g data informe sobre software malicioso informe semestral enero

Go safe. Go.safer. G Data.Mal

war

eRep

ort_

1_20

10

Ralf Benzmüller & Sabrina BerkenkopfG Data SecurityLabs

G DataInforme sobre software malicioso

Informe semestralenero-junio 2010

2Copyright © 2010 G Data Software AG

Informe G Data enero-junio de 2010 sobre software malicioso

Contenido

Resumen.......................................................................................................................................................3

.Programas.maliciosos:.Cifras.y.datos.....................................................................................................4

Software malicioso a raudales ...................................................................................................................................4

Categorías de malware .................................................................................................................................................5

Familias de programas maliciosos ............................................................................................................................6

Plataformas: .Net se amplía ........................................................................................................................................8

Resumen.y.tendencias.2010....................................................................................................................9

Pronósticos ........................................................................................................................................................................9

Hitos.y.tendencias.durante.el.segundo.semestre.de.2010.............................................................10

Enero de 2010 .................................................................................................................................................................10

Febrero de 2010 ............................................................................................................................................................11

Marzo de 2010 ................................................................................................................................................................13

Abril de 2010 ...................................................................................................................................................................15

Mayo de 2010 ..................................................................................................................................................................17

Junio de 2010 ..................................................................................................................................................................18



Resumen• En la primera mitad del 2010 se ha batido un nuevo record con 1.017.208 nuevos programas

dañinos.

• En comparación con el semestre anterior, esto supone un aumento del 10%. Si comparamos esta cifra con el semestre correspondiente del año paso, constatamos incluso una subida del 50%.

• Según nuestras previsiones se van a llegar a detectar más de 2 millones de nuevos programas maliciosos a lo largo de todo el año 2010.

• La categoría de software dañino que ha experimentado un mayor incremento - el 51% - son los programas espía. Aquí merecen mención especial los keylogger y los troyanos bancarios.

• Los nuevos programas de adware han descendido en un 40 %.

• Genome y Hupigon, las familias de malware más productivas, crearon más variantes que la suma de todos los programas malintencionados del 2007.

• Los programas dañinos para Windows son los principales protagonistas con un porcentaje del 99,4%. La proporción de elementos dañinos .NET se ha multiplicado por 3,4, suponiendo ahora el 0,9% del total. También los autores de virus “saben apreciar” las ventajas de .NET.

• También prospera el código malicioso para los programas de los entornos Unix y Java.

Tendencias• La función principal del software malintencionado era y sigue siendo robar datos.

• El adware ha pasado el testigo a los sucedáneos de antivirus y a la extorsión informática.

• Cada vez hay más servicios online y funciones que se aprovechan para fines maliciosos.

Principales.Hitos• Las redes sociales se convierten en protagonistas por sus numerosas innovaciones, pero

también por algunos fallos de protección de datos. A la cabeza: Twitter y el rey de este campo, Facebook.

• A la red de bots Mariposa le cortan las alas. La policía española detiene a los tres explotadores.

• También la botnet Waledac, uno de las tres más grandes de los EE.UU., cae de lleno en las redes de la policía y 277 dominios punto com son retirados de la red.

• El organismo alemán de comercio de derechos de emisión cae víctima de un ataque de phis-hing. Los autores comerciaron con derechos por un valor que ronda los tres millones de euros.

• Los archivos en PDF están cada vez más en el punto de mira de los creadores de malware y los avisos sobre vulnerabilidades en los lectores de PDF aparecen con frecuencia creciente.



Programas.maliciosos:.Cifras.y.datosSoftware.malicioso.a.raudales.

Diagrama 1: Cantidad anual de nuevos programas dañinos desde 2005 y en el primer semestre del 2010

También en la primera mitad del 2010, con la aparición de 1.017.208 nuevos1 programas perniciosos, se ha superado un 10% la marca del último semestre del año pasado. Esto significa un aumento de más del 50% con respecto al mismo periodo del año pasado. Ya en el primer semestre del 2010 han aparecido más elementos dañinos que en todo el 2008 junto. Hasta finales de año es de prever que se bata la marca de dos millones de nuevos programas maliciosos.

Diagrama 2: Cifra mensual de nuevos programas de malware durante 2009 y 2010

1 Las cifras en este informe se basan en la detección del malware mediante firmas de virus, que, a su vez, se apoyan en las similitudes del código de los archivos dañinos. Muchos códigos maliciosos se parecen y se pueden agrupar por familias, en las que las pequeñas diver-gencias se consideran variaciones. Los archivos totalmente diferentes fundan nuevas estirpes. El cómputo se basa en nuevas variantes de firmas que se crearon en el primer semestre del 2010.

2005 2006 2007 2008 2009 2010 H 1

Enero Feb Marzo Abril Mayo Junio Julio Agos Sep Oct Nov Dic



Categorías.de.malwareLa proporción de spyware ha crecido un 3,4 % con respecto al último semestre del 2009. Ninguna otra categoría ha experimentado un aumento proporcional tan acusado. Con ello se ha invertido el fuerte retroceso que se constató en el pasado informe G Data sobre software malicioso, pero aún no se ha llegado al porcentaje que tenía este tipo de malware en el mismo periodo del año anterior. En términos absolutos, esta cifra significa un aumento del 51 %. En la categoría del spyware se puede apreciar un crecimiento especialmente acelerado en las subclases keylogger2 y troyanos bancarios3.

No ha remitido tampoco la popularidad de los rootkits. Su número aumentó de nuevo 2,6 veces durante el último semestre. Los gusanos, las nuevas estrellas del último Informe G Data sobre software malicioso, truncaron su imparable ascensión y se mantuvieron en el nivel que tenían.

El porcentaje de troyanos ha defendido la elevada cota que escaló el semestre pasado. En este grupo se ha multiplicado por diez el número de ransomware ("Secuestro de archivos a cambio de un rescate", programas de secuestro o de chantaje y algunos falsos antivirus) con respecto al mismo periodo del año pasado.

La cuota de backdoors bajo un 2,9%, continuando con ello su tendencia a la baja iniciada en el primer semestre del 2009. También se reduce un tercio el número de tools o herramientas, que ahora representan tan solo 1,0 % del total de malware. Pero la reducción más acusada se registra en la cantidad de adware. Con respecto al año anterior (1erSe 2009 frente al 1erSe 2010) hay un 40 % menos, y el porcentaje del total ha bajado del 5,3 % al 2,1 %.

Categoría#.2010.1erSe Porcentaje

#.2009.2°Se Porcentaje

Dif..2010.1erSe.2009.2°Se

#.2009.1erSe Porcentaje

Dif..2010.1erSe.2009.1erSe

Troyanos 433.367 42,6 % 393.421 42,6 % +10 % 221.610 33,6 % +96 %

Downloader/ dropper 206.298 20,3 % 187.958 20,3 % +10 % 147.942 22,1 % +39 %

Spyware 130.175 12,8 % 86.410 9,4 % +51 % 97.011 14,6 % +34 %

Backdoors 122.469 12,0 % 137.484 14,9 % -11 % 104.224 15,7 % +18 %

Gusanos 53.609 5,3 % 51.965 5,6 % +3 % 26.542 4,0 % +102 %

Rootkits 31.160 3,1 % 11.720 1,3 % +166 % 12.229 1,9 % +155 %

Adware 21.035 2,1 % 30.572 3,3 % -31 % 34.813 5,3 % -40 %

Herramientas 9.849 1,0 % 14.516 1,6 % -32 % 11.413 1,6 % -14 %

Exploits 2.495 0,2 % 3.412 0,4 % -27 % 2.279 0,3 % +9 %

Otros 6.751 0,7 % 5.543 0,5 % +22 % 4.593 0,7 % +47 %

Total 1.017.208 100,0 % 924.053 100,0 % +10 % 663.952 100,0 % +53 %

Tabla 1: Número y porcentaje de nuevas categorías de software dañino en el 2009 y 2010 , así como sus modificaciones

2 2,5 veces en comparación con el segundo semestre del 20093 2,2 veces en comparación con el primer semestre del 2009



Familias.de.programas.maliciososEn atención a sus funciones y características, el código dañino se puede agrupar por familias. Algunas familias se siguen engrosando con nuevas variantes. En el pasado, los programas dañinos aumentaban de número sin pausa, pero se reducía la cantidad total de familias. Esta tendencia se ha truncado en el último semestre. En el primer semestre del 2010 había 2.262 familias de malware en activo. Esta cifra supone un 3% más que el valor del semestre anterior y un aumento de la séptima parte con respecto al primer semestre del 2009.

#.2010.1erSe

Familia.de.virus

#.2009.2°Se Familia.de.virus #.2009.

1erSe Familia.de.virus

1 116.469 Genome 67.249 Genome 34.829 Monder2 32.830 Hupigon 38.854 PcClient 26.879 Hupigon3 30.055 Buzus 37.026 Hupigon 18.576 Genome4 25.071 Refroso 35.115 Scar 16.719 Buzus5 24.961 Scar 24.164 Buzus 16.675 OnlineGames6 21.675 Lipler 20.581 Lipler 13.889 Fraudload7 19.385 OnlineGames 19.848 Magania 13.104 Bifrose8 17.542 Palevo 18.645 Refroso 11.106 Inject9 16.543 Startpage 16.225 Basun 10.312 Magania

10 16.517 Magania 16.271 Sasfis 10.322 Poison

Tabla 2: Lista de las 10 familias de virus más activas. Número de nuevas variantes 2009 y 2010

La Tabla 2 muestra las familias más “productivas” durante el pasado año y medio. El líder sin competencia sigue siendo Genome, que ha visto aumentado su número al 73 % (2°Se 2009 con respecto a 1erSe 2010). Con estas cifras, por término medio, Genome produce diaria-mente una prole de 640 nuevas variantes. El número de variantes de esta estirpe durante el primer semestre del 2010 casi alcanza la cifra total de programas maliciosos en el 2007 (véase la tabla 1). El segundo puesto del segundo semestre, PcClient no se pudo mantener en el podio de los 10 primeros. Los siguientes rangos de la oscura jerarquía están ocupados por viejos conocidos (véase la descripción breve). OnlineGames volvió a conquistar un puesto entre los 10 principales. La familia del gusano Palevo y del secuestrador de navegadores Startpage entraron por primera vez en la lista "Top 10".

GenomeLos troyanos de la familia "Genome" reúnen varias funciones, como descargador, keylogger o cifrado de archivos.

HupigonLa puerta trasera "Hupigon" permite al atacante, entre otras cosas, controlar el ordenador de forma remota, obtener la información introducida a través del teclado, acceder al sistema de archivos y encender la cámara web.

BuzusLos troyanos de la familia "Buzus" rastrean los sistemas infectados de sus víctimas en busca de datos personales (tarjetas de crédito, banca online, accesos a correo electrónico y a servidores FTP,



etc.), que son enviados al atacante. También se intenta reducir la configuración de seguridad del ordenador, con lo que se hace el sistema de la víctima aún más vulnerable.

RefrosoEste troyano hizo su primera aparición a finales de junio del 2009. Posee funciones de backdoor y es capaz de atacar a otros ordenadores de la red.

ScarEste caballo troyano carga un archivo de texto mediante el que puede ejecutar posteriores descar-gas de programas maliciosos, tales como programas de tipo downloader, spyware, bots, etc.

LiplerEl "Lipler" es un descargador que carga posteriormente otros programas maliciosos desde una página web. Además, también modifica la página de inicio del navegador.

OnlineGamesLos miembros de la familia OnlineGames roban principalmente los datos de acceso a juegos online. Para ello, rastrean algunos archivos y entradas de registro y/o instalan un keylogger. En el último caso no sólo se roban los datos de juegos. La mayoría de los ataques apunta principalmen-te a los juegos populares en Asia.

PalevoEl gusano "Palevo" se propaga a través de soportes de datos intercambiables (autorun.inf) y realiza copias de sí mismo bajo nombres seductores en los accesos compartidos de las plataformas de intercambio peer to peer como Bearshare, Kazaa, Shareaza. También envía por mensajería instan-tánea (MSN sobre todo) enlaces a sitios web con código dañino. Infecta además el Explorador con funciones de puerta trasera y llama a determinados servidores en busca de comandos.

StartpageEsta familia de software malicioso cambia la página inicial y, con frecuencia, muchos otros ajustes del navegador de Internet. Es la variante más conspicua de los secuestradores del navegador.

MaganiaLos troyanos de la familia china Magania están especializados en el robo de datos de cuentas de juego del experto en software taiwanés Gamania. Generalmente, los ejemplares de Magania se distribuyen por correo electrónico que integra un archivo RAR incrustado y comprimido varias veces. Al ejecutar el software malicioso se muestra primeramente una imagen a modo de distrac-ción, mientras que en segundo plano se guardan otros archivos en el sistema. Además, Magania penetra en el Explorador de Internet vía DLL, con lo que puede obtener información de las páginas visitadas en Internet.



Plataformas:..Net.se.amplíaLa inmensa mayoría del código malicioso sigue programándose para Windows. El porcentaje de archivos ejecutables entre los programas maliciosos para Windows (Win32) se ha reducido al 98,5%, aunque su número absoluto ha aumentado un 9%. Con ello se consolida una tendencia que ya habíamos descrito en el último Informe sobre software malicioso. Pero de nuevo, el menor número de programas malintencionados para Windows se ve compensado por la multiplicación (3,4 veces más) del malware para la plataforma NET. También los autores de código malicioso sacan partido de las ventajas de .NET, sobre todo porque viene incluido en el suministro de los sistemas operativos más modernos. En suma, el código dañino para Windows acapara un 99,4 % del total.

En el 0,6 % restante nos encontramos los programas maliciosos de páginas Web (por ej. JavaScript, PHP, HTML, ASP etc.), que hacen un tercio aproximadamente (es decir, un 0,4%). Aquí se observa un ligero retroceso en el número de nuevas variantes. Pero las variantes existentes están muy difundi-das.

Plataforma#.2010.1erSe Porcentaje

#.2009..2°Se Porcentaje

Dif..2010.1erSe.2009..2°Se

#.2009.1erSe Porcentaje

Dif..2010.1erSe.2009.1erSe

1 Win32 1.001.902 98,5 % 915.197 99,0 % +9 % 659.009 99,3 % +52 %

2 MSIL4 9.383 0,9 % 2.732 0,3 % +243 % 365 0,1 % +2471 %

3 WebScripts 3.942 0,4 % 4.371 0,5 % -10 % 3.301 0,5 % +19 %

4 Scripts5 922 0,1 % 1.124 0,1 % -18 % 924 0,1 % -0 %

5 NSIS6 260 0,0 % 229 0,0 % +14 % 48 0,0 % +442 %

6 *ix 7 226 0,0 % 37 0,0 % +511 % 66 0,0 % +242 %

7 Java 225 0,0 % 31 0,0 % +626 % 3 0,0 % +7400 %

8 Móvil 212 0,0 % 120 0,0 % +77 % 106 0,0 % +100 %

Tabla 3: Plataformas de los 5 primeros en los años 2009 y 2010.

Los programas malintencionados para las demás plataformas se diluyen prácticamente en estas cifras. No obstante, hay que destacar aquí que la cantidad de malware para los sistemas operativos basados en Unix se ha multiplicado con creces por seis y que los programas maliciosos para Java han aumentado casi siete veces (en comparación con las cifras de la segunda mitad del 2009).

4 MSIL es el formato intermedio en el que se representan las aplicaciones .NET en su forma independiente de plataforma y de lenguaje de programación.

5 Los "scripts" son scripts de tipo batch o shell o programas escritos en los lenguajes de programación VBS, Perl, Python o Ruby.6 NSIS es la plataforma de instalación utilizada, entre otros fines, para instalar el reproductor Winamp.7 *ix designa todos los productos derivados de Unix, como por ej. Linux, FreeBSD, Solaris, etc.



Resumen.y.tendencias.2010La oleada de malware que nos inunda no remite. En la floreciente cibereconomía sumergida ocupan un puesto de honor los backdoors, rootkits, spyware y demás familia. Los autores de programas dañinos se concentran especialmente en los programas espía, en las áreas de registradores de teclado, banca y juegos en línea. Una de las funciones estrella del software malintencionado era y sigue siendo robar datos, porque su comercialización es uno de los servicios más corrientes ofrecidos en los foros clandestinos.

El número de variantes de adware baja notablemente. Quizá se deba a que con "formas de publicidad" más agresiva, sucedáneos de programas de protección (falsos antivirus) o con software de descodificación y protección (ransomware) se puede ganar más dinero.

Windows es la principal diana de todos los ataques. Pero los programadores piratas ya están buscando alternativas.

Pronósticos

Categoría TendenciaTroyanosBackdoorsDescargadores/droppersSpywareAdwareVirus/gusanosHerramientasRootkitsExploitsWin32WebScriptsMSILMóvil*ix



Hitos.durante.el.primer.semestre.del.2010

Enero.de.201004.01. Curiosidad: La presidencia española del consejo de la Unión Europea se presentó en la

red con una "cara nueva", en el más amplio sentido de la expresión: Un hacker utilizó un ataque con secuencias de comandos entre sitios para sustituir la imagen de Zapatero, el Presidente del gobierno español, por la cara de Mr. Bean, el personaje cómico ficticio.

06.01. Curiosidad:Un ciudadano británico de 26 años envía en Twitter un mensaje colérico y una semana más tarde es detenido por ello: "You‘ve got a week and a bit to get your s*** together, otherwise I‘m blowing the airport sky high", así rezaba su "amenaza" al aeropuerto británico Robin Hood, porque se temía que su vuelo previsto para el 15.1 iba a ser cancelado debido al mal tiempo. Por twittear este mensaje fue sometido a un interrogatorio de casi siete horas, perdió su trabajo y se le prohibió la entrada de por vida al aeropuerto Doncas-ter. La comunidad online calificó a Paul Chambers cariñosamente de "idiota twittero". El propio Chambers no entendía el por qué de todo ese lío.

12.01. La organización "Iranian Cyber Army" capturó el sitio Baidu, el principal buscador chino, utilizando registros de DNS modificados y dejó un banner reconociendo la autoría de los hechos. En diciembre del 2009 ya había paralizado durante varias horas el servicio de micro-blogs Twitter, también mediante registros de DNS modificados.

14.01. Los operadores de la página de Internet opendownload.de perdieron el litigio ante la Audiencia regional de Mannheim en segunda instancia sin posibilidad de revisión. A comienzos del 2008 un usuario había recibido una factura de opendownland, aunque "no se podía reconocer ni percibir con facilidad que el servicio ofrecido fuese de pago, de modo que el usuario corriente obtuviese información directa sobre los gastos en que había incurrido", tal y como argumentó la Audiencia regional de Mannheim en su sentencia. El cliente encargó a su abogado que denegase el pago y reclamó judicialmente al opera-dor del servicio los honorarios del abogado. La oficina de protección al consumidor de Rheinland-Pfalz ya había llamado la atención a finales del 2008 sobre los dudosos métodos usados por esta página.

14.01. Un antiguo administrador de la página web clandestina DarkMarket fue condenado a una pena de diez años de reclusión. Renukanth Subramaniam, de 33 años y vecino de Londres se había ocupado de administrar la página web trabajando sin saberlo a la par con agentes del FBI de incógnito La policía federal americana había creado la página para llevar a cabo con ella investigaciones en los círculos de ciberdelincuentes.

19.01. En la bitácora de la página web netzpolitik.org se publica que el operador de viajes para jóvenes Ruf-Jugendreisen ha sufrido un robo de datos en un ataque de ciberpiratas. Los hackers tuvieron acceso a los datos de los miembros - jóvenes en su mayoría - de la comuni-dad de este operador turístico. Tres años antes, nos sigue informando netzpolitik.org, a la empresa Ruf ya le habían hecho notar los agujeros de seguridad existentes, pero al parecer Ruf había hecho caso omiso de estos avisos, según la noticia del 21.1.



21.01. Microsoft publica un parche de seguridad fuera del ciclo normal. El parche de emergen-cia resultó imprescindible porque a principios de esa semana se había hecho público en la red el código del exploit que en diciembre del 2009 permitió atacar Google y otras empre-sas. El parche elimina ocho vulnerabilidades en total.

25.01. Los ciberataques a Google y a otras empresas que acapararon a principios de enero la aten-ción general se hicieron posibles, entre otros factores, gracias al uso de las redes sociales. Los expertos rastrearon el origen del ataque y averiguaron que los atacantes habían locali-zado personas en posiciones clave, les habían espiado por vías Web 2.0 y luego habían involu-crado las cuentas de amistades de las víctimas. Camuflados así como amigos, enviaron mensajes con enlaces a páginas web infectadas, entrando por este procedimiento en las redes de las empresas. El consorcio se plantea salir del ámbito de China y cerrar google.cn.

29.01. El organismo alemán de comercio de derechos de emisión (Deutsche Emissionshan-delsstelle, DEHSt) hace las siguientes declaraciones sobre los ataques de phishing que sufrió ayer: Los ciberpiratas hicieron pasar sus correos fraudulentos por correos del DEHSt y indujeron a los destinatarios a registrarse en una página web falsificada, irónicamente usando el pretexto de así se protegerían de ataques de hackers. Con los datos de acceso sustraídos, los criminales transfirieron valores de emisión, sobre todo a Dinamarca y a Gran Bretaña y obtuvieron un botín estimado en tres millones de euros. Por lo que se ve: los ataques selectivos de phishing pueden ser muy lucrativos.

Febrero.de.201002.02. Reset de las contraseñas de Twitter: Los responsables del servicio de microblogs Twitter

han registrado ataques a sus usuarios, ejecutados probablemente con ayuda de páginas To-rrent. Se trataba sobre todo de usuarios que habían utilizado idénticos datos de login en varias plataformas, haciéndose así vulnerables a los ataques. Se deberían tener contraseñas distintas para cada cuenta. Con frecuencia basta con sencillas variaciones de una contraseña básica.

03.02. Las páginas Web de populares portales de noticias online caen víctima de malvertising (publicidad maliciosa). Golem.de, Handelsblatt.com y también Zeit.de son portadores durante cierto tiempo de banner publicitarios infectados de código dañino que transmiten a los visitantes de su portal. El peligro de infectarse ya no solo acecha en los rincones oscu-ros de Internet. Una protección antivirus fiable debe examinar los contenidos de las páginas Web para detectar código malicioso.

03.02. En el juzgado de primera instancia de Nueva Jersey, Edwin Andrew Pena ha admitido el delito de haber ganado entre el 2004 y el 2006 en torno a 1.000.000 de dólares americanos con la venta ilegal de minutos de transmisión de voz a través de redes IP. Pena enviaba

Ilustración: G Data 2009



subrepticiamente los paquetes de datos a través de servidores de proveedores de teleco-municaciones que los tenían "asegurados" únicamente mediante las contraseñas estándar preconfiguradas.

09.02. Cinco días después que se supiera de la existencia de dos addons infectados, Mozilla tuvo que reconocer que uno de los programas adicionales se había descartado injustificada-mente. Un examen posterior había detectado que la herramienta supuestamente infectada había dado un positivo erróneo.

09.02. Una herramienta para eliminación contra un troyano lo que hace es introducir otro en el or-denador: „Kill Zeus" es el nombre del programa procedente de "Spy Eye Toolkit", que borra, sí, el troyano "Zeus" del ordenador, pero que, por su parte, alberga intenciones aviesas y se dedica a sustraer los datos del usuario y sus contraseñas. El conjunto de herramientasZeus lleva rodando desde finales del 2009 por los bajos fondos cibernéticos y se trafica con él por unos 500 $ americanos.

09.02. Un scareware holandés hace su aparición en la red. La interfaz del usuario está salpicada de errores ortográficos, pero en los países que no son de habla inglesa, la existencia de una versión en un idioma diferente del inglés se considera una ampliación clarificadora. En total, este scareware funciona en 19 idiomas.

10.02. El gobierno australiano queda fuera de combate por ataques DDoS selectivos del grupo activista "Anonymous". Las hostilidades se tildan de "ciberactivismo pirata" con motivacio-nes políticas y son condenadas severamente, tanto por el lado del gobierno como por parte de los opositores a la censura. La razón de toda la agitación: Australia estudiaba censurar ciertos contenidos pornográficos en línea y los oponentes a la censura se temían un filtrado excesivo.

17.02. Curiosidad: Un grupo de jóvenes holandeses publica el sitio PleaseRobMe.com, para concienciar sobre el peligro que suponen los imprudentes mensajes de ausencia en las redes sociales. Los usuarios deberían darse cuenta de que sus tuiteos y mensajes sobre su paradero están accesibles para cualquiera, no solo para los amigos. Así, los ladrones saben con total certidumbre quién no está en casa y puede que decidan aprovechar la oportunidad. Se rumorea que las asegura-doras están pensando en elevar la póliza de seguro si saben a ciencia cierta que el cliente usa servicios de geolocalización.

17.02. Microsoft revela que el rootkit Alureon tiene la culpa de las caídas de sistema con panta-lla azul de muchos ordenadores con Windows XP y algunos con Windows 7. Las "pantallas azules de la muerte" (bluescreens of death, BSoD) menudearon después de la actualización de sistema MS10-015 de la semana pasada. Afectó a los ordenadores que estaban infecta-dos con Alureon antes de la actualización.

Captura de pantalla 1: Fuente: pleaserobme.com



23.02. Microsoft hace público que ha dado un golpe certero y único en su género contra "Wale-dac" una red de bots que se encuentra entre las 10 más grandes de los EE.UU. Ha llevado a efecto la autorización judicial de retirar de la red 277 dominios .com para los que tenía indicios de que estaban relacionados con "Waledac". Así, los ordenadores zombi pierden el contacto con los servidores de comando y control que los dirigen. La red de bots "Waledac" envía según algunas estimaciones más de 1500 millones de correos spam al día.

Marzo.de.201001.03. Observando los avatares que desembocaron en la "Operación Aurora" contra Google y,

al parecer, más de cien compañías más, sale a la luz que los ataques también se pudieron llevar a cabo con archivos PDF infectados. En algunos ordenadores sometidos a un análisis forense se encontraron documentos PDF dañinos que muy probablemente estaban relacionados con el ataque. Los archivos presentaban similitudes cronológicas, de origen y de tipo con los indicios descubiertos hasta el momento. En este contexto, Intel, el fabricante de chips revela en su informe financiero que en enero sufrió un "incidente de seguridad de corte muy sofisticado", pero la empresa no proporcionó más información sobre el alcance ni las consecuencias.

03.03. Las autoridades españolas hacen público que han arrestado a los tres presuntos adminis-tradores de la red de bots "Mariposa". A estos hombres de nacionalidad española y con edades comprendidas entre 25 y 31 años se les acusa de haber empleado la red de bots para sustraer datos bancarios y de tarjetas de crédito. Se estima que la red abarcaba más de 13 millones de ordenadores en 190 países.

06.03. Un gran número de cuentas de Twitter fueron pirateadas, revoloteando en ellas spam sobre una supuesta dieta milagrosa. Los señuelos eran "Check out this diet I tried, it works!" y "I lost 20 lbs in 2 weeks". Aunque no se ha confirmado, es perfectamente posible que las cuentas se hayan comprometido usando ataques de fuerza bruta (con diccionario) contra las interfaces de Twitter (APIs).

07.03. Una encuesta de GlobeScan para el BBC World Service revela que casi un 80 % de la pobla-ción considera el acceso a Internet como un derecho fundamental. Lo que en algunos países, como Finlandia y Estonia, ya está regulado por ley, lo desea la mayoría de los 28.000 encuestados de 26 países, teniendo en cuenta que 14.306 de ellos ya son internautas.

09.03. Twitter aplica una nueva medida de seguridad en los enlaces enviados. Todos los enlaces que se envíen a Twitter son examinados antes del despacho para detectar un posible efecto dañino (phishing y otros ataques). Esta medida pretende detectar, filtrar e impedir la propagación de enlaces maliciosos a través del servicio Twitter.




10.03. Los usuarios del navegador Internet Explorer 6 y 7 están en el punto de mira de los ciber-piratas. Microsoft publica una advertencia de seguridad sobre una vulnerabilidad 0 day exploit. Hackers podían, bajo determinadas circunstancias, realizar comandos dañinos en los ordenadores atacados. Internet Explorer 7, precisamente, sigue estando muy extendido y por eso los expertos suponen que habrá muchos que se aprovecharán de la vulnerabili-dad al publicarse el código exploit.

11.03. Se ha recuperado de nuevo el número de servidores de control (servidores Command&Control) de la red de bots ZeuS. La iniciativa suiza ZeuS Tracker registró una gran caída (de 249 a 104) en el número de servidores C&C en los últimos 2 días. Este fe-nómeno lo atribuye a la desconexión temporal del proveedor upstream de Troyak-as. El número de servidores ha escalado hoy de nuevo a 191.

12.03. El informe anual oficial del Internet Crime Complaint Center (que responde a las siglas IC3) registra un aumento de las denuncias. En el 2009 hubo 336.655 incidencias, lo que significa un aumento del 22,3 % con respecto al 2008. La mayor parte de las reclamaciones tuvo su origen en fraudes online combinados con perjuicios financieros. Las pérdidas pecu-niarias se cifran en 559,7 millones de $ americanos. El IC3 agrupa al FBI y al National White Collar Crime Center (Centro nacional de delitos financieros) y es el servicio de recogida de denuncias relativas al crimen online en los Estados Unidos.

16.03. Dos estudiantes de bachillerato de la localidad holandesa Heeswijk-Dinther son expul-sados del instituto porque se habían colado con ayuda de keyloggers en 19 cuentas de correo de sus profesores. Sustrajeron documentación de examen y compartieron esta infor-mación con sus amigos.

19.03. Un agujero crítico de seguridad en el navegador Firefox 3.6 indujo al CERT ciudadano, un proyecto de la Oficina federal alemana para la seguridad informática (BSI) a advertir contra su uso. Los usuarios deberían evitar por ahora la versión 3.6. Mozilla reaccionó con prontitud y el día 23.03 puso en circulación un parche de seguridad que cerraba la vulnerabilidad CVE-2010-1028.

22.03. La operadora de telefonía móvil Vodafone reconoce que ha suministrado casi 3.000 telé-fonos en total con tarjetas de memoria infectadas. Tres semanas antes, Vodafone había anunciado que se tratata de un caso absolutamente aislado cuando un analista de malware descubrió código dañino en el teléfono inteligente que acababa de comprar. El incidente quedó suscrito a España. Se escribió a los clientes a los que se suponía afectados y se les invitó a descargar las herramientas para eliminar el software malicioso. Desde luego, merece la pena comprobar si tienen virus los dispositivos recién comprados.

24.03. La organización Messaging Anti-Abuse Working Group (MAAWG) publicó los resultados de un estudio sobre la conducta de los usuarios en el campo de la seguridad del correo electrónico. Este estudio se llevó a cabo en América y Europa occidental y muestra lo siguiente: El 43 % de los 3.716 encuestados abrían los correos que ellos mismos habían catalogado como spam, el 11 %, incluso, abría un enlace de uno de estos correos. 8 % de los que respondieron al cuestionario creían que nunca iban a ser víctima de una infección de bots.



26.03. En los EE.UU. Albert González fue condenado a una pena de 20 años de prisión. El juez que se ocupó el caso consideró probado que este joven de 28 años era el cabecilla del "ejemplo más gravoso y a mayor escala de piratería informática en la historia de los Estados Unidos". González, que actuaba junto con sus dos compinches rusos, fue acusado de robar 130 millones de registros de datos de tarjetas bancarias y de crédito.

29.03. El experto en seguridad Didier Stevens aprovecha una función del PDF para iniciar cual-quier programa al abrir un documento en PDF. En este caso tampoco sirve de protección desactivar la función de script de Java. El lector Foxit siguió ejecutando el código sin hacer preguntas, hasta que se publicó una actualización. El lector de Adobe visualiza un mensaje de advertencia. Pero se puede modificar el texto de esta ventana de aviso, abriendo así una serie de posibilidades de ingeniería social.

30.03. Una aplicación antivirus para Facebook se propaga en la red social. Pero lo que no sabe la mayoría es que es un intento de fraude, porque no hay ninguna aplicación de protección específica para el líder del sector. Después de instalarla, esta pseu-doaplicación, reúne 20 identificaciones de amistades en una imagen para atraer a más amigos a la trampa.

31.03. Facebook vuelve a acaparar titulares: El gigante de la redes sociales, había mostrado por descuido públicamente durante 30 minutos todas las direcciones de correo electrónico en los perfiles de sus casi 400 millones de usuarios. El usuario no podía ni borrar la dirección ni ocultarla.

31.03. Ese día se revela que el sitio Web de la Oficina alemana del medio ambiente había estado propagando el troyano ZeuS entre el 19 y el 22 de marzo. Las fuentes oficiales silencian cómo se llegó infectar la página.

Abril.de.201001.04. En Bélgica se inaugura un nuevo centro de expertos en ciberdelincuencia. En este

marco, la Universidad de Lovaina colaborará con otras instituciones académicas, el gobier-no belga, la Comisión Europea y algunas empresas privadas. El objetivo de este centro es desarrollar medidas adecuadas de formación y transferir conocimientos en este campo.

15.04. Dos días después de que llegasen a conocimiento público detalles sobre una brecha de seguridad en el Kit de herramientas de desarrollo de Java, hoy se ha visto "en libertad" el exploit 0 day. Tavis Ormandy y Rubén Santamarta publican información detallada sobre esta vulnerabilidad. Al poco de esto, Sun cambió de opinión y decidió realizar una actua-lización fuera de ciclo , seguramente porque menudeaban las voces pronosticando una oleada de infecciones. La versión 6u20 que se puede descargar desde hoy cierra ese agujero.

Captura de pantalla 2: "Falso antivirus de Facebook” Fuente: Blog SecurityWatch



15.04. Un parásito informático japonés se propaga al descargar falsos programas Hentai en las redes P2P. Este elemento dañino captura información del ordenador infectado y la hace pública en un sitio web. Según los comunicados, estos datos son el nombre de la víctima, los favoritos de Internet Explorer, el historial de navegación, etc. Los afectados reciben un correo electrónico en que se les conmina a pagar 1.500 yenes para que sus datos se borren de la página web en cuestión.

15.04. La compañía ferroviaria belga, Nederlandse Spoor-wegen, batalla contra un skimmer. Esta corporación tuvo que cambiar desde agosto del 2009 todas las ranuras para introducir la tarjeta en las máquinas expendedoras de billetes, porque ese año se había descubierto 467 artefactos de skimming en las máqui-nas. En el 2010 no se ha registrado hasta ahora ningún artilugio acoplado ajeno.

16.04. Un empleado de la policía de Gwent (UK) envió una explosiva tabla de Excel de Microsoft con los datos personales, entre otros, del registro penal policial de 10.006 personas. El error, debido a un descuido y a que estaba activada la función "completar automáticamen-te" en el programa de correo electrónico, hizo que un periodista del "The Register" recibiese la lista desprotegida y sin codificar. En cooperación con la policía, la lista fue borrada del sistema del periodista y no se publicó.

19.04. Es capturado el ciberpirata holandés "Woopie", alias de Kevin de J. de 22 años. Se le acusa de piratear los sitios web CrimeClub y ExtremeClub y de robar y publicar scripts de la base de datos del administrador. Al parecer había dejado fuera de combate esta página a base de ataques DDoS. Su propio sitio web, woopie.nl, fue confiscado por la unidad especial de la policía Team High Tech Crime. Es la primera vez que las fuerzas del orden retiran de la red una página web en Holanda.

21.04. Desde hoy, Facebook presenta una nueva y gran novedad en la configuración de priva-cidad. La función se llama "Personalización instantánea" y permite a los operadores de páginas publicitarias acceder al perfil público de los usuarios para personalizar una página publicitaria al abrirla. La función de "personalización instantánea" se ha creado como op-ción de exclusión voluntaria, es decir, se aplica en general a todos los usuarios a no ser que estos la rechacen. Esta función en un paso más en el camino hacia el usuario transpa-rente y resulta muy útil, tanto con fines de marketing y publicidad selectiva como por parte de ladrones de identidades para realizar sus investigaciones.

22.04. Curiosidad: En abril del 2010 ya se habían pirateado casi 900 dominicos .be, si atendemos a las estadísticas proporcionadas en zone-h.org. La bitácora online Belsec menciona que el número de golpes de hackers ha sido inusualmente elevado en este mes. Una de las razones aportadas es el uso del hosting compartido, es decir la administración de muchas páginas web en un solo servidor web.

24.04. "Blippy" es una especie de Twitter para los que van de compras online. Las compras realiza-das se muestran en la red en forma de mensaje breve incluyendo el precio y la descripción




del artículo comprado. Cinco miembros de este servicio Web 2.0 encontraron los datos de sus tarjetas de crédito colgados en Google. "Blippy" calificó estos hechos de "incidentes aislados" ocurridos en una fase beta de prueba del servicio.

27.04. Desde hace días, el proyecto de callejero Google Street View vuelve a ser en Alemania blanco de las críticas. En su bitácora oficial Google Policy Europe Blog, esta empresa de ser-vicios de Internet explica detalles sobre los datos recogidos por los vehículos de Street View. Entre los datos WLAN captados se encuentran, según su propia información, el identificador SSID y la dirección MAC. Peter Schaar, delegado federal alemán de protección de datos, exi-gió que borrasen inmediatamente estos datos y dejasen de recopilarlos en el futuro. Google declara que no se captan ni se guardan datos de la carga útil ni sobre envíos de paquetes de datos. Esta información es refutada el 14.05.2010.

29.04. Un tribunal sentencia a un skimmer búlgaro a una pena de cuatro años de prisión después de haber realizado fraudes de skimming en Brujas, Amberes y Bruselas. Los cargos por los que se le condenó fueron interrupción del comercio bancario normal y pertenencia a una organización criminal organizada internacional.

Mayo.de.201004.05. Dos de los presuntos cabecillas responsables de la red de bots Mariposa, "Netkairo" y" Os-

tiator" solicitaron empleo en una empresa española dedicada al software de seguridad. El gerente de la empresa comentó entonces: "Yo no sé lo que se han creído, pero utilizar Mariposa como tarjeta de visita no les favorece demasiado, más bien al contrario". Cuando la empresa no mostró interés alguno en emplearlos, uno de los dos amenazó además con destapar vulnerabilidades en su software.

04.05. El portal netzpolitik.org informó sobre un nuevo acceso ilícito masivo a datos en la plata-forma Web 2.0 alemana para alumnos de secundaria: SchülerVZ. Aunque los operadores de los portales VZ habían invertido en seguridad de los datos después de los últimos incidentes e incluso, entre otros, obtuvieron un certificado de verificación del TÜV por su protección de datos y funcionalidad, un estudiante pudo hacerse con los datos de más de dos millones de usuarios, menores en su mayoría. Su recopilador de datos (crawler) funcionaría igual para las plataformas hermanas MeinVZ y StudiVZ, pero lo que el progra-mador quería era dirigir la atención púiblica a la protección de la privacidad de los menores de edad. Según fuentes internas, SchülerVZ tenía en mayo del 2010 más de 5,8 millones de miembros.

05.05. Otra vulnerabilidad más de Facebook salta a los titulares: La opción de vista preliminar del propio perfil, que se encuentra en la configuración de privacidad, proporciona accidentalmente información sobre las conversaciones en vivo y en directo y las solicitudes de amistad de la persona que se haya elegido como observador en vista preliminar. Facebook reaccionó prontamente y, lo primero, retiró de la red la función de chat. Captura de pantalla 3

Fuente: Facebook.com



14.05. La información publicada a finales de abril sobre el alcance de los datos WLAN recogidos por los vehículos de Google Street View resultó que no era verdadera. En un apunte en su blog, Google reconoce que " se recogieron por error muestras de datos útiles de redes WiFi abiertas (por ej., las que no están protegidas mediante contraseña)", escribe Alan Eus-tace. "Además, a la vista de los reparos que han surgido, hemos decidido que lo mejor será renunciar totalmente a recabar datos de las redes WiFi con nuestros vehículos de Google Street View".

17.05. Unos 200 soldados de las fuerzas militares israelíes cayeron en una trampa preparada al parecer por la milicia libanesa shií en la red social Facebook Los instigadores del engaño se camuflaban bajo el nombre israelí Reut Zukerman y la foto de una bella mujer y con este perfil captaban información militar privilegiada. Los militares ya habían sido advertidos un año antes de los riesgos de las amistades en Internet.

18.05. Según datos extrapolados por la empresa española UPCnet, las entidades públicas es-pañolas sufren al año unos 5.400 ataques informáticos. Las mediciones se realizaron usando el programa SIGVI de la Universidad Politécnica de Cataluña, que registró entre 12 y 15 ataques diarios ya solo a la propia universidad.

19.05. Se consiguió hackear uno de los foros piratas criminales de mayor relevancia: „Carders.cc", una plataforma especializada en todos los temas en torno a las tarjetas de crédito. Es de suponer que se trataba de los mismos atacantes que en noviembre del 2009 también habían pirateado el foro de "1337 Crew". El botín del golpe informático actual: Una base de datos con direcciones de correo electrónico, direcciones IP y otros datos.

24.05. Aza Raski, un empleado de Mozilla Labs, publica un virus "proof of concept que bautiza con el nombre "Tabnabbing". Usando Javascript se modifica el icono de página y el con-tenido de la página de una pestaña abierta del navegador que lleve un cierto tiempo fuera del primer plano. La página modificada puede luego imitar una página de login cualquie-ra, haciendo creer al usuario que la ha abierto él mismo. Si el usuario introduce entonces sus datos de login, el ataque de phishing ha tenido el éxito apetecido.

Junio.de.201004.06. Adobe informa en su página web sobre un agujero de seguridad crítico e independiente

del sistema operativo (CVE-2010-1297) para Adobe Flash Player 9.0.277.0 y 10.x, Adobe Reader 9 y Acrobat 9 y 8. Unos archivos flash especialmente preparados comprometen la seguridad de los ordenadores.

07.06. Las fuerzas policiales japonesas arrestan a dos hombres acusados de robo de datos y de extorsión, en el marco de un delito consistente en propagar un parásito informático a través de los juegos Hentai. El programa dañino rastreaba el ordenador de las víctimas en busca de información personal y la publicaba en una página web. Los dos estafadores lleva-ban actuando desde finales del 2009, habían infectado 5.000 ordenadores por lo menos y se había hecho con un botín de más de 3,8 millones de yenes (aprox. 34.000 euros).

10.06. Microsoft expone en su página web la existencia de una vulnerabilidad en el centro de asistencia y ayuda de Microsoft, que en algunas versiones de Windows XP y Windows



Server 2003 es susceptible de utilizarse para propagar código malicioso. Al abrir docu-mentos de ayuda, por un agujero de seguridad se puede abrir una puerta que permite a los ciberpiratas iniciar programas en el ordenador atacado o descargar en él malware.

25.06. Una oleada de confirmaciones de pedido falsas de Amazon.com y Buy.com inunda los buzones de co-rreo. La página Web enlazada contiene código dañino y descarga un software de un falso antivirus en el ordenador de la víctima. Lo original de este scareware: Es capaz de leer y visualizar las contraseñas almacena-das en el Internet Explorer 6.

28.06. Según una encuesta representativa de la Asociación federal alemana Bitkom, un 41 por ciento de los ciudadanos alemanes no cambia de motu propio sus contraseñas de las cuentas en línea, buzones de correo, etc. Y aquí las mujeres son aún menos activas cuando se trata de cambiar los datos de login: El 45 % de ellas no los cambia nunca, en comparación con el 38 % de los hombres. La razón más frecuente de esta pereza para actualizar los datos es probablemente el miedo de olvidar la contraseña. Pero así se lo ponen muy fácil a los ladrones de datos.

Captura de pantalla 4: "Falso pedido de Amazon”

g data informe sobre software malicioso informe semestral enero

Documents