g data informe sobre software malicioso

Ralf Benzmüller & Werner KlierG Data Security Labs

Go safe. Go safer. G Data.

Ralf Benzmüller & Werner Klier


G DataInforme sobre software maliciosoInforme semestral enero-junio 2009

1Copyright © 2009 G Data Software AG

G Data Informe enero-junio de 2009 sobre software malicioso

Informe G Data sobre software malicioso Enero-junio 2009

Ralf Benzmüller & Werner Klier

G Data Security Labs

2 Copyright © 2009 G Data Software AG

ResumenCifras y datos• Enelprimersemestrede2009,GDataidentificó663.952nuevosprogramasmaliciosos.

Estosignificamásdeldobledelosdetectadosduranteelmismoperíododelañoanterior.Encomparaciónconelsegundosemestrede2008sóloseobtuvounligeroincrementodel15%.Noobstante,elnúmerodefamiliasactivasdeprogramasmaliciososdescendióenun7%.

• Lascategoríasmásfrecuentesdeprogramasmaliciosossonlostroyanos,descargadoresybackdoors.Mientrasquelostroyanosydescargadoresescalaronposiciones,laproporcióndebackdoorsretrocedió.Losrootkitssiguieronconsolidándose.Sunúmeroseoctuplicóconcrecesfrentealmismoperíododelañoanterior.

• Losprogramasmaliciososconrutinasdepropagaciónpropiastansóloconstituyenun4,0%deltotaldelosprogramasinformáticosmaliciosos.

• Entrelostiposdeprogramamaliciosomásactivosseencuentranlostroyanos,losbackdoorsy los ladrones de cuentas de juegos online. Igualmente han aumentado notablemente la fa-miliadegusanos"Autorun".Sunúmeroprácticamentesehaquintuplicadoencomparaciónalprimersemestrede2008ysuparteeneltotalaumentóhastaalcanzarun1,6%.

• Enel99,3%deloscasos,todoslosprogramasmaliciososdelsegundosemestrefuncionaronenelentornodeWindows.Laconcentraciónenelsistemaoperativolíderenelmercadocontinúa.

• ElcódigomaliciosoparaplataformasmóvileshaconseguidoentrarestavezenelTop5delasplataformas.Pero,contansolo106elementosdañinos,suproporciónsiguesiendomínima.

• TambiénlosusuariosdeMacOSXrecibenataquesdeprogramasmaliciosos.ElnúmerodenuevosprogramasmaliciososparaMacOSXesde15.Enabrilsedescubrióunaprimerabotnet procedente de los ordenadores Apple.

Eventos y tendencias• Lasredessocialesseutilizancadavezconmásfrecuenciaparaladistribucióndespamy

programas maliciosos.

• Confickerseconvierteeneleternocaballodebatalla.InfectavariosmillonesdePCyel1deabrildaquehablarporsunuevarutinadeactualización.Apartirdeahídesaparece.

Pronósticos• Internetalbergacadavezunmayornúmerodecódigosmaliciosos.Losmétodosdeinfec-

ciónsehacencadavezmássofisticados.

• Laoladeprogramasmaliciososseguirácreciendoenlospróximosmeses,aunqueenmenormedidayatravésdeunmenornúmerodefamiliasdeprogramasmaliciosos.

• LosusuariosdeMacOSXySmartphonespasaránaestarconmayorfrecuenciaenlamiradelos autores de programas maliciosos.



Contenido

Resumen ......................................................................................................................................................................2

Cifras y datos ..............................................................................................................................................................2

Eventosytendencias ...............................................................................................................................................2

Pronósticos ..................................................................................................................................................................2

Programas maliciosos: Cifras y datos .....................................................................................4

Laoladeprogramasmaliciososcrece,aunqueconmenorintensidad .................................................4

Categoríasdemalware ...........................................................................................................................................4

Familias .........................................................................................................................................................................6

Plataformas .................................................................................................................................................................8

Perspectiva 2009 .....................................................................................................................9

Pronósticos ..................................................................................................................................................................9

Eventos y tendencias durante el primer semestre de 2009 ...............................................10

Enerode2009 ......................................................................................................................................................... 10

Febrero de 2009 ......................................................................................................................................................11

Marzo de 2009 .........................................................................................................................................................13

Abril de 2009 ............................................................................................................................................................14

Mayo de 2009 ...........................................................................................................................................................15

Junio de 2009 ...........................................................................................................................................................15


Programas maliciosos: Cifras y datosLa ola de programas maliciosos crece, aunque con menor intensidadEnlosúltimosañoselnúmerodenuevosprogramasmaliciososhaidocreciendodeformaconstante.Cadadíasebatíannuevosrécordsdetasasdecrecimiento.Tambiénenelprimersemestrede2009elnúmerodeprogramasinformáticosmaliciososvuelveaaumentar.Encomparaciónconelmismoperíododelañoanterior,elnúmerosehaduplicadoconcreceshastalos663.952programasmaliciosos.Aunque,comoyaanunciabaelúltimoinformedeGDatasobreprogramasmaliciosos,elritmodecrecimientoharemitido.Encomparaciónconelsegundosemestrede2008,elnúmerodeprogramasmaliciososhaaumentadoentansóloun15%.

0

20000

40000

60000

80000

100000

120000

140000

160000

Jan Feb Mrz April Mai Juni Juli Aug Sep Okt Nov Dez 01 02 03 04 05 06 07 08 09 10 11 12

Diagrama 1: Número de nuevos programas maliciosos por mes durante 2008 (gris) y 2009 (rojo).

Categorías de malwareUnvistazoaloscambiosencadaunadelascategoríasdeprogramasmaliciosospuedeapor-tarnosunaexplicacióndeesteretroceso.Mientrasquelosbackdoors,adwareyprogramasespíapermanecenpordebajodelamedia,lacantidadderootkitsytroyanossobrepasaelcrecimientomedioconsiderablemente.Tambiénelnúmerodedescargadoresydropperssobrepasa la media.

Los backdoors se necesitan para integrar ordenadores zombi en una red de bots y poder asu-mirelcontrolremoto.Elretrocesoenesteáreaesunindiciodequelaampliacióndelasbot-netshaperdidoimportancia.Elgranaumentoderootkitsesseñaldequecadavezunmayornúmerodeprogramasmaliciosos(tambiénbackdoors)permanecenocultosalosantivirusyalas miradas curiosas. A todas luces parece que la capacidad disponible ya basta para cubrir la demandadeactividadesbotnet,comoelenvíodecorreobasuraylosataquesdesobrecarga.Tambiénelmercadodeadwareparecehaberseestancadoenunaltonivel.Posiblementetienenqueverenestolascampañasdesensibilización.Aunquetambiénhacontribuidoaelloelparóncausadoporlacrisis,conunospresupuestospublicitarioslimitados,loquehaceque



tambiénlaeconomíadelcrimenelectrónicoseveaobligadaaactuarenmenorescala.

Lacantidaddespywarehadescendidoligeramente.Siobservamoselfenómenomásdecercapodremosdetectarquelos"keylogger"oregistradoresdeórdenesdeteclado,sehanduplica-do,mientrasquelostroyanosbancariosylosladronesdedatosdecontraseñasojuegosonlinehanretrocedidoenun30%.Elempleodemedidasdeseguridadmásestrictasporlosbancosylasempresasdejuegosonlineyanopermitensoslayarlaprotecciónpormediossencillos.Eneláreadelrobodedatos,latendenciaseinclinahaciaprogramasmaliciososcadavezmásuniver-sales y potentes.

Categoría #2009 H1

Propor-ción

# 2008 H2

Propor-ción

Dif. 2008H1 2008H2

# 2008 H1

Propor-ción

Dif. 2008H1 2009H1

Caballos troyanos

221.610 33,6% 155.167 26,9% 143% 52.087 16,4% 425%

Puertas traseras

104.224 15,7% 125.086 21,7% 83% 75.027 23,6% 139%

Descargado-res/Droppers

147.942 22,1% 115.358 20,0% 128% 64.482 20,3% 229%

Spyware o programas espía

97.011 14,6% 96.081 16,7% 101% 58.872 18,5% 165%

Adware 34.813 5,3% 40.680 7,1% 86% 32.068 10,1% 109%Gusanos 26.542 4,0% 17.504 3,0% 152% 10.227 3,2% 260%Herramientas 11.413 1,6% 7.727 1,3% 148% 12.203 3,8% 94%Rootkits 12.229 1,9% 6.959 1,2% 176% 1.425 0,4% 858%Exploits 2.279 0,3% 1.841 0,3% 124% 1.613 0,5% 141%Dialer 1.153 0,2% 1013 0,2% 114% 4.760 1,5% 24%Virus 143 0,0% 167 0,0% 86% 327 0,1% 44%Otros 4.593 0,7% 8.419 1,5% 55% 5.170 1,6% 89%Total 663.952 100,0% 576.002 100,0% 115% 318248 100,0% 209%

Tabla 1: Cantidad y porcentaje de nuevas categorías de programas maliciosos en el primer semestre de 2008 y 2009 incluyendo cambios

La tabla 1 indica asimismo que la cantidad de programas dialer ha descendido hasta apenas un cuartodelvolumendelañoanterior.Elmodelodenegociodeldialerseestáextinguiendo,porloqueseve.Tambiénelnúmerodevirusclásicos(p.ej.infectadoresdearchivos)hadecrecidonotablementeencomparaciónconelmismoperíododelañoanterior.Estavíadeexpansiónconstituyemásbienlaexcepción.Losgusanos,entrelosqueseencuentratambiénelgrangrupodeinfectadoresAutorun,vioaumentarsuporcentajehastaun4.0%.Sunúmerosehamultiplicadopor2,6frentealprimersemestrede2008ypor1,5frentealsegundosemestrede2008.


FamiliasDependiendodelasfuncionesydelascaracterísticasdelcódigoqueutilizan,losprogramasinformáticosmaliciosossesubdividenenfamilias.Desdehaceaños,elnúmerodefamiliasdevirushadescendido.Enelprimersemestrede2008habíaaún2395yenelsegundo2094.Enelprimersemestrede2009secontaron1948distintosrepresentantesdefamiliasdevirus.Enotraspalabras,elnuevoaumentodeprogramasmaliciosossebasaenunmenornúmerodefamilias.Estedatoindicaunaconcentracióndelmercado.

# 2009 H1 Familia de virus



1 34.829 Monder 45.407 Hupigon 32.383 Hupigon2 26.879 Hupigon 35.361 OnlineGames 19.415 OnLineGames3 18.576 Genome 20.708 Monder 13.922 Virtumonde4 16.719 OnlineGames 18.718 MonderB 11.933 Magania5 16.675 Buzus 15.937 Cinmus 7.370 FenomenGame6 13.889 Fraudload 13.133 Buzus 7.151 Buzus7 13.104 Bifrose 13.104 Magania 6.779 Zlob8 11.106 Inject 12.805 PcClient 6.247 Cinmus9 10.322 Poison 11.530 Zlob 6.194 Banload

10 10.312 Magania 10.412 Virtumonde 5.433 BifroseTabla 2: Top 10 de las familias de virus más activas durante el primer semestre de 2009 y 2008

Mientrasalgunasfamiliasaportansolounaspocasvariantes,otrassonespecialmenteprolíficas.AlgunasdeellasllevanenelTop10desdehaceaños.EntreellasseencuentranlosbackdoordelafamiliaHupigonyBifrose,quehanperdidoelprimerpuesto,losladronesdedatosdejuegosonlinedelasfamiliasOnlineGamesyMagania,asícomolostroyanosdelafamiliaBuzus.Losnuevoslíderessonlostroyanosadware/scarewaredeMonder,quevanpisandolostalonesdeVirtumonde.JuntoconelreciénincorporadoFraudloadindicanlapopularidadquehaganadoelscarewareentrelosciberdelincuentes,consolucionesimitadasdelosantivirus.TambiéningresanrecientementeenelTop10lasfamiliasGenome,PoisoneInject.



Primer puesto: MonderLasinnumerablesvariantesMondersontroyanosquemanipulanlaconfiguracióndeseguridaddelsistemainfectado,haciéndoloasísusceptibledeseratacadoposteriormente.Además,puedetenerlugarunainfeccióndeadware,quemuestramolestasventanaspublicitariasenelsistemainfectado,enparticularconanunciosdesoftwaredeseguridadfalsificado.Sesugierealavíctimaqueelsistemaestásiendoexaminadoenbuscadeinfecciones.Paraeliminarestassupuestasinfecciones,seurgealavíctimaaqueadquierala"versióncompleta"yaquepaguemedian-tetarjetadecrédito(!!).Algunasvariantesdescarganotrospaquetesdesoftwaremaliciosoyenvíanalatacanteinformaciónsobrelaspáginasvisitadasporlavíctima,sininformardeelloalusuario.

Segundo puesto: HupigonLapuertatraseraHupigonpermitealatacante,entreotrascosas,controlarelordenadordeformaremota,obtenerlainformacióningresadaatravésdelteclado,accederalsistemadearchivosyencenderlacámaraweb.

Tercer puesto: GenomeLostroyanosdelafamiliaGenomeaúnanfuncionesta-lescomodescargador,keyloggerocifradodearchivos.

Cuarto puesto: BuzusLostroyanosdelafamiliaBuzusexaminanlossistemasinfectadosdesusvíctimasenbuscadedatospersona-les(tarjetasdecrédito,bancaonline,accesosacorreoelectrónicoyaservidoresFTP,etc.),quesonenviadosalatacante.Tambiénseintentadesactivarlaconfigura-cióndeseguridaddelordenador,conloquesehaceelsistemadelavíctimaaúnmásvulnerable.

Quinto puesto: OnlineGamesLosmiembrosdelafamiliaOnlineGamesrobanprincipalmente los datos de acceso a juegos online. Paraello,algunosarchivosyentradasderegistrosonregistradosy/oseinstalaunkeylogger.Enelúltimocasonosóloserobanlosdatosdejuegos.Losataquesapuntan principalmente a los juegos populares en Asia.

Sexto puesto: FraudloadLafamiliaFraudloadabarcanumerosasvariantesdelosllamadosprogramasscareware,quesepresentanal usuario bajo la apariencia software de seguridad o deherramientadelsistema.Sesugierealavíctimaqueelsistemaestásiendoexaminadoenbuscadeinfec-ciones. Para eliminar estas supuestas infecciones se le recomiendaurgentementealavíctimaqueadquierala"versióncompleta"yparaellorevelelainformacióndesutarjetadecréditoenunapáginawebespecial.Lainfeccióntienelugargeneralmenteatravésdeagu-jerosdeseguridadnocerradosdelsistemaoperativooatravésdesoftwaredeaplicaciónvulnerabledelavíctima.Noobstante,tambiénexistenmétodosdeataqueenlosquelavíctimaesatraídaapáginasenlasquesupuestamentesemuestranvídeosdecontenidoeróticoodenoticiasdeactualidad.Parapodervisua-lizarestossupuestosvídeos,lavíctimadebeinstalaruncódecespecialdevídeoenelquevieneocultoelsoftware malicioso.

Séptimo puesto: BifroseElbackdoorBifrosepermitealosatacanteselaccesoaordenadoresinfectadosyseconectaaunservidorIRC.Desdeallí,elprogramamaliciosoejecutalasórdenesdel atacante.

Octavo puesto: PoisonElbackdoorPoisonpermitealosatacanteselaccesoremotonoautorizadoalsistemadelavíctima,queposteriormentepuedeserutilizadodeformaindebida,p.ej.paraataquesdesobrecargadistribuidos(DDoS).

Noveno puesto: MaganiaLostroyanosdelafamiliachinaMaganiaestánespecializados en el robo de datos de cuentas de juegodelexpertoensoftwaretaiwanésGamania.Generalmente,losejemplaresdeMaganiasedistri-buyenporcorreoelectrónicoqueintegraunarchivoRARincrustadoyvariasvecescomprimido.Alejecutarel software malicioso se muestra primeramente una imagenamododedistracción,mientrasqueense-gundoplanoseguardanotrosarchivosenelsistema.Además,MaganiapenetraenelExploradordeInternetvíaDLL,conloquepuedeobtenerinformacióndelaspáginasvisitadasenInternet.

Décimo puesto: InjectLa familia Inject abarca una gran cantidad de troyanos queseincrustanenprocesosenejecuciónytomanasíelcontroldeeseprocesodeterminado.Estopermiteal atacante manipular los procesos incautados como desee,conobjetivosmaliciosos.


La familia de gusanosmásactivaes"Autorun“,con9.689variantesyunporcentajedel1,6%.Losrepresentantesdeesafamiliautilizanelmecanismoqueejecutaarchivosautomáticamenteal insertar unidades de CD/DVD o al conectar soportes de datos USB. Para ello se copia en el soportededatosygeneraunarchivoadecuadollamadoautorun.inf.AlavistadelaampliapropagacióndeesteprogramamaliciosoconvienedesactivarelmecanismoAutorundeWin-dows.Paraqueestofuncionerealmente,Microsofthacreadosupropio"patch"oparche.

Los exploitsmáscomunesaprovechabanlabrechadeseguridadWMFypuntosdébilesendocumentosPDF.LacantidaddearchivosPDFmaliciososhaaumentadonotablementeenlosúltimosmeses.Enestesentidonosóloseutilizanlasbrechasdeseguridad.Losautoresdepro-gramasmaliciososaprovechanconfruiciónlaposibilidaddeejecutarenlosPDFsusproductosencódigoJavaScript.

PlataformasTambiénenelprimersemestrede2009losautoresdeprogramasmaliciososseconcentranenordenadoresconSOWindowscomoprimeradianadesusataques.Conun99,3%deltotal,vuelveaaumentarlaproporcióndeprogramasmaliciososparaWindows.Esmuyraroencon-trarsoftwaremaliciosoparaotrossistemasoperativos.EnlossistemasbasadosenUnixapare-cen66programasmaliciosos(encomparacióncon16enelsegundosemestrede2009)yparaelsistemaoperativoAppleOSXseencontraron15nuevosprogramasdañinos.Enelsegundosemestrede2008eran6.Inclusoalobservarseunatendenciaenaumentodelosprogramasmaliciososparaotrossistemasoperativos,estacantidad,encomparaciónconlaoleadadeprogramasmaliciososparaWindows,esinsignificante.

Plataforma #2009 H1 % 2009 H1 # 2008 H2 % 2008 H2 #2008 H1 Proporción1 Win32 659.009 99,3% 571.568 99,2% 312.656 98,2%2 WebScripts 3.301 0,5% 2.961 0,5% 3.849 1,4%3 Scripts 924 0,1% 1.062 0,2% 1.155 0,3%4 MSIL 365 0,1% 318 0,1% 252 0,1%5 Móvil 106 0,0% 70 0,0% 41 0,0%

Tabla 3: La 5 plataformas principales durante 2008 y el primer semestre de 2009. Los WebScripts agrupan los progra-mas maliciosos basados en JavaScript, HTML, Flash/Shockwave, PHP o ASP y generalmente puntos débiles a través de navegador de Internet. Los "scripts" son scripts de tipo batch o shell o programas escritos en los lenguajes de progra-mación script VBS, Perl, Python o Ruby. MSIL es un programa malicioso escrito en el código temporal de los programas NET. El concepto "móvil" abarca los programas maliciosos para J2ME, Symbian y Windows CE.

Lacantidaddenuevosprogramasmaliciososparasmartphonesyordenadoresmóvileshaaumentadoaprox.lamitadyloselementosmaliciososparaterminalesmóvileshanvueltoaconseguirencontrarseenelTop5.Entotalhanaparecido106nuevoselementosmaliciosos.Aprox.90deestosnotienensupropiarutinadepropagaciónysonutilizadosparaelenvíodeSMSaclientestelefónicosque,ensumayoría,residenenRusiayChina.SólolafamiliaYxesepropagaautomáticamentevíaSMSconenlaceaunapáginaweb.ElarchivoqueseofreceallíparasudescargavienefirmadoporSymbian.Así,laactuacióndelusuario(quesiguesiendoimprescindible)sereduceaunclic.



Perspectiva 2009Losprogramasmaliciososseguiránconstituyendoenlospróximosmesesunafuentedeeleva-dosingresos.Laeconomíacibercriminalestáfirmementeafianzadaylosmodelosdenegocioacreditadosparaspam,spywareyadwaresiguenllenandolasarcasdeloscreadores,lospropa-gadoresylosusuariosdeprogramasmaliciosos.Loséxitosocasionalesdelasautoridadesdecontrolnoseráncapacesdecambiarestasituación.LosusuariosdeWindowsseguiránestandoen la mira de los ciberdelincuentes.

Laoleadadeprogramasmaliciosossiguecreciendo.Perotambiénesprevisiblequeunnúmerocadavezmenordefamiliassearesponsabledeesteaumento.Lastasasdecrecimientonoseguiránundesarrollotanabruptocomoeldelosúltimosaños.

Vistalaprofesionalidaddelaeconomíaenlasombra,noessorprendentequelasbrechasdeseguridadenelsistemaoperativoyenconocidasaplicacionesyaseanutilizadasporprogra-masmaliciososalospocosdíasdesupublicación.Enunintervalomuybreveestarándisponi-blesparausuariosinexpertosunasherramientasdefáciloperaciónparacrearprogramasmali-ciosos.Elelementomásdébildelacadenaes,actualmente,elnavegadorysuscomponentes.Aquíseencuentrayseutilizalamayoríadelosagujerosdeseguridad.Losquenomantengansuordenadoractualizadoofreceránunampliofrenteinermealosataquesdelosprogramasmaliciosos.

Noobstante,tambiénsesigueexperimentandoenotrasplataformas.AumentaráelnúmerodeprogramasmaliciososparaAppel,Unixylosordenadoresportátiles.Peronoseesperaunusodesmesurado de estos programas.

Comomuchaspuertasdeentradadeprogramasmaliciososestánprotegidasmediantetec-nologíasdeseguridad,losatacantesprefierenactuarenloslugaresmásdesprotegidos.Laspáginaswebconsusnumerosasaplicacionesofrecenenlaactualidadlasmejoresperspectivasdeéxito.Portanto,esdeesperarqueesteáreaseautilizadatambiéndurantelospróximosmesesconescenariosdeataquecadavezmásnovedososysofisticados.Aquípodríanutilizarseenmayormedidamediossubestimadoshastaelmomento,comoflashoPDF.Tambiénau-mentaráseguramenteelabanicodetrucosquelosestafadoresusanparaengañaralosusua-riosdeInternetalvisitarunapáginaweboejecutararchivos.Sobretodoenlasredessocialesprevemosnuevasmaniobrasdeengaño.Twitterofreceaquíenlaactualidadlamayoríadelasposibilidades.

Pronósticos

Categoría Tendencia

Caballos troyanosBackdoorsDescargadores/DroppersSpywareoprogramasespíaAdwareVirus/gusanosHerramientas

Categoría Tendencia

RootkitsExploitsWin32WebScriptsScriptsMSILMóvil


Eventos y tendencias durante el primer semestre de 2009Acontinuaciónexponemoscronológicamentelosprincipalesacontecimientosentornoalosprogramasmaliciosos.DestacasobretodoConficker,queenlosprimerosmesesdelañogozódeunagrannotoriedad.Tambiénsonnotableslasnumerosasincidenciasenlasredessocialesmáspopularesentrelosusuarios,comoTwitter,Linkedln,MySpaceyFacebook.Losdiseñado-resdeprogramasmaliciosossepercatanalinstantedeestastendenciasyaprovechanlasopor-tunidades.Apartedelosincidentesaislados,tambiénotrastendenciasindicanquelasredessocialesgananatractivo.Antes,elfraudeinformático(phishing)prácticamentesededicabaenexclusividadabancosyaeBay,peroenelúltimosemestreGoogleylasredessocialesFacebo-ok,SulakeyMySpacehanaccedidodeformaconstantealalistadelas10primerasdianasdelphishing.Desdehacealgúntiempo,lasredessocialessirvendefuentedeinformaciónaloscibercriminalesparaprepararsusataquesespecíficosyspampersonalizado.Lasredessocialessonunmediocadavezmáspopular,tambiénparaloscreadoresdeprogramasmaliciosos.

Estehechoesavalado,enparticular,porlacreacióndelgusanokoobface.Estegusano,comosunombreindica,estabaconcentradocomoplataformadedistribuciónparaFacebookypocomástarde,setrasladóaMySpacey,deestemodo,lalistasehaampliadoenlosúltimosañosalasredessocialescomohi5.com,friendster.com,myyearbook.com,bebo.com,tagged.com,netlog.com,fubar.comylivejournal.com.Losenlacesconfiguradosallíremitenapáginaswebenlasque,segúnunarutinadeengañosobradamenteconocida,puedenprobarselasdemosdeprogramas"antivirusdepega"ola"descargadecodec/flash".Koobface,noobstante,seexpandetambiénentérminoscuantitativos,comoindicalasiguientetabla.Enjuniosehamultiplicadopor10elnúmerodevariantes.

Mes Enero 09 Feb 09 Mar 09 Abr 09 May 09 Jun 09# Variantes de Koobface 18 14 23 50 56 541

Tabla 4: Número de variantes de koobface durante el primer semestre de 2009

Enlospróximosmesescontamosconqueelnúmerodeprogramasmaliciososenredessocia-lesvaacrecer.Conelaumentodeusuariosaumentatambiénelatractivoparalosdifusoresdeprogramas maliciosos.

Enero de 200905.01. LosusuariosdelmicroblogTwitterson

atraídosmediantemensajescortosespecí-ficosaunapáginaderegistrofraudulentadeeseserviciopararobarlesallílosdatosdeaccesoparafuturascampañasdespam.

06.01. Twitteradvierte:"Numerosascuentashackeadas.Situaciónestable”.Losafecta-doshansido,entreotros,lascuentasdeBritneySpearsyBarackObama.Enalgu-noscasos,seenviaronmensajespicantesennombredelasvíctimas.



07.01. EnlapáginaderedsocialLinkedInsecolgaronfalsosperfilesdefamosos.EstosperfilesconteníanenlacesqueremitíanaantivirusfraudulentosoaunaversióndeWindowsMediaPlayerinfectadaconuntroyano.Personajesfamososvíctimasdeestosactos:VictoriaBeckham,BeyoncéKnowles,SalmaHayekyunlargoetcetera.

08.01. EnelGobiernoFederaldelLandAustriacodeCarintia3000ordenadoresfueronin-fectadosconelvirusConficker.EstosedebióaquelaactualizacióndeseguridadpublicadaporMicrosoftenoctubrede2008,creadaconelfindecerrarunabrechadeseguridadutilizadaporConficker,nosehabíaejecutadohastaelmomento.

12.01. ConfickeratacaenCarintiaunavezmás,estavezenloshospitalesdelaSociedaddeSanidadPúblicadeCarintia,KABEG.Denuevohayunos3000ordenadoresafectados.

14.01. Lasestimacionespartende2,5millonesdeinfeccionesconConficker.PorprimeravezseconocequeConfickergenerapermanentementenombresdedominiomedianteunalgoritmoespecial,conlosqueseestablececontactoconformealprincipioaleatorio.Elobjetivo:Losatacanteshanregistradopreviamentemuchosdelosdominiosalea-toriosypuedenutilizarlosparacargarposteriormenteotrocódigomaliciosooparaproporcionarmásinstruccionesalosordenadoresinfectados.

21.01. La epidemia Confickersiguesuofensivacontratodos:Unagranpartedelasautorida-desmilitaresbritánicasresultaafectada.

23.01. UnacopiacontroyanoincluidodelsoftwaredediseñoypresentacióndeApple, iWork 09,circulaporlaredBitTorrent.Secalculaqueunos20.000usuarioshabrándescargado la copia distribuida desde comienzos de mes.

25.01. Laplataformadebúsquedadeempleomonster.comdeclarahabersidovíctimadeun robo de datos. Los "ataques no autorizados" a la base de datos de la empresa han tenidocomoconsecuenciaelrobodelosdatosdeacceso,losnombres,losnúmerosdeteléfonoylasdireccionesdecorreoelectrónico,asícomoalgunosdatosdemográfi-cos de los usuarios.

Febrero de 200901.02. Unagujerodeseguridadpermiteponerfueradeservicioelcontroldecuentasdel

usuario(UACeninglés)delaversiónbetadeWindows 7 mediante un sencillo script. Deestemodo,losatacantesestánendisposicióndeinsertarotrosprogramasdesoft-waremaliciosoenelsistemaoperativosinquenadiesepercatedeello.

02.02. LosatacantesmanipulanlapresenciaenInternetdelperiódicoHamburger Abend-blatt para infectar con software malicioso a los lectores de las noticias online.

04.02. Unapáginaderegistrofraudulentadelaredsocialwer-kennt-wen.de perteneciente alacadenaalemanaRTLcapturalosdatosdeaccesodesususuarios.

08.02. MedianteunataqueDenial-of-Servicedistribuidoadestinatariosespecíficosseparali-zantemporalmentediversaspáginaswebdeseguridad,comoMetasploit,Milw0rmoPacketstorm.

10.02. Tansólodosdíastraselprimerataque,lapresenciaenInternetdelproyectoMetas-ploitvuelveasituarseenelpuntodemiradeunataquedetipoDDoS.Losatacantesvaríanlaestrategiaofensivavariasveces.


11.02. AtravésdeunagujerodeseguridadenelSistemadeAdministracióndeContenidosTypo 3algunosdíasantessemanipulanvariaspáginaswebalemanasqueaúnnohabíanejecutadolaactualizacióndeseguridadcorrespondiente.Resultaronafectadas,porejemplo,laspáginaswebdelclubdefútbolFC Schalke 04,enlasqueseinfor-masobreeldespidodeKevinKuranyiolapáginawebdelpolíticoalemánWolfgangSchäubleenlaquesecolocaunenlacerelativoalarchivadodedatosreservados.

12.02. Microsoft publica una recompensade250.000dólaresporlacapturaypenalizacióndel autor del gusano Confi cker.Almismotiempo,elfabricantedesoftwareanuncialacolaboraciónestrechaconelICANNylasempresasdelosprincipalesservidoresDNSparaatajarestainfecciónenplenafasedeexpansión.

14.02. VarioscientosdeordenadoresdelMinisteriodeDefensaalemáncaenpresadelCon-fi cker.

17.02. DebidoaunaconfiguraciónerróneadelrouterenunproveedordeInternetchecoseponegravementeenpeligrolaestabilidaddelatransferenciadedatosenalgunaspartes de la Internet mundial.

23.02. LosinvestigadoresdeprogramasmaliciososanalizanlasvariantesByB++delgusanoConfickerydeterminanqueéstas,porsuestructuramodular,soncapacesdeactuarconmuchamayorflexibilidadquelavarianteAoriginal.

25.02. Conayudadebannersflashpreparados,losatacantesdistribuyenatravésdelapági-nawebdelarevistaonlineeWeekydeotraspáginasdeInternetdelaredZiff-Davis,documentosPDFqueinstalanunsoftwareantivirusfraudulentoenlosordenadoresdelasvíctimas.



Marzo de 200901.03. LosinvestigadoresdeprogramasmaliciososdescifranelalgoritmoutilizadoporCon-

fi ckerparagenerarnombresdedominiodeunservidordecontrol.Estegeneratam-biénnombresyautilizados.Duranteelmesdemarzo,losdominioslegítimosjogli.com(buscadorespecializadoenmúsica),wnsux.com(compañíaaéreaSouthwest-Airlines),qhflh.com(reddemujereschina)ypraat.org(análisisdeaudio)sonatacadosmedianteintentosdeconexióndesdeordenadoresConficker.

04.03. UnequipodeespecialistasdelLKABaden-Württembergparalizalasactividadesdelaplataformadeventailegalcodesoft.cc,enlaqueseponenalaventatroyanoseinformaciónilegalsobreelrobodedatosylafalsificacióndetarjetasdecrédito.

09.03. Confi ckerutilizaunnuevoalgoritmo,queenlugarde250dominios,ahoracalcula50.000dominiosaldía.Además,enlosordenadoresinfectadosfinalizanprocesosquecontienen determinadas cadenas de caracteres relacionadas con las herramientas de análisisespecializadasparacombatirelgusano.Esteelementomaliciososedefiendeasíactivamentecontralasmedidasparaatajarlaepidemia.

12.03. LasinvestigacionesrealizadasporlaBBCbritánicapermitenlatomaelcontroldeunabotnetqueposeeaprox.22.000 ordenadores. Como surgencríticasalaBBCaraízdeestesuceso,éstadeclaraquelasinvestigacionesvaneninteréspúblicoy,porlotanto,cumplenlasDirectivasde las Autoridades de Vigi-lanciadeMediosbritánicasOFCOM.Lacuestióndesipara tomar la botnet fue necesario pagar un rescate permanece sin respuesta por


parte de la BBC.

17.03. Utilizandoeldominioverosímildhl-packstation.info,loscriminalesdeInternetremitena los usuarios de Packstation,duranteunacampañadephishing,aunapáginawebderegistrofraudulenta,pararobarlessusdatosdeacceso.

23.03. Losrouter DSLdeltipoNetcommNB5sonmanipulablessincontraseñaatravésdelainterfazdeInternetyalaccesoSSH,debidoasufirmwareanticuadoyconstituyenunabotnet llamada Psybot,cuyotamañoseestimade80.000a100.000routersinfecta-dos.

30.03. Segúninformacióndeexpertos,Confickercomenzaráel1deabrilabuscaractualiza-cionesdelosinnumerablesdominiosgeneradosporsualgoritmo.Nadiepuedeafir-marenesemomentoloquevayaapasardurantelatomadecontacto.

31.03. ElgraninterésmediáticoenConfickerponeenmovimientoaotrosoportunistas,que,conmétodosmanipuladores,posicionanenlaslistasdeaciertosdelbuscadorGoogledeterminadaspáginaswebconsupuestasherramientasdedesinfección.Estasherra-mientaspresentadascomoútilesyvaliosas,son,enrealidad,puroscareware,esdecir,softwareantivirusfalso,quesugierealavíctimaquesuordenadorestáinfectadopara,posteriormente,sustraerlelainformacióndesutarjetadecrédito.

Abril de 200901.04. LosintentosdeactualizaciónesperadosdeConficker caen en saco roto. Parece que

los sistemas infectados establecen realmente el contacto esperado con determinados dominios,pero,enesemomento,aúnnohayallíactualizacionesdisponibles.

09.04. Contraloqueseesperabaenunprincipio,Conficker no carga las actualizaciones a tra-vésdelosnombresdedominiogeneradosporunalgoritmo.Enlugardeello,recurreaunmecanismoalternativoP2Pysecomunicadirectamenteconotrossistemasinfecta-dos.Lanuevavariantebloqueaelaccesoadeterminadaspáginaswebdeempresasdeantivirus,paradificultarelaccesoaherramientasdeeliminaciónespecializadas.

12.04. Confickercargaelscareware"SpywareProtect2009“desdeunservidorucraniano,quelanzaadvertenciasdevirusfalsossupuestamenteexistentesenelordenadordelavíctima.Paraeliminarlosprogramasmaliciososdelosqueseadvierte(einexistentes,enrealidad)elusuarioinfectadodebeabonar49,95dólaresUSA.

18.04. Losexpertosenseguridaddescubrenindiciosdeunaprimera red de bots compues-ta de ordenadores Apple.Porloqueparece,existeunarelaciónentrelasversionesinfectadasportroyanosdeliWork09deApple,aparecidasacomienzosdeañoenlaplataformadeintercambioBitTorent.AdemásseafirmaquecirculaigualmenteunaversióncontroyanoincluidodeAdobePhotoshopCS4.

22.04. Sedetectalamayor botnet jamás descubierta en el mundo. Contiene casi dos millones de PCs zombi infectados. Se sospecha que es operada por una banda de tan sóloseispersonasquegestionanenUcraniaelcorrespondienteservidorCommand&Control.

23.04. EnlaInternetrusaapareceuntroyano que bloquea el acceso del usuario a su PC con Windowsyleexigeelpagodeunrescate para desbloquearlo. Los usuarios afectados debenenviarunSMSaunnúmeroprivadosumamentecaroyrecibenacontinuaciónuncódigodedesbloqueo.



Mayo de 200907.05. UnestudiodelamultinacionaldetelecomunicacionesBTdescubrequelosdiscos

durosdeocasión,amenudonoseborrantotalmenteantesdesuventaatercerosyque,aveces,puedencontenerdatossumamenteconfidenciales.Alrealizarunapruebadecomprade300discosdurosusadosseencontró,entreotrosdatos,informaciónconfidencialsobrepruebasdeunsistemadedefensadecohetesnorteamericano,asícomo fotocalco azul de la empresa de equipamiento norteamericana Lockheed Martin.

08.05. SegúnuninformedelaautoridaddevigilanciaaéreadelosEstadosUnidos,laFAA,enlosúltimosañoshaocurridovariasveceslapenetracióndehackers en sistemas de vigilancia aérea.Estaplagaabarcadesdeelaccesoilegalacasi50.000registrosde datos personales de empleados de la FAA hasta la posibilidad de desconectar la alimentacióneléctricadeimportantesservidores.

09.05. PaquetesdeinstalaciónfalsosdeunasupuestaversióndeWindows 7 contienen un troyanoqueseactivadurantelaconfiguración.

24.05. LaPolicía Criminal Alemanaadviertedelenvíodecorreoselectrónicosfalsificadosensu nombre que requieren al destinatario el pago de una multa debido a una supuesta denunciapolicialpordescargailegaldepelículas,softwareyarchivosMP3.

30.05. MedianteuninformedelarevistaInformationWeekseconocequeactivistasturcoshancapturadovarios servidores de Internet del Ejército de los Estados Unidos. Losaccesosalaspáginaswebencuestiónsedesviabanaotraspáginaswebenlasqueseencontrabanconsignaspolíticas.

Junio de 200903.06. Másdediezmilpáginasweblegítimassonvíctimasdeunataque de hackers en

masa.LosvisitantesdelaspáginaswebmanipuladassonreenviadosaunservidorucranianoquedistribuyeexploitsparaInternetExplorer,FirefoxyQuicktime.


05.06. ElproveedordeserviciosdeInternetcalifornianoPricewert LLC,quetambiénactúabajo los alias de 3FN y APS Telecom es retirado de la red por presiones de las auto-ridadesdevigilanciacomercialFTC.AdemásdealojarservidoresdetipoCommand&Controlparacontrolarmásde4500programasespía,laempresareclutabapresun-tamentedeformaactivaacriminalesyobstruíadeformaselectivalaprosecucióndecontenidosilegales.AdiferenciadelimportantecierredeMcColoennoviembrede2008,estacampañasólotendráunarepercusiónmínimaenelenvíodespamyprogra-mas maliciosos.

09.06. UnosdesconocidosseinfiltranenlossistemasdelservidorwebbritánicoVAserv y manipulanoborrandatosdemásde100.000páginaswebalojadasallí.

17.06. Aprox.2,2millonesdeURLdelServiciodeAbreviaturasdeURLcli.gs son manipuladas yreenviadasaotrodestino.

24.06. Elpentágonocreauncomando de ciberguerra por orden del Ministro de Defensa delosEstadosUnidos,capazdehacerfrenteaofensivasbélicascontraelentornodeseguridad global.

25.06. LaFiscalíadeHannoverabresumarioalaempresaquegestionalapáginawebmega-downloads.netporfraudeenmasaausuariosinformáticosycongeladuranteelprocesodeinvestigación,entreotros,cuentasdeempresaporvalordecasiunmillóndeeuros.Segúnestimacionesdeagenciasdelconsumidor,almesseestafabaacasi20.000 usuarios mediante abonos fraudulentos.

g data informe sobre software malicioso

Documents