Kaspersky Lab ha presentado dos nuevas listas ‘Top20’ sobre malware. Para su elaboración se han utilizado los datos recogidos por el sistema Kaspersky Security Network (KSN) durante septiembre de 2009.
Este mes, en general, los porcentajes de nuestras dos listas TOP20 se han reducido un poco; hecho relacionado con el lanzamiento de nuestra nueva línea de productos Kaspersky Internet Security 2010 y Kaspersky Anti-Virus 2010, ya que muchos usuarios han empezado a utilizar la nueva versión.
| Posición |
Cambios en la posición |
Programma nocivo |
Cantidad de equipos infectados |
| 1 |
 0 |
Net-Worm.Win32.Kido.ih |
41033 |
| 2 |
0 |
Virus.Win32.Sality.aa |
18027 |
| 3 |
0 |
not-a-virus:AdWare.Win32.Boran.z |
12470 |
| 4 |
 Nuevo |
Net-Worm.Win32.Kido.ir |
11384 |
| 5 |
 -1 |
Trojan-Downloader.Win32.VB.eql |
6433 |
| 6 |
-1 |
Trojan.Win32.Autoit.ci |
6168 |
| 7 |
 3 |
Virus.Win32.Induc.a |
5947 |
| 8 |
-2 |
Virus.Win32.Virut.ce |
5433 |
| 9 |
Nuevo |
P2P-Worm.Win32.Palevo.jdb |
5169 |
| 10 |
-2 |
Net-Worm.Win32.Kido.jq |
4288 |
| 11 |
Nuevo |
Worm.Win32.FlyStudio.cu |
4104 |
| 12 |
-5 |
Worm.Win32.AutoRun.dui |
4071 |
| 13 |
-4 |
Virus.Win32.Sality.z |
4056 |
| 14 |
6 |
P2P-Worm.Win32.Palevo.jaj |
3564 |
| 15 |
-4 |
Worm.Win32.Mabezat.b |
2911 |
| 16 |
Nuevo |
Exploit.JS.Pdfka.ti |
2823 |
| 17 |
Nuevo |
Trojan-Downloader.WMA.Wimad.y |
2544 |
| 18 |
0 |
Trojan-Dropper.Win32.Flystud.yo |
2513 |
| 19 |
Nuevo |
P2P-Worm.Win32.Palevo.jcn |
2480 |
| 20 |
Nuevo |
Trojan.Win32.Refroso.bpk |
2387 |
El popular Kido todavía continúa activo. Aparte de Kido.ih, que ha sido el líder de las estadísticas mensuales recientes, nos encontramos con un novato más: Kido.ir. Bajo este nombre se detectan todos los ficheros autorun.inf que el gusano crea para propagarse mediante dispositivos extraíbles.
Por su parte, el gusano Palevo se está difundiendo con bastante rapidez y, en el TOP20 de septiembre, vemos que aparecen dos nuevas versiones de este programa malicioso: Palevo.jdb y Palevo.jcn. Asimismo, el novato del TOP20 anterior -Palevo.jaj- ha escalado seis posiciones, algo que hasta ahora ningún programa malicioso había podido hacer. Vale decir que estos programas maliciosos han logrado ocupar tan altas posiciones gracias a que se propagan usando medios extraíbles, lo que convierte este tipo de medio de expansión en uno de los más efectivos hasta el momento.
Otro hecho que ratifica este argumento es que el gusano de procedencia china FlyStudio.cu también se ha propagado a través de medios extraíbles. Por lo demás, este programa malicioso cuenta con las funciones backdoor más populares hoy en día.
Entre los recién llegados hay una nueva versión del descargador multimedia Wimad, Trojan-Downloader.WMA.Wimad.y, que ya había sido identificado en nuestras listas anteriores. A grandes rasgos, la nueva versión no se diferencia de sus predecesores: al iniciarse, envía una solicitud para descargar un fichero malicioso. En este caso se trata de not-a-virus:AdWare.Win32.PlayMP3z.a.
Más adelante daremos algunos detalles de otro debutante (Exploit.JS.Pdfka.ti), ya que también es parte de la segunda lista TOP20.
Para resumir, podemos identificar en la primera tabla un grupo sobresaliente por su tendencia a ir aumentando su influencia: el compuesto por los programas maliciosos capaces de propagarse por sí mismos.
| Posición |
Cambios en la posición |
Programma nocivo |
Número de tentativas de descarga |
| 1 |
0 |
not-a-virus:AdWare.Win32.Boran.z |
17624 |
| 2 |
1 |
Trojan.JS.Redirector.l |
16831 |
| 3 |
-1 |
Trojan-Downloader.HTML.IFrame.sz |
6586 |
| 4 |
Nuevo |
Exploit.JS.Pdfka.ti |
3834 |
| 5 |
Nuevo |
Trojan-Clicker.HTML.Agent.aq |
3424 |
| 6 |
4 |
Trojan-Downloader.JS.Major.c |
2970 |
| 7 |
-3 |
Trojan-Downloader.JS.Gumblar.a |
2583 |
| 8 |
Nuevo |
Exploit.JS.ActiveX.as |
2434 |
| 9 |
-1 |
Trojan-Downloader.JS.LuckySploit.q |
2224 |
| 10 |
-3 |
Trojan-GameThief.Win32.Magania.biht |
1627 |
| 11 |
Nuevo |
Exploit.JS.Agent.ams |
1502 |
| 12 |
4 |
Trojan-Downloader.JS.IstBar.bh |
1476 |
| 13 |
Nuevo |
Trojan-Downloader.JS.Psyme.gh |
1419 |
| 14 |
Nuevo |
Exploit.JS.Pdfka.vn |
1396 |
| 15 |
 Retorno |
Exploit.JS.DirektShow.a |
1388 |
| 16 |
-10 |
Exploit.JS.DirektShow.k |
1286 |
| 17 |
Retorno |
not-a-virus:AdWare.Win32.Shopper.l |
1268 |
| 18 |
Retorno |
not-a-virus:AdWare.Win32.Shopper.v |
1247 |
| 19 |
Nuevo |
Trojan-Clicker.JS.Agent.jb |
1205 |
| 20 |
Nuevo |
Exploit.JS.Sheat.f |
1193 |
Como siempre, en la segunda lista TOP20 hay muchas novedades.
Lo primero que vemos es que hay dos representantes de la familia Exploit.JS.Pdfka. Con este nombre se detectan los ficheros de JavaScript que se encuentran dentro de los documentos PDF y que usan diferentes vulnerabilidades en los productos de Adobe (en este caso, Adobe Reader).
Pdfka.ti usa una popular vulnerabilidad detectada hace dos años en la función Collab.collectEmailInfo (cve.mitre.org).
Pdfka.vn usa una vulnerabilidad más reciente; la de la función getIcon del mismo objeto Collab (cve.mitre.org).
Los delincuentes tratan de utilizar las múltiples vulnerabilidades de los productos Adobe detectadas en los últimos años, sin importar la versión del producto, para aumentar las probabilidades de descargar programas maliciosos en los equipos de los usuarios. El motivo de esto se basa en el hecho de que hay un porcentaje de usuarios que no actualiza sus programas. Por esta razón, una vez más recomendamos actualizar los programas más populares. En este caso, los producidos por la compañía Adobe.
Los héroes de nuestras anteriores publicaciones, Exploit.JS.DirekShow y Exploit.JS.Sheat todavía siguen activos: vemos que ha regresado DirektShow.a y que Sheat.f ha aparecido en la lista.
Los demás novatos de la segunda tabla son triviales iframe-clickers o partes de un script malicioso (ver la lista de julio para más detalles www.kaspersky.com/it/news).
En resumen, observamos que se conservan las tendencias de los meses anteriores: sigue creciendo la cantidad de los paquetes web de programas maliciosos que utilizan todo tipo de vulnerabilidades presentes en los grandes productos de software, lo que les abre las puertas a los delincuentes en el futuro. Su propagación se ve favorecida por los primitivos iframe-clickers ubicados en sitios web legítimos, pero infectados. Los delincuentes han obtenido acceso a estos sitios web gracias a las infecciones llevadas por los programas maliciosos que roban datos confidenciales. Y con esto el círculo vicioso se cierra una vez más.
Respecto a las regiones más afectadas, estos son los países donde se han registrado más intentos de infectar ordenadores a través de la web:
(China)
(Japan)
(Korea)
