 99% de los ataques que registramos se llevaron a cabo desde 20 países. No hemos calculado el coeficiente de infecciones en relación al total de recursos de Internet que existen en estos países, pero las personas que tienen acceso a los datos correspondientes pueden fácilmente hacer un ranking de los países con la mayor cantidad de recursos infectados usando la siguiente estadística:
| Lugar | País | Cantidad de ataques |
Porcentaje del total de ataques |
| 1 | China | 18.568.923 | 78,990% |
| 2 | Estados Unidos | 1.615.247 | 6,871% |
| 3 | Países Bajos | 762.506 | 3,244% |
| 4 | Alemania | 446.476 | 1,899% |
| 5 | Rusia | 420.233 | 1,788% |
| 6 | Letonia | 369.858 | 1,573% |
| 7 | Reino Unido | 272.905 | 1,161% |
| 8 | Ucrania | 232.642 | 0,990% |
| 9 | Canadá | 141.012 | 0,600% |
| 10 | Israel | 116.130 | 0,494% |
| 11 | Lituania | 110.380 | 0,470% |
| 12 | Corea del Sur | 46.167 | 0,196% |
| 13 | Hong Kong | 44.487 | 0,189% |
| 14 | Estonia | 41.623 | 0,177% |
| 15 | Suecia | 40.079 | 0,170% |
| 16 | Francia | 31.257 | 0,133% |
| 17 | Italia | 29.253 | 0,124% |
| 18 | Brasil | 25.637 | 0,109% |
| 19 | Filipinas | 19.920 | 0,085% |
| 20 | Japón | 16.212 | 0,069% |
China es el líder absoluto de 2008 por el total de ataques desde los recursos ubicados en este país.
Casi el 80% de todos los programas nocivos y exploits que fueron neutralizados cuando intentaban penetrar en los equipos de nuestros usuarios provenían o se encontraban en servidores chinos. Esto concuerda con otra estadística que obra en nuestro poder: más del 70% de los nuevos programas nocivos son de origen chino.
Con mucha frecuencia los delincuentes de otros países usan recursos web chinos porque cuando se dan de alta en un sitio nadie verifica los datos de registro y porque no existe la posibilidad de que las fuerzas del orden extranjeras cierren los websites ubicados en este país.
La presencia en el TOP 20 de países tan pequeños como Estonia, Letonia y Lituania está condicionada por los estrechos lazos de los delincuentes cibernéticos con sus colegas en Rusia y Ucrania. Las regiones aledañas al mar Báltico siguen estando entre las más cómodas para ejercer la delincuencia cibernética. En el pasado, los delincuentes cibernéticos de habla rusa usaron más de una vez los bancos bálticos para lavar dinero obtenido del carding y otros tipos de delincuencia informática. La historia que involucró al registrador estonio EstDomains, que prestaba servicios a miles de delincuentes informáticos, tuvo una amplia resonancia a finales de 2008.
Estos hechos refutan las afirmaciones que se han venido haciendo últimamente de que Estonia es uno de los líderes europeos en la lucha contra las amenazas informáticas y que presuponen su experiencia en la neutralización de ataques de red.
Países cuyos habitantes fueron atacados en 2008: TOP 20
Existe un índice más de similar importancia: en qué países y regiones se atacó a los usuarios.
En 2008 los equipos de 215 países y regiones del mundo estuvieron bajo amenaza de infectarse 23.680.646 veces. Sin exageración, se trata de todo el planeta. Los habitantes de todos los países, incluso los más diminutos y alejados estuvieron bajo riesgo de infección (por ejemplo, Micronesia sufrió 15 ataques, Kiribati 2 y las Islas Caimanes, 13), y nadie sabe cuántos de los ataques tuvieron éxito.
Los habitantes de los 20 países siguientes sufrieron cerca del 89% de todos los ataques registrados:
| Lugar | País | Cantidad de ataques |
Porcentaje del total de ataques |
| 1 | China | 12.708.285 | 53,665% |
| 2 | Egipto | 3.615.355 | 15,267% |
| 3 | Turquía | 709.499 | 2,996% |
| 4 | India | 479.429 | 2,025% |
| 5 | Estados Unidos | 416.437 | 1,759% |
| 6 | Vietnam | 346.602 | 1,464% |
| 7 | Rusia | 335.656 | 1,417% |
| 8 | México | 308.399 | 1,302% |
| 9 | Arabia Saudita | 287.300 | 1,213% |
| 10 | Alemania | 253.097 | 1,069% |
| 11 | Marruecos | 230.199 | 0,972% |
| 12 | Tailandia | 204.417 | 0,863% |
| 13 | Indonesia | 190.607 | 0,805% |
| 14 | Reino Unido | 188.908 | 0,798% |
| 15 | Francia | 182.975 | 0,773% |
| 16 | Siria | 134.601 | 0,568% |
| 17 | Brasil | 123.736 | 0,523% |
| 18 | Taiwan | 122.264 | 0,516% |
| 19 | Italia | 121.508 | 0,513% |
| 20 | Israel | 118.664 | 0,501% |
Este ranking refleja en qué países los usuarios sufrieron la mayor la cantidad de ataques. Como era de esperar, en el primer lugar está China: los programas nocivos chinos están orientados sobre todo a los usuarios locales. Más de la mitad (53,66%) de todos los ataques estuvieron dirigidos a ellos. Hay muchas probabilidades de que la mayoría de los ataques guardaran relación con la propagación de troyanos orientados a robar las cuentas de los usuarios de juegos en línea.
Tampoco nos sorprende la gran cantidad de ataques a los usuarios de países como Egipto, Turquía e India. Estos países están experimentando un verdadero boom de Internet y el número de usuarios está creciendo en progresión geométrica, pero en un entorno donde cuentan con un bajísimo nivel de preparación técnica. Son justo estos usuarios de ordenadores los que se convierten en las principales víctimas de los delincuentes informáticos. En estos países, los equipos infectados se usan sobre todo para crear redes zombi (botnets) que después se utilizan para propagar spam, lanzar ataques de phishing y propagar nuevos programas nocivos.
Países como EE UU, Rusia, Alemania, Inglaterra, Francia, Brasil, Italia e Israel también se encuentran en la lista TOP 20, pero en este caso a los delincuentes les interesa echar mano de las cuentas de los usuarios de sistemas bancarios, de pagos y a los diferentes recursos de red y datos personales.
Tiempo de vida de un URL nocivo
Hemos obtenido unos datos muy interesantes basados en el análisis de más de 26 millones de ataques registrados. Nos referimos al tiempo de vida de un URL nocivo.
Si antes las epidemias en el correo electrónico se prolongaban durante meses y, en algunos casos, años, ahora que el vector de las infecciones se ha trasladado a la web el tiempo de vida de un ataque en particular puede calcularse en días o incluso en horas.
La brevedad de estos ataques se explica no sólo por el hecho de que los propietarios de los sitios web eliminan con celeridad los programas nocivos, sino también porque los delincuentes los trasladan constantemente de un recurso a otro en un intento de hacer que las nuevas variantes de malware evadan las listas de rechazados de URL implementadas en los programas antivirus y navegadores modernos.
En 2008 el periodo de vida medio de un URL nocivo fue de 4 horas.
Ataques a puertos
Los cortafuegos (firewall) se han convertido en parte imprescindible de todo programa antivirus moderno. Permiten bloquear los diferentes ataques provenientes del exterior que se realizan sin usar el navegador. También evitan que se roben los datos confidenciales del usuario.
Una de las funciones del cortafuegos de Kaspersky Internet Security es el análisis de los paquetes entrantes, porque muchos de ellos son exploits que aprovechan las vulnerabilidades de los servicios de red de los sistemas operativos y pueden infectar los sistemas que carecen de los parches correspondientes o permitir que los delincuentes obtengan acceso irrestricto al sistema.
