02 julio 2005

Top virus y malwares de Junio

Este mes la lista de los 10 especímenes con más infecciones está compuesto por tres gusanos, cuatro troyanos, un exploit, un virus, y un script de Visual Basic. La infección más extendida es el exploit Mhtredir.gen, al igual que en los dos meses anteriores. Es un exploit que trata de aprovecharse de vulnerabilidades no cubiertas en los equipos a los que ataca, por lo que para evitarlo, es importante mantener el equipo convenientemente actualizado. Este ranking ha sufrido pocas variaciones con respecto a Mayo, salvo por la entrada de una variante del troyano Mitglieder, DC, que tuvo una importante difusión (asociada a otro troyano, Downloader.CYB), y dos especies de malware, relacionadas con casos de fraude electrónico.

La inclusión de este malware, el troyano Citifraud.A y el virus Smitfraud.A, entre los más detectados en el último mes, viene a confirmar la tendencia, cada vez más acusada, de obtener una renta como premio a sus acciones. Smitfraud.A es un componente del adware homónimo, que intercepta todas las acciones de envío de información del navegador, registrando los hábitos de navegación del usuario, e incluso descargando y ejecutando un supuesto programa antispyware en el ordenador, para luego extorsionar al usuario a que lo compre. Citifraud.A está orientado al robo de información bancaria de los usuarios afectados, fenómeno denominado phishing. Para ello, este malware consiste en un archivo HTML que consiste en un vínculo a una página web maliciosa que es una imitación de la página del banco. Además, el hecho de utilizar una vulnerabilidad en el explorador, le permite falsear la dirección web que se muestra en la barra de direcciones del navegador, simulando ser la del propio banco.

Otra herramienta para la obtención de beneficio económico son los bots, que tienen presencia en este ranking por medio de Gaobot y SDBot.ftp (un script para el bot homónimo). Este tipo de malware es usado para abrir puertas traseras en los equipos afectados, aprovechando vulnerabilidades, y esperando órdenes, a menudo por medio de IRC. Esto permite crear las llamadas “redes de bots”, organizaciones de este tipo de malware que pueden ser posteriormente usados para llevar a cabo ataques coordinados, envío de publicidad, spam, y demás, y que son “alquiladas” por sus creadores.

Además, es reseñable la permanencia de Netsky.P, un gusano que data de hace más de un año, pero que pese a ello no desciende en su tasa de infecciones. Éste aprovecha, entre otras, la vulnerabilidad que permite ejecutarse a adjuntos con sólo utilizar la vista previa en el cliente de correo. Para evitar la entrada de este tipo de malware, es importante recordar no abrir ficheros adjuntos a no ser que éstos procedan de una fuente de absoluta confianza, y aún en ese caso, descartar mensajes que no se correspondan con lo “habitual” para dicha persona (mensajes en inglés, temas extraños teniendo en cuenta la procedencia, etc...).

La lista completa de virus, gusanos y troyanos es la siguiente:

Malware % de infecciones
Exploit/Mhtredir.gen 2,64
W32/Sdbot.ftp 2,23
W32/Netsky.P.worm 2,14
Trj/Qhost.gen 2,13
W32/Gaobot.gen.worm 1,25
VBS/Psyme.C 1,11
Trj/Small.GV 1,08
Trj/Mitglieder.DC 1,01
Trj/Citifraud.A 0,87
W32/Smitfraud.A 0,85

Además de la clasificación anterior, se elabora también, y por separado, un ranking de infecciones por spyware, un tipo de malware diseñado para recopilar datos sobre los hábitos de navegación, y tendencias del usuario, que se remiten a los propios creadores del malware o son vendidos a terceros, normalmente generadores de correo basura.

La clasificación del spyware más extendido en este último mes, es la siguiente:

Spyware % de Infecciones

Spyware/ISTbar 3,48
Spyware/Cydoor 3,1
Spyware/New.net 2,88
Spyware/XXXToolbar 2,48
Spyware/Dyfuca 0,95
Spyware/BetterInet 0,82
Spyware/Petro-Line 0,77
Spyware/Altnet 0,67
Spyware/BargainBuddy 0,67
Spyware/MarketScore 0,51

El spyware más detectado, como en los dos meses anteriores, es ISTbar, un punto de entrada para otro malware en el equipo, ya que se instala camuflado como un control ActiveX, que, a su vez, instala otro tipo de malware de este género: spyware, adware o dialers, mostrando además ventanas emergentes con contenido pornográfico, instala una barra de herramientas, y cambia la página de inicio del navegador. Las posiciones en este ranking de detecciones han permanecido prácticamente estables desde el mes pasado, con la excepción de la entrada del spyware MarketScore, encargado del registro de las actividades del usuario en Internet, para enviarlo a empresas de publicidad de medios electrónicos.