En agosto se registró un significativo aumento de exploits para la vulnerabilidad CVE-2010-2568. El gusano Worm.Win32.Stuxnet, que tuvo una notable aparición a fines de julio, apunta a esta vulnerabilidad, al igual que el programa Trojan-Dropper, e instala la más reciente variante del virus Sality: Virus.Win32.Sality.ag. No resulta sorprendente que los blackhats se hayan aprovechado tan rápidamente de esta reciente vulnerabilidad en la versión más popular de Windows. Pero el 2 de agosto Microsoft publicó el parche MS10-046para esta vulnerabilidad. Esta actualización se clasificó como “Crítica”, es decir, que debía instalarse lo antes posible en todos los equipos con el sistema operativo vulnerable.
Programas maliciosos detectados en ordenadores de los usuarios
La primera clasificación de los Top 20 que aparece a continuación incluye malware, adware y programas potencialmente indeseables que se detectaron y neutralizaron mediante un análisis on-accessal acceder a ellos por primera vez.
| Posición | Cambio en posición | Nombre | Número de ordenadores infectados |
| 1 |  0 | Net-Worm.Win32.Kido.ir | 280087 |
| 2 | 0 | Virus.Win32.Sality.aa | 172770 |
| 3 | 0 | Net-Worm.Win32.Kido.ih | 153825 |
| 4 | 0 | Net-Worm.Win32.Kido.iq | 107156 |
| 5 |  1 | Trojan.JS.Agent.bhr | 106796 |
| 6 |  -1 | Exploit.JS.Agent.bab | 90465 |
| 7 | 0 | Worm.Win32.FlyStudio.cu | 75394 |
| 8 | 0 | Virus.Win32.Virut.ce | 68010 |
| 9 |  new | Exploit.Win32.CVE-2010-2568.d | 52193 |
| 10 | -1 | Trojan-Downloader.Win32.VB.eql | 48440 |
| 11 | new | P2P-Worm.Win32.Palevo.arxz | 42145 |
| 12 | new | Exploit.Win32.CVE-2010-2568.b | 40385 |
| 13 | -3 | Worm.Win32.Mabezat.b | 38252 |
| 14 | new | Worm.Win32.VBNA.b | 37461 |
| 15 | new | AdWare.WinLNK.Agent.a | 37240 |
| 16 | new | Virus.Win32.Sality.ag | 36144 |
| 17 | new | Trojan-Dropper.Win32.Sality.r | 32352 |
| 18 | new | Trojan.Win32.Autoit.ci | 31391 |
| 19 | -8 | Trojan-Dropper.Win32.Flystud.yo | 29475 |
| 20 | new | Packed.Win32.Krap.ao | 29309 |
Tal como sucedió en julio, la mitad superior de la clasificación permanece prácticamente invariable, con excepción de algunos cambios menores.
Kido (conocido también como Conficker) permanece en el primer, tercero y cuarto lugares, mientras que los virulentos Virus.Win32.Virut.ce (8o) y Virus.Win32.Sality.aa (2o) también mantuvieron sus posiciones.De la misma manera, Trojan.JS.Agent.bhr (5o) y Exploit.JS.Agent.bab (6o) mantuvieron sus posiciones, habiendo apenas intercambiado lugares.
Las estadísticas de julio mostraron una nueva vulnerabilidad en los accesos directos LNK de Windows, que después se llamó CVE-2010-2568.Como era de esperar, los ciberdelincuentes comenzaron a explotar activamente esta vulnerabilidad: las estadísticas de agosto incluyen tres piezas de malware que, de una u otra manera, están vinculadas con la vulnerabilidad CVE-2010-2568.Dos de éstas, Exploit.Win32.CVE-2010-2568.d (9o) y Exploit.Win32.CVE-2010-2568.b (12o), explotan directamente la vulnerabilidad, mientras que la tercera, Trojan-Dropper.Win32.Sality.r (17o), la usa para propagarse. Genera accesos directos LNK vulnerables con nombres muy llamativos, y los propaga a través de las redes locales.El malware se ejecuta cuando el usuario abre una carpeta que contiene uno de estos accesos directos.La principal función de Trojan-Dropper.Win32.Sality.r es instalar la última modificación de Virus.Win32.Sality.ag (16o)
El código Trojan-Dropper.Win32.Sality.r muestra los nombres de los accesos directos creados por el malware
Resulta curioso que ambos exploits parala vulnerabilidad CVE-2010-2568, incluidos en la clasificación, se localicen principalmente en Rusia, India y Brasil. Mientras que India es la fuente primaria del gusano Stuxnet (primer programa malicioso en apuntar a esta vulnerabilidad), no queda clara la participación de Rusia.