En 2008 el sistema UDS de Kaspersky Internet Security 2009 neutralizó 30.234.287 ataques de red.
| Lugar | Ataque | Cantidad | Porcentaje del total de ataques |
| 1 | DoS.Generic.SYNFlood | 20.578.951 | 68,065 |
| 2 | Intrusion.Win.MSSQL.worm.Helkern | 6.723.822 | 22,239 |
| 3 | Intrusion.Win.DCOM.exploit | 783.442 | 2,591 |
| 4 | Intrusion.Win.NETAPI.buffer-overflow.exploit | 746.421 | 2,469 |
| 5 | Scan.Generic.UDP | 657.633 | 2,175 |
| 6 | Intrusion.Win.LSASS.exploit | 267.258 | 0,884 |
| 7 | Intrusion.Win.LSASS.ASN1-kill-bill.exploit | 194.643 | 0,644 |
| 8 | Intrusion.Generic.TCP.Flags.Bad.Combine.attack | 172.636 | 0,571 |
| 9 | DoS.Generic.ICMPFlood | 38.116 | 0,126 |
| 10 | Scan.Generic.TCP | 38.058 | 0,126 |
| 11 | Intrusion.Win.HTTPD.GET.buffer-overflow.exploit | 13.292 | 0,044 |
| 12 | Intrusion.Win.Messenger.exploit | 5.505 | 0,018 |
| 13 | DoS.Win.IGMP.Host-Membership-Query.exploit | 2.566 | 0,008 |
| 14 | Intrusion.Win.EasyAddressWebServer.format-string.exploit | 1.320 | 0,004 |
| 15 | Intrusion.Win.PnP.exploit | 1.272 | 0,004 |
| 16 | Intrusion.Win.MSFP2000SE.exploit | 1.131 | 0,004 |
| 17 | Intrusion.Win.VUPlayer.M3U.buffer-overflow.exploit | 1.073 | 0,004 |
| 18 | DoS.Win.ICMP.BadCheckSum | 986 | 0,003 |
| 19 | Intrusion.Unix.Fenc.buffer-overflow.exploit | 852 | 0,003 |
| 20 | Intrusion.Win.MediaPlayer.ASX.buffer-overflow.exploit | 821 | 0,003 |
Los primeros 10 lugares contienen varios ataques de los gusanos de red que provocaron epidemias globales en 2003-2005. Por ejemplo, el segundo lugar (con más de seis millones de ataques) pertenece a Halkern (Slammer), que causó una epidemia en enero de 2003. Han pasado casi seis años desde entonces, pero hasta ahora subsisten equipos infectados que se convierten en fuentes de ataques.
El tercer lugar lo ocupan las acciones de diferentes gusanos que usan la vulnerabilidad RPC-COM (MS03-026). Esta misma vulnerabilidad preparó el terreno para la epidemia del gusano Lovesan en agosto de 2003.
El cuarto lugar pertenece a una de las vulnerabilidades más peligrosas de 2008: MS08-067. Los expertos se enteraron de su existencia sólo después de que en Internet se descubrieran varios programas nocivos que ya utilizaban esta brecha en el servicio de red NetAPI. El gusano de red Gimmiv fue el culpable de varios miles de infecciones y después de que la información sobre la vulnerabilidad y el exploit ad-hoc se hicieron públicos en Internet, los programas nocivos basados en MS08-063 empezaron a aparecer por decenas y a finales de 2008 ya se habían convertido en la principal amenaza para los usuarios.
Los puestos seis y siete pertenecen a los gusanos que apuntan a la vulnerabilidad MS04-011. El más claro representante de este tipo de malware es el gusano Sasser, que fue la causa de una epidemia en abril de 2004.
Todos estos datos muestran que, a pesar de que el pico de las epidemias de los gusanos de red es cosa del pasado, estos siguen presentes en Internet y a la búsqueda de nuevas víctimas. Es muy fácil exponerse a su infección. Basta usar sistemas operativos obsoletos o sin actualizar y no tener un cortafuegos instalado.
Infecciones locales
Un factor de primordial importancia es la estadística de las infecciones locales que afectan a los equipos de los usuarios. Aquí se reflejan los datos de los objetos que penetraron en los equipos sin usar la web, el correo electrónico o los puertos de red.
Nuestras soluciones antivirus detectaron más de seis millones (6.394.359) de incidentes virales en los equipos que integran Kaspersky Security Network.
En estos incidentes se pudo registrar 189.785 diferentes programas nocivos y potencialmente indeseables.
Los primeros 100 de la lista son responsables de 941.648 incidentes, o sea, del 14,72%.
Los programas nocivos que ocupan los primeros 20 lugares son las amenazas más difundidas en 2008.
| Número | Objeto detectado |
Cantidad de equipos únicos dónde se descubrió el objeto |
| 1 | Virus.Win32.Sality.aa | 29.804 |
| 2 | Packed.Win32.Krap.b | 27.575 |
| 3 | Trojan-Downloader.Win32.Small.acmn | 25.235 |
| 4 | Worm.Win32.AutoRun.dui | 22.127 |
| 5 | Trojan-Downloader.Win32.VB.eql | 21.615 |
| 6 | Packed.Win32.Black.a | 19.586 |
| 7 | Trojan.Win32.Agent.abt | 17.832 |
| 8 | Virus.Win32.Alman.b | 16.799 |
| 9 | Trojan-Downloader.JS.IstBar.cx | 16.264 |
| 10 | Trojan.Win32.Obfuscated.gen | 15.795 |
| 11 | Worm.VBS.Autorun.r | 15.240 |
| 12 | Trojan-Downloader.WMA.Wimad.n | 15.152 |
| 13 | Trojan.Win32.Agent.tfc | 15.087 |
| 14 | not-a-virus:AdWare.Win32.BHO.ca | 14.878 |
| 15 | Trojan-Downloader.WMA.GetCodec.c | 14.638 |
| 16 | Virus.Win32.VB.bu | 14.452 |
| 17 | Trojan-Downloader.HTML.IFrame.sz | 14.247 |
| 18 | not-a-virus:AdWare.Win32.Agent.cp | 14.001 |
| 19 | Email-Worm.Win32.Brontok.q | 13.142 |
| 20 | Worm.Win32.AutoRun.eee | 12.386 |
No hay que olvidar que esta estadística refleja sólo los incidentes registrados en los equipos de los usuarios de nuestros productos que han aceptado participar en el proyecto Kaspersky Security Network.
El líder de 2008 por la cantidad de equipos en los que fue detectado es el virus Sality.aa. De esta manera, por primera vez en los últimos seis años la “amenaza del año” fue un virus clásico y no un gusano de correo o de red, como sucedía antes.
Y es que Sality.aa causó una verdadera epidemia mundial en 2008. Nuestra compañía recibió confirmaciones de su detección en Rusia, Europa, América y Asia.
Una de las tendencias más importantes de los últimos años, sobre la que hemos escrito más de una vez, es el impetuoso crecimiento de la popularidad de los medios extraíbles (por ejemplo, los USB Flash) como portadores de programas nocivos. La función de lanzamiento automático (autorun) de ficheros integrada en el sistema operativo Windows activa los programas nocivos que se encuentran en los flash USB. Es decir, entra en funcionamiento el mismo esquema de hace 15 años, cuando los virus de inicio clásicos se activaban durante el trabajo con disquetes.
Sality.aa utiliza el mismo método de propagación, copiando los ficheros que ha infectado en los flash USB y creando un fichero autorun.inf especial para ejecutarlos.
Un ejemplo de un fichero autorun.info es el siguiente:
;sgEFA
;uloN hbXYcKOjfOmfO
sHelLoPenDEfAult=1
;ajdsvAswgioTfv
sheLlopenCOmmAnD= qwail.cmd
;
sheLlexPLoRecommANd= qwail.cmd
;LtCTlKvhfbrDtfPpmnkawlLHemPefllTI aDekTmqqhj
opEn =qwail.cmd
;sAmqcWVlGkgqe
shElLAUtOplaycommANd=qwail.cmd
;JduAKbkYnfWejLP cNLU PyAdJo TkGRDlpvoMvJPqvD kptHbu
Otros cinco programas nocivos del TOP 20 usan métodos similares de propagación: Worm.Win32.AutoRun.dui, Virus.Win32.Alman.b, Worm.VBS.Autorun.r, Email-Worm.Win32.Brontok.q, Worm.Win32.AutoRun.eee.
