Informes sobre malware

Virus Top 20. Los 20 virus más difundidos, octubre de 2005

Posición Cambios en la posición Name Porcentaje
1. Up
+1

Net-Worm.Win32.Mytob.c
14.56
2. New!
Nuevo

Email-Worm.Win32.Doombot.b
10.27
3. Down
-2

Email-Worm.Win32.Zafi.d
7.92
4. Up
+15

Net-Worm.Win32.Mytob.bi
6.80
5. Down
-1

Email-Worm.Win32.LovGate.w
5.27
6. Up
+2

Email-Worm.Win32.NetSky.q
3.66
7. New!
Nuevo

Email-Worm.Win32.Doombot.d
3.27
8. Down
-3

Email-Worm.Win32.NetSky.b
3.08
9. Down
-2

Net-Worm.Win32.Mytob.bk
3.03
10. Down
-1

Net-Worm.Win32.Mytob.t
2.51
11. Up
+4

Net-Worm.Win32.Mytob.y
2.35
12. Up
+5

Net-Worm.Win32.Mytob.be
2.22
13. Down
-7

Net-Worm.Win32.Mytob.q
2.10
14. Down
-4

Net-Worm.Win32.Mytob.u
2.08
15. Down
-12

Email-Worm.Win32.Zafi.b
1.59
16. New!
Nuevo

Email-Worm.Win32.Fanbot.f
1.46
17. New!
New

Email-Worm.Win32.Bagle.dx
1.24
18. New!
Nuevo

Trojan-Spy.HTML.Bayfraud.hn
1.22
19. Down
-8

Net-Worm.Win32.Mytob.r
1.20
20. Down
-8

Email-Worm.Win32.NetSky.aa
1.16
Other malicious programs 23.01

Como probablemente recuerdan los lectores regulares, a finales de agosto dos hombres jóvenes fueron arrestados en Marruecos y Turquía bajo sospecha de haber participado en la creación de gusanos de la familia Mytob. Aún mo se sabe si han sido encontrados culpables o no. Pero ha habido una clara reducción en el número de las nuevas variantes de Mytob en septiembre, hecho que parece hablar por sí mismo.

Sin embargo, es bien sabido que la naturaleza aborrece el vacío y en esto el mundo de los virus del ordenador no es nada diferente a ningún otro ambiente natural. Los criminales cibernéticos no han dejado pasar esta oportunidad y han lanzado un número de familias nuevas de gusanos peligrosos en el mundo salvaje.

Octubre de 2005 fue rico en nuevos programas malévolos. En el espacio de una sola semana, los analistas de virus del Laboratorio Kaspersky adaptaron su propio expediente, agregando más de 1.400 nuevos registros a la base de datos antivirus.

El líder de Los Veinte Virus ha cambiado otra vez, y Mytob.c ha tomado otro aspecto. Es altamente probable que este gusano resulte ser el programa malévolo más extendido de 2005.

En el segundo lugar tenemos un recién llegado a nuestra lista. Este gusano es Doombot.b, uno de los gusanos de la ‘nueva generación’ lanzados en el vacío de la izquierda por Mytob. Doombot es muy similar a Mytob en su funcionalidad. Combina un gusano de correo electrónico y la funcionalidad del IRC BOT, al igual que Mytob, y se basa en el código de fuente de Mydoom. Sin embargo, algunos de los componentes principales de Doombot son perceptiblemente diferentes, y esta es la razón por la cual lo clasificamos como perteneciente a una familia diferente. Hay que recalcar que la variable b fue detectada el 16 de octubre, lo cual significa que pudo elevarse al segundo lugar dentro de un plazo de dos semanas o algo así. Podemos ver que Doombot encabezará Los Veinte Virus en noviembre.

Mytob.bi también ha mostrado una subida rápida – en septiembre ocupó el decimonoveno lugar y desapareció efectivamente sobre el horizonte. Sin embargo, en octubre, subió 15 lugares, y ahora está en el cuarto lugar. El porcentaje de Mytob.bi es también extremadamente alto.

Otro gusano interesante entre los diez superiores es otro Doombot, Doombot.d. Este gusano fue clasificado originalmente como Mytob.dc. Sin embargo, contiene la secuencia “H-E-L-L-B-O-T-P-O-L-Y-M-O-R-P-H” de la marca registrada que se encuentra solamente en Doombots. Esto nos condujo a reclasificar el gusano. Tales casos fronterizos, donde están presentes la funcionalidad similar y la estructura básica del programa en una gama de los bots del gusano, causa dolores de cabeza para su clasificación. No es sorprendente que la mayoría de los gusanos de este tipo son clones de Mydoom, que pronto celebrará su segundo cumpleaños.

Ésta es una ilustración excelente de cómo la distribución del código de fuente a veces puede causar aún más daño que un solo gusano creado alrededor del mismo código. Después de todo, una vez que el código de fuente esté disponible, cualquiera puede crear rápidamente su propia variante modificando el código, aun con mínimas habilidades de programación.

En el resto de Los Veinte Virus, hay otros tres nuevos programas malévolos que merecen ser analizados con más detalle. Estos programas, en el décimosexto y el décimoctavo lugar, son muy diferentes de cualquier otro y, por esto, muy interesantes.

Otro gusano de la nueva generación, Fanbot.f, está en el decimosexto lugar. Este gusano también fue creado usando el código de fuente de Mydoom y de la puerta trasera del SdBot. Fanbot parece que intenta chispear la más reciente guerra cibernética, esta vez con el autor de Doombot. Una prueba de esto es la secuencia de texto que contiene el cuerpo del gusano: “HellBot3 tienen puerta trasera en ‘HellMsn.h’. ¡El autor HellBot3 es un idiota!!! [Fantasma] 2005 Hecho por el diablo [xiaou ]. Greetz al buen amigo x140d4n. basado en sdbot&&mydoom”

El autor de Fanbot también está disgustado con las compañías de antivirus que no clasificaron el gusano como el autor pensó: “MSG a Kaspersky&Norton: tendrán dificultades la próxima vez!!! ¡Estúpido no me llame Fanbot, yo soy [ Phantom ]!!! ¡Mierda!!! Juegue con el mejor, muera como el resto.”

La familia de Fanbot contiene actualmente once variantes, y es probable que las variantes de Fanbot y de Doombot estén entre los virus más activos de los meses que vienen. Los autores de Bagle han decidido claramente ensamblar la diversión. Mencionamos previamente que en septiembre se detectaron más de veinte nuevas variantes de Bagle . Sin embargo, en octubre los autores decidieron claramente favorecer la calidad sobre la cantidad. Dado esto, Bagle.dx, detectado el 20 de octubre, es un acontecimiento significativo en nuestra estadística de virus. Como siempre, en el caso de Bagle, el propósito principal de los escritores del virus no es dispersar el gusano por sí mismo, sino instalar servidores de energía troyanos en las máquinas de la víctima, que se pueden entonces utilizar para enviar correo spam. Los programas que cosecharán mensajes del correo electrónico también serán instalados en las máquinas de la víctima. Creemos que ese Bagle y las epidemias localizadas correspondientes está en la raíz del aumento agudo de los correos spam que ha ocurrido alrededor del gusano en las últimas semanas.


Las máquinas infectadas se utilizan no solamente como plataformas para correo no solicitado sino también para conducir ataques phishing. Uno de los ataques más grandes de octubre era el spamming de Trojan-Spy.HTML.Bayfraud.hn, que apunta a usuarios de eBay. El ataque permitió a este troyano tomar el decimoctavo lugar y esto destaca de nuevo el peligro y el daño causados por los phishers. Otros programas maliciosos supusieron el 23.1% de malware interceptado en tráfico del correo. Esto indica que un alto número de otros gusanos y troyanos está actualmente en circulación.

Resumen:

New Doombot.b, Doombot.d, Fanbot.f, Bagle.dx, Bayfraud.hn
Han subido Mytob.c, Mytob.bi, NetSky.q, Mytob.y, Mytob.be
Han bajado Zafi.d, Lovgate.w, NetSky.b, Mytob.bk, Mytob.t, Mytob.q, Mytob.u, Zafi.b, Mytob.r, NetSky.aa

Virus Top 20. Los 20 virus más difundidos, octubre de 2005

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada