Autores
- La evolución de las amenazas en 2007
- Este año la tendencia predominante es el desarrollo de programas nocivos dirigidos a los usuarios de juegos en línea
- El spam en 2007
- Amenazas para el correo electrónico
Como todos saben, el correo electrónico es uno de los medios más populares de propagación de programas nocivos. Además de los programas nocivos propagados mediante ficheros adjuntos a los mensajes, el correo electrónico tiene otros peligros como el phishing, los mensajes con enlaces a páginas web infectadas y todo tipo de spam en el cual se usan métodos de ingeniería social con el objetivo de forzar al usuario a ejecutar acciones que le convengan al spammer. En esta sección del informe anual analizaremos qué tipos de programas nocivos se envían por correo electrónico.
¿Desde qué países se hacen envíos masivos?
Antes que nada, quisiéramos analizar en qué países se hacen los mayores envíos de mensajes electrónicos infectados. El diagrama de abajo muestra la estadística según países, elaborada tomando en cuenta la cantidad de programas nocivos enviados desde los servidores ubicados en cada región.
Distribución de la cantidad de programas nocivos
según los países de origen de los mensajes infectados
Los cinco primeros lugares están ocupados por EEUU, Alemania, Suecia, España y Malasia. Hacemos notar que los mensajes infectados pueden no salir de los límites del país. Por eso, basándose en esta estadística no se puede concluir que los países que ocupan los primeros lugares son los más peligrosos para el resto del mundo como fuente de tráfico de correo infectado.
¿Qué programas nocivos se envían por correo?
La clasificación TOP10 de Kaspersky Lab en los servidores postales de todo el mundo refleja la distribución de los programas nocivos más populares que se propagan por correo electrónico. Los primeros diez lugares son los que prevalecen, ya que cada uno de los demás tipos de programas nocivos detectados por el antivirus representa alrededor del 1% del volumen total de adjuntos infectados
Malicious Composición del tráfico de correo nocivo (según comportamientos)
Analicemos los comportamientos que conforman el TOP10.
Gusano de correo.
Más de la mitad de todos los programas nocivos enviados por correo electrónico pertenecen al grupo de gusanos de correo (55%). La preponderancia del grupo Email-Worm entre los programas de correo nocivos es natural: los programas nocivos de este grupo no sólo los envían los delincuentes, sino que también se envían ellos mismos.
Apuntamos que de acuerdo con las reglas de clasificación establecidas, los programas que -aparte de las de correo electrónico- contienen otras funciones aún más peligrosas (por ejemplo, Net-Worm y Worm) se clasifican en un grupo aparte. En estos casos, la propagación por correo electrónico se considera una función adicional del programa nocivo. De esta manera, los representantes de Net-Worm (6%) y Worm (0,56%) se pueden, sin miramientos, considerar “programas que se propagan a sí mismos”. Esto significa que el porcentaje de programas con funciones de gusanos de correo es en realidad superior al 55%: entre los programas nocivos que se propagan por correo electrónico, el 61% lo hacen de manera automática.
En lo que respecta a las tendencias generales de propagación de gusanos de correo, en 2007 se han registrado periodos recesivos y saltos bruscos de la cantidad de gusanos de correo. Primero demos un vistazo al gráfico que muestra la estadística de los programas nocivos detectados por primera vez y que tienen una evidente conducta de Email-Worm.
Estadística de la cantidad de programas nocivos con conducta Email-Worm
En el gráfico se pueden apreciar tres picos importantes. Todos ellos tienen relación con el famoso gusano Email-Worm.Win32.Zhelatin, conocido en Internet bajo el nombre de Storm Worm, que en 2007 ocupó las primeras posiciones entre los gusanos de correo por su cantidad de variantes.
Distribución de los programas nocivos con comportamiento Email-Worm por familias
Zhelatin (Storm Worm), el “Gusano de la tormenta”
Los autores del gusano Zhelatin escogieron una nueva estrategia que les ayudaría a garantizar la “supervivencia” de sus criaturas. Para lanzar nuevas versiones con más frecuencia que las actualizaciones de los antivirus, los delincuentes al parecer crearon una fábrica completa de producción automática de códigos nocivos. En esta “fábrica” se creaban con regularidad nuevos programas nocivos y se los sometía a pruebas para determinar si podían evitar ser detectados por los antivirus. Los ejemplares defectuosos (susceptibles a la detección) se eliminaban y aquellos que pasaban la prueba se copiaban de forma automática a varios servidores web en Internet desde los cuales se los propagaba.
Zhelatin se convirtió en una especie de etapa en el desarrollo de programas nocivos. Los autores plasmaron en él todos los logros del pensamiento creador de virus de los últimos años. En un principio la “carga útil” del gusano Zhelatin recolectaba las direcciones de correo electrónico del ordenador de la víctima y las enviaba por Internet (es evidente que luego los delincuentes vendían las direcciones a los spammers). Más tarde los autores de virus usaron un nuevo Zhelatin como fundamento para crear una red zombi. Estas redes, creadas con la ayuda del “gusano de la tormenta” tenían una peculiaridad: eran redes P2P. En este tipo de redes los ordenadores zombi sólo se conectan a un centro de administración si éste está disponible. Si no lo está o no funciona, pueden funcionar por su propia cuenta, conectándose los nodos entre sí y transmitiendo los mensajes en cadena. Cada ordenador zombi tiene una lista de sus vecinos más cercanos con los cuales establece comunicación. El gusano no contenía ninguna función destructiva evidente, no obstante los autores previeron la posibilidad de hacerlo invisible a los ojos de los usuarios y lo dotaron de un mecanismo rootkit.
Un año antes de la aparición del “gusano de la tormenta” nosotros teníamos la sospecha de que pronto aparecería una “fábrica” de gusanos. Pero no nos apresuramos a hacerla pública porque esta tecnología nos pareció demasiado peligrosa y nos empezamos a preparar para dar una respuesta adecuada a la nueva amenaza. El núcleo del problema es que el código que crea nuevas versiones de programas nocivos no está en nuestro poder y no podemos analizarlo y crear un subprograma de detección, como acostumbramos a hacer para detectar los virus polimórficos. Esto nos preocupaba mucho antes de que apareciera Email-Worm.Win32.Zhelatin.
Al mismo tiempo, debemos señalar que Zhelatin no fue el primero que usó este método. El año pasado un gusano de correo similar, Email-Worm.Win32.Warezov, empezó a propagarse intensamente en septiembre y octubre. Cada día nos llegaban decenas de nuevas modificaciones. Ya entonces sabíamos que el tiempo de los nuevos gusanos había llegado. Fueron precisamente estos gusanos, Warezov y Zhelatin, los principales culpables de que en 2007 cambiara la cantidad de programas Email-Worm. Esto se puede apreciar en el siguiente gráfico.
Estadística de la cantidad de nuevos programas Email-Worm y los gusanos Warezov y Zhelatin
Como podemos ver, la cantidad general de nuevos ficheros nocivos Zhelatin y Warezov sigue con casi perfecta exactitud la línea de la clase Email-Worm en general.
La situación es más o menos clara con los gusanos de correo: están presentes y no tienen intenciones de desaparecer, pero tampoco vemos que tengan tendencia a aumentar de golpe su número de nuevas variantes. Los aumentos de este número ocurren de forma aleatoria, como se refleja en el gráfico de arriba.
Programas maliciosos con otras conductas
En el segundo lugar en la lista de programas más difundidos en el tráfico de correo están los que tienen un comportamiento de Trojan-Downlader (15%). Los programas de este comportamiento son descargadores universales de cualquier tipo de código nocivo desde Internet. La táctica de hacer envíos masivos de Trojan-Downloader en lugar de otros programas nocivos especializados permite a los creadores del código nocivo aumentar las posibilidades de que el sistema remoto se infecte. Los Trojan-Downloader empiezan por deshabilitar los servicios de la defensa antivirus y luego descargan desde Internet otros programas nocivos y los ejecuta de inmediato. Si el Troyan-Downloader consigue desactivar el antivirus en el ordenador infectado, el programa que descargue a continuación puede ser de cualquier tipo, hasta aquellos ya conocidos desde hace mucho y detectados por todos los antivirus. Con esto los desarrolladores de código nocivo no se ven obligados a lanzar nuevas versiones de programas nocivos especializados después de que los antivirus aprenden a detectarlos. En lugar de esto, es suficiente usar un Trojan-Downloader compacto y simple, que se puede programar con un mínimo de esfuerzo. Así se explica la popularidad de los Trojan-Downloader.
Después de los Trojan-Downloader, un poco más abajo están los programas Trojan-Spy (13%). Estos programas, creados para robar varios tipos de información confidencial, ya sea de ordenadores corporativos para penetrar a la red de las organizaciones o de ordenadores personales para usar los datos con propósitos delictivos.
Los siguientes tres tipos de conducta según su porcentaje están muy por debajo de sus vecinos: el porcentaje de cada uno en el tráfico postal es de sólo el 3%.
Trojan-Dropper. El objetivo de los programas que tienen esta conducta es el mismo que el de los Trojans-Downloader: instalar otros programas maliciosos en el ordenador. La única diferencia entre estas dos conductas es que los Trojan-Dropper contienen otro programa nocivo, mientras que los Trojan-Downloaders los descargan desde Internet. A juzgar por la estadística, los delincuentes prefieren aprovechar las ventajas de las actualizaciones en línea de los códigos nocivos, es decir, usar los Trojan-Downloader.
Exploit. Es curioso que esta conducta antes se solía encontrar con poquísima frecuencia en el tráfico de correo y los mensajes que contenían exploits, como regla, se enviaban durante ataques de hackers específicos. Ahora los exploits se están haciendo populares ya que cada vez son menos los usuarios que abren los ficheros ejecutables adjuntos a los mensajes de correo electrónico. El uso de exploits permite a los delincuentes usar un código en el ordenador del usuario para abrir los mensajes. El usuario no tiene que guardar el fichero ejecutable y lanzarlo desde su disco duro: todo ocurre de forma inadvertida y automática. Suponemos que en el futuro la cantidad de exploits en el tráfico postal nocivo crecerá y estos tendrán la oportunidad, dentro de varios años, de ocupar el primer lugar entre los programas nocivos enviados por correo electrónico.
Es interesante el hecho de que entre los diez tipos de programas nocivos más propagados esté Password-protected-EXE. En sí, este veredicto no dice nada sobre la nocividad del fichero. Este es un veredicto especial que el antivirus dicta para prevenir al usuario sobre posibles riesgos. Password-protected-EXE es un archivo que se extrae a sí mismo, protegido por una contraseña. Al lanzar este tipo de programas, se le pregunta al usuario la contraseña y cuando este la escribe, el programa extrae de sí mismo uno o varios ficheros que puede ejecutar. La cuestión es que muchos programas nocivos se envían en estos archivos y la contraseña se indica en el cuerpo del mensaje. Se hace esto para que los antivirus de correo que analizan todo el tráfico que pasa por ellos no puedan abrir el fichero y detectar el programa nocivo que contiene.
Cierran con broche de oro la decena de programas nocivos más propagados los Trojan (1,51%) y Virus (1,15%). La conducta Trojan incluye varios programas troyanos con un amplio diapasón de conductas que no se pueden clasificar en otras categorías y que representan gran interés. En lo que respecta a los ficheros con comportamiento Virus, por lo general son ficheros infectados con virus en los ordenadores de los usuarios. Estos ficheros los envía por correo el mismo usuario, sin sospechar que están infectados.
Las familias más propagadas de programas nocivos en el correo electrónico
Es interesante ver otra estadística de las 10 familias de programas nocivos más propagadas (sin agruparlas por conducta)
Composición del tráfico mundial de correo nocivo (según familias)
Resulta curioso que a pesar de que por la cantidad de variantes Zhelatin ocupa el primer lugar en 2007, si calculamos la cantidad total de ficheros en el tráfico postal, no llega a estar entre los diez primeros. En el primer lugar se encuentra el “veterano” gusano postal Email-Worm.Win32.Netsky. Más adelante se encuentran los envíos masivos de cartas bancarias, clasificadas como Trojan-Spy.HTML.Bankfraud.
De los dos gusanos de correo que causaron más escándalo (Zhelatin y Warezov), vemos sólo a Email-Worm.Win32.Warezov que ocupa un modesto quinto lugar en la lista.
Zhelatin no logró superar a Warezov en propagación mediante correo electrónico. Es muy probable que los autores del gusano Zhelatin no aspiraran a que su criatura dominara el tráfico de correo, pero la estrategia que escogieron para su Email-Worm no fue muy afortunada, a diferencia de las demás funciones del programa nocivo.
Conclusiones
Al tener ante nuestra vista los resultados del año, quisieramos remarcar ciertos aspectos.
Antes que nada, nos llama la atención una nueva forma de abordar la creación de código nocivo que apareció en 2006. Nos referimos a la idea de construir programas de forma automática con determinada periodicidad. No pensábamos que tal “fábrica” pudiera existir durante tanto tiempo, pero sigue vigente hasta nuestros días y el mecanismo que generó nuevas variantes de Warezov continúa funcionando. En 2007 apareció un seguidor de Warezov: el gusano Zhelatin, cuya creación transcurría de la misma manera. Pero en general, los brotes de epidemias de Zhelatin y Warezov tienden a reducirse lo que significa que se está neutralizando su contagio.
Otro cambio significativo es el creciente interés por el uso activo de exploits. El porcentaje de exploits enviados por correo está creciendo y nos preocupa porque el uso masivo de exploits representa un riesgo muy serio para los usuarios con cualquier nivel de conocimientos: tanto un experto como un principiante pueden contagiar su ordenador sin querer.
En general, estamos ante un cuadro de amortiguamiento del interés hacia el tráfico de correo. Esta tendencia está condicionada por el crecimiento de la cantidad de nuevos servicios en Internet. Los programas nocivos se difunden en cantidades mucho mayores en los vastos espacios de la red de redes que en el tráfico de correo. Pero esto no significa que podemos olvidarnos de los programas nocivos para correo: basta relajarse un poco para que todo cambie radicalmente.
Autores
De los mismos autores
En la misma categoría
Kaspersky Security Bulletin 2007. Amenazas para el correo electrónico