informe sobre software malicioso · 2014-01-28 · de engaño más corrientes, la guerra en...
TRANSCRIPT
1Copyright © 2009 G DATA Software AG
G DATA Informe julio-diciembre de 2008 sobre software malicioso
Go safe. Go safer. G DATA.
Ralf Benzmüller
G DATA
Informe sobre software maliciosoInforme semestral de julio-diciembre de 2008
1Copyright © 2009 G DATA Software AG
G DATA Informe julio-diciembre de 2008 sobre software malicioso
G DATA Informe sobre software malicioso Julio-diciembre de 2008
Ralf Benzmüller
2 Copyright © 2009 G DATA Software AG
ResumenCifras y datos• 894.250nuevosprogramasmaliciososen2008representanaproximadamente6,7veces
másqueen2007.
• 576.002nuevosprogramasmaliciososenlasegundamitadde2008constituyenunaumen-tode1,8vecesmásencomparaciónconelprimersemestre.
• Lascategoríasmásfrecuentesdeprogramasmaliciosossonlostroyanos,backdoorsydes-cargadores.Enotrascategoríasseencuentranlosprogramasespía,adwareygusanos.
• Entrelasfamiliasdevirusmásactivasseencuentranlosbackdoors,losladronesdecuentasdejuegosonlineyloscomponentesparalainstalacióndeadwareyscareware.Elgusanomásactivo,"Autorun",utilizalasfuncionesdeautoarranqueparaCDylápicesUSBparasupropagación.
• El99,2%detodoslosprogramasmaliciososdelsegundosemestrefuncionabanenelentor-nodeWindows.Losautoresdelosprogramasmaliciososseconcentranaúnmásenellíderdelmercado.Loscódigosmaliciososparaplataformasmóviles,UnixyApplesonen2008másbienexcepcionales.
• LosprogramasmaliciososenJavaScriptdesciendenmásdeuncuartodeltotal,mientrasqueelnúmerodeprogramasmaliciososbasadosenFlashaumentaenun38 %.EstoquieredecirquelatendenciasealejadelJavaScriptyseadoptacadavezconmásfrecuenciaeltipodeprogramamaliciosodeFlash.
Eventos y tendencias• Exploits:códigomaliciosoqueaprovechalosagujerosdeseguridadparaatacarelordena-
dor.Cadavezsecreaconmásrapidez.Microsofttuvoqueponeradisposiciónpatchesadicionales en octubre y diciembre.
• LosprincipalesengañosutilizadoscontralosusuariosdeInternetparaqueinstalenprogra-masmaliciososson:1°,peticionesdedescargadecódecsosoftware;2°,falsosprogramasantivirusyscareware;y3°,correoselectrónicossobrepedidos,paquetesyenvíos.
• LasguerrasenelmundotambiéntienensusescenarioenInternet,dondeinclusosein-tensificanloscombates.Laspáginaswebdeloponentesonatacadasconsobrecargasylasfuentes de noticias son craqueadas y manipuladas para difundir propaganda.
• Numerosasbrechasyfallosdeseguridadinformáticoshacenaccesiblesdatospersonales,inclusodepersonalidades,yrevelaninformaciónmilitarestrictamenteconfidencial.Laproteccióndedatosnosetomaenserio.
• Elforosobretarjetasenlínea"DarkMarket",consideradocomounimportantemercadoilícitodeintercambiodelainformacióncontenidaentarjetasdecrédito,esdescubierto.56personasdevariospaísesdelmundosondetenidas.
• IntercageyMcColosonexpulsadosdelared.Laavalanchadecorreobasura(spam)desci-ende durante un tiempo y el mercado de botnets se reorganiza.
• Lasredessocialesseutilizancadavezconmásfrecuenciaparaladistribucióndecorreobasura y programas maliciosos.
• Losgrandeseventos,comolasolimpiadasolaseleccionespresidencialesenlosEstadosUnidos,sonutilizadosporremitentesdecorreobasurayautoresdeprogramasmaliciosos.
3Copyright © 2009 G DATA Software AG
G DATA Informe julio-diciembre de 2008 sobre software malicioso
Pronósticos• LareddeInternetsehacemáspeligrosa.AplicacionesWeb2.0,redessociales,forosyblogs
presentanungranpotencialdeataquequeseutilizarácadavezmásenlospróximosmeses.
• Flashcomovíadedifusióndeprogramasmaliciososaumentaráenlospróximosmeses.HastaahoranoseconsiderabapeligrosolavisualizacióndepelículasenFlash.
• Laavalanchadeprogramasmaliciososvaaaumentar,aunqueaunritmomáslento.
Contenido
Eventos y tendencias durante el segundo semestre de 2008
Lasbrechasdeseguridadseaprovechanrápidamente .............................................................................4
El"Patch-Day"deMicrosoft:unafechafijaenelcalendariodeladelincuenciainformática .........4
Casos en Internet ......................................................................................................................................................5
Guerrainformática:Internetcomoarma ..........................................................................................................7
Datos-quiebras,ladronesyfallos ......................................................................................................................8
Calendario
Juliode2008 ............................................................................................................................................................13
Agosto de 2008 .......................................................................................................................................................14
Septiembre de 2008 ..............................................................................................................................................15
Octubre de 2008 .....................................................................................................................................................15
Noviembrede2008 ...............................................................................................................................................15
Diciembre de 2008 ................................................................................................................................................ 16
Programas maliciosos: cifras y datos
Laavalanchadeprogramasmaliciosossiguecreciendo ..........................................................................17
Lasbotnetsylosprogramasespíaypublicitariosdeterminanelcursodelosacontecimientos 19
Cuidado con Autorun ........................................................................................................................................... 20
ProgramasmaliciososatravésdeFlashenaumento ................................................................................ 21
Perspectiva en 2009
Máspáginaswebpeligrosas .............................................................................................................................. 22
MásprogramasmaliciososatravésdeFlash ................................................................................................ 22
¿Abandono de Windows? ................................................................................................................................... 22
Larapiñadedatoscontinúa ............................................................................................................................... 22
¿Aúnmásprogramasmaliciosos? ..................................................................................................................... 22
4 Copyright © 2009 G DATA Software AG
Eventos y tendencias durante el segundo semestre de 2008Duranteelsegundosemestrede2008,losdelincuentesinformáticospermanecieronactivosentodoslosfrentes.EnlosGDATASecurityLabssurgenconfrecuencialostemasquelescomen-tamosenlossiguientesapartados.Losaspectosmásimportantessonlosexploits,losmediosdeengañomáscorrientes,laguerraenInternet,losfallosenlosdatosylaproteccióndedatos,y la lucha contra la delincuencia informática.
Las brechas de seguridad se aprovechan rápidamente Losexpertosenseguridadnosecansandeavisardeloimportantequeesmanteneractualiza-doelsistemaoperativoyelsoftwaredelordenador.Muchosproveedoresdesoftwarepublicanlosúltimospatchesenintervalosmásomenosregulares.Cadasegundomartesdecadames,MicrosoftproporcionapatchesparanuevosagujerosdeseguridaddelsistemaoperativoodelsoftwaredeMicrosoft(deahíelnombrede"Patch-Day").Coneltiemposeacumulanmuchasinstalacionespequeñas.EnelServicePack3deWindowsXPseagrupanlospatchesenviadosdesdeelServicePack2.Desdeel9dejulio,elServicePack3deWindowsXPseenvíaautomáti-camenteatravésdeunaactualización.
El "Patch-Day" de Microsoft: una fecha fija en el calendario de la delincuencia informáticaTambiénduranteelsegundosemestrede2008,loshackersydelincuentesinformáticosreac-cionananteel"Patch-Day".SucedeamenudoquelasbrechasdeseguridadsonaprovechadasinmediatamentedespuésdequeMicrosofthayaenviadolospatches.Paraello,loshackersanalizanlosarchivosdelsistemaoperativoquehansidomodificadosycreanun"exploitcode"apartirdelainformaciónobtenida.Enmuchoscasosestaoperaciónserealizaenunaspocashoras.Estos"exploitcodes"sonintegradosporlospiratasinformáticosenprogramasmalicio-soso,aúnpeor,enherramientasparalaelaboraciónydifusióndeprogramasmaliciosos.
Cadavezconmayorfrecuenciasepublicanagujerosdeseguridadparalosqueaúnnohaypatches,nadamásfinalizarel"Patch-Tuesday"deMicrosoft.LospiratasinformáticosesperanalPatch-Dayy,sielagujeronosehacerrado,puedeninfectarordenadoresdurantetodounmes,siemprequeMicrosoftnointroduzcaunturnoespecial.Yprecisamenteestoesloquehasucedidodosvecesalolargodelsegundosemestre:
• Despuésdequeel23deoctubresedieranaconocerinformessobredeterminadosataquesaordenadoresdeWindows,basadosenbrechascríticasenelservicioRPCdeWindows,Microsoftrealizaunaactualizacióndeseguridadfueradelturnohabitual(MS-08-067).Dosdíasmástarde,Gimmiv.Autilizaeseagujeroparapenetrarenordenadoresyrobarlessusdatos.ApesardelarápidareaccióndeMicrosoft,acomienzosde2009losordenadoresdelGobiernoRegionaldeKärntenyelCentroMédicodeKärntenKABEGfueroninfectadosporungusanollamadoConficker(aliasDownadup).
• El17/12secerróunagujerodeseguridadenInternetExplorer5a8medianteunaactuali-zaciónextraordinaria(MS08-078).Envariaspáginasweb,nosólopertenecientesalnegociodelsexo,sedetectóelexploitcodequeaprovechabalosagujerosdeseguridadparaencrip-tarcódigomaliciosoenordenadoresvulnerables.
Particularmenteelprimerejemplomuestraloimportantequesehavueltocontarconunsoftwareyunsistemaoperativoactualizados.
5Copyright © 2009 G DATA Software AG
G DATA Informe julio-diciembre de 2008 sobre software malicioso
Casos en InternetMediantetrucosinsidiosos,lospiratasinformáticosintentanintroducirprogramasmaliciososqueseinstalanenlosordenadoresdesusvíctimasmientraséstasnaveganenInternet.Losmétodosparaengañaralusuarioquemáséxitohantenidoson:
1. Peticiónparalainstalacióndecódecsosoftwarequesupuestamentefaltaba
2. Scarewareyfalsosantivirus
3. Envíos,pedidosypaquetes
Enelprimercasoseenvíaalusuarioaunapáginawebquesupuestamentecontieneunvídeointeresanteuotrotipodearchivosmultimediaatravésdeuncorreoelectrónicoomensajeinstantáneo,aunquetambiénatravésdeotraspáginasweb,forosogruposdenoticias.Alreproducirelarchivooejecutarelarchivocorrespondiente,elusuariosedacuentadequenodisponedelcódecosoftwarequenecesita.Sesolicitaalusuarioqueinstaleloscomponentesquesupuestamentelefaltan.Elusuarioqueobedeceatalpeticióninfectasuordenador.
Enelcasodelosscareware(procedentedelinglés"toscare"-asustar)selehaceveralvisi-tante que se está realizando un análisis del sistema. Al fi nalizar el análisis se anuncia que en el ordenadorsehadetectado(supuestamente)lapresenciadeprogramasmaliciosos.Acontinua-ciónseofrecealusuario(o,mejordicho,casiselefuerza)quedescargueunfalsoantivirusque,enlamayoríadeloscasos,nofunciona.Estosproductosnodetectangeneralmenteningúnprogramamalicioso.Enelmejordeloscasos,eliminanlosmensajesdeadvertenciafalsos.Du-rante el segundo semestre han surgido los primeros ejemplares de este tipo de falso software antivirus,queformanpartedelantivirusgratuitodeClamAV.Pareceserquelospiratasinformá-ticossequierenlibrarasídeserperseguidosporlaley.
Mediantefalsospedidos,comunicadosdeoficinasdecobrosonotificacionessobreproble-masduranteelenvíodeunpaquetesesolicitaalosusuariosdecorreoelectrónicoqueabranelarchivoadjuntoovisitenunapáginawebmaliciosa.Eneselugaracechaelsoftwaremalicio-so que infecta el ordenador del usuario.
Aquíproporcionamosalgunosejemplos:
Fig. 1: Falsa notifi cación de UPS del 11 de agosto. El archivo adjunto instala un software espía.
6 Copyright © 2009 G DATA Software AG
Fig. 2: Supuesta orden de cargo en cuenta bancaria de los Juzgados de Colonia. El archivo adjunto "Rechnung.zip" contiene un enlace llamado "Rechnung.txt" y el código malicioso como "Zertifi kat.ssl". El enlace ejecuta este código malicioso como orden de línea de comandos. (véase http://www.gdata.de/de/virenforschung/news/news-details/article/928-warnung-vor-gefaelschten-rechn.html)
Fig. 3: En nombre de la normativa de cobros se envían "liquidaciones" que integran el ordenador en una "botnet".
7Copyright © 2009 G DATA Software AG
G DATA Informe julio-diciembre de 2008 sobre software malicioso
Guerra informática: Internet como armaAdemásdelusocomercialtanextendidodelsoftwaremalicioso,elmalwaretambiénseutilizaconfinespolíticos.Medianteelsoftwaremaliciososeespíaalosoponentespolíticosyseenvíapropagandaconsuayuda.Losataquesalainfraestructurainformáticadeloponentepertene-cendesdehacealgúntiempoalarsenalutilizadoporelejército.Elúltimocasomásllamativotuvolugarenmayode2007,cuandolosnacionalistasrusosdeEstoniautilizaronbotnetsparadecidirasufavoreldebatepolíticosobreunmonumentoenmemoriadelossoldadosrusos.Tambiénenelsegundosemestrede2008,losenfrentamientosbélicosllegaronaInternet.
• DurantelacampañadeRusiacontraGeorgia,emisoresdecorreobasuraantigeorgianosin-tentaroncrearunabotnetconfalsosmensajesdelaBBC.Enagostode2008,GeorgiaculpóaRusiadecerrarelaccesoalapáginawebdelMinisteriodeAsuntosExteriores,obligandoasíaquelosmensajesdelMinisteriodeAsuntosExterioresgeorgianofueranpublicadosenunapáginadeBlogspotyenlapáginadelpresidentepolaco.Tambiéncontraotraspáginasdenoticiasgeorgianas(apsny.ge,news.ge)serealizaronataquesdesobrecarga(DDoS).LapáginawebdelBancoNacionaldeGeorgiafuedesfiguradamedianteimágenesdedictado-res y del presidente georgiano. TambiénenelladocontrariosesufrieronataquesdesobrecargaenpáginaswebdelGobier-nodeOsetiadelSurydelaagenciadenoticiasrusaRIANovosti.
• EnelconflictoentrePakistáneIndiasesucedenconstantesenfrentamientosvirtuales.Porejemplo,enoctubresealterólapáginawebdelacompañíadeferrocarrilindiaEasternRailway,supuestamenteporatacantespaquistaníes.
• PocodespuésdequeIsraelcomenzaraabombardearlosasentamientosdelafranjadeGaza,másde300páginaswebisraelíesrecibieronmensajesantiisraelíesyantiamericanos.Enelotrobando,losisraelíesiniciaronunacampañadepropagandaenlablogosfera.AbrieronuncanalpropioenYoutubeyorganizaronunaconferenciadeprensavíaTwitter.TambiénenFacebookselibraronluchasdetrincheras.Engruposcomo"Hamas,Idon´tlikethem"o"FxxkIsrael"expresansuopiniónlospartidariosdelbandocorrespondiente.Algu-nosdeestosgruposfueronhechosinaccesiblesporla"JewishInternetDefenseForce".Enlapáginaweb"help-israel-win"podíadescargarsevoluntariamenteunprogramaqueinte-grabaelordenadorenunabotnet.EnviabaataquesalosserviciosdeInternetenemigos.Lasupremacíaisraelíenestecamposeafianzaaúnmásdebidoaqueloschiítasysunitassede-bilitanmutuamentemedianteataquesinformáticos.Esteconflictonollegaenunmomentooportuno para los sunitas de Hamas.
8 Copyright © 2009 G DATA Software AG
Datos - quiebras, ladrones y fallosTambiénenelsegundosemestrede2008sehanconocidonumerososcasosderobodedatos,fa-llosinformáticoseinfraccionesenmateriadeproteccióndedatos.Aquíleofrecemosunaselección:
El ciudadano de cristal
EnlacentraldelconsumidordeSchleswig-Holstein,losciudadanossequejabandecargosencuentabancarianoautorizados.SedetectóquetodoslosclienteshabíanpagadohacíamuypocotiempoboletosdelaloteríaoficialdelSurdeAlemania(SKL)porcargoencuentabanca-ria.Losempleadosdelcallcenterdisponíansupuestamentedelosdatosbancariosdelasvícti-mas.LacentraldelconsumidorrecibeaprincipiosdeagostounCDanónimoconlosdatosde17.000ciudadanos.Losdatosconnombre,fechadenacimiento,dirección,teléfonoynúmerodecuentabancariafueronvendidosporunaempresadelLandalemándeRenaniadelNorte-Westfalia.Alparecer,algunosempleadoscorruptosdecallcentersutilizanestosdatospara,trasunaconversaciónbreve(y,posiblementetambién,deltodoinsustancial),extraerdinerodelacuentadelreceptordelallamada.LarevistaWirtschaftswocherealizóalgunasinvestigacionesadicionalesquecondujeronfinalmentealasuntorelacionadoconloscallcenter.Ennoviembrepublicóquelosdatosbancariosdeaprox.21millonesdeciudadanosestánencirculación.Esdecir,3decada4titularesdecuentabancariasehanvistoafectados.Sesospechacomoauto-resapequeñoscallcentersensumayoría.véase: http://www.verbraucherzentrale-sh.de/UNIQ123246437731306/link481821A.html
http://www.wiwo.de/unternehmer-maerkte/kontonummern-von-21-millionen-buergern-illegal-im-umlauf-380382/
Best Western
25.deagosto 8 millones de datos sobre clientes de la cadena hotelera Best Western que pernoctaron en ella duranteelúltimoañofueronrobadosporuncrackerindioyvendidosalamafiarusaatravésde un foro ilegal.
Brechas informáticas en el Reino Unido
EnelsegundosemestrecontinuóunaseriedepérdidasdedatosenelReinoUnido.Losresulta-dosindican,porunaparte,lasnumerosasposibilidadesdepérdidadedatosy,porotraparte,laimprudencia con la que se tratan los datos personales.
• Julio:EnuntrenseencuentrandocumentossecretossobrelaredterroristadeAlQaeda.
• 25.deagosto:SepierdeunlápizUSBconlosdatosde84.000reclusosbritánicos,33.000jue-gosdedatosdeloscualespertenecíanainternosconmúltiplescondenas.Unaempresaquedebíaescribirunsistemadeadministracióndedatoshabíaextraviadoelsoportededatos.Entotaldesaparecieronen2008enelReinoUnido26lápicesUSBqueconteníaninforma-ciones clasificadas en parte como secretas.
• 27.deagosto:EneBaysesubastaunordenadorpor45€queconteníaelnombre,númerosdeteléfonomóvil,datosbancariosyfirmasdemásdeunmillóndeclientesdelRoyalBankofScotland(RBS).
• 8.deseptiembre:Desapareceundiscoduroconnombres,fechasdenacimiento,núme-rosdeseguridadsocialylugarderesidenciadeaproximadamente5000funcionariosdeprisionesdelServicioInglésdeGestióndeReclusos(NOMSeninglés).Unodecadanueve
9Copyright © 2009 G DATA Software AG
G DATA Informe julio-diciembre de 2008 sobre software malicioso
empleadosdelacompañíasevioafectadoporestehecho.Algunossolicitaronuntrasladoaotropuestodetrabajoy/omudanzaparaprotegerasufamiliafrenteaposiblesataques.
• 18.deseptiembre:ElServiciodeInsolvenciabritánicodenuncialapérdidadeunordenadorportátilcondatospersonalesde122antiguosdirectivosdelacompañía.Además,elordena-dorportátilconteníainformaciónsobreacreedores,inversoresyempleados.
• 30deseptiembre:UnacámaradigitalsubastadaeneBaypor25€conteníadatosaltamenteconfidencialesdelserviciosecretobritánicoMI6sobresospechososdeterrorismodeAlQaedaconfotografíasyhuellasdactilaresysobreenvíosdearmas.
• 10.deoctubre:DeunaoficinadelproveedordeserviciosinformáticosEDSdesapareceundiscoduroportátilconnombres,direcciones,fechasdenacimientoyotrosdatosde100.000miembrosdelejércitoy600.000solicitantesdeempleo.
• 10.denoviembre:DurantelasemanadeNavidad,elproveedordeserviciosdepagoRBSWorldPayadmitió,despuésdequeseconociesenlosprimeroscasosdefraude,quetrasunataquedehackers,habíansidorobados1,5millonesdejuegosdedatos.Losdatosconsis-tíaneninformaciónpersonaldeusuariosdetarjetasprepagoytarjetasderegaloylosPINdetodaslastarjetasconPIN.Aaprox.1,1millonesdeclienteslesrobaronlosnúmerosdelaseguridadsocial,tanimportanteenlosEstadosUnidos.
Brechas informáticas en Alemania
TambiénenAlemaniasecometieroninfraccionescontralaproteccióndedatos:
• EnLIDL,Penny,Plus,Norma,Rewe,Edeka,Tegut,Hagebauyenmuchasotrascompañíassevigilayseespíaalosempleados.
• Telekomsetomalajusticiaporsumanoyutilizalosdatosdeconexiónexistentesparadetectaragujerosenelpropiosistemadecomunicacióndelacompañía.
• Lufthansaanalizailegalmentelosdatosdevuelodelospasajeros(entrelosquetambiénseencuentranperiodistas).
• Atravésdelsindicatodelapolicía,losnúmerosdemóvilde13.500policíasberlinesesper-manecieron libremente accesibles en Internet.
• DosantiguosempleadosdeT-Mobileroban17millonesdedatosdeclientes(direcciones,númerosdeteléfonomóvil,fechasdenacimientoyposiblementedireccionesdecorreoelectrónico),entrelosqueseencuentranpersonalidadesdelapolítica,economíaymediosdecomunicación,ylosvendenacomerciantesdedatosdedudosareputación.
Famosos hackeados
Tambiénenestesemestrealgunaspersonalidadesdelavidapúblicavolvieronaservíctimasdeataquesmásomenosdirigidos:
• El18deseptiembresepublicóquelacuentadecorreoelectrónicoprivadadeSarahPalinenYahoofuehackeada.Elatacanterespondióalaspreguntasdeseguridadquesepropor-cionancuandoalguienhaolvidadosucontraseña.(véase http://blog.wired.com/27bstroke6/2008/09/palin-e-mail-ha.html)
• EnseptiembresecargóunapequeñacantidadenunacuentadelpresidentefrancésSarkozy.EsbastanteimprobablequeSarkozyrevelarasusdatosenunapáginadefraudeelectrónico.Tampocosetratabadeunataquedirigidoespecíficamenteaél.Esmuchomás
10 Copyright © 2009 G DATA Software AG
probable que uno de sus ordenadores hubiera sido infectado con un troyano captador de clavesbancarias.Estosdatossevendenenpaquetesdecientosomilesdedatos.Alrealizarlacompraseutilizangeneralmenteunaspocascuentasamododeprueba.Loscomprado-resdelosdatosutilizaronlosdatosdeSarkozyparaverificarlavalidezdelpaquetededatoscompleto.Pareceserquelaspersonasdedicadasalacompraventadedatosnosabíanconquiénestabancomerciando.
Protección de datos
Comoeshabitual,muchosciudadanosnosonconscientesdelacantidaddedatosquesonrecogidossobreellosylovaliososqueesosdatospuedenser.Pocoapocosedejanvercasosdeusoindebidodelosdatosqueconducen,p.ej.,aintrusiones,violacionesdelaseguridadopérdidasfinancieras.Ademásdelospiratasinformáticosquecometenfraudeconsusvíctimasutilizandosusdatosparaobtenerdinero,traficantesdedudosareputaciónsebeneficiandeun tratamiento despreocupado de los datos de los clientes y de los datos de registro. Con el casodeloscallcentersehavistoclaramentequelasdimensionesdeestedelitovanmásalládecasosaislados.Hacetiempoquelosdatosdelamayoríadelosciudadanosllevanestandoaccesiblesenlosmercadosdecompraventadedatos.Elvalordelosdatosylaimportanciadesuprotecciónestánaúninfravalorados.
Lucha contra la economía del eCrime
Trasunamisiónsecretadedosañosdeduración,enoctubrede2008lasautoridadesdepro-cesamientopenalconsiguieroncerrarelforodetarjetasenInternet"DarkMarket"ydetenera56personasenvariospaísesdelmundo.ElDarkMarketeraunodelospuntosilegalesdepeorfamadecompraventadedatosdetarjetasdecréditoydeaccesoacuentasbancarias.
Noobstante,otroenfoqueharesultadosermuchomásefectivo.Tambiénlaspáginasweb,datosyservidoresdecontroldelaindustriadeprogramasmaliciososdebenalojarseendeter-minadosordenadores.LaRussianBusinessNetwork(RBN)sehahechotristementefamosaelañopasadoenrelaciónal"Bullet-ProofHosting".Lagranatenciónrecibida,tambiénporpartedelosperseguidores,fueciertamenteperjudicialparalosnegocios.LaRBNserepartíaenva-riosgruposenChinayEuropadelEste.Estopermitióquesepusieranenlabrechaotrosservi-ciosdehostingqueoperaban,noenEuropadelEsteoenChina,sinoenlosEstadosUnidos.
Afinalesdeagostode2008sehizopúblicodequelaempresacalifornianaIntercage,quepocotiempoantesoperababajoelnombredeAtrivo,ofrecíasusserviciosdehostingyregistrodedominiosprincipalmenteaproveedoresdeserviciosilegales(véase http://hostexploit.com/down-loads/Atrivo%20white%20paper%20090308ad.pdf).Conlacasaemisoradecorreobasura,Atrivo/Interca-gehallamadolaatenciónen3añosconmásde350casosdedifusióndeprogramasmaliciososyservidoresdetipocommand&controlparabotnets.DosproveedoresdeIntercagerescindie-ronloscontratosconIntercagedebidoalapresiónpública,conloqueestosservidoresqueda-roninaccesiblesdesdelareddeInternet.UnproveedoramigodeIntercagequehabíadecididoentrarenelnegocio,seechóatrásenpocosdíasdebidoalapresiónpública.EstohizoquelosservidoresdeIntercagecargadosdeprogramasmaliciososyemisoresdespamquedarandes-activadosdesdeel21deseptiembre.Pocotiempodespués,Intercagecambióaunproveedorestonio.Elresultadofueelsiguiente:
• Duranteunbreveespaciodetiemposeredujolacantidaddecorreobasurarecibida.
• LasturbulenciasenrelaciónaIntercagehicieronquelasactividadesdelabotnetSturmquedaran paralizadas.
11Copyright © 2009 G DATA Software AG
G DATA Informe julio-diciembre de 2008 sobre software malicioso
EnrelaciónalasinvestigacionesposterioresrealizadassobreIntercage,aprincipiosdeseptiem-breelserviciodeproteccióndelaprivacidaddelaempresaderegistrodedominiosDirecticonsedeenlaIndiafueobjetodecríticas.Noobstante,estosesolventórápidamente.(véase http://www.knujon.com/news.html#09042008).ConlacompañíaregistradoraestoniaESTDomainslasituaciónsedesarrollódedistintomodo.Constantementeseregistrabanallídominiosenlosqueseimplicabannegociosilegales,programasdecorreobasurayfraudeelectrónico.El28deoctubre,ICANNdejódetrabajarconESTDomainsypusoenventalagestióndelos281.000nombres de dominio gestionados por ESTDomains (véase http://www.icann.org/en/announcements/announcement-2-28oct08-en.htm)
PerolasconsecuenciasmásimportantesparalacomunidaddeInternetprovinierondelaislamientodelproveedordehostingcalifornianoMcColo.BrianKrebs,delWashingtonPost,publicólasvinculacionesdeMcColocondominiosfarmacéuticosysitiosdepago,scareware,páginaswebconpornografíainfantil,serviciosdeanonimizaciónyporúltimo,peronome-nosimportante,elcontroladordebotnetsparalasfamosasredesdecorreobasuradebotnet.CuandoMcColofueretiradodelaredel11denoviembredescendióelvolumendecorreoba-suraenunterciodeundíaaotro(véasefig.4).TambiénelservicioproxydeFraudcrewquedóparalizado.
0
10
20
30
40
50
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
Fig. 4: Número de correos basura por segundo de enero a diciembre de 2008.
ElcierredeMcColofuetansorprendenteparalosoperadoresdebotnetsquedeungolpevarioscientosdemilesdePCzombisquedaronsinseñorqueloscontrolara.Loszombiscal-culabancada72horas4dominiosdeemergenciaybuscabanallíunnuevomaestro,perolosespecialistasdelacompañíaFireEyecraquearonelalgoritmoyregistraronparasímismoslosdominiosresultantes.ComoFireEyenopudosoportarlastasasderegistrode4000$sema-nales,afinalesdenoviembredejaronderegistrarse.Estopermitióalashuestesdezombisaccederdenuevoasubotnet.PormotivoslegalesFireEyerenuncióaladesinfecciónquepodíarealizarseenlosordenadoresinfectadosdesdeelpuntodevistatécnico.ComolosservidoresdecomandodevariasbotnetshabíansidoalojadosenlosservidoresdeMcColo,lasituaciónenlasbotnetscambiómucho(véasefig.5).LasconsecuenciasenlabotnetSrizbifueronaplas-tantes.Srizbierahastaentonceslabotnetmásgrande(con450.000zombisaprox.)atravésde
12 Copyright © 2009 G DATA Software AG
laqueeranenviadoslamayoríadeloscorreosbasura.EnnoviembrelapartequeSrizbiteníaenelpasteldebotnetsdescendióhastacero.Pareceserquelos"clientes"noteníanlavolun-taddeesperaraqueSrizbivolvieraaestaroperativo.Enpocotiempo,Pushdo(aliasCutwail)yBobaxocuparonsulugar.Desdecomienzosdediciembre,Mega-Deslabotnetmásfuerte,aunqueconelcambiodeaño,RustockylanuevabotnetXarvestersepusieronalacabeza.ConWaledecyCimbot,otrasbotnetsestáncalentandomotores.Estasnuevasbotnetsestánconfi-guradasdeformaqueaprendenapartirdelaexperienciaenelpasado.LacomunicaciónestácifradaylosmecanismosdereservasontansofisticadosqueevitanproblemassimilaresalosvividosconMcColo.Ciertamenteseríadeseablequeen2009sevieranmáséxitosdeestetipo.Aunquenosedeberíasubestimaralosoperadoresdelasbotnetsytenerunasexpectativasdemasiado altas.
0
10
20
30
40
50
60
22. Jun. 3. Aug. 14. Sept. 26. Okt. 7. Dez. 18. Jan.
RUSTOCK
MEGA-D
XARVESTER
PUSHDO
BOBAX
SRIZBI
Fig. 5: Proporción de botnets en el envío de correo basura
13Copyright © 2009 G DATA Software AG
G DATA Informe julio-diciembre de 2008 sobre software malicioso
CalendarioAdemásdelosacontecimientosagrupadostemáticamentedelcapítuloanteriortambiénseprodujeronalgunasnovedadesyacontecimientosinteresantesquedeberíannombrarseporordencronológico.
Julio de 2008El gusano GetCodec utiliza archivos de audio y vídeo para su difusión
El9dejulioapareceunnuevogusanollamado"GetCodec"queseexpandeatravésdearchivosmultimediadeformatoWMA/WMV.Esteformatodearchivocontienemuchomásdelospro-piosdatosdeaudioovídeo.Contieneinformaciónsobrecódecsnecesarios.GetCodecmodifi-caestainformaciónparaqueMediaPlayernoencuentreelcódecyensulugarintentecargaruncódecdeInternet.Hastaelmomento,estetipodepeticionesdeinstalacióndecódecssóloseconocíandesdeelnavegadordeInternet.GetCodecamplíalazonadepeligroalpropioMe-diaPlayer.SielusuariocierralaventanadeconfirmaciónconOK,enlugardelcódecseinstalauntroyanoquecargaotrosoftwaremalicioso,entreelqueseencuentratambiénungusanoqueinfectaotrosarchivosWMA/WMV.OtrasvariantesposteriorespuedeninfectartambiénarchivosMP2yMP3.LosarchivosseconviertenaformatoWMA/WMV,aunquelaextensióndelarchivonocambia.
Fig. 6: GetCodec solicita la instalación de un códec de Windows Media Player
14 Copyright © 2009 G DATA Software AG
3. Guerra Mundial
El10dejulio,enloscorreoselectrónicosdelabotnetSturmseanuncialallegadadelaTerceraGuerraMundial.Losvídeos,supuestamentegrabadosporsoldados,solicitanuncódectroya-no.Porlodemás,lasactividadesdelabotnetSturmseparalizanporcompletoenlosmesessiguientes.
Fig. 7: Anuncio de vídeo de la Tercera Guerra Mundial
Fraude informático en Monster
LosusuariosdelabolsadeempleoMonsterrecibenel14dejuliocorreoselectrónicosdefraudeelectrónico.Enestoscorreoselectrónicos,conasuntoscomo"Monstercustomerservi-ce:newsecuritymeasures.",sepretendíaengañaraldestinatarioparaquecreyeraquedebíavolveraregistrarsedebidoaunamodificacióntécnica.Quieneshacíanclicsobreelenlacerecibidoenelcorreoelectrónicoeranconducidosaunapáginawebfalsamuysimilaralaau-téntica.Losqueintroducíansusdatosderegistroenestapáginarevelabanalosdelincuentessuscurrículumsydatospersonalescontenidosenellos.
Agosto de 2008Redes sociales en el punto de mira
Lasredessocialesgozancadavezdeunamayorpredilección,tambiénporpartedelospiratasinformáticos.Lascuentassustraídasseutilizanparaalojarydifundirmensajesdecorreoba-sura.El2deagosto,unprogramamaliciosollamado"Koobface"enviómensajesaamigosdeMySpaceyFacebookenlosqueseponíadeseñuelouninteresantevídeodeYoutube.EnelfalsoYoutuberusosesolicitabalaactualizacióndelreproductordeFlash,queresultabaserunprogramadedescarga(downloader).
TambiénenTwitterseprodujeronlosprimeroscasosdedistribucióndeprogramasmalicio-sos a principios de agosto. En perfi les especialmente elaborados se establece un enlace de re-ferenciaapáginaswebconvídeosalhacerclicsobredeterminadasimágenesotextos.EneselugarsesolicitalainstalacióndelreproductorFlash,queserevelacomoprogramadedescarga(downloader)quecargauntroyanodecapturadedatosbancarios.Lavisitadelosperfilespre-paradospuedesolicitarseatravésdeuncorreobasuraodeunmensajeinstantáneo.Twitter
15Copyright © 2009 G DATA Software AG
G DATA Informe julio-diciembre de 2008 sobre software malicioso
ofreceaquíademásotraposibilidad.Debidoaunagujerodeseguridadesposiblehacerclicsinsaberlosobreunenlacequellevaal"seguidor"deundeterminadoperfil (véase http://blogs.zdnet.com/security/?p=1611).
Troyanos en el espacio sideral
EnlaestaciónespacialISSseencontróuntroyanodejuegosonline.PareceserquellegóaestelugaratravésdeunlápizUSBodeunportátilinfectado.LosordenadoresdelaISSnoestánconectados a Internet. (véase http://blog.wired.com/27bstroke6/2008/08/virus-infects-s.html)
Las olimpiadas, también para los programas maliciosos
Losgrandesacontecimientosdeportivoscomo,p.ej.,lafinaldelaSuperbowlenlosEstadosUnidos,hansidoutilizadosduranteelúltimoañoporautoresdeprogramasmaliciosos.Tam-biéndurantelosJuegosOlímpicosdeChinaseprodujounamayoractividadenrelaciónalcorreobasuraylosprogramasmaliciosos.Aquíproporcionamosalgunosejemplos:
• UnafalsapresentacióndePowerPointmuestraimágenesdelaceremoniadeinauguracióneinstalaunprogramabackdoor.
• LosdocumentosenWordyPDFprometencontenerinformaciónsobrelosjuegosolímpicos
• Salvapantallasbautizadosconnombrescomo"2008BejingOlympics.scr“o"100Olymp.scr“infectanelPCconprogramasdedescargaybackdoors.
• VarioscientosdepáginaswebquesupuestamentedeberíancontenerinformaciónsobrelosJuegosOlímpicosfueronutilizadasparapropagarprogramasmaliciosos.Generalmentesevieronafectadosusuariosasiáticos.
Septiembre de 2008Google Chrome Beta
LamayoríadelosataquesaordenadorestuvieronlugaratravésdelnavegadordeInternet.Laeleccióndelnavegadores,portanto,paramuchosusuariosunacuestióndeconfianza.Acomienzosdeseptiembrede2008,Googleofrecía"Chrome",unaversiónbetadeunnavega-dordeInternet.SuconfiguracióninternaprometíaprotecciónfrenteaataquescomoCrossSiteRequestForgery(falsificacióndepeticiónensitioscruzados).Peromayorpreocupacióncausael afán de Google por recopilar datos del usuario.
Octubre de 2008ClickJacking
El15deoctubresepresentaunnuevométodoparamodificarlosajustesdelnavegadordeInternet,enelquepuedenutilizarselosclicsenjuegosonlineespecialmentepreparadosparaello.Porejemplo,esposiblecambiarlosajustesdeFlashparaqueseenciendalawebcam.(véase http://video.google.com/videoplay?docid=-1023253423246814538&hl=en)
Noviembre de 2008DeformasimilaraloquesucedióenlosJuegosOlímpicos,seaprovecharonlaselecciones
16 Copyright © 2009 G DATA Software AG
presidencialesparadifundirprogramasmaliciosos.ObamayMcCainaparecencontinuamentenombradosenlalíneadeasuntodeloscorreosbasuraqueredirigenapáginasdeventadeproductosfarmacéuticosoapáginasdeprogramasmaliciosos.TambiénalgunosnombresdearchivocontienenelnombredeObama:
• "Beat_Obama_NNN.exe“(NNNrepresentaunasecuencianuméricaalazar)instalababack-doorsdelafamiliaPcClient.
• OtronombredearchivosugiereactividadessexualesdeObamaconunachicade17años.
¿Cómo se comprueba el software antivirus?
10.denoviembre AMTSOpublicaunanormativaparaevaluarprogramasantimalware.LaOrganizacióndeNormasdeEvaluacióndeProductosAntimalware(AMTSO)esunafederacióndeorganizacio-nesdeverificacióndeprogramasmaliciosos,periodistas,personasvinculadasalauniversidadyfabricantesdeproductosantivirus.Trasunlargodebate,el10denoviembresepublicaronlasnormasparalarealizacióndepruebascomparativassignificativasyneutrales.Estasnormasestánpensadasparapoderrealizarpruebasabiertas,transparentesyneutrales,realizadasmediantemétodosdecomprobaciónadecuadosyconresultadosútilesyprácticos.(véase http://www.amtso.org)
Diciembre de 2008Malware-Fox
5dediciembre ChromeInjectesuntroyanoque,bajoelnombredeGreaseMonkey-Add-Ons,seintegraenFirefoxycopialosdatosintroducidosenmásde100páginasdebancosylosenvíaaunservi-dor en Rusia.
Los programas scareware son prohibidos
11. de diciembre LaFederalTradeCommission(FTC)americanaganaunjuiciocontradosfabricantesdepro-gramasscareware.Selesprohíbelaventadesussupuestosprogramasdeprotección.Éstosse"publicitan"generalmenteenpáginaswebenlasqueunanálisisfalsoclasificaelordenadorcomoinfectado.ProductoscomoWinFixer,WinAntivirus,DriveCleaner,ErrorSafeoXPAntivi-rusnoprotegen,sinembargo,frentealosprogramasmaliciosos.Además,secongelótodoelpatrimoniodeestasdosempresasacusadas:InnovativeMarketing,Inc.,yByteHostingInternetServices,LLC.
Curse of Silence
EnelXXVCongresodeInformáticaChaoscelebradoenBerlín,TobiasEngelpresentóunabrechadeseguridadenlosSymbianS60SmartphonesdeNokiaySonyEricsson.MedianteunSMSformateadodeformaespecial,elSmartphonedestinatariointerrumpeelservicioSMSsinenviarningúntipodeindicaciónnideaviso.EnlosucesivonoesposiblerecibirmásSMS/MMS.
17Copyright © 2009 G DATA Software AG
G DATA Informe julio-diciembre de 2008 sobre software malicioso
Programas maliciosos: cifras y datosLa avalancha de programas maliciosos sigue creciendo Duranteelsegundosemestrede2008,elnúmerodenuevosprogramasmaliciosossigueaumentando.Duranteelprimersemestreseregistraron318.248nuevosprogramasmaliciosos,mientrasqueenelsegundofueron576.002.Estascifrasbatenelrécorddelsemestreante-riorconprácticamenteeldobledeprogramas.Alolargodetodoelaño2008seregistraron894.250nuevosprogramasmaliciosos,6,7vecesmásqueen2007.Elnúmerodefamiliasdevirusparatodoelaño2008,medidoenelnúmeronotablementemayorde3.069frentea2.313en2007,seencontrabasólounpocoporencimadelacifrade2007.Duranteelsegundose-mestre,elnúmerodefamiliasdevirusinclusoseredujode2.395a2.090conrespectoalprimersemestre.Elaumentodeprogramasmaliciososnosedebe,portanto,aungranaumentodenuevosautoresdeprogramasmaliciosos.
0
30000
60000
90000
120000
0
30000
60000
90000
120000
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
Diagrama 1: Número de nuevos programas maliciosos por mes durante 2007 (gris) y 2008 (rojo).
Entrelascausasdelrecienteaumentoseencuentranlassiguientes:
• Modularización:Elprogramamaliciosonosepresentayaenformadegranbloquemonolíti-co.Enlugardeello,todaslasfuncionesseorganizanensubprogramasespeciales.
• Usomúltiple:Paraevitarqueseandescubiertosmediantefirmas,losarchivosmaliciosospuedenmodificarse,p.ej.,mediantedistintastécnicasdeocultacióny/oaplicacionesdecompresiónquenopuedenserdetectadosporlosprogramasantivirus.Lafuncionalidaddelprogramamaliciososigueestandodisponible(casisinlimitaciones).
• Troyanosdeusarytirar:Muchosprogramasdedescargaynumerosostroyanosestánpen-sadosparaunsolouso.Despuésdecumplirsucometido,soneliminadosdelossistemasinfectados y no son reutilizados en esta forma por los autores del programa malicioso.
18 Copyright © 2009 G DATA Software AG
• Actualizacióncomomecanismodecamuflaje:Algunosoperadoresdebotnetsrealizanactualizacionesfrecuentesdeloscomponentesbackdoor.Estosirve,porunaparte,pararea-lizarunmantenimientodelsoftware,aunquetambiénsirveparainstalarversionesnuevasantesdequelaactualizacióndefirmadelfabricantedeantivirusdescubralapresenciadelprograma malicioso.
• Trabajoporencargo:LosPCzombidelasbotnetssonayudantesquesirvenparaenviarcorreobasura,mensajesdefraudeelectrónico,chantajeydistribuidoresdeprogramasmaliciosos.Losoperadoresdebotnetsalquilansusredesduranteundeterminadotiempooparalarealizacióndedeterminadosencargos.Paraello,cadazombirecibeunpaquetedesoftwareydatosquedebeprocesar.Unavezfinalizadoeltrabajo,elsoftwareylosdatossonborradosdelordenadorencuestión.Cuantomásvariadoeselusodeunabotnet,mayorcantidad de programas maliciosos especializados es difundida.
• Polimorfíadeservidor:Cadavezseenvíaunamayorcantidaddeprogramasmaliciososatravésdepáginasweb.Cuandounavíctimaaccedealapáginainfectada,enfuncióndeladirecciónIPseregistralaregióndelvisitantey,posteriormente,elnavegadordeInternetyelsistemaoperativoysusversiones.Apartirdeestainformacióncadavisitanterecibeprogra-masmaliciososalamedida.Teóricamentepodríarealizarseunacodificaciónespecíficadelarchivoapartirdeestainformación,deformaquecadavisitanteaunapáginawebrecibieraunaversióndistintadeprogramamalicioso.Deestemodoesposiblepropagarmilesdemutaciones del mismo programa malicioso.
Paramantenerbajocontrollaavalanchadeprogramasmaliciososescadavezmásimportantedisponerdeunserviciodedetecciónproactivo.Lasfirmasheurísticasdetectanprogramasmaliciososapartirdecaracterísticasespecíficasquetambiénseaplicananuevosprogramasmaliciosos.Ladetecciónapartirdelcomportamientoesotraposibilidaddedetectarelcódigomaliciosoquellegaaunordenador.GDATAhamejoradoenlageneración2009ladetecciónproactivayofrece,apesardelacrecidadeprogramasmaliciosos,losmáximosnivelesdedetecciónenelmenortiempo,inclusoenelcasodeprogramasmaliciososdesconocidoshastael momento.
19Copyright © 2009 G DATA Software AG
G DATA Informe julio-diciembre de 2008 sobre software malicioso
Las botnets y los programas espía y publicitarios determinan el curso de los acontecimientosSiseobservanlascategoríasdeprogramasmaliciososysuevolución,seobtieneunasituaciónsimilaraladelprimersemestre.Ciertamente,sedantambiénalgunasnovedades.Losprogra-masespíayprogramaspublicitariossiguenencontrándoseentrelascategoríasmásfrecuentes.Tambiénlosprogramasdedescargaqueseutilizanparainfectarordenadoresylosvirustipobackdoor,capacesdecontrolarlosordenadoresdeformaremotaydeagruparlosenbotnets,ocupanlosprimerospuestosdelranking.Elcrecimientoenestasáreasseencuentra,engene-ral,enunamediadel181 %.
Categoría 2° sem. 2008
Proporción 1er sem. 2008
Proporción Dif sem. 1 2008 y sem. 2 2008
Troyanos 155.167 26,9% 52.087 16,40% 321%Backdoors 125.086 21,7% 75.027 23,60% 166%Descargadores/Droppers
115.358 20,0% 64.482 20,30% 172%
Programasespía
96.081 16,7% 58.872 18,50% 162%
Adware 40.680 7,1% 32.068 10,10% 127%Gusanos 17.504 3,0% 10.227 3,20% 171%Herramientas 7.727 1,3% 12.203 3,80% 60%Rootkits 6.959 1,2% 1.425 0,40% 487%Exploits 1.841 0,3% 1.613 0,50% 114%Dialers 1013 0,2% 4.760 1,50% 21%Virus 167 0,0% 327 0,10% 51%Otros 8.419 1,5% 5.170 1,60% 163%Total 576.002 100,0% 318.248 100,00% 181%
Tabla 1: Cantidad y porcentaje de nuevas categorías de programas maliciosos durante el primer y segundo semestre de 2008 y sus modificaciones
Lacategoríadetroyanosdurante1 el segundo semestre ha aumentado más del triple y ha pasadodelcuartopuestoalaprimeraposicióndelranking.Esteaumentoseexplicaporlostroyanosporencargoexplicadosmásarriba.Seaprovechandelusoactivodebotnetsparaelenvíodecorreobasura,paralarealizacióndeataquesdesobrecargarepartidos,asícomodelamayormodularizacióndelosprogramasmaliciosos.
Esciertoqueelnúmerodeexploitshaaumentado,pero,enestecaso,lamagnitudnoesloqueimporta.Loimportanteesquelosexploitsdisponiblessonaprovechadosdelmodomásrápidoyeficaz,comohemosexplicadomásarriba.
Elmayorincrementoseprodujoeneláreadelosrootkits.Estoindicaquelosrootkitssehanafianzadoyestablecidocomomecanismodeocultaciónparaprogramasmaliciosos.Losvirus(esdecir,virusqueinfectansectoresdearranquedeldiscodurooarchivosyquesereplicanasímismos)ylosmarcadores(dialers)sonlosquemáshandisminuidoennúmero.Laimportanciadelosdialersdisminuyealreducirseelusodemódems.
1 Lacategoríadelostroyanosseutilizaaquíenunsentidoespecífico.Enrealidad,todoslosprogramasinformáticosmaliciososquenoposeenunarutinadepropagaciónpropiaseconsiderantroyanos.Esdecir,enprincipio,setratadetodoslosprogramasmali-ciososquenosongusanosnivirus(p.ej.,backdoors,programasdedescarga,programasespía,programaspublicitarios,rootkits,exploitsydialers).Ennuestracategoríadetroyanossólocontamoslostroyanosquenopuedenadscribirseaningunaotracategoría.
20 Copyright © 2009 G DATA Software AG
Cuidado con AutorunLostop10delafamiliadevirusmuestraunpanoramaenprofundidadatravésdelostiposdejuegosmásactivosdelosprogramasmaliciosos.LafamiliadevirusmásactivasiguesiendolaBackdoorHupigon.Elsegundopuestosigueestandoocupadoporlasvariantesde"Online-Games",quegeneralmenterobanlasclavesdeaccesoajuegosonlinemedianteKeylogger.Magania,laotrafamiliaquerobadatosdeaccesoajuegosonline,hadescendidotrespuestos,apesardesugranactividad.ReciénllegadassonlasfamiliasMonderyMonderB.SirvenparainstalarprogramasdescarewaredelafamiliaVirtumonde,queintentaninstalarlosprogramasWinFixeroAntiVirusXPmediantemensajesdeavisodevirusfalsoseinquietantes.Estamodu-larizaciónpermitióprescindirdelasfrecuentesactualizacionesdeloscomponentesprincipalesdeVirtumonde,quepasadelterceraldécimopuesto.LosautoresdeladwareCinmus,queseintegraenInternetExplorerymuestraventanasemergentesdepublicidad,hansidomuchomásdiligentesduranteelsegundotrimestreyhancreadomásdeldobledevariantesquealolargodelprimersemestre.ElspywareBuzuspudomantenerelsextopuesto.Elúniconuevoaccesoenlostop10eselbackdoorPcClient,quehaconseguidoentrarenlostop10sustitu-yendoalbackdoordelafamiliaBifrose.
2° sem. 2008
Familia de virus
1er sem. 2008
Familia de virus
1 45.407 Hupigon 32.383 Hupigon2 35.361 OnlineGames 19.415 OnLineGames3 20.708 Monder 13.922 Virtumonde4 18.718 MonderB 11.933 Magania5 15.937 Cinmus 7.370 FenomenGame6 13.133 Buzus 7.151 Buzus7 13.104 Magania 6.779 Zlob8 12.805 PcClient 6.247 Cinmus9 11.530 Zlob 6.194 Banload
10 10.412 Virtumonde 5.433 BifroseTabla 2: Top 10 de las familias de virus más activas durante el primer y el segundo semestre de 2008
Nosgustaríamencionaraunafamiliamás.Lafamiliadegusanosmásactiva,Autorun,consigueelpuesto14,graciasa7.256nuevasvariantes,frentealas2.756enelprimersemestre.Estafa-miliautiliza,entreotras,lasfuncionesdeautoarranquedelsistemaoperativoparapropagarse.Paraello,escribeninformacionesenelarchivoautorun.inf,queseleen,p.ej.,cuandoseinsertaoconectaunCD/DVD,unsoportededatosUSBounatarjetadememoria.Deestaforma,Autorunnoconsiguemantenerunagranatención,aunquesíquehainfectadoanumerososordenadores.
21Copyright © 2009 G DATA Software AG
G DATA Informe julio-diciembre de 2008 sobre software malicioso
Programas maliciosos a través de Flash en aumentoEl99,2%delosprogramasmaliciososestápensadoparaatacaralsistemaoperativoWindows.Laproporciónhaaumentadoduranteelsegundosemestreotrotantoporcientoy,entérminosabsolutos,elporcentajedeprogramasmaliciososdirigidosasistemasoperativosquenoseanWindowshadescendidounaquintaparteaproximadamente.Estopuededeberse,porunlado,aquenoesnecesarioutilizarloscostososprocedimientosdeocultaciónenotrasplataformas.Tambiénindicaquelosautoresdeprogramasmaliciososutilizanlavíadelamínimaresisten-ciaycentransuatenciónenlosusuariosdellíderdelmercadodelossistemasoperativos.Losprogramasmaliciososparaotrossistemasoperativos,comoUNIX(16)oApple(6),seencuen-tranmuyraramente.J2ME,laversióndeJavaparaterminalesmóvilesySmartphones,destacaenestesentidocon59nuevosejemplaresdeprogramasmaliciosos.Entotalhanaparecido70nuevosprogramasmaliciososparaplataformasmóviles(J2ME,WindowsCEySymbianOS).LagranoladeataquesparaSmartphonesyterminalesmóvilesnohahechosuapariciónhastaelmomento.
Plataforma 2° sem. 2008
% 2º sem. 2008
1er sem. 2008
% 1er sem. 2008
1 Win32 571.568 99,2% 312.656 98,2%2 WebScripts 2.961 0,5% 3.849 1,4%3 Scripts 1.062 0,2% 1.155 0,3%4 MSIL 318 0,1% 252 0,1%5 Macros 93 0,0% 164 0,0%
Tabla 3: Principales 5 plataformas durante el primer y el segundo semestre de 2008. Los WebScripts son los programas maliciosos basados en JavaScript, HTML, Flash/Shockwave, PHP o ASP que aprovechan generalmente los puntos débiles a través de navegador de Internet. Los "scripts" son scripts de tipo batch o shell, o programas escritos en los lenguajes de programación VBS, Perl, Python o Ruby. MSIL es un programa malicioso escrito en el código intermedio de los programas NET. Las macros están escritas en lenguajes de macro para aplicaciones como Word, Excel, AutoCAD, PowerPoint, etc.
Tambiénlosautoresdeprogramasmaliciososaprovechanlasoportunidadesde.NETFra-meworkdurantesuprogramación.Lasaplicaciones.NETfuncionanendiferentestiposdehardware,deigualmodoqueenelcasodelasaplicacionesJava.Además,.NETofrecelaposibi-lidaddeagruparaplicacionesdevariosproyectosqueempleandiferenteslenguajesdeprogra-mación.Paraconseguirlo,setraducenalLenguajeIntermediodeMicrosoft(MSIL).Lacantidaddeprogramasmaliciososelaboradosenestelenguajeintermediodeaplicaciones.NEThaaumentadocontralatendenciaduranteelsegundosemestreysuperadelejosalnúmerodeprogramasmaliciososescritosenJava.
Aunquecadavezseproducenmásataquesatravésdepáginasweb,elnúmerodepro-gramasmaliciososbasadosenlenguajesdeprogramaciónwebcomoJavaScript,ASP,PHPoActionScriptparaShockwaveyFlashhadecrecidoentérminosgenerales.SobretodoeneláreadelosprogramasmaliciososenJavaScript,duranteelsegundosemestrehanaparecidomuchosmenosprogramasmaliciosos(1.910frentea2.650enelprimersemestre).Noobs-tante,enestegrupodestacanlosprogramasmaliciososenformatoSWF.Simbolizóelmayorcrecimientoentérminosporcentuales(321frentea231enelprimersemestre).ElformatoSWFutilizaellenguajedeprogramaciónActionScriptdelreproductorFlash.EstenuevométodoesaúnpococonocidoysólounospocosusuariostemenquesuordenadorpuedaserinfectadoporvisualizarvídeosdeFlash.
22 Copyright © 2009 G DATA Software AG
Perspectiva en 2009Apartirdelosacontecimientos,cifrasytendenciasilustrados,esposiblepresentaralgunospronósticossobrelaevolucióndelasituaciónentornoalosprogramasmaliciosos.
Más páginas web peligrosasElnavegadordeInternetcobracadavezmayorrelevanciacomopuertadeaccesoparalosprogramasmaliciosos,yseaprovechanlosataquesalnavegadorysuscomponentesencuantosereconocen.AunquetambiénmuchosserviciosdisponiblesenInternetseutilizancadavezmásparadifundirmensajespublicitariosnodeseadosyprogramasmaliciosos.Enparticular,losusuariosderedessociales,foros,blogs,juegosonlineyaplicacionesWeb2.0debenactuarconprecaución.Servidoreswebcraqueados,resultadosdebúsquedamanipuladosyerroresdeescrituraalintroducirunaURLpuedenconduciralusuarioapáginasenlasqueelordenadordelusuariopuederesultarinfectadosinsaberlo(Drive-by-Download).
Más programas maliciosos a través de FlashElnúmerodeprogramasmaliciososqueempleanActionScriptdeFlashparadifundirprogra-masmaliciososhaaumentadonotablementeduranteelúltimosemestreyseguiráaumen-tandoprevisiblemente.Hastaelmomento,losvídeosenFlashnosonconsideradoscomounaamenazayesteeselmejorrequisitoparaqueseanutilizadosmasivamenteporlospiratasinformáticos.
¿Abandono de Windows?Enlosúltimosaños,losprogramasmaliciosossehanvenidoconcentrandoenelsistemaoperativoWindows.LamayoríadelasinfeccionestienenlugarenordenadoresconWindowsXP.EsposiblequeestocambiecuandomásusuariosactualicensusordenadoresaVistao,amediadosdeaño,aWindows7.Detodosmodos,noesperamosqueenelpróximosemestreWindowssalgadelalíneadetiro.Porotrolado,tambiénesprobablequelosusuariosdelSOXdeAppletenganquevérselasconmayorfrecuenciaconlosprogramasmaliciosos.Losprogra-masmaliciososparaSmartphonesdesempeñaránunpapelsecundariodurantelospróximosmeses.
La rapiña de datos continúaLanotificacióndebrechasdeseguridadyelrobodedatoshaconducidoenelúltimosemestreaaumentarlaconcienciaciónsobreelvalordelosdatospersonales.Noobstante,aúnquedaenestesentidobastanteporhacer,ylosdelincuentesseguiránintentandoaccederadatosbancariosydetarjetasdecrédito.Así,elspywareseguiráintegrándoseenelfuturoenunagrancantidaddeprogramasmaliciosos.Ynosotrosseguiremosrecibiendonoticiassobrefallosde seguridad de datos.
¿Aún más programas maliciosos?Demediaanualsedescubrióduranteelsegundosemestrede2008unnuevoprogramama-licioso por minuto.2Portanto,esnormalpensarqueestacifraaúnpuedaseguiraumentando.Estáclaroquelaeconomíadeladelincuenciainformáticanovaadesapareceryqueseguirásiendosumamenteproductiva.Lacuestiónes,noobstante,silosdelincuentesinformáticosdebengeneraraúnmásarchivos.Ciertamenteesperamosquesiganaumentando,perolatasadecrecimientoiráreduciéndosepaulatinamente.
2 Exactamentefueron65,75porhora.
Go safe. Go safer. G DATA.