Se consolida la tendencia de los antivirus falsos
Kaspersky Lab ha presentado el TOP 20 de programas maliciosos detectados en noviembre. Este mes se constata la creciente importancia de los llamados antivirus falsos.
En la primera tabla se registran los programas maliciosos y potencialmente indeseables detectados y neutralizados por primera vez en los ordenadores de los usuarios.
| Posición | Variación | Programa malicioso | Equipos infectados |
| 1 | Net-Worm.Win32.Kido.ir | 330305 | |
| 2 | Net-Worm.Win32.Kido.iq | 174351 | |
| 3 | Net-Worm.Win32.Kido.ih | 145332 | |
| 4 | Virus.Win32.Sality.aa | 128737 | |
| 5 | Worm.Win32.FlyStudio.cu | 93848 | |
| 6 | not-a-virus:AdWare.Win32.Boran.z | 84825 | |
| 7 | Trojan-Downloader.Win32.VB.eql | 63287 | |
| 8 | Trojan-Downloader.WMA.GetCodec.s | 48426 | |
| 9 | Virus.Win32.Virut.ce | 47812 | |
| 10 | Virus.Win32.Induc.a | 46252 | |
| 11 | Worm.Win32.AutoRun.awkp | 36453 | |
| 12 | Packed.Win32.Black.d | 36422 | |
| 13 | Packed.Win32.Black.a | 35094 | |
| 14 | Trojan-Dropper.Win32.Flystud.yo | 34638 | |
| 15 | Worm.Win32.AutoRun.dui | 32493 | |
| 16 | Packed.Win32.Klone.bj | 31963 | |
| 17 | Worm.Win32.Mabezat.b | 29804 | |
| 18 | Packed.Win32.Krap.ag Nuevo | 26041 | |
| 19 | Trojan-GameThief.Win32.Magania.ckqi | 25529 | |
| 20 | Trojan.Win32.Genome.bjgu | 24730 |
En general, en la primera lista TOP20 hay pocos cambios, pero merece la pena destacar algunas particularidades. En primer lugar, la súbita aparición de Kido.iq en el segundo puesto. Este programa malicioso tiene funciones similares a la del líder de estos últimos meses, Kido.ir, que forma parte de la lista desde septiembre.
En segundo lugar, el brusco ascenso (9 posiciones) del descargador multimedia GetCodec.s. La cantidad de equipos donde se detectó GetCodec ha aumentado más del doble. Recordamos que GetCodec.s se propaga junto con el gusano P2P-Worm.Win32.Nugg, de forma similar a GetCodec.r, que ya describimos en diciembre del año pasado. Al parecer, los delincuentes están intentando propagar Worm.Win32.Nugg usando la red P2P Gnutella (en este caso, a través de la popular aplicación LimeWire). Este gusano también descarga otros programas maliciosos que representan un peligro adicional para los equipos de los usuarios.
Tenemos también un novato, Packed.Win32.Krap.ag. Al igual que los representantes de la familia Packed, esta versión es un empaquetador especial para programas maliciosos. En este caso, el programa malicioso forma parte de la familia de antivirus falsos, sobre la que hemos escrito hace poco en http://www.viruslist.com/sp/analysis?pubid=207271046. Así, los falsos antivirus ocupan el puesto 18 en la lista.
Después de su regreso, el troyano de juegos Magania ocupa una posición estable en la lista: en noviembre la variante Magania.cbrt ha sido desplazada del puesto 19 por la nueva versión Magania.ckqi.
Programas maliciosos en Internet
La segunda tabla refleja la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y los que hicieron intentos de descargarse desde páginas web.
| Posición | Variación | Programa malicioso | Equipos infectados |
| 1 | Trojan-Downloader.JS.Gumblar.x | 1714509 | |
| 2 | Trojan-Downloader.HTML.IFrame.sz | 189881 | |
| 3 | Trojan-Clicker.JS.Iframe.be | 170319 | |
| 4 | not-a-virus:AdWare.Win32.Boran.z | 136748 | |
| 5 | Trojan.JS.Redirector.l | 130271 | |
| 6 | Trojan.JS.Ramif.a | 115163 | |
| 7 | Trojan.JS.Agent.aat | 55291 | |
| 8 | Trojan-Clicker.HTML.Agent.aq | 47873 | |
| 9 | Trojan.HTML.Fraud.r | 47473 | |
| 10 | Trojan-Downloader.JS.Gumblar.w | 41977 | |
| 11 | Trojan.JS.Iframe.dy | 35152 | |
| 12 | Trojan-Downloader.JS.Zapchast.m | 31161 | |
| 13 | Trojan-Downloader.JS.IstBar.cy | 30806 | |
| 14 | Trojan-Clicker.JS.Iframe.u | 30553 | |
| 15 | Trojan-Downloader.JS.Psyme.gh | 30078 | |
| 16 | Trojan-Downloader.HTML.FraudLoad.b | 29466 | |
| 17 | Trojan-Clicker.HTML.IFrame.ajn | 29455 | |
| 18 | Trojan.JS.PrygSkok.a | 27804 | |
| 19 | Packed.Win32.Krap.ag | 26770 | |
| 20 | Trojan-Downloader.JS.LuckySploit.q | 26175 |
Gumblar continúa su marcha. Con una enorme ventaja, lidera la lista de programas maliciosos en Internet y el número de intentos únicos de descarga ha aumentado casi 4 veces.
El nuevo ataque de Gumblar, sobre el cual escribimos el mes pasado, continúa en noviembre. Pero, a diferencia del ataque de hace medio año, esta vez todos los componentes se han ido modificando durante el transcurso del mes con una envidiable regularidad, ya sea el descargador, los exploits o el fichero ejecutable principal.
Los falsos antivirus también están presentes en la segunda lista. Uno de los métodos de propagación que usan consiste en descargarse en los ordenadores de los usuarios desde sitios web creados con una misma plantilla e incorporados en programas de estafas. En noviembre nuestra compañía detectó Trojan.HTML.Fraud.r y Trojan-Downloader.HTML.FraudLoad.b como las páginas web más populares desde la cuales se descargaron antivirus falsos. Desde estas mismas páginas se descargaba Packed.Win32.Krap.ag mencionado más arriba, hecho que condiciona también su presencia en la segunda lista.
Los demás novatos, según lo que ya se ha convertido en una suerte de tradición, son scripts descargadores de diferente grado de enmarañamiento y complejidad.
Tendencias del mes
Según los resultados de noviembre, el cuadro clínico sigue siendo el mismo. Actualmente, los esquemas más populares de propagación de programas maliciosos son “script malicioso + exploit + fichero ejecutable” y “script malicioso + fichero ejecutable”. Con gran frecuencia ésta es la manera de difundirse que usan los programas que roban datos confidenciales o dinero al usuario. Por ejemplo, Trojan-PSW.Win32.Kates, cuya descarga es el principal objetivo de Gumblar; o Trojan-Spy.Win32.Zbot, troyano muy propagado mediante scripts descargadores y diversas campañas spam, como también de diferentes antivirus falsos.
Una tendencia más propia de los últimos meses y que se conserva en noviembre es la propagación de antivirus falsos mediante plantillas de páginas web.
Además, los delincuentes usan activamente programas empaquetadores (sobre todo polimórficos) contando con que esto permitirá a los programas maliciosos evitar ser detectados.
Este mes también hemos registrado la propagación de programas maliciosos a través de redes P2P y mediante descargadores multimedia según el esquema usado por los delincuentes en diciembre del año pasado.
Países donde se ha detectado la mayor cantidad de intentos de infección a través de páginas web:
