Informes sobre malware

TOP20 de programas maliciosos, octubre de 2010

Kaspersky Lab presenta el TOP 20 de programas maliciosos detectados en octubre.

A grandes rasgos, el mes ha transcurrido en una relativa tranquilidad. Pero queremos dirigir la atención del lector hacia varios sucesos dignos de interés. A principios de octubre se detectó el virus Virus.Win32.Murofet, con el que venían infectados varios ficheros PE. Su principal particularidad consiste en que genera vínculos con la ayuda de un algoritmo especial, basado en la fecha y hora del ordenador infectado. El programa malicioso obtiene el año, mes, día y minuto del sistema, genera dos palabras dobles, las usa para extraer el md5, le agrega una de las zonas de dominio posibles (.biz, .org, .com, .net, .inf), agrega “/fórum” al final del renglón y después usa el vínculo generado de esta manera. Es curioso que este virus no contagia otros ficheros ejecutables y tiene una relación cercana con ZeuS. De esta manera, los vínculos generados usan la infraestructura de ZeuS, que es donde están ubicados los descargadores del bot. Este programa malicioso muestra la creatividad y empeño con que los programadores de ZeuS están tratando de expandir su invento por todo el mundo.

Sigue en crecimiento la popularidad de los archivos falsos, que detectamos como Hoax.Win32.ArchSMS. Después de que el usuario lanza el programa, se le propone enviar uno o varios mensajes SMS a un número de pago para recibir el contenido del archivo. En la mayoría de los casos, después de enviar el mensaje de texto, en la pantalla del ordenador aparecen instrucciones de uso de un tracker torrent y/o un vínculo al mismo. Hay muchas variantes, pero el resultado es siempre el mismo: el usuario pierde su dinero y no recibe el fichero deseado. Este tipo de estafas ha aparecido hace relativamente poco tiempo, unos meses atrás, pero desde entonces el interés de los delincuentes en él ha ido en aumento, hecho constatado por la estadística recopilada por KSN (Kaspersky Security Network):

 

También merece la pena recordar que en octubre la compañía Microsoft sobrepasó su propio record de cantidad de parches publicados en un mes. Así, el 12 de octubre publicó 16 boletines de seguridad que cerraban 49 diferentes vulnerabilidades. El record anterior lo estableció en agosto, pero entonces se corrigieron sólo 34 vulnerabilidades. Esto es un indicio de que los delincuentes están utilizando activamente los defectos de los productos del gigante del software para realizar sus planes. Por ejemplo, el famoso gusano Stuxnet usaba, en el momento de su aparición, cuatro vulnerabilidades de día cero no parchadas. En el boletín de octubre se cerró la tercera vulnerabilidad usada por Stuxnet, pero la cuarta sigue abierta hasta ahora.

Programas maliciosos detectados en los ordenadores de los usuarios

En la primera tabla se exponen los programas maliciosos y potencialmente indeseables detectados y neutralizados por primera vez en los ordenadores de los usuarios.

Posición Cambios en la posición Programa malicioso Cantidad de equipos infectados
1   0 Net-Worm.Win32.Kido.ir   386141  
2   0 Virus.Win32.Sality.aa   150244  
3   0 Net-Worm.Win32.Kido.ih   141210  
4   0 Trojan.JS.Agent.bhr   104094  
5   0 Exploit.JS.Agent.bab   85185  
6   1 Virus.Win32.Virut.ce   81696  
7   8 Packed.Win32.Katusha.o   74879  
8   -2 Worm.Win32.FlyStudio.cu   73854  
9   2 Virus.Win32.Sality.bh   57624  
10   -1 Exploit.Win32.CVE-2010-2568.d   54404  
11   1 Exploit.Win32.CVE-2010-2568.b   51485  
12   -2 Trojan-Downloader.Win32.VB.eql   49570  
13   0 Worm.Win32.Autoit.xl   43618  
14   0 Worm.Win32.Mabezat.b   43338  
15   5 Trojan-Downloader.Win32.Geral.cnh   39759  
16   1 Worm.Win32.VBNA.b   33376  
17   -1 Trojan-Dropper.Win32.Sality.cx   30707  
18   New Trojan.Win32.Autoit.ci   29835  
19   New Trojan-Dropper.Win32.Flystud.yo   29176  
20   New Worm.Win32.VBNA.a   26385  

En el transcurso del mes pasado no ha habido grandes cambios en la tabla. Los líderes siguen siendo los mismos: Kido, Sality, Virut, CVE-2010-2568. Sólo hay que mencionar el crecimiento de la cantidad de detecciones del empaquetador Packed. Win32.Katusha.o (sexto lugar), usado por los creadores de virus para la defensa y difusión de antivirus falsos. El gusano Worm.Win32.VBNA.a (vigésimo puesto) es similar al anterior programa malicioso, pero está escrito en el idioma de alto nivel Visual Basic. En las anteriores estadísticas hemos publicado descripciones más detalladas de ambos empaquetadores.

Programas nocivos en Internet

La segunda tabla describe la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y también los programas maliciosos que trataron de descargarse a los ordenadores de los usuarios desde páginas web.

Posición Cambios en la posición Programa malicioso Número de intentos únicos de descarga
1   21 Trojan.JS.FakeUpdate.bp   114639  
2   -1 Exploit.JS.Agent.bab   96296  
3   8 Exploit.Java.CVE-2010-0886.a   89012  
4   21 Hoax.Win32.ArchSMS.jxi   78235  
5   1 Trojan.JS.Agent.bhr   63204  
6   -2 AdWare.Win32.FunWeb.di   62494  
7   21 Trojan.JS.Redirector.nj   61311  
8   -3 AdWare.Win32.FunWeb.ds   52404  
9   21 Trojan.JS.Agent.bmx   35889  
10   3 AdWare.Win32.FunWeb.q   34850  
11   -1 AdWare.Win32.FunWeb.fb   34796  
12   21 Trojan-Downloader.Java.Agent.hx   34681  
13   21 Exploit.JS.CVE-2010-0806.i   33067  
14   1 Exploit.JS.CVE-2010-0806.b   31153  
15   21 Trojan-Downloader.Java.Agent.hw   30145  
16   21 Trojan.JS.Redirector.lc   29930  
17   21 Exploit.Win32.CVE-2010-2883.a   28920  
18   -6 Trojan-Downloader.Java.Agent.gr   27882  
19   -3 AdWare.Win32.FunWeb.ci   26833  
20   21 AdWare.Win32.FunWeb.ge   25652  

En esta tabla no ha habido cambios serios este mes. Los líderes siguen siendo los exploits basados en CVE-2010-0806 y los programas publicitarios FunWeb. Sin embargo, queremos mencionar la aparición de varios ejemplares curiosos.

El exploit Exploit.Win32.CVE-2010-2883.a, que aprovecha la vulnerabilidad correspondiente, descubierto hace un poco más de un mes, ocupa el decimoséptimo puesto. Por lo tanto, se puede decir que los delincuentes han sido rápidos en aprovechar este exploit. La falla se encuentra en la biblioteca vulnerable cooltype.dll, que es parte de Adobe Reader y consiste en el procesamiento incorrecto de un fichero de fuente generado de una forma específica. Si damos un vistazo a la distribución geográfica de Exploit.Win32.CVE-2010-2883.a, podemos observar que este veredicto se asignó con más frecuencia en EEUU, Inglaterra y Rusia. Al parecer, los delincuentes informáticos habían previsto que en estos países estaba la mayor cantidad de ordenadores con Adobe Reader sin parchar.

 

El script malicioso Trojan.JS.Redirector.nj (séptimo puesto) se esconde en algunos sitios pornográficos y visualiza una notificación en la que exige que se envíe un mensaje de texto a un número premium por el uso del sitio. El script está organizado de tal manera que para cerrar la página es necesario usar el administrador de tareas u otro programa con idénticas funcionalidades.

 
Notificación visualizada por Trojan.JS.Redirector.nj

Otro representante de Trojan.JS.Agent.bmx (noveno puesto) es un exploit clásico para navegadores que descarga un Trojan-Downloader que a su vez recibe una lista de treinta vínculos que llevan a diversos programas maliciosos. Entre ellos están Trojan-GameThief.Win32.Element, Trojan-PSW.Win32.QQShou, Backdoor.Win32.Yoddos, Backdoor.Win32.Trup, Trojan-GameThief.Win32.WOW y otros.

En el primer puesto está un script de la familia FakeUpdate, Trojan.JS.FakeUpdate.bp. que también se esconde en los sitios pornográficos y ofrece descargar vídeos de esta temática. Pero cuando el usuario quiere ver el vídeo, aparece una ventana emergente que exige descargar un nuevo reproductor de vídeo.

 
Propuesta para descargar un nuevo reproductor que muestra Trojan.JS.FakeUpdate.bp

Nuestra investigación demostró que el instalador, además del reproductor legal Fusion Media Player 1.7 contiene un troyano que modifica el fichero hosts. Este troyano le asigna a la dirección IP del equipo local 127.0.0.1 varios sitios populares e instala un servidor web local. Después, cuando el usuario intenta visitar alguno de los sitios interceptados, se le muestra una página donde se le exige pagar por ver el vídeo pornográfico.

 
Página que se muestra en lugar de la del sitio bash.org.ru

Los otros recién llegados no son tan interesantes como los que ya hemos analizado, pero de todos modos vale la pena mencionarlos. Dos nuevos descargadores de Java, Trojan-Downloader.Java.Agent.hx (duodécimo puesto) y Trojan-Downloader.Java.Agent.hw (decimoquinto puesto) usan métodos OpenStream de la clase URL para descargar otros objetos maliciosos. En cambio, Hoax.Win32.ArchSMS.jxi (tercer lugar) pertenece a los archivos falsos que describimos al principio del artículo. De esta manera, a pesar de que el mes no tuvo sucesos sensacionales, sí hubo nuevos e interesantes programas maliciosos.

TOP20 de programas maliciosos, octubre de 2010

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada