martes, 12 de julio de 2011

Kaspersky Lab presenta el Top 20 de programas maliciosos detectados en junio

Los ciberdelincuentes usaron el servicio “en la nube” de Amazon para alojar y propagar un software malicioso

Si en mayo se detectaron antivirus falsos para Mac, ahora los delincuentes propagan un programa malicioso destinado a controlar el equipo a distancia


Madrid, 12 de julio de 2011 | Seguridad - Informatica | Gabinete de Prensa.

Kaspersky Lab, líder en el desarrollo de sistemas de protección contra software malicioso, ataques de hackers y spam, ha presentado el Top 20 de programas maliciosos detectados en junio de 2011. El primer mes del verano ha transcurrido con relativa tranquilidad. Podríamos decir que la situación cibercriminal del mes es la “clásica” y que los equipos de usuarios de Kaspersky Lab neutralizaron casi 250 millones de ataques de red y bloquearon alrededor de 69millones de intentos de infección mediante la web.

En estos últimos tiempos se habla mucho de los servicios “en la nube” ofrecidos por diferentes compañías. En junio los delincuentes usaron el servicio “en la nube” de Amazon para alojar y propagar un software malicioso, destinado a los usuarios de Brasil, capaz de robar datos de los clientes de 9 bancos en este país. Para aumentar sus posibilidades de éxito, el programa malicioso impide el correcto funcionamiento de los antivirus y los plug-in especiales que garantizan la seguridad de las operaciones bancarias online. Entre sus funcionalidades está el robo de certificados digitales y cuentas de Microsoft Live Messenger.

Los ciberestafadores rusos, además de emplear los típicos archivos falsos y troyanos bloqueadores que piden enviar SMS a números Premium para desbloquear el equipo, trataron de usar la posibilidad de ganar dinero “de la nada” mediante el sistema de dinero virtual BitCoins. En este sistema, para el proceso de emisión monetaria sólo se requiere usar la potencia del procesador por cierto tiempo. Los expertos de Kaspersky Lab han detectado un programa malicioso que, para empezar a generar el dinero virtual, lanza en el equipo de la víctima el fichero legal de BitCoins, “bcm.exe”. Este fichero está incrustado en el programa malicioso y se graba en el disco después de iniciarse. Pero la administración del sitio bloqueó de inmediato la cuenta del delincuente, donde se acumulaban las ganancias, por lo que éste no alcanzó a lucrar demasiado.

Los delincuentes no dejan en paz la plataforma Mac OS X. Si en mayo se detectaron antivirus falsos para esta plataforma, ahora los delincuentes propagan el programa Backdoor.OSX.Olyx.a. Este programa malicioso está destinado a controlar a distancia el equipo: los delincuentes pueden usar el sistema infectado para sus propios fines: descargar otros programas maliciosos, lanzar programas y ejecutar instrucciones del interpretador.

Las fuerzas del orden tuvieron también éxito en la lucha contra la delincuencia cibernética en diferentes países.

Algunas de las operaciones se llevaron a cabo de forma conjunta entre varios países. Así, en EE.UU. se puso fin a las actividades criminales de dos grupos internacionales que lucraban con la venta de antivirus falsos. Según apreciaciones preliminares, el daño causado por sus actividades ascendió a 74 millones de dólares.

Además de los servicios de inteligencia, tomaron parte en la operación las policías de Alemania, Francia, Holanda, Suecia, Inglaterra, Rumania, Canadá, Ucrania, Lituania, Letonia y Chipre.

En Rusia, acusado de organizar ataques DDoS contra un servicio de la competencia, se arrestó a Pável Vrublésky, propietario del centro de procesamiento ChronoPay, el más grande de Rusia. Hay que mencionar otro importante acontecimiento en el campo de la lucha contra la delincuencia informática, esta vez en el ámbito legislativo: en junio el parlamento japonés adoptó una serie de enmiendas a las leyes existentes, asignando penas de cárcel por la creación y propagación de programas maliciosos.

El infector Nimnul

Este programa malicioso entró por primera vez al TOP 20 en mayo y en dos meses ha subido desde el último puesto hasta el 11. Es algo fuera de lo común, si se tiene en cuenta que los virus que infectan ficheros están desapareciendo poco a poco. Actualmente los delincuentes prefieren usar programas protegidos por empaquetadores polimórficos (así garantizan la singularidad de cada programa malicioso empaquetado). Y es que usar virus para ficheros ha dejado de tener ventajas: es bastante difícil desarrollarlos y mantenerlos, pero es relativamente fácil detectarlos en el sistema.

El virus Nimnul.a infecta los ficheros ejecutables, agregando una sección “.text” al final del fichero y modificando el punto de entrada. Después de iniciarse, cualquier fichero infectado verifica la presencia del identificador único del virus en el sistema operativo (Mutex). La presencia del objeto Mutex significa que otro fichero infectado ya está funcionando en el sistema operativo. En este caso, el virus solo inicia la aplicación original. En cambio, si no se detecta el Mutex buscado, se creará el objeto sincronizador analizado y después se grabará en el disco duro el principal componente de Nimnul. Este componente escribe en el disco varias bibliotecas maliciosas más.

El programa malicioso roba los ficheros personales de configuración de los navegadores populares, se conecta a un servidor remoto y tiene la capacidad de suplantar páginas web.

El virus se propaga mediante medios extraíbles con la ayuda de autorun.inf y de los ficheros infectados. Es interesante la región habitada por este virus: India, Indonesia, Bangladesh y Vietnam. En estos países está el mayor porcentaje de usuarios de KSN, en cuyos equipos se han detectado programas maliciosos:

Bangladesh, 85,76%; India, 65,27%,; Indonesia, 59,51% y Vietnam, 54,16%. Es evidente que los usuarios de estos países no prestan suficiente atención a la seguridad informática y usan versiones del sistema operativo Windows sin sus correspondientes parches. En efecto, el 8 de febrero de 2011 Microsoft publicó una actualización que deshabilita el inicio automático de programas desde unidades extraíbles.

No hay comentarios: