News

Kaspersky: Boletín de seguridad. Las principales estadísticas de 2008

.tbor {border:solid 1px #000000;padding:5px;width:85%;};

  1. Desarrollo de las amenazas en 2008
  2. Las principales estadísticas de 2008
  3. El spam en 2008

A diferencia de nuestros anteriores informes anuales y semestrales, el presente informe se basa casi exclusivamente en los datos obtenidos y procesados por el sistema Kaspersky Security Network (KSN). Esta nueva forma de reunir datos es una de las novedades de los productos personales Kaspersky versión 2009 y actualmente se está preparando su implementación en los productos corporativos de Kaspersky Lab.

Kaspersky Security Network permite a nuestros expertos, en tiempo real, detectar los nuevos programas nocivos que todavía no tienen antídoto en forma de identikits o no son detectados por heurística. KSN permite desenmascarar las fuentes de propagación de programas nocivos en Internet y evitar que los usuarios se conecten a los sitios infectados.

Al mismo tiempo, KSN permite acelerar la velocidad de reacción ante las nuevas amenazas, ya que se puede bloquear el lanzamiento de un nuevo programa nocivo en los equipos de los usuarios de KSN en una fracción de segundo desde el momento en que se les asigne el dictamen de “peligroso”, sin necesidad de actualizar las bases antivirus.

Programas nocivos en Internet (ataques a través de la web)

El correo electrónico ha pasado a un segundo plano como método de infección, dejando su puesto a los sitios web. Los delincuentes usan los recursos web tanto para infectar los equipos de los usuarios como para descargar nuevas variantes de programas nocivos desde Internet. Con este objetivo, se echa mano de los servicios de posting ilegales, como McColo, Atrivo y el funesto RBN, y también de sitios legítimos que han caído en poder de los hackers.

La aplastante mayoría de ataques web se realiza por medio de la tecnología drive-by-download: el equipo se infecta de una forma imperceptible para el usuario cuando éste trabaja en Internet. Muchos de los sitios que han caído en manos de los delincuentes informáticos remiten al usuario, sin que llegue a sospecharlo, a otros recursos que contienen el código nocivo que se activa en su equipo, sobre todo mediante vulnerabilidades en los navegadores o en sus componentes agregados (ActiveX, RealPlayer, etc.).

Con la ayuda de Kaspersky Security Network, podemos realizar la estadística y el análisis de todos los intentos de infectar a nuestros usuarios cuando navegan en Internet.

Programas nocivos en Internet TOP 20

Según los resultados del trabajo de KSN en 2008, se han registrado 23.680.646 ataques a nuestros usuarios, la totalidad de los cuales fue neutralizada por nuestros productos. Hemos hecho una lista de los 100 programas nocivos más activos que participaron en estos ataques. Son responsables de 3.513.355 ataques.

Detectamos cada uno de estos 100 programas más de 7.000 veces. Los 20 primeros programas de la lista fueron responsables de más del 59% de los incidentes, lo que permite considerarlos como los más propagados en Internet en 2008:

Lugar Nombre Cantidad de ataques Porcentaje
del TOP 100
1 Heur.Trojan.Generic 248.857 7,08%
2 Trojan-Downloader.Win32.Small.aacq 228.539 6,50%
3 Trojan-Clicker.HTML.IFrame.wq 177.247 5,04%
4 Exploit.JS.RealPlr.nn 157.232 4,48%
5 Trojan-Downloader.SWF.Small.ev 135.035 3,84%
6 Trojan-Clicker.HTML.IFrame.yo 121.693 3,46%
7 Exploit.Win32.Agent.cu 120.079 3,42%
8 Trojan-Downloader.HTML.IFrame.wf 107.093 3,05%
9 Exploit.SWF.Downloader.hn 85.536 2,43%
10 Trojan-Downloader.Win32.Small.abst 78.014 2,22%
11 Trojan-Downloader.JS.Agent.dau 73.777 2,10%
12 Exploit.Win32.PowerPlay.a 70.749 2,01%
13 Exploit.JS.RealPlr.nl 70.082 1,99%
14 Exploit.SWF.Downloader.ld 69.804 1,99%
15 Trojan-Downloader.JS.IstBar.cx 68.078 1,94%
16 Trojan-GameThief.Win32.Magania.gen 66.136 1,88%
17 Trojan-Downloader.JS.Iframe.yv 62.334 1,77%
18 Trojan.HTML.Agent.ai 60.461 1,72%
19 Trojan-Downloader.JS.Agent.czf 41.995 1,20%
20 Exploit.JS.Agent.yq 40.465 1,15%

El primer lugar lo ocupa un veredicto heurístico de nuevos programas troyanos que todavía no cuentan con un identikit exacto. En 2008 esta definición heurística detuvo unos 250.000 ataques a nuestros usuarios.

