El gusano Kido (Conficker), responsable de una de las epidemias más graves de los últimos tiempos, empieza a desaparecer, aunque muy lentamente
Kaspersky Lab ha presentado el TOP 20 de programas maliciosos detectados en febrero. Este mes, los programas maliciosos que circulan por Internet han creado una situación muy interesante. En primer lugar, Gumblar.x, cuya epidemia casi se había extinguido en enero, ha vuelto a acelerarse y a situarse como líder. En segundo lugar, la envergadura de la epidemia causada en enero por Pegel, ha crecido prácticamente seis veces. Por último, parece que la epidemia de Kido se está extinguiendo, aunque muy despacio: los cinco primeros puestos siguen estando ocupados por los mismos programas maliciosos.
En la primera tabla se registran los programas maliciosos y potencialmente indeseables detectados y neutralizados por primera vez en los ordenadores de los usuarios.
| Posición | Cambios en la posición | Programma nocivo | Cantidad de equipos infectados |
| 1 | Net-Worm.Win32.Kido.ir | 274729 | |
| 2 | Virus.Win32.Sality.aa | 179218 | |
| 3 | Net-Worm.Win32.Kido.ih | 163467 | |
| 4 | Net-Worm.Win32.Kido.iq | 121130 | |
| 5 | Worm.Win32.FlyStudio.cu | 85345 | |
| 6 | Trojan-Downloader.Win32.VB.eql | 56998 | |
| 7 | Exploit.JS.Aurora.a | 49090 | |
| 8 | Worm.Win32.AutoIt.tc | 48418 | |
| 9 | Virus.Win32.Virut.ce | 47842 | |
| 10 | Packed.Win32.Krap.l | 47375 | |
| 11 | Trojan-Downloader.WMA.GetCodec.s | 43295 | |
| 12 | Virus.Win32.Induc.a | 40257 | |
| 13 | not-a-virus:AdWare.Win32.RK.aw | 39608 | |
| 14 | not-a-virus:AdWare.Win32.Boran.z | 39404 | |
| 15 | Worm.Win32.Mabezat.b | 38905 | |
| 16 | Trojan.JS.Agent.bau | 34842 | |
| 17 | Packed.Win32.Black.a | 32439 | |
| 18 | Trojan-Dropper.Win32.Flystud.yo | 32268 | |
| 19 | Worm.Win32.AutoRun.dui | 32077 | |
| 20 | not-a-virus:AdWare.Win32.FunWeb.q | 30942 |
A juzgar por la cantidad de infecciones, la epidemia de Kido se está extinguiendo, aunque muy despacio: los cinco primeros puestos siguen estando ocupados por los mismos programas maliciosos.
En el séptimo lugar tenemos un curioso representante de los exploits (programas que se aprovechan de las vulnerabilidades de software) Exploit.JS.Aurora.a, al cual le prestaremos atención detallada en la sección "programas maliciosos en Internet".
Además, en febrero hay dos programas AdWare novatos.Un claro ejemplo de los programas publicitarios es FunWeb.q, que ocupa el vigésimo lugar en la estadística. Este programa es un panel para navegadores populares que le da al usuario un fácil acceso a los recursos de determinados sitios web, sobre todo los que tienen contenidos multimedia. Otra de sus características es que, para mostrar los anuncios, modifica las páginas que el usuario suele visitar.
El caso de not-a-virus: AdWare.Win32.RK.aw (puesto 13) es un poco más complejo. Esta es una aplicación Relevant Knowledge, que se difunde e instala junto con diferentes programas. En el contrato de servicio, de servicio se indica que este programa efectúa una recopilación automática de la información del usuario, haciendo un seguimiento de prácticamente todas sus actividades, sobre todo en Internet, y las almacena en sus servidores. La empresa afirma que todos los datos recopilados se usarán exclusivamente para buenos fines ("ayudar a formar el futuro de Internet") y que estarán bien protegidos. Al usuario le corresponde decidir si confía o no en estas palabras.
Programas maliciosos en Internet
La segunda tabla refleja la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y los que hicieron intentos de descargarse desde páginas web.
| Posición | Cambios en la posición | Programma nocivo | Número de tentativas de descarga |
| 1 | Trojan-Downloader.JS.Gumblar.x | 453985 | |
| 2 | Trojan.JS.Redirector.l | 346637 | |
| 3 | Trojan-Downloader.JS.Pegel.b | 198348 | |
| 4 | not-a-virus:AdWare.Win32.Boran.z | 80185 | |
| 5 | Trojan-Downloader.JS.Zapchast.m | 80121 | |
| 6 | Trojan-Clicker.JS.Iframe.ea | 77067 | |
| 7 | Trojan.JS.Popupper.ap | 77015 | |
| 8 | Trojan.JS.Popupper.t | 64506 | |
| 9 | Exploit.JS.Aurora.a | 54102 | |
| 10 | Trojan.JS.Agent.aui | 53415 | |
| 11 | Trojan-Downloader.JS.Pegel.l | 51019 | |
| 12 | Trojan-Downloader.Java.Agent.an | 47765 | |
| 13 | Trojan-Clicker.JS.Agent.ma | 45525 | |
| 14 | Trojan-Downloader.Java.Agent.ab | 42830 | |
| 15 | Trojan-Downloader.JS.Pegel.f | 41526 | |
| 16 | Packed.Win32.Krap.ai | 38567 | |
| 17 | Trojan-Downloader.Win32.Lipler.axkd | 38466 | |
| 18 | Exploit.JS.Agent.awd | 35024 | |
| 19 | Trojan-Downloader.JS.Pegel.k | 34665 | |
| 20 | Packed.Win32.Krap.an | 33538 |
En febrero, los programas maliciosos que circulan por Internet han creado una situación muy interesante, que se ha reflejado en la segunda lista TOP20.
En primer lugar, Gumblar.x, cuya epidemia casi se había extinguido en enero, en febrero ha vuelto a acelerarse y a situarse como líder. Esto es un síntoma de que el nuevo ataque de Gumblar que habíamos descrito hace un mes no se hizo esperar demasiado. Sin embargo esta vez, a diferencia de la anterior, los delincuentes no han hecho ningún cambio fundamental, sino que más bien usaron nuevos datos de acceso a los sitios web de los usuarios para infectarlos en masa. No obstante, seguiremos muy atentamente el desarrollo de los acontecimientos y la evolución de los cambios.
Fig.1 Cantidad de sitios web infectados por Gumblar.x
En segundo lugar, la envergadura de la epidemia causada en enero por Pegel por Pegel ha crecido prácticamente seis veces: en la tabla podemos observar que entre los novatos hay cuatro representantes de esta familia, uno de los cuales ocupa de súbito el tercer lugar. Este descargador, que tiene cierta similitud con Gumblar, también infecta los sitios web legítimos. Cuando el usuario visita una página infectada, un script incrustado en la misma lo remite al sitio de los delincuentes. Para reducir las probabilidades de que le surjan sospechas al usuario, los delincuentes usan nombres de sitios populares en las direcciones de las páginas, por ejemplo:
http://avast-com.deviantart.com.dangdang-com.**********.ru:8080/wsj.com/wsj.com/google.com/nokia.com/aweber.com.php
En estos enlaces hay otro script que trata, de diferentes formas, de descargar el fichero ejecutable principal. Los trucos que intenta son, en su mayoría, tradicionales: explotación de vulnerabilidades en los populares programas Internet Explorer (CVE-2006-0003 y Adobe Reader (CVE-2007-5659, CVE-2006-0003 CVE-2006-0003), y también la descarga mediante un applet Java especial (una aplicación Java en forma de códigos).
Pero el principal fichero ejecutable sigue siendo el famoso Backdoor.Win32.Bredolab, empaquetado mediante diferentes empaquetadores maliciosos, algunos de los cuales se detectan como Packed.Win32.Krap.ar y Packed.Win32.Krap.ao. Hemos escrito con más detalles sobre este programa malicioso programa malicioso, pero merece la pena mencionar que, aparte de las funciones principales de control remoto del ordenador del usuario, también puede descargar otros ficheros maliciosos.
Y, finalmente, en el noveno puesto ha aparecido Exploit.JS.Aurora.a, que más arriba habíamos prometido analizar con más detalle. Auroa.a es el identikit que detecta el exploit de la vulnerabilidad CVE-2010-0249, descubierto después de un ataque masivo efectuado en enero contra varias versiones de Internet Explorer.
Este ataque, mencionado por todos los recursos dedicados a las tecnologías informáticas, estaba dirigido a varias grandes compañías (como Google y Adobe) y recibió el nombre de Aurora Aurora, por el nombre del directorio usado por uno de sus principales ficheros ejecutables. Su objetivo era obtener la información personal de los usuarios y también la propiedad intelectual de las compañías, por ejemplo, los códigos fuente de sus proyectos. Para realizar el ataque, se hicieron envíos masivos de mensajes electrónicos que contenían un enlace a una página maliciosa en la que había un exploit que descargaba el fichero ejecutable principal sin que el usuario se percatara.
Fig. 2. Fragmento de una de las variantes de Exploit.JS.Aurora.a
Llama la atención que los empleados de Microsoft sabían de esta vulnerabilidad varios meses antes del ataque, pero la subsanaron solo unas semanas después del ataque. No hace falta decir que en el transcurso de este tiempo, el código del exploit se hizo público y sólo los delincuentes más perezosos no lo usaron en sus ataques: en nuestra colección ya hay más de cien diferentes variantes de utilización de esta vulnerabilidad.
Las conclusiones son evidentes. Como anteriormente, la principal amenaza para los usuarios son las vulnerabilidades en los productos de software más populares.
Tomando en cuenta que los delincuentes tratan de usar en sus ataques las vulnerabilidades detectadas hace varios años, se puede llegar a la conclusión de que estas siguen estando vigentes. Por desgracia, incluso si se instalan todas las actualizaciones para los grandes paquetes de software, no se puede estar seguro de que el ordenador esté fuera de peligro, ya que los productores de este software no siempre publican a tiempo los parches para las vulnerabilidades detectadas. Por esta razón, al trabajar con el ordenador, sobre todo si se hace uso intensivo de Internet, hay que tener mucho cuidado y, por supuesto, usar un antivirus con las últimas actualizaciones.
