Informes sobre malware

TOP 20 Online: los virus más difundidos según nuestro escáner en línea, abril de 2007

Posición Cambios en la posición Programa nocivo Porcentaje
1. New!
Nuevo

Trojan-Proxy.Win32.Dlena.cb

3,23
2. New!
Nuevo

Packed.Win32.PolyCrypt.b

2,87
3. New!
Nuevo

Trojan-Spy.Win32.ProAgent.21

1,88
4. Down
-1

Email-Worm.Win32.Brontok.q

1,52
5. New!
Nuevo

not-a-virus:AdWare.Win32.Virtumonde.if

1,43
6. Up
+5

Trojan.Win32.Agent.qt

1,26
7. New!
Nuevo

Trojan-Downloader.Win32.INService.bl

1,17
8. New!
Nuevo

Virus.VBS.Small.a

1,17
9. Return
Retorno

Trojan-Clicker.Win32.Small.kj

1,08
10. New!
Nuevo

Trojan-Downloader.Win32.Small.dge

1,08
11. New!
Nuevo

Packed.Win32.Tibs.r

1,08
12. New!
Nuevo

IM-Worm.Win32.Sohanad.t

0,99
13. New!
Nuevo

Trojan-Downloader.Win32.Small.edb

0,99
14. Down
-8

Email-Worm.Win32.Rays

0,90
15. Down
-14

not-a-virus:Monitor.Win32.Perflogger.163

0,90
16. New!
Nuevo

not-a-virus:Porn-Dialer.Win32.GBDialer.i

0,81
17. New!
Nuevo

Trojan-Downloader.Win32.Small.ddx

0,81
18. New!
Nuevo

Email-Worm.Win32.Zhelatin.ch

0,72
19. New!
Nuevo

Trojan-PSW.Win32.OnLineGames.bs

0,63
20.

Return
Retorno

Trojan.Win32.Obfuscated.ev

0,63
Otros programas nocivos 74,85

Pues bien, que cambie el líder de la estadística es algo absolutamente normal, pero nos sorprende el líder de este mes. Y no es que un proxy troyano sea algo extraordinario. Lo que nos desconcierta es otra cosa: Dlena.cb es miembro de una gran familia de troyanos (de cerca de 90 variantes) que conocemos desde hace más de un año. Todo este tiempo ninguno de los representantes de esta familia llegó a figurar en nuestros informes y ni siquiera los usuarios se quejaron de él. Podría parecer que estos troyanos casi no tienen propagación. Y de repente una de sus variantes acaba ocupando la cima de la lista de abril. Por lo general, si un programa nocivo se propaga de forma activa o amenaza convertirse en un constante “culebrón”, similar a Warezov, sus primeras muestras son bastante notables y logran ingresar a los informes mensuales. Pero en este caso a los autores les tomó un año y varias decenas de pruebas para que una de sus variantes cayese en nuestro campo de vista.

Dlena.cb no es nada del otro mundo, es un típico servidor proxy troyano que puede enviar spam. Hay muchos programas de este tipo actualmente, y la familia más renombrada era la Horst. Es posible que el novato se convierta en un serio problema en un futuro cercano.

Ha habido una reducción significante de los troyanos-espía. En la “lista de los veinte” de abril hay sólo uno, pero está en el tercer lugar. ProAgent es conocido desde hace muchos años. Es un keylogger que registra absolutamente todas las teclas pulsadas por el usuario. No es tan sofisticado como troyanos que roban sólo los datos de acceso a las cuentas bancarias, pero es bastante efectivo y goza de popularidad entre los script-kiddies.

Continúa su evolución el programa publicitario Virtumonde. Ya van varios meses que se encuentra en la “lista de los veinte”, porque sus autores no solo utilizaron tecnologías de rootkit para anclarlo en el sistema, sino que también utilizaron verdaderos programas troyanos para propagarlo. Por ejemplo, INService.bl, séptimo en el rating, además de otros ficheros, descarga precisamente Virtumonde.

No menos curioso es el virus de script Small.a, que ocupa el octavo lugar. Todo parecía indicar que el tiempo de semejantes virus ya había pasado y no volvería más. El último evento notable fue el virus Redlof, hace un par de años. Pero, como componente de otros programas nocivos, Small.a logró una notable difusión, sobre todo en Rusia.

De los demás participantes de la lista, mencionaremos también a IM-Worm.Win32.Sohanad.t y not-a-virus:Porn-Dialer.Win32.GBDialer.i.

El primero pertenece a una clase de gusanos que está progresando a grandes pasos. Se reproduce mediante los sistemas de mensajería instantánea y este es el primer gusano de este tipo que entra en nuestro informe. No excluimos la posibilidad de que en el futuro lo encontremos con mucha más frecuencia.

En cambio, en nuestra estadística los “marcadores-porno” (porno-dialers) ya tienen antecedentes. Además, hace muy poco los marcadores troyanos ocupaban casi la mitad de nuestra lista, y nos hacían pensar: ¿a qué se deberá este súbito aumento de actividad y no se convertirá en una tendencia estable? Los marcadores siguen presentes en la lista. Estamos ante una tendencia.

Y hacemos una reverencia más a los gusanos Rays y Brontok. Estos últimos años muy pocos programas nocivos han mostrado semejante vitalidad y capacidad de generar problemas Por suerte, estos gusanos se propagan muy poco por correo electrónico, prefiriendo infectar las redes locales mediante los recursos de red compartidos.

Resumen

  • En la “Lista de los 20” han aparecido 14 nuevos programas maliciosos: Trojan-Proxy.Win32.Dlena.cb, Packed.Win32.PolyCrypt.b, Trojan-Spy.Win32.ProAgent.21, not-a-virus:AdWare.Win32.Virtumonde.if, Trojan-Downloader.Win32.INService.bl, Virus.VBS.Small.a, Trojan-Downloader.Win32.Small.dge, Packed.Win32.Tibs.r, IM-Worm.Win32.Sohanad.t, Trojan-Downloader.Win32.Small.edb, not-a-virus:Porn-Dialer.Win32.GBDialer.i, Trojan-Downloader.Win32.Small.ddx, Email-Worm.Win32.Zhelatin.ch, Trojan-PSW.Win32.OnLineGames.bs
  • Han subido: Trojan.Win32.Agent.qt
  • Han bajado: Email-Worm.Win32.Brontok.q, Email-Worm.Win32.Rays, not-a-virus:Monitor.Win32.Perflogger.163
  • Han vuelto a la lista de los veinte: Trojan-Clicker.Win32.Small.kj, Trojan.Win32.Obfuscated.ev

TOP 20 Online: los virus más difundidos según nuestro escáner en línea, abril de 2007

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada