Para elaborar las dos listas del TOP20 de malware, hemos usado los datos recogidos por la red Kaspersky Security Network (KSN) durante agosto de 2009.
En la primera lista se enumeran los programas maliciosos, publicitarios y potencialmente peligrosos detectados y neutralizados por el escáner “on access” de los productos de Kaspersky Lab.
Posición | Cambios en la posición | Programma nocivo | Cantidad de equipos infectados |
1 | 0 | Net-Worm.Win32.Kido.ih | 48281 |
2 | 0 | Virus.Win32.Sality.aa | 23156 |
3 | New | not-a-virus:AdWare.Win32.Boran.z | 16872 |
4 | -1 | Trojan-Downloader.Win32.VB.eql | 8030 |
5 | -1 | Trojan.Win32.Autoit.ci | 7846 |
6 | 0 | Virus.Win32.Virut.ce | 6248 |
7 | -2 | Worm.Win32.AutoRun.dui | 5516 |
8 | 0 | Net-Worm.Win32.Kido.jq | 5446 |
9 | -2 | Virus.Win32.Sality.z | 5157 |
10 | New | Virus.Win32.Induc.a | 4476 |
11 | -2 | Worm.Win32.Mabezat.b | 3982 |
12 | -2 | Net-Worm.Win32.Kido.ix | 3579 |
13 | -1 | Packed.Win32.Klone.bj | 3579 |
14 | New | Trojan.Win32.Swizzor.b | 3327 |
15 | New | Packed.Win32.Katusha.b | 3139 |
16 | -2 | Worm.Win32.AutoIt.i | 3076 |
17 | 1 | not-a-virus:AdWare.Win32.Shopper.v | 2947 |
18 | New | Trojan-Dropper.Win32.Flystud.yo | 2745 |
19 | -2 | Email-Worm.Win32.Brontok.q | 2706 |
20 | New | P2P-Worm.Win32.Palevo.jaj | 2664 |
Los contumaces líderes – Net-Worm.Win32.Kido.ih y Virus.Win32.Sality.aa – han conservado sus posiciones.
En la primera lista de agosto han aparecido al mismo tiempo seis “novatos”. Algunos son dignos de interés.
El más interesante es Virus.Win32.Induc.a, sobre el cual ya habíamos escrito varias veces en nuestras notas de prensa y weblog. Como recordará el lector, Virus.Win32.Induc.a se reproduce usando un mecanismo de dos pasos para crear sus ficheros ejecutables, todo en Delphi: primero, el código inicial de las aplicaciones se compila en módulos .dcu intermedios, a partir de los cuales se generan los ficheros ejecutables para Windows. Tomando en cuenta que muchos programas se infectan con este virus ya en la etapa de compilación, no nos sorprende que este virus haya aparecido de súbito en el décimo lugar de la lista.
Más arriba, en el tercer lugar, tenemos a otro nuevo programa – not-a-virus:AdWare.Win32.Boran.z – que es un componente del panel de instrumentos Baidu Toolbar para Internet Explorer, muy popular en China. En éste se utilizan diferentes tecnologías rootkit para hacer que sea más difícil eliminar este panel por medio de los métodos estándar.
Trojan.Win32.Swizzor.b y Packed.Win32.Katusha.b, que ocupan los lugares 14 y 15, son nuevas versiones de programas nocivos que ya estuvieron presentes en nuestra clasificación. Estas nuevas versiones se diferencian de las anteriores por usar métodos en extremo extravagantes y perfeccionados para enmarañar el código.
El gusano P2P-Worm.Win32.Palevo.ddm ha sido reemplazado por su pariente, Palevo.jaj, que ocupa la última posición de la lista. Hay que reconocer que es un programa malicioso bastante peligroso: además de propagarse por redes P2P, infecta medios extraíbles y se difunde por sistemas de mensajería instantánea. Como si esto fuera poco, también cuenta con impresionantes funciones de “puerta trasera” (backdoor) que le proporcionan al delincuente un acceso flexible a la administración de los equipos infectados.
En general, el programa que nos dio la impresión más brillante de este mes fue Virus.Win32.Induc, por su innovadora forma de abordar el proceso de infección de los equipos de los usuarios.
Por lo demás, observamos que la primera lista goza de cierta estabilidad, sobre todo si la comparamos con la segunda.
La segunda tabla refleja los datos obtenidos como resultado del funcionamiento del escáner online, y que da una idea de la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y los que hicieron intentos de descargarse desde páginas web.
Posición | Cambios en la posición | Programma nocivo | Cantidad de páginas web infectadas |
1 | New | not-a-virus:AdWare.Win32.Boran.z | 16760 |
2 | 1 | Trojan-Downloader.HTML.IFrame.sz | 5228 |
3 | New | Trojan.JS.Redirector.l | 4693 |
4 | -3 | Trojan-Downloader.JS.Gumblar.a | 4608 |
5 | New | Trojan-Clicker.HTML.Agent.w | 4564 |
6 | New | Exploit.JS.DirektShow.k | 4475 |
7 | 0 | Trojan-GameThief.Win32.Magania.biht | 4416 |
8 | -4 | Trojan-Downloader.JS.LuckySploit.q | 3416 |
9 | -7 | Trojan-Clicker.HTML.IFrame.kr | 3323 |
10 | -4 | Trojan-Downloader.JS.Major.c | 2688 |
11 | New | Exploit.JS.Sheat.c | 2684 |
12 | New | Trojan-Downloader.JS.FraudLoad.d | 2553 |
13 | -4 | Trojan-Clicker.HTML.IFrame.mq | 2367 |
14 | -3 | Trojan.JS.Agent.aat | 2246 |
15 | -3 | Exploit.JS.DirektShow.j | 2128 |
16 | New | Trojan-Downloader.JS.IstBar.bh | 1973 |
17 | New | Trojan-Downloader.JS.Iframe.bmu | 1933 |
18 | New | Exploit.JS.DirektShow.l | 1838 |
19 | New | Exploit.JS.DirektShow.q | 1753 |
20 | New | Trojan-Downloader.Win32.Agent.ckwd | 1504 |
Más de la mitad de segunda lista del TOP 20 son nuevos ejemplares del trabajo creativo de los delincuentes.
En el primer lugar sigue not-a-virus:AdWare.Win32.Boran.z, que ya habíamos mencionando más arriba.
Hace un mes escribimos sobre una vulnerabilidad en Internet Explorer, cuyo exploit es detectado por nuestro antivirus como Exploit.JS.DirektShow. Entonces, en la lista estaban presentes tres modificaciones de este exploit: .a, .j y .o. Pero ahora vemos en la lista cuatro versiones: esto significa que este exploit conserva su popularidad. Es probable que los delincuentes supongan que muchos usuarios todavía no han instalado el parche correspondiente y persistan en sus intentos de atacar al sistema a través de esta brecha.
Otra vulnerabilidad, pero esta vez en Microsoft Office también fue muy utilizada por los delincuentes. Una de las modificaciones del exploit para esta vulnerabilidad, que detectamos como Exploit.JS.Sheat, ocupa el decimoprimer lugar en la lista.
En Internet existe una gran cantidad de páginas web dedicadas a propagar falsos antivirus. Uno de los scripts que permiten hacerlo ocupa el decimoprimer lugar de nuestra lista. Kaspersky Anti-Virus lo detecta como Trojan-Downloader.JS.FraudLoad.d. Al visitar la página web que contiene el scrip, los usuarios reciben una notificación de que su equipo supuestamente está infectado por múltiples programas maliciosos y se les propone eliminarlos. Si el usuario acepta, en realidad descarga un antivirus falso, FraudTool en nuestra clasificación.
La funciñon de caballo de troya de Redirector.1 consiste en que remite las solicitudes de búsqueda del usuario a determinados servidores, con el objetivo de hacer aumentar la cantidad de clics de visitantes. En cambio, Iframe.bmu es un típico contenedor que contiene una serie de diferentes exploits, en este caso para los productos de Adobe.
Las tendencias observadas en julio siguen vigentes: los delincuentes continúan usando activamente las vulnerabilidades de los programas populares. También siguen propagándose activamente los falsos antivirus y los triviales clickers iframe. Esto nos da razones para suponer que la situación seguirá siendo similar, ya que todos estos esquemas son lucrativos para los delincuentes.
Países con mayor cantidad de intentos de infección vía web:
Kaspersky Lab presenta el TOP 20 de programas maliciosos detectados por sus productos.