Informes sobre malware

Resumen de las actividades de los virus informáticos, julio de 2011

Este mes, en los equipos de los usuarios de Kaspersky Lab:

  • se neutralizaron 182.045.667 ataques de red,
  • se bloquearon 75.604.730 intentos de infección mediante la web,
  • se detectaron y neutralizaron 221.278.929 programas maliciosos (intentos de infección local),
  • se registraron 94.004.507 veredictos heurísticos.

En comparación con el mes anterior, la situación es la siguiente:


Cantidad de detecciones en las diferentes categorías. Datos de KSN

Google contra la zona de dominio co.cc

Uno de los acontecimientos más interesantes de julio fue que Google eliminó más once millones de direcciones *.co.cc de los resultados de búsqueda. La zona de dominio deshabilitada es una de las mayores del mundo y ocupa el cuarto puesto después de .com, .de y .net por la cantidad de nombres registrados.

La causa de la exclusión fue el hecho de que en la mayoría de los casos los dominios con estas direcciones eran usados por los delincuentes para propagar antivirus falsos y llevar a cabo ataques drive-by. Merece la pena destacar que la zona .cc pertenece a las Islas Cocos, mientras que el dominio co.cc pertenece a una compañía privada de Corea del Sur. La popularidad de co.cc entre los estafadores está condicionada porque el registrador permite, de forma gratuita o muy barata, dar de alta nombres de dominio de tercer nivel.

Nuestras investigaciones establecieron que después de las acciones emprendidas por Google, los delincuentes realmente empezaron a usar con menos frecuencia los dominios co.cc, pero comenzaron a usar los servicios de los registradores de otras zonas. Por esto, es difícil decir que las acciones de Google fueron provechosas. Por supuesto, ahora el sistema de búsqueda no ofrecerá resultados de muchos sitios maliciosos, sin embargo, aparecerán dominios similares, pero ya en otros lugares en lugar de en .co.cc. Al mismo tiempo, no hay que olvidar que también los dueños de dominios legales se vieron perjudicados por la mano vengadora de Google.


Cantidad de usuarios únicos, protegidos de los ataques
que usaban nombres de dominio en la zona co.cc. Datos de KSN

ZeuS para Android

En julio se detectó un cuarto representante del troyano-espía ZitMo, una variante del troyano ZeuS, que tanto revuelo levantó en su tiempo. Si antes nos habíamos topado con variaciones de ZitMo que funcionaban en Symbian, Windows Mobile y BlackBerry, esta vez ZitMo venía modificado para lanzar ataques en los dispositivos Android.

ZitMo (Trojan-Spy.AndroidOS.Zbot, según la clasificación de Kaspersky Lab) roba el código mTAN, que es una contraseña, que el cliente del banco recibe por SMS, que se puede usar una sola vez para realizar transacciones remotas. Este código brinda un segundo nivel de seguridad al usar servicios de banca online.

En el smartphone, el programa malicioso lo instala el usuario por sí mismo, pero seducido por el backdoor ZeuS, que le propone instalar una supuesta aplicación de seguridad. Si el equipo del usuario está infectado por ZeuS y su teléfono celular por ZitMo, los delincuentes no solo reciben acceso a la cuenta bancaria del usuario, sino que también pueden interceptar la contraseña desechable enviada por el banco para realizar la transacción. Así que en este caso, incluso la autentificación mediante códigos mTAN no protegerá al usuario de que le roben dinero de su cuenta bancaria.

Al parecer, a la par del desarrollo de la protección de la banca online, los delincuentes agregarán con cada vez más frecuencia módulos móviles a los troyanos-espía que ya estén funcionando en los ordenadores para aumentar las probabilidades de éxito al robar dinero de las cuentas de los usuarios. Los usuarios, por su parte, deben prestar más atención a los programas que instalan en sus smartphones. Ahora es muy posible que instalen un programa realmente peligroso.


Distribución del troyano ZitMo en diferentes plataformas. Datos de KSN

El robo de “millas”

El mes pasado los expertos de Kaspersky Lab descubrieron algo interesante: los phishers brasileños, aparte de robar datos de cuentas bancarias, empezaron a robar “millas de vuelo”. Es más, los estafadores usan las “millas” no sólo para vuelos, sino también como dinero virtual. Por ejemplo, en un mensaje IRC los delincuentes ofrecen comprar acceso a una botnet capaz de enviar spam por 60.000 millas, y también cambian “millas” por tarjetas de crédito robadas. Esto se corresponde con nuestros pronósticos para 2011, en los cuales afirmamos que los delincuentes no despreciarían ningún tipo de información y robarían literalmente de todo.

Fuga de datos personales en el sector ruso de Internet

En julio se detectaron casos de fuga de datos personales que por sus dimensiones son los mayores en toda la historia del sector ruso de Internet. Todo empezó cuando el 18 de julio, en el caché del sistema de búsqueda Yandex, se encontraron 8.000 SMS enviados por los usuarios desde el sitio web del operador de telefonía móvil Megafon. Los mensajes de texto estuvieron al descubierto durante varias horas.

Más tarde, apareció en la prensa otra noticia desagradable: mediante una solicitud formada de una manera especial, los usuarios de Google, Yandex y Mail.ru podían recibir toda la información de los clientes de los sexshops, además de los datos de los compradores de pasajes en tren de determinado sitio web.

La causa del incidente era un módulo del servicio Yandex.Metrica (usado para medir la cantidad de visitantes y analizar el comportamiento de los usuarios) mal instalado en el sitio de Megafon. Este sistema indizaba las páginas con los SMS en el sistema de búsqueda y las entregaba en los resultados. Merece la pena destacar que en este caso la culpa recae también en los administradores de los sitios que configuraron incorrectamente el fichero robots.txt, responsable de la indización de páginas. Los usuarios deben reflexionar sobre su seguridad en Internet y enviar sus datos personales solo si es imprescindible hacerlo. ¡No hay que facilitarle la vida a los delincuentes!

Estadística de los programas maliciosos

Durante muchos meses el TOP 20 de programas maliciosos detectados en los equipos de los usuarios ha estado casi invariable, mientras que la estadística de programas maliciosos en Internet recibe todo el tiempo nuevos representantes. Por ejemplo, en julio en esta estadista hay 60% de novatos. Esto está relacionado con el hecho de que en Internet predominan los scripts maliciosos que por lo general no “viven” en los equipos de los usuarios, sino en servidores remotos. Los delincuentes los actualizan constantemente. Al mismo tiempo, en el TOP 20 de programas maliciosos detectados en los ordenadores de los usuarios predominan los gusanos de red, como Kido y los virus como Sality. Estos programas pueden mantenerse activos en los equipos que no cuentan con antivirus. Y tratan todo el tiempo de infectar otros equipos mediante carpetas compartidas o medios extraíbles, lo que provoca la reacción del antivirus en los equipos que sí tienen antivirus.

Los delincuentes, en la mayor parte de los casos, han empezado a actualizar con gran rapidez los programas maliciosos. Como la vida de cada modificación es muy breve, es difícil detectarlas con firmas y no es muy frecuente que ocupen los primeros lugares. Sin embargo, la industria antivirus no solo usa el método de detección por firmas: las tecnologías heurísticas y “en la nube” resuelven con éxito estas amenazas.

Los ataques drive-by siguen siendo uno de los métodos más populares de instalar programas maliciosos en el ordenador de la víctima. Como consecuencia, cada mes en el TOP 20 de programas maliciosos en Internet aparecen nuevos programas para hacer este tipo de ataque: redirectores, cargadores de scripts y exploits. En el TOP 20 de julio suman 11.

TOP 20 de programas maliciosos en Internet

Posición actual Delta Veredicto
1   0 AdWare.Win32.FunWeb.kd  
2   1 AdWare.Win32.FunWeb.jp  
3   1 Trojan.JS.Popupper.aw  
4   New Trojan-Downloader.JS.Agent.gcv  
5   1 Trojan.HTML.Iframe.dl  
6   2 Trojan.JS.Redirector.py  
7   6 Trojan-Downloader.JS.Agent.gay  
8   New Hoax.HTML.FraudLoad.a  
9   0 Trojan.JS.Redirector.qb  
10   New Trojan-Downloader.JS.Agent.gdy  
11   New Trojan-Downloader.Win32.Adload.ajek  
12   New Trojan-Downloader.JS.Iframe.chf  
13   New Hoax.HTML.BroUpdate.af  
14   New Exploit.JS.Pdfka.efl  
15   New Trojan-Downloader.JS.Agent.gdk  
16   New Exploit.JS.CVE-2010-4452.t  
17   3 Hoax.Win32.Screensaver.b  
18   New AdWare.Win32.Shopper.ds  
19   New AdWare.Win32.Gamevance.hfti  
20   New Trojan-Downloader.JS.Expack.as  

TOP 20 de malware detectado en los ordenadores de los usuarios

Posición actual Delta Veredicto
1   0 Net-Worm.Win32.Kido.ir  
2   0 AdWare.Win32.FunWeb.kd  
3   0 Virus.Win32.Sality.aa  
4   0 Net-Worm.Win32.Kido.ih  
5   0 Trojan.Win32.Starter.yy  
6   0 Virus.Win32.Sality.bh  
7   0 Virus.Win32.Sality.ag  
8   3 Virus.Win32.Nimnul.a  
9   0 HackTool.Win32.Kiser.il  
10   -2 Trojan-Downloader.Win32.Geral.cnh  
11   -1 AdWare.Win32.HotBar.dh  
12   0 Trojan-Downloader.Win32.FlyStudio.kx  
13   2 Worm.Win32.Mabezat.b  
14   New Trojan.Win32.AutoRun.bhs  
15   -1 Worm.Win32.FlyStudio.cu  
16   1 Hoax.Win32.Screensaver.b  
17   New Trojan-Dropper.VBS.Agent.bp  
18   -2 HackTool.Win32.Kiser.zv  
19   -1 Trojan-Downloader.Win32.VB.eql  
20   Return Exploit.Win32.CVE-2010-2568.d  

Resumen de las actividades de los virus informáticos, julio de 2011

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada