g data...g data informe enero-junio de 2008 sobre software malicioso 3. acontecimientos y...

1Copyright © 2008 G DATA Software AG

G DATA Informe enero-junio de 2008 sobre software malicioso

Protéjase. Protéjase mejor. G DATA.

Ralf Benzmüller & Thorsten Urbanski

G DATAInforme sobre software malicioso

Informe semestral enero-junio de 2008



G DATA Informe sobre software malicioso Enero - junio de 2008

Ralf Benzmüller & Thorsten Urbanski

2 Copyright © 2008 G DATA Software AG

1. Resumen: Aumento explosivo del software maliciosoLa fase de consolidación de la industria del software malicioso ha dado en 2008 frutos devas-tadores. Si 2007 se consideraba el año del software malicioso por antonomasia con su tasa de crecimiento del 300 por ciento en comparación con 2006, el año 2008 ya está rompiendo todos los récords. Tan sólo en los tres primeros meses del año en curso se han puesto en circu-lación más programas dañinos que en el año anterior (133.253).

No se espera una disminución de la invasión de malware en los próximos meses. Según estimaciones de G DATA Security Labs, podría romperse la marca de más de medio millón de nuevos programas dañinos ya en el 3er trimestre de 2008 – esto significaría una tasa de creci-miento de bastante más del 400 por ciento.

El robo de datos y la integración de ordenadores capturados en redes robot son, según los análisis de las familias de códigos maliciosos, los principales objetivos de los criminales. Por ello, los descargadores (37.546) y los programas de puerta trasera (44.156) representan la mayoría de nuevos accesos en el primer semestre de 2008.

Código dañino Nuevos accesos Proporción en porcentajeBackdoors 75.027 23,6 %

Downloader/ Dropper 64.482 20,3 %

Spyware 58.872 18,5 %

Troyanos 52.087 16,4 %

Adware 32.068 10,1 %

Tabla 1: Los cinco programas maliciosos más importantes de enero a junio de 2008

1.1 Campos de minas en la redLa amenaza debida a sitios web preparados ha aumentado notablemente. El desplazamiento del código malicioso a Internet pronosticado en 2007 por G DATA ya se ha convertido en una realidad.

Los autores aprovechan con este concepto los agujeros de seguridad del navegador o sus plugins como, por ejemplo, Flash, Real Player o Adobe Reader. En contra de las suposiciones más comunes, estos peligros no acechan tan a menudo en los "barrios de reputación dudosa" de Internet, sino que se encuentran en su mayoría en los sitios web populares.

1.2 Smartphones: la burbuja del marketing ha explotadoEl terror ante los virus para smartphones (teléfonos inteligentes) no se refleja de forma adecua-da en los números actuales: Los autores de malware sólo han puesto en circulación 41 nuevos programas maliciosos hasta finales de junio de 2008. Según análisis de G DATA, la mayoría de estos programas maliciosos son software de vigilancia semilegal o estudios de realizabilidad (proof-of-concept).

Este hecho se ve aún más claramente si se observa el número total de nuevos programas maliciosos para smartphones desde enero de 2006 - 145 nuevos programas para todos los sis-temas operativos para teléfonos inteligentes. En la actualidad, hablar de un verdadero peligro para los propietarios de estos aparatos parece exagerado.



1.3 Conclusión y perspectivasSegún las estimaciones de G DATA, no debe esperarse una pausa veraniega de la industria de software malicioso en las próximas semanas y meses. La emisión de nuevo malware seguirá creciendo y podría alcanzar dimensiones inimaginables hasta ahora.

Los grandes eventos deportivos que están por llegar - como por ejemplo las Olimpiadas de Pekin - podrían agravar la situación aún más. Los criminales online aprovechan los eventos glo-bales como soportes para incrementar su caza de datos y hacer caja. Por ello, debemos esperar en breve una emisión aún mayor de correos maliciosos.

Los virus para teléfonos inteligentes, por el contrario, tendrán escasa presencia este año, ya que la expansión de los programas dañinos de ese tipo siempre lleva aparejada la interacción del usuario y la difusión via bluetooth está limitada espacialmente y, last but not least, faltan modelos de negocio que auguren éxito para el eCrime. La criminalidad online es, en último término, un negocio de profesionales que se realiza con criterios de rentabilidad del mercado.


