El 2009 ya llegó a su fin. Por eso queremos compartir el resultado del análisis sobre los tipos de malware del último trimestre del 2009 y también hacer algunos pronósticos para el 2010.
Para empezar, demos un vistazo a los datos generales para toda América Latina.
Nuestro Top 20 de programas de código malicioso de América Latina está conformado por diferentes tipos de malware que a su vez usan diferentes medios de propagación y tienen diferentes objetivos.
La lista está encabezada por la amenaza ‘HEUR:Trojan.Win32.Generic’, un veredicto genérico que el módulo heurístico de nuestro antivirus da a ciertos objetos maliciosos.
Podemos ver que nuestros motores proactivos detectan a por lo menos un tercio de los programas maliciosos cuyos “identikits” todavía no figuran en nuestra base de datos antivirus.
En el segundo puesto con un 10% viene ‘Trojan.Win32.Inject.alwi’. Este troyano usa técnicas de infección que inyectan el código malicioso al proceso ‘explorer.exe’. Los creadores de malware usan dichas técnicas para hacer que sea muy difícil eliminar el código malicioso del sistema. Además, el malware cuenta con funcionalidades de Adware: instala una barra maliciosa en el Internet Explorer del usuario que muestra anuncios no solicitados de diferentes productos.
Merece la pena destacar que en el tercer y quinto lugar también figuran programas potencialmente peligrosos del tipo Adware. El negocio de los criminales en este caso es lucrar a través de los clicks en los banners que generan el tráfico hacia los productos ofrecidos. Según las estadísticas, se puede observar que este negocio es rentable para los criminales y a la vez se encuentra en la zona gris y no negra, es decir, no se trata de malware propiamente dicho.
Hasta ahora, los programas de código malicioso que hemos analizado se propagan mediante páginas Web.
Ahora ocupémonos del gusano de red llamado ‘Net-Worm.Win32.Kido.ih’, que se encuentra en la posición número 6 de nuestro Top 20. Esta amenaza no sólo afecta a América Latina, sino que se cierne sobre todo el mundo. Se propaga tanto a través de la red, usando las vulnerabilidades en el sistema operativo Microsoft Windows, como también a través de los dispositivos USB. En nuestro sitio web hay información más detallada sobre este programa nocivo: www.viruslist.com/sp
El principal objetivo de esta amenaza es infectar el equipo para convertirlo en parte de la mayor red de máquinas zombie que existe en este momento en el mundo. En el siguiente gráfico se muestra cómo ha ido evolucionando la botnet de Kido durante este año:
(Fuente: www.shadowserver.org)
Ahora veamos las estadísticas de malware para los siguientes países: México, Brasil y Argentina.
Top 20 de malware de Brasil
Más de la mitad de todos los programas de código malicioso en Brasil están siendo detectadas por el análisis proactivo de Kaspersky Lab, que permite garantizar la seguridad ante las amenazas totalmente nuevas. En su mayoría, los programas detectados por el veredicto ‘HEUR:Trojan.Win32.Generic’ son troyanos del tipo Banker cuyo objetivo es interceptar las transacciones bancarias en línea de sus víctimas. Cuando éstas caen en manos de los delincuentes, se transfiere el dinero a diferentes personas usando varios métodos.
En cambio, el veredicto ‘HEUR:Trojan-Downloader.Win32.Generic’ en su mayoría también contiene troyanos del tipo Banloader. Su tarea es descargar al sistema de la víctima el troyano Banker que se encargará de interceptar las transacciones. El troyano del tipo Banloader es el primer malware del tipo bancario que se instala en el sistema de la víctima.
Igualmente podemos observar la presencia del gusano Net-Worm.Win32.Kido.ih, que en Brasil se encuentra en el 4? lugar del Top 20. Vale decir que Brasil es el segundo país más infectado por el gusano Kido a nivel mundial.
Analicemos ahora el Top 20 de malware de México
Casi la mitad de todo el malware se detecta de manera proactiva, aunque sean amenazas de hora 0. En el segundo puesto se encuentra el ‘Trojan.Win32.Inject.alwi’ cuyo funcionamiento y objetivos ya analizamos en la sección de las amenazas para América Latina.
Ahora fijémonos en ‘Trojan.Win32.VBKrypt.z’. Lo interesante de este troyano es que parece haber sido creado en América Latina por algún programador hispanohablante, probablemente de México.
Dicho troyano permanece desde Septiembre como el malware más difundido en México. Algunas peculiaridades de este programa de código malicioso son:
su código fue escrito en el lenguaje de programación Visual Basic; su objetivo es infectar la mayor cantidad posible de máquinas para convertirlas en equipos zombi de la botnet cuyo centro de comando y control se encuentra en EEUU. Otra curiosidad es que los creadores de esta amenaza han dejado dentro del código una dedicatoria al famoso actor Jim Carrey.
Top 20 de malware de Argentina
Como en los casos de otros países, observamos una muy alta detección de malware de día 0 a través de nuestras heurísticas. Además de esto, en el segundo lugar tenemos el ‘Trojan.Win32.Inject.alwi’, que está presente en todos los países analizados. Como vemos, en el tercer y cuarto lugar se encuentran los programas potencialmente peligrosos del tipo Adware ‘not-a-virus:AdWare.Win32.Agent.qbf’ y ‘not-a-virus:AdWare.Win32.Agent.qbe’. El programa ‘not-a-virus:AdWare.Win32.Agent.qbf’ tiene una interesante funcionalidad – puede, según el tipo de teclado del usuario (Español de Venezuela, Uruguay, Puerto Rico, Perú, Paraguay, Panamá, Nicaragua, España, México, Honduras, Guatemala, El Salvador, Ecuador, República Dominicana, Costa Rica, Colombia, Chile, Bolivia o Argentina) mostrar publicidad personalizada y no deseada. Lo que cambia es el contenido de acuerdo a cada país.
Además, en el Top 20 están presentes programas del tipo ‘Trojan-PSW’ y ‘Trojan-Spy’ cuyo objetivo es el robo de información confidencial y sensible de los usuarios: accesos a los bancos en línea, cuentas de tarjetas de crédito, accesos a los servicios que requieren suscripción pagada. Los usuarios de Argentina tienen que tener mucho cuidado para evitar que sus datos sensibles pasen a las manos de los criminales.
Conclusiones
Medios de propagación: diferentes usando todos o casi todos los medios posibles.
- Medios de almacenamiento de información USB (Caso de Net-Worm.Win32.Kido.ih, P2P-Worm.Win32.Palevo.lta, P2P-Worm.Win32.Palevo.kuv, P2P-Worm.Win32.Palevo.kuw)
- Vulnerabilidades en las aplicaciones (Caso de Net-Worm.Win32.Kido.ih)
- Capa de red (Caso de Net-Worm.Win32.Kido.ih)
- Páginas Web
- Redes P2P (Caso de P2P-Worm.Win32.Palevo.lta, P2P-Worm.Win32.Palevo.kuv, P2P-Worm.Win32.Palevo.kuw)
- Aplicaciones de mensajería instantánea (Caso de Trojan.Win32.Buzus.cnkv, Trojan.Win32.Buzus.ceum)
Objetivos: diferentes pero siempre lucrativos.
- Ganar dinero por clicks y tráfico generado por publicidad (Trojan.Win32.Inject.alwi, not-a-virus:AdWare.Win32.Agent.qbf, not-a-virus:AdWare.Win32.Agent.qbe)
- Robar información bancaria y otra información sensible que representa algún valor económico
- Formar botnets o redes de máquinas zombie (Caso de Net-Worm.Win32.Kido.ih, Trojan.Win32.VBKrypt.z)
- Instalar antivirus falsos que piden activación por dinero (Packed.Win32.Krap.ag)
Origen: diferentes – internacionales y locales.
- Rusia
- China
- América Latina
- Ucrania
- España
Pronósticos para América Latina para el 2010
El paisaje del malware desarrollará la tendencia de producir código malicioso lucrativo que permita generar ingresos para los criminales. Los criminales cibernéticos de América Latina adquirirán mayor experiencia, lo que les permitirá aumentar la calidad y complejidad de programación de malware, generará nuevas técnicas de infección y hará aun más compleja la detección. Es probable que el próximo año veamos más amenazas estrictamente locales, es decir, creadas y lanzadas contra los usuarios de una misma región. Sin embargo, América Latina también será el campo de batalla para muchos criminales de otros países, especialmente de los países de la ex Unión Soviética.
Las redes sociales y las redes P2P serán unos de los medios más usados para infectar a las víctimas.
Malware en América Latina – Q4: pronósticos 2010