Pero si tomamos en cuenta sólo los programas nocivos que tienen identikit, el más propagado en 2008 fue Trojan-Downloader.Win32.Small.aacq.

En la lista TOP 20 hay siete exploits que aprovechan las vulnerabilidades de RealPlayer y Flash Player (RealPlr y SWF). Estas vulnerabilidades, detectadas en 2008, se han convertido en el principal instrumento que usan los delincuentes para infectar a los usuarios.

Diez de los 20 programas están escritos en JavaScript contenidos en etiquetas HTML, lo que una vez más hace patente la necesidad de contar con un antivirus que analice los scripts ejecutables. Un instrumento muy efectivo en la lucha contra estas amenazas son los diferentes complementos para los navegadores, que se encargan de bloquear la ejecución de scripts sin la participación del usuario, como por ejemplo NoScrip para Firefox. Recomendamos usar en los ordenadores estas soluciones como complemento a la defensa antivirus. Además de reducir el riesgo de contagio, pueden proteger contra otros tipos de ataques en Internet, por ejemplo, disminuir el riesgo relacionado con las vulnerabilidades XSS.

TOP 20 de los países que hospedan programas nocivos

Ya hemos mencionado que los delincuentes usan servicios de hospedaje “en la sombra” y sitios tomados por los hackers para instalar programas nocivos y exploits.

Los 23.508.073 ataques que registramos en 2008 se realizaron desde recursos de Internet ubicados en 126 países del mundo (no se pudo establecer a qué países corresponden 172.573 ataques). La delincuencia cibernética se ha convertido en un problema mundial y en este momento, en cualquier país hay recursos de Internet que son fuentes de infección que difunden programas nocivos.

No obstante, más del 99% de los ataques que registramos se llevaron a cabo desde 20 países. No hemos calculado el coeficiente de infecciones en relación al total de recursos de Internet que existen en estos países, pero las personas que tienen acceso a los datos correspondientes pueden fácilmente hacer un ranking de los países con la mayor cantidad de recursos infectados usando la siguiente estadística:

Lugar País Cantidad
de ataques
Porcentaje del
total de ataques
1 China 18.568.923 78,990%
2 Estados Unidos 1.615.247 6,871%
3 Países Bajos 762.506 3,244%
4 Alemania 446.476 1,899%
5 Rusia 420.233 1,788%
6 Letonia 369.858 1,573%
7 Reino Unido 272.905 1,161%
8 Ucrania 232.642 0,990%
9 Canadá 141.012 0,600%
10 Israel 116.130 0,494%
11 Lituania 110.380 0,470%
12 Corea del Sur 46.167 0,196%
13 Hong Kong 44.487 0,189%
14 Estonia 41.623 0,177%
15 Suecia 40.079 0,170%
16 Francia 31.257 0,133%
17 Italia 29.253 0,124%
18 Brasil 25.637 0,109%
19 Filipinas 19.920 0,085%
20 Japón 16.212 0,069%

China es el líder absoluto de 2008 por el total de ataques desde los recursos ubicados en este país.

Casi el 80% de todos los programas nocivos y exploits que fueron neutralizados cuando intentaban penetrar en los equipos de nuestros usuarios provenían o se encontraban en servidores chinos. Esto concuerda con otra estadística que obra en nuestro poder: más del 70% de los nuevos programas nocivos son de origen chino.

Con mucha frecuencia los delincuentes de otros países usan recursos web chinos porque cuando se dan de alta en un sitio nadie verifica los datos de registro y porque no existe la posibilidad de que las fuerzas del orden extranjeras cierren los websites ubicados en este país.

La presencia en el TOP 20 de países tan pequeños como Estonia, Letonia y Lituania está condicionada por los estrechos lazos de los delincuentes cibernéticos con sus colegas en Rusia y Ucrania. Las regiones aledañas al mar Báltico siguen estando entre las más cómodas para ejercer la delincuencia cibernética. En el pasado, los delincuentes cibernéticos de habla rusa usaron más de una vez los bancos bálticos para lavar dinero obtenido del carding y otros tipos de delincuencia informática. La historia que involucró al registrador estonio EstDomains, que prestaba servicios a miles de delincuentes informáticos, tuvo una amplia resonancia a finales de 2008.

Estos hechos refutan las afirmaciones que se han venido haciendo últimamente de que Estonia es uno de los líderes europeos en la lucha contra las amenazas informáticas y que presuponen su experiencia en la neutralización de ataques de red.

Países cuyos habitantes fueron atacados en 2008: TOP 20

Existe un índice más de similar importancia: en qué países y regiones se atacó a los usuarios.

En 2008 los equipos de 215 países y regiones del mundo estuvieron bajo amenaza de infectarse 23.680.646 veces. Sin exageración, se trata de todo el planeta. Los habitantes de todos los países, incluso los más diminutos y alejados estuvieron bajo riesgo de infección (por ejemplo, Micronesia sufrió 15 ataques, Kiribati 2 y las Islas Caimanes, 13), y nadie sabe cuántos de los ataques tuvieron éxito.

Los habitantes de los 20 países siguientes sufrieron cerca del 89% de todos los ataques registrados:

Lugar País Cantidad
de ataques
Porcentaje del
total de ataques
1 China 12.708.285 53,665%
2 Egipto 3.615.355 15,267%
3 Turquía 709.499 2,996%
4 India 479.429 2,025%
5 Estados Unidos 416.437 1,759%
6 Vietnam 346.602 1,464%
7 Rusia 335.656 1,417%
8 México 308.399 1,302%
9 Arabia Saudita 287.300 1,213%
10 Alemania 253.097 1,069%
11 Marruecos 230.199 0,972%
12 Tailandia 204.417 0,863%
13 Indonesia 190.607 0,805%
14 Reino Unido 188.908 0,798%
15 Francia 182.975 0,773%
16 Siria 134.601 0,568%
17 Brasil 123.736 0,523%
18 Taiwan 122.264 0,516%
19 Italia 121.508 0,513%
20 Israel 118.664 0,501%

Este ranking refleja en qué países los usuarios sufrieron la mayor la cantidad de ataques. Como era de esperar, en el primer lugar está China: los programas nocivos chinos están orientados sobre todo a los usuarios locales. Más de la mitad (53,66%) de todos los ataques estuvieron dirigidos a ellos. Hay muchas probabilidades de que la mayoría de los ataques guardaran relación con la propagación de troyanos orientados a robar las cuentas de los usuarios de juegos en línea.

Tampoco nos sorprende la gran cantidad de ataques a los usuarios de países como Egipto, Turquía e India. Estos países están experimentando un verdadero boom de Internet y el número de usuarios está creciendo en progresión geométrica, pero en un entorno donde cuentan con un bajísimo nivel de preparación técnica. Son justo estos usuarios de ordenadores los que se convierten en las principales víctimas de los delincuentes informáticos. En estos países, los equipos infectados se usan sobre todo para crear redes zombi (botnets) que después se utilizan para propagar spam, lanzar ataques de phishing y propagar nuevos programas nocivos.

Países como EE UU, Rusia, Alemania, Inglaterra, Francia, Brasil, Italia e Israel también se encuentran en la lista TOP 20, pero en este caso a los delincuentes les interesa echar mano de las cuentas de los usuarios de sistemas bancarios, de pagos y a los diferentes recursos de red y datos personales.

Tiempo de vida de un URL nocivo

Hemos obtenido unos datos muy interesantes basados en el análisis de más de 26 millones de ataques registrados. Nos referimos al tiempo de vida de un URL nocivo.

Si antes las epidemias en el correo electrónico se prolongaban durante meses y, en algunos casos, años, ahora que el vector de las infecciones se ha trasladado a la web el tiempo de vida de un ataque en particular puede calcularse en días o incluso en horas.

La brevedad de estos ataques se explica no sólo por el hecho de que los propietarios de los sitios web eliminan con celeridad los programas nocivos, sino también porque los delincuentes los trasladan constantemente de un recurso a otro en un intento de hacer que las nuevas variantes de malware evadan las listas de rechazados de URL implementadas en los programas antivirus y navegadores modernos.

En 2008 el periodo de vida medio de un URL nocivo fue de 4 horas.

Ataques a puertos

Los cortafuegos (firewall) se han convertido en parte imprescindible de todo programa antivirus moderno. Permiten bloquear los diferentes ataques provenientes del exterior que se realizan sin usar el navegador. También evitan que se roben los datos confidenciales del usuario.

Una de las funciones del cortafuegos de Kaspersky Internet Security es el análisis de los paquetes entrantes, porque muchos de ellos son exploits que aprovechan las vulnerabilidades de los servicios de red de los sistemas operativos y pueden infectar los sistemas que carecen de los parches correspondientes o permitir que los delincuentes obtengan acceso irrestricto al sistema.

En 2008 el sistema UDS de Kaspersky Internet Security 2009 neutralizó 30.234.287 ataques de red.

Lugar Ataque Cantidad Porcentaje del
total de ataques
1 DoS.Generic.SYNFlood 20.578.951 68,065
2 Intrusion.Win.MSSQL.worm.Helkern 6.723.822 22,239
3 Intrusion.Win.DCOM.exploit 783.442 2,591
4 Intrusion.Win.NETAPI.buffer-overflow.exploit 746.421 2,469
5 Scan.Generic.UDP 657.633 2,175
6 Intrusion.Win.LSASS.exploit 267.258 0,884
7 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 194.643 0,644
8 Intrusion.Generic.TCP.Flags.Bad.Combine.attack 172.636 0,571
9 DoS.Generic.ICMPFlood 38.116 0,126
10 Scan.Generic.TCP 38.058 0,126
11 Intrusion.Win.HTTPD.GET.buffer-overflow.exploit 13.292 0,044
12 Intrusion.Win.Messenger.exploit 5.505 0,018
13 DoS.Win.IGMP.Host-Membership-Query.exploit 2.566 0,008
14 Intrusion.Win.EasyAddressWebServer.format-string.exploit 1.320 0,004
15 Intrusion.Win.PnP.exploit 1.272 0,004
16 Intrusion.Win.MSFP2000SE.exploit 1.131 0,004
17 Intrusion.Win.VUPlayer.M3U.buffer-overflow.exploit 1.073 0,004
18 DoS.Win.ICMP.BadCheckSum 986 0,003
19 Intrusion.Unix.Fenc.buffer-overflow.exploit 852 0,003
20 Intrusion.Win.MediaPlayer.ASX.buffer-overflow.exploit 821 0,003

Los primeros 10 lugares contienen varios ataques de los gusanos de red que provocaron epidemias globales en 2003-2005. Por ejemplo, el segundo lugar (con más de seis millones de ataques) pertenece a Halkern (Slammer), que causó una epidemia en enero de 2003. Han pasado casi seis años desde entonces, pero hasta ahora subsisten equipos infectados que se convierten en fuentes de ataques.

El tercer lugar lo ocupan las acciones de diferentes gusanos que usan la vulnerabilidad RPC-COM (MS03-026). Esta misma vulnerabilidad preparó el terreno para la epidemia del gusano Lovesan en agosto de 2003.

El cuarto lugar pertenece a una de las vulnerabilidades más peligrosas de 2008: MS08-067. Los expertos se enteraron de su existencia sólo después de que en Internet se descubrieran varios programas nocivos que ya utilizaban esta brecha en el servicio de red NetAPI. El gusano de red Gimmiv fue el culpable de varios miles de infecciones y después de que la información sobre la vulnerabilidad y el exploit ad-hoc se hicieron públicos en Internet, los programas nocivos basados en MS08-063 empezaron a aparecer por decenas y a finales de 2008 ya se habían convertido en la principal amenaza para los usuarios.

Los puestos seis y siete pertenecen a los gusanos que apuntan a la vulnerabilidad MS04-011. El más claro representante de este tipo de malware es el gusano Sasser, que fue la causa de una epidemia en abril de 2004.

Todos estos datos muestran que, a pesar de que el pico de las epidemias de los gusanos de red es cosa del pasado, estos siguen presentes en Internet y a la búsqueda de nuevas víctimas. Es muy fácil exponerse a su infección. Basta usar sistemas operativos obsoletos o sin actualizar y no tener un cortafuegos instalado.

Infecciones locales

Un factor de primordial importancia es la estadística de las infecciones locales que afectan a los equipos de los usuarios. Aquí se reflejan los datos de los objetos que penetraron en los equipos sin usar la web, el correo electrónico o los puertos de red.

Nuestras soluciones antivirus detectaron más de seis millones (6.394.359) de incidentes virales en los equipos que integran Kaspersky Security Network.

En estos incidentes se pudo registrar 189.785 diferentes programas nocivos y potencialmente indeseables.

Los primeros 100 de la lista son responsables de 941.648 incidentes, o sea, del 14,72%.

Los programas nocivos que ocupan los primeros 20 lugares son las amenazas más difundidas en 2008.

Número Objeto
detectado
Cantidad de equipos
únicos dónde se
descubrió el objeto
1 Virus.Win32.Sality.aa 29.804
2 Packed.Win32.Krap.b 27.575
3 Trojan-Downloader.Win32.Small.acmn 25.235
4 Worm.Win32.AutoRun.dui 22.127
5 Trojan-Downloader.Win32.VB.eql 21.615
6 Packed.Win32.Black.a 19.586
7 Trojan.Win32.Agent.abt 17.832
8 Virus.Win32.Alman.b 16.799
9 Trojan-Downloader.JS.IstBar.cx 16.264
10 Trojan.Win32.Obfuscated.gen 15.795
11 Worm.VBS.Autorun.r 15.240
12 Trojan-Downloader.WMA.Wimad.n 15.152
13 Trojan.Win32.Agent.tfc 15.087
14 not-a-virus:AdWare.Win32.BHO.ca 14.878
15 Trojan-Downloader.WMA.GetCodec.c 14.638
16 Virus.Win32.VB.bu 14.452
17 Trojan-Downloader.HTML.IFrame.sz 14.247
18 not-a-virus:AdWare.Win32.Agent.cp 14.001
19 Email-Worm.Win32.Brontok.q 13.142
20 Worm.Win32.AutoRun.eee 12.386

No hay que olvidar que esta estadística refleja sólo los incidentes registrados en los equipos de los usuarios de nuestros productos que han aceptado participar en el proyecto Kaspersky Security Network.

El líder de 2008 por la cantidad de equipos en los que fue detectado es el virus Sality.aa. De esta manera, por primera vez en los últimos seis años la “amenaza del año” fue un virus clásico y no un gusano de correo o de red, como sucedía antes.

Y es que Sality.aa causó una verdadera epidemia mundial en 2008. Nuestra compañía recibió confirmaciones de su detección en Rusia, Europa, América y Asia.

Una de las tendencias más importantes de los últimos años, sobre la que hemos escrito más de una vez, es el impetuoso crecimiento de la popularidad de los medios extraíbles (por ejemplo, los USB Flash) como portadores de programas nocivos. La función de lanzamiento automático (autorun) de ficheros integrada en el sistema operativo Windows activa los programas nocivos que se encuentran en los flash USB. Es decir, entra en funcionamiento el mismo esquema de hace 15 años, cuando los virus de inicio clásicos se activaban durante el trabajo con disquetes.

Sality.aa utiliza el mismo método de propagación, copiando los ficheros que ha infectado en los flash USB y creando un fichero autorun.inf especial para ejecutarlos.

Un ejemplo de un fichero autorun.info es el siguiente:

[AutoRun]
;sgEFA
;uloN hbXYcKOjfOmfO
sHelLoPenDEfAult=1
;ajdsvAswgioTfv
sheLlopenCOmmAnD= qwail.cmd
;
sheLlexPLoRecommANd= qwail.cmd
;LtCTlKvhfbrDtfPpmnkawlLHemPefllTI aDekTmqqhj
opEn =qwail.cmd
;sAmqcWVlGkgqe
shElLAUtOplaycommANd=qwail.cmd
;JduAKbkYnfWejLP cNLU PyAdJo TkGRDlpvoMvJPqvD kptHbu

 

Se han marcado en verde las instrucciones ejecutables. El autor del virus ha agregado los demás renglones para confundir a los programas antivirus.

Otros cinco programas nocivos del TOP 20 usan métodos similares de propagación: Worm.Win32.AutoRun.dui, Virus.Win32.Alman.b, Worm.VBS.Autorun.r, Email-Worm.Win32.Brontok.q, Worm.Win32.AutoRun.eee.

En el ranking, la cantidad de equipos infectados por estos seis programas autorun constituyen el 30,77% del total. En la lista de los 100 programas nocivos, este porcentaje sobrepasa el 18,5%.

Se puede constatar el hecho de que actualmente este método de propagación es el más popular entre los autores de virus y casi siempre se combina con otras funciones como la infección de ficheros, el robo de información y la creación de botnets. La difusión de programas nocivos mediante el uso de medios extraíbles ya se ha convertido en parte integrante de determinadas familias de programas, por ejemplo, Trojan-GameThief.

De los 20 programas nocivos más propagados, seis pertenecen a la clase Trojan-Downloader (dos de ellos están entre los cinco primeros puestos). Esto es un indicio de que con gran frecuencia los autores de virus tratan de infectar al equipo primero con un descargador, y no con el programa nocivo principal. Esta forma de enmascarar las cosas les ofrece muchas más posibilidades en el momento de escoger el uso que darán al ordenador infectado y permite instalar en él otros troyanos creados por grupos de delincuentes informáticos diferentes.

Llegado este momento, nos permitiremos una pequeña digresión lírica para recordar la leyenda griega del caballo de Troya. Se trataba de un regalo que los astutos griegos ofrecieron a Troya. Los troyanos encontraron cerca de las murallas de la ciudad el gigantesco caballo de madera; por la noche, cuando la ciudad dormía, los guerreros griegos salieron del caballo, en el que estaban escondidos, y abrieron las puertas de la ciudad a las tropas enemigas. Y así Troya cayó. Pues bien, de todos los programas troyanos modernos, sólo los Trojan-Downlader cumplen esta función en el equipo.

Vulnerabilidad

Las vulnerabilidades en los productos de software son las que representan más peligro para el usuario. Pueden dar a los delincuentes la posibilidad de evadir los sistemas de defensa instalados y atacar el equipo. Como regla, afectan sólo a las vulnerabilidades recién descubiertas, que todavía no cuentan con parches (ataques “zero-day”).

En 2008 los delincuentes usaron varias veces las vulnerabilidades “zero-day”, sobre todo las del paquete Microsoft Office.

En septiembre, ciertos hackers chinos empezaron a explotar activamente la nueva vulnerabilidad en el servicio de red NetApi de Microsoft Windows, que permite infectar el equipo por medio de un ataque de red. Esta vulnerabilidad recibió el número MS08-063 y los ataques que la utilizaban ocuparon el cuarto lugar en nuestra estadística de “Ataques a puertos” (ver capítulo correspondiente).

Sin embargo, las vulnerabilidades de los navegadores y sus complementos siguen siendo el método preferido para realizar los ataques.

Kaspersky Lab fue la primera compañía antivirus que implementó un escáner de vulnerabilidades en sus productos personales. Esta solución es el primer paso en la creación de un completo sistema de gestión de parches, cuya necesidad impera no sólo en la industria antivirus, sino también entre los fabricantes de sistemas operativos y aplicaciones.

El escáner permite detectar las aplicaciones y ficheros vulnerables, para que el usuario tome las medidas necesarias para resolver estos problemas. Es de primordial importancia saber que las vulnerabilidades existen no sólo en los sistemas operativos Microsoft Windows, que cuentan con un sistema de actualización, sino también en el software de otros fabricantes.

Hemos analizado las 100 vulnerabilidades más extendidas en 2008 según datos recaudados por nuestro sistema de análisis, y son responsables de 130.518.320 ficheros y aplicaciones vulnerables encontrados en los equipos de los usuarios de nuestras soluciones antivirus.

Veinte de las 100 vulnerabilidades afectaron a 125.565.568 ficheros y aplicaciones, cantidad que sobrepasa el 96%.

Secunia ID Vulnerabilidad Cantidad de
ficheros y aplicaciones
vulnerables
Clasificación Impacto Origen Fecha de publicación
1 29293 Vulnerabilidades múltiples de Apple QuickTime 70.849.849 Altamente crítica Acceso al sistema A distancia 10.06.2008
2 31821 Vulnerabilidades múltiples de Apple QuickTime 34.655.311 Altamente crítica Acceso al sistema A distancia 10.09.2008
3 31010 Múltiples vulnerabilidades de Sun Java JDK / JRE 2.374.038 Altamente crítica Acceso al sistema, amenazas a la información del sistema, amenazas a la información sensitiva, DoS, neutralización del sistema de seguridad A distancia 07.09.2008
4 31453 Múltiples vulnerabilidades de Microsoft Office PowerPoint 2.161.690 Altamente crítica Acceso al sistema A distancia 12.08.2008
5 30975 Microsoft Word Smart Tag Invalid Length Processing Vulnerability 1.974.194 Extremadamente crítica Acceso al sistema A distancia 09.07.2008
6 28083 Múltiples vulnerabilidades de Adobe Flash Player 1.815.437 Altamente crítica Neutralización del sistema de seguridad, Cross Site Scripting, acceso al sistema A distancia 09.04.2008
7 31454 Múltiples vulnerabilidades de Microsoft Office Excel 1.681.169 Altamente crítica Amenazas a información sensitiva, acceso al sistema A distancia 12.08.2008
8 32270 Múltiples vulnerabilidades y problemas de seguridad de Adobe Flash Player 1.260.422 Altamente crítica Neutralización de la seguridad del sistema, Cross Site Scripting, manipulación de datos, amenaza a la información sensitiva A distancia 16.10.2008
9 29321 Vulnerabilidades de Microsoft Office Two Code Execution 1.155.330 Altamente crítica Acceso al sistema A distancia 11.03.2008
10 29320 Microsoft Outlook “mailto”: Vulnerabilidad URI Handling 1.102.730 Altamente crítica Acceso al sistema A distancia 11.03.2008
11 29650 Vulnerabilidades múltiples de Apple QuickTime 1.078.349 Altamente crítica Amenazas a información sensitiva, acceso al sistema, DoS A distancia 03.04.2008
12 23655 Múltiples vulnerabilidades de Microsoft XML Core Services 800.058 Altamente crítica Cross Site Scripting, DoS, acceso al sistema A distancia 09.01.2007
13 30150 Vulnerabilidad Microsoft Publisher Object Handler Validation 772.520 Altamente crítica Acceso al sistema A distancia 13.05.2008
14 26027 Múltiples vulnerabilidades de Adobe Flash Player 765.734 Altamente crítica Amenazas a información sensitiva, acceso al sistema A distancia 11.07.2007
15 27620 Múltiples vulnerabilidades de RealNetworks RealPlayer 727.995 Altamente crítica Amenazas a información sensitiva, acceso al sistema A distancia 25.07.2008
16 32211 Múltiples vulnerabilidades de Microsoft Office Excel 606.341 Altamente crítica Acceso al sistema A distancia 14.10.2008
17 30143 Vulnerabilidades de Microsoft Word Two Code Execution 559.677 Altamente crítica Acceso al sistema A distancia 13.05.2008
18 25952 Desbordamiento del búfer en los plugins de ACDSee Products Image and Archive 427.021 Altamente crítica Acceso al sistema A distancia 02.11.2007
19 31744 Vulnerabilidad de Microsoft Office OneNote URI Handling 419.374 Altamente crítica Acceso al sistema A distancia 09.09.2008
20 31371 Vulnerabilidad inespecífica de Winamp “NowPlaying” 378.329 Moderadamente crítica Desconocida A distancia 05.08.2008

Por la cantidad de aplicaciones y ficheros detectados en los equipos de los usuarios, las vulnerabilidades más propagadas en 2008 fueron las que afectaban a QuickTime 7.x, de Apple. Más del 80% de las vulnerabilidades fueron descubiertas precisamente en este producto.

Pero veamos en los productos de qué compañía se detectaron más vulnerabilidades (de entre las 20 primeras):


Distribución de las vulnerabilidades por fabricantes de las aplicaciones vulnerables

Diez de cada 20 de las vulnerabilidades más difundidas son de Microsoft. Todas ellas fueron descubiertas en las aplicaciones que integran Microsoft Office: Word, Excel, Outlook, PowerPoint, etc. Las vulnerabilidades de QuickTime y Microsoft Office fueron las más difundidas en los equipos de los usuarios en 2008.

El tercer producto, que resultó ser el más utilizado por los escritores de virus en 2008, fue el Flash Player de Adobe. Sus vulnerabilidades abrieron amplias posibilidades a los escritores de virus: aparecieron miles de programas nocivos implementados en ficheros Flash y que atacaban a los usuarios simplemente con visualizarlos en Internet. Los troyanos SWF fueron uno de los principales problemas de las compañías antivirus: en todos los productos relacionados se tuvo que incluir operativamente un procedimiento para procesar los ficheros en formato SWF, algo que antes no era necesario.

Una situación similar tuvo lugar con un popular reproductor de ficheros multimedia, Real Player. Los delincuentes usaron de forma muy activa la vulnerabilidad descubierta en este programa, lo que se refleja en las citadas estadísticas de ataques a través de la web, donde programas como Exploit.JS.RealPlr se encuentran en los 20 primeros lugares.

No forman parte del TOP 20 las vulnerabilidades detectadas en otro popular producto de la compañía Adobe, Acrobat Reader, pero muchos troyanos diferentes aprovecharon las vulnerabilidades de este programa, lo que exigió que las compañías antivirus dieran solución inmediata al problema.

En nuestra opinión, el ranking de las aplicaciones más peligrosas de 2008 debe ser el siguiente:

  1. Adobe Flash Player
  2. Real Player
  3. Adobe Acrobat Reader
  4. Microsoft Office

Lo más significativo es el hecho de que las 20 primeras vulnerabilidades detectadas pertenecen a la categoría “a distancia” (remote), lo que presupone la posibilidad de que el delincuente las use incluso si no cuenta con acceso local al equipo.

El uso de cada una de estas vulnerabilidades provoca diferentes consecuencias en el sistema atacado. Lo más peligroso es el acceso al sistema, que permite al delincuente obtener acceso al sistema casi sin restricciones.

Si agrupamos las 20 vulnerabilidades más propagadas según las consecuencias que pueden causar, obtenemos el siguiente gráfico:


Distribución de vulnerabilidades según el tipo de consecuencia

Dieciocho vulnerabilidades abren brechas para obtener acceso al sistema, mientras que seis pueden conducir a fugas de información importante.

Los resultados de esta investigación demuestran lo serio que es el problema de las vulnerabilidades y su neutralización. Los intentos aislados de instalar parches de los diferentes fabricantes de software y la falta de comprensión de los usuarios respecto a la necesidad imperiosa de realizar las actualizaciones son las premisas del crecimiento de las actividades de los autores de virus en la elaboración del software nocivo que aprovecha las vulnerabilidades de los programas.

Y es que se necesitaron largos años de epidemias virales para que los usuarios y la compañía Microsoft comprendiesen la necesidad de un sistema que permita de forma fácil y regular realizar las actualizaciones de Windows. ¿Cuánto tiempo e incidentes serán necesarios para que los demás fabricantes y usuarios tomen las mismas medidas de defensa?

Plataformas y sistemas operativos

Un sistema operativo o una aplicación pueden ser atacados por programas nocivos si se pueden ejecutar programas que no son parte del sistema. Esta condición la cumplen todos los sistemas operativos, muchas aplicaciones ofimáticas, redactores gráficos, sistemas de proyectos y demás programas que cuentan con scripts.

En 2008, Kaspersky Lab detectó programas nocivos y potencialmente peligrosos para 46 plataformas y sistemas operativos diferentes. Por supuesto, la mayoría de los programas son para el sistema Win32 y son ficheros ejecutables.

El crecimiento más notable de amenazas afectó a las siguientes plataformas: Win32, SWF, MSIL, NSIS, MSOffice, WMA.

WMA fue una de las plataformas más usadas para realizar ataques drive-by-download. La familia de troyanos descargadores Wimad, que usan una vulnerabilidad de Windows Media Player, estuvo entre las 20 más difundidas entre las infecciones de alcance local.

Pero son las plataformas MSIL, NSIS y SWF las que merecen más atención. El crecimiento de amenazas para MSIL se había pronosticado hace mucho tiempo. Era una continuación lógica del desarrollo de este entorno de programación propuesto por Microsoft y de la migración hacia el mismo de una cantidad cada vez mayor de programadores, de la enseñanza de MSIL en muchas instituciones educativas y de la optimización de Windows y Windows Mobile para el funcionamiento de sus aplicaciones en esta plataforma.

NSIS estuvo en la mira de los escritores de virus porque es un instalador que cuenta con un potente idioma de script. Esto permitió a los delincuentes usarlo para desarrollar diversos programas del tipo Trojan-Dropper. El uso que los creadores de virus le puedan dar a los instaladores legales puede convertirse en uno de los problemas más serios de 2009. No todos los productos antivirus son capaces de descomprimir este tipo de ficheros y, como regla general, su gran tamaño hace más difícil la emulación.

SWF fue la sorpresa desagradable del año. Los troyanos basados en varios exploits dirigidos a las vulnerabilidades de Macromedia Flash Player entraron en nuestras listas de los ataques web más difundidos. En sí, estas vulnerabilidades también estaban entre las 20 más detectadas en los equipos de los usuarios (puestos seis, ocho y 14).

Los troyanos SWF, junto con los exploits PDF, fueron el problema viral más presente en 2008: antes, no se había registrado ningún incidente que implicara estos formatos (excepto cierta cantidad de virus prueba de concepto para PDF) y no se pensaba que podrían llegar a representar ninguna amenaza. Y por esta precisa razón no todas las compañías antivirus pudieron reaccionar oportunamente ante estos ataques. La presencia de vulnerabilidades en el formato SWF hizo surgir en los delincuentes una nueva idea: en los sitios falsificados, donde supuestamente había diferentes vídeos, se decía a los usuarios que sus equipos no tenían la versión necesaria del códec para el reproductor multimedia y que era necesario actualizarlo por la presencia de vulnerabilidades en las versiones antiguas; pero en el enlace ofrecido para descargarlo, siempre había un programa troyano.

A pesar de la creciente popularidad de los sistemas operativos Linux y MacOS, la cantidad de programas nocivos para estos sistema prácticamente no ha aumentado. En muchos aspectos esta falta de crecimiento se debe a que el principal centro de creación de virus en este momento es China, donde estos sistemas operativos no son tan populares como en Europa y EE UU. Además, los juegos en línea, que se han convertido en uno de los principales blancos de los delincuentes informáticos, tienen una presencia muy limitada en los sistemas operativos diferentes a Windows. No obstante, en un futuro muy próximo es de esperar que las compañías productoras de juegos acentúen su atención hacia estos sistemas operativos, sobre todo hacia aquéllos para dispositivos móviles. Esto provocará la aparición de programas-cliente de juegos para estos sistemas y, consecuentemente, de programas nocivos.

Kaspersky: Boletín de seguridad. Las principales estadísticas de 2008

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada