Todas las amenazas

Virus

Hackers

Spam

Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario
Bitácora

 
Archivo

<< 2014  
ene feb mar
abr may jun
jul ago sep
oct nov  
Artículos analíticos más populares



Panorama de las amenazas cibernéticas en el tercer trimestre de 2014



¡Felicidades, acabas de ganar! La realidad detrás de las loterías online



Amenazas para dispositivos móviles en 2013



Keyloggers: Qué son y cómo detectarlos (primera parte)



Watershed in malicious code evolution
 
Información para autores potenciales
¡Escríbanos!

¿Quiere usted ser uno de nuestros autores y ver su trabajo publicado en nuestro sito web Viruslist.com? ¡Escríbanos!

 

  Home / Análisis

Análisis de las actividades de los virus informáticos en enero de 2011

3.02.2011   |   comments (1)

Vyacheslav Zakorzhevsky

Enero en cifras

Durante este mes en los equipos de los usuarios de los productos de Kaspersky Lab:

  • se neutralizó 213.915.256 ataques de red,
  • se bloqueó 68.956.183 intentos de inocular infecciones mediante la web,
  • se detectó y neutralizó 187.234.527 programas maliciosos (intentos de infección local),
  • el sistema heurístico se activó 70.179.070 veces.

Estafadores en Internet

La mayoría de los programas maliciosos, sobre todo los más complejos, se camuflan en el sistema y actúan de una forma que pasa desapercibida por el usuario. Sin embargo, para que un esquema de estafa funcione, hace falta la participación del usuario. Es muy importante saber los trucos que usan los estafadores para evitar caer en sus trampas.

Regalos peligrosos

Con frecuencia, los delincuentes aprovechan la popularidad de diferentes servicios de Internet. La popularidad de los productos de Kaspersky Lab también llamó la atención de los estafadores y en enero recibimos la confirmación.

En Internet se difunden utilitarios que permiten usar algunos productos de Kaspersky Lab sin activarlos. Nuestra compañía detecta estos programas como software potencialmente indeseable de la familia Kiser. En enero dos representantes de esta familia incluso ingresaron al TOP20 de los veredictos más frecuentes en los ordenadores de los usuarios (puestos 9 y 11).

Después de las fiestas de fin de año detectamos un troyano-dropper camuflado como un generador de claves para los productos de Kaspersky Lab. El dropper instala y ejecuta en los ordenadores de los amantes de la cosas gratis dos peligrosos programas. Uno de ellos roba los datos de alta de los programas y las contraseñas de los juegos online. El segundo es un backdoor que también tiene funciones de keylogger.

A principios de enero nuestros expertos descubrieron un sitio falsificado que pretendía pertenecer a Kaspersky Lab, cuya dirección se diferencia de kasperksy.ru sólo por una letra. En este sitio se les ofrecía a los usuarios descargar un “regalo de año nuevo”, una versión gratuita de Kaspersky Internet Security 2011.

 

En lugar de KIS2011, en el equipo se instalaba el programa malicioso Trojan-Ransom.MSIL.FakeInstaller.e, que terminaba reiniciándolo. Después del reinicio, el troyano, por alguna razón mostraba una ventana falsa de la red social rusa Odnoklassniki con una notificación de que el usuario había ganado un teléfono Samsung Galaxy S, y que para recibirlo debía pagar 1.200 rublos (unos 30 euros). Para confirmar que “había ganado”, tenía que enviar un mensaje de texto a un número de pago. Pero el envío del mensaje le costaba determinada suma al usuario y en esto terminaba la historia del premio.

Animamos a los usuarios a estar atentos y usar sólo los servicios y productos que ofrecemos en los sitios oficiales de nuestra compañía.

Internet Explorer es gratuito, pero cuesta 300 rublos

Los estafadores también se aprovecharon de la popularidad de un programa más: Internet Explorer. En enero, en el sector ruso de Internet se detectaron páginas web que ofrecían al usuario “actualizar su navegador Internet Explorer”. Al principio había que elegir las “actualizaciones” necesarias, después en la pantalla se hacía una imitación de su instalación y se exigía activar el "software instalado" enviando un mensaje de texto a un número de pago.

Una vez enviado el mensaje de texto, el usuario recibía un enlace a un instalador gratuito y accesible al público en general de Internet Explorer 8 y a una serie de artículos sobre seguridad informática.

Estas páginas de estafadores se detectan como Hoax.HTML.Fraud.e y, según los resultados del mes, el veredicto correspondiente ocupa el puesto 17 en el TOP20 de programas maliciosos en Internet.

Los archivos vacíos

Entre los estafadores de Internet sigue gozando de popularidad otro tipo de cebo, los archivos falsificados. Este mes la nueva modificación de Hoax.Win32.ArchSMS.mvr ha ingresado al TOP20 en las dos estadísticas: de los programas maliciosos en Internet (puesto 11) y de los programas maliciosos detectados en los ordenadores de los usuarios (puesto 17).

Ataques mediante Twitter

En nuestro anterior análisis escribimos sobre la propagación de enlaces maliciosos en Twitter abreviados con la ayuda del servicio goo.gl. A mediados de enero la difusión masiva de enlaces abreviados ha continuado. De la misma forma que en diciembre, al seguir los enlaces el usuario, después de peregrinar por varias redirecciones, llegaba a una página con un “antivirus online”. El antivirus falso actuaba según el mismo esquema de diciembre: abría en la página una ventana similar a la de Mi PC, hacía una imitación de escaneado del equipo y le pedía al usuario pagar para eliminar los programas maliciosos "detectados".

Programas publicitarios

Continúa la propagación de programas publicitarios. AdWare.Win32.WhiteSmoke.a, que ocupa el puesto 12 en la estadística de programas maliciosos en Internet, agrega el acceso directo “Improve your PC” al escritorio. Cuando el usuario hace clic en éste, se abre una página que propone “limpiar los errores del equipo”. Si el dueño del equipo acepta la propuesta, se le instala un programa llamado RegistryBooster 2011 que escanea el ordenador y le pide que pague para corregir los errores detectados.

 
RegistryBooster 2011 en acción

Es la primera vez que el popular software FunWeb Hoax.Win32.ScreenSaver.b ingresa al TOP20 de programas maliciosos detectados en los ordenadores de los usuarios, pero llega directamente al cuarto lugar. Les recuerdo que FunWeb es una de las populares familias de programas publicitarios cuyos representantes suelen entrar con regularidad a las estadísticas de los programas maliciosos más populares. Estos programas publicitarios prevalecen en los países de habla inglesa: EEUU, Canadá, Inglaterra e India.

 

Vulnerabilidades y actualizaciones

Una vez más recomendamos a los usuarios prestar atención a las actualizaciones críticas. En enero el exploit Exploit.JS.Agent.bbk, que usa la vulnerabilidad CVE-2010-0806 entró a la veintena de las amenazas más propagadas bloqueadas en los equipos de los usuarios. A pesar de que la vulnerabilidad se cerró ya a finales de marzo de 2010 (aquí está el parche), aparte de Agent.bbk la explotan varios programas maliciosos más del TOP20 (puestos 6 y 13). Esto significa que la brecha en el software todavía sigue abierta en una multitud de equipos y los delincuentes siguen sacándole provecho.

Descargas de ficheros mediante programas maliciosos escritos en Java

La descarga de ficheros con programas escritos en Java que usan el método OpenConnection, iniciada por los delincuentes en octubre del año pasado, en el presente es uno de los métodos más populares de descarga. En la estadística de programas maliciosos en Internet de enero hay dos representantes de Trojan-Downloader.Java.OpenConnection (puestos 9 y 20).

 
Dinámica de detección de Trojan-Downloader.Java.OpenConnection (cantidad de
usuarios únicos) octubre de 2010 – enero de 2011

Cabe destacar que si se usan las últimas versiones de JRE (entorno de funcionamiento de Java), el usuario recibirá una advertencia sobre el lanzamiento de un applet Java peligroso. Es suficiente no ejecutarlo para evitar la infección del equipo.

Programas malicioso complejos: un nuevo gusano de correo

En enero apareció un nuevo gusano de correo, Email-Worm.Win32.Hlux. Se propaga mediante mensajes de que el usuario ha recibido una tarjeta y que tiene que instalar Flash Player para “que la visualización de la tarjeta sea correcta”. El enlace abre una ventana de diálogo en la que se le pregunta al usuario si quiere descargar el fichero. Independientemente de la respuesta del usuario, el gusano trata de irrumpir en el equipo: a los cinco segundos de la apertura de la ventana de diálogo, se lo remite a una página que contiene una serie de exploits y programas de la familia Trojan-Downloader.Java.OpenConnection que empiezan a descargar Hlux en el ordenador.

El gusano, aparte de difundirse por correo electrónico, tiene funcionalidades de bot e inscribe el equipo en una botnet. Hlux se conecta con el centro de administración de la botnet y empieza a ejecutar sus instrucciones, en particular, a enviar spam farmacéutico. El bot se comunica con el centro de administración mediante servidores proxy de una red fast-flux. Si el equipo infectado tiene una dirección IP externa, se lo puede usar como eslabón de la red fast-flux. La gran cantidad de equipos infectados permite a los delincuentes cambiar con gran frecuencia las direcciones IP de los dominios en que están ubicados los centros de administración de la botnet.

 новое окно
Frecuencia de cambio de las direcciones IP de los dominios de los centros de
administración de las botnets Hlux

El troyano SMS: una forma más de robar dinero

En enero los delincuentes empezaron a utilizar una nueva manera de robar dinero a los propietarios de teléfonos celulares. El nuevo troyano Trojan-SMS.J2ME.Smmer.f se propaga por medio de un método estándar para los programas móviles escritos en Java, es decir, con la ayuda de mensajes de textos que contienen un enlace a una “tarjeta virtual”. Después de instalarse en el teléfono, el troyano envía sendos mensajes de texto a dos diferentes números de pago. Los mensajes a estos números se envían gratis. ¿Pero cómo lucran los estafadores? Pues resulta que uno de los proveedores de telefonía celular usa ambos números para transferir dinero de una cuenta a otra. En el primer mensaje enviado por el troyano se indica el monto que se retirará de la cuenta del dueño del teléfono infectado (200 rublos, unos 5 euros) y el número usado por los delincuentes para recibir el dinero. El segundo mensaje se envía para confirmar la transferencia.

Hace dos años nos topamos con este tipo de estafa y las víctimas fueron los usuarios indonesios. Ahora el método ha sido adoptado por los delincuentes de Rusia.

TOP 20 de programas maliciosos en Internet

Posición Cambios en la posición Programa malicioso Cantidad de ataques únicos*
1   0 AdWare.Win32.HotBar.dh   169173  
2   0 Trojan-Downloader.Java.OpenConnection.cf   165576  
3   New Exploit.HTML.CVE-2010-1885.aa   140474  
4   New AdWare.Win32.FunWeb.gq   114022  
5   -2 Trojan.HTML.Iframe.dl   112239  
6   New Trojan.JS.Redirector.os   83291  
7   7 Trojan-Clicker.JS.Agent.op   82793  
8   -4 Trojan.JS.Popupper.aw   80981  
9   New Trojan-Downloader.Java.OpenConnection.cg   66005  
10   2 Trojan.JS.Agent.bhr   53698  
11   New Hoax.Win32.ArchSMS.mvr   47251  
12   New AdWare.Win32.WhiteSmoke.a   44889  
13   5 Trojan.JS.Fraud.ba   44561  
14   -4 Exploit.JS.Agent.bab   42800  
15   -7 Trojan.JS.Redirector.lc   42231  
16   -8 Exploit.Java.CVE-2010-0886.a   41232  
17   New Hoax.HTML.Fraud.e   37658  
18   New Trojan-Clicker.JS.Agent.om   36634  
19   -6 Trojan-Downloader.JS.Small.os   35857  
20   New Trojan-Downloader.Java.OpenConnection.cx   35629  

*Total de incidentes únicos registrados por el antivirus web en los equipos de los usuarios

TOP20 de programas maliciosos detectados en los ordenadores de los usuarios

Posición Cambios en la posición Programa malicioso Cantidad de usuarios únicos*
1   0 Net-Worm.Win32.Kido.ir   466686  
2   1 Virus.Win32.Sality.aa   210635  
3   -1 Net-Worm.Win32.Kido.ih   171640  
4   New Hoax.Win32.Screensaver.b   135083  
5   0 AdWare.Win32.HotBar.dh   134649  
6   -2 Trojan.JS.Agent.bhr   131466  
7   -1 Virus.Win32.Sality.bh   128206  
8   -1 Virus.Win32.Virut.ce   114286  
9   New HackTool.Win32.Kiser.zv   104673  
10   -2 Packed.Win32.Katusha.o   90870  
11   New HackTool.Win32.Kiser.il   90499  
12   -2 Worm.Win32.FlyStudio.cu   85184  
13   -1 Exploit.JS.Agent.bab   77302  
14   -1 Trojan-Downloader.Win32.Geral.cnh   62426  
15   -1 Trojan-Downloader.Win32.VB.eql   58715  
16   0 Worm.Win32.Mabezat.b   58579  
17   New Hoax.Win32.ArchSMS.mvr   50981  
18   -1 Packed.Win32.Klone.bq   50185  
19   Returned Worm.Win32.Autoit.xl   43454  
20   New Exploit.JS.Agent.bbk   41193  

*Cantidad de usuarios únicos en cuyos equipos el antivirus detectó objetos maliciosos

Fuente:
Kaspersky Lab
Enlaces sobre temas similares
Analysis
Resumen de las actividades de los virus informáticos, marzo de 2012
Resumen de las actividades de los virus informáticos, febrero de 2012
Resumen de las actividades de los virus informáticos, noviembre de 2011
Resumen de las actividades de los virus informáticos, octubre de 2011
Resumen de las actividades de los virus informáticos, septiembre de 2011
 

Copyright © 1996 - 2014
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com