Informes sobre malware

Kaspersky Lab presenta el Top 20 de programas maliciosos detectados en octubre

Kaspersky Lab ha presentado el TOP 20 de programas maliciosos detectados en octubre. A partir de este mes, la estadística se elaborará con la información recopilada por todos los productos que tengan habilitada la función Kaspersky Security Network: es decir, las versiones 2009 y 2010.

Como resultado, las dos listas TOP20 elaboradas en base a los datos de Kaspersky Security Network han sufrido ciertos cambios. Además, en ambas listas tenemos un gran crecimiento de los indicadores, ya que ha crecido notablemente la cantidad de usuarios que aceptaron activar Kaspersky Security Network.

En la primera tabla están registrados los programas maliciosos y potencialmente indeseables detectados y neutralizados por primera vez en los ordenadores de los usuarios.

Posición Cambios en la posición Programma nocivo Cantidad de equipos infectados
1   3 Net-Worm.Win32.Kido.ir   344745  
2   -1 Net-Worm.Win32.Kido.ih   126645  
3   0 not-a-virus:AdWare.Win32.Boran.z   114776  
4   -2 Virus.Win32.Sality.aa   87839  
5   6 Worm.Win32.FlyStudio.cu   70163  
6   -1 Trojan-Downloader.Win32.VB.eql   52012  
7   0 Virus.Win32.Induc.a   49251  
8   New Packed.Win32.Black.d   39666  
9   New Worm.Win32.AutoRun.awkp   35039  
10   -3 Virus.Win32.Virut.ce   33354  
11   Return Packed.Win32.Black.a   31530  
12   -1 Worm.Win32.AutoRun.dui   25370  
13   4 Trojan-Dropper.Win32.Flystud.yo   24038  
14   New Trojan-Dropper.Win32.Agent.bcyx   22471  
15   Return Packed.Win32.Klone.bj   21919  
16   Return Trojan.Win32.Swizzor.b   19496  
17   New Trojan-Downloader.WMA.GetCodec.s   18571  
18   -4 Worm.Win32.Mabezat.b   19708  
19   New Trojan-GameThief.Win32.Magania.cbrt   17610  
20   New Trojan-Dropper.Win32.Agent.ayqa   16909  

El gusano Net-Worm.Win32.Kido.ir, del que tuvimos noticias por primera vez en septiembre, ocupa en octubre el primer lugar de la lista TOP20, desplazando al campeón permanente Kido.ih, algo que una vez más confirma que los dispositivos extraíbles son una de las principales fuentes de infección en los equipos de los usuarios.

Y a propósito de los medios extraíbles: al gusano Autorun.dui, asiduo participante de nuestra lista, se le ha unido un programa similar, Autorun.awkp, que llegó directamente al noveno puesto. Bajo estos nombres también se ocultan ficheros maliciosos que ejecutan de forma automática los programas maliciosos contenidos en medios extraíbles.

Este mes somos testigos del retorno de los viejos integrantes del TOP20, Packed.Win32.Black.a, Packed.Win32.Klone.bj y Trojan.Win32.Swizzor.b. Además, a Black.a se le suma una nueva versión: La familia Packed.Win32.Black está formada por programas empaquetados por versiones sin licencia de utilidades legítimas para la protección de ficheros ejecutables. En este caso, se trata de ASProtect, programa popular entre los delincuentes.

El descargador multimedia GetCodec.s es hermano de GetCodec.r, que ya habíamos descrito en diciembre del año pasado (www.viruslist.com/sp) y se propaga con la ayuda del gusano P2P-Worm.Win32.Nugg.

La familia Magania, que fue muy famosa hace tiempo, de nuevo da muestras de actividad. En julio Trojan-GameThief.Win32.Magania.biht entró en el TOP20 de los programas nocivos más propagados en Internet. Y en octubre, una nueva versión (Magania.cbrt) y un programa también relacionado con esta familia, Trojan-Dropper.Win32.Agent.ayqa, entraron en el TOP20 de los programas nocivos encontrados con más frecuencia en los equipos de los usuarios.

Al analizar los resultados del mes, observamos que los programas nocivos se siguen propagando por medio de dispositivos extraíbles y que hay una activación todavía insignificante, pero ya notable de los troyanos para juegos.

La segunda tabla refleja la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y los que hicieron intentos de descargarse desde páginas web.

En esta lista, como de costumbre, el cuadro es variado y fresco.

Posición Cambios en la posición Programma nocivo Número de tentativas de descarga
1   New Trojan-Downloader.JS.Gumblar.x   459779  
2   New Trojan-Downloader.JS.Gumblar.w   281057  
3   0 Trojan-Downloader.HTML.IFrame.sz   192063  
4   -3 not-a-virus:AdWare.Win32.Boran.z   171278  
5   -3 Trojan.JS.Redirector.l   157494  
6   -1 Trojan-Clicker.HTML.Agent.aq   118361  
7   New Trojan-Downloader.JS.Zapchast.m   112710  
8   Return Trojan.JS.Agent.aat   107132  
9   New Trojan-Downloader.JS.Small.oj   60425  
10   New Exploit.JS.Agent.apw   50939  
11   -7 Exploit.JS.Pdfka.ti   46303  
12   New Trojan.JS.Popupper.f   39204  
13   -1 Trojan-Downloader.JS.IstBar.bh   34944  
14   New Trojan.JS.Zapchast.an   30546  
15   -6 Trojan-Downloader.JS.LuckySploit.q   29105  
16   New Trojan-Downloader.JS.Agent.env   27405  
17   New Trojan-Dropper.Win32.Agent.ayqa   26994  
18   Return Trojan-Clicker.HTML.IFrame.mq   26057  
19   New Trojan-GameThief.Win32.Magania.bwsr   26032  
20   New Exploit.JS.Agent.anr   25517  

Los dos primeros puestos los ocupan las nuevas versiones de un cargador de scripts que causó revuelo en mayo de 2009, Gumblar. Ambas aparecieron a finales de mes para ocupar de inmediato posiciones de liderazgo.

En las nuevas versiones de Gumblar la tecnología de infección de sitios web se ha vuelto aún más refinada. En la primera versión las páginas web de sitios legítimos se infectaban directamente con el cuerpo del script, que, sin que el usuario se diese cuenta, ejecutaba otro script ubicado en el sitio de los delincuentes. Pero ahora, en los sitios infectados se ponen vínculos a scripts maliciosos ubicados en otros sitios legítimos, lo que hace un poco más difícil el proceso de análisis y neutralización de la red maliciosa.

En sí, el script trata de explotar algunas vulnerabilidades de Adobe Acrobat/Reader (http://cve.mitre.org/cgi-bin/cvename.cgi?name=2007-5659, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2992, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927), Adobe Flash Player (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0071), Microsoft Office (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2496) para descargar el principal programa malicioso Trojan-PSW.Win32.Kates.j.

Algunas variantes de los scripts contienen el mencionado troyano en su cuerpo y cuando se ejecutan tratan de descargar Kates.j en el equipo del usuario e inscribirlo en el módulo de ejecución automática autorun. El principal propósito de la infección es robar los datos confidenciales de los usuarios, entre ellos los datos de acceso a sitios web para su consiguiente infección.

Vale decir que el ataque mediante Gumblar fue planeado con mucho cuidado, pero a pesar de todo, nuestros especialistas agregaron a las bases de datos los identikits de todas las piezas del rompecabezas criminal.

El dividir el script malicioso en partes es un método que se está haciendo cada vez más popular. En octubre, la cuarta parte de los programas maliciosos del TOP20 han sido creadas según este principio: Trojan-Downloader.JS.Zapchast.n, Trojan-Downloader.JS.Small.oj, Exploit.JS.Agent.apw, Trojan.JS.Zapchast.an y Trojan-Downloader.JS.Agent.env.

También están en la lista de programas más difundidos en Internet Trojan-Dropper.Win32.Agent.ayqa, que ya hemos mencionado más arriba, y un ejemplar más de programas destinados al robo de contraseñas de juegos online, Trojan-GameThief.Win32.Magania.bwsr.

En resumen, podemos decir que en Internet lo más importante del mes ha sido la infección de sitios legítimos por las nuevas versiones del descargador Gumblar. También se observa el activo uso de tecnologías de fragmentación de scripts maliciosos para hacer que su análisis sea más complejo.

Países donde se ha detectado la mayor cantidad de intentos de infección por medio de páginas web:

 

Kaspersky Lab presenta el Top 20 de programas maliciosos detectados en octubre

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada