Resumen de la actividad viral informática en 2006Kaspersky Lab, el líder ruso en el diseño de sistemas de defensa contra virus, hackers y correo no solicitado, presenta su resumen anual de los sucesos en el campo de los programas nocivos. El presente material contiene datos sobre los mayores incidentes virales ocurridos en 2006, la apreciación de nuestros expertos sobre las tendencias en el campo de la creación y propagación de virus y los pronósticos de Kaspersky Lab sobre el posterior desarrollo de la situación.
El informe está dirigido en primer lugar a los profesionales en el campo de la seguridad informática que tengan interés en los programas nocivos, pero también puede ser útil a todos los usuarios interesados en los problemas de la virología informática.
- Desarrollo de los programas maliciosos en 2006
- Programas nocivos para UNIX y similares
- Virus para dispositivos móviles
- Ataques Internet: 2006
- El correo no solicitado en el año 2006
Generalidades
En el año 2006 continuaron las principales tendencias en el desarrollo de los programas nocivos que fueron patentes en los años anteriores. Nos referimos a la preponderancia de los programas troyanos sobre los gusanos y el crecimiento en los nuevos especímenes de código nocivo del porcentaje de programas orientado a causar daños financieros a los usuarios.
La tendencia más interesante de 2006 ha sido el impetuoso crecimiento de los programas troyanos-espía orientados al robo de los datos de los usuarios de juegos en línea y el desarrollo subsiguiente de los troyanos-cifradores, en los cuales se empezó a utilizar algoritmos criptográficos complicados para el cifrado de datos. También hay que mencionar la gran atención de los autores de virus por Microsoft Office, debida a la gran cantidad de nuevas vulnerabilidades descubiertas, que condujeron a que aparezcan programas nocivos que usan esas vulnerabilidades.
Los primeros “verdaderos” virus y gusanos para el sistema operativo MacOS, los programas troyanos para la plataforma móvil J2ME y los métodos de robo de dinero relacionados con la misma.
Los autores de programas están utilizando cada vez más vías no estándar para penetrar en los ordenadores de sus víctimas: los sistemas de mensajería instantánea (ICQ, AOL, MSN) han pasado a estar entre los programas más peligrosos en Internet. Por supuesto, esta vía tiene relación directa con la gran cantidad de vulnerabilidades en los navegadores populares, en primer lugar Internet Explorer.
En su conjunto, 2006 ha resultado ser un año bastante interesante desde el punto de vista tecnológico y por suerte ha pasado sin ninguna epidemia global que se aproxime siquiera a algunas epidemias de 2005 (Mytob). Por otra parte, en reemplazo de las epidemias globales han arribado nuevas epidemias locales, organizadas por límites geográficos (es decir, que abarcan determinadas regiones, por ejemplo, China, Rusia, etc.) u otras que tienen un periodo de actividad extremadamente breve.
Las mayores epidemias virales
En 2006 se registraron 7 epidemias virales de gran envergadura. Esta cifra es dos veces menor que la del año 2005 (14 epidemias).
Las epidemias de 2006 pueden dividirse en cuatro grupos. Las provocadas por el gusano Nyxem.e; las de las familias Bagle y Warezov; y diversas variantes del troyano-cifrador GpCode.
A finales de enero de 2006 se detectó un envío masivo de una nueva variante del gusano postal Nyxem. Despertó singular interés que el gusano tuviera una función que enviaba solicitudes desde los equipos infectados a determinado sitio, donde había un contador de visitas. Las compañías antivirus registraron cientos de miles de solicitudes a este sitio en pocos días, lo que era un testimonio de una epidemia realmente grande. Un análisis adicional demostró que la mayoría de los ordenadores infectados se encontraban en la India y en los países de Sudamérica (sobre todo en Perú).
El gusano poseía una función nociva: destruía todos los ficheros, documentos y archivos del usuario el 3 de cada mes. Dado que Nyxem.e, al llegar el 3 de febrero de 2006, había podido infectar más de un millón de ordenadores, los medios de comunicación masiva hicieron varias publicaciones al respecto con el objetivo de informar a los usuarios. Es posible que gracias a esto se haya podido evitar la pérdida de datos de usuarios en todo el mundo: el 3 de febrero no se registró ningún aumento significativo de solicitudes de los usuarios relacionadas con este asunto.
Pero Nyxem.e no desapareció y continuó presente en el tráfico postal durante todo 2006, con un índice bastante alto. Su segunda cima de actividad fue en agosto-septiembre. Todo esto le permitió ocupar el primer lugar entre los programas nocivos más difundidos en el tráfico postal de 2006.
Enero de 2006, Nyxem.e aparte, entró a la historia por la aparición del primer programa troyano que usó un algoritmo criptográfico “serio” para cifrar los datos de los usuarios. Gpcode.ac usaba el algoritmo RSA con una llave de 56 bits. Este programa nocivo cifra los ficheros del usuario, lo que permite a su creador extorsionar a las víctimas pidiéndoles dinero por descifrar sus datos.
Este programa nocivo recibió gran difusión en el sector ruso de Internet gracias a los envíos masivos de spam. A pesar de nuestras numerosas advertencias de no ejecutar los datos adjuntos enviados por remitentes desconocidos, gran cantidad de usuarios cayó víctima. Kaspersky Lab publicó de forma casi inmediata un procedimiento para descifrar los ficheros de los usuarios.
A principios de junio de 2006 se difundieron, una tras otra, tres variantes de Gpcode, cada una de las cuales usaba una llave más larga para el cifrado, lo cual hacía más complejo el proceso de su descifrado para las compañías antivirus.
En Gpcode.ae la llave era de 260 bits; en Gpcode.af, de 330 bits. La tarea era bastante compleja. El descifrado de las diferentes llaves usadas en las modificaciones de Gpcode.af (330 bits) exigió el uso de tecnologías de punta y 10 horas de tenso trabajo de los expertos de Kaspersky Lab. Pero tardó poco en aparecer una nueva variante de Gpcode (ag) con una llave de 660 bits. No obstante, también logramos resolver esta tarea en poco tiempo. Desde aquel momento no aparecieron nuevas variantes del troyano GpCode.
Desde 2004 venimos observando la existencia de una peligrosa familia de gusanos postales llamada Bagle. En este tiempo ha pasado de ser un simple gusano para convertirse en un programa nocivo de múltiples componentes, que está dotado de funciones de servidor proxy, descargador, espía y diversas herramientas para su propagación. 2005 fue el año del pico de la actividad de Bagle. En 2006 los autores del gusano estuvieron mucho menos activos, pero esto no le impidió provocar dos epidemias bastante serias, en febrero y junio. Invariablemente, después de cada una de estas epidemias se registró un aumento notable del spam en el tráfico postal, provocado por los ordenadores infectados con Bagle que se usaban como servidores proxy troyanos.
Una táctica de propagación muy parecida (envíos masivos locales de corta duración) la usaron después los autores del gusano Warezov. Por sus funciones es muy parecido a Bagle y también está orientado a la posterior utilización de los sistemas infectados para enviar spam. Desde inicios de septiembre y hasta el fin de 2006 se registró más de 300 variantes de este gusano, algunos días hasta nos topábamos con más de 20 nuevas modificaciones, cada una de las cuales se propagaba impetuosamente por correo electrónico. Debido a la diversidad de sus variantes, ningún Warezov logró ingresar a nuestra lista de los diez virus más difundidos por correo electrónico, en realidad sigue siendo uno de los programas nocivos de más rápido desarrollo y más peligrosos de Internet.
Posición | Nombre | Dislocación |
1 | Net-Worm.Win32.Mytob.c | 0 |
2 | Email-Worm.Win32.LovGate.w | +4 |
3 | Email-Worm.Win32.NetSky.b | +2 |
4 | Email-Worm.Win32.NetSky.t | Nuevo |
5 | Email-Worm.Win32.Nyxem.e | Nuevo |
6 | Email-Worm.Win32.NetSky.q | -4 |
7 | Net-Worm.Win32.Mytob.u | +2 |
8 | Net-Worm.Win32.Mytob.t | +7 |
9 | Net-Worm.Win32.Mytob.q | -1 |
10 | Email-Worm.Win32.Scano.gen | Nuevo |
Los diez programas nocivos más difundidos en el tráfico postal de 2006
Tipos de programas nocivos en 2006
El crecimiento del número de los nuevos programas nocivos es del 41% en comparación con 2005.
De conformidad con la clasificación de Kaspersky Lab, existen tres tipos de programas nocivos.
Según la clasificación de Kaspersky Lab, existen tres tipos de programas maliciosos:
- TrojWare: diferentes programas troyanos que no son capaces de reproducirse por su propia cuenta (backdoor, rootkit y todo tipo de troyanos);
- VirWare: programas nocivos capaces de reproducirse (virus y gusanos);
- Otros tipos de MalWare: software usado intensivamente por los delincuentes para crear programas nocivos y organizar ataques.
Cantidad mensual media de nuevos programas maliciosos
El porcentaje de las nuevas familias y variantes de programas maliciosos es como sigue:
Distribución de los programas maliciosos según clases a finales de 2006
clase | %% | cambios durante el año |
TrojWare | 91,79% | +2,79% |
VirWare | 4,70% | -1,3% |
Otro MalWare | 3,51% | -1,49% |
Cambio del porcentaje de las clases de programas maliciosos durante el año
Podemos constatar el constante crecimiento del porcentaje de diferentes programas troyanos de todos los tipos y comportamientos, fenómeno que hemos venido observando durante los últimos años. El crecimiento del 2,79% en comparación con 2005 es mucho menor que el índice similar (8,76%) del año anterior. La aparente simplicidad de la creación de programas maliciosos de este tipo (en comparación con los gusanos y virus) y la posibilidad que dan de robar datos, crear redes zombi y hacer envíos masivos siguen siendo las principales razones del crecimiento de los troyanos en Internet. La confirmación es que el porcentaje de programas troyanos frente a todos los nuevos programas maliciosos ha superado el 90%.
La cantidad de gusanos y virus (VirWare) ha bajado de una forma no tan significante como en el 2006 (-6,53%), sin embargo, esto se explica fácilmente porque sus índices anteriores ya eran extremadamente bajos. En el futuro cercano es poco probable que su cantidad siga bajando, y es muy posible que ya hayan alcanzado cierta estabilidad. Los gusanos y los virus no desaparecerán del todo, y al parecer experimentarán determinado crecimiento de su popularidad en 2007, algo que dependerá mucho de las nuevas vulnerabilidades de Windows en general y de Vista en particular.
En lo que se refiere a los programas maliciosos que clasificamos como Otro MalWare, esta es la clase más numerosa que abarca muchas y diferentes conductas, entre las cuales la más interesante son los exploits. El suceso más significante de 2006 en esta clase es la aparición de una gran cantidad de exploits para Microsoft Office. Nuestro pronóstico es que en 2007 crecerá el número de estas amenazas. Una vez más, gran parte de este crecimiento puede estar condicionado por la situación con Windows Vista y la nueva versión de MS Office 2007.
Veamos con más detalle los cambios que han tenido lugar en cada una de las clases.
Programas troyanos
Si ponemos en un gráfico la cantidad de nuevos troyanos detectados por los analístas de Kaspersky Lab, veremos lo siguiente:
Cantidad de nuevos programas TrojWare detectados mensualmente por los analíticos de Kaspersky Lab
Basta un vistazo al gráfico para ver el impetuoso crecimiento de la popularidad de los programas troyanos. De hecho, se están convirtiendo en una amenaza creciente, ya que su aplastante mayoría son troyanos orientados a causar daños económicos a los usuarios.
Los índices alcanzados por lo troyanos ya son tan altos que incluso el crecimiento formal de la cantidad de nuevos troyanos en un 46% comparado con el 124% de 2005 no significa que las actividades de los delincuentes cibernéticos se hayan reducido. Cada mes, la cantidad de troyanos crece por miles y al mismo tiempo se incrementa la variedad de sus conductas.
La distribución de las conductas de los troyanos se puede representar de la siguiente manera:
TrojWare: Porcentaje de las conductas dentro de la clase
Para entender mejor los cambios acaecidos en esta clase de programas troyanos, recurriremos a las cifras:
Conducta | Cambios durante el año |
Backdoor | +29% |
Trojan | +11% |
Trojan-Clicker | +3% |
Trojan-Downloader | +93% |
Trojan-Dropper | -15% |
Trojan-Proxy | +58% |
Trojan-PSW | +125% |
Trojan-Spy | +27% |
TrojWare | +46% |
Cambio de la cantidad de nuevos programas maliciosos de la clase TrojWare durante el año
La única conducta de los troyanos que se ha reducido respecto al año pasado es la de la los Trojan-Dropper. Esto no nos sorprende, si tomamos en cuenta que en 2005 tuvieron un crecimiento del 212%, uno de los más intensos entre todos los programas maliciosos. Es bastante difícil mantener semejante ritmo de crecimiento. Así, una caída del 15% no es una muestra de que haya una reducción seria de la cantidad de estas amenazas.
Los líderes de 2006 fueron Trojan-Downloader y Trojan-PSW: su cantidad creció en un 93% y 125% respectivamente.
Para Trojan-Downloader estos índices no son raros (en 2005 su crecimiento superó el 270%). Esta es la conducta más masiva, y el interés que causa entre los delincuentes está condicionado porque Trojan-Downloader es una forma universal de hacer ingresar códigos maliciosos en los ordenadores de los usuarios. Trojan-Downloader es capaz de descargar al sistema cualquier tipo de programas maliciosos, lo que le da a su autor grandes posibilidades en el uso del ordenador infectado.
La conducta de Trojan-PSW es la única entre los troyanos que logró superar sus propios resultados de 2005: +125% contra +122% el año pasado. Estos datos están condicionado porque la mayoría de Trojan-PSW son los así denominados “troyanos de juegos”, orientados al robo de datos de los usuarios de diferentes juegos en línea. Los juegos en línea están en el pico de su popularidad: Millones de personas de todo el mundo juegan en World of Warcraft, Lineage o Legend of Mir, sobre todo en los países de Asia. Con frecuencia, el valor de los personajes del juego o de diferentes utensilios puede alcanzar decenas de miles de dólares. Esto no puede pasar desapercibido por los delincuentes cibernéticos. Éstos roban los datos de entrada a los juegos y usan los objetos virtuales robados para venderlos en las subastas por Internet.
Los troyanos de juegos se han convertido en uno de los problemas clave de 2006 y la tendencia de su desarrollo muestra que en el futuro próximo seguirán siendo una de las conductas de más crecimiento entre los programas maliciosos. En 2007 se espera la aparición de varios nuevos juegos en línea, lo que, sin lugar a dudas, atraerá a millones de nuevos jugadores virtuales, que serán seguidos por los delincuentes cibernéticos.
Además de las dos conductas mencionadas, sobre el fondo de la reducción general del ritmo de crecimiento de los nuevos programas troyanos, llaman la atención los Trojan-Proxy. En 2005 su número aumentó en un 68% y en el 2006, en un 58%. La estabilidad del interés por los Trojan-Proxy se explica porque este tipo de troyanos se usa para hacer envíos de spam desde los ordenadores infectados. Es lamentable que a pesar de la activa lucha contra el spam, tanto legal como tecnológica, su cantidad siga aumentando cada año y a finales de 2006 constituyó cerca del 80% del tráfico postal total. A nuestro parecer, existe una correlación exacta entre la cantidad de nuevos troyanos-proxy y el ritmo de crecimiento del spam. Si en 2007 se logra reducir el ritmo de esta variante, la consecuencia sería la reducción del spam en Internet.
También hay que mencionar la clase de programas troyanos conocida como rootkits. Esta clase no aparece aparte en la tabla de conductas de los troyanos, porque su número todavía no alcanza siquiera al de los Trojan-Clicker. Sin embargo, con frecuencia sirve de camuflaje para diferentes programas troyanos y varios delincuentes pueden usar un mismo rootkit. En 2005 (cuando empezamos a catalogar los rootkit en una conducta aparte), mostraron un crecimiento sin precedentes del 413%. En ese momento los rootkit eran uno de los temas más candentes de la industria antivirus y los escritores de virus efectuaban activos perfeccionamientos en este campo. Después de un despegue tan impresionante, era de esperarse una caída en su ritmo de crecimiento, pero en 2006 también quedaron en un alto nivel, 74%. Esto es una prueba de que el problema de los rootkits sigue siendo muy importante y al mismo tiempo estamos a la expectativa de la influencia que ejercerá la difusión de Windows Vista, sistema que según sus creadores no deja lugar a los rootkits.
Entre los troyanos que fomentaron el crecimiento del 27% de la clase Trojan-Spy, una significante parte son los denominados Bankers. Estos troyanos están orientados al robo de datos de acceso a diferentes sistemas de pago en línea, sistemas bancarios en Internet y datos de tarjetas de crédito. Por cierto, esta es la forma más típica de delito cibernético. En 2006 siguió desarrollándose, de hecho duplicando la cantidad de nuevos “Bankers”: +97% en comparación con 2005. El ritmo de crecimiento de estos troyanos no fue interrumpido ni por las medidas adoptadas por los bancos para defender a sus usuarios, ni por el significante crecimiento de los ataques phishing, destinados al robo del mismo tipo de datos. El acceso a su cuenta, la posibilidad de administrarla desde Internet y el uso de Internet como lugar de compras atrae a cada vez más usuarios, y esto significa que en 2007 una gran parte de los programas troyanos estará destinada al robo de datos confidenciales.
Gusanos y virus
Presentamos el gráfico de la cantidad de nuevos programas VirWare detectados mensualmente por los analíticos de Kaspersky Lab. En este caso el gráfico es el siguiente:
Cantidad de nuevos programas VirWare detectados mensualmente por los analíticos de Kaspersky Lab
En el gráfico vemos que el periodo de estancamiento de esta clase que habíamos venido observando de 2004 a 2005, en 2006 se convirtió en un determinado crecimiento, sobre todo en el segundo semestre. Esto se explica porque desde la segunda mitad del año los escritores de virus empezaron a usar activamente la táctica de organizar una gran cantidad de epidemias virales de corta duración. Los autores de la numerosa familia Warezov hicieron el uso más notable de esta tecnología En determinados días pudimos registrar más de dos decenas de nuevas variantes de este gusano, las cuales se diferenciaban levemente unas de otras por partes de su código y los puntos geográficos adónde se enviaban: unas a Rusia, otras a Alemania, etc. La aparición de numerosas variantes en un corto periodo de tiempo provocó que en dos escasos meses Warezov se convirtiera en la familia de más rápido crecimiento entre todos los programas nocivos de 2006.
Aparte de Warezov, fue el virus-gusano asiático Viking el que ejerció la más notable influencia en la clase VirWare. Este programa nocivo se difundió sobre todo en China y se caracterizaba por la gran cantidad de sus variantes. Esto condujo a que, según los resultados de 2006, en la clase VirWare se registrara un crecimiento del 8% de nuevos programas, en comparación con 2005. Recordemos que en 2005 este tipo de programas nocivos se había reducido en un 2%.
En general, hay que mencionar que, al igual que en 2005, el relativo estancamiento de la clase se conservó debido al crecimiento de determinados tipos de gusanos, mientras que el resto sufría una notable caída, y el crecimiento del 8% se alcanzó gracias a dos comportamientos: Email-Worm y Worm.
La distribución de las conductas de los troyanos se puede representar de la siguiente manera:
VirWare: Porcentaje de las conductas dentro de la clase
Las conductas Email-Worm y Worm en 2006 siguieron siendo las más estables entre los virus (el cambio del porcentaje dentro de la clase fue del +2% y -3% respectivamente). Se puede suponer que en el año que viene seguirán siendo la “fuerza impulsora” de este tipo de programas nocivos.
Conducta | Cambios durante el año |
Email-Worm | +43% |
IM-Worm | -45% |
IRC-Worm | -63% |
Net-Worm | -55% |
P2P-Worm | -5% |
Worm | +221% |
Virus | -29% |
VirWare | +8% |
Cambio de la cantidad de nuevos programas maliciosos de la clase VirWare durante el año
Como ya lo habíamos mencionado, el crecimiento de la cantidad de programas de esta clase en general se debió a Email-Worm.Win32.Warezov y Worm.Win32.Viking.
También hay que mencionar la considerable reducción de la cantidad de nuevos gusanos de red (Net-Worm). Este tipo de gusano, el más peligroso y de rápida difusión, tuvo su pico de actividad en años pasados. Basta recordar las epidemias globales de tales representantes de esta conducta como Lovesan (2003), Sasser (2004) y Mytob (2005). En 2005 esta conducta mostró un crecimiento del 43%. Por suerte, en 2006 se logró una gran reducción, de -55% en relación a 2005. Esto fue posible gracias a que no se encontró gran cantidad de vulnerabilidades críticas en Windows, mientras que las antiguas vulnerabilidades fueron cerradas con parches de Microsoft y los cortafuegos se convirtieron en norma. No es menor el mérito de los grandes proveedores de Internet, que instalaron sistemas de filtrado del tráfico y antivirus “hardware” en sus pasarelas, lo que permite cortar el paso a las epidemias antes de que lleguen al usuario.
Lo más probable es que la tendencia de reducción de la cantidad de programas Net-Worm continuará en 2007, y la misma existencia de la conducta Net-Worm estará determinada exclusivamente por la posibilidad de usar este método de propagación de gusanos en combinación con otros métodos (correo electrónico, recursos de red, gusanos para sistemas de mensajes instantáneos).
A propósito, los gusanos para mensajeros instantáneos no pudieron conquistar ninguna posición notable en la escena de los virus. En 2005 los autores de virus empezaron a prestar determinada atención a esta conducta, a pesar de que los primeros gusanos de este tipo aparecieron en el lejano 2001. A finales de 2005, la cantidad de nuevos ejemplares de IM-Worm llegó a los 32 por mes. En 2006, al principio se detuvo su crecimiento y luego su número empezó a caer rápidamente. Y una vez más fue gracias a las exitosas medidas tomadas contra estos gusanos por los propietarios de los servicios de mensajes instantáneos, AOL y MSN. Estos implementaron una serie de filtros y limitaciones en sus programas, lo que dificultó en gran manera a los autores de gusanos el uso de esta forma de propagación. El resultado: una reducción del 45% en el número de nuevos gusanos para mensajeros instantáneos con una clara tendencia a desaparecer en 2007.
Los tradicionales virus de fichero continúan reduciendo sus porcentajes, pero esto no es una prueba de que los autores de virus hayan perdido el interés por esta tecnología. Por el contrario, este método lo usan con cada vez más frecuencia y estamos ante un peculiar renacimiento. No obstante, ahora el método no se usa solo, sino en combinación con otros métodos de propagación, como por ejemplo lo hace Worm.Win32.Viking que tiene la capacidad de infectar ficheros. Además, los virus se vuelven cada vez más complicados, con frecuencia usan diferentes métodos de polimorfismo y mutación de su código, algo que siempre fue un dolor de cabeza para las compañías antivirus. En general, se observa la desaceleración de la caída del número de virus, sólo un 29% en 2006 (comparada con el -45% en 2005 y -54% en 2004).
Las demás conductas de gusanos y virus no representan gran interés por su limitada difusión y la constante disminución de su porcentaje en el total de VirWare.
Otros programas maliciosos
Esta clase es la menos propagada según la cantidad de ejemplares detectados, pero la más numerosa por la cantidad de conductas.
Según los resultados del año, esta clase se ha reducido respecto a la cantidad total de programas nocivos (ver tabla 1) y el promedio de los cambios de cantidad de los nuevos programas en esta clase es menor que el ritmo de crecimiento de las otras dos clases.
Cantidad de nuevos programas Other MalWare detectados mensualmente por los analíticos de Kaspersky Lab
El lento crecimiento de la cantidad de nuevos programas nocivos de esta clase en 2004-2005 (13% y 43% respectivamente) en el 2006 se convirtió en un caída del 7%, lo que por el momento no permite suponer la aparición de cierta tendencia, pero en combinación con la reducción general de programas de esta clase en el total de los programas nocivos, que alcanzó el 3,5%, puede ser un indicio de la pérdida de interés de los autores de virus hacia esta clase.
La popularidad de los representantes de la clase MalWare se puede representar de la siguiente manera:
MalWare: porcentaje de las conductas dentro de la clase
De toda la variedad de conductas que integran esta clase, son dignos de atención sólo siete representantes. Los programas maliciosos que pertenecen a otras conductas aparecen muy rara vez, y por esta razón no se puede decir que tengan un desarrollo serio. Analicemos los datos aducidos en la tabla:
Conducta | Cambios durante el año |
Constructor | -18% |
BadJokes, Hoax | +167% |
Exploit | -21% |
Flooder | -34% |
HackTool | -21% |
IM-Flooder | +40% |
SpamTool | +107% |
Otros | -64% |
Otro MalWare | -7% |
Cambio de la cantidad de nuevos programas maliciosos de la clase Other MalWare durante el año
La conducta más masiva en esta clase es Exploit. En 2006 su porcentaje bajó un poco, como resultado de la reducción del número de vulnerabilidades detectadas que podían ser usadas por los delincuentes. Aquellas vulnerabilidades que fueron el principal problema de 2006, sobre todo afectaban al paquete Microsoft Office y por lo tanto se detectaban como programas troyanos y no como exploits.
Y de la misma manera que muchos otros casos mencionados arriba, el pronóstico para esta clase en 2007 depende completamente de lo que ocurra con los exploits para Windows Vista y Microsoft Office 2007. No dejamos de lado la posibilidad de que se descubran muchas vulnerabilidades críticas en estos programas, y entonces la caída actual de los exploits (-21%) será seguida por un crecimiento notable.
Determinado interés representa el crecimiento de la popularidad del una vez exótico tipo IM-Flooder. Estos programas se usan para organizar envíos de spam en ICQ, AOL y MSN. El crecimiento del 40% está condicionado por la gran popularidad de este tipo de spam, ya que por el momento no existen filtros spam para los clientes de sistemas de mensajería instantánea, que brinde un nivel de protección siquiera aproximado al de los sistemas antispam para correo.
Los representantes de SpamTool están destinados a la recolección de direcciones de correo electrónico en los ordenadores infectados para enviárselos al delincuente, que luego los usará para hacer envíos masivos de spam. En 2005 habíamos notado un interés leve, pero ya estable hacia este tipo de conducta. En 2006 su crecimiento fue explosivo: 107%. Pero a finales de año su número empezó a reducirse, algo que en gran parte se debió al uso de la función “email harvesting” (recolección de direcciones) sobre todo en Email-Worm.Win32.Warezov.
En general, el 2006 fue un año de fracasos para el MalWare. Durante el transcurso de todo el año los representantes de MalWare fueron perdiendo popularidad, mientras TrojWar la iba ganando.
Tendencias paralelas
Programas cifradores-extorsionadores (ransomware en inglés)
Una de las tendencias más peligrosas perfiladas en 2006 es el crecimiento de la cantidad de incidentes cuando los delincuentes, con la ayuda de determinado programa, modifican o cifran los datos en el ordenador de la víctima con el objetivo de chantajearlo, pidiéndole un rescate por descifrar los datos. Los escenarios de funcionamiento de estos programas son muy parecidos los unos a los otros y se reducen al bloqueo del funcionamiento normal del ordenador o al bloqueo del acceso a los datos.
En enero de 2006 el único representante de este tipo de programas fue Trojan.Win32.Krotten. El autor de Krotten, con una persistencia envidiable, publicó 13 modificaciones de este programa en sólo dos semanas, cambiando constantemente su código y tratando de evitar que lo detecten.
Este mismo embate coincidió con la aparición de una serie de troyanos similares, de los cuales el más notable fue Gpcode. En sólo seis meses de 2006 Gpcode hizo grandes avances en su desarrollo: desde el uso de un simple algoritmo simétrico de cifrado hasta llegar al asimétrico, aumentando el tamaño de la llave desde 56 hasta 64, 256, 330 y luego alcanzando los 660 bites.
Kaspersky Lab escribió los detalles de su lucha con este “cifrador” en el verano de 2006.
Durante el primer semestre de 2006 la cantidad de familias de troyanos que se dedicaban a la extorsión creció desde dos hasta seis (Krotten, Daideneg, Schoolboys, Cryzip, MayArchive, Gpcode). Y si a principios de año, en los albores del desarrollo de estos programas, la geografía de sus ataques se limitaba a Rusia y los países del CEI, a mediados de año se ensanchó claramente: se registró la aparición de extorsionadores informáticos en Alemania, Gran Bretaña y una serie de otros países.
AdWare
Pero pasemos ahora a ver a los representantes de AdWare, los programas que de una u otra forma hacen publicidad en Internet, que en 2006 decrecieron un 29% respecto a 2005. Como ya habíamos escrito, los representantes de esta clase con creciente frecuencia salen de los frágiles límites que separan a los programas nocivos de los que no lo son. Esto se confirma también por el hecho de que con cada vez más frecuencia se encuentra AdWare que usan tecnologías francamente virales en su trabajo. El ritmo de crecimiento de AdWare bajó significativamente en 2005 (63%) y nosotros pronosticamos que seguiría bajando. Y así fue, en gran parte debido a que este tipo de negocio fue declarado ilegal en muchos países y muchos fabricantes de programas adware fueron juzgados o tuvieron que cambiar sus programas de tal manera que las compañías antivirus abandonaran sus reclamaciones al respect.
Es muy probable que en 2007 la disminución de AdWare se haga todavía más patente.
Bases antivirus
Ante el aumento del número de nuevas amenazas virales, Kaspersky Lab contestó con la aceleración de la publicación de bases antivirus y el aumento de la velocidad de reacción.
La cantidad de nuevas inscripciones mensuales en las bases antivirus de Kaspersky Lab en 2006 varió desde aproximadamente cinco mil hasta diez mil a fin de año. En resumen, en todo el año la cantidad mensual de detecciones tuvo un promedio de 7240 (sin tomar en cuenta las bases extendidas), mientras que en 2005 esta cantidad fue de 4496.
Estadística de la cantidad de nuevas inscripciones en las bases antivirus (amarillo, bases estándar; rojo, bases extendidas)
Como vemos en el gráfico, la cantidad de inscripciones mensuales en las bases antivirus aumentó de forma irregular durante el año. A cada mes de crecimiento le siguió un mes de caída. Pero al acercarse el fin de año se observa un crecimiento sostenido, al fin de año alcanzó la suma de 10000 nuevos programas nocivos al mes.
Kaspersky Lab reaccionó ante la aparición de nuevos programas nocivos publicando dos tipos de actualizaciones de las bases antivirus: regulares (aproximadamente cada hora) y urgentes (en casos de epidemias).
La cantidad de actualizaciones de las bases regulares en 2006 superó las siete mil y tuvo un promedio de más de seiscientas actualizaciones por mes.
Cantidad de actualizaciones regulares por mes
En lo que se refiere a las actualizaciones urgentes, sus datos son muy interesantes por dos motivos. En primer lugar, muestran la cantidad total de situaciones “epidémicas” en 2006 y permiten compararlas con los índices similares de 2005. En segundo lugar, permiten seguir cierta fijación de las epidemias a diferentes meses del año.
Cantidad de actualizaciones urgentes por meses (azul, 2005; rojo, 2006)
Los datos muestran que los sucesos merecedores de actualizaciones urgentes en 2006 fueron ?casi un 30% menos que en 2005! Si en 2005 este procedimiento se realizó un promedio de 30 veces al mes, en 2006 no llegó a 20 veces en el mismo periodo.
Los datos muestran la presencia de dos picos principales de actividad de los autores de virus en 2006: febrero-abril y octubre-diciembre. En el diagrama se puede apreciar claramente la caída de verano en junio-julio.
Pronósticos para 2007
Tomando en cuenta todas las tendencias y sucesos mencionados arriba, podemos esperar que en 2007 la atención de los autores de virus se dirija en primer lugar a los diferentes programas troyanos, especializados en el robo de información de los usuarios. Los principales objetos de los ataques continuarán siendo los usuarios de diferentes sistemas bancarios y de pago, como también los participantes de juegos en línea.
Continuará la tendencia de unión entre los autores de virus y los spammers, cuando gracias a su “simbiosis” los ordenadores infectados se usan no sólo para organizar nuevas epidemias o ataques, sino también para enviar spam.
En lo que concierne a las vías de penetración de los programas maliciosos en los ordenadores, las principales seguirán siendo el correo electrónico y las vulnerabilidades de los navegadores de Internet. El uso de métodos de ataques directos a los puertos será menos difundido y dependerá en su totalidad del descubrimiento (o su ausencia) de vulnerabilidades críticas en los servicios de Windows. Los métodos de propagación de los programas maliciosos tales como redes P2P o canales IRC no serán masivos, pero sin duda se usarán, sobre todo localmente (por ejemplo, el cliente P2P Winny, muy popular en Japón, puede convertirse en un serio problema para los usuarios asiáticos). Los sistemas de mensajería instantánea seguirán entre los tres medios más usados para los ataques, pero no esperamos que este método de propagación de virus gane más presencia.
En general, las epidemias y ataques virales tendrán geografías más determinadas. Por ejemplo, en la región asiática predominarán los troyanos para juegos y los gusanos con funciones virales, en cambio en Europa y EEUU prevalecerán los troyanos espías y las puertas traseras. Latinoamérica seguirá sufriendo los embates de los troyanos “bancarios”.
Sin ninguna duda, el tema principal de 2007 será el nuevo sistema operativo de Microsoft, Vista y las vulnerabilidades relacionadas con el mismo. Son precisamente las vulnerabilidades y nuevas limitaciones de Vista el factor que determinará el desarrollo de la industria de los virus en los próximos años. Aquí, no hay que esperar cambios rápidos y cardinales, sin embargo, es indudable que este factor dominará en las tendencias del año.
Los programas maliciosos tenderán a aumentar cada vez más la complejidad de sus tecnologías y sus métodos de disimular su presencia en el sistema. Los perfeccionamientos en el campo del polimorfismo, ofuscación del código y tecnologías de rootkit se masificarán aún más y prácticamente se convertirán en norma para la mayoría de los nuevos programas nocivos.
Se puede también pronosticar un significativo crecimiento de los programas nocivos para otros sistemas operativos: en primer lugar para MacOS, y luego para los sistemas *nix. Tampoco se ignorará a las consolas como PlayStation y Nintendo. El creciente número de estos dispositivos y sus posibilidades de comunicación con sus semejantes y con Internet pueden atraer la atención de los autores de virus, por el momento con motivaciones exclusivamente de investigación y travesuras. Puede suceder que los virus para “no ordenadores” en 2007 superen ciertos límites y entren en un estadio de impetuoso crecimiento, sin embargo esta probabilidad no es muy alta y en nuestra opinión todo se limitará a una gran cantidad de trabajos conceptuales en este campo.
Crecerá el número de ataques de gran precisión contra compañías medianas y grandes. Aparte del tradicional robo de información, estos ataques se dirigirán a la extorsión de las organizaciones víctimas, entre otras, pidiendo dinero por descifrar datos. Uno de los principales métodos de penetración en los sistemas serán los ficheros de Microsoft Office y las vulnerabilidades de este producto.
Kaspersky Security Bulletin 2006. Desarrollo de los programas maliciosos en 2006