Noticias

TOP20 de programas maliciosos, marzo de 2010

Kaspersky Lab presenta el TOP 20 de programas maliciosos detectados en marzo.

Programas maliciosos detectados en los equipos de los usuarios

En la primera tabla se registran los programas maliciosos y potencialmente indeseables detectados y neutralizados por primera vez en los ordenadores de los usuarios.

Posición Cambios en la posición Programma nocivo Cantidad de equipos infectados
1   0 Net-Worm.Win32.Kido.ir   332833  
2   0 Virus.Win32.Sality.aa   211229  
3   0 Net-Worm.Win32.Kido.ih   186685  
4   0 Net-Worm.Win32.Kido.iq   181825  
5   0 Worm.Win32.FlyStudio.cu   121027  
6   0 Trojan-Downloader.Win32.VB.eql   68580  
7   New Trojan.Win32.AutoRun.abj   66331  
8   1 Virus.Win32.Virut.ce   61003  
9   1 Packed.Win32.Krap.l   55823  
10   -2 Worm.Win32.AutoIt.tc   55065  
11   4 Worm.Win32.Mabezat.b   49521  
12   -5 Exploit.JS.Aurora.a   43776  
13   New Packed.Win32.Krap.as   40912  
14   New Trojan.Win32.AutoRun.aay   40754  
15   3 Trojan-Dropper.Win32.Flystud.yo   40190  
16   -4 Virus.Win32.Induc.a   38683  
17   -4 not-a-virus:AdWare.Win32.RK.aw   38547  
18   New Trojan.Win32.AutoRun.abd   37037  
19   -5 not-a-virus:AdWare.Win32.Boran.z   36996  
20   0 not-a-virus:AdWare.Win32.FunWeb.q   34177  

En marzo ha habido cambios poco significantes en la primera tabla.

Entre los cambios notables está la aparición de tres versiones del troyano Autorun. Al igual que hace dos meses, son ficheros autorun.inf, que mediante medios extraíbles propaga P2P-Worm.Win32.Palevo y Trojan-GameThief.Win32.Magania.

Una vez más, como siempre, vemos que en la tabla hay un nuevo representante de la conducta Packed. En este caso bajo el nombre de Packed.Win32.Krap.as (puesto 13) se ocultan antivirus falsos. El uso que hacen los delincuentes de programas especialmente diseñados para comprimir ficheros ejecutables es una tendencia generalizada estos últimos tiempos. Con regularidad se crean nuevos métodos usados para empaquetar y ocultar de los ojos de los investigadores las funciones reales de los programas maliciosos más populares, lo que se confirma porque cada mes hay nuevas modificaciones de la familia Krap y otras en la lista TOP20.

Programas maliciosos en Internet

La segunda tabla refleja la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y los que hicieron intentos de descargarse desde páginas web.

Posición Cambios en la posición Programma nocivo Número de tentativas de descarga
1   0 Trojan-Downloader.JS.Gumblar.x   178965  
2   New Exploit.JS.CVE-2010-0806.i   148721  
3   -1 Trojan.JS.Redirector.l   126277  
4   2 Trojan-Clicker.JS.Iframe.ea   102226  
5   4 Exploit.JS.Aurora.a   88196  
6   4 Trojan.JS.Agent.aui   80654  
7   -3 not-a-virus:AdWare.Win32.Boran.z   75911  
8   New Trojan.HTML.Fraud.aj   68809  
9   New Packed.Win32.Krap.as   64329  
10   New Exploit.JS.CVE-2010-0806.b   50763  
11   New Trojan.JS.FakeUpdate.ab   49412  
12   New Trojan.HTML.Fraud.aq   48927  
13   3 Packed.Win32.Krap.ai   47601  
14   Return Trojan-Downloader.JS.Twetti.a   46858  
15   New Exploit.JS.Pdfka.bub   45762  
16   New Trojan-Downloader.JS.Iframe.byo   44848  
17   New Trojan.JS.FakeUpdate.aa   42352  
18   Return not-a-virus:AdWare.Win32.Shopper.l   41888  
19   New Trojan-Clicker.HTML.IFrame.fh   38266  
20   New Packed.Win32.Krap.ao   36123  

Hay cosas interesantes que contar sobre los programas maliciosos en Internet.

Empezaremos por la nueva vulnerabilidad CVE-2010-0806 de Internet Explorer, cuyo exploit se difundió con gran celeridad después de que se publicase una descripción demasiado detallada de la vulnerabilidad. Ahora, sólo los delincuentes más perezosos no usan este exploit en sus ataques: en el TOP20 observamos dos de sus variantes, – Exploit.JS.CVE-2010-0806.i (2) y Exploit.JS.CVE-2010-0806.b (10).

La nueva ola de la epidemia de Gumblar está marchando a todo vapor. Además de la antigua versión del descargador, que se detecta como Gumblar.x y ocupa el primer lugar de la tabla, ha aparecido una nueva versión, que se detecta como HEUR:Trojan-Downloader.Script.Generic.

El exploit Aurora.a, sobre el cual ya hemos escrito en febrero, sigue siendo usado por los delincuentes, lo que se confirma por su subida del quinto al noveno puesto.

El curioso descargador Twetti.a (puesto 14 en la estadística), sobre el cual ya hablamos en diciembre, de nuevo ha vuelto a la estadística después de dos meses de ausencia. De igual modo que con Gumblar, los delincuentes se han tomado un breve descanso para después empezar de nuevo a provocar infecciones con este programa malicioso en una gran cantidad de recursos web.

Exploit.JS.Pdfka.bub (puesto15) también tuvo sus razones para ingresar al TOP20: este pdf malicioso es un componente de un ataque drive-by, cuyo punto de inicio está en Twetti.a.

En la tabla también están presentes cuatro nuevos representantes de páginas web prefabricadas desde las cuales se propagan antivirus falsos y programas extorsionadores: Trojan.HTML.Fraud.aj, Trojan.JS.FakeUpdate.ab, Trojan.HTML.Fraud.aq y Trojan.JS.FakeUpdate.aa.

Países donde se ha detectado la mayor cantidad de intentos de infección por medio de páginas web:

 

Los resultados de este mes son idénticos a los del anterior: entre los ataques a los usuarios predominan los ataques a través de las web que utilizan las vulnerabilidades del software popular. Por suerte, con frecuencia los productores eliminan las vulnerabilidades con gran rapidez. Pero por desgracia, son pocos los usuarios que instalan los parches a su debido tiempo. Últimamente va en crecimiento la cantidad de programas maliciosos que se aprovechan de la inocencia y falta de experiencia del usuario para realizar sus ataques. En marzo, entre estos programas, los más usados por los delincuentes son los falsos antivirus y los programas extorsionadores.

TOP20 de programas maliciosos, marzo de 2010

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada