Nuestros amigos de Kaspersky nos envían su nota de prensa, donde nos informan sobre cuáles fueron las amenazas más comunes de virus en noviembre de 2010.

La empresa de antivirus y seguridad informática Kaspersky Lab reveló una lista de las mayores amenazas sufridas en la red de redes, en la que lideraron las descargas drive-by.

En los últimos dos meses ha aumentado considerablemente la cantidad de programas maliciosos de la familia Trojan-Downloader.Java.OpenConnection. Y noviembre es un claro ejemplo de ello, donde la mayor amenaza para los usuarios fueron las descargas drive-by.

Durante estos ataques el ordenador se puede infectar aún si visita webs legítimas. Estos programas cumplen las mismas funciones que los exploits, pero en vez de usar las vulnerabilidades para descargar programas maliciosos, recurren al método “OpenConnection” de la clase URL.

Al principio el usuario llega a un sitio o recurso legítimo en el que los delincuentes han puesto un script que remite a otra página. (Un ejemplo es uno de los más famosos script-redirectores de los últimos tiempos Trojan-Downloader.JS.Pegel). Con ayuda del redirector se remite al ordenador del usuario a un script-cargador, que a su vez empieza a descargar exploits.

Por lo general los exploits cargan y ejecutan en el ordenador del usuario un fichero ejecutable que la mayor parte de los casos es un backdoor.

Distribución geográfica de las detecciones: El mayor riesgo de infección por Trojan-Downloader.JS.Agent.frs afectó a los usuarios de Rusia, EEUU, Francia e Inglaterra. Aquí se pudo detectar también tres redirectores y un script descargador que se usan en las descargas drive-by.

Redirectores y scripts descargadores: Toda la cadena de las descargas drive-by empieza con un redirector. Entre los redirectores que lideran en Internet están Trojan.HTML.IFrame.dl (quinto puesto), Trojan.JS.IFrame.pg (décimo puesto), Trojan.JS.Redirector.lc (vigésimo puesto), Trojan.JS.Redirector.np (vigésimo quinto puesto), Trojan-Downloader.JS.Iframe.bzn (vigésimo noveno puesto).

El segundo puesto entre los programas maliciosos detectados en Internet lo ocupa el script descargador Trojan-Downloader.JS.Agent.frs. Si el usuario llega a un sitio que tiene un redirector que lo remite a Trojan-Downloader.JS.Agent.frs, éste trata de usar los exploits para las vulnerabilidades en Java, PDF y JavaScript para descargar en su ordenador backdoors tan peligrosos como Backdoor.Win32.Shiz y Backdoor.Win32.Blakken (Black Energy 2).

Los exploits PDF: En noviembre también se detectaron exploits que usan las vulnerabilidades de los documentos PDF. Como regla, están escritos en JavaScript. Según el número de descargas únicas, las amenazas Exploit.JS.Pdfka.cyk y Exploit.JS.Pdfka.cyy ocuparon los puestos 24 y 28 respectivamente. Sin embargo la tendencia muestra que la cantidad de exploits PDF se va reduciendo: en los últimos seis meses nuestro antivirus ha detectado casi tres veces menos programas maliciosos de la familia Pdfka.

Dinámica de las detecciones de programas de la familia Exploit.JS.Pdfka: octubre-noviembre: Lo más probable es que esto se deba a que Adobe está tomando medidas para cerrar las brechas en sus productos. Así, en noviembre salió Adobe Reader X, que contiene un SandBox que permite hacer frente a los exploits.

TOP 20 de programas maliciosos en Internet: Posición Cambios en la posición Programa malicioso Números de usuarios
1 New Trojan-Downloader.Java.OpenConnection.bu 167617
2 New Trojan-Downloader.JS.Agent.frs 73210
3 1 Exploit.Java.CVE-2010-0886.a 68534
4 New Trojan.HTML.Iframe.dl 56075
5 1 Trojan.JS.Agent.bhr 46344
6 -3 Exploit.JS.Agent.bab 42489
7 6 Trojan.JS.Agent.bmx 40181
8 New Trojan.HTML.Agent.di 35464
9 29 Trojan.JS.Iframe.pg 28385
10 74 Trojan.JS.Redirector.nz 26203
11 9 Trojan.JS.Popupper.aw 25770
12 New Trojan-Downloader.Java.Agent.il 23048
13 -2 AdWare.Win32.FunWeb.q 22922
14 11 Trojan-Downloader.Win32.Zlob.aces 22443
15 3 AdWare.Win32.FunWeb.ci 19557
16 -1 Exploit.JS.CVE-2010-0806.b 19487
17 -3 Exploit.JS.CVE-2010-0806.i 18213
18 9 Exploit.SWF.Agent.du 17649
19 -3 Trojan.JS.Redirector.lc 16645
20 -10 Trojan-Downloader.Java.Agent.hx 16242

Archivos falsificados y otras amenazas a las PC: La tendencia de los archivos falsificados sigue teniendo vigencia. La esencia de esta forma de estafa en Internet es sencilla, se suele acceder mediante banners que aparecen en algunas páginas webs. Para recibir el contenido del archivo, el usuario tiene que enviar un mensaje SMS de pago, pero una vez enviado el SMS, no recibe la información buscada. El archivo resulta vacío, dañado, contiene un fichero torrent, etc.

Otras de las amenazas que se propagan sobre todo mediante las redes locales y los medios extraíbles son los virus como el Virus.Win32.Sality.aa (tercer puesto), Virus.Win32.Sality.bh (octavo puesto), Virus.Win32.Virut.ce (sexto puesto) que ocupan puestos de liderazgo en la estadística de programas maliciosos detectados en los ordenadores de los usuarios. Y además, tienen la peculiaridad de que son capaces de infectar los ficheros ejecutables, lo que incrementa su efectividad.

Los programas maliciosos que usan vulnerabilidades ya cerradas, también se encuentran en el TOP20. En primer lugar está Kido, que ocupa los dos primeros puestos. Los exploits que usan la vulnerabilidad CVE-2010-2568 en los accesos directos siguen vigentes (puestos 13 y 14). Se usan ampliamente para propagar Stuxnet y otros programas maliciosos.

Mayor información:
http://www.viruslist.com/sp/analysis?pubid=207271107