En el ranking, la cantidad de equipos infectados por estos seis programas autorun constituyen el 30,77% del total. En la lista de los 100 programas nocivos, este porcentaje sobrepasa el 18,5%.
Se puede constatar el hecho de que actualmente este método de propagación es el más popular entre los autores de virus y casi siempre se combina con otras funciones como la infección de ficheros, el robo de información y la creación de botnets. La difusión de programas nocivos mediante el uso de medios extraíbles ya se ha convertido en parte integrante de determinadas familias de programas, por ejemplo, Trojan-GameThief.
De los 20 programas nocivos más propagados, seis pertenecen a la clase Trojan-Downloader (dos de ellos están entre los cinco primeros puestos). Esto es un indicio de que con gran frecuencia los autores de virus tratan de infectar al equipo primero con un descargador, y no con el programa nocivo principal. Esta forma de enmascarar las cosas les ofrece muchas más posibilidades en el momento de escoger el uso que darán al ordenador infectado y permite instalar en él otros troyanos creados por grupos de delincuentes informáticos diferentes.
Llegado este momento, nos permitiremos una pequeña digresión lírica para recordar la leyenda griega del caballo de Troya. Se trataba de un regalo que los astutos griegos ofrecieron a Troya. Los troyanos encontraron cerca de las murallas de la ciudad el gigantesco caballo de madera; por la noche, cuando la ciudad dormía, los guerreros griegos salieron del caballo, en el que estaban escondidos, y abrieron las puertas de la ciudad a las tropas enemigas. Y así Troya cayó. Pues bien, de todos los programas troyanos modernos, sólo los Trojan-Downlader cumplen esta función en el equipo.
Vulnerabilidad
Las vulnerabilidades en los productos de software son las que representan más peligro para el usuario. Pueden dar a los delincuentes la posibilidad de evadir los sistemas de defensa instalados y atacar el equipo. Como regla, afectan sólo a las vulnerabilidades recién descubiertas, que todavía no cuentan con parches (ataques “zero-day”).
En 2008 los delincuentes usaron varias veces las vulnerabilidades “zero-day”, sobre todo las del paquete Microsoft Office.
En septiembre, ciertos hackers chinos empezaron a explotar activamente la nueva vulnerabilidad en el servicio de red NetApi de Microsoft Windows, que permite infectar el equipo por medio de un ataque de red. Esta vulnerabilidad recibió el número MS08-063 y los ataques que la utilizaban ocuparon el cuarto lugar en nuestra estadística de “Ataques a puertos” (ver capítulo correspondiente).
Sin embargo, las vulnerabilidades de los navegadores y sus complementos siguen siendo el método preferido para realizar los ataques.
Kaspersky Lab fue la primera compañía antivirus que implementó un escáner de vulnerabilidades en sus productos personales. Esta solución es el primer paso en la creación de un completo sistema de gestión de parches, cuya necesidad impera no sólo en la industria antivirus, sino también entre los fabricantes de sistemas operativos y aplicaciones.
El escáner permite detectar las aplicaciones y ficheros vulnerables, para que el usuario tome las medidas necesarias para resolver estos problemas. Es de primordial importancia saber que las vulnerabilidades existen no sólo en los sistemas operativos Microsoft Windows, que cuentan con un sistema de actualización, sino también en el software de otros fabricantes.
Hemos analizado las 100 vulnerabilidades más extendidas en 2008 según datos recaudados por nuestro sistema de análisis, y son responsables de 130.518.320 ficheros y aplicaciones vulnerables encontrados en los equipos de los usuarios de nuestras soluciones antivirus.
Veinte de las 100 vulnerabilidades afectaron a 125.565.568 ficheros y aplicaciones, cantidad que sobrepasa el 96%.
| Secunia ID | Vulnerabilidad | Cantidad de ficheros y aplicaciones vulnerables |
Clasificación | Impacto | Origen | Fecha de publicación | |
| 1 | 29293 | Vulnerabilidades múltiples de Apple QuickTime | 70.849.849 | Altamente crítica | Acceso al sistema | A distancia | 10.06.2008 |
| 2 | 31821 | Vulnerabilidades múltiples de Apple QuickTime | 34.655.311 | Altamente crítica | Acceso al sistema | A distancia | 10.09.2008 |
| 3 | 31010 | Múltiples vulnerabilidades de Sun Java JDK / JRE | 2.374.038 | Altamente crítica | Acceso al sistema, amenazas a la información del sistema, amenazas a la información sensitiva, DoS, neutralización del sistema de seguridad | A distancia | 07.09.2008 |
| 4 | 31453 | Múltiples vulnerabilidades de Microsoft Office PowerPoint | 2.161.690 | Altamente crítica | Acceso al sistema | A distancia | 12.08.2008 |
| 5 | 30975 | Microsoft Word Smart Tag Invalid Length Processing Vulnerability | 1.974.194 | Extremadamente crítica | Acceso al sistema | A distancia | 09.07.2008 |
| 6 | 28083 | Múltiples vulnerabilidades de Adobe Flash Player | 1.815.437 | Altamente crítica | Neutralización del sistema de seguridad, Cross Site Scripting, acceso al sistema | A distancia | 09.04.2008 |
| 7 | 31454 | Múltiples vulnerabilidades de Microsoft Office Excel | 1.681.169 | Altamente crítica | Amenazas a información sensitiva, acceso al sistema | A distancia | 12.08.2008 |
| 8 | 32270 | Múltiples vulnerabilidades y problemas de seguridad de Adobe Flash Player | 1.260.422 | Altamente crítica | Neutralización de la seguridad del sistema, Cross Site Scripting, manipulación de datos, amenaza a la información sensitiva | A distancia | 16.10.2008 |
| 9 | 29321 | Vulnerabilidades de Microsoft Office Two Code Execution | 1.155.330 | Altamente crítica | Acceso al sistema | A distancia | 11.03.2008 |
| 10 | 29320 | Microsoft Outlook “mailto”: Vulnerabilidad URI Handling | 1.102.730 | Altamente crítica | Acceso al sistema | A distancia | 11.03.2008 |
| 11 | 29650 | Vulnerabilidades múltiples de Apple QuickTime | 1.078.349 | Altamente crítica | Amenazas a información sensitiva, acceso al sistema, DoS | A distancia | 03.04.2008 |
| 12 | 23655 | Múltiples vulnerabilidades de Microsoft XML Core Services | 800.058 | Altamente crítica | Cross Site Scripting, DoS, acceso al sistema | A distancia | 09.01.2007 |
| 13 | 30150 | Vulnerabilidad Microsoft Publisher Object Handler Validation | 772.520 | Altamente crítica | Acceso al sistema | A distancia | 13.05.2008 |
| 14 | 26027 | Múltiples vulnerabilidades de Adobe Flash Player | 765.734 | Altamente crítica | Amenazas a información sensitiva, acceso al sistema | A distancia | 11.07.2007 |
| 15 | 27620 | Múltiples vulnerabilidades de RealNetworks RealPlayer | 727.995 | Altamente crítica | Amenazas a información sensitiva, acceso al sistema | A distancia | 25.07.2008 |
| 16 | 32211 | Múltiples vulnerabilidades de Microsoft Office Excel | 606.341 | Altamente crítica | Acceso al sistema | A distancia | 14.10.2008 |
| 17 | 30143 | Vulnerabilidades de Microsoft Word Two Code Execution | 559.677 | Altamente crítica | Acceso al sistema | A distancia | 13.05.2008 |
| 18 | 25952 | Desbordamiento del búfer en los plugins de ACDSee Products Image and Archive | 427.021 | Altamente crítica | Acceso al sistema | A distancia | 02.11.2007 |
| 19 | 31744 | Vulnerabilidad de Microsoft Office OneNote URI Handling | 419.374 | Altamente crítica | Acceso al sistema | A distancia | 09.09.2008 |
| 20 | 31371 | Vulnerabilidad inespecífica de Winamp “NowPlaying” | 378.329 | Moderadamente crítica | Desconocida | A distancia | 05.08.2008 |
Por la cantidad de aplicaciones y ficheros detectados en los equipos de los usuarios, las vulnerabilidades más propagadas en 2008 fueron las que afectaban a QuickTime 7.x, de Apple. Más del 80% de las vulnerabilidades fueron descubiertas precisamente en este producto.
Pero veamos en los productos de qué compañía se detectaron más vulnerabilidades (de entre las 20 primeras):
Distribución de las vulnerabilidades por fabricantes de las aplicaciones vulnerables
Diez de cada 20 de las vulnerabilidades más difundidas son de Microsoft. Todas ellas fueron descubiertas en las aplicaciones que integran Microsoft Office: Word, Excel, Outlook, PowerPoint, etc. Las vulnerabilidades de QuickTime y Microsoft Office fueron las más difundidas en los equipos de los usuarios en 2008.
El tercer producto, que resultó ser el más utilizado por los escritores de virus en 2008, fue el Flash Player de Adobe. Sus vulnerabilidades abrieron amplias posibilidades a los escritores de virus: aparecieron miles de programas nocivos implementados en ficheros Flash y que atacaban a los usuarios simplemente con visualizarlos en Internet. Los troyanos SWF fueron uno de los principales problemas de las compañías antivirus: en todos los productos relacionados se tuvo que incluir operativamente un procedimiento para procesar los ficheros en formato SWF, algo que antes no era necesario.
Una situación similar tuvo lugar con un popular reproductor de ficheros multimedia, Real Player. Los delincuentes usaron de forma muy activa la vulnerabilidad descubierta en este programa, lo que se refleja en las citadas estadísticas de ataques a través de la web, donde programas como Exploit.JS.RealPlr se encuentran en los 20 primeros lugares.
No forman parte del TOP 20 las vulnerabilidades detectadas en otro popular producto de la compañía Adobe, Acrobat Reader, pero muchos troyanos diferentes aprovecharon las vulnerabilidades de este programa, lo que exigió que las compañías antivirus dieran solución inmediata al problema.
En nuestra opinión, el ranking de las aplicaciones más peligrosas de 2008 debe ser el siguiente:
- Adobe Flash Player
- Real Player
- Adobe Acrobat Reader
- Microsoft Office
Lo más significativo es el hecho de que las 20 primeras vulnerabilidades detectadas pertenecen a la categoría “a distancia” (remote), lo que presupone la posibilidad de que el delincuente las use incluso si no cuenta con acceso local al equipo.
El uso de cada una de estas vulnerabilidades provoca diferentes consecuencias en el sistema atacado. Lo más peligroso es el acceso al sistema, que permite al delincuente obtener acceso al sistema casi sin restricciones.
Si agrupamos las 20 vulnerabilidades más propagadas según las consecuencias que pueden causar, obtenemos el siguiente gráfico:
Distribución de vulnerabilidades según el tipo de consecuencia
Dieciocho vulnerabilidades abren brechas para obtener acceso al sistema, mientras que seis pueden conducir a fugas de información importante.
Los resultados de esta investigación demuestran lo serio que es el problema de las vulnerabilidades y su neutralización. Los intentos aislados de instalar parches de los diferentes fabricantes de software y la falta de comprensión de los usuarios respecto a la necesidad imperiosa de realizar las actualizaciones son las premisas del crecimiento de las actividades de los autores de virus en la elaboración del software nocivo que aprovecha las vulnerabilidades de los programas.
Y es que se necesitaron largos años de epidemias virales para que los usuarios y la compañía Microsoft comprendiesen la necesidad de un sistema que permita de forma fácil y regular realizar las actualizaciones de Windows. ¿Cuánto tiempo e incidentes serán necesarios para que los demás fabricantes y usuarios tomen las mismas medidas de defensa?
Plataformas y sistemas operativos
Un sistema operativo o una aplicación pueden ser atacados por programas nocivos si se pueden ejecutar programas que no son parte del sistema. Esta condición la cumplen todos los sistemas operativos, muchas aplicaciones ofimáticas, redactores gráficos, sistemas de proyectos y demás programas que cuentan con scripts.
En 2008, Kaspersky Lab detectó programas nocivos y potencialmente peligrosos para 46 plataformas y sistemas operativos diferentes. Por supuesto, la mayoría de los programas son para el sistema Win32 y son ficheros ejecutables.
El crecimiento más notable de amenazas afectó a las siguientes plataformas: Win32, SWF, MSIL, NSIS, MSOffice, WMA.
WMA fue una de las plataformas más usadas para realizar ataques drive-by-download. La familia de troyanos descargadores Wimad, que usan una vulnerabilidad de Windows Media Player, estuvo entre las 20 más difundidas entre las infecciones de alcance local.
Pero son las plataformas MSIL, NSIS y SWF las que merecen más atención. El crecimiento de amenazas para MSIL se había pronosticado hace mucho tiempo. Era una continuación lógica del desarrollo de este entorno de programación propuesto por Microsoft y de la migración hacia el mismo de una cantidad cada vez mayor de programadores, de la enseñanza de MSIL en muchas instituciones educativas y de la optimización de Windows y Windows Mobile para el funcionamiento de sus aplicaciones en esta plataforma.
NSIS estuvo en la mira de los escritores de virus porque es un instalador que cuenta con un potente idioma de script. Esto permitió a los delincuentes usarlo para desarrollar diversos programas del tipo Trojan-Dropper. El uso que los creadores de virus le puedan dar a los instaladores legales puede convertirse en uno de los problemas más serios de 2009. No todos los productos antivirus son capaces de descomprimir este tipo de ficheros y, como regla general, su gran tamaño hace más difícil la emulación.
SWF fue la sorpresa desagradable del año. Los troyanos basados en varios exploits dirigidos a las vulnerabilidades de Macromedia Flash Player entraron en nuestras listas de los ataques web más difundidos. En sí, estas vulnerabilidades también estaban entre las 20 más detectadas en los equipos de los usuarios (puestos seis, ocho y 14).
Los troyanos SWF, junto con los exploits PDF, fueron el problema viral más presente en 2008: antes, no se había registrado ningún incidente que implicara estos formatos (excepto cierta cantidad de virus prueba de concepto para PDF) y no se pensaba que podrían llegar a representar ninguna amenaza. Y por esta precisa razón no todas las compañías antivirus pudieron reaccionar oportunamente ante estos ataques. La presencia de vulnerabilidades en el formato SWF hizo surgir en los delincuentes una nueva idea: en los sitios falsificados, donde supuestamente había diferentes vídeos, se decía a los usuarios que sus equipos no tenían la versión necesaria del códec para el reproductor multimedia y que era necesario actualizarlo por la presencia de vulnerabilidades en las versiones antiguas; pero en el enlace ofrecido para descargarlo, siempre había un programa troyano.
A pesar de la creciente popularidad de los sistemas operativos Linux y MacOS, la cantidad de programas nocivos para estos sistema prácticamente no ha aumentado. En muchos aspectos esta falta de crecimiento se debe a que el principal centro de creación de virus en este momento es China, donde estos sistemas operativos no son tan populares como en Europa y EE UU. Además, los juegos en línea, que se han convertido en uno de los principales blancos de los delincuentes informáticos, tienen una presencia muy limitada en los sistemas operativos diferentes a Windows. No obstante, en un futuro muy próximo es de esperar que las compañías productoras de juegos acentúen su atención hacia estos sistemas operativos, sobre todo hacia aquéllos para dispositivos móviles. Esto provocará la aparición de programas-cliente de juegos para estos sistemas y, consecuentemente, de programas nocivos.
Autores
Índice
- Programas nocivos en Internet (ataques a través de la web)
- Programas nocivos en Internet TOP 20
- TOP 20 de los países que hospedan programas nocivos
- Países cuyos habitantes fueron atacados en 2008: TOP 20
- Tiempo de vida de un URL nocivo
- Ataques a puertos
- Infecciones locales
- Vulnerabilidad
- Plataformas y sistemas operativos
De los mismos autores
En la misma categoría
Kaspersky: Boletín de seguridad. Las principales estadísticas de 2008