Kaspersky Lab presenta el Top 20 de programas maliciosos detectados en febrero

El gusano Kido (Conficker), responsable de una de las epidemias m�s graves de los �ltimos tiempos, empieza a desaparecer, aunque muy lentamente

Madrid, 10/3/2010.

Madrid, 10 de marzo de 2010

Kaspersky Lab ha presentado el TOP 20 de programas maliciosos detectados en febrero. Este mes, los programas maliciosos que circulan por Internet han creado una situación muy interesante. En primer lugar, Gumblar.x, cuya epidemia casi se había extinguido en enero, ha vuelto a acelerarse y a situarse como líder. En segundo lugar, la envergadura de la epidemia causada en enero por Pegel, ha crecido prácticamente seis veces. Por último, parece que la epidemia de Kido se está extinguiendo, aunque muy despacio: los cinco primeros puestos siguen estando ocupados por los mismos programas maliciosos.

En la primera tabla se registran los programas maliciosos y potencialmente indeseables detectados y neutralizados por primera vez en los ordenadores de los usuarios.

Posición Cambios en la posición Programa malicioso Cantidad de equipos infectados

1 0 et-Worm.Win32.Kido.ir 1

2 1 Virus.Win32.Sality.aa 2

3 1 et-Worm.Win32.Kido.ih 3

4 -2 et-Worm.Win32.Kido.iq 4

5 0 Worm.Win32.FlyStudio.cu 5

6 3 Trojan-Downloader.Win32.VB.eql 6

7 Nuevo Exploit.JS.Aurora.a 7

8 9 Worm.Win32.AutoIt.tc 8

9 1 Virus.Win32.Virut.ce 9

10 4 Packed.Win32.Krap.l 10

11 -3 Trojan-Downloader.WMA.GetCodec.s 11

12 0 Virus.Win32.Induc.a 12

13 Nuevo not-a-virus:AdWare.Win32.RK.aw 13

14 -3 not-a-virus:AdWare.Win32.Boran.z 14

15 1 Worm.Win32.Mabezat.b 15

16 Nuevo Trojan.JS.Agent.bau 16

17 3 Packed.Win32.Black.a 17

18 1 Trojan-Dropper.Win32.Flystud.yo 18

19 Retorno Worm.Win32.AutoRun.dui 19

20 Nuevo not-a-virus:AdWare.Win32.FunWeb.q 20

A juzgar por la cantidad de infecciones, la epidemia de Kido se está extinguiendo, aunque muy despacio: los cinco primeros puestos siguen estando ocupados por los mismos programas maliciosos.

En el séptimo lugar tenemos un curioso representante de los exploits (programas que se aprovechan de las vulnerabilidades de software) Exploit.JS.Aurora.a, al cual le prestaremos atención detallada en la sección "programas maliciosos en Internet".

Además, en febrero hay dos programas AdWare novatos.

Un claro ejemplo de los programas publicitarios es FunWeb.q, que ocupa el vigésimo lugar en la estadística. Este programa es un panel para navegadores populares que le da al usuario un fácil acceso a los recursos de determinados sitios web, sobre todo los que tienen contenidos multimedia. Otra de sus características es que, para mostrar los anuncios, modifica las páginas que el usuario suele visitar.

El caso de not-a-virus:AdWare.Win32.RK.aw (puesto 13) es un poco más complejo. Esta es una aplicación Relevant Knowledge, que se difunde e instala junto con diferentes programas. En el contrato de servicio, (http://www.relevantknowledge.com/RKPrivacy.aspx) se indica que este programa efectúa una recopilación automática de la información del usuario, haciendo un seguimiento de prácticamente todas sus actividades, sobre todo en Internet, y las almacena en sus servidores. La empresa afirma que todos los datos recopilados se usarán exclusivamente para buenos fines ("ayudar a formar el futuro de Internet") y que estarán bien protegidos. Al usuario le corresponde decidir si confía o no en estas palabras.

Programas maliciosos en Internet

La segunda tabla refleja la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y los que hicieron intentos de descargarse desde páginas web.

Posición Cambios en la posición Programa malicioso Número de intentos únicos de descarga

1 Retorno Trojan-Downloader.JS.Gumblar.x 453.985

2 -1 Trojan.JS.Redirector.l 346.637

3 Nuevo Trojan-Downloader.JS.Pegel.b 198.348

4 3 not-a-virus:AdWare.Win32.Boran.z 80.185

5 -2 Trojan-Downloader.JS.Zapchast.m 80.121

6 Nuevo Trojan-Clicker.JS.Iframe.ea 77.067

7 Nuevo Trojan.JS.Popupper.ap 77.015

8 3 Trojan.JS.Popupper.t 64.506

9 Nuevo Exploit.JS.Aurora.a 54.102

10 Nuevo Trojan.JS.Agent.aui 53.415

11 Nuevo Trojan-Downloader.JS.Pegel.l 51.019

12 Nuevo Trojan-Downloader.Java.Agent.an 47.765

13 Nuevo Trojan-Clicker.JS.Agent.ma 45.525

14 Nuevo Trojan-Downloader.Java.Agent.ab 42.830

15 Nuevo Trojan-Downloader.JS.Pegel.f 41.526

16 Retorno Packed.Win32.Krap.ai 38.567

17 Nuevo Trojan-Downloader.Win32.Lipler.axkd 38.466

18 Nuevo Exploit.JS.Agent.awd 35.024

19 Nuevo Trojan-Downloader.JS.Pegel.k 34.665

20 Nuevo Packed.Win32.Krap.an 33.538

En febrero, los programas maliciosos que circulan por Internet han creado una situación muy interesante, que se ha reflejado en la segunda lista TOP20.

En primer lugar, Gumblar.x, cuya epidemia casi se había extinguido en enero, en febrero ha vuelto a acelerarse y a situarse como líder. Esto es un síntoma de que el nuevo ataque de Gumblar que habíamos descrito hace un mes (http://www.securelist.com/ru/analysis/208050611/Reyting_vredonosnykh_programm_yanvar_2010) no se hizo esperar demasiado. Sin embargo esta vez, a diferencia de la anterior, los delincuentes no han hecho ningún cambio fundamental, sino que más bien usaron nuevos datos de acceso a los sitios web de los usuarios para infectarlos en masa. No obstante, seguiremos muy atentamente el desarrollo de los acontecimientos y la evolución de los cambios.

Рис. 1. Cantidad de sitios web infectados por Gumblar.x

En segundo lugar, la envergadura de la epidemia causada en enero por Pegel (http://www.securelist.com/ru/analysis/208050611/Reyting_vredonosnykh_programm_yanvar_2010) ha crecido prácticamente seis veces: en la tabla podemos observar que entre los novatos hay cuatro representantes de esta familia, uno de los cuales ocupa de súbito el tercer lugar. Este descargador, que tiene cierta similitud con Gumblar, también infecta los sitios web legítimos. Cuando el usuario visita una página infectada, un script incrustado en la misma lo remite al sitio de los delincuentes. Para reducir las probabilidades de que le surjan sospechas al usuario, los delincuentes usan nombres de sitios populares en las direcciones de las páginas, por ejemplo:

http://friendster-com.youjizz.com.jeuxvideo-com.**********.ru:8080/sify.com/sify.com/pdfdatabase.com/google.com/allegro.pl.php

http://avast-com.deviantart.com.dangdang-com.**********.ru:8080/wsj.com/wsj.com/google.com/nokia.com/aweber.com.php

En estos enlaces hay otro script que trata, de diferentes formas, de descargar el fichero ejecutable principal. Los trucos que intenta son, en su mayoría, tradicionales: explotación de vulnerabilidades en los populares programas Internet Explorer (CVE-2006-0003 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0003) y Adobe Reader (CVE-2007-5659 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=2007-5659), CVE-2006-0003 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927), y también la descarga mediante un applet Java especial (una aplicación Java en forma de códigos).

Pero el principal fichero ejecutable sigue siendo el famoso Backdoor.Win32.Bredolab (http://www.securelist.com/ru/descriptions/12295579/Backdoor.Win32.Bredolab.d), empaquetado mediante diferentes empaquetadores maliciosos, algunos de los cuales se detectan como Packed.Win32.Krap.ar y Packed.Win32.Krap.ao. Hemos escrito con más detalles sobre este programa malicioso (http://www.securelist.com/ru/analysis/208050559/Fabrika_nazhivy), pero merece la pena mencionar que, aparte de las funciones principales de control remoto del ordenador del usuario, también puede descargar otros ficheros maliciosos.

Y, finalmente, en el noveno puesto ha aparecido Exploit.JS.Aurora.a, que más arriba habíamos prometido analizar con más detalle. Auroa.a es el identikit que detecta el exploit de la vulnerabilidad CVE-2010-0249 (http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0249), descubierto después de un ataque masivo efectuado en enero contra varias versiones de Internet Explorer.

Este ataque, mencionado por todos los recursos dedicados a las tecnologías informáticas, estaba dirigido a varias grandes compañías (como Google y Adobe) y recibió el nombre de Aurora (http://en.wikipedia.org/wiki/Operation_Aurora), por el nombre del directorio usado por uno de sus principales ficheros ejecutables. Su objetivo era obtener la información personal de los usuarios y también la propiedad intelectual de las compañías, por ejemplo, los códigos fuente de sus proyectos. Para realizar el ataque, se hicieron envíos masivos de mensajes electrónicos que contenían un enlace a una página maliciosa en la que había un exploit que descargaba el fichero ejecutable principal sin que el usuario se percatara.

Fig. 2. Fragmento de una de las variantes de Exploit.JS.Aurora.a

Llama la atención que los empleados de Microsoft sabían de esta vulnerabilidad varios meses antes del ataque, pero la subsanaron solo unas semanas después del ataque. No hace falta decir que en el transcurso de este tiempo, el código del exploit se hizo público y sólo los delincuentes más perezosos no lo usaron en sus ataques: en nuestra colección ya hay más de cien diferentes variantes de utilización de esta vulnerabilidad.

Las conclusiones son evidentes. Como anteriormente, la principal amenaza para los usuarios son las vulnerabilidades en los productos de software más populares.

Tomando en cuenta que los delincuentes tratan de usar en sus ataques las vulnerabilidades detectadas hace varios años, se puede llegar a la conclusión de que estas siguen estando vigentes. Por desgracia, incluso si se instalan todas las actualizaciones para los grandes paquetes de software, no se puede estar seguro de que el ordenador esté fuera de peligro, ya que los productores de este software no siempre publican a tiempo los parches para las vulnerabilidades detectadas. Por esta razón, al trabajar con el ordenador, sobre todo si se hace uso intensivo de Internet, hay que tener mucho cuidado y, por supuesto, usar un antivirus con las últimas actualizaciones.

Acerca de Kaspersky Lab:

Kaspersky Lab es la mayor compañía antivirus de Europa. Kaspersky Lab proporciona una de las protecciones más inmediatas del mundo contra amenazas a la seguridad informática, incluyendo virus, spyware, crimeware, hackers, phishing y correo spam. La compañía está entre los cuatro primeros fabricantes mundiales de soluciones de seguridad informática para usuarios finales. Los productos y soluciones de Kaspersky Lab proporcionan uno de los tiempos de respuesta más rápidos y los niveles de detección más altos de la industria, tanto para usuarios particulares, pequeñas y medianas empresas y grandes corporaciones, como para el entorno informático móvil. La tecnología de Kaspersky® también se incluye en productos y servicios de otros desarrolladores de soluciones de seguridad líderes en la industria informática. Lea más en nuestra página www.kaspersky.es. Para conocer lo último en antivirus, antispyware y otros aspectos y tendencias en seguridad informática, visite www.viruslist.es.

Datos de contacto

Marga Su�rez

91 357 19 84

marga.suarez@prismacomunicacion.com

Notas de prensa relacionadas

Volver

Buscador de notas de prensa

Notas m�s leidas Categor�as m�s activas

Emitir notas de prensa: es una de las acciones de marketing m�s efectivas y asequibles para dar a conocer tu empresa, tu actividad, tus novedades.

Recibir notas de prensa: De manera segmentada, recibir�s la informaci�n que pueda ser de tu inter�s en cualquiera de los canales que t� selecciones.

Servicios y tarifas

Emitir notas de prensa

El env�o de una nota de prensa es gratuito si esta es enviada a dos categor�as de segmentaci�n. No se validar�n notas de prensa ya publicadas,iguales o muy similares. Si su empresa u organizaci�n requieren m�s env�os no dude en ponerse en contacto con el departamento comercial.

Recibir notas de prensa

La recepci�n de notas de prensa es totalmente gratuita independientemente del canal que escoja para recibirlas.