2. IntroducciónEl desarrollo y la expansión del malware es un negocio absolutamente de profesionales y ocasiona anualmente daños por miles de millones. Los autores ya hace mucho tiempo que no actúan en grupos aislados de cibercriminales, sino que se reparten el trabajo en redes que abarcan todo el mundo. Los autores de malware, los spammers y los encubridores de datos trabajan codo con codo y, de este modo, están en condiciones de cubrir todo el espectro de servicios en el área de la criminalidad online.

En este círculo del eCrime, desde un punto de vista económico, para los criminales es imprescindible desarrollar y difundir nuevas creaciones de malware en intervalos cada vez más cortos para infectar y saquear la mayor cantidad posible de ordenadores en el más breve plazo e integrarlos en una infraestructura de redes robot.

Lo que G DATA pronosticó a finales de 2007 ha ocurrido en 2008: El número de nuevos programas maliciosos ha aumentado de forma explosiva. Tan sólo en los seis primeros meses del año en curso se han puesto en circulación más de 318.000 nuevos programas dañinos - 2,4 veces más que en todo el año 2007.

La difusión de malware se realiza principalmente a través de los sitios web que están pro-vistos de ingentes cantidades de herramientas para el suministro de drive-by-downloads. Los adjuntos de correo ya perdieron el año pasado la primera posición que ocupaban como portadores de archivos maliciosos y ahora sirven en primer lugar para atraer a las víctimas a las páginas web preparadas. La mayoría de las infecciones nuevas se realiza ahora a través de sitios web. ¡De este modo, Internet se parece a una zona de guerra con grandes campos de minas!



3. Acontecimientos y desarrollos importantes en el primer semestre de 2008En los seis primeros meses de 2008 las actividades criminales online siguen sin freno a un alto nivel. Así, por ejemplo, el llamado Storm Worm - que muchos habían dado por muerto a fi nales de 2007 - celebró una fi esta de cumpleaños de un tipo especial.

La banda del Storm Worm ha dividido las redes robots de tal modo que los ordenadores sólo envían spam desde detrás de un router. Los ordenadores sin router se utilizan para alojar páginas de spam y phishing. La resolución de un nombre de dominio reenvía constantemente a otros ordenadores de la red robot (fast fl ux). De este modo resulta considerablemente más difícil retirar de la red las páginas web dañinas.

Cada vez se suministra más código maligno a través de páginas web comprometidas. Los toolkits especiales hacen que a los criminales online les sea más fácil guardar malware en los servidores web. Y ahora se ha resucitado de nuevo una vieja tecnología: los virus de sector de arranque ya no contienen ahora infectores de archivos, sino rootkits ocultos.

3.1 El "Storm Worm"1 celebra su aniversario Los explotadores de la red robot Storm han demostrado de manera impresionante en este último semestre el rendimiento de sus ejércitos de zombies. Al mismo tiempo, los autores disfrutan de unos días internacionales de celebración y conmemoración aprovechándose de grandes acontecimientos. Los autores ya empezaron el día de San Valentín (14 de febrero) a mediados de enero, pero esto no interrumpió desgraciadamente el éxito. Además, en el pro-grama de la banda Storm había de nuevo postales "divertidas" y sitios web sobre el 1 de abril. Aquí se infectaron en todo el mundo multitud de ordenadores que se convirtieron en zombies.

Tras una fase relativamente tranquila en el último trimestre de 2007, Storm está activo de nuevo y se prevé que lo siga estando.

(1) El "Storm Worm" o gusano tormenta es técnicamente un troyano. Pero el término resultante, troyano tormenta, resulta menos sugestivo y tampoco es del todo correcto.


Información básica acerca de la red de robots Storm:

En enero de 2007 la tormenta Kyrill arrasó grandes áreas de Europa y provocó enormes daños. Apenas hubo amainado el viento, se enviaron correos electrónicos que prometían más información en el adjunto readmore.exe acerca de las consecuencias de la tormenta. De este modo fue bautizado el Storm Worm (sin tener en cuenta que no se trata de un gusano, sino de un troyano y que ya a finales de diciembre de 2006 fueron difundidos por el mismo grupo correos con felicitaciones para las fiestas y el año nuevo).

El objetivo de los emails es, como siempre, integrar los ordenadores infectados en una red robot que se utiliza para enviar spam y ataques distribuidos de denegación de servicio (DDoS). En los meses siguientes hubo más oleadas con mensajes falsos („Saddam Hussein alive!“ o „Fidel Castro dead“) y alertas de virus. Estos correos también contenían el código malicioso en archivos adjuntos.

En junio de 2007 se produjo un cambio de táctica: con ECards y postales de felicitación se atrae a los usuarios a páginas web donde hay que instalar un archivo (dañino) para contemplar la tarjeta. Adicionalmente, en segundo término se intentan aprovechar los agujeros de seguridad del navegador o de sus componentes. La infección se realiza durante la visualización de la tarjeta de saludo. Otros cebos eran la descarga de codecs para visualizar vídeos o software para la transmisión segura de datos o para la protección de la esfera privada. También se utilizaba como cebo la búsqueda de probadores beta.

En septiembre del año pasado se tomaron como motivo de nuevo acontecimientos actuales para atraer a las víctimas a los sitios web dañinos. Se empezó en primer lugar con el „Labor Day“, seguido del inicio de la temporada de fútbol americano de la NFL. En este caso, las descargas peligrosas se disfrazaban de „Free NFL Game tracker“. Otros cebos se referían a juegos online, software de „kracking“, Haloween y, una vez más, felicitaciones de Navidad y Año Nuevo.

En el otoño hubo durante cierto tiempo tranquilidad en la red de robots Storm. Está claro que los autores trasladaron sus actividades de St. Petersburgo a China y Turquía para actuar con aún mayor agresividad.

3.2 Rootkits en el sector de arranque Al encender el ordenador comienza la carrera entre el malware y el software de seguridad. Cuanto antes consiga tomar el control sobre el sistema tanto mejor puede proteger un soft-ware de seguridad o, al contrario, tanto mejor puede escapar el malware a las funciones de protección.

Una vieja táctica recalentada

Con Backdoor.Win32.Sinowal ha aparecido a primeros de enero un programa maligno "in-the-wild" que sobrescribe el MBR para anclar a continuación funciones de camuflaje en el kernel de Windows XP. Esta nueva tecnología de camuflaje se utiliza para ocultar las funciones de robo para banca online. En el primer semestre de 2008 aparecieron 97 variantes de este programa malicioso.

Pero la confinación de código malicioso en el sector de arranque es un módulo autónomo e independiente de la función dañina. Podría integrarse muy pronto en otro malware.



El malware tiene en este caso una partida sencilla, ya que bajo XP los usuarios estándar pueden sobrescribir el MBR. Con Vista es algo más difícil.

Pero también existen mecanismos de protección: A menudo, la BIOS ofrece la posibilidad de dotar al MBR de una protección frente a escritura. Posiblemente, ahora es un buen momento para hacerlo. Los virus del sector de arranque de la edad antigua se descubrían arrancando el ordenador desde un disquete limpio.

El CD de arranque de las soluciones de protección antivirus de G DATA puede reconocer de modo fiable los rootkits del MBR.

Según estimaciones de G DATA Security Labs, es sólo cuestión de tiempo que otros progra-mas dañinos utilicen esta tecnología para camuflarse.

Modo de funcionamiento

El primer lugar del proceso de arranque en el que se transmite el control a software modificable es el Master Boot Record (MBR) de un disco duro o el sector de arranque de otros medios de arranque (p.ej. floppy discs). El MBR es el primer sector de un disco duro. Allí se guardan, entre otros, el cargador de arranque y la tabla de particiones del disco duro. El cargador de arranque contiene código ejecutable y averigua la partición de arranque y carga las partes importantes del sistema operativo (p.ej. el kernel).

Como el sector de arranque es el primer lugar en el que se puede introducir código extraño en un sistema, los primeros virus, tales como Brain, Stoned y Michelangelo, ya eran virus de sector de arranque. Por lo tanto, no es nada nuevo que el código malicioso sobrescriba el sector de arranque para tomar el control muy pronto.

