Informes sobre malware

TOP20 de programas maliciosos, mayo de 2010

Kaspersky Lab presenta el TOP 20 de programas maliciosos detectados en mayo.

Programas maliciosos detectados en los ordenadores de los usuarios

En la primera tabla se exponen los programas maliciosos y potencialmente indeseables detectados y neutralizados por primera vez en los ordenadores de los usuarios.

Posición Cambios en la posición Programa malicioso Cantidad de equipos infectados
1   0 Net-Worm.Win32.Kido.ir   339585  
2   0 Virus.Win32.Sality.aa   210257  
3   0 Net-Worm.Win32.Kido.ih   201746  
4   0 Net-Worm.Win32.Kido.iq   169017  
5   9 Trojan.JS.Agent.bhr   161414  
6   -1 Worm.Win32.FlyStudio.cu   127835  
7   -1 Virus.Win32.Virut.ce   70189  
8   0 Trojan-Downloader.Win32.VB.eql   66486  
9   0 Worm.Win32.Mabezat.b   54866  
10   0 Trojan-Dropper.Win32.Flystud.yo   50490  
11   0 Worm.Win32.AutoIt.tc   47044  
12   1 Packed.Win32.Krap.l   44056  
13   New Trojan.JS.Iframe.lq   38658  
14   New Trojan.Win32.Agent2.cqzi   35423  
15   1 Trojan.Win32.Autoit.ci   34670  
16   New Trojan-GameThief.Win32.Magania.dbtv   31066  
17   New Trojan-Downloader.Win32.Geral.cnh   30225  
18   New Trojan.JS.Zapchast.dv   29592  
19   -2 Virus.Win32.Induc.a   28522  
20   -8 Exploit.JS.CVE-2010-0806.e   27606  

En el TOP 20 de mayo hay cinco nuevos programas maliciosos.

Las modificaciones del exploit CVE-2010-0806 aparecida el mes anterior han desaparecido de la estadística con la misma celeridad con la que aparecieron. Sin embargo, los delincuentes no han dejado de explotar la vulnerabilidad CVE-2010-0806. Trojan.JS.Agent.bhr (quinto lugar), componente de una de las modificaciones de CVE-2010-0806, ha subido cinco puestos en mayo, y el flamante Trojan.JS.Iframe.lq (decimotercer lugar) es nada menos que un eslabón intermedio de un ataque drive-by: con su ayuda se remite a los usuarios al Exploit.JS.CVE-2010-0806.i. Trojan.JS.Zapchast.dv también tiene relación directa con la vulnerabilidad CVE-2010-0806. Este troyano es parte del exploit Exploit.JS.CVE-2010-0806.e (vigésimo lugar).

Trojan-GameThief.Win32.Magania.dbtv (decimosexto lugar) confirma nuestros pronósticos de abril sobre el destino de los exploits mencionados más arriba: el principal objetivo de los delincuentes que los usan son los datos confidenciales de los usuarios que tienen cuentas en los juegos online populares. Este ladrón afectó a los usuarios de “CabalOnlin”, “Metin2”, MuOnline y los juegos producidos por la compañía “Nexon.net”.

El esquema general de la infección es el siguiente:

  1. Al principio el usuario llega a una página que contiene Trojan.JS.Iframe.lq, Trojan.JS.Zapchast.dv o una de las dos modificaciones del exploit CVE-2010-0806.
  2. El exploit descarga Trojan-Downloader.Win32.Geral.cnh. Este es un troyano bastante potente de la familia Downloader. En su arsenal hay 2 rootkits que ocultan la presencia del troyano al antivirus; un algoritmo de descarga que permite a los delincuentes usar listas to download y las funcionalidades de Worm.Win32.Autorun, que garantiza la propagación del troyano mediante los dispositivos extraíbles.
  3. El descargador Geral descarga en el ordenador de la víctima diferentes modificaciones de Trojan-PSW.Win32.QQPass y Trojan-GameTheif.Win32.OnlineGames/WOW/Magania, entre ellas Trojan-GameThief.Win32.Magania.dbtv.

Programas nocivos en Internet

La segunda tabla describe la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y también los programas maliciosos que trataron de descargarse a los ordenadores de los usuarios desde páginas web.

Posición Cambios en la posición Programa malicioso Número de intentos únicos de descarga
1   New Trojan-Clicker.JS.Iframe.bb   397667  
2   New Exploit.Java.CVE-2010-0886.a   244126  
3   New Trojan.JS.Redirector.cq   194285  
4   New Exploit.Java.Agent.f   108869  
5   New Trojan.JS.Agent.bhr   107202  
6   New Exploit.Java.CVE-2009-3867.d   85120  
7   -2 not-a-virus:AdWare.Win32.FunWeb.q   82309  
8   -6 Exploit.JS.CVE-2010-0806.i   79192  
9   -5 Exploit.JS.CVE-2010-0806.b   76093  
10   New Trojan.JS.Zapchast.dv   73442  
11   -2 Trojan-Clicker.JS.Agent.ma   68033  
12   New Trojan.JS.Iframe.lq   59109  
13   New Trojan-Downloader.JS.Agent.fig   56820  
14   5 not-a-virus:AdWare.Win32.Shopper.l   50497  
15   2 Exploit.JS.CVE-2010-0806.e   50442  
16   -4 Trojan.JS.Redirector.l   50043  
17   New Trojan.JS.Redirector.cj   47179  
18   -2 not-a-virus:AdWare.Win32.Boran.z   43514  
19   -6 Trojan-Dropper.Win32.VB.amlh   43366  
20   New Exploit.JS.Pdfka.chw   42362  

Los cambios ocurridos en esta tabla han afectado a todos los participantes.

En mayo casi 400.000 páginas resultaron infectadas por el troyano Trojan-Clicker.JS.Iframe.bb (primer lugar), cuyo propósito es aumentar el tráfico de los sitios al incrementar el número de clics hechos en nombre de los visitantes de los recursos infectados, sin que éstos se den cuenta.

El nuevo redirector Trojan.JS.Redirector.cq (tercer lugar) remite a los visitantes a páginas que propagan seudoantivirus.

De los 20 programas maliciosos más frecuentes en Internet, 7 son exploits. Es curioso que 3 nuevos participantes, Exploit.Java.CVE-2010-0886.a, Exploit.Java.Agent.f y Exploit.Java.CVE-2009-3867.d son exploits para la plataforma Java.

Uno de ellos, Exploit.Java.CVE-2010-0886.a ocupa el segundo puesto. El programa malicioso consta de dos partes: un descargador escrito en JavaScript y un applet Java. El descargador usa la función launch del conjunto Java Development Toolkit. Como argumento de la función se usa un renglón que consta de parámetros especiales de llave y la dirección donde se encuentra el applet Java malicioso. El código de JavaScript, sin que el usuario se dé cuenta, inicia la ejecución en el ordenador de un programa Java que en la mayoría de los casos es un Trojan-Downloader. A su vez, este programa descarga un fichero ejecutable malicioso y lo ejecuta en el ordenador del usuario. Vale la pena destacar que CVE-2010-0886.a adquirió tal popularidad sobre todo gracias al uso del descargador Pegel en el ataque que describimos en febrero

El segundo novato es Exploit.Java.CVE-2009-3867.d, que ocupa el sexto lugar. El exploit usa la técnica de desbordamiento de la pila mediante la llamada de la función getSoundBank. Esta función se usa para cargar contenidos multimedia y como parámetro espera obtener la dirección del objeto soundbank. La vulnerabilidad hizo posible usar un código Shell permitiendo a los delincuentes ejecutar un código al azar en el equipo de la víctima.

Los exploits descritos más arriba están sobre todo conectados con los redirectores y páginas legítimas infectadas. En mayo entre estos programas maliciosos “acompañantes” tenemos a Trojan.JS.Agent.bhr (quinto lugar), Trojan.JS.Zapchast.dv (décimo lugar), Trojan.JS.Iframe.lq (duodécimo lugar) y Trojan-Downloader.JS.Agent.fig (decimotercer lugar)

Países desde los cuales se detectó la mayor cantidad de intentos de infección mediante la web:

Conclusión

A lo largo de las últimas semanas los delincuentes han usado activamente los exploits con el objetivo de obtener la información confidencial de los usuarios. Los cambios ocurridos están relacionados con los métodos de propagación de códigos maliciosos y las técnicas utilizadas para dificultar el análisis y detección del código malicioso.

En mayo, 11 de los 20 programas maliciosos más frecuentes en Internet fueron diferentes exploits y programas troyanos relacionados con ellos. Estos programas maliciosos ocupan 5 posiciones adyacentes en la estadística (empezando desde el segundo puesto) y más adelante también están presentes en bloques de 2-3 modificaciones.

También cabe destacar que, debido a la proliferación de los exploits que usan las vulnerabilidades de la plataforma Java, se recomienda a los usuarios del software de la compañía Sun que verifiquen con regularidad la presencia de las últimas actualizaciones de los programas correspondientes.

TOP20 de programas maliciosos, mayo de 2010

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada