Kaspersky Lab ha presentado dos nuevas listas ‘Top20’ sobre malware. Para su elaboración se han utilizado los datos recogidos por el sistema Kaspersky Security Network (KSN) durante agosto de 2009.
En la primera lista se enumeran los programas maliciosos, publicitarios y potencialmente peligrosos detectados y neutralizados por el escáner "on access" de los productos de Kaspersky Lab.
Según esta tabla, comprobamos que Net-Worm.Win32.Kido.ih y Virus.Win32.Sality.aa han conservado sus posiciones. Por otro lado, en la primera lista de agosto han aparecido al mismo tiempo seis "novatos", algunos de los cuales son dignos de interés. El más interesante es Virus.Win32.Induc.a, sobre el cual ya hemos escrito varias veces en nuestras notas de prensa y weblog . Virus.Win32.Induc.a se reproduce usando un mecanismo de dos pasos para crear sus ficheros ejecutables, todo en Delphi: primero, el código inicial de las aplicaciones se compila en módulos .dcu intermedios, a partir de los cuales se generan ficheros ejecutables para Windows. Teniendo en cuenta que muchos programas se infectan con este virus ya en la etapa de compilación, no nos sorprende que este virus haya aparecido de repente en el décimo lugar de la lista.
Más arriba, en el tercer lugar, tenemos otro nuevo programa - not-a-virus:AdWare.Win32.Boran.z - que es un componente del panel de instrumentos Baidu Toolbar para Internet Explorer, muy popular en China. En éste se utilizan diferentes tecnologías rootkit para hacer que sea más difícil eliminar el panel por medio de los métodos estándar.
Trojan.Win32.Swizzor.b y Packed.Win32.Katusha.b, que ocupan los lugares 14 y 15, son nuevas versiones de programas nocivos que ya estuvieron presentes en nuestra clasificación. Estas nuevas versiones se diferencian de las anteriores por usar métodos muy extravagantes y perfeccionados para encubrir el código.
El gusano P2P-Worm.Win32.Palevo.ddm ha sido reemplazado por su pariente, Palevo.jaj, que ocupa la última posición de la lista. Hay que reconocer que es un programa malicioso bastante peligroso: además de propagarse por redes P2P, infecta medios extraíbles y se difunde por sistemas de mensajería instantánea. Como si esto fuera poco, también cuenta con impresionantes funciones de “puerta trasera” (backdoor) que le proporcionan al delincuente un acceso flexible a la administración de los equipos infectados.
Por lo demás, observamos que la primera lista goza de cierta estabilidad, sobre todo si la comparamos con la segunda tabla, que refleja los datos obtenidos como resultado del funcionamiento del escáner online, y que da una idea de la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y aquellos que intentaron descargarse desde páginas web.
| Posición | Cambios en la posición | Programma nocivo | Cantidad de páginas web infectadas |
| 1 |  New | not-a-virus:AdWare.Win32.Boran.z | 16760 |
| 2 |  1 | Trojan-Downloader.HTML.IFrame.sz | 5228 |
| 3 | New | Trojan.JS.Redirector.l | 4693 |
| 4 |  -3 | Trojan-Downloader.JS.Gumblar.a | 4608 |
| 5 | New | Trojan-Clicker.HTML.Agent.w | 4564 |
| 6 | New | Exploit.JS.DirektShow.k | 4475 |
| 7 |  0 | Trojan-GameThief.Win32.Magania.biht | 4416 |
| 8 | -4 | Trojan-Downloader.JS.LuckySploit.q | 3416 |
| 9 | -7 | Trojan-Clicker.HTML.IFrame.kr | 3323 |
| 10 | -4 | Trojan-Downloader.JS.Major.c | 2688 |
| 11 | New | Exploit.JS.Sheat.c | 2684 |
| 12 | New | Trojan-Downloader.JS.FraudLoad.d | 2553 |
| 13 | -4 | Trojan-Clicker.HTML.IFrame.mq | 2367 |
| 14 | -3 | Trojan.JS.Agent.aat | 2246 |
| 15 | -3 | Exploit.JS.DirektShow.j | 2128 |
| 16 | New | Trojan-Downloader.JS.IstBar.bh | 1973 |
| 17 | New | Trojan-Downloader.JS.Iframe.bmu | 1933 |
| 18 | New | Exploit.JS.DirektShow.l | 1838 |
| 19 | New | Exploit.JS.DirektShow.q | 1753 |
| 20 | New | Trojan-Downloader.Win32.Agent.ckwd | 1504 |
Más de la mitad de segunda lista del TOP 20 son ejemplos nuevos del trabajo creativo de los cibercriminales.
En el primer lugar continúa estando not-a-virus:AdWare.Win32.Boran.z, ya mencionado más arriba. Hace un mes escribimos sobre una vulnerabilidad en Internet Explorer, cuyo exploit es detectado por nuestro antivirus como Exploit.JS.DirektShow. Entonces, en la lista estaban presentes tres modificaciones de este exploit: .a, .j y .o. Pero ahora vemos en la lista cuatro versiones: esto significa que este exploit conserva su popularidad. Es probable que los delincuentes supongan que muchos usuarios todavía no han instalado el parche correspondiente y persistan en sus intentos de atacar al sistema a través de esta brecha.
Otra vulnerabilidad, pero esta vez en Microsoft Office también ha sido muy utilizada por los delincuentes. Una de las modificaciones del exploit para esta vulnerabilidad, que detectamos como Exploit.JS.Sheat, ocupa el décimo primer lugar en la lista.
En Internet existe una gran cantidad de páginas web dedicadas a propagar falsos antivirus. Uno de los scripts que permiten hacerlo ocupa el décimo segundo lugar de nuestra lista. Kaspersky Anti-Virus lo detecta como Trojan-Downloader.JS.FraudLoad.d. Al visitar la página web que contiene el scrip, los usuarios reciben una notificación de que su equipo supuestamente está infectado por múltiples programas maliciosos y se les propone eliminarlos. Si el usuario acepta, en realidad descarga un antivirus falso, FraudTool en nuestra clasificación.
La función de caballo de troya de Redirector.1 consiste en que remite las solicitudes de búsqueda del usuario a determinados servidores, con el objetivo de hacer aumentar la cantidad de clics de visitantes. En cambio, Iframe.bmu es un típico contenedor que integra una serie de diferentes exploits, en este caso para los productos de Adobe.
Respecto a las regiones más afectadas, estos son los países donde se han registrado más intentos de infectar ordenadores a través de la web:
Las tendencias observadas en julio siguen vigentes: los delincuentes continúan usando activamente las vulnerabilidades de los programas populares. También siguen propagándose activamente los falsos antivirus y los triviales clickers iframe. Esto nos da razones para suponer que la situación continuará en la misma línea, ya que todos estos esquemas son lucrativos para los delincuentes.
(China)
(Japan)
(Korea)
