Kaspersky Lab presenta el TOP 20 de programas maliciosos detectados en marzo.
Programas maliciosos detectados en los equipos de los usuarios
En la primera tabla se registran los programas maliciosos y potencialmente indeseables detectados y neutralizados por primera vez en los ordenadores de los usuarios.
Posición | Cambios en la posición | Programma nocivo | Cantidad de equipos infectados |
1 | 0 | Net-Worm.Win32.Kido.ir | 332833 |
2 | 0 | Virus.Win32.Sality.aa | 211229 |
3 | 0 | Net-Worm.Win32.Kido.ih | 186685 |
4 | 0 | Net-Worm.Win32.Kido.iq | 181825 |
5 | 0 | Worm.Win32.FlyStudio.cu | 121027 |
6 | 0 | Trojan-Downloader.Win32.VB.eql | 68580 |
7 | New | Trojan.Win32.AutoRun.abj | 66331 |
8 | 1 | Virus.Win32.Virut.ce | 61003 |
9 | 1 | Packed.Win32.Krap.l | 55823 |
10 | -2 | Worm.Win32.AutoIt.tc | 55065 |
11 | 4 | Worm.Win32.Mabezat.b | 49521 |
12 | -5 | Exploit.JS.Aurora.a | 43776 |
13 | New | Packed.Win32.Krap.as | 40912 |
14 | New | Trojan.Win32.AutoRun.aay | 40754 |
15 | 3 | Trojan-Dropper.Win32.Flystud.yo | 40190 |
16 | -4 | Virus.Win32.Induc.a | 38683 |
17 | -4 | not-a-virus:AdWare.Win32.RK.aw | 38547 |
18 | New | Trojan.Win32.AutoRun.abd | 37037 |
19 | -5 | not-a-virus:AdWare.Win32.Boran.z | 36996 |
20 | 0 | not-a-virus:AdWare.Win32.FunWeb.q | 34177 |
En marzo ha habido cambios poco significantes en la primera tabla.
Entre los cambios notables está la aparición de tres versiones del troyano Autorun. Al igual que hace dos meses, son ficheros autorun.inf, que mediante medios extraíbles propaga P2P-Worm.Win32.Palevo y Trojan-GameThief.Win32.Magania.
Una vez más, como siempre, vemos que en la tabla hay un nuevo representante de la conducta Packed. En este caso bajo el nombre de Packed.Win32.Krap.as (puesto 13) se ocultan antivirus falsos. El uso que hacen los delincuentes de programas especialmente diseñados para comprimir ficheros ejecutables es una tendencia generalizada estos últimos tiempos. Con regularidad se crean nuevos métodos usados para empaquetar y ocultar de los ojos de los investigadores las funciones reales de los programas maliciosos más populares, lo que se confirma porque cada mes hay nuevas modificaciones de la familia Krap y otras en la lista TOP20.
Programas maliciosos en Internet
La segunda tabla refleja la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y los que hicieron intentos de descargarse desde páginas web.
Posición | Cambios en la posición | Programma nocivo | Número de tentativas de descarga |
1 | 0 | Trojan-Downloader.JS.Gumblar.x | 178965 |
2 | New | Exploit.JS.CVE-2010-0806.i | 148721 |
3 | -1 | Trojan.JS.Redirector.l | 126277 |
4 | 2 | Trojan-Clicker.JS.Iframe.ea | 102226 |
5 | 4 | Exploit.JS.Aurora.a | 88196 |
6 | 4 | Trojan.JS.Agent.aui | 80654 |
7 | -3 | not-a-virus:AdWare.Win32.Boran.z | 75911 |
8 | New | Trojan.HTML.Fraud.aj | 68809 |
9 | New | Packed.Win32.Krap.as | 64329 |
10 | New | Exploit.JS.CVE-2010-0806.b | 50763 |
11 | New | Trojan.JS.FakeUpdate.ab | 49412 |
12 | New | Trojan.HTML.Fraud.aq | 48927 |
13 | 3 | Packed.Win32.Krap.ai | 47601 |
14 | Return | Trojan-Downloader.JS.Twetti.a | 46858 |
15 | New | Exploit.JS.Pdfka.bub | 45762 |
16 | New | Trojan-Downloader.JS.Iframe.byo | 44848 |
17 | New | Trojan.JS.FakeUpdate.aa | 42352 |
18 | Return | not-a-virus:AdWare.Win32.Shopper.l | 41888 |
19 | New | Trojan-Clicker.HTML.IFrame.fh | 38266 |
20 | New | Packed.Win32.Krap.ao | 36123 |
Hay cosas interesantes que contar sobre los programas maliciosos en Internet.
Empezaremos por la nueva vulnerabilidad CVE-2010-0806 de Internet Explorer, cuyo exploit se difundió con gran celeridad después de que se publicase una descripción demasiado detallada de la vulnerabilidad. Ahora, sólo los delincuentes más perezosos no usan este exploit en sus ataques: en el TOP20 observamos dos de sus variantes, – Exploit.JS.CVE-2010-0806.i (2) y Exploit.JS.CVE-2010-0806.b (10).
La nueva ola de la epidemia de Gumblar está marchando a todo vapor. Además de la antigua versión del descargador, que se detecta como Gumblar.x y ocupa el primer lugar de la tabla, ha aparecido una nueva versión, que se detecta como HEUR:Trojan-Downloader.Script.Generic.
El exploit Aurora.a, sobre el cual ya hemos escrito en febrero, sigue siendo usado por los delincuentes, lo que se confirma por su subida del quinto al noveno puesto.
El curioso descargador Twetti.a (puesto 14 en la estadística), sobre el cual ya hablamos en diciembre, de nuevo ha vuelto a la estadística después de dos meses de ausencia. De igual modo que con Gumblar, los delincuentes se han tomado un breve descanso para después empezar de nuevo a provocar infecciones con este programa malicioso en una gran cantidad de recursos web.
Exploit.JS.Pdfka.bub (puesto15) también tuvo sus razones para ingresar al TOP20: este pdf malicioso es un componente de un ataque drive-by, cuyo punto de inicio está en Twetti.a.
En la tabla también están presentes cuatro nuevos representantes de páginas web prefabricadas desde las cuales se propagan antivirus falsos y programas extorsionadores: Trojan.HTML.Fraud.aj, Trojan.JS.FakeUpdate.ab, Trojan.HTML.Fraud.aq y Trojan.JS.FakeUpdate.aa.
Países donde se ha detectado la mayor cantidad de intentos de infección por medio de páginas web:
Los resultados de este mes son idénticos a los del anterior: entre los ataques a los usuarios predominan los ataques a través de las web que utilizan las vulnerabilidades del software popular. Por suerte, con frecuencia los productores eliminan las vulnerabilidades con gran rapidez. Pero por desgracia, son pocos los usuarios que instalan los parches a su debido tiempo. Últimamente va en crecimiento la cantidad de programas maliciosos que se aprovechan de la inocencia y falta de experiencia del usuario para realizar sus ataques. En marzo, entre estos programas, los más usados por los delincuentes son los falsos antivirus y los programas extorsionadores.
TOP20 de programas maliciosos, marzo de 2010