Desgraciadamente, en Windows XP sigue siendo posible sobrescribir el MBR. Pero este punto lo utilizaba una minoría de los programas dañinos de los últimos años. En 2005, Derek Soeder de eEye Digital Security presentó con BootRoot la posibilidad de que un rootkit se pudiera activar en el MBR. Las funciones de camuflaje se activaban antes de que se hubiera cargado siquiera el sistema operativo. En 2007, Nitin y Vipin Kumar de NVLabs publicaron el VBootkit, con el que se implementaron funciones de camuflaje para Vista. Tanto BootRoot como VBootkit fueron estudios técnicos de realizabilidad (los llamados proof-of-concepts) sin función maliciosa real. Nunca han aparecido en combinación con malware. Pero eso cambió con Sinowal.

3.3 El campo de minas de Internet: clicar - infectar - saquearLa amenaza debida a los sitios web infectados y preparados ha aumentado considerablemente su importancia en el primer semestre de 2008, de modo que Internet se parece cada vez más a una zona de guerra.

En la actualidad más del 70 por ciento de todas las infecciones por código malicioso se deben a la visita a ofertas de Internet. Debe esperarse un aumento aún mayor en el contexto de los acontecimientos deportivos, tales como las Olimpiadas de Pekin. Los portales para afi-cionados con mal mantenimiento e infectados podrían ofrecer a los autores unas plataformas ideales para ello.


Modo de proceder de las bandas de Internet:

Sólo una minoría de emails con los que se expanden los programas dañinos actuales, contie-nen todavía archivos adjuntos. La mayoría reenvían o bien directamente a un archivo malicioso o bien ofrecen que se descargue el archivo malicioso desde una página web. A menudo, se presentan en primer lugar unas maniobras de engaño, como noticias actuales, postales elec-trónicas, supuestos cobros o codecs para películas interesantes, etc.

El código dañino que se ha guardado en páginas web intenta aprovechar los puntos débiles del navegador o de sus componentes (como Adobe Reader o Flash) para capturar el ordenador al abrir la página sin que el usuario lo note. En contra de las suposiciones de muchos usuarios, estos drive-by-downloads sólo acechan raras veces en los barrios de reputación dudosa de Internet.

La mayor parte de las infecciones parte de páginas web normales, bastante visitadas. Para ello, se aprovechan inserciones publicitarias o incluso se craquean servidores web. Esto puede suceder, por ejemplo, mediante contraseñas de FTP débiles o robadas o aprovechando los agujeros de seguridad de aplicaciones web habituales como sistemas de Content Manage-ment o Bulletin Boards.

La puerta de entrada del software de los foros

En el primer tercio de 2008 aparecieron cada vez más ataques en masa a los puntos débiles de las aplicaciones web. Así, por ejemplo, los fallos del software para foros phpBB provocaron desde febrero la infección de miles de páginas web. En abril, cientos de miles de páginas web fueron atacadas mediante SQL Injection y suministraron un IFRAME dañino a los visitantes de la página. El número de programas maliciosos basados en Flash también ha crecido considera-blemente.

Para los servidores conquistados de esa manera se publicaron herramientas aún mejores con las que es posible guardar código malicioso en un sitio web capturado que después se transmite inadvertidamente al visitante cuando visita la página web.

A primeros de año apareció FirePack, que entretanto ya tiene incluso una versión china. En febrero se publicó un nuevo toolkit Multi-Exploit. Pero incluso MPack, IcePack, TrafficPro, Nuclear Malware Kit, Web-Attacker, SmartPack y muchos más se intercambian en Internet por precios que oscilan entre 40 y 3000 dólares.

Está claro que en cualquier sitio web puede acechar el código maligno. La protección anti-virus debe configurarse imprescindiblemente de modo que compruebe el flujo de datos HTTP antes de que lo procese el navegador.



Para comprobarlo, intente descargarse la versión de texto del archivo de prueba EICAR. Se trata de un programa DOS que tiene como salida el texto „EICAR-STANDARD-ANTIVIRUS-TEST-FILE!“. Este programa inofensivo es reconocido, sin embargo, por todos los programas antivirus como programa dañino.

Si intenta descargarse la versión de texto de este archivo de la dirección http://www.eicar.org/download/eicar.com.txt, recibirá o bien un mensaje de aviso que impide el acceso a la página o bien aparecerá en el navegador una línea con texto críptico (incl. el texto arriba mencionado). En este último caso, su ordenador no tiene ninguna protección frente a los ataques procedentes de Internet. Exactamente del mismo modo que ese texto puede cargarse en el navegador el código de otros scripts. Ese código se ejecuta en primer lugar y sólo cuando el navegador guarda los archivos en la carpeta „Temporary Internet Files“ notará la protección antivirus que un programa malicioso ha estado activo; pero el aviso llegará demasiado tarde.


4. Números y tendencias del malware en el primer semestre de 2008El número de nuevos programas maliciosos ha aumentado de nuevo considerablemente - tam-bién tienen en ello gran responsabilidad los empaquetadores de tiempo de ejecución. Al igual que antes, los eventos vienen determinados por las redes de robots, los programas espía y el adware. La proporción de spam se ha instalado en un alto nivel y los spammers tienen prepa-rados un par de nuevos trucos. Los siguientes párrafos muestran algunas particularidades.

4.1 El diluvio de malware de 2008 El año 2008 ya podría entrar ahora en la historia del malware. De una manera única hasta el momento, los autores han conseguido hacer que se oscurezca en tres meses el año récord 2007. Ya a finales de marzo de 2008 registraron los expertos de G DATA Security Labs más código malicioso nuevo que en todo el año anterior.

G DATA pronostica que hasta finales de año se multiplicará por lo menos por cuatro el número de nuevos programas dañinos. La razón reside en el hecho de que los escáneres de firmas sólo encuentran malware conocido. De ello se aprovechan los autores de malware. El código maligno se transforma, tal y como se describe en el último informe sobre malware en la sección "Reciclado de malware", de tal modo con ayuda de los empaquetadores y otras herramientas de camuflaje que las firmas de virus ya no los reconocen. La funcionalidad del código malicioso en sí no se ve afectada por ello. El código así modificado, que ya no se reconoce, se suministra inmediatamente. Otro mecanismo que produce igualmente numerosas versiones nuevas se emplea a menudo en puertas traseras. La mayoría de puertas traseras disponen de una función de actualización. De ella se hace abundante uso como mecanismo de camuflaje. Las puertas traseras se actualizan con tal rapidez que el programa antivirus siempre comprueba una variante que aún no conoce. También en este caso se aseguran de que una nueva versión no sea reconocida por el programa antivirus. El tiempo de reacción entre la aparición del virus y la puesta a disposición de las firmas corres-pondientes juega un papel decisivo.

80000

70 000

60000

50000

40000

30000

20000

10000

0 Enero Feb Marzo Abril Mayo Junio Julio Agos Sep Oct Nov Dic

Diagrama 1: Comparación - Número total de nuevo software malicioso de 2007 frente a los 6 primeros meses de 2008



4.2 Virus para teléfonos inteligentes: ¿marketing o peligro real?El peligro muchas veces invocado para los propietarios de teléfonos inteligentes tampoco se ha podido corroborar por G DATA Security Labs en la primera mitad del año en curso. La mayoría de los, en total, 41 nuevos programas maliciosos para smartphones eran casi exclu-sivamente estudios "proof-of-concept" con los que se evaluaban las posibilidades técnicas, o bien software de vigilancia semilegal para padres preocupados y parejas celosas.

El estancamiento persistente de este tipo de malware desde hace años no es sorprendente: la expansión fracasa, por un lado, por el alcance limitado del bluetooth y el número insuficien-te de smartphones accesibles con capacidad de envío de MMS y, por otro lado, porque tanto el establecimiento de la conexión como la instalación tienen que ser confirmados por el usuario.

La razón decisiva, y que a menudo no se tiene en cuenta, debe buscarse, no obstante, en la vertiente económica: La criminalidad online es un gran negocio y, por ello, está sometida a las leyes del mercado. El objetivo más importante es conseguir las mayores ganancias con el menor esfuerzo posible. El desarrollo de programas dañinos para teléfonos inteligentes conlleva unos costes elevados (no sólo financieros) para los autores. Hasta ahora, un "return on investment" no es realista para la industria del malware. En otras áreas hasta ahora se puede conseguir más con un esfuerzo menor.

Por lo tanto, por un lado faltan modelos de negocio rentables y, por el otro, hasta ahora todos los caminos para llegar por fin al dinero ocultan el peligro de ser descubierto. El peligro, publicitado a menudo, parece tener más bien una motivación de política de marketing y care-ce de cualquier fundamento en el momento actual.

Mes Número

Enero 2008 6

Febrero 2008 2

Marzo 2008 9

Abril 2008 1

Mayo 2008 15

Junio 2008 8

Tabla 2: Número de nuevos programas maliciosos para smartphones

4.3 Las redes de robots y los programas espía están en cabezaLa distribución del malware en diferentes tipos se representa en la tabla 3. En todas las cate-gorías - excepto en los virus clásicos - el número de nuevas variantes ya supera en la primera mitad de 2008 el número de todo el año 2007. Las puertas traseras ocupan la primera posición con casi una cuarta parte de los nuevos programas dañinos, aunque su proporción con respec-to a 2007 ha descendido considerablemente. Forman la base de las redes de robots que siguen siendo los instrumentos más eficaces para los criminales online. Más de una quinta parte de los nuevos programas maliciosos son descargadores y droppers.

Estas familias de programas maliciosos son utilizadas por sus autores para instalar puertas traseras y otros programas dañinos en los ordenadores. Con una proporción de más del 20 por ciento, ocuparon la segunda posición entre los nuevos programas dañinos en los seis prime-ros meses. La proporción de programas espía se ha reducido considerablemente, aunque ha defendido su tercer puesto.


# 2008 T1 Proporción # 2007 Proporción 2007

Diferencia

Puertas traseras

75.027 23,6 % 41.477 31,0 % 362 %

Descarga-dores/Drop-pers

64.482 20,3 % 28.060 21,0 % 460 %

Programas espía

58.872 18,5 % 29.887 22,4 % 394 %

Troyanos 52.087 16,4 % 13.787 10,3 % 756 %

Adware 32.068 10,1 % 7.654 5,7 % 838 %

Herramientas 12.203 3,8 % 1.731 1,3 % 1.410 %

Gusanos 10.227 3,2 % 4.647 3,5 % 440 %

Dialers de altas tarifas

4.760 1,5 % n.a.

Exploit 1.613 0,5 % n.a.

Rootkits 1.425 0,4 % 559 0,4 % 510 %

Virus 327 0,1% 2.127 1,6 % 31 %

Otros 5.170 1,6 % 3.688 2,8 % 280 %

Total 318.261 100,0 % 133.617 100 476 %

Tabla 3: Número y proporción de nuevos tipos de malware en el primer semestre de 2008 y 2007 y modificación frente a 2007

4.4 Adware - aumento explosivoEn 2007 ya se quintuplicó el número de nuevos programas de adware. Ahora ha vuelto a aumentar considerablemente. Se han descubierto más de ocho veces más programas nuevos de adware a principios de 2008 en comparación con la media anual de 2007. Esto representa, si no se tienen en cuenta las herramientas, la subida más persistente.

Adware: WinFixer se presenta como un programa antivirus. Después de su instalación, secuestra la página inicial del navegador y muestra constantemente ventanas emergentes de publicidad.



Las páginas de inicio y archivos secuestrados con contenido probablemente no deseado como, por ejemplo, las inserciones publicitarias o los resultados de búsqueda manipulados, siguen gozan-do de gran predilección que el economía del eCrrime.

El representante más frecuente de este tipo es Virtumonde. Este programa dañino se inte-gra como Browser Helper Object en Internet Explorer y muestra publicidad en ventanas emer-gentes. Los clics artificiales que se generan de este modo en grandes cantidades llenan los bolsillos de los autores del adware.

Otro tipo de pago está basado en la instalación de software. Por cada instalación se pagan importes de unos pocos céntimos. En este caso también es importante la instalación masiva. La subida considerable del nuevo malware muestra que este negocio merece la pena.

4.5 El spam vuelve a crecerEn enero, la proporción de spam se redujo a aproximadamente el 60 por ciento, pero poco des-pués volvió a establecerse en el 70% aproximadamente. Desde marzo, la proporción de correos de spam se sitúa de nuevo por encima del 80%, con un pico del 94% en abril y un valor del 87% a finales de junio de 2008. Los temas más frecuentes están categorizados en la siguiente tabla:

Tema Proporción porcentual

Incremento de la potencia sexual

Medicamentos 22 %

Réplicas 21 %

Títulos académicos 5 %

Software 3 %

Tabla 3: Los cinco temas más frecuentes en los correos spam en la primera mitad de 2008

Como siempre, una gran parte de los correos electrónicos de spam se envía a través de las redes de robots. En la primera mitad de 2008 han sido un 85% de media. Diariamente toman parte en el envío de spam entre 5 y 10 millones de zombies. Cada día se transforman entre 200.000 y 500.000 (como media 360.000) ordenadores en nuevos zombies. La mayoría de ellos en Alemania, Italia y Brasil (véase la tabla 4). De este modo se envían diariamente unos 130.000 millones de correos de spam, phishing o malware.

País Proporción porcentual

Brasil 10,2%

Alemania 9,3%

Italia 8,9%

Turquía 8,3 %

China 6,6 %

Tabla 4: Los cinco primeros países con la mayor cantidad de ordenadores zombies


0

1000000

2000000

3000000

4000000

5000000

6000000

7000000

01.01. 29.06.31.05.30.04.31.03.29.02.31.01.

Diagrama 2: Correos de spam en el primer semestre de 2008

Para engañar a los fi ltros de spam, los spammers recurren a páginas conocidas que merezcan confi anza. Para ello, utilizan por ejemplo las funciones de redireccionamiento de Google, Yahoo y otras páginas. De este modo, se trata de convencer a los usuarios y a los fi ltros de spam de que se está visitando una página de confi anza.

Un principio similar se sigue en el caso de las imágenes y los sitios web. Se alojan en portales populares como Flickr o Blogspot. Así se engaña a las tecnologías de reconocimiento basadas en la reputación.

Diagrama 3: Imágenes y spam alojado en Flickr y Blogspot



4.6 Jugadores en línea en el punto de miraSi miramos la tabla 5 con las familias de virus más activas, no sólo nos llaman la atención las puertas traseras Hupigon y Bifrose. El primero de la lista, ahora y siempre - el Backdoor Hupi-gon - es una de las familias de malware que con más asiduidad hace uso de los empaquetado-res de tiempo de ejecución. Las nuevas versiones se pueden reunir con facilidad y eficiencia con unos pocos clics en un kit de herramientas. Algunas variantes utilizan 11 empaquetadores distintos.

Los troyanos como OnlineGames y Magania (juegos de GameMania), que roban los datos de acceso para los juegos en línea, han reforzado su posición entre las familias de malware más activas. Es decir que los jugadores en línea siguen estando como siempre en el punto de mira de los ladrones de datos. Los datos de acceso para los juegos en línea, así como los caracteres y objetos de los juegos se intercambian por dinero verdadero en gran número de foros. Esto también atrae a los estafadores de la vida real.

#2006 Familia de virus #2007 Familia de virus

1 32.383 Hupigon 16.983 Hupigon

2 19.415 OnLineGames 8.692 OnLineGames

3 13.922 Virtumonde 3.002 Rbot

4 11.933 Magania 2.973 Banker

5 7.370 FenomenGame 2.848 Banload

6 7.151 Buzus 2.627 Zlob

7 6.779 Zlob 2.533 Virtumonde

8 6.247 Cinmus 1.922 Magania

9 6.194 Banload 1.882 LdPinch

10 5.433 Bifrose 1.751 BZub

Tabla 3: Las 10 familias de virus más activas en el primer semestre de 2008 y 2007

Los demás puestos de la tabla 5 son ocupados por los programas dañinos siguientes:

• Virtumonde: Adware que se integra en IE y muestra publicidad en ventanas emergentes.

• FenomenGame:Reconocimiento erróneo debido a la creación automática de firmas

• Buzus:Troyano espía y keylogger con puerta trasera

• Zlob:Descargador troyano muy popular que también cambia los ajustes de IE para mostrar páginas pornográficas e instalar rogueware.

• Cinmuses un programa de adware que se integra en Internet Explorer y muestra ventanas emergentes con publicidad.

• Banload: Descargador para troyanos de banca que tiene como objetivo principal bancos brasileños y portugueses


4.7 Código malicioso en diferentes plataformas - Concentración en Windows

En el primer semestre de 2008, la proporción de código malicioso para Windows ha seguido subiendo del 95,2% al 98,2%. Esto indica que los autores de malware se concentran en el nego-cio clave de los ordenadores con Windows. Aparentemente, es ahí donde se pueden hacer los mejores negocios.

#2008 H1 Plataforma #2007 Plataforma

1 312.668 Win32 126.854 Win32

2 2.650 JS 2.463 JS

3 845 HTML 1.106 HTML

4 572 VBS 1.007 VBS

5 545 BAT 707 BAT

6 252 MSIL 197 PHP

7 231 SWF 166 MSWord

8 92 MSWord 139 Perl

9 91 PHP 137 Linux

10 33 MSExcel 70 ASP

Tabla 4: Las 10 plataformas más importantes en el primer semestre de 2008 y en todo el año 2007

Los ataques basados en la web realizados en Javascript, HTML, VBSkript, Flash (SWF), PHP y Perl han reducido su proporción del 2,5% al 1,4%. Extrapolado a todo el año 2008, se esperan más de dos veces más ataques basados en web. Esto muestra que, si no tenemos en cuenta el malware para Windows que se guarda en los sitios web, en este momento cada vez se realizan más ataques específicos a través de plataformas web. Como los mecanismos de protección contra estos ataques están todavía en mantillas, tampoco es necesario que se actualicen muy a menudo.

Para Linux sólo se han descubierto 21 nuevos programas maliciosos y para los dispositivos móviles no más de 41 (de los cuales 20 son para Symbian, 19 para J2ME y 2 para Win CE. 2007). De este modo, sigue sin aparecer el peligro para los teléfonos móviles tan publicitado en los seis primeros meses de 2008.



5. Perspectivas para la segunda mitad de 2008G DATA espera que se produzcan los siguientes desarrollos en las semanas y meses venideros:

• Malware en páginas web: La expansión del malware a través de las páginas web aún no ha alcanzado su madurez. Por parte del navegante deben colmarse aún algunas deficiencias. No sólo se tiene que proteger el navegador, sino también todos sus plugins. Pero los proveedores de servicios de Internet también deben hacer algo por su parte. Las aplicaciones web incluyen gran canti-dad de agujeros de seguridad tales como Cross-Site Scripting, Cross Site Request Forgery y SQL Injection que se pueden aprovechar para la introducción de contenidos extraños en las páginas web. Hasta que todos los desarrolladores de aplicaciones web tomen las medidas de seguridad necesarias debe pasar aún bastante tiempo. Hasta entonces, los visitantes de las páginas web están expuestos a un mayor peligro de infección. Sólo una protección antivirus que también compruebe si los datos HTTP tienen código malicioso ofrece una protección fiable. Esto se aplica en especial a los usuarios que hacen un uso intensivo de las ofertas de la Web 2.0, como MySpace, Flickr, Facebook etc.

• Modelos de negocios lucrativos: El spam, el robo de datos y el adware son negocios multimillonarios que, a pesar de todos los esfuerzos de las autoridades, no van a ser abandonados sin más por los criminales online. El núcleo de esta industria sigue siendo las eficaces redes de robots. Por eso, vamos a ser invadidos también en los próximos meses por descargadores y puertas traseras que transforman los ordenadores en zombies para envío de spam.

• El comercio de datos florece. Los programas de spyware espían ya mucho más que los datos de acceso a la banca en línea. La persona que haya descargado un keylogger puede perder por completo su identi-dad en línea.

• El adware es el área que más crece. A través de clics realizados con engaño o mediante la instalación de software de publicidad se puede hacer mucho dinero.

• Nuevos mecanismos de camuflaje: Posiblemente, en los próximos meses se van a utilizar aún más los rootkits y las funciones nocivas que están ancladas en el sector de arranque o en el MasterBootRecord.

• Aprovechamiento de grandes acontecimientos: Es seguro que los grandes acontecimientos venideros, como las Olimpiadas, serán aprove-chados para realizar maniobras de engaño.

Protéjase. Protéjase mejor. G DATA.

g data...g data informe enero-junio de 2008 sobre software malicioso 3. acontecimientos y...

Documents