Todas las amenazas

Virus

Hackers

Spam

Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario
Bitácora

 
Archivo

<< 2014  
ene feb mar
abr may jun
jul ago sep
oct nov  
Artículos analíticos más populares



Panorama de las amenazas cibernéticas en el tercer trimestre de 2014



¡Felicidades, acabas de ganar! La realidad detrás de las loterías online



Keyloggers: Qué son y cómo detectarlos (primera parte)



El spam en septiembre de 2014



Amenazas para dispositivos móviles en 2013
 
Información para autores potenciales
¡Escríbanos!

¿Quiere usted ser uno de nuestros autores y ver su trabajo publicado en nuestro sito web Viruslist.com? ¡Escríbanos!

 

  Home / Análisis

TOP20 de programas maliciosos, diciembre de 2009

4.01.2010   |   Comentar

Eugene Aseev

Programas maliciosos detectados en los equipos de los usuarios

En la primera tabla se registran los programas maliciosos y potencialmente indeseables detectados y neutralizados por primera vez en los ordenadores de los usuarios.


Posición Cambios en la posición Programma nocivo Cantidad de equipos infectados
1   0 Net-Worm.Win32.Kido.ir   265622  
2   0 Net-Worm.Win32.Kido.iq   211101  
3   0 Net-Worm.Win32.Kido.ih   145364  
4   0 Virus.Win32.Sality.aa   143166  
5   0 Worm.Win32.FlyStudio.cu   101743  
6   New not-a-virus:AdWare.Win32.GamezTar.a   63898  
7   -1 not-a-virus:AdWare.Win32.Boran.z   61156  
8   -1 Trojan-Downloader.Win32.VB.eql   61022  
9   -1 Trojan-Downloader.WMA.GetCodec.s   56364  
10   New Trojan.Win32.Swizzor.c   54811  
11   New Trojan-GameThief.Win32.Magania.cpct   42676  
12   -3 Virus.Win32.Virut.ce   45127  
13   -3 Virus.Win32.Induc.a   37132  
14   0 Trojan-Dropper.Win32.Flystud.yo   33614  
15   3 Packed.Win32.Krap.ag   31544  
16   -3 Packed.Win32.Black.a   31340  
17   0 Worm.Win32.Mabezat.b   31020  
18   -2 Packed.Win32.Klone.bj   28814  
19   -7 Packed.Win32.Black.d   28560  
20   -5 Worm.Win32.AutoRun.dui   28551  


La primera tabla TOP20 muestra su ya tradicional estabilidad. La aparición de tres novatos en los puestos 6, 10 y 11 provocó que parte de los demás programas se desplazaran levemente hacia abajo. La única excepción fue un programa aparecido hace un mes, Packed.Win32.Krap.ag que subió tres puestos. Recordamos que Krap.ag, del mismo modo que otros representantes de la familia Packed, es un empaquetar de programas maliciosos, en este caso, de un antivirus falso. El porcentaje absoluto de este programa malicioso también ha crecido un poco, lo cual es un indicio de la vigencia de los seudoantivirus y de la tenacidad de los delincuentes que los usan en sus malignos esquemas para obtener ganancias sustanciales.

En diciembre GamezTar.a es un novato notable, que ha logrado ocupar el sexto lugar en la estadística. Este programa se posiciona como un panel para navegadores populares que ofrece un acceso rápido a juegos online y que, por supuesto, se dedica a mostrar publicidad insistente. Pero además, instala varias aplicaciones cuyo funcionamiento no depende del panel y que se entrometen en diferentes aspectos de la vida online del usuario, cuando hace o visualiza búsquedas en Internet. Vale decir que todos estos componentes están descritos en el acuerdo de servicio (www.gameztar.com/terms.do), pero por lo general al usuario le resulta más atractivo pulsar un botón grande y titilante que pone “pulsa aquí, consigue juegos gratis” que el aburrido título “Condiciones de servicio” ubicado al final de la página. Por esta razón es que recomendamos leer estos acuerdos antes de descargar software.

En el décimo lugar tenemos a Trojan.Win32.Swizzor.c, pariente de Swizzor.b, que ya estuvo en el TOP20 de agosto y de Swizzor.a, que observamos en mayo. Los desarrolladores de este programa malicioso refinadamente enmarañado no han dejado de trabajar en nuevas versiones. La verdadera función de este troyano es muy simple. Se dedica a descargar otros programas maliciosos de Internet.

Programas maliciosos en Internet

La segunda tabla refleja la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y los que hicieron intentos de descargarse desde páginas web.


Posición Cambios en la posición Programma nocivo Número de tentativas de descarga
1   0 Trojan-Downloader.JS.Gumblar.x   445881  
2   3 Trojan.JS.Redirector.l   178902  
3   New not-a-virus:AdWare.Win32.GamezTar.a   165678  
4   -2 Trojan-Downloader.HTML.IFrame.sz   134215  
5   New Trojan-Clicker.JS.Iframe.db   128093  
6   -2 not-a-virus:AdWare.Win32.Boran.z   109256  
7   New Trojan.JS.Iframe.ez   91737  
8   New Trojan.JS.Zapchast.bn   64756  
9   New Packed.JS.Agent.bn   60361  
10   New Packed.Win32.Krap.ai   43042  
11   8 Packed.Win32.Krap.ag   41731  
12   New Exploit.JS.Pdfka.asd   36044  
13   New Trojan.JS.Agent.axe   35309  
14   New Trojan-Downloader.JS.Shadraem.a   35187  
15   Return Trojan.JS.Popupper.f   33745  
16   New not-a-virus:AdWare.Win32.GamezTar.b   33266  
17   New Trojan-Downloader.JS.Twetti.a   30368  
18   New Trojan-Downloader.Win32.Lipler.iml   28634  
19   New Trojan-Downloader.JS.Kazmet.d   28374  
20   New Trojan.JS.Agent.axc   26198  

En la segunda tabla, a diferencia de la primera, sólo un cuarto de los programas han conservado su posición, uno ha vuelto y el resto ha cambiado radicalmente.

Gumblar.x sigue siendo el líder. Los webmasters poco a poco han ido limpiando los sitios infectados y por eso la cantidad de intentos únicos en diciembre es una tercera parte menor que en noviembre.

Krap.ag, mencionado en la primera tabla, ha subido 8 posiciones en la segunda. En diciembre hubo el doble de intentos de descargarlo que en noviembre. Un puesto más arriba está Krap.ai, que es un empaquetador especial para seudoantivirus.

GamezTar.a también aparece en la segunda tabla, algo que es natural si se toman en cuenta sus funciones web y el hecho de que este programa está orientado a los juegos online. Además, en el puesto 16 encontramos otra modificación de este programa malicioso, Gamez.Tar.b.

Trojan-Clicker.JS.Iframe.db es un descargador iframe común y corriente, con un enmarañamiento muy sencillo.

Trojan.JS.Iframe.ez, Trojan.JS.Zapchast.bn, Packed.JS.Agent.bn, Trojan.JS.Agent.axe, Trojan-Downloader.JS.Shadraem.a, Trojan-Downloader.JS.Kazmet.d son scripts con diferentes grados de complejidad lógica y enmarañamiento, que usan las vulnerabilidades de los productos Adobe y Microsoft para descargar ficheros ejecutables.

Y al final tenemos al ejemplar más interesante de las actividades creativas de los delincuentes, Trojan-Downloader.JS.Twetti.a (lugar 17), que ha contagiado muchos sitios legítimos. El algoritmo de funcionamiento de este descargador merece que le prestemos especial atención. Después de descifrarlo, no encontramos ni un enlace a un fichero ejecutable, ni exploits, ni enlaces a exploits. Durante el análisis descubrimos que el script usa el API de la red social Twitter, que también es popular entre los delincuentes.

El troyano funciona según el siguiente esquema: se hace una solicitud al API cuyo resultado son datos de los "trends", es decir, los temas más comentados en Twitter. De los datos obtenidos se forma un nombre de dominio seudoaleatorio que los delincuentes ya han registrado con tiempo, usando un algoritmo similar, al cual se conduce con disimulo. En este dominio se encuentra la parte maliciosa, ya sean exploits PDF o ficheros ejecutables. De esta manera, los enlaces maliciosos y la redirección hacia los mismos se hace en tiempo real, por medio de un intermediario que en este caso es Twitter.

Merece la pena mencionar que los programas maliciosos Packed.JS.Agent.bn y Trojan-Downloader.JS.Twetti.a usan un fichero PDF especial para infectar los equipos, el cual detectamos como Exploit.JS.Pdfka.asd y que también está en la lista TOP20, en el puesto 12. Es decir, se puede suponer que por lo menos tres populares programas maliciosos de diciembre pertenecen a un sólo grupo de delincuentes. Es más, entre los ficheros ejecutables que, como consecuencia de los ataques drive-by, se descargan en los equipos víctima, se ha registrado la presencia de las familias TDSS, Sinowal y Zbot, que son una de las amenazas más serias en este momento, lo que nos da mucho que pensar.

En resumen, podemos decir que las tendencias siguen siendo las mismas. Los ataques se hacen cada vez más refinados y difíciles de analizar, y su objetivo en la mayoría de los casos es lucrar de una u otra manera. Aumenta la seriedad de las amenazas virtuales, que en realidad son cada vez más reales. Por esto es que hoy la prioridad fundamental debe ser la seguridad propia.

Fuente:
Kaspersky Lab
Enlaces sobre temas similares
Analysis
Resumen de las actividades de los virus informáticos, marzo de 2012
Resumen de las actividades de los virus informáticos, febrero de 2012
Resumen de las actividades de los virus informáticos, noviembre de 2011
Resumen de las actividades de los virus informáticos, octubre de 2011
Resumen de las actividades de los virus informáticos, septiembre de 2011
 

Copyright © 1996 - 2014
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com