Resumen de las actividades de los virus informáticos, septiembre de 2011

Septiembre en cifras

Este mes, en los equipos de los usuarios de Kaspersky Lab:

• se neutralizaron 213.602.142 ataques de red,
• se bloquearon 80.774.804 intentos de infección mediante la web,
• se detectaron y neutralizaron 263.437.090 programas maliciosos (intentos de infección local),
• se registraron 91.767.702 veredictos heurísticos.

Nuevos programas y tecnologías de los delincuentes

Virus en el BIOS: ¿ha caído la última línea de defensa?

En septiembre ocurrió algo que puede ejercer una gran influencia en el desarrollo de los programas maliciosos y las tecnologías antivirus. Al mismo tiempo, los expertos de varias compañías antivirus han descubierto un programa troyano capaz de infectar el BIOS.

Ejecutándose desde el BIOS inmediatamente después de que se enciende el equipo, el programa malicioso puede tomar el control de cualquiera de las etapas de inicialización del ordenador y del sistema operativo. Antes, nunca se había observado este nivel de penetración de programas maliciosos en el sistema, a pesar de que el virus CIH podía cambiar el firmware del BIOS en el lejano 1998. Entonces el virus podía poner fuera de servicio el BIOS, lo que hacía imposible encender el equipo, pero no podía tomar el control del sistema.

Es evidente que este método de inicio es atractivo para los escritores de virus, pero también son evidentes las dificultades a las que se enfrentan. Sobre todo, la falta de normas en los formatos de los diferentes BIOS: el creador de programa malicioso debe soportar los BIOS de diferentes fabricantes y entender a la perfección el algoritmo de actualización del firmware del ROM.

Este rootkit, descubierto en septiembre infecta los BIOS producidos por la compañía Award y todo parece indicar que es de origen chino. El código del troyano tiene todos los síntomas de no estar acabado y contiene información de ajuste, pero nuestras investigaciones han confirmado su capacidad de funcionamiento.

El rootkit tiene dos funcionalidades, que se fundamentan en el trabajo desde la MBR. El código incrustado en el BIOS cumple una sola función: infectarlo de nuevo si no encuentra una copia infectada en el MBR. Como tanto la MBR infectada como los sectores correspondientes se encuentran en el módulo ISA ROM, en caso de que no se encuentre la infección, se puede “reinfectar” la MBR directamente desde el BIOS. Esto aumenta las posibilidades de que el ordenador siga infectado, incluso si se cura la MBR.

En este momento nuestras tecnologías antivirus pueden detectar las infecciones causadas por este rootkit. Todavía sigue abierta la cuestión de si es posible curar el BIOS, y será resuelta en caso de que se sigan propagando programas maliciosos con funciones similares. Ahora consideramos que Rootkit.Win32.Mybios.a es una “prueba de concepto” creada para verificar si la idea funciona y no se supone su propagación masiva. En el artículo de nuestro experto Viacheslav Rusakov ofrecemos un análisis más profundo del bioskit.

Ataques contra usuarios individuales

La clausura de la botnet Hlux/Kelihos

En septiembre la lucha contra las botnets trajo buenos resultados: se clausuró la botnet Hlux. Las acciones conjuntas de Kaspersky Lab, Microsoft y Kyrus Tech no sólo hicieron posible capturar el centro de control de la red de equipos infectado por Hlux (por primera vez en la historia de las botnets P2P), sino también la desactivación de toda la zona de dominio cz.cc. Durante todo 2011 esta zona de dominio fue un verdadero vivero de diferentes amenazas: antivirus falsos (incluso para MacOS), backdoors y programas espía. Allí también se encontraban los centros de administración de varias decenas de botnets.

Desaparición de los sitios maliciosos en la zona cz.cc según los datos de KSN

En el momento de su clausura, la botnet Hlux reunía más de 40.000 ordenadores y era capaz de enviar decena de millones de mensajes spam cada día, lanzar ataques DDoS e instalar diferentes programas maliciosos en los ordenadores de las víctimas. Kaspersky Lab estudió esta botnet desde principios de 2011. Hemos llevado a cabo un análisis completo de sus componentes, descifrado el protocolo de comunicación de la botnet y desarrollado métodos para hacerle frente, entre ellos para interceptar la administración de la red. Además, Microsoft presentó una demanda contra varias personas que posiblemente tienen relación con la creación de Hlux, iniciando el proceso de persecución jurídica de los delincuentes cibernéticos.

En este momento la botnet se encuentra bajo el control de Kaspersky Lab. Estamos en contacto con los proveedores y los usuarios víctimas, ayudándoles a limpiar sus sistemas. En la utilidad Microsoft Removal Tool se ha agregado la detección de Hlux, lo que permite reducir considerablemente la cantidad de equipos infectados.

En la entrada del blog escrita por nuestro experto Tillman Werner puede averiguar más detalles del esquema de funcionamiento de la botnet Hlux y de las medidas que hemos adoptado para clausurarla.

La lucha contra las botnets continúa, y una serie de grandes y peligrosas redes zombi se encuentran bajo nuestra observación, así que todavía habrá noticias de nuevas clausuras.

La irrupción en Diginotar

La historia del ataque hacker al centro de emisión de certificados DigiNotar pertenece, según nuestra opinión, a la categoría de amenazas para usuarios individuales. A pesar de que el objetivo de la incursión fueron los equipos de la compañía, uno de los principales fines de los hackers era la creación de certificados SSL falsos para una gran cantidad de recursos populares: redes sociales y servicios de correo utilizados por los usuarios domésticos.

La incursión tuvo lugar a finales de julio y durante todo agosto el hacker, sin que nadie se diera cuenta, actuó en el sistema DigiNotar y creó varias decenas de certificados (por ejemplo, para Gmail, Facebook y Twitter). Pero lo más triste es que se constató su uso en Internet y todo parece indicar que con su ayuda se atacó a los usuarios de Irán. Uno de los certificados falsos permite lanzar el ataque MiTM y, habiéndose incrustado en el sistema del proveedor, puede interceptar toda la información que se transmite entre el usuario y el servidor.

Después, un hacker anónimo desde Irán se hizo responsable del ataque, presentando pruebas de su participación. Este fue el mismo hacker que en marzo de este año ya había lanzado un ataque similar contra otro centro de emisión de certificados, la compañía Comodo y también creado varios certificados falsos.

La historia de DigiNotar hizo afirmar una vez más que el sistema existente, formado por varios centenares de centros de emisión de certificados está muy mal protegido y que incidentes como estos sólo desacreditan la idea de los certificados digitales. Sin duda, las lagunas de seguridad descubiertas durante estos ataques son tan serias, que exigen que los corrijan de inmediato y que se creen métodos adicionales de autorización, en la que tomen parte las compañías dedicadas a la seguridad, los fabricantes de navegadores y los mismos centros de certificación, cuyo número, es probable, deba reducirse.

Uso de Skype para publicitar antivirus falsos

Ya en marzo de 2011, los delincuentes empezaron a hacer llamadas por Skype para inducir a los usuarios a visitar sitios web de propagación de antivirus falsos. Los delincuentes buscaban nombres de usuario de Skype y si estos no habían optado por recibir llamadas sólo de la lista de contactos, recibían llamadas de desconocidos con nombres como ONLINE REPORT NOTICE, System Service u otros de una serie de cuentas creadas por los delincuentes. Si el usuario usuario respondía a la llamada, un robot le informaba de que el sistema del usuario estaba en peligro y que debía visitar cierto sitio web. En el sitio del usuario se visualizaba un falso análisis del sistema. Por supuesto, se “encontraban” vulnerabilidades o, peor aún, programas maliciosos. Para cerrar las brechas y deshacerse de los virus, se le ofrecía a la potencial víctima de la estafa comprar un software antivirus que en realidad no lo era y sólo simulaba la protección.

En primavera la táctica de llamadas por Skype no recibió gran difusión, pero en septiembre se registraron más incidentes.

Así, a mediados de septiembre los usuarios de Skype se quejaban de que les había llamado un tal URGENT NOTICE, asustándoles con la noticia de que el servicio de protección de sus ordenadores estaba desactivado. para activarlo, había que visitar un sitio (cuya dirección se dictaba en el mensaje) donde se le pedía a los usuarios pagar 19,95 dólares por la activación de la protección del ordenador. A juzgar por el nombre del sitio que figuraba en el incidente, en septiembre actuaron los mismos delincuentes que usaron el truco de las llamadas en marzo de 2011.

Para librarse del spam en Skype, en la configuración de seguridad hay que usar las opciones que permiten recibir llamadas sólo de los usuarios que figuran en la lista de contactos. Si la cuenta se usa para prestar servicios y recibir llamadas de cualquier usuario, esta configuración de seguridad no conviene y hay que enviar a la administración de Skype los nombres de las cuentas de los spammers para que las bloquee.

Amenazas móviles

En septiembre detectamos 680 nuevas modificaciones de programas maliciosos para diferentes plataformas móviles. De ellas, 559 son programas maliciosos para Android. Cabe destacar que esto últimos meses venimos observando una notable crecimiento de la cantidad de algunas categorías de estos programas. Así, de 559 programas maliciosos detectados para Android, 182 (es decir, el 32.5%) de la modificaciones tiene funcionalidades de backdoor (en julio y agosto se detectaron 46 y 54 modificaciones de backdoors respectivamente).

Hace ya un año estaba claro que tarde o temprano cada vez más programas maliciosos móviles usarían activamente internet para su trabajo, por ejemplo, conectándose con los servidores remotos de los delincuentes para recibir instrucciones. Hoy este pronóstico se ha convertido en realidad.

SpitMo + SpyEye = intecepción de mTAN

Los troyanos móviles que roban los SMS de los bancos que contienen mTANs en este momento están representados por dos programas maliciosos: ZitMo y SpitMo. El primero funciona junto con ZeuS, mientras que el segundo está relacionado con otro programa malicioso popular entre los delincuentes, el troyano SpyEye. ZitMo afecta a la mayor cantidad de plataformas para las cuales se han descubierto versiones de estos programas maliciosos, pero en septiembre SpitMo ha reducido la distancia, porque ha aparecido una versión de este programa para Android.

SpitMo y SpyEye funcionan según el mismo esquema que ZitMo y ZeuS. A juzgar por los ficheros de configuración de SpyEye, el blanco de los ataques son los usuarios de varios bancos españoles. El usuario cuyo equipo está infectado por SpyEye, visualiza en la página de autorización del banco (modificada por el programa malicioso) un mensaje que le dice que debe instalar en el smartphone una aplicación, supuestamente para proteger los SMS del banco que contienen mTAN. En realidad, en vez de un programa de protección, el usuario instala el programa malicioso SpitMo, cuyo objetivo es enviar todos los SMS al servidor del delincuente. Los mensajes se envía en el siguiente formato:

‘?sender=[SendeerAddress]&receiver=[ReciverAddress]&text=[MessageBody]’

Vale decir que SpitMo contiene un fichero XML de configuración donde se indica de qué manera se hará el envío de los SMS robados: mediante HTTP o SMS. Es la primera vez que se usa esta técnica y no excluimos la posibilidad de que en el futuro los programas maliciosos similares adquieran otras funciones.

Ataques mediante códigos QR

A finales de septiembre se registraron los primeros intentos de ataque mediante códigos QR. Hoy en día, muchos usuarios buscan nuevos programas para sus dispositivos móviles mediante ordenadores personales. Los diferentes sitios web simplifican la vida de los usuarios ofreciéndoles instalar software en sus smartphones mediante códigos QR. Después de escanear este código, el dispositivo móvil empieza de inmediato a descargar la aplicación, sin necesidad de ingresar la URL.

Los delincuentes también decidieron usar esta técnica para “facilitar” a los usuarios la descarga de software malicioso. Hemos descubierto varios sitios web maliciosos que contienen códigos QR para aplicaciones móviles (por ejemplo, Jimm u Opera Mini) a los que se había agregado un troyano que enviaba SMS a números de pago.

Desaparición de los sitios maliciosos en la zona cz.cc según los datos de KSN

A principios de octubre descubrimos códigos QR relacionados con malware para las plataformas Android y J2ME, las más populares entre los delincuentes.

Amenazas para MacOS: un nuevo troyano se esconde dentro de los PDFs

A finales de septiembre nuestros colegas de la compañía F-Secure descubrieron un código malicioso más para Mac OS X (Backdoor.OSX.Imuler.a según la clasificación de Kaspersky Lab). Este programa malicioso puede recibir instrucciones adicionales desde el servidor de administración, y también enviarle ficheros y capturas de pantalla del sistema infectado.

A diferencia de Backdoor.OSX.Olyx.a, que se propagaba por correo electrónico en un fichero RAR, esta vez los delincuentes utilizaron un documento PDF para camuflar el malware.

Si bien los usuarios de Windows ya están acostumbrados a recibir por correo electrónico ficheros con extensiones adicionales, como “.pdf.exe” o “.doc.exe” y los borran sin abrirlos, para los usuarios de Mac esta táctica es nueva. Sobre todo porque en los sistemas similares a UNIX no existe la extensión .exe. Como resultado, al recibir por correo electrónico un fichero, los usuarios de Mac ejecutan por sí mismos el código malicioso, que para engañar abre un pdf, una imagen o un doc.

Es curios que durante estos ataques, el código malicioso no pide contraseña para ejecutarse y se instala en el directorio del usuario y trabaja sólo con directorios temporales.

Hemos visto esta tecnología durante el trabajo con el programa malicioso MacDefender. Por suerte, en el caso de Imuler las dimensiones de la infección son mucho menores.

Ataques contra las redes de corporaciones y grandes organizaciones

El mes no pasó sin los consabidos ataques contra grandes compañías e institutos estatales de diferentes países del mundo.

Ataque contra la corporación Mitsubishi

. La información sobre el ataque contra la corporación japonesa Mitsubishi apareció a mediados de mes, pero nuestras investigaciones muestran que lo más probable es que haya empezado en junio y su fase activa ha sido en agosto.

Según los datos revelados por la prensa japonesa, se infectaron cerca de 80 ordenadores y servidores de fábricas que se dedican a producir equipos para submarinos, cohetes y la industria atómica. Por ejemplo, los programas maliciosos se detectaron en el astillero de Kōbe, especializado en la producción de submarinos y componentes para centrales atómicas. Los hacker atacaron las fábricas en Nagoya, ciudad donde se fabrican cohetes y motores para cohetes, y también una fábrica en Nagasaki que produce buques de vigilancia. También se descubrieron programas maliciosos en los ordenadores de la oficina central de la compañía.

Los expertos de Kaspersky Lab lograron obtener ejemplares de los programas maliciosos usados en este ataque. Podemos decir sin temor a equivocarnos que este ataque fue cuidadosamente planeado y llevado a cabo según un libreto clásico para este tipo de amenazas. A finales de julio una serie de empleados de Mitsubishi recibieron mensajes que contenían un fichero PDF que en realidad era un exploit para una vulnerabilidad en Adobe Reader. Al abrir el fichero, se instalaba un módulo malware que les daba a los delincuentes acceso remoto irrestricto al sistema. Después, desde el ordenador infectado los hackers profundizaban su penetración en la red de la compañía, irrumpiendo en los servidores que necesitaban y recopilando la información que les interesaba, que luego enviaban al servidor de los delincuentes. En total, durante el ataque se usó cerca de una decena de diferentes programas maliciosos, parte de los cuales había sido programada tomando en cuenta la estructura de la red interna de la compañía.

No se ha podido establecer en concreto qué información robaron los hackers, pero es probable que en los ordenadores afectados se encontrara información confidencial y de carácter estratégico.

Lurid

Un incidente potencialmente más peligroso fue descubierto durante las investigaciones efectuadas por los especialistas de la compañía TrendMicro. Ellos lograron interceptar las solicitudes a varios servidores que se usaban para administrar una red de 1500 ordenadores hackeados, ubicados sobre todo en Rusia, los países de la ex URSS y Europa del Este. El incidente recibió el nombre de Lurid.

Gracias a la colaboración de los colegas de TrendMicro, logramos analizar las listas de las víctimas rusas. El análisis mostró que se trata de ataques especiales contra organizaciones concretas, ataques que además son muy específicos. A los atacantes les interesaban las empresas aerocósmicas, institutos de investigación científica, una serie de organizaciones comerciales, instituciones estatales y algunos medios de información masiva.

El incidente de Lurid afectó a varios países al mismo tiempo y empezó, como mínimo, en marzo de este año. Al igual que en el caso de Mitsubishi, en la primera etapa del ataque se usaron mensajes de correo electrónico. En este incidente tampoco se puede establecer a ciencia cierta la magnitud y contenido de los datos que pudieron robar los hackers, pero la lista de blancos habla por sí misma.

Lecciones de historia: el gusano Nimda cumple 10 años

Uno de los incidentes que marcó el principio del siglo XXI fue el provocado por el gusano Nimda. Hace 10 años el gusano Nimda usó diferentes métodos para infectar ordenadores personales y servidores, pero la mayor parte de las infecciones que provocaron una epidemia global ocurrió mediante adjuntos a mensajes electrónicos. El 18 de septiembre de 2001 los delincuentes enviaron mensajes con un fichero ejecutable adjunto. En ese entonces era una técnica nueva, y los usuarios ejecutaron el programa adjunto sin sospechar nada. Ahora, en cambio, cada usuario conoce el riesgo relacionado no sólo con la ejecución de programas en mensajes spam, sino también con el que supone seguir enlaces enviados por desconocidos.

Desde los tiempos de Nimda la táctica de los delincuentes, por supuesto, ha cambiado, pero el método de propagar malware mediante correo electrónico hasta ahora sigue siendo uno de los más populares. En el presente los delincuentes usan más astucia que sus predecesores hace 10 años. Ahora, para propagar la infección usan vulnerabilidades en los programas populares que abren documentos. Los usuarios asocian los ficheros con extensiones .doc, .pdf, .xls, etc con textos y tablas, y en general, no les causan sospechas.

Las vulnerabilidades en los programas se cierran todo el tiempo, pero muchos usuarios no actualizan su software y los delincuentes se aprovechan de esta circunstancia. La mayoría de los usuarios desconfían de los mensajes enviados por desconocidos. Por esta razón, los delincuentes roban en los equipos infectados las cuentas de correo electrónico, redes sociales, mensajeros instantáneos (por ejemplo, ICQ) , etc. y envían a la lista de contacto mensajes en su nombre.

Los ataques mediante correo electrónico son particularmente populares para lanzar ataques contra organizaciones.

Estadísticas de septiembre

TOP10 de programas maliciosos en Internet

TOP10 de países en los cuales se almacenan programas maliciosos

TOP10 de hostings maliciosos

TOP10 de dominios maliciosos

10 países donde los usuarios están bajo mayor riesgo de infectarse mediante Internet