Informes sobre malware

Kaspersky Lab presenta el Top 20 de programas maliciosos detectados en noviembre

Kaspersky Lab ha presentado el TOP 20 de programas maliciosos detectados en noviembre. Este mes se constata la creciente importancia de los llamados antivirus falsos.

En la primera tabla se registran los programas maliciosos y potencialmente indeseables detectados y neutralizados por primera vez en los ordenadores de los usuarios.

Posición Cambios en la posición Programma nocivo Cantidad de equipos infectados
1   0 Net-Worm.Win32.Kido.ir   330305  
2   Nuevo Net-Worm.Win32.Kido.iq   174351  
3   -1 Net-Worm.Win32.Kido.ih   145332  
4   0 Virus.Win32.Sality.aa   128737  
5   0 Worm.Win32.FlyStudio.cu   93848  
6   -3 not-a-virus:AdWare.Win32.Boran.z   84825  
7   -1 Trojan-Downloader.Win32.VB.eql   63287  
8   9 Trojan-Downloader.WMA.GetCodec.s   48426  
9   1 Virus.Win32.Virut.ce   47812  
10   -3 Virus.Win32.Induc.a   46252  
11   -2 Worm.Win32.AutoRun.awkp   36453  
12   -4 Packed.Win32.Black.d   36422  
13   -2 Packed.Win32.Black.a   35094  
14   -1 Trojan-Dropper.Win32.Flystud.yo   34638  
15   -3 Worm.Win32.AutoRun.dui   32493  
16   -1 Packed.Win32.Klone.bj   31963  
17   1 Worm.Win32.Mabezat.b   29804  
18   新規 Packed.Win32.Krap.ag Nuevo 26041  
19   Nuevo Trojan-GameThief.Win32.Magania.ckqi   25529  
20   Nuevo Trojan.Win32.Genome.bjgu   24730  

En general, en la primera lista TOP20 hay pocos cambios, pero merece la pena destacar algunas particularidades. En primer lugar, la súbita aparición de Kido.iq en el segundo puesto. Este programa malicioso tiene funciones similares a la del líder de estos últimos meses, Kido.ir, que forma parte de la lista desde septiembre.

En segundo lugar, el brusco ascenso (9 posiciones) del descargador multimedia GetCodec.s. La cantidad de equipos donde se detectó GetCodec ha aumentado más del doble. Recordamos que GetCodec.s se propaga junto con el gusano P2P-Worm.Win32.Nugg, de forma similar a GetCodec.r, que ya describimos en diciembre del año pasado. Al parecer, los delincuentes están intentando propagar Worm.Win32.Nugg usando la red P2P Gnutella (en este caso, a través de la popular aplicación LimeWire). Este gusano también descarga otros programas maliciosos que representan un peligro adicional para los equipos de los usuarios.

Tenemos también un novato, Packed.Win32.Krap.ag. Al igual que los representantes de la familia Packed, esta versión es un empaquetador especial para programas maliciosos. En este caso, el programa malicioso forma parte de la familia de antivirus falsos, sobre la que hemos escrito hace poco en www.viruslist.com. Así, los falsos antivirus ocupan el puesto 18 en la lista.

Después de su regreso, el troyano de juegos Magania ocupa una posición estable en la lista: en noviembre la variante Magania.cbrt ha sido desplazada del puesto 19 por la nueva versión Magania.ckqi.

Programas maliciosos en Internet

La segunda tabla refleja la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y los que hicieron intentos de descargarse desde páginas web.

Posición Cambios en la posición Programma nocivo Número de tentativas de descarga
1   0 Trojan-Downloader.JS.Gumblar.x   1714509  
2   1 Trojan-Downloader.HTML.IFrame.sz   189881  
3   Nuevo Trojan-Clicker.JS.Iframe.be   170319  
4   0 not-a-virus:AdWare.Win32.Boran.z   136748  
5   0 Trojan.JS.Redirector.l   130271  
6   Nuevo Trojan.JS.Ramif.a   115163  
7   1 Trojan.JS.Agent.aat   55291  
8   -2 Trojan-Clicker.HTML.Agent.aq   47873  
9   Nuevo Trojan.HTML.Fraud.r   47473  
10   -8 Trojan-Downloader.JS.Gumblar.w   41977  
11   Nuevo Trojan.JS.Iframe.dy   35152  
12   -5 Trojan-Downloader.JS.Zapchast.m   31161  
13   Nuevo Trojan-Downloader.JS.IstBar.cy   30806  
14   Nuevo Trojan-Clicker.JS.Iframe.u   30553  
15   Retorno Trojan-Downloader.JS.Psyme.gh   30078  
16   Nuevo Trojan-Downloader.HTML.FraudLoad.b   29466  
17   Nuevo Trojan-Clicker.HTML.IFrame.ajn   29455  
18   Nuevo Trojan.JS.PrygSkok.a   27804  
19   Nuevo Packed.Win32.Krap.ag   26770  
20   -5 Trojan-Downloader.JS.LuckySploit.q   26175  

Gumblar continúa su marcha. Con una enorme ventaja, lidera la lista de programas maliciosos en Internet y el número de intentos únicos de descarga ha aumentado casi 4 veces.

El nuevo ataque de Gumblar, sobre el cual escribimos el mes pasado, continúa en noviembre. Pero, a diferencia del ataque de hace medio año, esta vez todos los componentes se han ido modificando durante el transcurso del mes con una envidiable regularidad, ya sea el descargador, los exploits o el fichero ejecutable principal.

Los falsos antivirus también están presentes en la segunda lista. Uno de los métodos de propagación que usan consiste en descargarse en los ordenadores de los usuarios desde sitios web creados con una misma plantilla e incorporados en programas de estafas. En noviembre nuestra compañía detectó Trojan.HTML.Fraud.r y Trojan-Downloader.HTML.FraudLoad.b como las páginas web más populares desde la cuales se descargaron antivirus falsos. Desde estas mismas páginas se descargaba Packed.Win32.Krap.ag mencionado más arriba, hecho que condiciona también su presencia en la segunda lista.

Los demás novatos, según lo que ya se ha convertido en una suerte de tradición, son scripts descargadores de diferente grado de enmarañamiento y complejidad.

Tendencias del mes

Según los resultados de noviembre, el cuadro clínico sigue siendo el mismo. Actualmente, los esquemas más populares de propagación de programas maliciosos son “script malicioso + exploit + fichero ejecutable” y “script malicioso + fichero ejecutable”. Con gran frecuencia ésta es la manera de difundirse que usan los programas que roban datos confidenciales o dinero al usuario. Por ejemplo, Trojan-PSW.Win32.Kates, cuya descarga es el principal objetivo de Gumblar; o Trojan-Spy.Win32.Zbot, troyano muy propagado mediante scripts descargadores y diversas campañas spam, como también de diferentes antivirus falsos.

Una tendencia más propia de los últimos meses y que se conserva en noviembre es la propagación de antivirus falsos mediante plantillas de páginas web.

Además, los delincuentes usan activamente programas empaquetadores (sobre todo polimórficos) contando con que esto permitirá a los programas maliciosos evitar ser detectados.

Este mes también hemos registrado la propagación de programas maliciosos a través de redes P2P y mediante descargadores multimedia según el esquema usado por los delincuentes en diciembre del año pasado.

Países donde se ha detectado la mayor cantidad de intentos de infección a través de páginas web:

 

Kaspersky Lab presenta el Top 20 de programas maliciosos detectados en noviembre

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada