Informes sobre malware

TOP20 de programas maliciosos, diciembre de 2009

Programas maliciosos detectados en los equipos de los usuarios

En la primera tabla se registran los programas maliciosos y potencialmente indeseables detectados y neutralizados por primera vez en los ordenadores de los usuarios.

 

Posición Cambios en la posición Programma nocivo Cantidad de equipos infectados
1 0 Net-Worm.Win32.Kido.ir 265622
2 0 Net-Worm.Win32.Kido.iq 211101
3 0 Net-Worm.Win32.Kido.ih 145364
4 0 Virus.Win32.Sality.aa 143166
5 0 Worm.Win32.FlyStudio.cu 101743
6 New not-a-virus:AdWare.Win32.GamezTar.a 63898
7 -1 not-a-virus:AdWare.Win32.Boran.z 61156
8 -1 Trojan-Downloader.Win32.VB.eql 61022
9 -1 Trojan-Downloader.WMA.GetCodec.s 56364
10 New Trojan.Win32.Swizzor.c 54811
11 New Trojan-GameThief.Win32.Magania.cpct 42676
12 -3 Virus.Win32.Virut.ce 45127
13 -3 Virus.Win32.Induc.a 37132
14 0 Trojan-Dropper.Win32.Flystud.yo 33614
15 3 Packed.Win32.Krap.ag 31544
16 -3 Packed.Win32.Black.a 31340
17 0 Worm.Win32.Mabezat.b 31020
18 -2 Packed.Win32.Klone.bj 28814
19 -7 Packed.Win32.Black.d 28560
20 -5 Worm.Win32.AutoRun.dui 28551

 

La primera tabla TOP20 muestra su ya tradicional estabilidad.
La aparición de tres novatos en los puestos 6, 10 y 11 provocó que parte de los demás programas se desplazaran levemente hacia abajo. La única excepción fue un programa aparecido hace un mes, Packed.Win32.Krap.ag que subió tres puestos. Recordamos que Krap.ag, del mismo modo que otros representantes de la familia Packed, es un empaquetar de programas maliciosos, en este caso, de un antivirus falso. El porcentaje absoluto de este programa malicioso también ha crecido un poco, lo cual es un indicio de la vigencia de los seudoantivirus y de la tenacidad de los delincuentes que los usan en sus malignos esquemas para obtener ganancias sustanciales.

En diciembre GamezTar.a es un novato notable, que ha logrado ocupar el sexto lugar en la estadística. Este programa se posiciona como un panel para navegadores populares que ofrece un acceso rápido a juegos online y que, por supuesto, se dedica a mostrar publicidad insistente. Pero además, instala varias aplicaciones cuyo funcionamiento no depende del panel y que se entrometen en diferentes aspectos de la vida online del usuario, cuando hace o visualiza búsquedas en Internet. Vale decir que todos estos componentes están descritos en el acuerdo de servicio (www.gameztar.com/terms.do), pero por lo general al usuario le resulta más atractivo pulsar un botón grande y titilante que pone “pulsa aquí, consigue juegos gratis” que el aburrido título “Condiciones de servicio” ubicado al final de la página. Por esta razón es que recomendamos leer estos acuerdos antes de descargar software.

En el décimo lugar tenemos a Trojan.Win32.Swizzor.c, pariente de Swizzor.b, que ya estuvo en el TOP20 de agosto y de Swizzor.a, que observamos en mayo. Los desarrolladores de este programa malicioso refinadamente enmarañado no han dejado de trabajar en nuevas versiones. La verdadera función de este troyano es muy simple. Se dedica a descargar otros programas maliciosos de Internet.

Programas maliciosos en Internet

La segunda tabla refleja la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y los que hicieron intentos de descargarse desde páginas web.

 

Posición Cambios en la posición Programma nocivo Número de tentativas de descarga
1 0 Trojan-Downloader.JS.Gumblar.x 445881
2 3 Trojan.JS.Redirector.l 178902
3 New not-a-virus:AdWare.Win32.GamezTar.a 165678
4 -2 Trojan-Downloader.HTML.IFrame.sz 134215
5 New Trojan-Clicker.JS.Iframe.db 128093
6 -2 not-a-virus:AdWare.Win32.Boran.z 109256
7 New Trojan.JS.Iframe.ez 91737
8 New Trojan.JS.Zapchast.bn 64756
9 New Packed.JS.Agent.bn 60361
10 New Packed.Win32.Krap.ai 43042
11 8 Packed.Win32.Krap.ag 41731
12 New Exploit.JS.Pdfka.asd 36044
13 New Trojan.JS.Agent.axe 35309
14 New Trojan-Downloader.JS.Shadraem.a 35187
15 Return Trojan.JS.Popupper.f 33745
16 New not-a-virus:AdWare.Win32.GamezTar.b 33266
17 New Trojan-Downloader.JS.Twetti.a 30368
18 New Trojan-Downloader.Win32.Lipler.iml 28634
19 New Trojan-Downloader.JS.Kazmet.d 28374
20 New Trojan.JS.Agent.axc 26198

 

En la segunda tabla, a diferencia de la primera, sólo un cuarto de los programas han conservado su posición, uno ha vuelto y el resto ha cambiado radicalmente.

Gumblar.x sigue siendo el líder. Los webmasters poco a poco han ido limpiando los sitios infectados y por eso la cantidad de intentos únicos en diciembre es una tercera parte menor que en noviembre.

Krap.ag, mencionado en la primera tabla, ha subido 8 posiciones en la segunda. En diciembre hubo el doble de intentos de descargarlo que en noviembre. Un puesto más arriba está Krap.ai, que es un empaquetador especial para seudoantivirus.

GamezTar.a también aparece en la segunda tabla, algo que es natural si se toman en cuenta sus funciones web y el hecho de que este programa está orientado a los juegos online. Además, en el puesto 16 encontramos otra modificación de este programa malicioso, Gamez.Tar.b.

Trojan-Clicker.JS.Iframe.db es un descargador iframe común y corriente, con un enmarañamiento muy sencillo.

Trojan.JS.Iframe.ez, Trojan.JS.Zapchast.bn, Packed.JS.Agent.bn, Trojan.JS.Agent.axe, Trojan-Downloader.JS.Shadraem.a, Trojan-Downloader.JS.Kazmet.d son scripts con diferentes grados de complejidad lógica y enmarañamiento, que usan las vulnerabilidades de los productos Adobe y Microsoft para descargar ficheros ejecutables.

Y al final tenemos al ejemplar más interesante de las actividades creativas de los delincuentes, Trojan-Downloader.JS.Twetti.a (lugar 17), que ha contagiado muchos sitios legítimos. El algoritmo de funcionamiento de este descargador merece que le prestemos especial atención. Después de descifrarlo, no encontramos ni un enlace a un fichero ejecutable, ni exploits, ni enlaces a exploits. Durante el análisis descubrimos que el script usa el API de la red social Twitter, que también es popular entre los delincuentes.

El troyano funciona según el siguiente esquema: se hace una solicitud al API cuyo resultado son datos de los “trends”, es decir, los temas más comentados en Twitter. De los datos obtenidos se forma un nombre de dominio seudoaleatorio que los delincuentes ya han registrado con tiempo, usando un algoritmo similar, al cual se conduce con disimulo. En este dominio se encuentra la parte maliciosa, ya sean exploits PDF o ficheros ejecutables. De esta manera, los enlaces maliciosos y la redirección hacia los mismos se hace en tiempo real, por medio de un intermediario que en este caso es Twitter.

Merece la pena mencionar que los programas maliciosos Packed.JS.Agent.bn y Trojan-Downloader.JS.Twetti.a usan un fichero PDF especial para infectar los equipos, el cual detectamos como Exploit.JS.Pdfka.asd y que también está en la lista TOP20, en el puesto 12. Es decir, se puede suponer que por lo menos tres populares programas maliciosos de diciembre pertenecen a un sólo grupo de delincuentes. Es más, entre los ficheros ejecutables que, como consecuencia de los ataques drive-by, se descargan en los equipos víctima, se ha registrado la presencia de las familias TDSS, Sinowal y Zbot, que son una de las amenazas más serias en este momento, lo que nos da mucho que pensar.

En resumen, podemos decir que las tendencias siguen siendo las mismas. Los ataques se hacen cada vez más refinados y difíciles de analizar, y su objetivo en la mayoría de los casos es lucrar de una u otra manera. Aumenta la seriedad de las amenazas virtuales, que en realidad son cada vez más reales. Por esto es que hoy la prioridad fundamental debe ser la seguridad propia.

TOP20 de programas maliciosos, diciembre de 2009

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada