En la primera tabla se registran los programas maliciosos y potencialmente indeseables detectados y neutralizados por primera vez en los ordenadores de los usuarios.
Programas maliciosos detectados en los equipos de los usuarios
En la primera tabla se registran los programas maliciosos y potencialmente indeseables detectados y neutralizados por primera vez en los ordenadores de los usuarios.
| Posición | Variación | Programa malicioso | Equipos infectados |
| 1 | Net-Worm.Win32.Kido.ir | 265622 | |
| 2 | Net-Worm.Win32.Kido.iq | 211101 | |
| 3 | Net-Worm.Win32.Kido.ih | 145364 | |
| 4 | Virus.Win32.Sality.aa | 143166 | |
| 5 | Worm.Win32.FlyStudio.cu | 101743 | |
| 6 | not-a-virus:AdWare.Win32.GamezTar.a | 63898 | |
| 7 | not-a-virus:AdWare.Win32.Boran.z | 61156 | |
| 8 | Trojan-Downloader.Win32.VB.eql | 61022 | |
| 9 | Trojan-Downloader.WMA.GetCodec.s | 56364 | |
| 10 | Trojan.Win32.Swizzor.c | 54811 | |
| 11 | Trojan-GameThief.Win32.Magania.cpct | 42676 | |
| 12 | Virus.Win32.Virut.ce | 45127 | |
| 13 | Virus.Win32.Induc.a | 37132 | |
| 14 | Trojan-Dropper.Win32.Flystud.yo | 33614 | |
| 15 | Packed.Win32.Krap.ag | 31544 | |
| 16 | Packed.Win32.Black.a | 31340 | |
| 17 | Worm.Win32.Mabezat.b | 31020 | |
| 18 | Packed.Win32.Klone.bj | 28814 | |
| 19 | Packed.Win32.Black.d | 28560 | |
| 20 | Worm.Win32.AutoRun.dui | 28551 |
La primera tabla TOP20 muestra su ya tradicional estabilidad. La aparición de tres novatos en los puestos 6, 10 y 11 provocó que parte de los demás programas se desplazaran levemente hacia abajo. La única excepción fue un programa aparecido hace un mes, Packed.Win32.Krap.ag que subió tres puestos. Recordamos que Krap.ag, del mismo modo que otros representantes de la familia Packed, es un empaquetar de programas maliciosos, en este caso, de un antivirus falso. El porcentaje absoluto de este programa malicioso también ha crecido un poco, lo cual es un indicio de la vigencia de los seudoantivirus y de la tenacidad de los delincuentes que los usan en sus malignos esquemas para obtener ganancias sustanciales.
En diciembre GamezTar.a es un novato notable, que ha logrado ocupar el sexto lugar en la estadística. Este programa se posiciona como un panel para navegadores populares que ofrece un acceso rápido a juegos online y que, por supuesto, se dedica a mostrar publicidad insistente. Pero además, instala varias aplicaciones cuyo funcionamiento no depende del panel y que se entrometen en diferentes aspectos de la vida online del usuario, cuando hace o visualiza búsquedas en Internet. Vale decir que todos estos componentes están descritos en el acuerdo de servicio (www.gameztar.com/terms.do), pero por lo general al usuario le resulta más atractivo pulsar un botón grande y titilante que pone “pulsa aquí, consigue juegos gratis” que el aburrido título “Condiciones de servicio” ubicado al final de la página. Por esta razón es que recomendamos leer estos acuerdos antes de descargar software.
En el décimo lugar tenemos a Trojan.Win32.Swizzor.c, pariente de Swizzor.b, que ya estuvo en el TOP20 de agosto y de Swizzor.a, que observamos en mayo. Los desarrolladores de este programa malicioso refinadamente enmarañado no han dejado de trabajar en nuevas versiones. La verdadera función de este troyano es muy simple. Se dedica a descargar otros programas maliciosos de Internet.
Programas maliciosos en Internet
La segunda tabla refleja la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y los que hicieron intentos de descargarse desde páginas web.
| Posición | Variación | Programa malicioso | Equipos infectados |
| 1 | Trojan-Downloader.JS.Gumblar.x | 445881 | |
| 2 | Trojan.JS.Redirector.l | 178902 | |
| 3 | not-a-virus:AdWare.Win32.GamezTar.a | 165678 | |
| 4 | Trojan-Downloader.HTML.IFrame.sz | 134215 | |
| 5 | Trojan-Clicker.JS.Iframe.db | 128093 | |
| 6 | not-a-virus:AdWare.Win32.Boran.z | 109256 | |
| 7 | Trojan.JS.Iframe.ez | 91737 | |
| 8 | Trojan.JS.Zapchast.bn | 64756 | |
| 9 | Packed.JS.Agent.bn | 60361 | |
| 10 | Packed.Win32.Krap.ai | 43042 | |
| 11 | Packed.Win32.Krap.ag | 41731 | |
| 12 | Exploit.JS.Pdfka.asd | 36044 | |
| 13 | Trojan.JS.Agent.axe | 35309 | |
| 14 | Trojan-Downloader.JS.Shadraem.a | 35187 | |
| 15 | Trojan.JS.Popupper.f | 33745 | |
| 16 | not-a-virus:AdWare.Win32.GamezTar.b | 33266 | |
| 17 | Trojan-Downloader.JS.Twetti.a | 30368 | |
| 18 | Trojan-Downloader.Win32.Lipler.iml | 28634 | |
| 19 | Trojan-Downloader.JS.Kazmet.d | 28374 | |
| 20 | Trojan.JS.Agent.axc | 26198 |
En la segunda tabla, a diferencia de la primera, sólo un cuarto de los programas han conservado su posición, uno ha vuelto y el resto ha cambiado radicalmente.
Gumblar.x sigue siendo el líder. Los webmasters poco a poco han ido limpiando los sitios infectados y por eso la cantidad de intentos únicos en diciembre es una tercera parte menor que en noviembre.
Krap.ag, mencionado en la primera tabla, ha subido 8 posiciones en la segunda. En diciembre hubo el doble de intentos de descargarlo que en noviembre. Un puesto más arriba está Krap.ai, que es un empaquetador especial para seudoantivirus.
GamezTar.a también aparece en la segunda tabla, algo que es natural si se toman en cuenta sus funciones web y el hecho de que este programa está orientado a los juegos online. Además, en el puesto 16 encontramos otra modificación de este programa malicioso, Gamez.Tar.b.
Trojan-Clicker.JS.Iframe.db es un descargador iframe común y corriente, con un enmarañamiento muy sencillo.
Trojan.JS.Iframe.ez, Trojan.JS.Zapchast.bn, Packed.JS.Agent.bn, Trojan.JS.Agent.axe, Trojan-Downloader.JS.Shadraem.a, Trojan-Downloader.JS.Kazmet.d son scripts con diferentes grados de complejidad lógica y enmarañamiento, que usan las vulnerabilidades de los productos Adobe y Microsoft para descargar ficheros ejecutables.
Y al final tenemos al ejemplar más interesante de las actividades creativas de los delincuentes, Trojan-Downloader.JS.Twetti.a (lugar 17), que ha contagiado muchos sitios legítimos. El algoritmo de funcionamiento de este descargador merece que le prestemos especial atención. Después de descifrarlo, no encontramos ni un enlace a un fichero ejecutable, ni exploits, ni enlaces a exploits. Durante el análisis descubrimos que el script usa el API de la red social Twitter, que también es popular entre los delincuentes.
El troyano funciona según el siguiente esquema: se hace una solicitud al API cuyo resultado son datos de los "trends", es decir, los temas más comentados en Twitter. De los datos obtenidos se forma un nombre de dominio seudoaleatorio que los delincuentes ya han registrado con tiempo, usando un algoritmo similar, al cual se conduce con disimulo. En este dominio se encuentra la parte maliciosa, ya sean exploits PDF o ficheros ejecutables. De esta manera, los enlaces maliciosos y la redirección hacia los mismos se hace en tiempo real, por medio de un intermediario que en este caso es Twitter.
Merece la pena mencionar que los programas maliciosos Packed.JS.Agent.bn y Trojan-Downloader.JS.Twetti.a usan un fichero PDF especial para infectar los equipos, el cual detectamos como Exploit.JS.Pdfka.asd y que también está en la lista TOP20, en el puesto 12. Es decir, se puede suponer que por lo menos tres populares programas maliciosos de diciembre pertenecen a un sólo grupo de delincuentes. Es más, entre los ficheros ejecutables que, como consecuencia de los ataques drive-by, se descargan en los equipos víctima, se ha registrado la presencia de las familias TDSS, Sinowal y Zbot, que son una de las amenazas más serias en este momento, lo que nos da mucho que pensar.
En resumen, podemos decir que las tendencias siguen siendo las mismas. Los ataques se hacen cada vez más refinados y difíciles de analizar, y su objetivo en la mayoría de los casos es lucrar de una u otra manera. Aumenta la seriedad de las amenazas virtuales, que en realidad son cada vez más reales. Por esto es que hoy la prioridad fundamental debe ser la seguridad propia.
