Kaspersky Analisis Malware Febrero 2011
-
Upload
edward-rojas-alfaro -
Category
Documents
-
view
17 -
download
0
Transcript of Kaspersky Analisis Malware Febrero 2011
![Page 1: Kaspersky Analisis Malware Febrero 2011](https://reader036.fdocuments.es/reader036/viewer/2022073117/5571fb4549795991699468ab/html5/thumbnails/1.jpg)
Análisis de las actividades de los virus informáticos en febrero
de 2011
Febrero en cifras
Durante este mes en los equipos de los usuarios de Kaspersky Lab:
• se rechazaron 228.649.852 ataques de red,
• se bloquearon 70.465.949 intentos de propagar infecciones mediante la web,
• se detectaron y desactivaron 252.187.961 programas maliciosos (intentos de infección
local),
• los veredictos heurísticos se activaron 75.748.743 veces.
Ataques drive-by: los delincuentes se perfeccionan
En febrero hubo un notable incremento de la popularidad del nuevo método de propagación de
software malicioso: los delincuentes empezaron a usar tablas de estilos (CSS) para almacenar
parte de los datos de los descargadores de scripts, lo que hace que para muchos antivirus sea
más difícil detectar los scripts maliciosos. Este método ahora se usa en la mayoría de los
ataques drive-by y permite a los delincuentes evitar que los exploits sean detectados.
Durante los ataques drive-by, desde el sitio infectado, por lo general mediante IFrame, se
redirige a una página que contiene una CSS y un descargador de scripts maliciosos. En el TOP 20
de Internet hay tres programas que hacen esta redirección: Trojan-Downloader.HTML.Agent.sl
(1-er puesto) Exploit.JS.StyleSheeter.b (puesto 13) y Trojan.JS.Agent.bte (puesto 19).
Los descargadores de scripts ubicados en estas páginas maliciosas lanzan dos tipos de exploits.
Uno de ellos, el que explota la vulnerabilidad CVE-2010-1885, nuestros productos lo detectan
como Exploit.HTML.CVE-2010-1885.ad (puesto 4). Este exploit se activaba cada día en los
equipos de unos 10.000 usuarios únicos.
Dinámica de detección de Exploit.HTML.CVE-2010-1885.ad (cantidad de usuarios únicos).
febrero de 2011
![Page 2: Kaspersky Analisis Malware Febrero 2011](https://reader036.fdocuments.es/reader036/viewer/2022073117/5571fb4549795991699468ab/html5/thumbnails/2.jpg)
El segundo tipo de exploits usa la vulnerabilidad CVE-2010-0840. Nuestros productos detectan
estos exploits como Trojan.Java.Agent.ak (puesto 7), Trojan-
Downloader.Java.OpenConnection.dc (puesto 9) y Trojan-Downloader.Java.OpenConnection.dd
(puesto 3).
Si bien ya nos habíamos topado antes con que los delincuentes explotaban la primera
vulnerabilidad, sólo en febrero registramos el uso activo de CVE-2010-0840.
La estadística del módulo heurístico confirma el hecho de que el uso de tablas CSS para
defender los exploits y propagar software malicioso predomina en la actualidad durante la
ejecución de ataques drive-by. La mayoría de los dominios a los que apuntan las redirecciones
ya están en las bases de datos de nuestro antivirus y se les asigna el estado de bloqueadas.
Las vulnerabilidades de PDF siguen representando peligro
Según los datos estadísticos de nuestro módulo heurístico, la cantidad de usuarios únicos en
cuyos equipos se detectaron exploits PDF es mayor a 58.000. La explotación de las
vulnerabilidades en los documentos PDF son, en este momento, uno de los métodos más
populares de introducir programas maliciosos en el ordenador del usuario. Uno de los exploits
PDF, Exploit.JS.Pdfka.ddt, ocupó el octavo lugar en la estadística de programas maliciosos en
Internet.
Palevo, esta vez empaquetado
El módulo de defensa heurística detectó el empaquetador malicioso que se usa para proteger el
gusano P2P Palevo en los equipos de más de 67.000 usuarios únicos. Les recordamos que es
precisamente este gusano el responsable de la creación de la botnet Mariposa, que fue
clausurada por la policía española. Es probable que tan activa propagación del gusano
empaquetado esté relacionada con que los delincuentes están tratando de crear una nueva
botnet o quizá resucitar una antigua.
El empaquetador tiene una interesante peculiaridad, agrega muchos renglones aleatorios al
fichero empaquetado.
Fragmento del gusano empaquetado Palevo
![Page 3: Kaspersky Analisis Malware Febrero 2011](https://reader036.fdocuments.es/reader036/viewer/2022073117/5571fb4549795991699468ab/html5/thumbnails/3.jpg)
Las "amenazas móviles"
Android
En febrero se detectaron al mismo tiempo varios nuevos programas maliciosos para la
plataforma móvil Android. Uno de ellos, Trojan-Spy.AndroidOS.Adrd.a, tiene funcionalidades de
backdoor. Se conecta a un servidor remoto y le envía los datos de identificación del teléfono
móvil: IMEI y IMSI. El centro de administración envía como respuesta información que el
programa malicioso usa para realizar solicitudes al sistema de búsqueda en segundo plano.
Estas solicitudes se utilizan para hacer subir determinados ratings. Merece la pena destacar que
el programa malicioso analizado se detectó sólo en los repositorios chinos.
La segunda falsificación maliciosa para el SO Android lleva el nombre de Trojan-
Spy.AndroidOS.Geinimi.a. Es una versión “perfeccionada” de la familia Adrd, detectada no sólo
en China, sino también en EEUU, España, Brasil y Rusia.
Un troyano SMS escrito para J2ME
Hay que mencionar que los programas maliciosos para la plataforma J2ME también gozan de
popularidad. Por ejemplo, Trojan-SMS.J2ME.Agent.cd ha ingresado en el TOP20 de los
programas maliciosos más difundidos en Internet (puesto 18). Su principal funcionalidad es
enviar mensajes de texto a un número de pago. Se propaga sobre todo mediante enlaces en
mensajes spam enviados por ICQ. Este programa malicioso predomina en Rusia y España,
mientras que en los otros países no está muy propagado.
TOP 20 de programas maliciosos en Internet
Veredicto Posición
actual
Posición el mes
pasado
Trojan-Downloader.HTML.Agent.sl Nuevo 1
Trojan-Downloader.Java.OpenConnection.cx
18 2 20
Trojan-
Downloader.Java.OpenConnection.dd
Nuevo 3
Exploit.HTML.CVE-2010-1885.ad Nuevo 4
AdWare.Win32.FunWeb.gq -1 5 4
AdWare.Win32.HotBar.dh -5 6 1
Trojan.Java.Agent.ak Nuevo 7
![Page 4: Kaspersky Analisis Malware Febrero 2011](https://reader036.fdocuments.es/reader036/viewer/2022073117/5571fb4549795991699468ab/html5/thumbnails/4.jpg)
Exploit.JS.Pdfka.ddt Nuevo 8
Trojan-
Downloader.Java.OpenConnection.dc
Nuevo 9
Trojan.JS.Iframe.rg Nuevo 10
Trojan-Downloader.Java.OpenConnection.cg
-2 11 9
Trojan.HTML.Iframe.dl -7 12 5
Exploit.JS.StyleSheeter.b Nuevo 13
Trojan.JS.Fraud.ba -1 14 13
Trojan-Clicker.JS.Agent.op -8 15 7
Trojan.JS.Popupper.aw -8 16 8
Trojan.JS.Agent.bhr -7 17 10
Trojan-SMS.J2ME.Agent.cd Nuevo 18
Trojan.JS.Agent.bte Nuevo 19
Exploit.JS.Agent.bab -6 20 14
TOP 20 de programas maliciosos detectados en los ordenadores de los
usuarios
Veredicto Delta Posición actual
Posición el mes pasado
Net-Worm.Win32.Kido.ir 0 1 1
Virus.Win32.Sality.aa 0 2 2
HackTool.Win32.Kiser.zv 6 3 9
Net-Worm.Win32.Kido.ih -1 4 3
Virus.Win32.Sality.bh 2 5 7
Hoax.Win32.Screensaver.b -2 6 4
AdWare.Win32.HotBar.dh -2 7 5
Virus.Win32.Virut.ce 0 8 8
Trojan.JS.Agent.bhr -3 9 6
HackTool.Win32.Kiser.il 1 10 11
Packed.Win32.Katusha.o -1 11 10
Worm.Win32.FlyStudio.cu 0 12 12
Trojan-Downloader.Win32.VB.eql 2 13 15
Worm.Win32.Mabezat.b 2 14 16
Packed.Win32.Klone.bq 3 15 18
Trojan-Downloader.Win32.Geral.cnh -2 16 14
Trojan.Win32.Starter.yy Nuevo 17
AdWare.Win32.FunWeb.gq Nuevo 18
Worm.Win32.Autoit.xl Retorno 19 19
Trojan-Downloader.HTML.Agent.sl Nuevo 20