Resumen de las actividades de los virus informáticos, abril de 2011

Este mes, en los equipos de los usuarios de Kaspersky Lab:

• se neutralizaron 221.305.841 ataques de red,
• se bloquearon 73.211.764 intentos de infección mediante la web,
• se detectaron y desactivaron 189.999.451 programas maliciosos (intentos de infección local),
• los veredictos heurísticos se activaron 86.630.158 veces.

Ataques DDoS contra LiveJournal

Los ataques DDoS contra LiveJournal.com empezados a principios de abril fueron un suceso notable en Rusia. Una de las botnets responsables del ataque se encuentra bajo nuestra vigilancia, lo que nos permitió poner en evidencia algunos detalles del ataque.

Hasta principios de abril, prácticamente cada día todos los equipos que forman parte de esta botnet recibían uno o dos enlaces que se convertían en blanco de los ataques DDoS. Sin embargo el 4 de abril todos los bots recibieron una lista de 36 enlaces. Entre los enlaces atacados estaban las páginas principales de LiveJournal: http://livejournal.com y http://livejournal.ru. Los demás enlaces de la lista llevaban a populares páginas de blogueros rusos con un auditorio de más de mil personas. Las páginas atacadas estuvieron fuera de servicio por lapsos periódicos el 30 de marzo y el 4 y 6 de abril. Los ataques cesaron después del 6 de abril.

La botnet que usan los delincuentes se construye mediante el popular bot Optima, que se puso a la venta a finales de 2010. Por algunos indicios indirectos podemos decir que la botnet que tomó parte en los ataques DDoS que englobaba decenas de miles de equipos infectados por Optima. Cabe destacar que el bot, aparte de lanzar ataques DDoS, cuenta con la capacidad de robar contraseñas de programas populares y descargar otros programas maliciosos en el equipo infectado.

Los exploits PDF

Una vez más hemos registrado un crecimiento en la virulencia de los exploits que usan las vulnerabilidades en los productos de Adobe. Uno de ellos -Exploit.JS.Pdfka.dmg- ocupó el noveno puesto entre los 20 programas maliciosos más propagados en Internet. La cantidad de usuarios que en abril fueron atacados por diferentes modificaciones de Exploit.JS.Pdfka en este momento se pueden contar por cientos de miles. El siguiente gráfico sirve de ilustración.

Geografía de la propagación de la familia Exploit.JS.Pdfka en abril. Primer puesto, Rusia; segundo,
EEUU y tercero, Alemania

No es la primera vez que los delincuentes usan la misma táctica: introducen en un recurso legítimo un JavaScript malicioso que explota una vulnerabilidad crítica en algún software popular. Si el usuario que usa el software vulnerable visita el recurso legítimo capturado, casi de inmediato, como resultado de la activación del exploit en su equipo, descarga sin darse cuenta uno o varios programas maliciosos. Es decir, una vez más estamos ante los ataques drive-by-download, que ya se están convirtiendo en clásicos.

En abril, la compañía Adobe cerró un conjunto más de vulnerabilidades en sus productos Adobe Reader y Adobe Acrobat. El nivel de peligrosidad de las vulnerabilidades se definió como “crítico”. Insistimos en recomendar a todos los usuarios que actualicen estas aplicaciones. Aquí se pueden encontrar los parches para versiones concretas.

Vulnerabilidad MS11-020

En abril, la compañía Microsoft publicó 17 boletines que cerraban vulnerabilidades en diferentes productos de Windows. Entre las 63 vulnerabilidades corregidas por Microsoft hay un parche para la brecha crítica MS11-020. En SMB se descubrió una brecha peligrosa, que abre la posibilidad de ejecutar un código aleatorio en el modo privilegiado del procesador (ring0). Esta vulnerabilidad puede explotarse usando un paquete SMB ad-hoc que se envía al sistema vulnerable. La vulnerabilidad representa un serio peligro: en el pasado, el descubrimiento de una vulnerabilidad similar provocó la aparición del gusano Kido. Por eso aconsejamos a todos los usuarios que actualicen sus sistemas lo antes posible.

Troyanos SMS

En abril continuó la activa propagación de troyanos SMS (sobre todo en el territorio de Rusia). Uno de los canales de difusión sigue siendo el spam por SMS. Durante este mes hemos estado recibiendo quejas de los usuarios sobre los envíos masivos de spam por SMS.

Algunos envíos tenían síntomas similares:

• los envíos se realizaban más o menos al mismo tiempo (4 o 5 de la mañana, hora de Moscú),
• los mensajes, en la mayoría de los casos, tenían la siguiente apariencia:
  “El abonado <número de teléfono> ha recibido un MMS” Posmotret: http://******.do.am/имя_файла.jar

• en los enlaces maliciosos se usaban los nombres de fichero YaZ.jar ó 606.jar.

Ejemplo de mensaje spam SMS

En el momento en que ocurrieron todos los envíos masivos registrados por nuestra compañía, los ficheros a los cuales llevaban los enlaces los detectábamos como Trojan-SMS.J2ME.Smmer.f.

Y un detalle más: al parecer, los sitios maliciosos adonde conducían los enlaces en los mensajes spam, en realidad los creaban mediante uno de los populares constructores de sitios web online. Los dueños de este constructor prestan también servicios de hosting, que los delincuentes usaron para poner páginas maliciosas en el dominio de segundo nivel .do.am.

La clausura de la botnet Coreflood

Sigue la ofensiva contra esta botnet. Después de la clausura de la botnet Rustock, sobre la cual escribimos en nuestro informe de marzo, en abril se cerraron los centros de administración de otra gran botnet (cerca de 2 millones de bots), llamada Coreflood. La mayoría de los equipos infectados por los bots se encontraban en el territorio de EEUU.

En este caso el promotor de la clausura fue el ministerio de justicia de EEUU, que obtuvo un permiso para interceptar y apoderarse de la administración de la botnet. Después de que tomar el control de la botnet, envió a todos los bots la instrucción de dejar de funcionar.

No es la primera vez que los órganos del estado participan de una forma activa en la neutralización de las redes bot. Recordamos que la botnet Rustock fue clausurada como resultado de una operación conjunta de Microsoft y el gobierno de EEUU. Además, la policía de Holanda liquidó la botnet Bredolab y detuvo a su creador.

Esperemos que los esfuerzos de los órganos del estado en la tarea de cerrar botnets continúen y en el futuro tengamos noticias del éxito de sus operaciones.

La intrusión en PlayStation Network

A finales de abril la compañía Sony publicó un comunicado en el que informaba que PlayStation PlayStation (PSN) había sido afectada por una intrusión. La corporación confirmó que algunos de los datos personales de los usuarios (nombres, direcciones de domicilios y de de correo, fechas de nacimiento, logins y contraseñas) habían caído en manos de delincuentes. Sony tampoco niega la posibilidad de que también hayan obtenido los datos de las tarjetas de crédito, a pesar de que no habían pruebas del robo de este tipo de información.

Sony, conjuntamente con una compañía cuyo nombre no se ha hecho público, está investigando este incidente. Merece la pena destacar que en PSN se han registrado unos 75 millones de cuentas y que esta fuga de datos personales es la mayor de la historia.

Todavía no hay información sobre cuándo los jugadores podrán volver a usar PSN. A los usuarios de PSN se les recomienda enérgicamente cambiar sus contraseñas en el servicio de juegos y otras cuentas, si es que usaban la misma contraseña. También es necesario observar el comportamiento de sus tarjetas de crédito y si aparecen síntomas de fraude, bloquearla de inmediato.

P.S. El dos de mayo Sony publicó un comunicado en el que anunciaba que después del ataque de los hackers, los delincuentes recibieron acceso a los datos personales (nombre, dirección, correo electrónico, sexo, fecha de nacimiento, número de teléfono, login y caché de la contraseña) no solo de PSN, sino también de Sony Online Entertainment. La compañía también anunció la fuga de información sobre 12.700 tarjetas de crédito (número de la tarjeta y fecha de caducidad) de la base de datos de 2007.

TOP 20 de programas maliciosos en Internet

Lugar	Cambios en la posición	Objeto detectado	Cantidad de ataques*
1	2	AdWare.Win32.HotBar.dh	855838
2	4	Trojan.JS.Popupper.aw	622035
3	Nuevo	AdWare.Win32.Zwangi.fip	356671
4	Nuevo	AdWare.Win32.Agent.uxx	300287
5	Nuevo	AdWare.Win32.Gaba.eng	254277
6	Nuevo	AdWare.Win32.FunWeb.jp	200347
7	Nuevo	AdWare.Win32.FunWeb.kd	170909
8	Nuevo	AdWare.Win32.Zwangi.fmz	161067
9	Nuevo	Exploit.JS.Pdfka.dmg	140543
10	Nuevo	Trojan.JS.Redirector.oy	138316
11	Nuevo	Trojan-Ransom.Win32.Digitala.bpk	133301
12	0	Trojan.JS.Agent.uo	109770
13	0	Trojan-Downloader.JS.Iframe.cdh	104438
14	Nuevo	AdWare.Win32.Gaba.enc	96553
15	-11	Trojan.HTML.Iframe.dl	95299
16	-14	Hoax.Win32.ArchSMS.pxm	94255
17	Nuevo	Trojan-Downloader.Win32.Zlob.aces	88092
18	Nuevo	Trojan-Ransom.JS.SMSer.hi	83885
19	Nuevo	Trojan.JS.Iframe.ku	77796
20	Nuevo	AdWare.Win32.FunWeb.jt	65895

* Total de incidentes únicos registrados por el antivirus web en los equipos de los usuarios.

TOP 20 de malware detectado en los ordenadores de los usuarios

Lugar	Cambios en la posición	Objeto detectado	Cantidad de usuarios únicos
1	0	Net-Worm.Win32.Kido.ir	428587
2	1	Net-Worm.Win32.Kido.ih	176792
3	-1	Virus.Win32.Sality.aa	176171
4	Retorno	Virus.Win32.Virut.ce	130140
5	0	Virus.Win32.Sality.bh	121389
6	3	Trojan.Win32.Starter.yy	113815
7	-3	Hoax.Win32.ArchSMS.pxm	86908
8	-2	HackTool.Win32.Kiser.zv	80900
9	5	Trojan-Downloader.Win32.Geral.cnh	79573
10	2	HackTool.Win32.Kiser.il	78526
11	-4	Hoax.Win32.Screensaver.b	73664
12	-1	Worm.Win32.FlyStudio.cu	71405
13	-5	AdWare.Win32.HotBar.dh	68923
14	-1	Trojan.JS.Agent.bhr	67435
15	Nuevo	AdWare.Win32.FunWeb.kd	62858
16	Nuevo	Virus.Win32.Sality.ag	55573
17	1	Trojan-Downloader.Win32.VB.eql	53055
18	1	Worm.Win32.Mabezat.b	52385
19	-2	Trojan.Win32.AutoRun.azq	47865
20	Nuevo	Virus.Win32.Nimnul.a	47765

* Cantidad de usuarios únicos en cuyos equipos el antivirus detectó este objeto.