Autores
Kaspersky Lab ha presentado el TOP 20 de programas maliciosos detectados en octubre. A partir de este mes, la estadística se elaborará con la información recopilada por todos los productos que tengan habilitada la función Kaspersky Security Network: es decir, las versiones 2009 y 2010.
Como resultado, las dos listas TOP20 elaboradas en base a los datos de Kaspersky Security Network han sufrido ciertos cambios. Además, en ambas listas tenemos un gran crecimiento de los indicadores, ya que ha crecido notablemente la cantidad de usuarios que aceptaron activar Kaspersky Security Network.
En la primera tabla están registrados los programas maliciosos y potencialmente indeseables detectados y neutralizados por primera vez en los ordenadores de los usuarios.
| Posición | Cambios en la posición | Programma nocivo | Cantidad de equipos infectados |
| 1 |  3 |
Net-Worm.Win32.Kido.ir | 344745 |
| 2 |  -1 |
Net-Worm.Win32.Kido.ih | 126645 |
| 3 |  0 |
not-a-virus:AdWare.Win32.Boran.z | 114776 |
| 4 | -2 |
Virus.Win32.Sality.aa | 87839 |
| 5 | 6 |
Worm.Win32.FlyStudio.cu | 70163 |
| 6 | -1 |
Trojan-Downloader.Win32.VB.eql | 52012 |
| 7 | 0 |
Virus.Win32.Induc.a | 49251 |
| 8 |  New |
Packed.Win32.Black.d | 39666 |
| 9 | New |
Worm.Win32.AutoRun.awkp | 35039 |
| 10 | -3 |
Virus.Win32.Virut.ce | 33354 |
| 11 |  Return |
Packed.Win32.Black.a | 31530 |
| 12 | -1 |
Worm.Win32.AutoRun.dui | 25370 |
| 13 | 4 |
Trojan-Dropper.Win32.Flystud.yo | 24038 |
| 14 | New |
Trojan-Dropper.Win32.Agent.bcyx | 22471 |
| 15 | Return |
Packed.Win32.Klone.bj | 21919 |
| 16 | Return |
Trojan.Win32.Swizzor.b | 19496 |
| 17 | New |
Trojan-Downloader.WMA.GetCodec.s | 18571 |
| 18 | -4 |
Worm.Win32.Mabezat.b | 19708 |
| 19 | New |
Trojan-GameThief.Win32.Magania.cbrt | 17610 |
| 20 | New |
Trojan-Dropper.Win32.Agent.ayqa | 16909 |
El gusano Net-Worm.Win32.Kido.ir, del que tuvimos noticias por primera vez en septiembre, ocupa en octubre el primer lugar de la lista TOP20, desplazando al campeón permanente Kido.ih, algo que una vez más confirma que los dispositivos extraíbles son una de las principales fuentes de infección en los equipos de los usuarios.
Y a propósito de los medios extraíbles: al gusano Autorun.dui, asiduo participante de nuestra lista, se le ha unido un programa similar, Autorun.awkp, que llegó directamente al noveno puesto. Bajo estos nombres también se ocultan ficheros maliciosos que ejecutan de forma automática los programas maliciosos contenidos en medios extraíbles.
Este mes somos testigos del retorno de los viejos integrantes del TOP20, Packed.Win32.Black.a, Packed.Win32.Klone.bj y Trojan.Win32.Swizzor.b. Además, a Black.a se le suma una nueva versión: La familia Packed.Win32.Black está formada por programas empaquetados por versiones sin licencia de utilidades legítimas para la protección de ficheros ejecutables. En este caso, se trata de ASProtect, programa popular entre los delincuentes.
El descargador multimedia GetCodec.s es hermano de GetCodec.r, que ya habíamos descrito en diciembre del año pasado (www.viruslist.com/sp) y se propaga con la ayuda del gusano P2P-Worm.Win32.Nugg.
La familia Magania, que fue muy famosa hace tiempo, de nuevo da muestras de actividad. En julio Trojan-GameThief.Win32.Magania.biht entró en el TOP20 de los programas nocivos más propagados en Internet. Y en octubre, una nueva versión (Magania.cbrt) y un programa también relacionado con esta familia, Trojan-Dropper.Win32.Agent.ayqa, entraron en el TOP20 de los programas nocivos encontrados con más frecuencia en los equipos de los usuarios.
Al analizar los resultados del mes, observamos que los programas nocivos se siguen propagando por medio de dispositivos extraíbles y que hay una activación todavía insignificante, pero ya notable de los troyanos para juegos.
La segunda tabla refleja la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y los que hicieron intentos de descargarse desde páginas web.
En esta lista, como de costumbre, el cuadro es variado y fresco.
| Posición | Cambios en la posición | Programma nocivo | Número de tentativas de descarga |
| 1 | New |
Trojan-Downloader.JS.Gumblar.x | 459779 |
| 2 | New |
Trojan-Downloader.JS.Gumblar.w | 281057 |
| 3 | 0 |
Trojan-Downloader.HTML.IFrame.sz | 192063 |
| 4 | -3 |
not-a-virus:AdWare.Win32.Boran.z | 171278 |
| 5 | -3 |
Trojan.JS.Redirector.l | 157494 |
| 6 | -1 |
Trojan-Clicker.HTML.Agent.aq | 118361 |
| 7 | New |
Trojan-Downloader.JS.Zapchast.m | 112710 |
| 8 | Return |
Trojan.JS.Agent.aat | 107132 |
| 9 | New |
Trojan-Downloader.JS.Small.oj | 60425 |
| 10 | New |
Exploit.JS.Agent.apw | 50939 |
| 11 | -7 |
Exploit.JS.Pdfka.ti | 46303 |
| 12 | New |
Trojan.JS.Popupper.f | 39204 |
| 13 | -1 |
Trojan-Downloader.JS.IstBar.bh | 34944 |
| 14 | New |
Trojan.JS.Zapchast.an | 30546 |
| 15 | -6 |
Trojan-Downloader.JS.LuckySploit.q | 29105 |
| 16 | New |
Trojan-Downloader.JS.Agent.env | 27405 |
| 17 | New |
Trojan-Dropper.Win32.Agent.ayqa | 26994 |
| 18 | Return |
Trojan-Clicker.HTML.IFrame.mq | 26057 |
| 19 | New |
Trojan-GameThief.Win32.Magania.bwsr | 26032 |
| 20 | New |
Exploit.JS.Agent.anr | 25517 |
Los dos primeros puestos los ocupan las nuevas versiones de un cargador de scripts que causó revuelo en mayo de 2009, Gumblar. Ambas aparecieron a finales de mes para ocupar de inmediato posiciones de liderazgo.
En las nuevas versiones de Gumblar la tecnología de infección de sitios web se ha vuelto aún más refinada. En la primera versión las páginas web de sitios legítimos se infectaban directamente con el cuerpo del script, que, sin que el usuario se diese cuenta, ejecutaba otro script ubicado en el sitio de los delincuentes. Pero ahora, en los sitios infectados se ponen vínculos a scripts maliciosos ubicados en otros sitios legítimos, lo que hace un poco más difícil el proceso de análisis y neutralización de la red maliciosa.
En sí, el script trata de explotar algunas vulnerabilidades de Adobe Acrobat/Reader (http://cve.mitre.org/cgi-bin/cvename.cgi?name=2007-5659, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2992, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927), Adobe Flash Player (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0071), Microsoft Office (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2496) para descargar el principal programa malicioso Trojan-PSW.Win32.Kates.j.
Algunas variantes de los scripts contienen el mencionado troyano en su cuerpo y cuando se ejecutan tratan de descargar Kates.j en el equipo del usuario e inscribirlo en el módulo de ejecución automática autorun. El principal propósito de la infección es robar los datos confidenciales de los usuarios, entre ellos los datos de acceso a sitios web para su consiguiente infección.
Vale decir que el ataque mediante Gumblar fue planeado con mucho cuidado, pero a pesar de todo, nuestros especialistas agregaron a las bases de datos los identikits de todas las piezas del rompecabezas criminal.
El dividir el script malicioso en partes es un método que se está haciendo cada vez más popular. En octubre, la cuarta parte de los programas maliciosos del TOP20 han sido creadas según este principio: Trojan-Downloader.JS.Zapchast.n, Trojan-Downloader.JS.Small.oj, Exploit.JS.Agent.apw, Trojan.JS.Zapchast.an y Trojan-Downloader.JS.Agent.env.
También están en la lista de programas más difundidos en Internet Trojan-Dropper.Win32.Agent.ayqa, que ya hemos mencionado más arriba, y un ejemplar más de programas destinados al robo de contraseñas de juegos online, Trojan-GameThief.Win32.Magania.bwsr.
En resumen, podemos decir que en Internet lo más importante del mes ha sido la infección de sitios legítimos por las nuevas versiones del descargador Gumblar. También se observa el activo uso de tecnologías de fragmentación de scripts maliciosos para hacer que su análisis sea más complejo.
Países donde se ha detectado la mayor cantidad de intentos de infección por medio de páginas web:
Autores
De los mismos autores
En la misma categoría
Kaspersky Lab presenta el Top 20 de programas maliciosos detectados en octubre