Kaspersky presentó un nuevo informe de malware, adware y programas potencialmente no deseados detectados y neutralizados por su escáner (on-access) en su primer intento de acceso durante el mes de julio. El artículo, firmado por el analista Vyacheslav Zakorzhevsky, puede leerse completo en el sitio.
De acuerdo con el autor, la primera mitad de la lista permaneció estable desde el anterior mes, con virus como Sality y Virut y el infame gusano Kido invariables en sus posiciones. Sin embargo, surgieron algunas sorpresas con seis nuevos registros.
Worm.Win32.Autoit.xl, situado en la 12° posición, es un Autolt malicioso con una carga maliciosa variable: es capaz de desactivar el firewall de Windows, modificar las políticas de restricción de algunas aplicaciones, o descargar e instalar otros programas maliciosos. Resulta interesante que Brasil sea el origen de casi el 25% todas las infecciones detectadas, mientras que alrededor de un 50% provino de Rusia y Ucrania.
Hoax.Win32.ArchSMS.ih, en la 7° posición, es otro nuevo integrante de nuestra clasificación. Se usa como parte de un fraude completamente nuevo. El programa se propaga principalmente disfrazado de un legítimo componente de freeware. Cuando se abre la aplicación, aparece una ventana con el aviso de que el programa está comprimido y que para obtener la contraseña para descomprimirlo, es necesario enviar entre uno y tres mensajes SMS. Cada mensaje tiene un costo de hasta 500 rublos (unos 16 dólares), y a cambio el usuario recibe ya sea un programa malicioso, un vínculo a un sitio torrent, un mensaje de error, o un archivo comprimido vacío.
La gran mayoría de equipos en los que se ha detectado este programa se encuentran en países de habla rusa; los más afectados fueron los usuarios de Rusia, seguidos por los de Ucrania, Kazajstán, Bielorrusia, Azerbaiyán y Moldavia.
El compresor malicioso Packed.Win32.Katusha.n, situado en la 19° posición, es un programa utilizado para proteger varios programas maliciosos contra soluciones antivirus. Esta detección también se extiende a falsas soluciones antivirus comprimidas con Katusha.
Programas maliciosos que circulan en Internet
La mitad de los programas en esta lista son exploits, de los cuales ocho apuntan a conocidas vulnerabilidades.
Tal como sucedió el pasado mes, Exploit.JS.Agent.bab, que apunta a la vulnerabilidad CVE-2010-0806, lidera esta clasificación. Esta misma vulnerabilidad es el blanco de los recién ingresados Exploit.JS.CVE-2010-0806.aa (7°) y Trojan.JS.Agent.bhr (6°). Parecería entonces, que contra todas las expectativas, la vulnerabilidad CVE-2010-0806, en vez de decaer, muestra un resurgimiento.
La presencia de la plataforma Java se reafirmó en julio con el regreso a esta lista de Exploit.Java.Agent.f (8°) y el ingreso de Trojan-Downloader.Java.Agent.jl (8°). Estos dos programas apuntan a la vulnerabilidad CVE-2010-3867 y los descarga el script Trojan.JS.Agent.bmh que ocupa la 16° posición.
El recién ingresado Exploit.HTML.CVE-2010-1885.a (3°) es un script que explota la vulnerabilidad CVE-2010-1885. El archivo que contiene este código malicioso es una página HTML que incluye un iframe con una dirección especialmente elaborada.
Cuando se ejecuta este archivo, se descarga otro script (que Kaspersky Lab detecta como Trojan-Downloader.JS.Psyme.aoy). A su vez, este script descarga y ejecuta malware de la familia Trojan-GameThief.Win32.Magania que roba las contraseñas de los jugadores en línea. El script intermediario utiliza un interesante método para ocultar el vínculo malicioso: lo escribe de atrás para adelante.
Exploit.JS.Pdfka.bys (15°) y Exploit.JS.Pdfka.cny (18°) son scripts que explotan varias vulnerabilidades en los productos de Adobe.
Cinco de los Top 20 son programas adware: tres variantes de AdWare.Win32.FunWeb (4°, 9° y 19°), AdWare.Win32.Shopper.l (11°), y AdWare.Win32.Boran.z (13°). Boran.z es un Nuevo registro que se detectó por primera vez en octubre de 2009. Se trata de un módulo BHO que viene junto a un driver diseñado para su protección.
Trojan.JS.Agent.bhl es otro programa que despliega avisos irritantes, y es también un nuevo miembro de la lista. Este script abre ventanas emergentes y usa varias tecnologías para burlar a los bloqueadores de estas ventanas. La siguiente captura de pantalla muestra los comentarios mostrados y el código que el módulo utiliza para burlar a Norton Internet Security.
La conclusión de Kaspersky
Las cifras del mes de julio una vez más reflejan la tendencia a explotar vulnerabilidades con el fin de propagar malware. Los programas que explotan las vulnerabilidades han logrado colocarse en la lista de programas detectados en los equipos de los usuarios.
El script descargador Pegel y las vulnerabilidades que explota (CVE-2010-0806, CVE-2010-3867 etc.) siguen muy expandidos a pesar de los esfuerzos de la industria antivirus, y de Adobe y Microsoft que oportunamente publicaron los respectivos parches. Gran parte de los programas que explotaban las recientemente publicadas vulnerabilidades CVE-2010-0188 y CVE-2010-1885 fueron detectados en julio. También vale la pena mencionar la rápida propagación de Stuxnet, un rootkit driver que utiliza signaturas digitales genuinas. El gusano sigue aprovechando la vulnerabilidad en los archivos LNK (acceso directo de Microsoft Windows) que aún no se ha solucionado. La vulnerabilidad permite la ejecución de un dll aleatorio sin que intervenga el usuario si se muestra el icono del acceso directo del programa.
jajaja.. aguante linux!!!