La distribución geográfica de Trojan-Dropper.Win32.Sality.r coincide con la de los exploits.
Distribución geográfica de Exploit.Win32.CVE-2010-2568.d
Otro nuevo participante en esta clasificación es, esta vez, el programa adwareAdWare.WinLNK.Agent.a (15o). Se trata de un acceso directo que, al ejecutarse, conduce al usuario a una URL especificada en un enlace publicitario. Varios programas adware instalan este acceso directo.
Trojan.Win32.Autoit.ci, un nuevo representante de la familia de programas maliciosos que usan el lenguaje de scripts Autolt, apareció en agosto en la clasificación, ocupando la 18a posición.Entre los recién llegados están los que incluyen una nueva modificación del gusano Palevo P2P: P2P-Worm.Win32.Palevo.arxz (11o). Ambas familias de programas maliciosos, que ya fueron tratadas en anteriores informes, contienen una amplia carga maliciosa, incluyendo funciones de autoejecución, la habilidad de descargar y ejecutar otros programas maliciosos, y la de propagarse en redes locales.
La clasificación también incluye dos compresores maliciosos: Packed.Win32.Krap.ao (20o), que aparece por primera vez, y Worm.Win32.VBNA.b (14o), que ya apareció en la clasificación de junio. Ambos programas se usan para evitar que las soluciones de seguridad detecten malware, y para comprimir prácticamente cualquier tipo de malware, desde antivirus rogue (falsos programas antivirus) hasta complejos backdoors, como Backdoor.Win32.Blakken.
Programas maliciosos que circulan en Internet
La segunda lista Top 20 que mostramos a continuación ofrece información generada por el componente antivirus y refleja el escenario de las amenazas que circulan en Internet. Esta tabla incluye malware y programas potencialmente indeseables detectados en páginas web o descargados en equipos cautivos desde páginas web.
| Posición | Cambio en posición | Nombre | Número de descargas intentadas |
| 1 | new | Trojan-Downloader.Java.Agent.ft | 135755 |
| 2 | -1 | Exploit.JS.Agent.bab | 127561 |
| 3 | 9 | Exploit.HTML.CVE-2010-1885.a | 85502 |
| 4 | 2 | Trojan.JS.Agent.bhr | 67061 |
| 5 | 4 | AdWare.Win32.FunWeb.ds | 60129 |
| 6 | new | Exploit.HTML.CVE-2010-1885.c | 57988 |
| 7 | new | AdWare.Win32.FunWeb.di | 50928 |
| 8 | -4 | AdWare.Win32.FunWeb.q | 50504 |
| 9 | new | Exploit.HTML.HCP.b | 46874 |
| 10 | -6 | Exploit.Java.CVE-2010-0886.a | 45844 |
| 11 | -5 | Trojan-Downloader.VBS.Agent.zs | 37578 |
| 12 | 8 | Trojan.JS.Redirector.cq | 37479 |
| 13 | new | Trojan-Clicker.JS.Iframe.fq | 35181 |
| 14 | 5 | AdWare.Win32.FunWeb.ci | 33073 |
| 15 | new | Exploit.Java.CVE-2010-0094.a | 30062 |
| 16 | new | Exploit.JS.Pdfka.cop | 29588 |
| 17 | new | Exploit.HTML.CVE-2010-1885.d | 28396 |
| 18 | new | Exploit.JS.CVE-2010-0806.b | 26990 |
| 19 | new | AdWare.Win32.FunWeb.fb | 26350 |
| 20 | new | Exploit.HTML.CVE-2010-1885.b | 25820 |
En comparación a los últimos meses, hay relativamente pocos debutantes (diez en total) en la clasificación de agosto, y todos son modificaciones de exploits que apuntan a vulnerabilidades ya conocidas.En general, la clasificación de este mes incluye doce exploits que apuntan a seis vulnerabilidades diferentes.
Este mes, los ciberdelincuentes se concentraron en la vulnerabilidad CVE-2010-1885.Cinco exploits de la clasificación apuntan a esta vulnerabilidad: Exploit.HTML.CVE-2010-1885.a (3o), Exploit.HTML.CVE-2010-1885.c (6o), Exploit.HTML.HCP.b (9o), Exploit.HTML.CVE-2010-1885.d (17o) y Exploit.HTML.CVE-2010-1885.b (20o).Al contrario, la clasificación de julio solo incluía uno de estos exploits.La vulnerabilidad CVE-2010-1885 está asociada con un error en Windows Help y Support Center que posibilita ejecutar códigos maliciosos en los sistemas operativos Windows XP y Windows 2003.Es posible que la popularidad de estas dos versiones de sistemas operativos fuera la causa del creciente número de exploits.
La vulnerabilidad CVE-2010-0806 ha sido tan explotada como la CVE-20100-1885; la clasificación incluye tres diferentes exploits que apuntan a esta vulnerabilidad.Dos de ellos son scripts que ya han sido tratados en anteriores informes: Exploit.JS.Agent.bab (2o) y Trojan.JS.Agent.bhr (4o). La última adición es Exploit.JS.CVE-2010-0806.b (18o).
Otros tres exploits de esta clasificación apuntan a vulnerabilidades en programas que usan el motor Java.En primer lugar se encuentraTrojan-Downloader.Java.Agent.ftque explota la vulnerabilidad CVE-2009-3867 (bastante antigua; ya fue tratada en el informe de mayo).Exploit.Java.CVE-2010-0886.a (10o), que explota la vulnerabilidad CVE-2010-0886, se ha mantenido en la clasificación desde el mes pasado. Llama la atención que la vulnerabilidad CVE-2010-0094 se detectara ya en abril de este año, y que el exploit apareciera solo en agosto. Exploit.Java.CVE-2010-0094.a (5o) llama sucesivamente a varias funciones que terminan ejecutando el código malicioso.
Fragmento de Exploit.Java.CVE-2010-0094.a
En agosto, sólo los ciberpiratas de países desarrollados, como EE.UU., Alemania y Reino Unido usaron este exploit.Quizás esto se deba a que los programas que usan Java sean populares en estos países.
Distribución geográfica de Exploit.Java.CVE-2010-0094.a
Exploit.JS.Pdfka.cop (16o) es otro exploit, esta vez uno muy estándar, que se caracteriza por utilizar las peculiaridades de los documentos PDF para ejecutar códigos maliciosos.
Trojan-Clicker.JS.Iframe.fq (13o) es una nueva adición, y cae en la categoría de scripts maliciosos que desvían a la víctima a un vínculo malicioso mediante la etiqueta HTML “<iframe>”.Otros dos scripts maliciosos son Trojan-Downloader.VBS.Agent.zs (11o) y Trojan.JS.Redirector.cq (12o); ambos ya fueron tratados en el informe del mes pasado.
Los programas Adwareson más populares que nunca. AdWare.Win32.FunWeb ha superado a Shopper.l y Boran.z, sus competidores en julio. Cinco representantes de la familia FunWeb estuvieron presentes en la clasificación de agosto.Tres de estas modificaciones (“ds”, “ci”, “q”, en 5a, 14a y 8a posiciones, respectivamente)ya estuvieron en la clasificación de julio, mientras que “fb” y “di” (19o y 7o) lograron por primera vez figurar en la clasificación en agosto.
(China)
(Japan)
(Korea)
