Informes sobre malware

Kaspersky Lab presenta el TOP 20 de programas maliciosos detectados por sus productos.

Para elaborar las dos listas del TOP20 de malware, hemos usado los datos recogidos por la red Kaspersky Security Network (KSN) durante agosto de 2009.

En la primera lista se enumeran los programas maliciosos, publicitarios y potencialmente peligrosos detectados y neutralizados por el escáner “on access” de los productos de Kaspersky Lab.

Posición Cambios en la posición Programma nocivo Cantidad de equipos infectados
1   0 Net-Worm.Win32.Kido.ih   48281  
2   0 Virus.Win32.Sality.aa   23156  
3   New not-a-virus:AdWare.Win32.Boran.z   16872  
4   -1 Trojan-Downloader.Win32.VB.eql   8030  
5   -1 Trojan.Win32.Autoit.ci   7846  
6   0 Virus.Win32.Virut.ce   6248  
7   -2 Worm.Win32.AutoRun.dui   5516  
8   0 Net-Worm.Win32.Kido.jq   5446  
9   -2 Virus.Win32.Sality.z   5157  
10   New Virus.Win32.Induc.a   4476  
11   -2 Worm.Win32.Mabezat.b   3982  
12   -2 Net-Worm.Win32.Kido.ix   3579  
13   -1 Packed.Win32.Klone.bj   3579  
14   New Trojan.Win32.Swizzor.b   3327  
15   New Packed.Win32.Katusha.b   3139  
16   -2 Worm.Win32.AutoIt.i   3076  
17   1 not-a-virus:AdWare.Win32.Shopper.v   2947  
18   New Trojan-Dropper.Win32.Flystud.yo   2745  
19   -2 Email-Worm.Win32.Brontok.q   2706  
20   New P2P-Worm.Win32.Palevo.jaj   2664  

Los contumaces líderes – Net-Worm.Win32.Kido.ih y Virus.Win32.Sality.aa – han conservado sus posiciones.

En la primera lista de agosto han aparecido al mismo tiempo seis “novatos”. Algunos son dignos de interés.

El más interesante es Virus.Win32.Induc.a, sobre el cual ya habíamos escrito varias veces en nuestras notas de prensa y weblog. Como recordará el lector, Virus.Win32.Induc.a se reproduce usando un mecanismo de dos pasos para crear sus ficheros ejecutables, todo en Delphi: primero, el código inicial de las aplicaciones se compila en módulos .dcu intermedios, a partir de los cuales se generan los ficheros ejecutables para Windows. Tomando en cuenta que muchos programas se infectan con este virus ya en la etapa de compilación, no nos sorprende que este virus haya aparecido de súbito en el décimo lugar de la lista.

Más arriba, en el tercer lugar, tenemos a otro nuevo programa – not-a-virus:AdWare.Win32.Boran.z – que es un componente del panel de instrumentos Baidu Toolbar para Internet Explorer, muy popular en China. En éste se utilizan diferentes tecnologías rootkit para hacer que sea más difícil eliminar este panel por medio de los métodos estándar.

Trojan.Win32.Swizzor.b y Packed.Win32.Katusha.b, que ocupan los lugares 14 y 15, son nuevas versiones de programas nocivos que ya estuvieron presentes en nuestra clasificación. Estas nuevas versiones se diferencian de las anteriores por usar métodos en extremo extravagantes y perfeccionados para enmarañar el código.

El gusano P2P-Worm.Win32.Palevo.ddm ha sido reemplazado por su pariente, Palevo.jaj, que ocupa la última posición de la lista. Hay que reconocer que es un programa malicioso bastante peligroso: además de propagarse por redes P2P, infecta medios extraíbles y se difunde por sistemas de mensajería instantánea. Como si esto fuera poco, también cuenta con impresionantes funciones de “puerta trasera” (backdoor) que le proporcionan al delincuente un acceso flexible a la administración de los equipos infectados.

En general, el programa que nos dio la impresión más brillante de este mes fue Virus.Win32.Induc, por su innovadora forma de abordar el proceso de infección de los equipos de los usuarios.

Por lo demás, observamos que la primera lista goza de cierta estabilidad, sobre todo si la comparamos con la segunda.

La segunda tabla refleja los datos obtenidos como resultado del funcionamiento del escáner online, y que da una idea de la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y los que hicieron intentos de descargarse desde páginas web.

Posición Cambios en la posición Programma nocivo Cantidad de páginas web infectadas
1   New not-a-virus:AdWare.Win32.Boran.z   16760  
2   1 Trojan-Downloader.HTML.IFrame.sz   5228  
3   New Trojan.JS.Redirector.l   4693  
4   -3 Trojan-Downloader.JS.Gumblar.a   4608  
5   New Trojan-Clicker.HTML.Agent.w   4564  
6   New Exploit.JS.DirektShow.k   4475  
7   0 Trojan-GameThief.Win32.Magania.biht   4416  
8   -4 Trojan-Downloader.JS.LuckySploit.q   3416  
9   -7 Trojan-Clicker.HTML.IFrame.kr   3323  
10   -4 Trojan-Downloader.JS.Major.c   2688  
11   New Exploit.JS.Sheat.c   2684  
12   New Trojan-Downloader.JS.FraudLoad.d   2553  
13   -4 Trojan-Clicker.HTML.IFrame.mq   2367  
14   -3 Trojan.JS.Agent.aat   2246  
15   -3 Exploit.JS.DirektShow.j   2128  
16   New Trojan-Downloader.JS.IstBar.bh   1973  
17   New Trojan-Downloader.JS.Iframe.bmu   1933  
18   New Exploit.JS.DirektShow.l   1838  
19   New Exploit.JS.DirektShow.q   1753  
20   New Trojan-Downloader.Win32.Agent.ckwd   1504  

Más de la mitad de segunda lista del TOP 20 son nuevos ejemplares del trabajo creativo de los delincuentes.

En el primer lugar sigue not-a-virus:AdWare.Win32.Boran.z, que ya habíamos mencionando más arriba.

Hace un mes escribimos sobre una vulnerabilidad en Internet Explorer, cuyo exploit es detectado por nuestro antivirus como Exploit.JS.DirektShow. Entonces, en la lista estaban presentes tres modificaciones de este exploit: .a, .j y .o. Pero ahora vemos en la lista cuatro versiones: esto significa que este exploit conserva su popularidad. Es probable que los delincuentes supongan que muchos usuarios todavía no han instalado el parche correspondiente y persistan en sus intentos de atacar al sistema a través de esta brecha.

Otra vulnerabilidad, pero esta vez en Microsoft Office también fue muy utilizada por los delincuentes. Una de las modificaciones del exploit para esta vulnerabilidad, que detectamos como Exploit.JS.Sheat, ocupa el decimoprimer lugar en la lista.

En Internet existe una gran cantidad de páginas web dedicadas a propagar falsos antivirus. Uno de los scripts que permiten hacerlo ocupa el decimoprimer lugar de nuestra lista. Kaspersky Anti-Virus lo detecta como Trojan-Downloader.JS.FraudLoad.d. Al visitar la página web que contiene el scrip, los usuarios reciben una notificación de que su equipo supuestamente está infectado por múltiples programas maliciosos y se les propone eliminarlos. Si el usuario acepta, en realidad descarga un antivirus falso, FraudTool en nuestra clasificación.

La funciñon de caballo de troya de Redirector.1 consiste en que remite las solicitudes de búsqueda del usuario a determinados servidores, con el objetivo de hacer aumentar la cantidad de clics de visitantes. En cambio, Iframe.bmu es un típico contenedor que contiene una serie de diferentes exploits, en este caso para los productos de Adobe.

Las tendencias observadas en julio siguen vigentes: los delincuentes continúan usando activamente las vulnerabilidades de los programas populares. También siguen propagándose activamente los falsos antivirus y los triviales clickers iframe. Esto nos da razones para suponer que la situación seguirá siendo similar, ya que todos estos esquemas son lucrativos para los delincuentes.

Países con mayor cantidad de intentos de infección vía web:

Kaspersky Lab presenta el TOP 20 de programas maliciosos detectados por sus productos.

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada