Kaspersky Lab presenta el TOP 20 de programas maliciosos detectados en junio.
Programas maliciosos detectados en los ordenadores de los usuarios
En la primera tabla se exponen los programas maliciosos y potencialmente indeseables detectados y neutralizados por primera vez en los ordenadores de los usuarios.
Posición | Cambios en la posición | Programa malicioso | Cantidad de equipos infectados |
1 | 0 | Net-Worm.Win32.Kido.ir | 304259 |
2 | 0 | Virus.Win32.Sality.aa | 193081 |
3 | 0 | Net-Worm.Win32.Kido.ih | 175811 |
4 | 0 | Net-Worm.Win32.Kido.iq | 141243 |
5 | new | Exploit.JS.Agent.bab | 134868 |
6 | -1 | Trojan.JS.Agent.bhr | 130424 |
7 | -1 | Worm.Win32.FlyStudio.cu | 102143 |
8 | -1 | Virus.Win32.Virut.ce | 69078 |
9 | -1 | Trojan-Downloader.Win32.VB.eql | 57578 |
10 | -1 | Worm.Win32.Mabezat.b | 47548 |
11 | new | P2P-Worm.Win32.Palevo.fuc | 44130 |
12 | -2 | Trojan-Dropper.Win32.Flystud.yo | 40081 |
13 | new | Worm.Win32.VBNA.b | 33235 |
14 | 0 | Trojan.Win32.Autoit.ci | 32214 |
15 | 2 | Trojan-Downloader.Win32.Geral.cnh | 31525 |
16 | -5 | Worm.Win32.AutoIt.tc | 30585 |
17 | -5 | Packed.Win32.Krap.l | 29149 |
18 | new | Trojan.Win32.AutoRun.aje | 25890 |
19 | return | Email-Worm.Win32.Brontok.q | 25183 |
20 | new | Trojan.Win32.Autorun.ke | 24809 |
Los primeros diez puestos en la estadística de programas maliciosos neutralizados en los equipos de los usuarios casi no ha cambiado. Kido y el virus Sality, como de costumbre, siguen ocupando los primeros cuatro puestos. El único cambio ocurrido en comparación con mayo es la aparición en el quinto lugar de un nuevo exploit, Agent.bab, que hizo bajar una posición a los seis siguientes programas maliciosos. Más abajo escribiremos con detalle sobre Exploit.JS.Agent.bab.
La nueva modificación del popular P2P-Worm.Palevo ha ocupado el puesto 11 en la tabla. Palevo.fuc se dedica a la caza de la información confidencial que el usuario ingresa en la ventana del navegador. Uno de los principales medios de propagación de este gusano es el uso de programas de intercambio de ficheros P2P. He aquí una breve lista de los programas usados por el programa: BearShare, iMesh, Shareaza, eMule, etc. El gusano se copia muchas veces a sí mismo en los directorios destinados a guardar los ficheros descargados y los que otros usuarios pueden descargar, les da a sus copias nombres llamativos que atraigann la atención, con la esperanza de despertar el interés de las víctimas potenciales. La repetida creación de copias en los directorios de red y de acceso público, el envío de vínculos de descarga a través de mensajeros instantáneos, la infección de múltiples medios extraíbles mediante Trojan.Win32.Autorun, todos estos son los medios de propagación de P2P-Worm.Win32.Palevo.fuc.
Los dos nuevos representantes de Trojan.Win32.Autorun, que ocupan los puestos 18 y 20 infectaron por lo menos 50.000 medios extraíbles. Ambos programas nocivos son ficheros autorun.inf, que lanzan el gusano ubicado en el medio infectado cuando se lo conecta al equipo.
Y para terminar, tenemos a Worm.Win32.VBNA.b (puesto 13). Es un programa escrito en Visual Basic y que pertenece a la categoría de empacadores maliciosos.
Programas nocivos en Internet
La segunda tabla describe la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y también los programas maliciosos que trataron de descargarse a los ordenadores de los usuarios desde páginas web.
Posición | Cambios en la posición | Programa malicioso | Cantidad de equipos infectados |
1 | 0 | Trojan-Clicker.JS.Iframe.bb | 490331 |
2 | new | Exploit.JS.Agent.bab | 341085 |
3 | return | Trojan-Downloader.JS.Pegel.b | 220359 |
4 | -2 | Exploit.Java.CVE-2010-0886.a | 214968 |
5 | 0 | Trojan.JS.Agent.bhr | 77837 |
6 | new | Exploit.JS.Pdfka.clk | 74592 |
7 | 0 | not-a-virus:AdWare.Win32.FunWeb.q | 65550 |
8 | new | Exploit.JS.Pdfka.ckp | 59680 |
9 | new | Worm.Win32.VBNA.b | 57442 |
10 | 1 | Trojan-Clicker.JS.Agent.ma | 54728 |
11 | new | Hoax.HTML.FakeAntivirus.f | 50651 |
12 | new | not-a-virus:AdWare.Win32.FunWeb.ds | 49720 |
13 | -5 | Exploit.JS.CVE-2010-0806.i | 48089 |
14 | new | Exploit.JS.Pdfka.clm | 45489 |
15 | 0 | not-a-virus:AdWare.Win32.Shopper.l | 44913 |
16 | 0 | Trojan.JS.Redirector.l | 43787 |
17 | -8 | Exploit.JS.CVE-2010-0806.b | 39143 |
18 | new | Trojan.JS.Agent.bky | 36481 |
19 | new | Trojan.JS.Fraud.af | 35410 |
20 | -17 | Trojan.JS.Redirector.cq | 35375 |
A pesar de los significativos cambios en la tabla, cinco de sus participantes, incluyendo el líder, han conservado sus posiciones.
El inesperado retorno de Trojan-Downloader.JS.Pegel.b, que ocupa el tercer puesto en la estadística, es similar a la situación causada por Trojan-Downloader.JS.Gumblar.x en abril. La última vez que se detectó un alto grado de actividad de Pegel fue en febrero de 2010, cuando al mismo tiempo, seis representantes de Pegel, encabezados por la modificación Pegel.b, se situaron en la lista TOP20 de programas maliciosos en Internet. Junto con Pegel.b se utilizaron diferentes exploits PDF y el exploit Java CVE-2010-0886, sobre el cual escribimos el mes pasado. Además de los cargadores de scripts Pegel y Gumblar existen scripts muy simples, pero bastante difundidos que los delincuentes usan para infectar sitios legítimos. Uno de ellos es Trojan.JS.Agent.bky (puesto 18). El tamaño medio de su código es de 0x3B ó 29 caracteres. Su única tarea es descargar el código malicioso principal desde una URL específica.
El “nuevo” viejo exploit Agent.bab ha resultado en el segundo lugar de la estadística, porque fue detectado 340.000 veces. El programa malicioso usa una vieja vulnerabilidad, denominada CVE-2010-0806, que descarga diferentes programas maliciosos al ordenador de la víctima.
Con estas acciones se repite el escenario que ya conocemos: primero, se descargan Trojan-Downloaader.Win32.Geral y Rootkit.Win32.Agent, Backdoor.Win32.Hupigon y después Trojan-GameTheif.Win32.Maganiz, Trojan-GameTheif.Win32.WOW, etc.
En la tabla hay tres modificaciones más de Exploit.JS.Pdfka (puestos 6, 8 y 14). Al parecer, los programas maliciosos de esta familia nunca abandonarán nuestra estadística y la publicación de parches para los productos de la compañía Adobe serán seguidas por la aparición de nuevas variantes de este exploit. Cada una de las tres modificaciones descargaba diferentes programas maliciosos, que no formaban ningún grupo determinado.
Últimamente se puede encontrar con frecuencia páginas web donde se notifica al usuario que su equipo tiene un montón de diferentes programas maliciosos y se ofrece eliminarlos. La ventana del navegador se torna muy parecida a la ventana “Mi PC”, donde a toda velocidad transcurre un análisis antivirus. Al terminar el “análisis”, cualquier pulsación del ratón que haga el usuario, incluso si quiere cerrar la página, hace que se descargue un “antivirus”, que en la mayoría de los casos es un representante de Trojan-Ransom o un verdadero Trojan.Win32.FraudPack. Son precisamente estas páginas la que Kaspersky Lab denomina Hoax.HTML.FakeAntivirus.f y Trojan.JS.Fraud.af.
El software potencialmente peligroso también está presente en nuestra estadística. La prueba es que en el puesto 12 ha aparecido una nueva modificación de AdWare.Win32.FunWeb.ds. El objetivo de este programa es recopilar información sobre las solicitudes de búsqueda ingresadas por el usuario. La mayor parte de los casos estos datos los utilizan los sistemas de banners, que muestran ventanas emergentes durante la navegación por la web.
Los datos confidenciales son bocados apetecidos por la mayoría de los estafadores. Y al perfeccionar las diferentes tecnologías de empaquetamiento de software malicioso, sus métodos de propagación, detectar nuevas vulnerabilidades, y usar formas cada vez más refinadas de phishing e ingeniería social, los escritores de virus tratan de que el bocado sea más grande. Y a pesar de que las compañías antivirus siempre están alertas, los usuarios también tienen que tener cuidado. Hasta lo que buscamos cada día en Internet puede darle pistas a un desconocido sobre quién somos y qué tenemos.
TOP20 de programas maliciosos, junio de 2010