Sigue en crecimiento la popularidad de los archivos falsos, que detectamos como Hoax.Win32.ArchSMS. Después de que el usuario lanza el programa, se le propone enviar uno o varios mensajes SMS a un número de pago para recibir el contenido del archivo. En la mayoría de los casos, después de enviar el mensaje de texto, en la pantalla del ordenador aparecen instrucciones de uso de un tracker torrent y/o un vínculo al mismo. Hay muchas variantes, pero el resultado es siempre el mismo: el usuario pierde su dinero y no recibe el fichero deseado. Este tipo de estafas ha aparecido hace relativamente poco tiempo, unos meses atrás, pero desde entonces el interés de los delincuentes en él ha ido en aumento, hecho constatado por la estadística recopilada por KSN (Kaspersky Security Network):
También merece la pena recordar que en octubre la compañía Microsoft sobrepasó su propio record de cantidad de parches publicados en un mes. Así, el 12 de octubre publicó 16 boletines de seguridad que cerraban 49 diferentes vulnerabilidades. El record anterior lo estableció en agosto, pero entonces se corrigieron sólo 34 vulnerabilidades. Esto es un indicio de que los delincuentes están utilizando activamente los defectos de los productos del gigante del software para realizar sus planes. Por ejemplo, el famoso gusano Stuxnet usaba, en el momento de su aparición, cuatro vulnerabilidades de día cero no parchadas. En el boletín de octubre se cerró la tercera vulnerabilidad usada por Stuxnet, pero la cuarta sigue abierta hasta ahora.
Programas maliciosos detectados en las computadoras de los usuarios
En la primera tabla se exponen los programas maliciosos y potencialmente indeseables detectados y neutralizados por primera vez en las computadoras de los usuarios.
Posición
Cambios en la posición
Programa malicioso
Cantidad de equipos infectados
1
0
Net-Worm.Win32.Kido.ir
386141
2
0
Virus.Win32.Sality.aa
150244
3
0
Net-Worm.Win32.Kido.ih
141210
4
0
Trojan.JS.Agent.bhr
104094
5
0
Exploit.JS.Agent.bab
85185
6
1
Virus.Win32.Virut.ce
81696
7
8
Packed.Win32.Katusha.o
74879
8
-2
Worm.Win32.FlyStudio.cu
73854
9
2
Virus.Win32.Sality.bh
57624
10
-1
Exploit.Win32.CVE-2010-2568.d
54404
11
1
Exploit.Win32.CVE-2010-2568.b
51485
12
-2
Trojan-Downloader.Win32.VB.eql
49570
13
0
Worm.Win32.Autoit.xl
43618
14
0
Worm.Win32.Mabezat.b
43338
15
5
Trojan-Downloader.Win32.Geral.cnh
39759
16
1
Worm.Win32.VBNA.b
33376
17
-1
Trojan-Dropper.Win32.Sality.cx
30707
18
New
Trojan.Win32.Autoit.ci
29835
19
New
Trojan-Dropper.Win32.Flystud.yo
29176
20
New
Worm.Win32.VBNA.a
26385
En el transcurso del mes pasado no ha habido grandes cambios en la tabla. Los líderes siguen siendo los mismos: Kido, Sality, Virut, CVE-2010-2568. Sólo hay que mencionar el crecimiento de la cantidad de detecciones del empaquetador Packed. Win32.Katusha.o (sexto lugar), usado por los creadores de virus para la defensa y difusión de antivirus falsos. El gusano Worm.Win32.VBNA.a (vigésimo puesto) es similar al anterior programa malicioso, pero está escrito en el idioma de alto nivel Visual Basic. En las anteriores estadísticas hemos publicado descripciones más detalladas de ambos empaquetadores.
Programas nocivos en Internet
La segunda tabla describe la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y también los programas maliciosos que trataron de descargarse a las computadoras de los usuarios desde páginas web.
Posición
Cambios en la posición
Programa malicioso
Número de intentos únicos de descarga
1
21
Trojan.JS.FakeUpdate.bp
114639
2
-1
Exploit.JS.Agent.bab
96296
3
8
Exploit.Java.CVE-2010-0886.a
89012
4
21
Hoax.Win32.ArchSMS.jxi
78235
5
1
Trojan.JS.Agent.bhr
63204
6
-2
AdWare.Win32.FunWeb.di
62494
7
21
Trojan.JS.Redirector.nj
61311
8
-3
AdWare.Win32.FunWeb.ds
52404
9
21
Trojan.JS.Agent.bmx
35889
10
3
AdWare.Win32.FunWeb.q
34850
11
-1
AdWare.Win32.FunWeb.fb
34796
12
21
Trojan-Downloader.Java.Agent.hx
34681
13
21
Exploit.JS.CVE-2010-0806.i
33067
14
1
Exploit.JS.CVE-2010-0806.b
31153
15
21
Trojan-Downloader.Java.Agent.hw
30145
16
21
Trojan.JS.Redirector.lc
29930
17
21
Exploit.Win32.CVE-2010-2883.a
28920
18
-6
Trojan-Downloader.Java.Agent.gr
27882
19
-3
AdWare.Win32.FunWeb.ci
26833
20
21
AdWare.Win32.FunWeb.ge
25652
En esta tabla no ha habido cambios serios este mes. Los líderes siguen siendo los exploits basados en CVE-2010-0806 y los programas publicitarios FunWeb. Sin embargo, queremos mencionar la aparición de varios ejemplares curiosos.
El exploit Exploit.Win32.CVE-2010-2883.a, que aprovecha la vulnerabilidad correspondiente, descubierto hace un poco más de un mes, ocupa el decimoséptimo puesto. Por lo tanto, se puede decir que los delincuentes han sido rápidos en aprovechar este exploit. La falla se encuentra en la biblioteca vulnerable cooltype.dll, que es parte de Adobe Reader y consiste en el procesamiento incorrecto de un fichero de fuente generado de una forma específica. Si damos un vistazo a la distribución geográfica de Exploit.Win32.CVE-2010-2883.a, podemos observar que este veredicto se asignó con más frecuencia en EEUU, Inglaterra y Rusia. Al parecer, los delincuentes informáticos habían previsto que en estos países estaba la mayor cantidad de ordenadores con Adobe Reader sin parchar.
El script malicioso Trojan.JS.Redirector.nj (séptimo puesto) se esconde en algunos sitios pornográficos y visualiza una notificación en la que exige que se envíe un mensaje de texto a un número premium por el uso del sitio. El script está organizado de tal manera que para cerrar la página es necesario usar el administrador de tareas u otro programa con idénticas funcionalidades.
Notificación visualizada por Trojan.JS.Redirector.nj
Otro representante de Trojan.JS.Agent.bmx (noveno puesto) es un exploit clásico para navegadores que descarga un Trojan-Downloader que a su vez recibe una lista de treinta vínculos que llevan a diversos programas maliciosos. Entre ellos están Trojan-GameThief.Win32.Element, Trojan-PSW.Win32.QQShou, Backdoor.Win32.Yoddos, Backdoor.Win32.Trup, Trojan-GameThief.Win32.WOW y otros.
En el primer puesto está un script de la familia FakeUpdate, Trojan.JS.FakeUpdate.bp. que también se esconde en los sitios pornográficos y ofrece descargar vídeos de esta temática. Pero cuando el usuario quiere ver el vídeo, aparece una ventana emergente que exige descargar un nuevo reproductor de vídeo.
Propuesta para descargar un nuevo reproductor que muestra Trojan.JS.FakeUpdate.bp
No hay comentarios:
Publicar un comentario