Kaspersky Lab presenta los 2 TOP 20 de programas maliciosos detectados en septiembre.
En ambas listas hay una cantidad relativamente pequeña de nuevos programas maliciosos. Merece la pena destacar la aparición de una nueva “pareja”: el dropper Trojan-Dropper.Win32.Sality.cx que instala en el ordenador infectado Virus.Win32.Sality.bh. Este dropper también se usa para propagar una vulnerabilidad en los ficheros WinLNK (accesos directos o shortcuts). También hay que prestar atención a la considerable disminución de la cantidad de exploits para la vulnerabilidad de Windows Help and Support Center CVE-2010-1885, que fue muy popular en agosto. Una peculiaridad más de septiembre es que en la lista TOP20 de los programas maliciosos en Internet la cantidad de exploits ha igualado la de programas publicitarios (7).
Cabe destacar que en ninguna de las dos listas se exponen los datos de las detecciones heurísticas, que en la actualidad representan el 25-30% de todos los programas maliciosos detectados. En el futuro planeamos ofrecer datos más detallados sobre las detecciones heurísticas.
Programas maliciosos detectados en los ordenadores de los usuarios
En la primera tabla se exponen los programas maliciosos y potencialmente indeseables detectados y neutralizados por primera vez en los ordenadores de los usuarios.
Posición | Cambios en la posición | Programa malicioso | Cantidad de equipos infectados |
1 | 0 | Net-Worm.Win32.Kido.ir | 371564 |
2 | 0 | Virus.Win32.Sality.aa | 166100 |
3 | 0 | Net-Worm.Win32.Kido.ih | 150399 |
4 | 1 | Trojan.JS.Agent.bhr | 95226 |
5 | 1 | Exploit.JS.Agent.bab | 81681 |
6 | 1 | Worm.Win32.FlyStudio.cu | 80829 |
7 | 1 | Virus.Win32.Virut.ce | 76155 |
8 | -4 | Net-Worm.Win32.Kido.iq | 65730 |
9 | 0 | Exploit.Win32.CVE-2010-2568.d | 59562 |
10 | 0 | Trojan-Downloader.Win32.VB.eql | 53782 |
11 | new | Virus.Win32.Sality.bh | 44614 |
12 | 0 | Exploit.Win32.CVE-2010-2568.b | 43665 |
13 | return | Worm.Win32.Autoit.xl | 40065 |
14 | -1 | Worm.Win32.Mabezat.b | 39239 |
15 | new | Packed.Win32.Katusha.o | 39051 |
16 | new | Trojan-Dropper.Win32.Sality.cx | 38150 |
17 | -3 | Worm.Win32.VBNA.b | 37236 |
18 | new | P2P-Worm.Win32.Palevo.avag | 36503 |
19 | -4 | AdWare.WinLNK.Agent.a | 32935 |
20 | return | Trojan-Downloader.Win32.Geral.cnh | 31997 |
El mes pasado esta lista TOP20 adquirió cuatro nuevos programas maliciosos. Dos de ellos ya los habíamos encontrado en las anteriores estadísticas.
Los primeros diez puestos de la estadística no han sufrido cambios considerables, a excepción de la caída de la modificación “iq” del gusano Kido, que pasó del cuarto al octavo lugar.
Dos exploits, Exploit.Win32.CVE-2010-2568.d (noveno lugar) y Exploit.Win32.CVE-2010-2568.b (duodécimo lugar), que explotan la vulnerabilidad CVE-2010-2568 en los accesos directos de los sistemas operativos Windows, siguen en el mismo lugar. Sin embargo, el programa malicioso que usa activamente estos exploits, ha cambiado. Si en la estadística de agosto era Trojan-Dropper.Win32.Sality.r, ahora se trata de un nuevo representante de la misma familia, Sality.cx (decimosexto lugar). Por su estructura, es similar a la modificación “r”, pero durante su funcionamiento en el ordenador infectado no instala Virus.Win32.Sality.ag, como sucedía en agosto, sino una nueva modificación del virus, Sality.bh (undécimo lugar). De esta manera, con la ayuda de los exploits para las vulnerabilidades CVE-2010-2568 se propaga un nuevo representante de la familia del virus polimórfico Sality. Cabe destacar que el dropper Sality.cx alberga una URL que contiene palabras en ruso. Esto puede significar que fue creado por autores de virus de habla rusa.
Fragmento de Trojan-Dropper.Win32.Sality.cx que contiene un enlace con palabras en ruso
La distribución geográfica del nuevo dropper Sality.cx es casi idéntica a la de Trojan-Dropper.Win32.Sality.r del mes anterior. Los líderes, según la cantidad de detecciones, son India, Vietnam y Rusia.
Todo parece indicar que los programas de esta familia guardan estrecha relación con el exploit CVE-2010-2568. Y la geografía de su propagación lo confirma: la del exploit coincide casi en su totalidad con la de los droppers (ver figura).
Propagación de Trojan-Dropper.Win32.Sality.cx
En septiembre apareció un nuevo programa nocivo perteneciente a la categoría de empaquetadores maliciosos, Packed.Win32.Katusha.o (decimoquinto puesto). En las anteriores estadísticas nos habíamos topado con otros representantes de la familia Katusha, pero los programadores siguen trabajando duro para crear nuevas modificaciones del empaquetador que pasen inadvertidas por los antivirus. Otro empaquetador, Worm.Win32.VBNA.b (decimoséptimo puesto), ha retrocedido un poco, pero no ha abandonado el TOP20.
Desde mayo, durante cuatro meses en cada estadística ha venido apareciendo una nueva versión del gusano P2P-Worm.Win32.Palevo, que se difunde sobre todo a través de las redes P2P. En septiembre tenemos a la modificación Palevo.avag (decimoctavo puesto). Han vuelto a ser parte del TOP29 dos programas maliciosos, Worm.Win32.AutoIt.xl (decimotercer puesto) y Trojan-Downloader.Win32.Geral.cnh (vigésimo puesto). La última vez que lo vimos en la lista fue en mayo. Dos programas más, que ya nos eran familiares por haber aparecido en las estadísticas anteriores, Worm.Win32.Mabezat.b (decimocuarto puesto) y AdWare.WinLNK.Agent.a (decimonoveno puesto), han perdido un poco de popularidad.
Programas nocivos en Internet
La segunda tabla describe la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y también los programas maliciosos que trataron de descargarse a los ordenadores de los usuarios desde páginas web.
Posición | Cambios en la posición | Programa malicioso | Número de intentos únicos de descarga |
1 | 1 | Exploit.JS.Agent.bab | 127123 |
2 | -1 | Trojan-Downloader.Java.Agent.ft | 122752 |
3 | 14 | Exploit.HTML.CVE-2010-1885.d | 75422 |
4 | 3 | AdWare.Win32.FunWeb.di | 61515 |
5 | 0 | AdWare.Win32.FunWeb.ds | 56754 |
6 | -2 | Trojan.JS.Agent.bhr | 51398 |
7 | new | Exploit.SWF.Agent.du | 43076 |
8 | 3 | Trojan-Downloader.VBS.Agent.zs | 42021 |
9 | new | AdWare.Win32.FunWeb.ge | 41986 |
10 | 9 | AdWare.Win32.FunWeb.fb | 37992 |
11 | -1 | Exploit.Java.CVE-2010-0886.a | 37707 |
12 | new | Trojan-Downloader.Java.Agent.gr | 36726 |
13 | -5 | AdWare.Win32.FunWeb.q | 31886 |
14 | 2 | Exploit.JS.Pdfka.cop | 29025 |
15 | 3 | Exploit.JS.CVE-2010-0806.b | 28366 |
16 | -2 | AdWare.Win32.FunWeb.ci | 26254 |
17 | new | Trojan-Downloader.Java.OpenStream.ap | 21592 |
18 | return | AdWare.Win32.Boran.z | 20639 |
19 | new | Trojan-Clicker.HTML.IFrame.fh | 19799 |
20 | new | Exploit.Win32.Pidief.ddd | 19167 |
La estadística de programas maliciosos en Internet de septiembre es bastante diferente de las anteriores: solo hay seis nuevos participantes. Por lo general son muchos más.
Para empezar, analicemos los siete exploits presentes en la estadística. Exploit.JS.Agent.bab (primer lugar), Trojan.JS.Agent.bhr (sexto lugar) y Exploit.JS.CVE-2010-0806.b (decimoquinto puesto) explotan la vulnerabilidad CVE-2010-0806 y ya hace varios meses seguidos que están entre los líderes. Al parecer, la explotación de esta vulnerabilidad de Internet Explorer gozará por largo tiempo de popularidad entre los delincuentes informáticos. En septiembre la cantidad de exploits que aprovechan la vulnerabilidad CVE-2010-1885 se ha reducido de cinco a uno, Exploit.HTML.CVE-2010-1885.d (tercer puesto). Dos exploits más, Trojan-Downloader.Java.Agent.ft (segundo lugar) y Trojan-Downloader.Java.Agent.gr (duodécimo lugar) usan la vieja vulnerabilidad CVE-2009-3867, cuyo funcionamiento se basa en la función getSoundBank(). Y el último representante de los exploits, Exploit.Java.CVE-2010-0886.a (undécimo lugar) está presente en todas las estadísticas a partir de mayo.
En septiembre, quizá por primera vez, la cantidad de exploits en la estadística iguala la cantidad de programas publicitarios. En el TOP20 han ingresado siete programas AdWare.Win32 de los cuales sólo FunWeb.ge (noveno lugar) se encuentra por primera vez en la estadística. Los demás ya estaban presentes en las anteriores estadísticas: FunWeb.di (cuarto lugar), FunWeb.ds (quinto lugar), FunWeb.fb (décimo lugar), FunWeb.q (decimotercer lugar), FunWeb.ci (decimosexto lugar) y Boran.z, que ya estuvo presente en la estadística de julio (decimoctavo puesto).
Pero ahora analicemos los novatos del TOP20 de septiembre. Es muy interesante el programa malicioso Exploit.SWF.Agent.du (séptimo lugar) que es un fichero Flash vulnerable. Hasta ahora han sido muy pocas las ocasiones en que habíamos podido observar la explotación de las vulnerabilidades en las tecnologías Flash. El nuevo representante de la clase Trojan-Downloader, Trojan-Downloader.Java.OpenStream.ap (decimoséptimo lugar) usa clases estándar del idioma Java para descargar un objeto malicioso. Durante la creación de este programa se utilizó la tecnología de “enmarañamiento”.
Fragmento de Trojan-Downloader.Java.OpenStream.ap
En la captura de pantalla se puede ver símbolos que se repiten, que no tienen ninguna carga útil y cuya tarea es evadir los antivirus.
Otro novato, Trojan-Clicker.HTML.IFrame.fh (decimonoveno lugar) es una sencilla página HTML cuyo objetivo es llevar al usuario a seguir un enlace malicioso.
El último programa de la estadística, Exploit.Win32.Pidief.ddd resultó ser bastante gracioso. Se trata de un fichero PDF que contiene un script que lanza el símbolo del sistema (cmd), el cual a su vez escribe en el disco un script VBS que muestra en la pantalla este mensaje: Este fichero está cifrado. Si quieres descifrarlo y leerlo, pulsa “Abrir”. Después, este script Visual Basic se lanza y empieza a descargar otro script malicioso. En la captura de pantalla vemos un fragmento del fichero PDF malicioso que contiene una parte del script y la frase.
Fragmento del programa malicioso Exploit.Win32.Pidief.ddd
Stuxnet
Haciendo un resumen del mes, merece la pena mencionar el gusano Stuxnet, a pesar de que no llegó a ingresar al TOP20 debido a su extremada especialización.
Los medios escribieron mucho sobre Stuxnet en septiembre, a pesar de que el gusano fue descubierto a principios de junio. Recordamos que el programa malicioso explota cuatro diferentes vulnerabilidades de “día cero” y usa dos certificados vigentes de las compañías Realtek y JMicron. Sin embargo, la principal peculiaridad de Stuxnet, que fue la que lo hizo famoso, es su orientación. La principal tarea de este programa nocivo no es enviar spam o robar información confidencial a los usuarios, sino tomar el control de empresas industriales. En esencia, es un programa de nueva generación, cuya aparición hace que los términos “terrorismo informático” y “guerra cibernética” se pongan a la orden del día.
Los principales países en los que tuvieron lugar casos de infección causadas por este programa malicioso son India, Indonesia e Irán. Este es el mapa de la difusión del gusano a finales de septiembre:
TOP20 de programas maliciosos, septiembre de 2010