Análisis de las actividades de los virus informáticos en febrero de 2011

Febrero en cifras
Durante este mes en los equipos de los usuarios de Kaspersky Lab:
• • • •

se rechazaron 228.649.852 ataques de red, se bloquearon 70.465.949 intentos de propagar infecciones mediante la web, se detectaron y desactivaron 252.187.961 programas maliciosos (intentos de infección local), los veredictos heurísticos se activaron 75.748.743 veces.

Ataques drive-by: los delincuentes se perfeccionan
En febrero hubo un notable incremento de la popularidad del nuevo método de propagación de software malicioso: los delincuentes empezaron a usar tablas de estilos (CSS) para almacenar parte de los datos de los descargadores de scripts, lo que hace que para muchos antivirus sea más difícil detectar los scripts maliciosos. Este método ahora se usa en la mayoría de los ataques drive-by y permite a los delincuentes evitar que los exploits sean detectados. Durante los ataques drive-by, desde el sitio infectado, por lo general mediante IFrame, se redirige a una página que contiene una CSS y un descargador de scripts maliciosos. En el TOP 20 de Internet hay tres programas que hacen esta redirección: Trojan-Downloader.HTML.Agent.sl (1-er puesto) Exploit.JS.StyleSheeter.b (puesto 13) y Trojan.JS.Agent.bte (puesto 19). Los descargadores de scripts ubicados en estas páginas maliciosas lanzan dos tipos de exploits. Uno de ellos, el que explota la vulnerabilidad CVE-2010-1885, nuestros productos lo detectan como Exploit.HTML.CVE-2010-1885.ad (puesto 4). Este exploit se activaba cada día en los equipos de unos 10.000 usuarios únicos.

Dinámica de detección de Exploit.HTML.CVE-2010-1885.ad (cantidad de usuarios únicos). febrero de 2011

La explotación de las vulnerabilidades en los documentos PDF son. la cantidad de usuarios únicos en cuyos equipos se detectaron exploits PDF es mayor a 58.Java. Les recordamos que es precisamente este gusano el responsable de la creación de la botnet Mariposa. uno de los métodos más populares de introducir programas maliciosos en el ordenador del usuario. sólo en febrero registramos el uso activo de CVE-2010-0840.Pdfka.Java.JS. La mayoría de los dominios a los que apuntan las redirecciones ya están en las bases de datos de nuestro antivirus y se les asigna el estado de bloqueadas. Palevo.000 usuarios únicos. La estadística del módulo heurístico confirma el hecho de que el uso de tablas CSS para defender los exploits y propagar software malicioso predomina en la actualidad durante la ejecución de ataques drive-by. que fue clausurada por la policía española.OpenConnection. Nuestros productos detectan estos exploits como Trojan.dc (puesto 9) y Trojan-Downloader. en este momento. Fragmento del gusano empaquetado Palevo .000.ak (puesto 7). Si bien ya nos habíamos topado antes con que los delincuentes explotaban la primera vulnerabilidad. esta vez empaquetado El módulo de defensa heurística detectó el empaquetador malicioso que se usa para proteger el gusano P2P Palevo en los equipos de más de 67. Es probable que tan activa propagación del gusano empaquetado esté relacionada con que los delincuentes están tratando de crear una nueva botnet o quizá resucitar una antigua.ddt.Agent. El empaquetador tiene una interesante peculiaridad. Las vulnerabilidades de PDF siguen representando peligro Según los datos estadísticos de nuestro módulo heurístico.dd (puesto 3). agrega muchos renglones aleatorios al fichero empaquetado.OpenConnection. Uno de los exploits PDF.El segundo tipo de exploits usa la vulnerabilidad CVE-2010-0840.Java. TrojanDownloader. Exploit. ocupó el octavo lugar en la estadística de programas maliciosos en Internet.

cd ha ingresado en el TOP20 de los programas maliciosos más difundidos en Internet (puesto 18). Estas solicitudes se utilizan para hacer subir determinados ratings. Se conecta a un servidor remoto y le envía los datos de identificación del teléfono móvil: IMEI y IMSI.a.OpenConnection. Uno de ellos.Win32. Brasil y Rusia. Un troyano SMS escrito para J2ME Hay que mencionar que los programas maliciosos para la plataforma J2ME también gozan de popularidad.HTML. España. Trojan-Spy. sino también en EEUU. El centro de administración envía como respuesta información que el programa malicioso usa para realizar solicitudes al sistema de búsqueda en segundo plano.Adrd. Se propaga sobre todo mediante enlaces en mensajes spam enviados por ICQ.HTML.Agent. mientras que en los otros países no está muy propagado.Win32.gq AdWare.dd Exploit.FunWeb.CVE-2010-1885.sl TrojanDownloader. Merece la pena destacar que el programa malicioso analizado se detectó sólo en los repositorios chinos.AndroidOS. Por ejemplo.cx TrojanDownloader. Trojan-SMS.Las "amenazas móviles" Android En febrero se detectaron al mismo tiempo varios nuevos programas maliciosos para la plataforma móvil Android. La segunda falsificación maliciosa para el SO Android lleva el nombre de TrojanSpy.Agent. tiene funcionalidades de backdoor.Java.HotBar. TOP 20 de programas maliciosos en Internet Veredicto Posici ón actua l Nuevo 18 Nuevo Nuevo -1 -5 Nuevo 1 2 3 4 5 6 7 4 1 20 Posición el mes pasado Trojan-Downloader.a.AndroidOS. detectada no sólo en China.Agent.Java.Java. Es una versión “perfeccionada” de la familia Adrd.dh Trojan. Este programa malicioso predomina en Rusia y España.OpenConnection.J2ME. Su principal funcionalidad es enviar mensajes de texto a un número de pago.ad AdWare.ak .Geinimi.

HotBar.Win32.Starter.Win32.Agent.Win32.Win32.StyleSheeter.Agent.J2ME.Agent.Win32.bab Nuevo Nuevo Nuevo -2 -7 Nuevo -1 -8 -8 -7 Nuevo Nuevo -6 8 9 10 11 12 13 14 15 16 17 18 19 20 14 13 7 8 10 9 5 TOP 20 de programas maliciosos detectados en los ordenadores de los usuarios Veredicto Net-Worm.bhr HackTool.HTML.FlyStudio.JS.ir Virus.ce Trojan.JS.JS.Autoit.dh Virus.Fraud.Win32.JS.yy AdWare.il Packed.JS.Popupper.Kido.sl Nuevo Nuevo Retorno Nuevo Delta 0 0 6 -1 2 -2 -2 0 -3 1 -1 0 2 2 3 -2 Posición actual 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 Posición el mes pasado 1 2 9 3 7 4 5 8 6 11 10 12 15 16 18 14 19 .gq Worm.ih Virus.Klone.JS.b Trojan.Kido.JS.Sality.JS.Agent.Win32.JS.OpenConnection.bq Trojan-Downloader.Exploit.Win32.Screensaver.Iframe.b Packed.Win32.Java.Geral.HTML.Agent.op Trojan.Virut.OpenConnection.Win32.bh Hoax.cu Trojan-Downloader.zv Net-Worm.cnh Trojan.o Worm.Win32.Win32.dc Trojan.Win32.xl Trojan-Downloader.Sality.JS.ddt TrojanDownloader.Kiser.Win32.dl Exploit.VB.Kiser.cd Trojan.bte Exploit.Win32.Win32.aa HackTool.Win32.b AdWare.Katusha.Pdfka.aw Trojan.FunWeb.bhr Trojan-SMS.Java.Agent.rg TrojanDownloader.Mabezat.Win32.cg Trojan.Agent.Iframe.ba Trojan-Clicker.eql Worm.

Sign up to vote on this title
UsefulNot useful