Kaspersky Lab ha presentado dos nuevas listas ‘Top20’ sobre malware. Para su elaboración se han utilizado los datos recogidos por el sistema Kaspersky Security Network (KSN) durante julio de 2009
En la primera tabla Top 20 se presentan los programas nocivos y potencialmente peligrosos detectados en los equipos de los usuarios. Elaborada en base a los datos generados por la red Kaspersky Security Network (KSN), esta lista “Top20” incluye programas maliciosos (malware), programas publicitarios (adware) y programas potencialmente indeseables que se detectaron y neutralizaron la primera vez que se tuvo acceso a ellos, (es decir, mediante un análisis del acceso). El uso de estadísticas del acceso permite analizar los programas maliciosos más recientes, más peligrosos y más extendidos que se neutralizaron al momento en que empezaban a ejecutarse en los equipos de los usuarios o cuando se descargaban de Internet.
| Posición | Cambios en la posición | Programma nocivo | Cantidad de equipos infectados |
| 1 | Net-Worm.Win32.Kido.ih | 51126 | |
| 2 | Virus.Win32.Sality.aa | 24984 | |
| 3 | Trojan-Downloader.Win32.VB.eql | 9472 | |
| 4 | Trojan.Win32.Autoit.ci | 8250 | |
| 5 | Worm.Win32.AutoRun.dui | 6514 | |
| 6 | Virus.Win32.Virut.ce | 5667 | |
| 7 | Virus.Win32.Sality.z | 5525 | |
| 8 | Net-Worm.Win32.Kido.jq | 5496 | |
| 9 | Worm.Win32.Mabezat.b | 4675 | |
| 10 | Net-Worm.Win32.Kido.ix | 4055 | |
| 11 | Trojan-Dropper.Win32.Flystud.ko | 3764 | |
| 12 | Packed.Win32.Klone.bj | 3677 | |
| 13 | Virus.Win32.Alman.b | 3571 | |
| 14 | Worm.Win32.AutoIt.i | 3524 | |
| 15 | Packed.Win32.Black.a | 3472 | |
| 16 | Trojan-Downloader.JS.LuckySploit.q | 3335 | |
| 17 | Email-Worm.Win32.Brontok.q | 3007 | |
| 18 | not-a-virus:AdWare.Win32.Shopper.v | 2841 | |
| 19 | Worm.Win32.AutoRun.rxx | 2798 | |
| 20 | IM-Worm.Win32.Sohanad.gen | 2719 |
La principal conclusión de este primer informe es que no se observan cambios significativos en los Top 20 de julio: Kido y Salita se consolidan como líderes claros en el ranking.
Sin embargo, el número total de equipos infectados por los programas maliciosos más comunes ha experimentado un leve descenso, lo que quizá es debido, según los analistas de Kaspersky Lab, a que los usuarios pasan menos tiempo frente a sus equipos en pleno verano, por lo que menos ordenadores se vieron expuestos a infecciones.
Más novedades arroja la segunda lista Top 20 elaborada por el sistema KSN, que presenta datos generados por el componente antivirus e incluye los programas maliciosos detectados en páginas Web y los que se intentaron descargar desde sitios web. Esta segunda clasificación responde a dos cuestiones de gran interés: “¿Qué programas suelen infectar las páginas web?” y “¿Qué programas maliciosos se descargan con más frecuencia con o sin el consentimiento del usuario desde sitios web maliciosos o infectados?”
| Posición | Cambios en la posición | Programma nocivo | Cantidad de páginas web infectadas |
| 1 | Trojan-Downloader.JS.Gumblar.a | 8538 | |
| 2 | Trojan-Clicker.HTML.IFrame.kr | 7805 | |
| 3 | Trojan-Downloader.HTML.IFrame.sz | 5213 | |
| 4 | Trojan-Downloader.JS.LuckySploit.q | 4719 | |
| 5 | Trojan-Downloader.HTML.FraudLoad.a | 4626 | |
| 6 | Trojan-Downloader.JS.Major.c | 3778 | |
| 7 | Trojan-GameThief.Win32.Magania.biht | 2911 | |
| 8 | Trojan-Downloader.JS.ShellCode.i | 2652 | |
| 9 | Trojan-Clicker.HTML.IFrame.mq | 2576 | |
| 10 | Exploit.JS.DirektShow.o | 2476 | |
| 11 | Trojan.JS.Agent.aat | 2402 | |
| 12 | Exploit.JS.DirektShow.j | 2367 | |
| 13 | Exploit.HTML.CodeBaseExec | 2266 | |
| 14 | Exploit.JS.Pdfka.gu | 2194 | |
| 15 | Trojan-Downloader.VBS.Psyme.ga | 2007 | |
| 16 | Exploit.JS.DirektShow.a | 1988 | |
| 17 | Trojan-Downloader.Win32.Agent.cdam | 1947 | |
| 18 | Trojan-Downloader.JS.Agent.czm | 1815 | |
| 19 | Trojan-Downloader.JS.Iframe.ayt | 1810 | |
| 20 | Trojan-Downloader.JS.Iframe.bew | 1766 |
Observando esta segunda clasificación, es posible identificar tres vulnerabilidades de scripts, llamadas DirektShow. Ya a principios de julio, los analistas de Kaspersky Lab alertaban sobre las vulnerabilidades que este script explota en el Internet Explorer (http://www.viruslist.com/en/weblog?weblogid=208187760) y, dado que es el navegador más común entre los usuarios, no sorprende que esta vulnerabilidad haya sido inmediatamente aprovechada por los cibercriminales.
Una vez se ha hecho evidente que los cibercriminales tienden de dividir los scripts maliciosos en varias partes; en el caso de DirektShow, la página principal con la vulnerabilidad para la falla msvidctl contiene un vínculo a otro script que descarga un código núcleo con su propia carga maliciosa. El programa malicioso Trojan-Downloader.JS.ShellCode.i, que ocupa el octavo lugar de la clasificación, es el código núcleo más usado para explotar esta vulnerabilidad. Esta estrategia es directa y beneficiosa para los cibercriminales ya que pueden reemplazar en cualquier momento este script sin afectar el vínculo a la página web. Esta característica dificulta su análisis y detección, lo que puede tornarse imposible en el caso de sistemas automatizados.
Para facilitar la propagación de los programas maliciosos (en particular los programas extorsionadores en forma de aplicaciones antivirus malintencionadas), se reutilizan las mismas plantillas web una y otra vez. Trojan-Downloader.HTML.FraudLoad.a, que hace su debut en Julio, es un claro ejemplo de esta estrategia. Asimismo, se percibe que este tipo de programas maliciosos son cada vez más comunes en el mundo de la cibercrimen, por lo que están apareciendo un gran número de sitios web que le advierten al usuario que su equipo está infectado y proceden a descargar programas que no sólo son fastidiosos sino que son una verdadera amenaza. El troyano Downloader.JS.Iframe.bew, que ocupa la última plaza de esta clasificación, es un script usado para descargar programas maliciosos de dichos sitios.
Esta segunda lista, que ofrece una visión general de las actuales amenazas en Internet, permite concluir, por una parte, que los cibercriminales están concentrando sus esfuerzos en descubrir nuevas vulnerabilidades en las aplicaciones más populares para explotarlas y lograr así su objetivo, que es el de infectar equipos con uno, y más frecuentemente, varios programas maliciosos. Por otra, los cibercriminales tratan de que sus actividades pasen desapercibidas o parezca que causan daños insignificantes al equipo infectado.
Todo lo anteriormente expuesto hace que navegar en Internet sin un sistema operativo que cuente con todos los parches de seguridad o sin una solución antivirus debidamente actualizada sea como nadar en aguas infestadas de tiburones, y esto también atañe a los usuarios más expertos.
Países con mayor cantidad de intentos de infección vía web:
