Академический Документы
Профессиональный Документы
Культура Документы
Informe sobre
software malicioso
Informe semestral enero-junio 2009
Ralf Benzmüller & Werner Klier
G Data Security Labs
Eventos y tendencias
• Las redes sociales se utilizan cada vez con más frecuencia para la distribución de spam y
programas maliciosos.
• Conficker se convierte en el eterno caballo de batalla. Infecta varios millones de PC y el 1 de
abril da que hablar por su nueva rutina de actualización. A partir de ahí desaparece.
Pronósticos
• Internet alberga cada vez un mayor número de códigos maliciosos. Los métodos de infec-
ción se hacen cada vez más sofisticados.
• La ola de programas maliciosos seguirá creciendo en los próximos meses, aunque en menor
medida y a través de un menor número de familias de programas maliciosos.
• Los usuarios de MacOSX y Smartphones pasarán a estar con mayor frecuencia en la mira de
los autores de programas maliciosos.
Contenido
Resumen.......................................................................................................................................................................2
Cifras y datos...............................................................................................................................................................2
Eventos y tendencias................................................................................................................................................2
Pronósticos...................................................................................................................................................................2
Perspectiva 2009......................................................................................................................9
Pronósticos...................................................................................................................................................................9
㐀
㈀
㠀
㘀
㐀
㈀
䨀愀渀
01 02
䘀攀戀 03
䴀爀稀 04
䄀瀀爀椀氀 05
䴀愀椀 06
䨀甀渀椀 07
䨀甀氀椀 08
䄀甀最 09
匀攀瀀 10
伀欀琀 11
一漀瘀 12
䐀攀稀
Diagrama 1: Número de nuevos programas maliciosos por mes durante 2008 (gris) y 2009 (rojo).
Categorías de malware
Un vistazo a los cambios en cada una de las categorías de programas maliciosos puede apor-
tarnos una explicación de este retroceso. Mientras que los backdoors, adware y programas
espía permanecen por debajo de la media, la cantidad de rootkits y troyanos sobrepasa el
crecimiento medio considerablemente. También el número de descargadores y droppers
sobrepasa la media.
Los backdoors se necesitan para integrar ordenadores zombi en una red de bots y poder asu-
mir el control remoto. El retroceso en este área es un indicio de que la ampliación de las bot-
nets ha perdido importancia. El gran aumento de rootkits es señal de que cada vez un mayor
número de programas maliciosos (también backdoors) permanecen ocultos a los antivirus y a
las miradas curiosas. A todas luces parece que la capacidad disponible ya basta para cubrir la
demanda de actividades botnet, como el envío de correo basura y los ataques de sobrecarga.
También el mercado de adware parece haberse estancado en un alto nivel. Posiblemente
tienen que ver en esto las campañas de sensibilización. Aunque también ha contribuido a ello
el parón causado por la crisis, con unos presupuestos publicitarios limitados, lo que hace que
también la economía del crimen electrónico se vea obligada a actuar en menor escala.
La cantidad de spyware ha descendido ligeramente. Si observamos el fenómeno más de cerca
podremos detectar que los "keylogger" o registradores de órdenes de teclado, se han duplica-
do, mientras que los troyanos bancarios y los ladrones de datos de contraseñas o juegos online
han retrocedido en un 30%. El empleo de medidas de seguridad más estrictas por los bancos y
las empresas de juegos online ya no permiten soslayar la protección por medios sencillos. En el
área del robo de datos, la tendencia se inclina hacia programas maliciosos cada vez más univer-
sales y potentes.
Categoría #2009 Propor- # 2008 Propor- Dif. # 2008 Propor- Dif.
H1 ción H2 ción 2008H1 H1 ción 2008H1
2008H2 2009H1
Caballos 221.610 33,6% 155.167 26,9% 143% 52.087 16,4% 425%
troyanos
Puertas 104.224 15,7% 125.086 21,7% 83% 75.027 23,6% 139%
traseras
Descargado- 147.942 22,1% 115.358 20,0% 128% 64.482 20,3% 229%
res/Droppers
Spyware o 97.011 14,6% 96.081 16,7% 101% 58.872 18,5% 165%
programas
espía
Adware 34.813 5,3% 40.680 7,1% 86% 32.068 10,1% 109%
Gusanos 26.542 4,0% 17.504 3,0% 152% 10.227 3,2% 260%
Herramientas 11.413 1,6% 7.727 1,3% 148% 12.203 3,8% 94%
Rootkits 12.229 1,9% 6.959 1,2% 176% 1.425 0,4% 858%
Exploits 2.279 0,3% 1.841 0,3% 124% 1.613 0,5% 141%
Dialer 1.153 0,2% 1013 0,2% 114% 4.760 1,5% 24%
Virus 143 0,0% 167 0,0% 86% 327 0,1% 44%
Otros 4.593 0,7% 8.419 1,5% 55% 5.170 1,6% 89%
Total 663.952 100,0% 576.002 100,0% 115% 318248 100,0% 209%
Tabla 1: Cantidad y porcentaje de nuevas categorías de programas maliciosos en el primer semestre de 2008 y 2009
incluyendo cambios
La tabla 1 indica asimismo que la cantidad de programas dialer ha descendido hasta apenas un
cuarto del volumen del año anterior. El modelo de negocio del dialer se está extinguiendo, por
lo que se ve. También el número de virus clásicos (p.ej. infectadores de archivos) ha decrecido
notablemente en comparación con el mismo período del año anterior. Esta vía de expansión
constituye más bien la excepción. Los gusanos, entre los que se encuentra también el gran
grupo de infectadores Autorun, vio aumentar su porcentaje hasta un 4.0%. Su número se ha
multiplicado por 2,6 frente al primer semestre de 2008 y por 1,5 frente al segundo semestre de
2008.
Mientras algunas familias aportan solo unas pocas variantes, otras son especialmente prolíficas.
Algunas de ellas llevan en el Top 10 desde hace años. Entre ellas se encuentran los backdoor de
la familia Hupigon y Bifrose, que han perdido el primer puesto, los ladrones de datos de juegos
online de las familias OnlineGames y Magania, así como los troyanos de la familia Buzus. Los
nuevos líderes son los troyanos adware/scareware de Monder, que van pisando los talones de
Virtumonde. Junto con el recién incorporado Fraudload indican la popularidad que ha ganado
el scareware entre los ciberdelincuentes, con soluciones imitadas de los antivirus. También
ingresan recientemente en el Top 10 las familias Genome, Poison e Inject.
Los exploits más comunes aprovechaban la brecha de seguridad WMF y puntos débiles en
documentos PDF. La cantidad de archivos PDF maliciosos ha aumentado notablemente en los
últimos meses. En este sentido no sólo se utilizan las brechas de seguridad. Los autores de pro-
gramas maliciosos aprovechan con fruición la posibilidad de ejecutar en los PDF sus productos
en código JavaScript.
Plataformas
También en el primer semestre de 2009 los autores de programas maliciosos se concentran
en ordenadores con SO Windows como primera diana de sus ataques. Con un 99,3% del total,
vuelve a aumentar la proporción de programas maliciosos para Windows. Es muy raro encon-
trar software malicioso para otros sistemas operativos. En los sistemas basados en Unix apare-
cen 66 programas maliciosos (en comparación con 16 en el segundo semestre de 2009) y para
el sistema operativo Apple OSX se encontraron 15 nuevos programas dañinos. En el segundo
semestre de 2008 eran 6. Incluso al observarse una tendencia en aumento de los programas
maliciosos para otros sistemas operativos, esta cantidad, en comparación con la oleada de
programas maliciosos para Windows, es insignificante.
Perspectiva 2009
Los programas maliciosos seguirán constituyendo en los próximos meses una fuente de eleva-
dos ingresos. La economía cibercriminal está firmemente afianzada y los modelos de negocio
acreditados para spam, spyware y adware siguen llenando las arcas de los creadores, los propa-
gadores y los usuarios de programas maliciosos. Los éxitos ocasionales de las autoridades de
control no serán capaces de cambiar esta situación. Los usuarios de Windows seguirán estando
en la mira de los ciberdelincuentes.
La oleada de programas maliciosos sigue creciendo. Pero también es previsible que un número
cada vez menor de familias sea responsable de este aumento. Las tasas de crecimiento no
seguirán un desarrollo tan abrupto como el de los últimos años.
Vista la profesionalidad de la economía en la sombra, no es sorprendente que las brechas de
seguridad en el sistema operativo y en conocidas aplicaciones ya sean utilizadas por progra-
mas maliciosos a los pocos días de su publicación. En un intervalo muy breve estarán disponi-
bles para usuarios inexpertos unas herramientas de fácil operación para crear programas mali-
ciosos. El elemento más débil de la cadena es, actualmente, el navegador y sus componentes.
Aquí se encuentra y se utiliza la mayoría de los agujeros de seguridad. Los que no mantengan
su ordenador actualizado ofrecerán un amplio frente inerme a los ataques de los programas
maliciosos.
No obstante, también se sigue experimentando en otras plataformas. Aumentará el número de
programas maliciosos para Appel, Unix y los ordenadores portátiles. Pero no se espera un uso
desmesurado de estos programas.
Como muchas puertas de entrada de programas maliciosos están protegidas mediante tec-
nologías de seguridad, los atacantes prefieren actuar en los lugares más desprotegidos. Las
páginas web con sus numerosas aplicaciones ofrecen en la actualidad las mejores perspectivas
de éxito. Por tanto, es de esperar que este área sea utilizada también durante los próximos
meses con escenarios de ataque cada vez más novedosos y sofisticados. Aquí podrían utilizarse
en mayor medida medios subestimados hasta el momento, como flash o PDF. También au-
mentará seguramente el abanico de trucos que los estafadores usan para engañar a los usua-
rios de Internet al visitar una página web o ejecutar archivos. Sobre todo en las redes sociales
prevemos nuevas maniobras de engaño. Twitter ofrece aquí en la actualidad la mayoría de las
posibilidades.
Pronósticos
En los próximos meses contamos con que el número de programas maliciosos en redes socia-
les va a crecer. Con el aumento de usuarios aumenta también el atractivo para los difusores de
programas maliciosos.
Enero de 2009
05.01. Los usuarios del microblog Twitter son
atraídos mediante mensajes cortos especí-
fi cos a una página de registro fraudulenta
de ese servicio para robarles allí los datos
de acceso para futuras campañas de spam.
06.01. Twitter advierte: "Numerosas cuentas
hackeadas. Situación estable”. Los afecta-
dos han sido, entre otros, las cuentas de
Britney Spears y Barack Obama. En algu-
nos casos, se enviaron mensajes picantes
en nombre de las víctimas.
07.01. En la página de red social LinkedIn se colgaron falsos perfiles de famosos. Estos
perfiles contenían enlaces que remitían a antivirus fraudulentos o a una versión de
Windows Media Player infectada con un troyano. Personajes famosos víctimas de estos
actos: Victoria Beckham, Beyoncé Knowles, Salma Hayek y un largo etcetera.
08.01. En el Gobierno Federal del Land Austriaco de Carintia 3000 ordenadores fueron in-
fectados con el virus Conficker. Esto se debió a que la actualización de seguridad
publicada por Microsoft en octubre de 2008, creada con el fin de cerrar una brecha de
seguridad utilizada por Conficker, no se había ejecutado hasta el momento.
12.01. Conficker ataca en Carintia una vez más, esta vez en los hospitales de la Sociedad de
Sanidad Pública de Carintia, KABEG. De nuevo hay unos 3000 ordenadores afectados.
14.01. Las estimaciones parten de 2,5 millones de infecciones con Conficker. Por primera vez
se conoce que Conficker genera permanentemente nombres de dominio mediante un
algoritmo especial, con los que se establece contacto conforme al principio aleatorio.
El objetivo: Los atacantes han registrado previamente muchos de los dominios alea-
torios y pueden utilizarlos para cargar posteriormente otro código malicioso o para
proporcionar más instrucciones a los ordenadores infectados.
21.01. La epidemia Conficker sigue su ofensiva contra todos: Una gran parte de las autorida-
des militares británicas resulta afectada.
23.01. Una copia con troyano incluido del software de diseño y presentación de Apple,
iWork 09, circula por la red BitTorrent. Se calcula que unos 20.000 usuarios habrán
descargado la copia distribuida desde comienzos de mes.
25.01. La plataforma de búsqueda de empleo monster.com declara haber sido víctima de
un robo de datos. Los "ataques no autorizados" a la base de datos de la empresa han
tenido como consecuencia el robo de los datos de acceso, los nombres, los números
de teléfono y las direcciones de correo electrónico, así como algunos datos demográfi-
cos de los usuarios.
Febrero de 2009
01.02. Un agujero de seguridad permite poner fuera de servicio el control de cuentas del
usuario (UAC en inglés) de la versión beta de Windows 7 mediante un sencillo script.
De este modo, los atacantes están en disposición de insertar otros programas de soft-
ware malicioso en el sistema operativo sin que nadie se percate de ello.
02.02. Los atacantes manipulan la presencia en Internet del periódico Hamburger Abend-
blatt para infectar con software malicioso a los lectores de las noticias online.
04.02. Una página de registro fraudulenta de la red social wer-kennt-wen.de perteneciente
a la cadena alemana RTL captura los datos de acceso de sus usuarios.
08.02. Mediante un ataque Denial-of-Service distribuido a destinatarios específicos se parali-
zan temporalmente diversas páginas web de seguridad, como Metasploit, Milw0rm o
Packetstorm.
10.02. Tan sólo dos días tras el primer ataque, la presencia en Internet del proyecto Metas-
ploit vuelve a situarse en el punto de mira de un ataque de tipo DDoS. Los atacantes
varían la estrategia ofensiva varias veces.
12.02. Microsoft publica una recompensa de 250.000 dólares por la captura y penalización
del autor del gusano Conficker. Al mismo tiempo, el fabricante de software anuncia la
colaboración estrecha con el ICANN y las empresas de los principales servidores DNS
para atajar esta infección en plena fase de expansión.
14.02. Varios cientos de ordenadores del Ministerio de Defensa alemán caen presa del Con-
ficker.
17.02. Debido a una confi guración errónea del router en un proveedor de Internet checo
se pone gravemente en peligro la estabilidad de la transferencia de datos en algunas
partes de la Internet mundial.
23.02. Los investigadores de programas maliciosos analizan las variantes B y B++ del gusano
Confi cker y determinan que éstas, por su estructura modular, son capaces de actuar
con mucha mayor fl exibilidad que la variante A original.
25.02. Con ayuda de banners fl ash preparados, los atacantes distribuyen a través de la pági-
na web de la revista online eWeek y de otras páginas de Internet de la red Ziff -Davis,
documentos PDF que instalan un software antivirus fraudulento en los ordenadores de
las víctimas.
Marzo de 2009
01.03. Los investigadores de programas maliciosos descifran el algoritmo utilizado por Con-
ficker para generar nombres de dominio de un servidor de control. Este genera tam-
bién nombres ya utilizados. Durante el mes de marzo, los dominios legítimos jogli.com
(buscador especializado en música), wnsux.com (compañía aérea Southwest-Airlines),
qhfl h.com (red de mujeres china) y praat.org (análisis de audio) son atacados mediante
intentos de conexión desde ordenadores Confi cker.
04.03. Un equipo de especialistas del LKA Baden-Württemberg paraliza las actividades de
la plataforma de venta ilegal codesoft.cc, en la que se ponen a la venta troyanos e
información ilegal sobre el robo de datos y la falsifi cación de tarjetas de crédito.
09.03. Conficker utiliza un nuevo algoritmo, que en lugar de 250 dominios, ahora calcula
50.000 dominios al día. Además, en los ordenadores infectados fi nalizan procesos que
contienen determinadas cadenas de caracteres relacionadas con las herramientas de
análisis especializadas para combatir el gusano. Este elemento malicioso se defi ende
así activamente contra las medidas para atajar la epidemia.
12.03. Las investigaciones realizadas por la BBC británica permiten la toma el control de una
botnet que posee aprox.
22.000 ordenadores. Como
surgen críticas a la BBC a raíz
de este suceso, ésta declara
que las investigaciones van
en interés público y, por lo
tanto, cumplen las Directivas
de las Autoridades de Vigi-
lancia de Medios británicas
OFCOM. La cuestión de si
para tomar la botnet fue
necesario pagar un rescate
permanece sin respuesta por
Abril de 2009
01.04. Los intentos de actualización esperados de Conficker caen en saco roto. Parece que
los sistemas infectados establecen realmente el contacto esperado con determinados
dominios, pero, en ese momento, aún no hay allí actualizaciones disponibles.
09.04. Contra lo que se esperaba en un principio,Conficker no carga las actualizaciones a tra-
vés de los nombres de dominio generados por un algoritmo. En lugar de ello, recurre a
un mecanismo alternativo P2P y se comunica directamente con otros sistemas infecta-
dos. La nueva variante bloquea el acceso a determinadas páginas web de empresas de
antivirus, para dificultar el acceso a herramientas de eliminación especializadas.
12.04. Conficker carga el scareware "SpywareProtect2009“ desde un servidor ucraniano,
que lanza advertencias de virus falsos supuestamente existentes en el ordenador de la
víctima. Para eliminar los programas maliciosos de los que se advierte (e inexistentes,
en realidad) el usuario infectado debe abonar 49,95 dólares USA.
18.04. Los expertos en seguridad descubren indicios de una primera red de bots compues-
ta de ordenadores Apple. Por lo que parece, existe una relación entre las versiones
infectadas por troyanos del iWork 09 de Apple, aparecidas a comienzos de año en la
plataforma de intercambio BitTorent. Además se afirma que circula igualmente una
versión con troyano incluido de Adobe Photoshop CS4.
22.04. Se detecta la mayor botnet jamás descubierta en el mundo. Contiene casi dos
millones de PCs zombi infectados. Se sospecha que es operada por una banda de tan
sólo seis personas que gestionan en Ucrania el correspondiente servidor Command &
Control.
23.04. En la Internet rusa aparece un troyano que bloquea el acceso del usuario a su PC con
Windows y le exige el pago de un rescate para desbloquearlo. Los usuarios afectados
deben enviar un SMS a un número privado sumamente caro y reciben a continuación
un código de desbloqueo.
Mayo de 2009
07.05. Un estudio de la multinacional de telecomunicaciones BT descubre que los discos
duros de ocasión, a menudo no se borran totalmente antes de su venta a terceros y
que, a veces, pueden contener datos sumamente confi denciales. Al realizar una prueba
de compra de 300 discos duros usados se encontró, entre otros datos, información
confi dencial sobre pruebas de un sistema de defensa de cohetes norteamericano, así
como fotocalco azul de la empresa de equipamiento norteamericana Lockheed Martin.
08.05. Según un informe de la autoridad de vigilancia aérea de los Estados Unidos, la FAA,
en los últimos años ha ocurrido varias veces la penetración de hackers en sistemas
de vigilancia aérea. Esta plaga abarca desde el acceso ilegal a casi 50.000 registros
de datos personales de empleados de la FAA hasta la posibilidad de desconectar la
alimentación eléctrica de importantes servidores.
09.05. Paquetes de instalación falsos de una supuesta versión de Windows 7 contienen un
troyano que se activa durante la confi guración.
24.05. La Policía Criminal Alemana advierte del envío de correos electrónicos falsifi cados en
su nombre que requieren al destinatario el pago de una multa debido a una supuesta
denuncia policial por descarga ilegal de películas, software y archivos MP3.
Junio de 2009
03.06. Más de diez mil páginas web legítimas son víctimas de un ataque de hackers en
masa. Los visitantes de las páginas web manipuladas son reenviados a un servidor
ucraniano que distribuye exploits para Internet Explorer, Firefox y Quicktime.