Informes sobre malware

TOP20 de programas maliciosos, septiembre de 2010

Kaspersky Lab presenta los 2 TOP 20 de programas maliciosos detectados en septiembre.

En ambas listas hay una cantidad relativamente pequeña de nuevos programas maliciosos. Merece la pena destacar la aparición de una nueva “pareja”: el dropper Trojan-Dropper.Win32.Sality.cx que instala en el ordenador infectado Virus.Win32.Sality.bh. Este dropper también se usa para propagar una vulnerabilidad en los ficheros WinLNK (accesos directos o shortcuts). También hay que prestar atención a la considerable disminución de la cantidad de exploits para la vulnerabilidad de Windows Help and Support Center CVE-2010-1885, que fue muy popular en agosto. Una peculiaridad más de septiembre es que en la lista TOP20 de los programas maliciosos en Internet la cantidad de exploits ha igualado la de programas publicitarios (7).

Cabe destacar que en ninguna de las dos listas se exponen los datos de las detecciones heurísticas, que en la actualidad representan el 25-30% de todos los programas maliciosos detectados. En el futuro planeamos ofrecer datos más detallados sobre las detecciones heurísticas.

Programas maliciosos detectados en los ordenadores de los usuarios

En la primera tabla se exponen los programas maliciosos y potencialmente indeseables detectados y neutralizados por primera vez en los ordenadores de los usuarios.

Posición Cambios en la posición Programa malicioso Cantidad de equipos infectados
1   0 Net-Worm.Win32.Kido.ir   371564  
2   0 Virus.Win32.Sality.aa   166100  
3   0 Net-Worm.Win32.Kido.ih   150399  
4   1 Trojan.JS.Agent.bhr   95226  
5   1 Exploit.JS.Agent.bab   81681  
6   1 Worm.Win32.FlyStudio.cu   80829  
7   1 Virus.Win32.Virut.ce   76155  
8   -4 Net-Worm.Win32.Kido.iq   65730  
9   0 Exploit.Win32.CVE-2010-2568.d   59562  
10   0 Trojan-Downloader.Win32.VB.eql   53782  
11   new Virus.Win32.Sality.bh   44614  
12   0 Exploit.Win32.CVE-2010-2568.b   43665  
13   return Worm.Win32.Autoit.xl   40065  
14   -1 Worm.Win32.Mabezat.b   39239  
15   new Packed.Win32.Katusha.o   39051  
16   new Trojan-Dropper.Win32.Sality.cx   38150  
17   -3 Worm.Win32.VBNA.b   37236  
18   new P2P-Worm.Win32.Palevo.avag   36503  
19   -4 AdWare.WinLNK.Agent.a   32935  
20   return Trojan-Downloader.Win32.Geral.cnh   31997  

El mes pasado esta lista TOP20 adquirió cuatro nuevos programas maliciosos. Dos de ellos ya los habíamos encontrado en las anteriores estadísticas.

Los primeros diez puestos de la estadística no han sufrido cambios considerables, a excepción de la caída de la modificación “iq” del gusano Kido, que pasó del cuarto al octavo lugar.

Dos exploits, Exploit.Win32.CVE-2010-2568.d (noveno lugar) y Exploit.Win32.CVE-2010-2568.b (duodécimo lugar), que explotan la vulnerabilidad CVE-2010-2568 en los accesos directos de los sistemas operativos Windows, siguen en el mismo lugar. Sin embargo, el programa malicioso que usa activamente estos exploits, ha cambiado. Si en la estadística de agosto era Trojan-Dropper.Win32.Sality.r, ahora se trata de un nuevo representante de la misma familia, Sality.cx (decimosexto lugar). Por su estructura, es similar a la modificación “r”, pero durante su funcionamiento en el ordenador infectado no instala Virus.Win32.Sality.ag, como sucedía en agosto, sino una nueva modificación del virus, Sality.bh (undécimo lugar). De esta manera, con la ayuda de los exploits para las vulnerabilidades CVE-2010-2568 se propaga un nuevo representante de la familia del virus polimórfico Sality. Cabe destacar que el dropper Sality.cx alberga una URL que contiene palabras en ruso. Esto puede significar que fue creado por autores de virus de habla rusa.

 
Fragmento de Trojan-Dropper.Win32.Sality.cx que contiene un enlace con palabras en ruso

La distribución geográfica del nuevo dropper Sality.cx es casi idéntica a la de Trojan-Dropper.Win32.Sality.r del mes anterior. Los líderes, según la cantidad de detecciones, son India, Vietnam y Rusia.

Todo parece indicar que los programas de esta familia guardan estrecha relación con el exploit CVE-2010-2568. Y la geografía de su propagación lo confirma: la del exploit coincide casi en su totalidad con la de los droppers (ver figura).

 
Propagación de Trojan-Dropper.Win32.Sality.cx

En septiembre apareció un nuevo programa nocivo perteneciente a la categoría de empaquetadores maliciosos, Packed.Win32.Katusha.o (decimoquinto puesto). En las anteriores estadísticas nos habíamos topado con otros representantes de la familia Katusha, pero los programadores siguen trabajando duro para crear nuevas modificaciones del empaquetador que pasen inadvertidas por los antivirus. Otro empaquetador, Worm.Win32.VBNA.b (decimoséptimo puesto), ha retrocedido un poco, pero no ha abandonado el TOP20.

Desde mayo, durante cuatro meses en cada estadística ha venido apareciendo una nueva versión del gusano P2P-Worm.Win32.Palevo, que se difunde sobre todo a través de las redes P2P. En septiembre tenemos a la modificación Palevo.avag (decimoctavo puesto). Han vuelto a ser parte del TOP29 dos programas maliciosos, Worm.Win32.AutoIt.xl (decimotercer puesto) y Trojan-Downloader.Win32.Geral.cnh (vigésimo puesto). La última vez que lo vimos en la lista fue en mayo. Dos programas más, que ya nos eran familiares por haber aparecido en las estadísticas anteriores, Worm.Win32.Mabezat.b (decimocuarto puesto) y AdWare.WinLNK.Agent.a (decimonoveno puesto), han perdido un poco de popularidad.

Programas nocivos en Internet

La segunda tabla describe la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y también los programas maliciosos que trataron de descargarse a los ordenadores de los usuarios desde páginas web.

Posición Cambios en la posición Programa malicioso Número de intentos únicos de descarga
1   1 Exploit.JS.Agent.bab   127123  
2   -1 Trojan-Downloader.Java.Agent.ft   122752  
3   14 Exploit.HTML.CVE-2010-1885.d   75422  
4   3 AdWare.Win32.FunWeb.di   61515  
5   0 AdWare.Win32.FunWeb.ds   56754  
6   -2 Trojan.JS.Agent.bhr   51398  
7   new Exploit.SWF.Agent.du   43076  
8   3 Trojan-Downloader.VBS.Agent.zs   42021  
9   new AdWare.Win32.FunWeb.ge   41986  
10   9 AdWare.Win32.FunWeb.fb   37992  
11   -1 Exploit.Java.CVE-2010-0886.a   37707  
12   new Trojan-Downloader.Java.Agent.gr   36726  
13   -5 AdWare.Win32.FunWeb.q   31886  
14   2 Exploit.JS.Pdfka.cop   29025  
15   3 Exploit.JS.CVE-2010-0806.b   28366  
16   -2 AdWare.Win32.FunWeb.ci   26254  
17   new Trojan-Downloader.Java.OpenStream.ap   21592  
18   return AdWare.Win32.Boran.z   20639  
19   new Trojan-Clicker.HTML.IFrame.fh   19799  
20   new Exploit.Win32.Pidief.ddd   19167  

La estadística de programas maliciosos en Internet de septiembre es bastante diferente de las anteriores: solo hay seis nuevos participantes. Por lo general son muchos más.

Para empezar, analicemos los siete exploits presentes en la estadística. Exploit.JS.Agent.bab (primer lugar), Trojan.JS.Agent.bhr (sexto lugar) y Exploit.JS.CVE-2010-0806.b (decimoquinto puesto) explotan la vulnerabilidad CVE-2010-0806 y ya hace varios meses seguidos que están entre los líderes. Al parecer, la explotación de esta vulnerabilidad de Internet Explorer gozará por largo tiempo de popularidad entre los delincuentes informáticos. En septiembre la cantidad de exploits que aprovechan la vulnerabilidad CVE-2010-1885 se ha reducido de cinco a uno, Exploit.HTML.CVE-2010-1885.d (tercer puesto). Dos exploits más, Trojan-Downloader.Java.Agent.ft (segundo lugar) y Trojan-Downloader.Java.Agent.gr (duodécimo lugar) usan la vieja vulnerabilidad CVE-2009-3867, cuyo funcionamiento se basa en la función getSoundBank(). Y el último representante de los exploits, Exploit.Java.CVE-2010-0886.a (undécimo lugar) está presente en todas las estadísticas a partir de mayo.

En septiembre, quizá por primera vez, la cantidad de exploits en la estadística iguala la cantidad de programas publicitarios. En el TOP20 han ingresado siete programas AdWare.Win32 de los cuales sólo FunWeb.ge (noveno lugar) se encuentra por primera vez en la estadística. Los demás ya estaban presentes en las anteriores estadísticas: FunWeb.di (cuarto lugar), FunWeb.ds (quinto lugar), FunWeb.fb (décimo lugar), FunWeb.q (decimotercer lugar), FunWeb.ci (decimosexto lugar) y Boran.z, que ya estuvo presente en la estadística de julio (decimoctavo puesto).

Pero ahora analicemos los novatos del TOP20 de septiembre. Es muy interesante el programa malicioso Exploit.SWF.Agent.du (séptimo lugar) que es un fichero Flash vulnerable. Hasta ahora han sido muy pocas las ocasiones en que habíamos podido observar la explotación de las vulnerabilidades en las tecnologías Flash. El nuevo representante de la clase Trojan-Downloader, Trojan-Downloader.Java.OpenStream.ap (decimoséptimo lugar) usa clases estándar del idioma Java para descargar un objeto malicioso. Durante la creación de este programa se utilizó la tecnología de “enmarañamiento”.

 
Fragmento de Trojan-Downloader.Java.OpenStream.ap

En la captura de pantalla se puede ver símbolos que se repiten, que no tienen ninguna carga útil y cuya tarea es evadir los antivirus.

Otro novato, Trojan-Clicker.HTML.IFrame.fh (decimonoveno lugar) es una sencilla página HTML cuyo objetivo es llevar al usuario a seguir un enlace malicioso.

El último programa de la estadística, Exploit.Win32.Pidief.ddd resultó ser bastante gracioso. Se trata de un fichero PDF que contiene un script que lanza el símbolo del sistema (cmd), el cual a su vez escribe en el disco un script VBS que muestra en la pantalla este mensaje: Este fichero está cifrado. Si quieres descifrarlo y leerlo, pulsa “Abrir”. Después, este script Visual Basic se lanza y empieza a descargar otro script malicioso. En la captura de pantalla vemos un fragmento del fichero PDF malicioso que contiene una parte del script y la frase.

 
Fragmento del programa malicioso Exploit.Win32.Pidief.ddd

Stuxnet

Haciendo un resumen del mes, merece la pena mencionar el gusano Stuxnet, a pesar de que no llegó a ingresar al TOP20 debido a su extremada especialización.

Los medios escribieron mucho sobre Stuxnet en septiembre, a pesar de que el gusano fue descubierto a principios de junio. Recordamos que el programa malicioso explota cuatro diferentes vulnerabilidades de “día cero” y usa dos certificados vigentes de las compañías Realtek y JMicron. Sin embargo, la principal peculiaridad de Stuxnet, que fue la que lo hizo famoso, es su orientación. La principal tarea de este programa nocivo no es enviar spam o robar información confidencial a los usuarios, sino tomar el control de empresas industriales. En esencia, es un programa de nueva generación, cuya aparición hace que los términos “terrorismo informático” y “guerra cibernética” se pongan a la orden del día.

Los principales países en los que tuvieron lugar casos de infección causadas por este programa malicioso son India, Indonesia e Irán. Este es el mapa de la difusión del gusano a finales de septiembre:

 

TOP20 de programas maliciosos, septiembre de 2010

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada