informe sobre software malicioso · 2014-01-28 · de engaño más corrientes, la guerra en...

1Copyright © 2009 G DATA Software AG

G DATA Informe julio-diciembre de 2008 sobre software malicioso

Go safe. Go safer. G DATA.

Ralf Benzmüller

G DATA

Informe sobre software maliciosoInforme semestral de julio-diciembre de 2008



G DATA Informe sobre software malicioso Julio-diciembre de 2008

Ralf Benzmüller

2 Copyright © 2009 G DATA Software AG

ResumenCifras y datos• 894.250nuevosprogramasmaliciososen2008representanaproximadamente6,7veces

másqueen2007.

• 576.002nuevosprogramasmaliciososenlasegundamitadde2008constituyenunaumen-tode1,8vecesmásencomparaciónconelprimersemestre.

• Lascategoríasmásfrecuentesdeprogramasmaliciosossonlostroyanos,backdoorsydes-cargadores.Enotrascategoríasseencuentranlosprogramasespía,adwareygusanos.

• Entrelasfamiliasdevirusmásactivasseencuentranlosbackdoors,losladronesdecuentasdejuegosonlineyloscomponentesparalainstalacióndeadwareyscareware.Elgusanomásactivo,"Autorun",utilizalasfuncionesdeautoarranqueparaCDylápicesUSBparasupropagación.

• El99,2%detodoslosprogramasmaliciososdelsegundosemestrefuncionabanenelentor-nodeWindows.Losautoresdelosprogramasmaliciososseconcentranaúnmásenellíderdelmercado.Loscódigosmaliciososparaplataformasmóviles,UnixyApplesonen2008másbienexcepcionales.

• LosprogramasmaliciososenJavaScriptdesciendenmásdeuncuartodeltotal,mientrasqueelnúmerodeprogramasmaliciososbasadosenFlashaumentaenun38 %.EstoquieredecirquelatendenciasealejadelJavaScriptyseadoptacadavezconmásfrecuenciaeltipodeprogramamaliciosodeFlash.

Eventos y tendencias• Exploits:códigomaliciosoqueaprovechalosagujerosdeseguridadparaatacarelordena-

dor.Cadavezsecreaconmásrapidez.Microsofttuvoqueponeradisposiciónpatchesadicionales en octubre y diciembre.

• LosprincipalesengañosutilizadoscontralosusuariosdeInternetparaqueinstalenprogra-masmaliciososson:1°,peticionesdedescargadecódecsosoftware;2°,falsosprogramasantivirusyscareware;y3°,correoselectrónicossobrepedidos,paquetesyenvíos.

• LasguerrasenelmundotambiéntienensusescenarioenInternet,dondeinclusosein-tensificanloscombates.Laspáginaswebdeloponentesonatacadasconsobrecargasylasfuentes de noticias son craqueadas y manipuladas para difundir propaganda.

• Numerosasbrechasyfallosdeseguridadinformáticoshacenaccesiblesdatospersonales,inclusodepersonalidades,yrevelaninformaciónmilitarestrictamenteconfidencial.Laproteccióndedatosnosetomaenserio.

• Elforosobretarjetasenlínea"DarkMarket",consideradocomounimportantemercadoilícitodeintercambiodelainformacióncontenidaentarjetasdecrédito,esdescubierto.56personasdevariospaísesdelmundosondetenidas.

• IntercageyMcColosonexpulsadosdelared.Laavalanchadecorreobasura(spam)desci-ende durante un tiempo y el mercado de botnets se reorganiza.

• Lasredessocialesseutilizancadavezconmásfrecuenciaparaladistribucióndecorreobasura y programas maliciosos.

• Losgrandeseventos,comolasolimpiadasolaseleccionespresidencialesenlosEstadosUnidos,sonutilizadosporremitentesdecorreobasurayautoresdeprogramasmaliciosos.



Pronósticos• LareddeInternetsehacemáspeligrosa.AplicacionesWeb2.0,redessociales,forosyblogs

presentanungranpotencialdeataquequeseutilizarácadavezmásenlospróximosmeses.

• Flashcomovíadedifusióndeprogramasmaliciososaumentaráenlospróximosmeses.HastaahoranoseconsiderabapeligrosolavisualizacióndepelículasenFlash.

• Laavalanchadeprogramasmaliciososvaaaumentar,aunqueaunritmomáslento.

Contenido

Eventos y tendencias durante el segundo semestre de 2008

Lasbrechasdeseguridadseaprovechanrápidamente .............................................................................4

El"Patch-Day"deMicrosoft:unafechafijaenelcalendariodeladelincuenciainformática .........4

Casos en Internet ......................................................................................................................................................5

Guerrainformática:Internetcomoarma ..........................................................................................................7

Datos-quiebras,ladronesyfallos ......................................................................................................................8

Calendario

Juliode2008 ............................................................................................................................................................13

Agosto de 2008 .......................................................................................................................................................14

Septiembre de 2008 ..............................................................................................................................................15

Octubre de 2008 .....................................................................................................................................................15

Noviembrede2008 ...............................................................................................................................................15

Diciembre de 2008 ................................................................................................................................................ 16

Programas maliciosos: cifras y datos

Laavalanchadeprogramasmaliciosossiguecreciendo ..........................................................................17

Lasbotnetsylosprogramasespíaypublicitariosdeterminanelcursodelosacontecimientos 19

Cuidado con Autorun ........................................................................................................................................... 20

ProgramasmaliciososatravésdeFlashenaumento ................................................................................ 21

Perspectiva en 2009

Máspáginaswebpeligrosas .............................................................................................................................. 22

MásprogramasmaliciososatravésdeFlash ................................................................................................ 22

¿Abandono de Windows? ................................................................................................................................... 22

Larapiñadedatoscontinúa ............................................................................................................................... 22

¿Aúnmásprogramasmaliciosos? ..................................................................................................................... 22


Eventos y tendencias durante el segundo semestre de 2008Duranteelsegundosemestrede2008,losdelincuentesinformáticospermanecieronactivosentodoslosfrentes.EnlosGDATASecurityLabssurgenconfrecuencialostemasquelescomen-tamosenlossiguientesapartados.Losaspectosmásimportantessonlosexploits,losmediosdeengañomáscorrientes,laguerraenInternet,losfallosenlosdatosylaproteccióndedatos,y la lucha contra la delincuencia informática.

Las brechas de seguridad se aprovechan rápidamente Losexpertosenseguridadnosecansandeavisardeloimportantequeesmanteneractualiza-doelsistemaoperativoyelsoftwaredelordenador.Muchosproveedoresdesoftwarepublicanlosúltimospatchesenintervalosmásomenosregulares.Cadasegundomartesdecadames,MicrosoftproporcionapatchesparanuevosagujerosdeseguridaddelsistemaoperativoodelsoftwaredeMicrosoft(deahíelnombrede"Patch-Day").Coneltiemposeacumulanmuchasinstalacionespequeñas.EnelServicePack3deWindowsXPseagrupanlospatchesenviadosdesdeelServicePack2.Desdeel9dejulio,elServicePack3deWindowsXPseenvíaautomáti-camenteatravésdeunaactualización.

El "Patch-Day" de Microsoft: una fecha fija en el calendario de la delincuencia informáticaTambiénduranteelsegundosemestrede2008,loshackersydelincuentesinformáticosreac-cionananteel"Patch-Day".SucedeamenudoquelasbrechasdeseguridadsonaprovechadasinmediatamentedespuésdequeMicrosofthayaenviadolospatches.Paraello,loshackersanalizanlosarchivosdelsistemaoperativoquehansidomodificadosycreanun"exploitcode"apartirdelainformaciónobtenida.Enmuchoscasosestaoperaciónserealizaenunaspocashoras.Estos"exploitcodes"sonintegradosporlospiratasinformáticosenprogramasmalicio-soso,aúnpeor,enherramientasparalaelaboraciónydifusióndeprogramasmaliciosos.

Cadavezconmayorfrecuenciasepublicanagujerosdeseguridadparalosqueaúnnohaypatches,nadamásfinalizarel"Patch-Tuesday"deMicrosoft.LospiratasinformáticosesperanalPatch-Dayy,sielagujeronosehacerrado,puedeninfectarordenadoresdurantetodounmes,siemprequeMicrosoftnointroduzcaunturnoespecial.Yprecisamenteestoesloquehasucedidodosvecesalolargodelsegundosemestre:

• Despuésdequeel23deoctubresedieranaconocerinformessobredeterminadosataquesaordenadoresdeWindows,basadosenbrechascríticasenelservicioRPCdeWindows,Microsoftrealizaunaactualizacióndeseguridadfueradelturnohabitual(MS-08-067).Dosdíasmástarde,Gimmiv.Autilizaeseagujeroparapenetrarenordenadoresyrobarlessusdatos.ApesardelarápidareaccióndeMicrosoft,acomienzosde2009losordenadoresdelGobiernoRegionaldeKärntenyelCentroMédicodeKärntenKABEGfueroninfectadosporungusanollamadoConficker(aliasDownadup).

• El17/12secerróunagujerodeseguridadenInternetExplorer5a8medianteunaactuali-zaciónextraordinaria(MS08-078).Envariaspáginasweb,nosólopertenecientesalnegociodelsexo,sedetectóelexploitcodequeaprovechabalosagujerosdeseguridadparaencrip-tarcódigomaliciosoenordenadoresvulnerables.

Particularmenteelprimerejemplomuestraloimportantequesehavueltocontarconunsoftwareyunsistemaoperativoactualizados.



Casos en InternetMediantetrucosinsidiosos,lospiratasinformáticosintentanintroducirprogramasmaliciososqueseinstalanenlosordenadoresdesusvíctimasmientraséstasnaveganenInternet.Losmétodosparaengañaralusuarioquemáséxitohantenidoson:

1. Peticiónparalainstalacióndecódecsosoftwarequesupuestamentefaltaba

2. Scarewareyfalsosantivirus

3. Envíos,pedidosypaquetes

Enelprimercasoseenvíaalusuarioaunapáginawebquesupuestamentecontieneunvídeointeresanteuotrotipodearchivosmultimediaatravésdeuncorreoelectrónicoomensajeinstantáneo,aunquetambiénatravésdeotraspáginasweb,forosogruposdenoticias.Alreproducirelarchivooejecutarelarchivocorrespondiente,elusuariosedacuentadequenodisponedelcódecosoftwarequenecesita.Sesolicitaalusuarioqueinstaleloscomponentesquesupuestamentelefaltan.Elusuarioqueobedeceatalpeticióninfectasuordenador.

Enelcasodelosscareware(procedentedelinglés"toscare"-asustar)selehaceveralvisi-tante que se está realizando un análisis del sistema. Al fi nalizar el análisis se anuncia que en el ordenadorsehadetectado(supuestamente)lapresenciadeprogramasmaliciosos.Acontinua-ciónseofrecealusuario(o,mejordicho,casiselefuerza)quedescargueunfalsoantivirusque,enlamayoríadeloscasos,nofunciona.Estosproductosnodetectangeneralmenteningúnprogramamalicioso.Enelmejordeloscasos,eliminanlosmensajesdeadvertenciafalsos.Du-rante el segundo semestre han surgido los primeros ejemplares de este tipo de falso software antivirus,queformanpartedelantivirusgratuitodeClamAV.Pareceserquelospiratasinformá-ticossequierenlibrarasídeserperseguidosporlaley.

Mediantefalsospedidos,comunicadosdeoficinasdecobrosonotificacionessobreproble-masduranteelenvíodeunpaquetesesolicitaalosusuariosdecorreoelectrónicoqueabranelarchivoadjuntoovisitenunapáginawebmaliciosa.Eneselugaracechaelsoftwaremalicio-so que infecta el ordenador del usuario.

Aquíproporcionamosalgunosejemplos:

Fig. 1: Falsa notifi cación de UPS del 11 de agosto. El archivo adjunto instala un software espía.


Fig. 2: Supuesta orden de cargo en cuenta bancaria de los Juzgados de Colonia. El archivo adjunto "Rechnung.zip" contiene un enlace llamado "Rechnung.txt" y el código malicioso como "Zertifi kat.ssl". El enlace ejecuta este código malicioso como orden de línea de comandos. (véase http://www.gdata.de/de/virenforschung/news/news-details/article/928-warnung-vor-gefaelschten-rechn.html)

Fig. 3: En nombre de la normativa de cobros se envían "liquidaciones" que integran el ordenador en una "botnet".



Guerra informática: Internet como armaAdemásdelusocomercialtanextendidodelsoftwaremalicioso,elmalwaretambiénseutilizaconfinespolíticos.Medianteelsoftwaremaliciososeespíaalosoponentespolíticosyseenvíapropagandaconsuayuda.Losataquesalainfraestructurainformáticadeloponentepertene-cendesdehacealgúntiempoalarsenalutilizadoporelejército.Elúltimocasomásllamativotuvolugarenmayode2007,cuandolosnacionalistasrusosdeEstoniautilizaronbotnetsparadecidirasufavoreldebatepolíticosobreunmonumentoenmemoriadelossoldadosrusos.Tambiénenelsegundosemestrede2008,losenfrentamientosbélicosllegaronaInternet.

• DurantelacampañadeRusiacontraGeorgia,emisoresdecorreobasuraantigeorgianosin-tentaroncrearunabotnetconfalsosmensajesdelaBBC.Enagostode2008,GeorgiaculpóaRusiadecerrarelaccesoalapáginawebdelMinisteriodeAsuntosExteriores,obligandoasíaquelosmensajesdelMinisteriodeAsuntosExterioresgeorgianofueranpublicadosenunapáginadeBlogspotyenlapáginadelpresidentepolaco.Tambiéncontraotraspáginasdenoticiasgeorgianas(apsny.ge,news.ge)serealizaronataquesdesobrecarga(DDoS).LapáginawebdelBancoNacionaldeGeorgiafuedesfiguradamedianteimágenesdedictado-res y del presidente georgiano. TambiénenelladocontrariosesufrieronataquesdesobrecargaenpáginaswebdelGobier-nodeOsetiadelSurydelaagenciadenoticiasrusaRIANovosti.

• EnelconflictoentrePakistáneIndiasesucedenconstantesenfrentamientosvirtuales.Porejemplo,enoctubresealterólapáginawebdelacompañíadeferrocarrilindiaEasternRailway,supuestamenteporatacantespaquistaníes.

• PocodespuésdequeIsraelcomenzaraabombardearlosasentamientosdelafranjadeGaza,másde300páginaswebisraelíesrecibieronmensajesantiisraelíesyantiamericanos.Enelotrobando,losisraelíesiniciaronunacampañadepropagandaenlablogosfera.AbrieronuncanalpropioenYoutubeyorganizaronunaconferenciadeprensavíaTwitter.TambiénenFacebookselibraronluchasdetrincheras.Engruposcomo"Hamas,Idon´tlikethem"o"FxxkIsrael"expresansuopiniónlospartidariosdelbandocorrespondiente.Algu-nosdeestosgruposfueronhechosinaccesiblesporla"JewishInternetDefenseForce".Enlapáginaweb"help-israel-win"podíadescargarsevoluntariamenteunprogramaqueinte-grabaelordenadorenunabotnet.EnviabaataquesalosserviciosdeInternetenemigos.Lasupremacíaisraelíenestecamposeafianzaaúnmásdebidoaqueloschiítasysunitassede-bilitanmutuamentemedianteataquesinformáticos.Esteconflictonollegaenunmomentooportuno para los sunitas de Hamas.


Datos - quiebras, ladrones y fallosTambiénenelsegundosemestrede2008sehanconocidonumerososcasosderobodedatos,fa-llosinformáticoseinfraccionesenmateriadeproteccióndedatos.Aquíleofrecemosunaselección:

El ciudadano de cristal

EnlacentraldelconsumidordeSchleswig-Holstein,losciudadanossequejabandecargosencuentabancarianoautorizados.SedetectóquetodoslosclienteshabíanpagadohacíamuypocotiempoboletosdelaloteríaoficialdelSurdeAlemania(SKL)porcargoencuentabanca-ria.Losempleadosdelcallcenterdisponíansupuestamentedelosdatosbancariosdelasvícti-mas.LacentraldelconsumidorrecibeaprincipiosdeagostounCDanónimoconlosdatosde17.000ciudadanos.Losdatosconnombre,fechadenacimiento,dirección,teléfonoynúmerodecuentabancariafueronvendidosporunaempresadelLandalemándeRenaniadelNorte-Westfalia.Alparecer,algunosempleadoscorruptosdecallcentersutilizanestosdatospara,trasunaconversaciónbreve(y,posiblementetambién,deltodoinsustancial),extraerdinerodelacuentadelreceptordelallamada.LarevistaWirtschaftswocherealizóalgunasinvestigacionesadicionalesquecondujeronfinalmentealasuntorelacionadoconloscallcenter.Ennoviembrepublicóquelosdatosbancariosdeaprox.21millonesdeciudadanosestánencirculación.Esdecir,3decada4titularesdecuentabancariasehanvistoafectados.Sesospechacomoauto-resapequeñoscallcentersensumayoría.véase: http://www.verbraucherzentrale-sh.de/UNIQ123246437731306/link481821A.html

http://www.wiwo.de/unternehmer-maerkte/kontonummern-von-21-millionen-buergern-illegal-im-umlauf-380382/

Best Western

25.deagosto 8 millones de datos sobre clientes de la cadena hotelera Best Western que pernoctaron en ella duranteelúltimoañofueronrobadosporuncrackerindioyvendidosalamafiarusaatravésde un foro ilegal.

Brechas informáticas en el Reino Unido

EnelsegundosemestrecontinuóunaseriedepérdidasdedatosenelReinoUnido.Losresulta-dosindican,porunaparte,lasnumerosasposibilidadesdepérdidadedatosy,porotraparte,laimprudencia con la que se tratan los datos personales.

• Julio:EnuntrenseencuentrandocumentossecretossobrelaredterroristadeAlQaeda.

• 25.deagosto:SepierdeunlápizUSBconlosdatosde84.000reclusosbritánicos,33.000jue-gosdedatosdeloscualespertenecíanainternosconmúltiplescondenas.Unaempresaquedebíaescribirunsistemadeadministracióndedatoshabíaextraviadoelsoportededatos.Entotaldesaparecieronen2008enelReinoUnido26lápicesUSBqueconteníaninforma-ciones clasificadas en parte como secretas.

• 27.deagosto:EneBaysesubastaunordenadorpor45€queconteníaelnombre,númerosdeteléfonomóvil,datosbancariosyfirmasdemásdeunmillóndeclientesdelRoyalBankofScotland(RBS).

• 8.deseptiembre:Desapareceundiscoduroconnombres,fechasdenacimiento,núme-rosdeseguridadsocialylugarderesidenciadeaproximadamente5000funcionariosdeprisionesdelServicioInglésdeGestióndeReclusos(NOMSeninglés).Unodecadanueve



empleadosdelacompañíasevioafectadoporestehecho.Algunossolicitaronuntrasladoaotropuestodetrabajoy/omudanzaparaprotegerasufamiliafrenteaposiblesataques.

• 18.deseptiembre:ElServiciodeInsolvenciabritánicodenuncialapérdidadeunordenadorportátilcondatospersonalesde122antiguosdirectivosdelacompañía.Además,elordena-dorportátilconteníainformaciónsobreacreedores,inversoresyempleados.

• 30deseptiembre:UnacámaradigitalsubastadaeneBaypor25€conteníadatosaltamenteconfidencialesdelserviciosecretobritánicoMI6sobresospechososdeterrorismodeAlQaedaconfotografíasyhuellasdactilaresysobreenvíosdearmas.

• 10.deoctubre:DeunaoficinadelproveedordeserviciosinformáticosEDSdesapareceundiscoduroportátilconnombres,direcciones,fechasdenacimientoyotrosdatosde100.000miembrosdelejércitoy600.000solicitantesdeempleo.

• 10.denoviembre:DurantelasemanadeNavidad,elproveedordeserviciosdepagoRBSWorldPayadmitió,despuésdequeseconociesenlosprimeroscasosdefraude,quetrasunataquedehackers,habíansidorobados1,5millonesdejuegosdedatos.Losdatosconsis-tíaneninformaciónpersonaldeusuariosdetarjetasprepagoytarjetasderegaloylosPINdetodaslastarjetasconPIN.Aaprox.1,1millonesdeclienteslesrobaronlosnúmerosdelaseguridadsocial,tanimportanteenlosEstadosUnidos.

Brechas informáticas en Alemania

TambiénenAlemaniasecometieroninfraccionescontralaproteccióndedatos:

• EnLIDL,Penny,Plus,Norma,Rewe,Edeka,Tegut,Hagebauyenmuchasotrascompañíassevigilayseespíaalosempleados.

• Telekomsetomalajusticiaporsumanoyutilizalosdatosdeconexiónexistentesparadetectaragujerosenelpropiosistemadecomunicacióndelacompañía.

• Lufthansaanalizailegalmentelosdatosdevuelodelospasajeros(entrelosquetambiénseencuentranperiodistas).

• Atravésdelsindicatodelapolicía,losnúmerosdemóvilde13.500policíasberlinesesper-manecieron libremente accesibles en Internet.

• DosantiguosempleadosdeT-Mobileroban17millonesdedatosdeclientes(direcciones,númerosdeteléfonomóvil,fechasdenacimientoyposiblementedireccionesdecorreoelectrónico),entrelosqueseencuentranpersonalidadesdelapolítica,economíaymediosdecomunicación,ylosvendenacomerciantesdedatosdedudosareputación.

Famosos hackeados

Tambiénenestesemestrealgunaspersonalidadesdelavidapúblicavolvieronaservíctimasdeataquesmásomenosdirigidos:

• El18deseptiembresepublicóquelacuentadecorreoelectrónicoprivadadeSarahPalinenYahoofuehackeada.Elatacanterespondióalaspreguntasdeseguridadquesepropor-cionancuandoalguienhaolvidadosucontraseña.(véase http://blog.wired.com/27bstroke6/2008/09/palin-e-mail-ha.html)

• EnseptiembresecargóunapequeñacantidadenunacuentadelpresidentefrancésSarkozy.EsbastanteimprobablequeSarkozyrevelarasusdatosenunapáginadefraudeelectrónico.Tampocosetratabadeunataquedirigidoespecíficamenteaél.Esmuchomás


probable que uno de sus ordenadores hubiera sido infectado con un troyano captador de clavesbancarias.Estosdatossevendenenpaquetesdecientosomilesdedatos.Alrealizarlacompraseutilizangeneralmenteunaspocascuentasamododeprueba.Loscomprado-resdelosdatosutilizaronlosdatosdeSarkozyparaverificarlavalidezdelpaquetededatoscompleto.Pareceserquelaspersonasdedicadasalacompraventadedatosnosabíanconquiénestabancomerciando.

Protección de datos

Comoeshabitual,muchosciudadanosnosonconscientesdelacantidaddedatosquesonrecogidossobreellosylovaliososqueesosdatospuedenser.Pocoapocosedejanvercasosdeusoindebidodelosdatosqueconducen,p.ej.,aintrusiones,violacionesdelaseguridadopérdidasfinancieras.Ademásdelospiratasinformáticosquecometenfraudeconsusvíctimasutilizandosusdatosparaobtenerdinero,traficantesdedudosareputaciónsebeneficiandeun tratamiento despreocupado de los datos de los clientes y de los datos de registro. Con el casodeloscallcentersehavistoclaramentequelasdimensionesdeestedelitovanmásalládecasosaislados.Hacetiempoquelosdatosdelamayoríadelosciudadanosllevanestandoaccesiblesenlosmercadosdecompraventadedatos.Elvalordelosdatosylaimportanciadesuprotecciónestánaúninfravalorados.

Lucha contra la economía del eCrime

Trasunamisiónsecretadedosañosdeduración,enoctubrede2008lasautoridadesdepro-cesamientopenalconsiguieroncerrarelforodetarjetasenInternet"DarkMarket"ydetenera56personasenvariospaísesdelmundo.ElDarkMarketeraunodelospuntosilegalesdepeorfamadecompraventadedatosdetarjetasdecréditoydeaccesoacuentasbancarias.

Noobstante,otroenfoqueharesultadosermuchomásefectivo.Tambiénlaspáginasweb,datosyservidoresdecontroldelaindustriadeprogramasmaliciososdebenalojarseendeter-minadosordenadores.LaRussianBusinessNetwork(RBN)sehahechotristementefamosaelañopasadoenrelaciónal"Bullet-ProofHosting".Lagranatenciónrecibida,tambiénporpartedelosperseguidores,fueciertamenteperjudicialparalosnegocios.LaRBNserepartíaenva-riosgruposenChinayEuropadelEste.Estopermitióquesepusieranenlabrechaotrosservi-ciosdehostingqueoperaban,noenEuropadelEsteoenChina,sinoenlosEstadosUnidos.

Afinalesdeagostode2008sehizopúblicodequelaempresacalifornianaIntercage,quepocotiempoantesoperababajoelnombredeAtrivo,ofrecíasusserviciosdehostingyregistrodedominiosprincipalmenteaproveedoresdeserviciosilegales(véase http://hostexploit.com/down-loads/Atrivo%20white%20paper%20090308ad.pdf).Conlacasaemisoradecorreobasura,Atrivo/Interca-gehallamadolaatenciónen3añosconmásde350casosdedifusióndeprogramasmaliciososyservidoresdetipocommand&controlparabotnets.DosproveedoresdeIntercagerescindie-ronloscontratosconIntercagedebidoalapresiónpública,conloqueestosservidoresqueda-roninaccesiblesdesdelareddeInternet.UnproveedoramigodeIntercagequehabíadecididoentrarenelnegocio,seechóatrásenpocosdíasdebidoalapresiónpública.EstohizoquelosservidoresdeIntercagecargadosdeprogramasmaliciososyemisoresdespamquedarandes-activadosdesdeel21deseptiembre.Pocotiempodespués,Intercagecambióaunproveedorestonio.Elresultadofueelsiguiente:

• Duranteunbreveespaciodetiemposeredujolacantidaddecorreobasurarecibida.

• LasturbulenciasenrelaciónaIntercagehicieronquelasactividadesdelabotnetSturmquedaran paralizadas.



EnrelaciónalasinvestigacionesposterioresrealizadassobreIntercage,aprincipiosdeseptiem-breelserviciodeproteccióndelaprivacidaddelaempresaderegistrodedominiosDirecticonsedeenlaIndiafueobjetodecríticas.Noobstante,estosesolventórápidamente.(véase http://www.knujon.com/news.html#09042008).ConlacompañíaregistradoraestoniaESTDomainslasituaciónsedesarrollódedistintomodo.Constantementeseregistrabanallídominiosenlosqueseimplicabannegociosilegales,programasdecorreobasurayfraudeelectrónico.El28deoctubre,ICANNdejódetrabajarconESTDomainsypusoenventalagestióndelos281.000nombres de dominio gestionados por ESTDomains (véase http://www.icann.org/en/announcements/announcement-2-28oct08-en.htm)

PerolasconsecuenciasmásimportantesparalacomunidaddeInternetprovinierondelaislamientodelproveedordehostingcalifornianoMcColo.BrianKrebs,delWashingtonPost,publicólasvinculacionesdeMcColocondominiosfarmacéuticosysitiosdepago,scareware,páginaswebconpornografíainfantil,serviciosdeanonimizaciónyporúltimo,peronome-nosimportante,elcontroladordebotnetsparalasfamosasredesdecorreobasuradebotnet.CuandoMcColofueretiradodelaredel11denoviembredescendióelvolumendecorreoba-suraenunterciodeundíaaotro(véasefig.4).TambiénelservicioproxydeFraudcrewquedóparalizado.

0

10

20

30

40

50

Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic

Fig. 4: Número de correos basura por segundo de enero a diciembre de 2008.

ElcierredeMcColofuetansorprendenteparalosoperadoresdebotnetsquedeungolpevarioscientosdemilesdePCzombisquedaronsinseñorqueloscontrolara.Loszombiscal-culabancada72horas4dominiosdeemergenciaybuscabanallíunnuevomaestro,perolosespecialistasdelacompañíaFireEyecraquearonelalgoritmoyregistraronparasímismoslosdominiosresultantes.ComoFireEyenopudosoportarlastasasderegistrode4000$sema-nales,afinalesdenoviembredejaronderegistrarse.Estopermitióalashuestesdezombisaccederdenuevoasubotnet.PormotivoslegalesFireEyerenuncióaladesinfecciónquepodíarealizarseenlosordenadoresinfectadosdesdeelpuntodevistatécnico.ComolosservidoresdecomandodevariasbotnetshabíansidoalojadosenlosservidoresdeMcColo,lasituaciónenlasbotnetscambiómucho(véasefig.5).LasconsecuenciasenlabotnetSrizbifueronaplas-tantes.Srizbierahastaentonceslabotnetmásgrande(con450.000zombisaprox.)atravésde


laqueeranenviadoslamayoríadeloscorreosbasura.EnnoviembrelapartequeSrizbiteníaenelpasteldebotnetsdescendióhastacero.Pareceserquelos"clientes"noteníanlavolun-taddeesperaraqueSrizbivolvieraaestaroperativo.Enpocotiempo,Pushdo(aliasCutwail)yBobaxocuparonsulugar.Desdecomienzosdediciembre,Mega-Deslabotnetmásfuerte,aunqueconelcambiodeaño,RustockylanuevabotnetXarvestersepusieronalacabeza.ConWaledecyCimbot,otrasbotnetsestáncalentandomotores.Estasnuevasbotnetsestánconfi-guradasdeformaqueaprendenapartirdelaexperienciaenelpasado.LacomunicaciónestácifradaylosmecanismosdereservasontansofisticadosqueevitanproblemassimilaresalosvividosconMcColo.Ciertamenteseríadeseablequeen2009sevieranmáséxitosdeestetipo.Aunquenosedeberíasubestimaralosoperadoresdelasbotnetsytenerunasexpectativasdemasiado altas.

0

10

20

30

40

50

60

22. Jun. 3. Aug. 14. Sept. 26. Okt. 7. Dez. 18. Jan.

RUSTOCK

MEGA-D

XARVESTER

PUSHDO

BOBAX

SRIZBI

Fig. 5: Proporción de botnets en el envío de correo basura



CalendarioAdemásdelosacontecimientosagrupadostemáticamentedelcapítuloanteriortambiénseprodujeronalgunasnovedadesyacontecimientosinteresantesquedeberíannombrarseporordencronológico.

Julio de 2008El gusano GetCodec utiliza archivos de audio y vídeo para su difusión

El9dejulioapareceunnuevogusanollamado"GetCodec"queseexpandeatravésdearchivosmultimediadeformatoWMA/WMV.Esteformatodearchivocontienemuchomásdelospro-piosdatosdeaudioovídeo.Contieneinformaciónsobrecódecsnecesarios.GetCodecmodifi-caestainformaciónparaqueMediaPlayernoencuentreelcódecyensulugarintentecargaruncódecdeInternet.Hastaelmomento,estetipodepeticionesdeinstalacióndecódecssóloseconocíandesdeelnavegadordeInternet.GetCodecamplíalazonadepeligroalpropioMe-diaPlayer.SielusuariocierralaventanadeconfirmaciónconOK,enlugardelcódecseinstalauntroyanoquecargaotrosoftwaremalicioso,entreelqueseencuentratambiénungusanoqueinfectaotrosarchivosWMA/WMV.OtrasvariantesposteriorespuedeninfectartambiénarchivosMP2yMP3.LosarchivosseconviertenaformatoWMA/WMV,aunquelaextensióndelarchivonocambia.

Fig. 6: GetCodec solicita la instalación de un códec de Windows Media Player


3. Guerra Mundial

El10dejulio,enloscorreoselectrónicosdelabotnetSturmseanuncialallegadadelaTerceraGuerraMundial.Losvídeos,supuestamentegrabadosporsoldados,solicitanuncódectroya-no.Porlodemás,lasactividadesdelabotnetSturmseparalizanporcompletoenlosmesessiguientes.

Fig. 7: Anuncio de vídeo de la Tercera Guerra Mundial

Fraude informático en Monster

LosusuariosdelabolsadeempleoMonsterrecibenel14dejuliocorreoselectrónicosdefraudeelectrónico.Enestoscorreoselectrónicos,conasuntoscomo"Monstercustomerservi-ce:newsecuritymeasures.",sepretendíaengañaraldestinatarioparaquecreyeraquedebíavolveraregistrarsedebidoaunamodificacióntécnica.Quieneshacíanclicsobreelenlacerecibidoenelcorreoelectrónicoeranconducidosaunapáginawebfalsamuysimilaralaau-téntica.Losqueintroducíansusdatosderegistroenestapáginarevelabanalosdelincuentessuscurrículumsydatospersonalescontenidosenellos.

Agosto de 2008Redes sociales en el punto de mira

Lasredessocialesgozancadavezdeunamayorpredilección,tambiénporpartedelospiratasinformáticos.Lascuentassustraídasseutilizanparaalojarydifundirmensajesdecorreoba-sura.El2deagosto,unprogramamaliciosollamado"Koobface"enviómensajesaamigosdeMySpaceyFacebookenlosqueseponíadeseñuelouninteresantevídeodeYoutube.EnelfalsoYoutuberusosesolicitabalaactualizacióndelreproductordeFlash,queresultabaserunprogramadedescarga(downloader).

TambiénenTwitterseprodujeronlosprimeroscasosdedistribucióndeprogramasmalicio-sos a principios de agosto. En perfi les especialmente elaborados se establece un enlace de re-ferenciaapáginaswebconvídeosalhacerclicsobredeterminadasimágenesotextos.EneselugarsesolicitalainstalacióndelreproductorFlash,queserevelacomoprogramadedescarga(downloader)quecargauntroyanodecapturadedatosbancarios.Lavisitadelosperfilespre-paradospuedesolicitarseatravésdeuncorreobasuraodeunmensajeinstantáneo.Twitter



ofreceaquíademásotraposibilidad.Debidoaunagujerodeseguridadesposiblehacerclicsinsaberlosobreunenlacequellevaal"seguidor"deundeterminadoperfil (véase http://blogs.zdnet.com/security/?p=1611).

Troyanos en el espacio sideral

EnlaestaciónespacialISSseencontróuntroyanodejuegosonline.PareceserquellegóaestelugaratravésdeunlápizUSBodeunportátilinfectado.LosordenadoresdelaISSnoestánconectados a Internet. (véase http://blog.wired.com/27bstroke6/2008/08/virus-infects-s.html)

Las olimpiadas, también para los programas maliciosos

Losgrandesacontecimientosdeportivoscomo,p.ej.,lafinaldelaSuperbowlenlosEstadosUnidos,hansidoutilizadosduranteelúltimoañoporautoresdeprogramasmaliciosos.Tam-biéndurantelosJuegosOlímpicosdeChinaseprodujounamayoractividadenrelaciónalcorreobasuraylosprogramasmaliciosos.Aquíproporcionamosalgunosejemplos:

• UnafalsapresentacióndePowerPointmuestraimágenesdelaceremoniadeinauguracióneinstalaunprogramabackdoor.

• LosdocumentosenWordyPDFprometencontenerinformaciónsobrelosjuegosolímpicos

• Salvapantallasbautizadosconnombrescomo"2008BejingOlympics.scr“o"100Olymp.scr“infectanelPCconprogramasdedescargaybackdoors.

• VarioscientosdepáginaswebquesupuestamentedeberíancontenerinformaciónsobrelosJuegosOlímpicosfueronutilizadasparapropagarprogramasmaliciosos.Generalmentesevieronafectadosusuariosasiáticos.

Septiembre de 2008Google Chrome Beta

LamayoríadelosataquesaordenadorestuvieronlugaratravésdelnavegadordeInternet.Laeleccióndelnavegadores,portanto,paramuchosusuariosunacuestióndeconfianza.Acomienzosdeseptiembrede2008,Googleofrecía"Chrome",unaversiónbetadeunnavega-dordeInternet.SuconfiguracióninternaprometíaprotecciónfrenteaataquescomoCrossSiteRequestForgery(falsificacióndepeticiónensitioscruzados).Peromayorpreocupacióncausael afán de Google por recopilar datos del usuario.

Octubre de 2008ClickJacking

El15deoctubresepresentaunnuevométodoparamodificarlosajustesdelnavegadordeInternet,enelquepuedenutilizarselosclicsenjuegosonlineespecialmentepreparadosparaello.Porejemplo,esposiblecambiarlosajustesdeFlashparaqueseenciendalawebcam.(véase http://video.google.com/videoplay?docid=-1023253423246814538&hl=en)

Noviembre de 2008DeformasimilaraloquesucedióenlosJuegosOlímpicos,seaprovecharonlaselecciones


presidencialesparadifundirprogramasmaliciosos.ObamayMcCainaparecencontinuamentenombradosenlalíneadeasuntodeloscorreosbasuraqueredirigenapáginasdeventadeproductosfarmacéuticosoapáginasdeprogramasmaliciosos.TambiénalgunosnombresdearchivocontienenelnombredeObama:

• "Beat_Obama_NNN.exe“(NNNrepresentaunasecuencianuméricaalazar)instalababack-doorsdelafamiliaPcClient.

• OtronombredearchivosugiereactividadessexualesdeObamaconunachicade17años.

¿Cómo se comprueba el software antivirus?

10.denoviembre AMTSOpublicaunanormativaparaevaluarprogramasantimalware.LaOrganizacióndeNormasdeEvaluacióndeProductosAntimalware(AMTSO)esunafederacióndeorganizacio-nesdeverificacióndeprogramasmaliciosos,periodistas,personasvinculadasalauniversidadyfabricantesdeproductosantivirus.Trasunlargodebate,el10denoviembresepublicaronlasnormasparalarealizacióndepruebascomparativassignificativasyneutrales.Estasnormasestánpensadasparapoderrealizarpruebasabiertas,transparentesyneutrales,realizadasmediantemétodosdecomprobaciónadecuadosyconresultadosútilesyprácticos.(véase http://www.amtso.org)

Diciembre de 2008Malware-Fox

5dediciembre ChromeInjectesuntroyanoque,bajoelnombredeGreaseMonkey-Add-Ons,seintegraenFirefoxycopialosdatosintroducidosenmásde100páginasdebancosylosenvíaaunservi-dor en Rusia.

Los programas scareware son prohibidos

11. de diciembre LaFederalTradeCommission(FTC)americanaganaunjuiciocontradosfabricantesdepro-gramasscareware.Selesprohíbelaventadesussupuestosprogramasdeprotección.Éstosse"publicitan"generalmenteenpáginaswebenlasqueunanálisisfalsoclasificaelordenadorcomoinfectado.ProductoscomoWinFixer,WinAntivirus,DriveCleaner,ErrorSafeoXPAntivi-rusnoprotegen,sinembargo,frentealosprogramasmaliciosos.Además,secongelótodoelpatrimoniodeestasdosempresasacusadas:InnovativeMarketing,Inc.,yByteHostingInternetServices,LLC.

Curse of Silence

EnelXXVCongresodeInformáticaChaoscelebradoenBerlín,TobiasEngelpresentóunabrechadeseguridadenlosSymbianS60SmartphonesdeNokiaySonyEricsson.MedianteunSMSformateadodeformaespecial,elSmartphonedestinatariointerrumpeelservicioSMSsinenviarningúntipodeindicaciónnideaviso.EnlosucesivonoesposiblerecibirmásSMS/MMS.



Programas maliciosos: cifras y datosLa avalancha de programas maliciosos sigue creciendo Duranteelsegundosemestrede2008,elnúmerodenuevosprogramasmaliciosossigueaumentando.Duranteelprimersemestreseregistraron318.248nuevosprogramasmaliciosos,mientrasqueenelsegundofueron576.002.Estascifrasbatenelrécorddelsemestreante-riorconprácticamenteeldobledeprogramas.Alolargodetodoelaño2008seregistraron894.250nuevosprogramasmaliciosos,6,7vecesmásqueen2007.Elnúmerodefamiliasdevirusparatodoelaño2008,medidoenelnúmeronotablementemayorde3.069frentea2.313en2007,seencontrabasólounpocoporencimadelacifrade2007.Duranteelsegundose-mestre,elnúmerodefamiliasdevirusinclusoseredujode2.395a2.090conrespectoalprimersemestre.Elaumentodeprogramasmaliciososnosedebe,portanto,aungranaumentodenuevosautoresdeprogramasmaliciosos.

0

30000

60000

90000

120000

0

30000

60000

90000

120000

Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic

Diagrama 1: Número de nuevos programas maliciosos por mes durante 2007 (gris) y 2008 (rojo).

Entrelascausasdelrecienteaumentoseencuentranlassiguientes:

• Modularización:Elprogramamaliciosonosepresentayaenformadegranbloquemonolíti-co.Enlugardeello,todaslasfuncionesseorganizanensubprogramasespeciales.

• Usomúltiple:Paraevitarqueseandescubiertosmediantefirmas,losarchivosmaliciosospuedenmodificarse,p.ej.,mediantedistintastécnicasdeocultacióny/oaplicacionesdecompresiónquenopuedenserdetectadosporlosprogramasantivirus.Lafuncionalidaddelprogramamaliciososigueestandodisponible(casisinlimitaciones).

• Troyanosdeusarytirar:Muchosprogramasdedescargaynumerosostroyanosestánpen-sadosparaunsolouso.Despuésdecumplirsucometido,soneliminadosdelossistemasinfectados y no son reutilizados en esta forma por los autores del programa malicioso.


• Actualizacióncomomecanismodecamuflaje:Algunosoperadoresdebotnetsrealizanactualizacionesfrecuentesdeloscomponentesbackdoor.Estosirve,porunaparte,pararea-lizarunmantenimientodelsoftware,aunquetambiénsirveparainstalarversionesnuevasantesdequelaactualizacióndefirmadelfabricantedeantivirusdescubralapresenciadelprograma malicioso.

• Trabajoporencargo:LosPCzombidelasbotnetssonayudantesquesirvenparaenviarcorreobasura,mensajesdefraudeelectrónico,chantajeydistribuidoresdeprogramasmaliciosos.Losoperadoresdebotnetsalquilansusredesduranteundeterminadotiempooparalarealizacióndedeterminadosencargos.Paraello,cadazombirecibeunpaquetedesoftwareydatosquedebeprocesar.Unavezfinalizadoeltrabajo,elsoftwareylosdatossonborradosdelordenadorencuestión.Cuantomásvariadoeselusodeunabotnet,mayorcantidad de programas maliciosos especializados es difundida.

• Polimorfíadeservidor:Cadavezseenvíaunamayorcantidaddeprogramasmaliciososatravésdepáginasweb.Cuandounavíctimaaccedealapáginainfectada,enfuncióndeladirecciónIPseregistralaregióndelvisitantey,posteriormente,elnavegadordeInternetyelsistemaoperativoysusversiones.Apartirdeestainformacióncadavisitanterecibeprogra-masmaliciososalamedida.Teóricamentepodríarealizarseunacodificaciónespecíficadelarchivoapartirdeestainformación,deformaquecadavisitanteaunapáginawebrecibieraunaversióndistintadeprogramamalicioso.Deestemodoesposiblepropagarmilesdemutaciones del mismo programa malicioso.

Paramantenerbajocontrollaavalanchadeprogramasmaliciososescadavezmásimportantedisponerdeunserviciodedetecciónproactivo.Lasfirmasheurísticasdetectanprogramasmaliciososapartirdecaracterísticasespecíficasquetambiénseaplicananuevosprogramasmaliciosos.Ladetecciónapartirdelcomportamientoesotraposibilidaddedetectarelcódigomaliciosoquellegaaunordenador.GDATAhamejoradoenlageneración2009ladetecciónproactivayofrece,apesardelacrecidadeprogramasmaliciosos,losmáximosnivelesdedetecciónenelmenortiempo,inclusoenelcasodeprogramasmaliciososdesconocidoshastael momento.



Las botnets y los programas espía y publicitarios determinan el curso de los acontecimientosSiseobservanlascategoríasdeprogramasmaliciososysuevolución,seobtieneunasituaciónsimilaraladelprimersemestre.Ciertamente,sedantambiénalgunasnovedades.Losprogra-masespíayprogramaspublicitariossiguenencontrándoseentrelascategoríasmásfrecuentes.Tambiénlosprogramasdedescargaqueseutilizanparainfectarordenadoresylosvirustipobackdoor,capacesdecontrolarlosordenadoresdeformaremotaydeagruparlosenbotnets,ocupanlosprimerospuestosdelranking.Elcrecimientoenestasáreasseencuentra,engene-ral,enunamediadel181 %.

Categoría 2° sem. 2008

Proporción 1er sem. 2008

Proporción Dif sem. 1 2008 y sem. 2 2008

Troyanos 155.167 26,9% 52.087 16,40% 321%Backdoors 125.086 21,7% 75.027 23,60% 166%Descargadores/Droppers

115.358 20,0% 64.482 20,30% 172%

Programasespía

96.081 16,7% 58.872 18,50% 162%

Adware 40.680 7,1% 32.068 10,10% 127%Gusanos 17.504 3,0% 10.227 3,20% 171%Herramientas 7.727 1,3% 12.203 3,80% 60%Rootkits 6.959 1,2% 1.425 0,40% 487%Exploits 1.841 0,3% 1.613 0,50% 114%Dialers 1013 0,2% 4.760 1,50% 21%Virus 167 0,0% 327 0,10% 51%Otros 8.419 1,5% 5.170 1,60% 163%Total 576.002 100,0% 318.248 100,00% 181%

Tabla 1: Cantidad y porcentaje de nuevas categorías de programas maliciosos durante el primer y segundo semestre de 2008 y sus modificaciones

Lacategoríadetroyanosdurante1 el segundo semestre ha aumentado más del triple y ha pasadodelcuartopuestoalaprimeraposicióndelranking.Esteaumentoseexplicaporlostroyanosporencargoexplicadosmásarriba.Seaprovechandelusoactivodebotnetsparaelenvíodecorreobasura,paralarealizacióndeataquesdesobrecargarepartidos,asícomodelamayormodularizacióndelosprogramasmaliciosos.

Esciertoqueelnúmerodeexploitshaaumentado,pero,enestecaso,lamagnitudnoesloqueimporta.Loimportanteesquelosexploitsdisponiblessonaprovechadosdelmodomásrápidoyeficaz,comohemosexplicadomásarriba.

Elmayorincrementoseprodujoeneláreadelosrootkits.Estoindicaquelosrootkitssehanafianzadoyestablecidocomomecanismodeocultaciónparaprogramasmaliciosos.Losvirus(esdecir,virusqueinfectansectoresdearranquedeldiscodurooarchivosyquesereplicanasímismos)ylosmarcadores(dialers)sonlosquemáshandisminuidoennúmero.Laimportanciadelosdialersdisminuyealreducirseelusodemódems.

1 Lacategoríadelostroyanosseutilizaaquíenunsentidoespecífico.Enrealidad,todoslosprogramasinformáticosmaliciososquenoposeenunarutinadepropagaciónpropiaseconsiderantroyanos.Esdecir,enprincipio,setratadetodoslosprogramasmali-ciososquenosongusanosnivirus(p.ej.,backdoors,programasdedescarga,programasespía,programaspublicitarios,rootkits,exploitsydialers).Ennuestracategoríadetroyanossólocontamoslostroyanosquenopuedenadscribirseaningunaotracategoría.


Cuidado con AutorunLostop10delafamiliadevirusmuestraunpanoramaenprofundidadatravésdelostiposdejuegosmásactivosdelosprogramasmaliciosos.LafamiliadevirusmásactivasiguesiendolaBackdoorHupigon.Elsegundopuestosigueestandoocupadoporlasvariantesde"Online-Games",quegeneralmenterobanlasclavesdeaccesoajuegosonlinemedianteKeylogger.Magania,laotrafamiliaquerobadatosdeaccesoajuegosonline,hadescendidotrespuestos,apesardesugranactividad.ReciénllegadassonlasfamiliasMonderyMonderB.SirvenparainstalarprogramasdescarewaredelafamiliaVirtumonde,queintentaninstalarlosprogramasWinFixeroAntiVirusXPmediantemensajesdeavisodevirusfalsoseinquietantes.Estamodu-larizaciónpermitióprescindirdelasfrecuentesactualizacionesdeloscomponentesprincipalesdeVirtumonde,quepasadelterceraldécimopuesto.LosautoresdeladwareCinmus,queseintegraenInternetExplorerymuestraventanasemergentesdepublicidad,hansidomuchomásdiligentesduranteelsegundotrimestreyhancreadomásdeldobledevariantesquealolargodelprimersemestre.ElspywareBuzuspudomantenerelsextopuesto.Elúniconuevoaccesoenlostop10eselbackdoorPcClient,quehaconseguidoentrarenlostop10sustitu-yendoalbackdoordelafamiliaBifrose.

2° sem. 2008

Familia de virus

1er sem. 2008

Familia de virus

1 45.407 Hupigon 32.383 Hupigon2 35.361 OnlineGames 19.415 OnLineGames3 20.708 Monder 13.922 Virtumonde4 18.718 MonderB 11.933 Magania5 15.937 Cinmus 7.370 FenomenGame6 13.133 Buzus 7.151 Buzus7 13.104 Magania 6.779 Zlob8 12.805 PcClient 6.247 Cinmus9 11.530 Zlob 6.194 Banload

10 10.412 Virtumonde 5.433 BifroseTabla 2: Top 10 de las familias de virus más activas durante el primer y el segundo semestre de 2008

Nosgustaríamencionaraunafamiliamás.Lafamiliadegusanosmásactiva,Autorun,consigueelpuesto14,graciasa7.256nuevasvariantes,frentealas2.756enelprimersemestre.Estafa-miliautiliza,entreotras,lasfuncionesdeautoarranquedelsistemaoperativoparapropagarse.Paraello,escribeninformacionesenelarchivoautorun.inf,queseleen,p.ej.,cuandoseinsertaoconectaunCD/DVD,unsoportededatosUSBounatarjetadememoria.Deestaforma,Autorunnoconsiguemantenerunagranatención,aunquesíquehainfectadoanumerososordenadores.



Programas maliciosos a través de Flash en aumentoEl99,2%delosprogramasmaliciososestápensadoparaatacaralsistemaoperativoWindows.Laproporciónhaaumentadoduranteelsegundosemestreotrotantoporcientoy,entérminosabsolutos,elporcentajedeprogramasmaliciososdirigidosasistemasoperativosquenoseanWindowshadescendidounaquintaparteaproximadamente.Estopuededeberse,porunlado,aquenoesnecesarioutilizarloscostososprocedimientosdeocultaciónenotrasplataformas.Tambiénindicaquelosautoresdeprogramasmaliciososutilizanlavíadelamínimaresisten-ciaycentransuatenciónenlosusuariosdellíderdelmercadodelossistemasoperativos.Losprogramasmaliciososparaotrossistemasoperativos,comoUNIX(16)oApple(6),seencuen-tranmuyraramente.J2ME,laversióndeJavaparaterminalesmóvilesySmartphones,destacaenestesentidocon59nuevosejemplaresdeprogramasmaliciosos.Entotalhanaparecido70nuevosprogramasmaliciososparaplataformasmóviles(J2ME,WindowsCEySymbianOS).LagranoladeataquesparaSmartphonesyterminalesmóvilesnohahechosuapariciónhastaelmomento.

Plataforma 2° sem. 2008

% 2º sem. 2008

1er sem. 2008

% 1er sem. 2008

1 Win32 571.568 99,2% 312.656 98,2%2 WebScripts 2.961 0,5% 3.849 1,4%3 Scripts 1.062 0,2% 1.155 0,3%4 MSIL 318 0,1% 252 0,1%5 Macros 93 0,0% 164 0,0%

Tabla 3: Principales 5 plataformas durante el primer y el segundo semestre de 2008. Los WebScripts son los programas maliciosos basados en JavaScript, HTML, Flash/Shockwave, PHP o ASP que aprovechan generalmente los puntos débiles a través de navegador de Internet. Los "scripts" son scripts de tipo batch o shell, o programas escritos en los lenguajes de programación VBS, Perl, Python o Ruby. MSIL es un programa malicioso escrito en el código intermedio de los programas NET. Las macros están escritas en lenguajes de macro para aplicaciones como Word, Excel, AutoCAD, PowerPoint, etc.

Tambiénlosautoresdeprogramasmaliciososaprovechanlasoportunidadesde.NETFra-meworkdurantesuprogramación.Lasaplicaciones.NETfuncionanendiferentestiposdehardware,deigualmodoqueenelcasodelasaplicacionesJava.Además,.NETofrecelaposibi-lidaddeagruparaplicacionesdevariosproyectosqueempleandiferenteslenguajesdeprogra-mación.Paraconseguirlo,setraducenalLenguajeIntermediodeMicrosoft(MSIL).Lacantidaddeprogramasmaliciososelaboradosenestelenguajeintermediodeaplicaciones.NEThaaumentadocontralatendenciaduranteelsegundosemestreysuperadelejosalnúmerodeprogramasmaliciososescritosenJava.

Aunquecadavezseproducenmásataquesatravésdepáginasweb,elnúmerodepro-gramasmaliciososbasadosenlenguajesdeprogramaciónwebcomoJavaScript,ASP,PHPoActionScriptparaShockwaveyFlashhadecrecidoentérminosgenerales.SobretodoeneláreadelosprogramasmaliciososenJavaScript,duranteelsegundosemestrehanaparecidomuchosmenosprogramasmaliciosos(1.910frentea2.650enelprimersemestre).Noobs-tante,enestegrupodestacanlosprogramasmaliciososenformatoSWF.Simbolizóelmayorcrecimientoentérminosporcentuales(321frentea231enelprimersemestre).ElformatoSWFutilizaellenguajedeprogramaciónActionScriptdelreproductorFlash.EstenuevométodoesaúnpococonocidoysólounospocosusuariostemenquesuordenadorpuedaserinfectadoporvisualizarvídeosdeFlash.


Perspectiva en 2009Apartirdelosacontecimientos,cifrasytendenciasilustrados,esposiblepresentaralgunospronósticossobrelaevolucióndelasituaciónentornoalosprogramasmaliciosos.

Más páginas web peligrosasElnavegadordeInternetcobracadavezmayorrelevanciacomopuertadeaccesoparalosprogramasmaliciosos,yseaprovechanlosataquesalnavegadorysuscomponentesencuantosereconocen.AunquetambiénmuchosserviciosdisponiblesenInternetseutilizancadavezmásparadifundirmensajespublicitariosnodeseadosyprogramasmaliciosos.Enparticular,losusuariosderedessociales,foros,blogs,juegosonlineyaplicacionesWeb2.0debenactuarconprecaución.Servidoreswebcraqueados,resultadosdebúsquedamanipuladosyerroresdeescrituraalintroducirunaURLpuedenconduciralusuarioapáginasenlasqueelordenadordelusuariopuederesultarinfectadosinsaberlo(Drive-by-Download).

Más programas maliciosos a través de FlashElnúmerodeprogramasmaliciososqueempleanActionScriptdeFlashparadifundirprogra-masmaliciososhaaumentadonotablementeduranteelúltimosemestreyseguiráaumen-tandoprevisiblemente.Hastaelmomento,losvídeosenFlashnosonconsideradoscomounaamenazayesteeselmejorrequisitoparaqueseanutilizadosmasivamenteporlospiratasinformáticos.

¿Abandono de Windows?Enlosúltimosaños,losprogramasmaliciosossehanvenidoconcentrandoenelsistemaoperativoWindows.LamayoríadelasinfeccionestienenlugarenordenadoresconWindowsXP.EsposiblequeestocambiecuandomásusuariosactualicensusordenadoresaVistao,amediadosdeaño,aWindows7.Detodosmodos,noesperamosqueenelpróximosemestreWindowssalgadelalíneadetiro.Porotrolado,tambiénesprobablequelosusuariosdelSOXdeAppletenganquevérselasconmayorfrecuenciaconlosprogramasmaliciosos.Losprogra-masmaliciososparaSmartphonesdesempeñaránunpapelsecundariodurantelospróximosmeses.

La rapiña de datos continúaLanotificacióndebrechasdeseguridadyelrobodedatoshaconducidoenelúltimosemestreaaumentarlaconcienciaciónsobreelvalordelosdatospersonales.Noobstante,aúnquedaenestesentidobastanteporhacer,ylosdelincuentesseguiránintentandoaccederadatosbancariosydetarjetasdecrédito.Así,elspywareseguiráintegrándoseenelfuturoenunagrancantidaddeprogramasmaliciosos.Ynosotrosseguiremosrecibiendonoticiassobrefallosde seguridad de datos.

¿Aún más programas maliciosos?Demediaanualsedescubrióduranteelsegundosemestrede2008unnuevoprogramama-licioso por minuto.2Portanto,esnormalpensarqueestacifraaúnpuedaseguiraumentando.Estáclaroquelaeconomíadeladelincuenciainformáticanovaadesapareceryqueseguirásiendosumamenteproductiva.Lacuestiónes,noobstante,silosdelincuentesinformáticosdebengeneraraúnmásarchivos.Ciertamenteesperamosquesiganaumentando,perolatasadecrecimientoiráreduciéndosepaulatinamente.

2 Exactamentefueron65,75porhora.

Go safe. Go safer. G DATA.

informe sobre software malicioso · 2014-01-28 · de engaño más corrientes, la guerra en...

Documents