Informes sobre malware

TOP 20: los virus más difundidos, octubre de 2006

Posición Cambios en la
posición
Nombre Porcentaje
1. RetornoRetorno Email-Worm.Win32.NetSky.q 13.14

2.
NuevoNuevo Email-Worm.Win32.Warezov.dn 11

3.
RetornoRetorno Email-Worm.Win32.Bagle.gen 10.43

4.
No Change Email-Worm.Win32.Scano.gen 7.97

5.
NuevoNuevo Email-Worm.Win32.Warezov.ev 6.32

6.
RetornoRetorno Email-Worm.Win32.Bagle.mail 4.04

7.
NuevoNuevo Email-Worm.Win32.Warezov.dc 3.65

8.
RetornoRetorno Email-Worm.Win32.Mydoom.l 2.89

9.
RetornoRetorno Email-Worm.Win32.Mydoom.m 2.74

10.
RetornoRetorno Email-Worm.Win32.Scano.e 2.46

11.
NuevoNuevo Email-Worm.Win32.Warezov.do 2.41

12.
RetornoRetorno Email-Worm.Win32.NetSky.aa 2.08

13.
Down-8 Email-Worm.Win32.NetSky.b 2.04

14.
Down-13 Net-Worm.Win32.Mytob.c 2.01

15.
Down-2 Trojan-Spy.HTML.Bankfraud.od 1.84

16.
NuevoNuevo Email-Worm.Win32.Warezov.eu 1.83

17.
NuevoNuevo Email-Worm.Win32.Warezov.gen 1.26

18.
RetornoRetorno Email-Worm.Win32.Bagle.dx 1.24

19.
NuevoNuevo Email-Worm.Win32.Warezov.dh 0.84

20.
Down-12 Email-Worm.Win32.Scano.aq 0.8

Otros programas maliciosos
19.01

Total de la familia de vius Warezov
27.31

Durante tres meses hemos venido observando la encarnizada lucha por el primer puesto entre Mytob.c y Nixem.e. Ambos gusanos se quitaban puntos el uno al otro de forma constante. Es difícil decir cuánto tiempo podría haberse prolongado semejante serie de ataques. Por supuesto, cualquier nueva gran epidemia podría cambiarlo todo, pero en 2006 ya casi hemos olvidado la plaga de Internet en los años pasados, es decir, a los gusanos postales. Mucha más actividad muestran los programas troyanos comunes o los gusanos de red que usan las vulnerabilidades de Windows para reproducirse, incluyendo la MS06-040, descubierta hace poco.

Pero en octubre todo cambió en un instante. Estalló el gusano Warezov y cambió de forma tan cardinal nuestra estadística que de los 20 programas maliciosos de septiembre sólo quedaron en ella cinco. Warezov fue el dolor de cabeza de las compañías antivirus de todo el mundo durante todo octubre. Alcanzó el pico de su actividad a fines de mes, cuando cada día aparecían 20 nuevas variantes. Esto nos obligó a modernizar nuestro sistema de recolección de información estadística, lo que a su vez también influyó en la distribución de los puestos en la estadística de octubre. Ahora, la estadística también incluye los datos del nuevo servicio de Kaspersky Lab: Hosted Security.

La “locura de octubre” de Warezov condujo a que ciertos representantes de esta familia ocupen, al mismo tiempo, 7 lugares en la estadística. En toda la historia de nuestras observaciones, el único que tuvo un debut semejante fue Mytob. El porcentaje acumulado de todas las modificaciones de Warezov es de más del 27%. Si consideráramos la propagación no por variantes, sino por familias, Warezov sería el líder absoluto de octubre. El segundo puesto está ocupado por Warezov.dn, que está sólo dos puntos por debajo del líder de 2004, NetSky.q. Éste último ha vuelto a la cima del hit-parade, pero por el momento es difícil decir si es una tendencia o un brote aislado, como tantos que hemos observado en el pasado.

Warezov, por una serie de características, nos recuerda al famoso gusano Bagle. A pesar de que Warezov está basado en el código de Mydoom.a, y Bagle es un programa original, escrito por un grupo desconocido de autores de virus, tendemos a considerar que estos gusanos son “parientes”. En primer lugar, es muy parecido el método de organización de la epidemia: envíos masivos de muchas diferentes variantes en un periodo reducido de tiempo, con diferenciación según la zona geográfica (en Rusia se enviaban determinadas variantes del gusano, en Europa, otras). En segundo lugar, sus funciones: son capaces de instalar en el equipo otros programas descargados de los sitios troyanos y de recoger las direcciones de correo electrónico para luego enviárselas a los delincuentes. Bagle fue el primero en utilizar tecnologías virales para enriquecer las bases de datos de los spammers. Warezov actúa de la misma forma. En tercer lugar, la aparición de Warezov y el cese de la salida de nuevas variantes de Bagle coinciden en el tiempo, con diferencia de una semana. Es difícil suponer que los autores de Bagle, de pronto, hayan abandonado su negocio, para que otros lo continúen. Lo más probable es que ambos gusanos hayan sido creados por el mismo grupo. En cuarto lugar, Bagle ejerció una gran influencia en la industria antivirus en su conjunto, ya que hizo que las compañías antivirus desarrollen nuevas formas de protección. Warezov ha puesto ante nosotros una nueva y muy compleja tarea: la lucha contra el código ofuscado (innecesariamente complejo, ver ), y también la de elevar nuestra velocidad de reacción a un nivel si precedentes.

Por lo demás, Bagle no ha desaparecido del tráfico postal. No siguen apareciendo nuevas versiones, pero las antiguas continúan existiendo y propagándose activamente. Los lugares 3, 6 y 18 son un claro ejemplo de lo dicho.

Hubo un gusano más que, a su tiempo, planteó la lucha contra el código ofuscado: Scano. El motor de script polimórfico de este gusano fue derrotado por nuestros analistas hace varios meses, pero las dimensiones de la propagación de Scano siguen siendo grandes. Es curioso que Scano.gen siga ocupando el cuarto lugar, igual que en septiembre, a pesar de los cambios cardinales de nuestro sistema de cómputo de la estadística.

El liderazgo de Warezov, Bagle y Scano, triste de por sí, se complica por el hecho de que, en nuestra opinión, todos estos gusanos son de origen “cirílico”, es decir, han sido creados en Rusia o en otros países de la ex URSS.

El ataque de phishing de Bankfraud.od sigue siendo el más extendido en octubre. En septiembre ha bajado sólo un puesto y en octubre dos, no obstante el phishing en el tráfico postal sigue subiendo. Planeamos, proximamente, publicar una estadística aparte de los ataques phishing.


Los demás programas maliciosos presentes en el tráfico postal ocuparon un significante (19,1%) lugar, lo que evidencia que existe una gran cantidad de gusanos y troyanos que pertenecen a otras familias.

Resumen:

En la lista de los 20 han aparecido 7 nuevos programas maliciosos: Warezov.dn, Warezov,ev, Warezov.do, Warezov.eu, Warezov.gen, Warezov.dh


Han bajado: NetSky.b, Mytob.c, Bankfraud.od, Scano.aq


Han vuelto a la lista: NetSky.q, Bagle.gen, Bagle.mail, Mydoom.l, Mydoom.m, Scano.e, NetSky.aa, Bagle.dx

TOP 20: los virus más difundidos, octubre de 2006

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada