Kaspersky Lab presenta el Top 20 de programas maliciosos detectados en junio

Kaspersky Lab ha presentado dos listas TOP20 de malware. Para elaborar ambas tablas se han usado, al igual que en ocasiones anteriores, los datos recogidos por el sistema Kaspersky Security Network (KSN) durante el mes de junio de 2009. Sin embargo, esta vez se han utilizado métodos un tanto distintos para seleccionar y analizar los datos.

La primera lista de los Top 20 enumera los programas maliciosos, publicitarios y potencialmente peligrosos que se detectaron y neutralizaron la primera vez que se los ejecutó mediante análisis al acceso. El uso de estadísticas ‘por acceso’ posibilita el análisis de los programas maliciosos más recientes, más peligrosos y más expandidos neutralizados al ejecutarse en los ordenadores de los usuarios o al descargarse de Internet.

Si bien ha cambiado la forma de analizar las amenazas, esto no ha tenido incidencia en los líderes de esta clasificación: Net-Worm.Win32.Kido.ih se mantuvo en el primer lugar. Otras dos modificaciones del gusano Kido.jq and Kido.ix también hicieron su aparición en la clasificación debido al hecho de que esta familia de programas maliciosos puede propagarse de distintas maneras, incluyendo los medios portátiles de almacenamiento de datos que luego se conectan a ordenadores desprotegidos.

Dos gusanos de la familia AutoRun, AutoRun.dui y AutoRun.rxx, también figuran en la clasificación usando el mismo método.

Trojan-Downloader.JS.LuckySploit.q es un interesante troyano para scripts que los ciberdelincuentes suelen usar y que se analizará más abajo.

En el vigésimo lugar se ubica un programa publicitario, Shopper.v, que es uno de los programas más comunes de su tipo (la compañía que lo desarrolla, Zango, antes conocida como Hotbar, cerró hace pocos meses). La aplicación instala varias barras de herramientas en el navegador y en el cliente de correo y los utiliza para mostrar avisos en banners. Puede resultar difícil eliminar estas barras de herramientas.

El segundo Top 20 presenta datos generados por el componente web del antivirus de Kaspersky Lab y refleja el escenario de amenazas en Internet. Esta clasificación incluye programas maliciosos detectados en páginas web y otros programas maliciosos que intentaron descargarse desde páginas web. Es decir, este segundo listado responde a dos interrogantes: “¿Qué programas maliciosos suelen infectar con mayor frecuencia las páginas web?” y “¿Qué programas maliciosos suelen descargarse con mayor frecuencia, con o sin el consentimiento del usuario, desde sitios maliciosos o infectados”?

A la cabeza se encuentra Gumblar.a, un troyano descargador (Troyan-Downloader) que constituye un excelente ejemplo de los programas maliciosos usados en las descargas tipo drive-by downloads.

Gumblar.a es un pequeño script codificado que al ejecutarse desvía al usuario a un sitio web malicioso; en consecuencia, se explota una serie de vulnerabilidades para descargar un archivo ejecutable malicioso desde el mencionado sitio web e instalarlo en el ordenador del usuario. Una vez instalado, el archivo afecta el tráfico de Internet del usuario al modificarse los resultados de búsqueda de Google. También busca en el ordenador contraseñas para servidores FTP con el fin de infectarlos.

El resultado es que los ciberdelincuentes crean una red de servidores zombis (botnet) que puede usarse para descargar cualquier tipo de programa malicioso al ordenador del usuario. El número de servidores infectados es enorme y, además, los programas maliciosos siguen propagándose a ordenadores desprotegidos.

Otro ejemplo notable de programas de descarga involuntaria es LuckySploit.g, que ocupa la tercera posición en el segundo listado y que también aparece en la primera clasificación de los Top 20.

Se trata de un hábil script que recolecta datos sobre la configuración del navegador desde el ordenador del usuario. Después, codifica los datos usando una clave pública RSA y los envía a un sitio web malicioso. Los datos se descodifican en el servidor mediante una clave privada RSA y una selección de scripts (dependientes de la configuración del navegador) se devuelve al usuario. Los scripts explotan vulnerabilidades en el ordenador cautivo y descargan programas maliciosos. Por sobre todo, este enfoque multietapas dificulta en gran manera el análisis del script original que recolecta datos sobre el navegador: si no es posible acceder al servidor que descodifica los datos, resulta imposible entonces averiguar qué scripts se devolverán a un usuario en particular.

Numerosos programas maliciosos explotan vulnerabilidades en productos de importantes marcas. La presencia de Trojan-Clicker.SWF.Small.b, Exploit.JS.Pdfka.gu, Exploit.JS.Pdfka.lr y Exploit.SWF.Agent.az en la clasificación constata la popularidad y la vulnerabilidad de Adobe Flash Placer y de Adobe Reader. Las vulnerabilidades en los productos de Microsoft también se explotan ampliamente: Trojan-Downloader.JS.Major.c intenta explotar varias vulnerabilidades en diferentes componentes de Windows y de Microsoft Office de manera simultánea.

Hay una clara y reciente tendencia de los ciberdelincuentes de usar una serie de sofisticados programas de descarga involuntaria diseñados para instalar programas maliciosos en ordenadores infectados. En general, los ciberdelincuentes están teniendo una presencia cada vez más significativa en Internet.

Esto resalta la importancia de que los usuarios actualicen con regularidad sus sistemas operativos y sus aplicaciones, y mantengan actualizadas sus soluciones antivirus.

Finalmente, a continuación se muestra la nueva característica de este informe mensual; la tabla presenta la lista de países en los que se originan la mayoría de ataques infecciosos en Internet.