Informes sobre malware

Kaspersky Lab presenta el Top 20 de programas maliciosos detectados en junio

Kaspersky Lab ha presentado dos listas TOP20 de malware. Para elaborar ambas tablas se han usado, al igual que en ocasiones anteriores, los datos recogidos por el sistema Kaspersky Security Network (KSN) durante el mes de junio de 2009. Sin embargo, esta vez se han utilizado métodos un tanto distintos para seleccionar y analizar los datos.

La primera lista de los Top 20 enumera los programas maliciosos, publicitarios y potencialmente peligrosos que se detectaron y neutralizaron la primera vez que se los ejecutó mediante análisis al acceso. El uso de estadísticas ‘por acceso’ posibilita el análisis de los programas maliciosos más recientes, más peligrosos y más expandidos neutralizados al ejecutarse en los ordenadores de los usuarios o al descargarse de Internet.

Posición Programma nocivo Cantidad de equipos infectados
1   Net-Worm.Win32.Kido.ih 58200  
2   Virus.Win32.Sality.aa 28758  
3   Trojan-Dropper.Win32.Flystud.ko 13064  
4   Trojan-Downloader.Win32.VB.eql 12395  
5   Worm.Win32.AutoRun.dui 8934  
6   Trojan.Win32.Autoit.ci 8662  
7   Virus.Win32.Virut.ce 6197  
8   Worm.Win32.Mabezat.b 5967  
9   Net-Worm.Win32.Kido.jq 5934  
10   Virus.Win32.Sality.z 5750  
11   Trojan-Downloader.JS.LuckySploit.q 4624  
12   Virus.Win32.Alman.b 4394  
13   Packed.Win32.Black.a 4317  
14   Net-Worm.Win32.Kido.ix 4284  
15   Worm.Win32.AutoIt.i 4189  
16   Trojan-Downloader.WMA.GetCodec.u 4064  
17   Packed.Win32.Klone.bj 3882  
18   Email-Worm.Win32.Brontok.q 3794  
19   Worm.Win32.AutoRun.rxx 3677  
20   not-a-virus:AdWare.Win32.Shopper.v 3430  

Si bien ha cambiado la forma de analizar las amenazas, esto no ha tenido incidencia en los líderes de esta clasificación: Net-Worm.Win32.Kido.ih se mantuvo en el primer lugar. Otras dos modificaciones del gusano Kido.jq and Kido.ix también hicieron su aparición en la clasificación debido al hecho de que esta familia de programas maliciosos puede propagarse de distintas maneras, incluyendo los medios portátiles de almacenamiento de datos que luego se conectan a ordenadores desprotegidos.

Dos gusanos de la familia AutoRun, AutoRun.dui y AutoRun.rxx, también figuran en la clasificación usando el mismo método.

Trojan-Downloader.JS.LuckySploit.q es un interesante troyano para scripts que los ciberdelincuentes suelen usar y que se analizará más abajo.

En el vigésimo lugar se ubica un programa publicitario, Shopper.v, que es uno de los programas más comunes de su tipo (la compañía que lo desarrolla, Zango, antes conocida como Hotbar, cerró hace pocos meses). La aplicación instala varias barras de herramientas en el navegador y en el cliente de correo y los utiliza para mostrar avisos en banners. Puede resultar difícil eliminar estas barras de herramientas.

El segundo Top 20 presenta datos generados por el componente web del antivirus de Kaspersky Lab y refleja el escenario de amenazas en Internet. Esta clasificación incluye programas maliciosos detectados en páginas web y otros programas maliciosos que intentaron descargarse desde páginas web. Es decir, este segundo listado responde a dos interrogantes: “¿Qué programas maliciosos suelen infectar con mayor frecuencia las páginas web?” y “¿Qué programas maliciosos suelen descargarse con mayor frecuencia, con o sin el consentimiento del usuario, desde sitios maliciosos o infectados”?

Posición Programma nocivo Cantidad de páginas web infectadas
1   Trojan-Downloader.JS.Gumblar.a 27103  
2   Trojan-Downloader.JS.Iframe.ayt 14563  
3   Trojan-Downloader.JS.LuckySploit.q 6975  
4   Trojan-Clicker.HTML.IFrame.kr 5535  
5   Trojan-Downloader.HTML.IFrame.sz 4521  
6   Trojan-Downloader.JS.Major.c 4326  
7   Trojan-Downloader.Win32.Agent.cdam 3939  
8   Trojan-Clicker.HTML.IFrame.mq 3922  
9   Trojan.JS.Agent.aat 3318  
10   Trojan.Win32.RaMag.a 3302  
11   Trojan-Clicker.SWF.Small.b 2894  
12   Packed.JS.Agent.ab 2648  
13   Trojan-Downloader.JS.Agent.czm 2501  
14   Exploit.JS.Pdfka.gu 2441  
15   Trojan-Clicker.JS.Agent.fp 2332  
16   Trojan-Dropper.Win32.Agent.aiuf 2002  
17   Exploit.JS.Pdfka.lr 1995  
18   not-a-virus:AdWare.Win32.Shopper.l 1945  
19   not-a-virus:AdWare.Win32.Shopper.v 1870  
20   Exploit.SWF.Agent.az 1747  

A la cabeza se encuentra Gumblar.a, un troyano descargador (Troyan-Downloader) que constituye un excelente ejemplo de los programas maliciosos usados en las descargas tipo drive-by downloads.

Gumblar.a es un pequeño script codificado que al ejecutarse desvía al usuario a un sitio web malicioso; en consecuencia, se explota una serie de vulnerabilidades para descargar un archivo ejecutable malicioso desde el mencionado sitio web e instalarlo en el ordenador del usuario. Una vez instalado, el archivo afecta el tráfico de Internet del usuario al modificarse los resultados de búsqueda de Google. También busca en el ordenador contraseñas para servidores FTP con el fin de infectarlos.

El resultado es que los ciberdelincuentes crean una red de servidores zombis (botnet) que puede usarse para descargar cualquier tipo de programa malicioso al ordenador del usuario. El número de servidores infectados es enorme y, además, los programas maliciosos siguen propagándose a ordenadores desprotegidos.

Otro ejemplo notable de programas de descarga involuntaria es LuckySploit.g, que ocupa la tercera posición en el segundo listado y que también aparece en la primera clasificación de los Top 20.

Se trata de un hábil script que recolecta datos sobre la configuración del navegador desde el ordenador del usuario. Después, codifica los datos usando una clave pública RSA y los envía a un sitio web malicioso. Los datos se descodifican en el servidor mediante una clave privada RSA y una selección de scripts (dependientes de la configuración del navegador) se devuelve al usuario. Los scripts explotan vulnerabilidades en el ordenador cautivo y descargan programas maliciosos. Por sobre todo, este enfoque multietapas dificulta en gran manera el análisis del script original que recolecta datos sobre el navegador: si no es posible acceder al servidor que descodifica los datos, resulta imposible entonces averiguar qué scripts se devolverán a un usuario en particular.

Numerosos programas maliciosos explotan vulnerabilidades en productos de importantes marcas. La presencia de Trojan-Clicker.SWF.Small.b, Exploit.JS.Pdfka.gu, Exploit.JS.Pdfka.lr y Exploit.SWF.Agent.az en la clasificación constata la popularidad y la vulnerabilidad de Adobe Flash Placer y de Adobe Reader. Las vulnerabilidades en los productos de Microsoft también se explotan ampliamente: Trojan-Downloader.JS.Major.c intenta explotar varias vulnerabilidades en diferentes componentes de Windows y de Microsoft Office de manera simultánea.

Hay una clara y reciente tendencia de los ciberdelincuentes de usar una serie de sofisticados programas de descarga involuntaria diseñados para instalar programas maliciosos en ordenadores infectados. En general, los ciberdelincuentes están teniendo una presencia cada vez más significativa en Internet.

Esto resalta la importancia de que los usuarios actualicen con regularidad sus sistemas operativos y sus aplicaciones, y mantengan actualizadas sus soluciones antivirus.

Finalmente, a continuación se muestra la nueva característica de este informe mensual; la tabla presenta la lista de países en los que se originan la mayoría de ataques infecciosos en Internet.

Kaspersky Lab presenta el Top 20 de programas maliciosos detectados en junio

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada