Informes sobre malware

Resumen de las actividades de los virus informáticos, abril de 2011

Este mes, en los equipos de los usuarios de Kaspersky Lab:

  • se neutralizaron 221.305.841 ataques de red,
  • se bloquearon 73.211.764 intentos de infección mediante la web,
  • se detectaron y desactivaron 189.999.451 programas maliciosos (intentos de infección local),
  • los veredictos heurísticos se activaron 86.630.158 veces.

Ataques DDoS contra LiveJournal

Los ataques DDoS contra LiveJournal.com empezados a principios de abril fueron un suceso notable en Rusia. Una de las botnets responsables del ataque se encuentra bajo nuestra vigilancia, lo que nos permitió poner en evidencia algunos detalles del ataque.

Hasta principios de abril, prácticamente cada día todos los equipos que forman parte de esta botnet recibían uno o dos enlaces que se convertían en blanco de los ataques DDoS. Sin embargo el 4 de abril todos los bots recibieron una lista de 36 enlaces. Entre los enlaces atacados estaban las páginas principales de LiveJournal: http://livejournal.com y http://livejournal.ru. Los demás enlaces de la lista llevaban a populares páginas de blogueros rusos con un auditorio de más de mil personas. Las páginas atacadas estuvieron fuera de servicio por lapsos periódicos el 30 de marzo y el 4 y 6 de abril. Los ataques cesaron después del 6 de abril.

La botnet que usan los delincuentes se construye mediante el popular bot Optima, que se puso a la venta a finales de 2010. Por algunos indicios indirectos podemos decir que la botnet que tomó parte en los ataques DDoS que englobaba decenas de miles de equipos infectados por Optima. Cabe destacar que el bot, aparte de lanzar ataques DDoS, cuenta con la capacidad de robar contraseñas de programas populares y descargar otros programas maliciosos en el equipo infectado.

Los exploits PDF

Una vez más hemos registrado un crecimiento en la virulencia de los exploits que usan las vulnerabilidades en los productos de Adobe. Uno de ellos -Exploit.JS.Pdfka.dmg- ocupó el noveno puesto entre los 20 programas maliciosos más propagados en Internet. La cantidad de usuarios que en abril fueron atacados por diferentes modificaciones de Exploit.JS.Pdfka en este momento se pueden contar por cientos de miles. El siguiente gráfico sirve de ilustración.

Geografía de la propagación de la familia Exploit.JS.Pdfka en abril. Primer puesto, Rusia; segundo,
EEUU y tercero, Alemania

No es la primera vez que los delincuentes usan la misma táctica: introducen en un recurso legítimo un JavaScript malicioso que explota una vulnerabilidad crítica en algún software popular. Si el usuario que usa el software vulnerable visita el recurso legítimo capturado, casi de inmediato, como resultado de la activación del exploit en su equipo, descarga sin darse cuenta uno o varios programas maliciosos. Es decir, una vez más estamos ante los ataques drive-by-download, que ya se están convirtiendo en clásicos.

En abril, la compañía Adobe cerró un conjunto más de vulnerabilidades en sus productos Adobe Reader y Adobe Acrobat. El nivel de peligrosidad de las vulnerabilidades se definió como “crítico”. Insistimos en recomendar a todos los usuarios que actualicen estas aplicaciones. Aquí se pueden encontrar los parches para versiones concretas.

Vulnerabilidad MS11-020

En abril, la compañía Microsoft publicó 17 boletines que cerraban vulnerabilidades en diferentes productos de Windows. Entre las 63 vulnerabilidades corregidas por Microsoft hay un parche para la brecha crítica MS11-020. En SMB se descubrió una brecha peligrosa, que abre la posibilidad de ejecutar un código aleatorio en el modo privilegiado del procesador (ring0). Esta vulnerabilidad puede explotarse usando un paquete SMB ad-hoc que se envía al sistema vulnerable. La vulnerabilidad representa un serio peligro: en el pasado, el descubrimiento de una vulnerabilidad similar provocó la aparición del gusano Kido. Por eso aconsejamos a todos los usuarios que actualicen sus sistemas lo antes posible.

Troyanos SMS

En abril continuó la activa propagación de troyanos SMS (sobre todo en el territorio de Rusia). Uno de los canales de difusión sigue siendo el spam por SMS. Durante este mes hemos estado recibiendo quejas de los usuarios sobre los envíos masivos de spam por SMS.

Algunos envíos tenían síntomas similares:

  • los envíos se realizaban más o menos al mismo tiempo (4 o 5 de la mañana, hora de Moscú),
  • los mensajes, en la mayoría de los casos, tenían la siguiente apariencia:
    “El abonado <número de teléfono> ha recibido un MMS” Posmotret: http://******.do.am/имя_файла.jar

  • en los enlaces maliciosos se usaban los nombres de fichero YaZ.jar ó 606.jar.


Ejemplo de mensaje spam SMS

En el momento en que ocurrieron todos los envíos masivos registrados por nuestra compañía, los ficheros a los cuales llevaban los enlaces los detectábamos como Trojan-SMS.J2ME.Smmer.f.

Y un detalle más: al parecer, los sitios maliciosos adonde conducían los enlaces en los mensajes spam, en realidad los creaban mediante uno de los populares constructores de sitios web online. Los dueños de este constructor prestan también servicios de hosting, que los delincuentes usaron para poner páginas maliciosas en el dominio de segundo nivel .do.am.

La clausura de la botnet Coreflood

Sigue la ofensiva contra esta botnet. Después de la clausura de la botnet Rustock, sobre la cual escribimos en nuestro informe de marzo, en abril se cerraron los centros de administración de otra gran botnet (cerca de 2 millones de bots), llamada Coreflood. La mayoría de los equipos infectados por los bots se encontraban en el territorio de EEUU.

En este caso el promotor de la clausura fue el ministerio de justicia de EEUU, que obtuvo un permiso para interceptar y apoderarse de la administración de la botnet. Después de que tomar el control de la botnet, envió a todos los bots la instrucción de dejar de funcionar.

No es la primera vez que los órganos del estado participan de una forma activa en la neutralización de las redes bot. Recordamos que la botnet Rustock fue clausurada como resultado de una operación conjunta de Microsoft y el gobierno de EEUU. Además, la policía de Holanda liquidó la botnet Bredolab y detuvo a su creador.

Esperemos que los esfuerzos de los órganos del estado en la tarea de cerrar botnets continúen y en el futuro tengamos noticias del éxito de sus operaciones.

La intrusión en PlayStation Network

A finales de abril la compañía Sony publicó un comunicado en el que informaba que PlayStation PlayStation (PSN) había sido afectada por una intrusión. La corporación confirmó que algunos de los datos personales de los usuarios (nombres, direcciones de domicilios y de de correo, fechas de nacimiento, logins y contraseñas) habían caído en manos de delincuentes. Sony tampoco niega la posibilidad de que también hayan obtenido los datos de las tarjetas de crédito, a pesar de que no habían pruebas del robo de este tipo de información.

Sony, conjuntamente con una compañía cuyo nombre no se ha hecho público, está investigando este incidente. Merece la pena destacar que en PSN se han registrado unos 75 millones de cuentas y que esta fuga de datos personales es la mayor de la historia.

Todavía no hay información sobre cuándo los jugadores podrán volver a usar PSN. A los usuarios de PSN se les recomienda enérgicamente cambiar sus contraseñas en el servicio de juegos y otras cuentas, si es que usaban la misma contraseña. También es necesario observar el comportamiento de sus tarjetas de crédito y si aparecen síntomas de fraude, bloquearla de inmediato.

P.S. El dos de mayo Sony publicó un comunicado en el que anunciaba que después del ataque de los hackers, los delincuentes recibieron acceso a los datos personales (nombre, dirección, correo electrónico, sexo, fecha de nacimiento, número de teléfono, login y caché de la contraseña) no solo de PSN, sino también de Sony Online Entertainment. La compañía también anunció la fuga de información sobre 12.700 tarjetas de crédito (número de la tarjeta y fecha de caducidad) de la base de datos de 2007.

TOP 20 de programas maliciosos en Internet

Lugar Cambios en la posición Objeto detectado Cantidad de ataques*
1   2 AdWare.Win32.HotBar.dh   855838  
2   4 Trojan.JS.Popupper.aw   622035  
3   Nuevo AdWare.Win32.Zwangi.fip   356671  
4   Nuevo AdWare.Win32.Agent.uxx   300287  
5   Nuevo AdWare.Win32.Gaba.eng   254277  
6   Nuevo AdWare.Win32.FunWeb.jp   200347  
7   Nuevo AdWare.Win32.FunWeb.kd   170909  
8   Nuevo AdWare.Win32.Zwangi.fmz   161067  
9   Nuevo Exploit.JS.Pdfka.dmg   140543  
10   Nuevo Trojan.JS.Redirector.oy   138316  
11   Nuevo Trojan-Ransom.Win32.Digitala.bpk   133301  
12   0 Trojan.JS.Agent.uo   109770  
13   0 Trojan-Downloader.JS.Iframe.cdh   104438  
14   Nuevo AdWare.Win32.Gaba.enc   96553  
15   -11 Trojan.HTML.Iframe.dl   95299  
16   -14 Hoax.Win32.ArchSMS.pxm   94255  
17   Nuevo Trojan-Downloader.Win32.Zlob.aces   88092  
18   Nuevo Trojan-Ransom.JS.SMSer.hi   83885  
19   Nuevo Trojan.JS.Iframe.ku   77796  
20   Nuevo AdWare.Win32.FunWeb.jt   65895  

* Total de incidentes únicos registrados por el antivirus web en los equipos de los usuarios.

TOP 20 de malware detectado en los ordenadores de los usuarios

Lugar Cambios en la posición Objeto detectado Cantidad de usuarios únicos
1   0 Net-Worm.Win32.Kido.ir   428587  
2   1 Net-Worm.Win32.Kido.ih   176792  
3   -1 Virus.Win32.Sality.aa   176171  
4   Retorno Virus.Win32.Virut.ce   130140  
5   0 Virus.Win32.Sality.bh   121389  
6   3 Trojan.Win32.Starter.yy   113815  
7   -3 Hoax.Win32.ArchSMS.pxm   86908  
8   -2 HackTool.Win32.Kiser.zv   80900  
9   5 Trojan-Downloader.Win32.Geral.cnh   79573  
10   2 HackTool.Win32.Kiser.il   78526  
11   -4 Hoax.Win32.Screensaver.b   73664  
12   -1 Worm.Win32.FlyStudio.cu   71405  
13   -5 AdWare.Win32.HotBar.dh   68923  
14   -1 Trojan.JS.Agent.bhr   67435  
15   Nuevo AdWare.Win32.FunWeb.kd   62858  
16   Nuevo Virus.Win32.Sality.ag   55573  
17   1 Trojan-Downloader.Win32.VB.eql   53055  
18   1 Worm.Win32.Mabezat.b   52385  
19   -2 Trojan.Win32.AutoRun.azq   47865  
20   Nuevo Virus.Win32.Nimnul.a   47765  

* Cantidad de usuarios únicos en cuyos equipos el antivirus detectó este objeto.

Resumen de las actividades de los virus informáticos, abril de 2011

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada