TOP20 de programas maliciosos, mayo de 2010

Kaspersky Lab presenta el TOP 20 de programas maliciosos detectados en mayo.

Programas maliciosos detectados en los ordenadores de los usuarios

En la primera tabla se exponen los programas maliciosos y potencialmente indeseables detectados y neutralizados por primera vez en los ordenadores de los usuarios.

En el TOP 20 de mayo hay cinco nuevos programas maliciosos.

Las modificaciones del exploit CVE-2010-0806 aparecida el mes anterior han desaparecido de la estadística con la misma celeridad con la que aparecieron. Sin embargo, los delincuentes no han dejado de explotar la vulnerabilidad CVE-2010-0806. Trojan.JS.Agent.bhr (quinto lugar), componente de una de las modificaciones de CVE-2010-0806, ha subido cinco puestos en mayo, y el flamante Trojan.JS.Iframe.lq (decimotercer lugar) es nada menos que un eslabón intermedio de un ataque drive-by: con su ayuda se remite a los usuarios al Exploit.JS.CVE-2010-0806.i. Trojan.JS.Zapchast.dv también tiene relación directa con la vulnerabilidad CVE-2010-0806. Este troyano es parte del exploit Exploit.JS.CVE-2010-0806.e (vigésimo lugar).

Trojan-GameThief.Win32.Magania.dbtv (decimosexto lugar) confirma nuestros pronósticos de abril sobre el destino de los exploits mencionados más arriba: el principal objetivo de los delincuentes que los usan son los datos confidenciales de los usuarios que tienen cuentas en los juegos online populares. Este ladrón afectó a los usuarios de “CabalOnlin”, “Metin2”, MuOnline y los juegos producidos por la compañía “Nexon.net”.

El esquema general de la infección es el siguiente:

1. Al principio el usuario llega a una página que contiene Trojan.JS.Iframe.lq, Trojan.JS.Zapchast.dv o una de las dos modificaciones del exploit CVE-2010-0806.
2. El exploit descarga Trojan-Downloader.Win32.Geral.cnh. Este es un troyano bastante potente de la familia Downloader. En su arsenal hay 2 rootkits que ocultan la presencia del troyano al antivirus; un algoritmo de descarga que permite a los delincuentes usar listas to download y las funcionalidades de Worm.Win32.Autorun, que garantiza la propagación del troyano mediante los dispositivos extraíbles.
3. El descargador Geral descarga en el ordenador de la víctima diferentes modificaciones de Trojan-PSW.Win32.QQPass y Trojan-GameTheif.Win32.OnlineGames/WOW/Magania, entre ellas Trojan-GameThief.Win32.Magania.dbtv.

Programas nocivos en Internet

La segunda tabla describe la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y también los programas maliciosos que trataron de descargarse a los ordenadores de los usuarios desde páginas web.

Los cambios ocurridos en esta tabla han afectado a todos los participantes.

En mayo casi 400.000 páginas resultaron infectadas por el troyano Trojan-Clicker.JS.Iframe.bb (primer lugar), cuyo propósito es aumentar el tráfico de los sitios al incrementar el número de clics hechos en nombre de los visitantes de los recursos infectados, sin que éstos se den cuenta.

El nuevo redirector Trojan.JS.Redirector.cq (tercer lugar) remite a los visitantes a páginas que propagan seudoantivirus.

De los 20 programas maliciosos más frecuentes en Internet, 7 son exploits. Es curioso que 3 nuevos participantes, Exploit.Java.CVE-2010-0886.a, Exploit.Java.Agent.f y Exploit.Java.CVE-2009-3867.d son exploits para la plataforma Java.

Uno de ellos, Exploit.Java.CVE-2010-0886.a ocupa el segundo puesto. El programa malicioso consta de dos partes: un descargador escrito en JavaScript y un applet Java. El descargador usa la función launch del conjunto Java Development Toolkit. Como argumento de la función se usa un renglón que consta de parámetros especiales de llave y la dirección donde se encuentra el applet Java malicioso. El código de JavaScript, sin que el usuario se dé cuenta, inicia la ejecución en el ordenador de un programa Java que en la mayoría de los casos es un Trojan-Downloader. A su vez, este programa descarga un fichero ejecutable malicioso y lo ejecuta en el ordenador del usuario. Vale la pena destacar que CVE-2010-0886.a adquirió tal popularidad sobre todo gracias al uso del descargador Pegel en el ataque que describimos en febrero

El segundo novato es Exploit.Java.CVE-2009-3867.d, que ocupa el sexto lugar. El exploit usa la técnica de desbordamiento de la pila mediante la llamada de la función getSoundBank. Esta función se usa para cargar contenidos multimedia y como parámetro espera obtener la dirección del objeto soundbank. La vulnerabilidad hizo posible usar un código Shell permitiendo a los delincuentes ejecutar un código al azar en el equipo de la víctima.

Los exploits descritos más arriba están sobre todo conectados con los redirectores y páginas legítimas infectadas. En mayo entre estos programas maliciosos “acompañantes” tenemos a Trojan.JS.Agent.bhr (quinto lugar), Trojan.JS.Zapchast.dv (décimo lugar), Trojan.JS.Iframe.lq (duodécimo lugar) y Trojan-Downloader.JS.Agent.fig (decimotercer lugar)

Países desde los cuales se detectó la mayor cantidad de intentos de infección mediante la web:

Conclusión

A lo largo de las últimas semanas los delincuentes han usado activamente los exploits con el objetivo de obtener la información confidencial de los usuarios. Los cambios ocurridos están relacionados con los métodos de propagación de códigos maliciosos y las técnicas utilizadas para dificultar el análisis y detección del código malicioso.

En mayo, 11 de los 20 programas maliciosos más frecuentes en Internet fueron diferentes exploits y programas troyanos relacionados con ellos. Estos programas maliciosos ocupan 5 posiciones adyacentes en la estadística (empezando desde el segundo puesto) y más adelante también están presentes en bloques de 2-3 modificaciones.

También cabe destacar que, debido a la proliferación de los exploits que usan las vulnerabilidades de la plataforma Java, se recomienda a los usuarios del software de la compañía Sun que verifiquen con regularidad la presencia de las últimas actualizaciones de los programas correspondientes.