Noticias

TOP-20 de programas maliciosos, abril de 2010

Kaspersky Lab ofrece a la atención de los usuarios el TOP-20 de programas maliciosos en abril.

Programas maliciosos detectados en los ordenadores de los usuarios

En la primera tabla se exponen los programas maliciosos y potencialmente indeseables detectados y neutralizados por primera vez en los ordenadores de los usuarios.

Posición Cambios en la posición Programma nocivo Cantidad de equipos infectados
1   0 Net-Worm.Win32.Kido.ir   330025  
2   0 Virus.Win32.Sality.aa   208219  
3   0 Net-Worm.Win32.Kido.ih   183527  
4   0 Net-Worm.Win32.Kido.iq   172517  
5   0 Worm.Win32.FlyStudio.cu   125714  
6   2 Virus.Win32.Virut.ce   70307  
7   New Exploit.JS.CVE-2010-0806.i   68172  
8   -2 Trojan-Downloader.Win32.VB.eql   64753  
9   2 Worm.Win32.Mabezat.b   51863  
10   5 Trojan-Dropper.Win32.Flystud.yo   50847  
11   -1 Worm.Win32.AutoIt.tc   49622  
12   New Exploit.JS.CVE-2010-0806.e   45070  
13   -4 Packed.Win32.Krap.l   44942  
14   New Trojan.JS.Agent.bhr   36795  
15   2 not-a-virus:AdWare.Win32.RK.aw   36408  
16   Return Trojan.Win32.Autoit.ci   35877  
17   -1 Virus.Win32.Induc.a   31846  
18   New Trojan.JS.Zapchast.dj   30167  
19   Return Packed.Win32.Black.a   29910  
20   Return Worm.Win32.AutoRun.dui   28343  

La estadística de los programas maliciosos detectados en los equipos de los usuarios es, como de costumbre, estable: Kido y Sality siguen ocupando los primeros puestos.

En abril han aparecido cuatro novatos en la lista. En los puestos séptimo y undécimo hay dos modificaciones del exploit CVE-2010-0806, sobre el cual habíamos escrito en nuestro informe anterior y en los puestos decimocuarto y decimoctavo tenemos dos programas troyanos que, como se esclareció, también tienen relación directa con la vulnerabilidad CVE-2010-0806. Como regla, el exploit está cifrado o enmarañado y dividido en varias partes. En la ventana del navegador del usuario que abre la página infectada, las partes del exploit se cargan en determinado orden. La última en cargarse es la parte del código que descifra el exploit y lo ejecuta. Los dos nuevos troyanos son partes componentes de una de las modificaciones del exploit CVE-2010-0806.

Recordamos que esta vulnerabilidad de Internet Explorer se descubrió en marzo y los delincuentes empezaron a usar los exploits correspondientes después de que se publicara una descripción detallada de la misma. Ya en marzo el número de descargas únicas del exploit CVE-2010-0806 se acercaba a las 200.000. En abril, se desactivaron dos modificaciones de este mismo exploit en más de 110.000 ordenadores. Más adelante escribiremos con más detalle sobre la impetuosa propagación del exploit CVE-2010-0806.

Hacemos notar también que el virus Virut.ce, lento pero seguro, se está acercando a ser uno de los líderes que ocupan los cinco primeros puestos. En los últimos tres meses subió del décimo al sexto lugar y sólo durante abril fue neutralizado en más de 70.000 ordenadores.

Programas nocivos en Internet

La segunda tabla describe la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y también los programas maliciosos que trataron de descargarse a los ordenadores de los usuarios desde páginas web.

Posición Cambios en la posición Programma nocivo Número de tentativas de descarga
1   1 Exploit.JS.CVE-2010-0806.i   201152  
2   New Exploit.JS.Pdfka.cab   117529  
3   7 Exploit.JS.CVE-2010-0806.b   110665  
4   New not-a-virus:AdWare.Win32.FunWeb.q   99628  
5   New Trojan-Downloader.JS.Twetti.с   89596  
6   New Trojan-Downloader.JS.Iframe.bup   85973  
7   New Trojan.JS.Agent.bhl   76648  
8   Return Trojan-Clicker.JS.Agent.ma   76415  
9   New Trojan-Clicker.JS.Iframe.ev   74324  
10   New Exploit.JS.Pdfka.byp   69606  
11   -8 Trojan.JS.Redirector.l   68361  
12   New Trojan-Dropper.Win32.VB.amlh   60318  
13   New Exploit.JS.Pdfka.byq   60184  
14   -10 Trojan-Clicker.JS.Iframe.ea   57922  
15   -8 not-a-virus:AdWare.Win32.Boran.z   56660  
16   New Exploit.JS.CVE-2010-0806.e   53989  
17   -11 Trojan.JS.Agent.aui   52703  
18   0 not-a-virus:AdWare.Win32.Shopper.l   50252  
19   New Packed.Win32.Krap.gy   46489  
20   New Trojan.HTML.Fraud.am   42592  

El segundo TOP20 tiene la tradición de ser voluble e inestable.
El líder de los últimos dos meses, Gumblar.x, está ausente en el TOP20: su virulencia bajó de pronto. Como la vez pasada, la epidemia de Gumblar empezó de forma impetuosa y alcanzó su punto máximo en febrero, cuando se registraron más de 450.000 recursos web infectados por Gumblar, pero sufrió una caída súbita dos meses después. Es digno de cuidadosa atención el que esta conducta, típica de Gumblar.x, nos recuerda la situación sobre la cual ya escribimos en febrero. Por el momento no se sabe cuándo empezará la siguiente ola de la epidemia y ni siquiera si tendrá lugar, pero nosotros haremos un atento seguimiento de los sucesos.

La vertiginosa propagación del exploit CVE-2010-0806 este mes ha hecho que ocupe el primer lugar en el segundo TOP20. Como regla, los exploits CVE-2010-0806 descargan en el ordenador víctima pequeños programas descargadores que son representantes de familias como Trojan-Downloader.Win32.Small, Trojan-Dropper.Win32.Agent, Trojan.Win32.Inject, Trojan.Win32.Sasfis, etc. Estos troyanos, a su vez, descargan otros programas maliciosos en el ordenador infectado. Con más frecuencia descargaron diferentes modificaciones de Trojan-GameTheif.Win32.Magania, Trojan-GameTheif.Win32.WOW y Backdoor.Win32.Torr. Se puede suponer que en abril el principal blanco de los delincuentes que usaban el exploit CVE-2010-0806 fueron los datos confidenciales de los usuarios que poseían cuentas en juegos online populares. La cantidad total de intentos únicos de descarga de las tres modificaciones del exploit que ocupan los puestos 1, 3 y 16 fue de más de 350.000.

Entre los novatos que por vez primera aparecieron en la lista en abril hay tres exploits más (puestos 2, 10 y 13), que afectan a los productos Adobe Reader y Acrobat. Merece la pena destacar que las vulnerabilidades usadas por estos tres exploits PDF son relativamente antiguas y fueron detectadas en 2009. Los exploits son documentos PDF que contienen escenarios en el idioma Java Script. Los diferentes Troyan-Downloader descargados por el escenario también descargaban otros ejemplares maliciosos en el ordenador víctima. Entre los programas maliciosos descargados en los ordenadores infectados por el exploit Pdfka.cab (puesto 2) se detectaron modificaciones de la familia PSWTool.Win32.MailPassView. Los programas de esta familia se usan para robar logins y contraseñas de correo electrónico.

Packed.Win32.Krap.gy, que ocupa el puesto 19 en la estadística, al igual que la mayoría de lo representantes de la familia de los empaquetadores, sirve para ocultar antivirus falsos. Una de las fuentes de propagación de antivirus falsos es la página HTML detectada por Kaspersky Lab como Trojan.HTML.Fraud.am (puesto 20).

La cantidad de intentos únicos de descarga de Twetti.c (puesto 5) fue de 90.000. Por sus funcionalidades, este troyano no se diferencia en nada de su menos enmarañado predecesor, Twetti.a, sobre el cual escribimos en diciembre.

Según los resultados de abril, se evidencia una de las principales tendencias de estos últimos tiempos: los delincuentes usan activamente exploits cuyos códigos fuente gozan de gran difusión. En la mayoría de los casos el objetivo de estos ataques es el robo de los datos confidenciales de los usuarios. Los delincuentes informáticos tratan de obtener acceso a las cuentas de sistemas de correo, servicios de juegos online y diferentes sitios web. En abril la cantidad de estos intentos fue de cientos de miles. Los datos robados pueden después ser vendidos o usados para propagar programas maliciosos.

Países desde los cuales se detectó la mayor cantidad de intentos de infección mediante la web:

TOP-20 de programas maliciosos, abril de 2010

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada