TOP 20 Online: los virus más difundidos según nuestro escáner en línea, abril de 2007

Posición	Cambios en la posición	Programa nocivo	Porcentaje
1.	Nuevo	Trojan-Proxy.Win32.Dlena.cb	3,23
2.	Nuevo	Packed.Win32.PolyCrypt.b	2,87
3.	Nuevo	Trojan-Spy.Win32.ProAgent.21	1,88
4.	-1	Email-Worm.Win32.Brontok.q	1,52
5.	Nuevo	not-a-virus:AdWare.Win32.Virtumonde.if	1,43
6.	+5	Trojan.Win32.Agent.qt	1,26
7.	Nuevo	Trojan-Downloader.Win32.INService.bl	1,17
8.	Nuevo	Virus.VBS.Small.a	1,17
9.	Retorno	Trojan-Clicker.Win32.Small.kj	1,08
10.	Nuevo	Trojan-Downloader.Win32.Small.dge	1,08
11.	Nuevo	Packed.Win32.Tibs.r	1,08
12.	Nuevo	IM-Worm.Win32.Sohanad.t	0,99
13.	Nuevo	Trojan-Downloader.Win32.Small.edb	0,99
14.	-8	Email-Worm.Win32.Rays	0,90
15.	-14	not-a-virus:Monitor.Win32.Perflogger.163	0,90
16.	Nuevo	not-a-virus:Porn-Dialer.Win32.GBDialer.i	0,81
17.	Nuevo	Trojan-Downloader.Win32.Small.ddx	0,81
18.	Nuevo	Email-Worm.Win32.Zhelatin.ch	0,72
19.	Nuevo	Trojan-PSW.Win32.OnLineGames.bs	0,63
20.	Retorno	Trojan.Win32.Obfuscated.ev	0,63
Otros programas nocivos			74,85

Pues bien, que cambie el líder de la estadística es algo absolutamente normal, pero nos sorprende el líder de este mes. Y no es que un proxy troyano sea algo extraordinario. Lo que nos desconcierta es otra cosa: Dlena.cb es miembro de una gran familia de troyanos (de cerca de 90 variantes) que conocemos desde hace más de un año. Todo este tiempo ninguno de los representantes de esta familia llegó a figurar en nuestros informes y ni siquiera los usuarios se quejaron de él. Podría parecer que estos troyanos casi no tienen propagación. Y de repente una de sus variantes acaba ocupando la cima de la lista de abril. Por lo general, si un programa nocivo se propaga de forma activa o amenaza convertirse en un constante “culebrón”, similar a Warezov, sus primeras muestras son bastante notables y logran ingresar a los informes mensuales. Pero en este caso a los autores les tomó un año y varias decenas de pruebas para que una de sus variantes cayese en nuestro campo de vista.

Dlena.cb no es nada del otro mundo, es un típico servidor proxy troyano que puede enviar spam. Hay muchos programas de este tipo actualmente, y la familia más renombrada era la Horst. Es posible que el novato se convierta en un serio problema en un futuro cercano.

Ha habido una reducción significante de los troyanos-espía. En la “lista de los veinte” de abril hay sólo uno, pero está en el tercer lugar. ProAgent es conocido desde hace muchos años. Es un keylogger que registra absolutamente todas las teclas pulsadas por el usuario. No es tan sofisticado como troyanos que roban sólo los datos de acceso a las cuentas bancarias, pero es bastante efectivo y goza de popularidad entre los script-kiddies.

Continúa su evolución el programa publicitario Virtumonde. Ya van varios meses que se encuentra en la “lista de los veinte”, porque sus autores no solo utilizaron tecnologías de rootkit para anclarlo en el sistema, sino que también utilizaron verdaderos programas troyanos para propagarlo. Por ejemplo, INService.bl, séptimo en el rating, además de otros ficheros, descarga precisamente Virtumonde.

No menos curioso es el virus de script Small.a, que ocupa el octavo lugar. Todo parecía indicar que el tiempo de semejantes virus ya había pasado y no volvería más. El último evento notable fue el virus Redlof, hace un par de años. Pero, como componente de otros programas nocivos, Small.a logró una notable difusión, sobre todo en Rusia.

De los demás participantes de la lista, mencionaremos también a IM-Worm.Win32.Sohanad.t y not-a-virus:Porn-Dialer.Win32.GBDialer.i.

El primero pertenece a una clase de gusanos que está progresando a grandes pasos. Se reproduce mediante los sistemas de mensajería instantánea y este es el primer gusano de este tipo que entra en nuestro informe. No excluimos la posibilidad de que en el futuro lo encontremos con mucha más frecuencia.

En cambio, en nuestra estadística los “marcadores-porno” (porno-dialers) ya tienen antecedentes. Además, hace muy poco los marcadores troyanos ocupaban casi la mitad de nuestra lista, y nos hacían pensar: ¿a qué se deberá este súbito aumento de actividad y no se convertirá en una tendencia estable? Los marcadores siguen presentes en la lista. Estamos ante una tendencia.

Y hacemos una reverencia más a los gusanos Rays y Brontok. Estos últimos años muy pocos programas nocivos han mostrado semejante vitalidad y capacidad de generar problemas Por suerte, estos gusanos se propagan muy poco por correo electrónico, prefiriendo infectar las redes locales mediante los recursos de red compartidos.

Resumen

• En la “Lista de los 20” han aparecido 14 nuevos programas maliciosos: Trojan-Proxy.Win32.Dlena.cb, Packed.Win32.PolyCrypt.b, Trojan-Spy.Win32.ProAgent.21, not-a-virus:AdWare.Win32.Virtumonde.if, Trojan-Downloader.Win32.INService.bl, Virus.VBS.Small.a, Trojan-Downloader.Win32.Small.dge, Packed.Win32.Tibs.r, IM-Worm.Win32.Sohanad.t, Trojan-Downloader.Win32.Small.edb, not-a-virus:Porn-Dialer.Win32.GBDialer.i, Trojan-Downloader.Win32.Small.ddx, Email-Worm.Win32.Zhelatin.ch, Trojan-PSW.Win32.OnLineGames.bs
• Han subido: Trojan.Win32.Agent.qt
• Han bajado: Email-Worm.Win32.Brontok.q, Email-Worm.Win32.Rays, not-a-virus:Monitor.Win32.Perflogger.163
• Han vuelto a la lista de los veinte: Trojan-Clicker.Win32.Small.kj, Trojan.Win32.Obfuscated.ev