Informes sobre malware

Resumen de las actividades de los virus informáticos, junio de 2011

Este mes, en los equipos de los usuarios de Kaspersky Lab:

  • se neutralizaron 249.345.057 ataques de red,
  • se bloquearon 68.894.639 intentos de infección mediante la web,
  • se detectaron y neutralizaron 216.177.223 programas maliciosos (intentos de infección local),
  • los veredictos heurísticos se activaron 83.601.457 veces.

Principales acontecimientos del mes

El primer mes del verano (en el hemisferio norte) ha transcurrido con relativa tranquilidad: por fortuna, no ha ocurrido ningún incidente significativo. Podríamos decir que la situación cibercriminal del mes es la “clásica”. En los países en vías de desarrollo los delincuentes se han aprovechado de la ignorancia de los usuarios en cuestiones de seguridad informática para propagar sus programas maliciosos. En los países desarrollados han predominado los programas maliciosos que andan tras la información y el dinero de los usuarios. En Brasil, como de costumbre, se han propagado los bankers, y en Rusia, como ya es tradicional, se usaron programas maliciosos para hacer estafas.

En estos últimos tiempos se habla mucho de los servicios “en la nube” ofrecidos por diferentes compañías. En junio los delincuentes usaron el servicio “en la nube” de Amazon para alojar y propagar software malicioso destinado a los usuarios de Brasil y que roba los datos de los clientes de 9 bancos en este país. Para aumentar sus posibilidades de éxito, el programa malicioso impide el correcto funcionamiento de los antivirus y los plugins especiales que garantizan la seguridad de las operaciones bancarias online. Entre sus funcionalidades está el robo de certificados digitales y cuentas de Microsoft Live Messenger.

Los estafadores rusos, además de los típicos archivos falsos y troyanos bloqueadores que piden enviar SMS a números Premium para desbloquear el equipo, trataron de usar la posibilidad de ganar dinero “de la nada” mediante el sistema de dinero virtual BitCoins. En este sistema, para el proceso de emisión monetaria sólo se requiere usar la potencia del procesador por cierto tiempo. Los expertos de Kaspersky Lab han detectado un programa malicioso que, para empezar a generar el dinero virtual, lanza en el equipo de la víctima el fichero legal de BitCoins, “bcm.exe”. Este fichero está incrustado en el programa malicioso y se graba en el disco después de iniciarse. Pero la administración del sitio bloqueó de inmediato la cuenta del delincuente, donde se acumulaban las ganancias, por lo que éste no alcanzó a lucrar demasiado.

Los delincuentes no dejan en paz la plataforma Mac OS X. Si en mayo se detectaron antivirus falsos para esta plataforma, ahora los delincuentes propagan el programa Backdoor.OSX.Olyx.a. Este programa malicioso está destinado a controlar a distancia el equipo: los delincuentes pueden usar el sistema infectado para sus propios fines: descargar otros programas maliciosos, lanzar programas y ejecutar instrucciones del interpretador.

Junio nos complació por los éxitos de las fuerzas del orden en la lucha contra la delincuencia cibernética en diferentes países. Algunas de las operaciones se llevaron a cabo de forma conjunta entre varios países. Así, en EE.UU. se puso fin a las actividades criminales de dos grupos internacionales que lucraban con la venta de antivirus falsos. Según apreciaciones preliminares, el daño causado por sus actividades ascendió a 74 millones de dólares. Además de los servicios de inteligencia, tomaron parte en la operación las policías de Alemania, Francia, Holanda, Suecia, Inglaterra, Rumania, Canadá, Ucrania, Lituania, Letonia y Chipre. En varios países del Sureste Asiático se arrestó a cerca de 600 personas sospechosas de participar en estafas en Internet. En la operación tomaron parte las policías de China, Taiwán, Camboya, Indonesia, Malasia y Tailandia. En Rusia, acusado de organizar ataques DDoS contra un servicio de la competencia, se arrestó a Pável Vrublésky, propietario del centro de procesamiento ChronoPay, el más grande de Rusia. Hay que mencionar otro importante acontecimiento en el campo de la lucha contra la delincuencia informática, esta vez en el ámbito legislativo: en junio el parlamento japonés adoptó una serie de enmiendas a las leyes existentes, asignando penas de cárcel por la creación y propagación de programas maliciosos.

Estadística de los programas maliciosos

Al igual que los meses anteriores, en junio el TOP 20 de programas maliciosos en Internet se ha enriquecido con una gran cantidad de nuevos ejemplares, pero en cambio la estadística de programas maliciosos detectados en los equipos de los usuarios casi no ha cambiado.

Programas nocivos en Internet

En el TOP 20 de programas maliciosos en Internet siguen predominando los que se usan para lanzar ataques drive-by: redirectores, cargadores de scripts y exploits. Estos programas maliciosos han ocupado 14 de los 20 puestos de la estadística.

Redirectores

En el TOP 20 hay cuatro redirectores: Trojan-Downloader.JS.Agent.fzn (puesto 12), Trojan-Downloader.JS.Agent.gay (puesto 13), Trojan-Downloader.JS.IFrame.cfw (puesto 14) y Trojan.JS.IFrame.tm (puesto15).

Si bien los últimos dos programas maliciosos son primitivos y lo único que hacen es usar la etiqueta iframe para remitir a los usuarios a las páginas web de los delincuentes, los dos primeros usan una técnica más refinada. Además de infectar ficheros js legítimos, también descargan otro script JavaScript. Pero lo hacen sólo si ocurre el acontecimiento “mousemove” del objeto “window” (es decir, cuando el cursor se mueve dentro de la ventana activa). Al parecer, esta técnica se usa para para evadir algunos “sandboxes” y emuladores.


Fragmento del script infectado por Trojan-Downloader.JS.Agent.gay

Descargadores

Los descargadores de scripts están presentes en la estadística en dos grupos. Primero: Trojan.JS.Redirector.pz (puesto 5), Trojan.JS.Redirector.qa (puesto 7), Trojan.JS.Redirector.py (puesto 8) y Trojan.JS.Redirector.qb (puesto 9). Segundo: Trojan-Downloader.JS.Agent.gbj (puesto 11) y Trojan-Downloader.JS.Agent.gaf (puesto 19).

Todos estos descargadores usan etiquetas html para guardar los principales datos del script. Los scripts del primer grupo usan el campo “alt” de la etiqueta <img> y los del segundo, la etiqueta <div>. Es muy probable que este método también se use para evadir diferentes emuladores y “sandboxes” que no tienen una integración completa entre JavaScript y HTML. Para ejecutar los exploits Java, estos descargadores usan las vulnerabilidades CVE-2010-4452 y CVE-2010-0886. Para incrustar los documentos PDF y las páginas HTML se usa “iframe”, mientras que para descargar y ejecutar el fichero ejecutable se usan antiguas brechas en el software de Microsoft (Adodb.Stream y MDAC) para las cuales, según parece, muchos usuarios no han instalado los parches correspondientes.


Fragmento del descargador malicioso Trojan.JS.Redirector.qa

Exploits

Cabe destacar la aparición en la estadística del exploit Trojan-Downloader.SWF.Small.df (puesto 20) en los ficheros SWF. Su función consiste en el lanzamiento oculto de otro fichero SWF ubicado en el mismo catálogo del servidor.

Dos exploits en documentos PDF, Exploit.JS.Pdfka.dyi (puesto 16) y Exploit.JS.Pdfka.duj (puesto 17) usan la vulnerabilidad CVE-2010-1885 en el formato TIFF. En los ficheros PDF, para complicar el análisis, los delincuentes distribuyen el código del exploit entre varios objetos. En un objeto se encuentra el comienzo del script JavaScript, en el segundo, su fragmento final y en el tercero, los datos principales. El código está levemente enmarañando: todos los nombres de las variables se eligen al azar y una parte de los nombres de los objetos y la funciones se asignan “al vuelo”.


Fragmento del JavaScript enmarañado Exploit.JS.Pdfka.duj

El último nuevo exploit presente en el TOP 20 es Exploit.HTML.CVE-2010-4452.bc (puesto 10). Usa la primitiva vulnerabilidad CVE-2010-4452 para descargar y ejecutar un exploit Java, enviando parámetros especiales al applet Java mediante la etiqueta <param>. Los delincuentes decidieron enmascarar Exploit.HTML.CVE-2010-4452.bc: sustituyeron la mayoría de los caracteres en las etiquetas <param> por secuencias “&#number” y en los demás caracteres cambiaron los registros.


Exploit.HTML.CVE-2010-4452.bc

Programas maliciosos detectados en los ordenadores de los usuarios

Como ya lo hemos dicho más arriba, la estadística de los programas maliciosos detectados en los equipos de los usuarios ha cambiado muy poco. Sin embargo, además de los típicos programas maliciosos, en el TOP 20 tenemos un representante sui generis de la fauna maliciosa, el virus de ficheros Virus.Win32.Nimnul.a.

El infector Nimnul

Este programa malicioso entró por primera vez al TOP 20 en mayo y en dos meses ha subido desde el último puesto hasta el 11. Es algo muy fuera de lo común, si se tiene en cuenta que los virus que infectan ficheros están desapareciendo poco a poco. Actualmente los delincuentes prefieren usar programas protegidos por empaquetadores polimórficos (así garantizan la singularidad de cada programa malicioso empaquetado). Y es que usar virus para ficheros ha dejado de tener ventajas: es bastante difícil desarrollarlos y mantenerlos, pero es relativamente fácil detectarlos en el sistema.

El virus Nimnul.a infecta los ficheros ejecutables, agregando una sección “.text” al final del fichero y modificando el punto de entrada. Después de iniciarse, cualquier fichero infectado verifica la presencia del identificador único del virus en el sistema operativo (Mutex). La presencia del objeto Mutex significa que otro fichero infectado ya está funcionando en el sistema operativo. En este caso, el virus solo inicia la aplicación original. En cambio, si no se detecta el Mutex buscado, se creará el objeto sincronizador analizado y después se grabará en el disco duro el principal componente de Nimnul. Este componente escribe en el disco varias bibliotecas maliciosas más.

El programa malicioso roba los ficheros personales de configuración de los navegadores populares, se conecta a un servidor remoto y tiene la capacidad de suplantar páginas web.

El virus se propaga mediante medios extraíbles con la ayuda de autorun.inf y de los ficheros infectados. Es interesante la región habitada por este virus: India, Indonesia, Bangladesh y Vietnam. En estos países está el mayor porcentaje de usuarios de KSN, en cuyos equipos se han detectado programas maliciosos: Bangladesh, 85,76%; India, 65,27%,; Indonesia, 59,51% y Vietnam, 54,16%. Es evidente que los usuarios de estos países no prestan suficiente atención a la seguridad informática y usan versiones del sistema operativo Windows sin sus correspondientes parches. En efecto, el 8 de febrero de 2011 Microsoft publicó una actualización que deshabilita el inicio automático de programas desde unidades extraíbles.

TOP 20 de programas maliciosos en Internet

Posición actual Delta Veredicto
1   2 AdWare.Win32.FunWeb.kd  
2   4 Trojan-Downloader.JS.Agent.fxq  
3   2 AdWare.Win32.FunWeb.jp  
4   -2 Trojan.JS.Popupper.aw  
5   New Trojan.JS.Redirector.pz  
6   5 Trojan.HTML.Iframe.dl  
7   New Trojan.JS.Redirector.qa  
8   New Trojan.JS.Redirector.py  
9   New Trojan.JS.Redirector.qb  
10   New Exploit.HTML.CVE-2010-4452.bc  
11   New Trojan-Downloader.JS.Agent.gbj  
12   New Trojan-Downloader.JS.Agent.fzn  
13   New Trojan-Downloader.JS.Agent.gay  
14   New Trojan-Downloader.JS.Iframe.cfw  
15   New Trojan.JS.Iframe.tm  
16   New Exploit.JS.Pdfka.dyi  
17   New Exploit.JS.Pdfka.duj  
18   New Trojan-Ransom.JS.SMSer.id  
19   New Trojan-Downloader.JS.Agent.gaf  
20   -1 Hoax.Win32.Screensaver.b  

TOP 20 de malware detectado en los ordenadores de los usuarios

Posición actual Delta Veredicto
1   0 Net-Worm.Win32.Kido.ir  
2   2 AdWare.Win32.FunWeb.kd  
3   -1 Virus.Win32.Sality.aa  
4   -1 Net-Worm.Win32.Kido.ih  
5   0 Trojan.Win32.Starter.yy  
6   0 Virus.Win32.Sality.bh  
7   1 Virus.Win32.Sality.ag  
8   -1 Trojan-Downloader.Win32.Geral.cnh  
9   0 HackTool.Win32.Kiser.il  
10   Return AdWare.Win32.HotBar.dh  
11   1 Virus.Win32.Nimnul.a  
12   -2 Trojan-Downloader.Win32.FlyStudio.kx  
13   5 Trojan.JS.Agent.bhr  
14   0 Worm.Win32.FlyStudio.cu  
15   1 Worm.Win32.Mabezat.b  
16   -3 HackTool.Win32.Kiser.zv  
17   0 Hoax.Win32.Screensaver.b  
18   1 Trojan-Downloader.Win32.VB.eql  
19   -4 Hoax.Win32.ArchSMS.pxm  
20   New Trojan-Downloader.SWF.Small.dj  

Resumen de las actividades de los virus informáticos, junio de 2011

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada