Top 10 programas de código malicioso en América Latina (primer trimestre de 2010)

Es de conocimiento general que para contar con una mejor proteccion, se necesita conocer mejor al enemigo. Razon por la cual al terminar el primer trimestre del 2010 realizamos un analisis de las amenazas de codigo malicioso mas difundidas que atacaron en forma general la region de America Latina y los paises de Argentina, Brasil y Mexico.

A continuacion presentamos los diez programas maliciosas mas difundidos en America Latina durante los primeros tres meses del ano 2010.

74% de todos los programas de codigo malicioso mas difundidos fueron detectados por nuestros mecanismos heuristicos, lo que demuestra por un lado su eficiencia para combatir las amenazas del dia 0, y por otro que los criminales que crean šmalware enfocado a la region se esfuerzan por generar un codigo dificil de detectar por los motores clasicos de asignaturas. Esto comprueba que su meta es evadir la deteccion por parte de otros programas Anti-Virus e infectar la mayor cantidad posible de maquinas.

Es importante resaltar que en comparacion con el cuarto trimestre del 2009, la cantidad de malware del dia 0 crecio en 28%. Esto una vez mas confirma que los criminales ciberneticos estan esforzandose por crear malware mas sofisticado en terminos de deteccion, y en mayor cantidad para que las firmas clasicas (patrones) de deteccion de los Anti-Virus no lleguen a tiempo a los usuarios para protegerlos contra dichas amenazas.

Ademas si comparamos las 10 principales amenazas del primer trimestre del 2010 con los datos del ultimo trimestre del 2009 podemos ver que el gusano de red

Net-Worm.Win32.Kido.ih ha fortalecido sus posiciones y subio del sexto lugar al tercero. Para mayor informacion sobre los objetivos de Kido y su comportamiento, puede visitar nuestra pagina https://threats.kaspersky.com/mx/threat/Net-Worm.Win32.Kido/

Ahora hablemos un poco del troyano Trojan.Win32.VB.zqk que se encuentra en la posicion numero 5 con el 5% de penetracion en America Latina. El objetivo de esta amenaza es al infectar la maquina utilizando las tecnicas de Rootkit, permanecer oculto en el sistema y robar las contrasenas de MSN (Live) Messenger y AIM Messenger. Las contrasenas robadas se envian a un servidor remoto controlado por los delincuentes. Al parecer los criminales buscan las contrasenas de los programas de mensajeria instantanea ya que estos a su vez son contrasenas de los correos de las victimas. Los usuarios suelen guardar en sus buzones de correo mucha informacion confidencial como numeros de sus contrasenas, cuentas bancarias, cuentas de sus perfiles en las redes sociales, etc. Todo esto les permite a los criminales a dar un paso mas en su crimen de robo de identidad y fraude en linea relacionado con el dinero.š

Finalmente nuestro lista se cierra con una serie de programas maliciosos denominados como Packed.Win32.Krap.ao, Packed.Win32.Krap.ai y Packed.Win32.Katusha.e Las tres amenazas estan relacionadas con los programas de falsos Anti-Virus que al infectar la maquina muestran mensajes de la deteccion de supuestos virus pidiendo una activacion a traves del pago correspondiente. Este tipo de negocio ilegal ha crecido mucho no solo en America Latina, sino tambien en otros paises a nivel mundial. Cada ano los criminales que estan tras la difusion de los Anti-Virus falsos llegan a ganar decenas de millones de dolares.

Los 10 principales programas de codigo malicioso en Argentina

En Argentina un 58% de los programas maliciosos mas difundidos son detectados por los mecanismos heuristicos. Esta tasa igualmente es bastante alta ya que representa mas de la mitad de todo el malware. Ademas entre dichos programas vemos un grupo compuesto por los programas del tipo Adware que se llaman not-a-virus:Adware.Win32.EZula.heur y not-a-virus:Adware.Win32.Ron.heur. Dichos programas pertenecen al grupo de los programas no deseados. A diferencia del malware, estos no roban informacion, no danan el sistema operativo, no infectan otras maquinas por la red o a traves de medios de almacenamiento. Su objetivo es diferente: generar dinero para sus autores a traves del trafico de Internet.

Cada vez que la victima que tenga instalado uno de estos programas esta conectado, su acceso a Internet es usado para dar en clics en segundo plano (invisible) en los banners de diferentes sitios Web. Es decir, lo unico que hacen dichos programas es consumir el ancho de banda del usuario, visitando sitios Web en Internet que permiten al autor recibir dinero por cada visita o clic.

Ademas de los programas ya mencionados podemos ver en el tercer lugar la amenaza Backdoor.Win32.Poison.bjdy. Este backdoor se oculta en el sistema de la victima bajo el nombre del MSN Messenger. Permite a los atacantes tener acceso no autorizado y sin el consentimiento de la victima, ademas robar todo tipo de datos confidenciales como contrasenas, pines, nombres de usuarios, etc. Todo indica que este malware fue hecho en America Latina. Los autores dentro del codigo dejaron intencionalmente unas lineas maldiciendo uno de los programas de Anti-Virus y estas palabras: “ViVALAMADREDELJOSE;;EEEE!!!!!!!!!!!!!!!=))”.

Los 10 principales programas de codigo malicioso en Brasil

El panorama malicioso de Brasil es bastante claro. Casi todos los programas de malware de mayor difusion en el primer trimestre del 2010 son enfocados directamente al robo de informacion de las cuentas para el acceso a los servicios de pagos y de banca en linea de sus victimas. Ademas casi todo el codigo malicioso presente en el grafico fue desarrollado internamente por los criminales de Brasil. La excepcion es el gusano Kido del que hablamos en el analisis general de toda la region.

Por ejemplo, si hablamos del troyano Trojan-Dropper.Win32.VB.aksg que se encuentra en la posicion numero 2 en Brasil con un 17% de todos los ataques, este roba la informacion bancaria de sus victimas al instalarse en el sistema bajo un aplicativo falso de Microsoft. El robo de informacion se da al momento que la victima accede a su banco a traves del Internet Explorer. El troyano integra al Internet Explorer una BHO maliciosa cuyo objetivo es interceptar los datos de interes y reenviarlos a los atacantes.

Es interesante mencionar tambien que los programas maliciosos que se encuentran en la lista de nuestro ranking de Brasil roban no solamente contrasenas de los bancos que tiene sucursales en este pais sino tambien lo hacen con los sistemas de pagos en linea y las tarjetas de credito mas populares. En otras palabras, los criminales de Brasil tienen una sola meta: dinero y mas dinero. Su unica motivacion en el primer trimestre del 2010 fue la codicia.

Los 10 principales programas de codigo malicioso en Mexico

Mexico tiene un panorama viral realmente variado. Contamos con la presencia de diferentes tipos de programas de codigo malicioso usados en otros paises de America Latina e incluso propios como es el caso del troyano espia Trojan-Spy.Win32.Agent.begh. Este troyano es el mas codicioso entre todos los analizados anteriormente. Su objetivo es robar cualquier informacion del usuario y no solamente cuentas de bancos, tarjetas de credito o nombres de usuarios de sistemas de pagos en linea. Este troyano es capaz de robar los nombres de usuario y contrasenas de los correos electronicos, redes sociales, programas de mensajeria instantanea y hasta juegos en linea que requiere autenticacion.

Otro troyano que tiene una penetracion muy alta en el pais (17%) es el Trojan-Downloader.Win32.Agent.cyrc. Su tarea es infectar la maquina de la victima y descargar e instalar al sistema otro troyano que finalmente convierte el equipo en una PC zombie. La maquina infectada envia su identificacion al centro de comando y control que se encuentra en los EEUU. Los criminales al obtener el control de la maquina pueden darle cualquier uso que les convenga. Por ejemplo, pueden enviar Spam, generar ataques de denegacion de servicios, robar informacion confidencial que represente interes financiero o hacer cualquier otra cosa ilicita. En la mayoria de los casos el uso de una Botnet (red de maquinas zombi) depende de la persona que la alquila.

Finalmente deseo compartir mis observaciones sobre el troyano Trojan.Win32.Sasfis.ahic que esta en el decimo puesto. A pesar de que se encuentra en el ultimo puesto y tiene una tasa de penetracion de 4%, sus posibles danos no son nada pequenos ya que se trata de dinero. Este troyano se especializa en robar las contrasenas de los sistemas PayPal, eBay y tambien numeros de las tarjetas de credito MasterCard. Esto no significa que dichos sistemas sean inseguros sino mas bien indica que son mas atacados por ser mas populares entre las personas al momento de hacer pagos a traves de Internet.

Conclusiones

El analisis realizado muestra una tendencia alarmante respecto al objetivo de los ataques en America Latina. El principal blanco es el dinero de las victimas o cualquier cosa virtual del cual se pueda transformar en el. Dicha tendencia esta presente en todos los paises de esta region.

Los usuarios tienen que estar mas alerta que nunca, ya que en juego estan sus finanzas. Ademas existe el creciente peligro de infectar la maquina con el malware que finge ser un Anti-Virus y pide activacion para eliminar una supuesta infeccion. Los mensajes que mandan dichos Anti-Virus falsos suelen ser muy molestosos y persistentes y en algunos casos tambien dichos programas de codigo malicioso son dificiles de eliminar. Como resultado, algunas personas caen en la trampa, realizan el pago y pierden su dinero.

Por ultimo, el gusano Kido no pretende a desaparecer pronto de la escena. Es necesario recordar el objetivo de esta amenaza: infectar el equipo y convertirlo en Zombi. La limpieza de dicho gusano es sumamente dificil, por lo que lo mas prudente es prevenir las infecciones.