TOP-20 de programas maliciosos, abril de 2010

Kaspersky Lab ofrece a la atención de los usuarios el TOP-20 de programas maliciosos en abril.

Programas maliciosos detectados en los ordenadores de los usuarios

En la primera tabla se exponen los programas maliciosos y potencialmente indeseables detectados y neutralizados por primera vez en los ordenadores de los usuarios.

Posición	Cambios en la posición	Programma nocivo	Cantidad de equipos infectados
1	0	Net-Worm.Win32.Kido.ir	330025
2	0	Virus.Win32.Sality.aa	208219
3	0	Net-Worm.Win32.Kido.ih	183527
4	0	Net-Worm.Win32.Kido.iq	172517
5	0	Worm.Win32.FlyStudio.cu	125714
6	2	Virus.Win32.Virut.ce	70307
7	New	Exploit.JS.CVE-2010-0806.i	68172
8	-2	Trojan-Downloader.Win32.VB.eql	64753
9	2	Worm.Win32.Mabezat.b	51863
10	5	Trojan-Dropper.Win32.Flystud.yo	50847
11	-1	Worm.Win32.AutoIt.tc	49622
12	New	Exploit.JS.CVE-2010-0806.e	45070
13	-4	Packed.Win32.Krap.l	44942
14	New	Trojan.JS.Agent.bhr	36795
15	2	not-a-virus:AdWare.Win32.RK.aw	36408
16	Return	Trojan.Win32.Autoit.ci	35877
17	-1	Virus.Win32.Induc.a	31846
18	New	Trojan.JS.Zapchast.dj	30167
19	Return	Packed.Win32.Black.a	29910
20	Return	Worm.Win32.AutoRun.dui	28343

La estadística de los programas maliciosos detectados en los equipos de los usuarios es, como de costumbre, estable: Kido y Sality siguen ocupando los primeros puestos.

En abril han aparecido cuatro novatos en la lista. En los puestos séptimo y undécimo hay dos modificaciones del exploit CVE-2010-0806, sobre el cual habíamos escrito en nuestro informe anterior y en los puestos decimocuarto y decimoctavo tenemos dos programas troyanos que, como se esclareció, también tienen relación directa con la vulnerabilidad CVE-2010-0806. Como regla, el exploit está cifrado o enmarañado y dividido en varias partes. En la ventana del navegador del usuario que abre la página infectada, las partes del exploit se cargan en determinado orden. La última en cargarse es la parte del código que descifra el exploit y lo ejecuta. Los dos nuevos troyanos son partes componentes de una de las modificaciones del exploit CVE-2010-0806.

Recordamos que esta vulnerabilidad de Internet Explorer se descubrió en marzo y los delincuentes empezaron a usar los exploits correspondientes después de que se publicara una descripción detallada de la misma. Ya en marzo el número de descargas únicas del exploit CVE-2010-0806 se acercaba a las 200.000. En abril, se desactivaron dos modificaciones de este mismo exploit en más de 110.000 ordenadores. Más adelante escribiremos con más detalle sobre la impetuosa propagación del exploit CVE-2010-0806.

Hacemos notar también que el virus Virut.ce, lento pero seguro, se está acercando a ser uno de los líderes que ocupan los cinco primeros puestos. En los últimos tres meses subió del décimo al sexto lugar y sólo durante abril fue neutralizado en más de 70.000 ordenadores.

Programas nocivos en Internet

La segunda tabla describe la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y también los programas maliciosos que trataron de descargarse a los ordenadores de los usuarios desde páginas web.

Posición	Cambios en la posición	Programma nocivo	Número de tentativas de descarga
1	1	Exploit.JS.CVE-2010-0806.i	201152
2	New	Exploit.JS.Pdfka.cab	117529
3	7	Exploit.JS.CVE-2010-0806.b	110665
4	New	not-a-virus:AdWare.Win32.FunWeb.q	99628
5	New	Trojan-Downloader.JS.Twetti.с	89596
6	New	Trojan-Downloader.JS.Iframe.bup	85973
7	New	Trojan.JS.Agent.bhl	76648
8	Return	Trojan-Clicker.JS.Agent.ma	76415
9	New	Trojan-Clicker.JS.Iframe.ev	74324
10	New	Exploit.JS.Pdfka.byp	69606
11	-8	Trojan.JS.Redirector.l	68361
12	New	Trojan-Dropper.Win32.VB.amlh	60318
13	New	Exploit.JS.Pdfka.byq	60184
14	-10	Trojan-Clicker.JS.Iframe.ea	57922
15	-8	not-a-virus:AdWare.Win32.Boran.z	56660
16	New	Exploit.JS.CVE-2010-0806.e	53989
17	-11	Trojan.JS.Agent.aui	52703
18	0	not-a-virus:AdWare.Win32.Shopper.l	50252
19	New	Packed.Win32.Krap.gy	46489
20	New	Trojan.HTML.Fraud.am	42592

El segundo TOP20 tiene la tradición de ser voluble e inestable.
El líder de los últimos dos meses, Gumblar.x, está ausente en el TOP20: su virulencia bajó de pronto. Como la vez pasada, la epidemia de Gumblar empezó de forma impetuosa y alcanzó su punto máximo en febrero, cuando se registraron más de 450.000 recursos web infectados por Gumblar, pero sufrió una caída súbita dos meses después. Es digno de cuidadosa atención el que esta conducta, típica de Gumblar.x, nos recuerda la situación sobre la cual ya escribimos en febrero. Por el momento no se sabe cuándo empezará la siguiente ola de la epidemia y ni siquiera si tendrá lugar, pero nosotros haremos un atento seguimiento de los sucesos.

La vertiginosa propagación del exploit CVE-2010-0806 este mes ha hecho que ocupe el primer lugar en el segundo TOP20. Como regla, los exploits CVE-2010-0806 descargan en el ordenador víctima pequeños programas descargadores que son representantes de familias como Trojan-Downloader.Win32.Small, Trojan-Dropper.Win32.Agent, Trojan.Win32.Inject, Trojan.Win32.Sasfis, etc. Estos troyanos, a su vez, descargan otros programas maliciosos en el ordenador infectado. Con más frecuencia descargaron diferentes modificaciones de Trojan-GameTheif.Win32.Magania, Trojan-GameTheif.Win32.WOW y Backdoor.Win32.Torr. Se puede suponer que en abril el principal blanco de los delincuentes que usaban el exploit CVE-2010-0806 fueron los datos confidenciales de los usuarios que poseían cuentas en juegos online populares. La cantidad total de intentos únicos de descarga de las tres modificaciones del exploit que ocupan los puestos 1, 3 y 16 fue de más de 350.000.

Entre los novatos que por vez primera aparecieron en la lista en abril hay tres exploits más (puestos 2, 10 y 13), que afectan a los productos Adobe Reader y Acrobat. Merece la pena destacar que las vulnerabilidades usadas por estos tres exploits PDF son relativamente antiguas y fueron detectadas en 2009. Los exploits son documentos PDF que contienen escenarios en el idioma Java Script. Los diferentes Troyan-Downloader descargados por el escenario también descargaban otros ejemplares maliciosos en el ordenador víctima. Entre los programas maliciosos descargados en los ordenadores infectados por el exploit Pdfka.cab (puesto 2) se detectaron modificaciones de la familia PSWTool.Win32.MailPassView. Los programas de esta familia se usan para robar logins y contraseñas de correo electrónico.

Packed.Win32.Krap.gy, que ocupa el puesto 19 en la estadística, al igual que la mayoría de lo representantes de la familia de los empaquetadores, sirve para ocultar antivirus falsos. Una de las fuentes de propagación de antivirus falsos es la página HTML detectada por Kaspersky Lab como Trojan.HTML.Fraud.am (puesto 20).

La cantidad de intentos únicos de descarga de Twetti.c (puesto 5) fue de 90.000. Por sus funcionalidades, este troyano no se diferencia en nada de su menos enmarañado predecesor, Twetti.a, sobre el cual escribimos en diciembre.

Según los resultados de abril, se evidencia una de las principales tendencias de estos últimos tiempos: los delincuentes usan activamente exploits cuyos códigos fuente gozan de gran difusión. En la mayoría de los casos el objetivo de estos ataques es el robo de los datos confidenciales de los usuarios. Los delincuentes informáticos tratan de obtener acceso a las cuentas de sistemas de correo, servicios de juegos online y diferentes sitios web. En abril la cantidad de estos intentos fue de cientos de miles. Los datos robados pueden después ser vendidos o usados para propagar programas maliciosos.

Países desde los cuales se detectó la mayor cantidad de intentos de infección mediante la web: