Noticias

TOP20 de programas maliciosos, febrero de 2010

Programas maliciosos detectados en los equipos de los usuarios

En la primera tabla se registran los programas maliciosos y potencialmente indeseables detectados y neutralizados por primera vez en los ordenadores de los usuarios.

Posición Cambios en la posición Programma nocivo Cantidad de equipos infectados
1   0 Net-Worm.Win32.Kido.ir   274729  
2   1 Virus.Win32.Sality.aa   179218  
3   1 Net-Worm.Win32.Kido.ih   163467  
4   -2 Net-Worm.Win32.Kido.iq   121130  
5   0 Worm.Win32.FlyStudio.cu   85345  
6   3 Trojan-Downloader.Win32.VB.eql   56998  
7   New Exploit.JS.Aurora.a   49090  
8   9 Worm.Win32.AutoIt.tc   48418  
9   1 Virus.Win32.Virut.ce   47842  
10   4 Packed.Win32.Krap.l   47375  
11   -3 Trojan-Downloader.WMA.GetCodec.s   43295  
12   0 Virus.Win32.Induc.a   40257  
13   New not-a-virus:AdWare.Win32.RK.aw   39608  
14   -3 not-a-virus:AdWare.Win32.Boran.z   39404  
15   1 Worm.Win32.Mabezat.b   38905  
16   New Trojan.JS.Agent.bau   34842  
17   3 Packed.Win32.Black.a   32439  
18   1 Trojan-Dropper.Win32.Flystud.yo   32268  
19   Return Worm.Win32.AutoRun.dui   32077  
20   New not-a-virus:AdWare.Win32.FunWeb.q   30942  

A juzgar por la cantidad de infecciones, la epidemia de Kido se está extinguiendo, aunque muy despacio: los cinco primeros puestos siguen estando ocupados por los mismos programas maliciosos.

En el séptimo lugar tenemos a un curioso representante de los exploits (programas que se aprovechan de las vulnerabilidades de software) Exploit.JS.Aurora.a, al cual le prestaremos atención detallada en la sección “programas maliciosos en Internet”.

Además, en febrero hay dos programas AdWare novatos.
Un claro ejemplo de los programas publicitarios es FunWeb.q, que ocupa el vigésimo lugar en la estadística. Este programa es un panel para navegadores populares que le da al usuario un fácil acceso a los recursos de determinados sitios web, sobre todo los que tienen contenidos multimedia. Otra de sus características es que, para mostrar los anuncios, modifica las páginas que el usuario suele visitar.

El caso de not-a-virus: AdWare.Win32.RK.aw (puesto 13) es un poco más complejo. Esta es una aplicación Relevant Knowledge, que se difunde e instala junto con diferentes programas. En el contrato de servicio, se indica que este programa efectúa una recopilación automática de la información del usuario, haciendo un seguimiento de prácticamente todas sus actividades, sobre todo en Internet y las almacena en sus servidores. La empresa afirma que todos los datos recopilados se usarán exclusivamente para buenos fines (“ayudar a formar el futuro de Internet”) y que estarán bien protegidos. Al usuario le corresponde decidir si confía o no en estas palabras.

Programas maliciosos en Internet

La segunda tabla refleja la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y los que hicieron intentos de descargarse desde páginas web.

Posición Cambios en la posición Programma nocivo Número de tentativas de descarga
1   Return Trojan-Downloader.JS.Gumblar.x   453985  
2   -1 Trojan.JS.Redirector.l   346637  
3   New Trojan-Downloader.JS.Pegel.b   198348  
4   3 not-a-virus:AdWare.Win32.Boran.z   80185  
5   -2 Trojan-Downloader.JS.Zapchast.m   80121  
6   New Trojan-Clicker.JS.Iframe.ea   77067  
7   New Trojan.JS.Popupper.ap   77015  
8   3 Trojan.JS.Popupper.t   64506  
9   New Exploit.JS.Aurora.a   54102  
10   New Trojan.JS.Agent.aui   53415  
11   New Trojan-Downloader.JS.Pegel.l   51019  
12   New Trojan-Downloader.Java.Agent.an   47765  
13   New Trojan-Clicker.JS.Agent.ma   45525  
14   New Trojan-Downloader.Java.Agent.ab   42830  
15   New Trojan-Downloader.JS.Pegel.f   41526  
16   Return Packed.Win32.Krap.ai   38567  
17   New Trojan-Downloader.Win32.Lipler.axkd   38466  
18   New Exploit.JS.Agent.awd   35024  
19   New Trojan-Downloader.JS.Pegel.k   34665  
20   New Packed.Win32.Krap.an   33538  

En febrero, los programas maliciosos que andan por Internet han creado una situación muy interesante, que se ha reflejado en la segunda lista TOP20.

En primer lugar, Gumblar.x, cuya epidemia casi se había extinguido en enero, en febrero ha vuelto a acelerarse y a situarse como líder. Esto es un síntoma de que el nuevo ataque de Gumblar que habíamos descrito hace un mes no se hizo esperar demasiado. Sin embargo esta vez, a diferencia de la anterior, los delincuentes no han hecho ningún cambio fundamental, sino que más bien usaron nuevos datos de acceso a los sitios web de los usuarios para infectarlos en masa. No obstante, seguiremos muy atentamente el desarrollo de los acontecimientos y la evolución de los cambios.


En segundo lugar, la envergadura de la epidemia causada en enero por Pegel ha crecido prácticamente seis veces: en la tabla podemos observar que entre los novatos hay cuatro representantes de esta familia, uno de los cuales ocupa de súbito el tercer lugar. Este descargador, que tiene cierta similitud con Gumblar, también infecta los sitios web legítimos. Cuando el usuario visita una página infectada, un script incrustado en la misma lo remite al sitio de los delincuentes. Para reducir las probabilidades de que le surjan sospechas al usuario, los delincuentes usan nombres de sitios populares en las direcciones de las páginas, por ejemplo:

http://friendster-com.youjizz.com.jeuxvideo-com.**********.ru:8080/sify.com/sify.com/pdfdatabase.com/google.com/allegro.pl.php

http://avast-com.deviantart.com.dangdang-com.**********.ru:8080/wsj.com/wsj.com/google.com/nokia.com/aweber.com.php

En estos enlaces hay otro script que trata, de diferentes formas, de descargar el fichero ejecutable principal. Los trucos que intenta son, en su mayoría, tradicionales: explotación de vulnerabilidades en los populares programas Internet Explorer (CVE-2006-0003 y Adobe Reader (CVE-2007-5659, CVE-2006-0003, y también la descarga mediante un applet Java especial (una aplicación Java en forma de códigos).

Pero el principal fichero ejecutable sigue siendo el famoso Backdoor.Win32.Bredolab, empaquetado mediante diferentes empaquetadores maliciosos, algunos de los cuales se detectan como Packed.Win32.Krap.ar y Packed.Win32.Krap.ao. Hemos escrito con más detalles sobre este programa malicioso, pero merece la pena mencionar que, aparte de las funciones principales de control remoto del ordenador del usuario, también puede descargar otros ficheros maliciosos.

Y, finalmente, en el noveno puesto ha aparecido Exploit.JS.Aurora.a, que más arriba habíamos prometido analizar con más detalle. Auroa.a es el identikit que detecta el exploit de la vulnerabilidad CVE-2010-0249, descubierto después de un ataque masivo efectuado en enero contra varias versiones de Internet Explorer.

Este ataque, mencionado por todos los recursos dedicados a las tecnologías informáticas, estaba dirigido a varias grandes compañías (como Google y Adobe) y recibió el nombre de Aurora, por el nombre del directorio usado por uno de sus principales ficheros ejecutables. Su objetivo era obtener la información personal de los usuarios y también la propiedad intelectual de las compañías, por ejemplo, los códigos fuente de sus proyectos. Para realizar el ataque, se hicieron envíos masivos de mensajes electrónicos que contenía un enlace a una página maliciosa en la que había un exploit que descargaba el fichero ejecutable principal sin que el usuario se percatara.


Llama la atención que los empleados de Microsoft sabían de esta vulnerabilidad varios meses antes del ataque, pero la subsanaron solo unas semanas después del ataque. No hace falta decir que en el transcurso de este tiempo, el código del exploit se hizo público y sólo los delincuentes más perezosos no lo usaron en sus ataques: en nuestra colección ya hay más de cien diferentes variantes de utilización de esta vulnerabilidad.

Las conclusiones son evidentes. Como anteriormente, la principal amenaza para los usuarios son las vulnerabilidades en los productos de software más populares. Tomando en cuenta que los delincuentes tratan de usar en sus ataques las vulnerabilidades detectadas hace varios años, se puede llegar a la conclusión de que estas siguen estando vigentes. Por desgracia, incluso si se instalan todas las actualizaciones para los grandes paquetes de software, no se puede estar seguro de que el ordenador esté fuera de peligro, ya que los productores de este software no siempre publican a tiempo los parches para las vulnerabilidades detectadas. Por esta razón, al trabajar con el ordenador, sobre todo si se hace uso intensivo de Internet, hay que tener mucho cuidado y, por supuesto, usar un antivirus con las últimas actualizaciones.

TOP20 de programas maliciosos, febrero de 2010

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada