Informe General de Amenazas

Transcripción

1 Protegemos su Mundo Digital Informe General de Amenazas

2

3 ESET - Informe General de Amenazas del Llegamos al cierre de otro año en el que a muy pocas personas se les puede haber pasado por alto las plagas de códigos maliciosos, la cantidad desbordante de correos electrónicos fraudulentos y la creciente corrupción de nuestro mundo en línea, que han convertido al año 2007 en uno de los más extraordinarios de la historia del malware. Desde la fundación de ESET en 1992, surgieron muchos tipos de amenazas, evolucionaron y, en ciertos casos, volvieron a desaparecer. El 2007 no fue una excepción; como empresa, hemos tenido que crecer y evolucionar para encontrar formas innovadoras de combatir esas amenazas. Para cerrar este año emocionante quizá demasiado emocionante en algunos aspectos decidimos hacer una retrospectiva para reflexionar sobre los retos y triunfos de los últimos meses. ESET cuenta con una base de datos única para explotar y analizar, recopilados a través de nuestra tecnología ThreatSense.Net, que reúne información sobre amenazas de códigos maliciosos, en particular sobre nuevas amenazas detectadas por heurística. La información es enviada por nuestros clientes (con su consentimiento explícito, por supuesto) a nuestro Laboratorio de Amenazas. Este proceso nos permite reconocer las nuevas amenazas instantáneamente y recopilar estadísticas sobre la efectividad de nuestra detección. De este modo, logramos obtener un panorama completo del malware en constante evolución en el mundo real. ThreatSense.Net no sólo nos permite mejorar constantemente nuestros productos por medio del análisis de datos, alcanzando una detección perfeccionada, sino que también nos permite compartir nuestra perspectiva de las tendencias y avances del año con el resto del mundo. Es evidente que el nuevo año nos presentará más desafíos. Pero hay una tendencia clara: al momento de lidiar con las enormes cantidades de códigos maliciosos y la rápida propagación que vemos hoy, cada vez más personas notan que la detección proactiva de programas maliciosos constituye un componente imprescindible en la estrategia de defensa. En ESET, sabemos que la mera predicción y seguimiento de tendencias no constituyen recursos suficientes para asegurar la protección de nuestros clientes y continuaremos basándonos en nuestros valores principales, quedando siempre al frente de las evaluaciones comparativas gracias a la consistencia de nuestra innovación tecnológica. Como somos exitosos pioneros en técnicas heurísticas, pueden confiar plenamente en que nos aseguraremos de vencer el reto de lo impredecible! Al leer este informe, hay que tener en cuenta que la información no está limitada a la perspectiva de ESET, sino que también refleja lo ocurrido a nivel mundial durante los últimos doce meses. Como sucede con las acciones y valores, las tendencias pasadas de las amenazas informáticas no conforman pronósticos suficientes sobre los procesos futuros: no obstante, podemos estar seguros de una cosa. Aunque las amenazas cambien y surjan otras nuevas, seguirán existiendo códigos maliciosos mientras tanto existan computadoras para ser atacadas y explotadas, y usuarios para hacer el papel de víctimas. Además, mientras más plataformas empiecen a ser de uso corriente, inevitablemente serán utilizadas como medio de explotación. Vale la pena recordar que muchas amenazas de códigos maliciosos explotan al usuario y no a una plataforma en particular. El phishing (fraude informático), por ejemplo, no corresponde únicamente al entorno de un solo sistema operativo. Esperamos que la lectura de este informe resulte interesante y estaremos encantados de recibir sus comentarios. Por favor, escríbanos a threatreports@eset.com. Le deseamos un buen viaje a través de 2008, y quédese tranquilo: haremos todo lo que esté a nuestro alcance para Proteger su Mundo Digital. El Equipo de Investigación de ESET ESET (3738)

4 2 Tabla de Contenidos Introducción y Nociones generales Las diez amenazas principales propagadas por el correo electrónico Imagen 1: Comparativa de las 10 amenazas principales de 2007 Tabla 1: Significado de los nombres Proporción de mails infectados en el total de mensajes controlados Descripciones de las amenazas Win32/Stration Probablemente desconocido NewHeur_PE virus Win32/Netsky.Q Win32/Nuwar.gen Win32/Fuclip Win32/Nuwar Imagen 2: Top 10 de VirusRadar de los principales malware Resumen de Tendencias de 2007 Los diez malware principales de Enero del 2007 Otros evento de Enero Los diez malware principales de Febrero del 2007 Otros eventos de Febrero Los diez malware principales de Marzo del 2007 Otros eventos de Marzo Los diez malware principales de Abril del 2007 Otros eventos de Abril Los diez malware principales de Mayo del 2007 Otros eventos de Mayo Los diez malware principales de Junio del 2007 Otros eventos de Junio Los diez malware principales de Julio del 2007 Otros eventos de Julio Los diez malware principales de Agosto del 2007 Otros eventos de Agosto Los diez malware principales de Septiembre del 2007 Otros eventos de Septiembre Los diez malware principales de Octubre del 2007 Otros eventos de Octubre Los diez malware principales de Noviembre del 2007 Otros eventos de Noviembre Los diez malware principales de Diciembre del 2007 Otros eventos de Diciembre Más malware de interés Conclusión Recursos y lecturas complementarias Glosario Acerca de ESET Acerca de ESET NOD32 Antivirus y ESET Smart Security Acerca de ThreatSense Página

5 ESET - Informe General de Amenazas del Introducción y Nociones generales La línea de productos de ESET tradicionalmente se ha centrado en la detección y eliminación de todo tipo de códigos maliciosos, aunque se nota al leer este documento que se hace bastante más que eso y que el alcance de los productos tiene una versatilidad cada vez mayor. Aún así, las fuentes de datos que utilizadas para poder ofrecer este resumen siguen centralizándose en el malware; por lo tanto, no se hará más que una referencia superficial a otros fascinantes fenómenos relacionados a la seguridad y a temas que han predominado en el año, como los siguientes: El uso de archivos PDF de Adobe Acrobat y otros objetos con menús gráficos fáciles de usar, como las hojas de cálculo de Excel, en campañas de envío de correos electrónicos no deseados y estafas bursátiles, conocidas como fraudes pump and dump. El surgimiento de Windows Vista de Microsoft y las reñidas discusiones sobre sus mejoras de seguridad. La creciente atención que tanto los especialistas de seguridad como los crackers le han dado a las tecnologías Web 2.0 (tecnologías y plataformas colaboradoras, como wikis, blogs, entre otras), así como a mundos virtuales como Second Life y a redes sociales como Facebook, MySpace, Ning y Linkedin. La diversificación continua y la sofisticación cada vez mayor de la tecnología y topología de las redes botnets. La constante transición desde los programas maliciosos replicativos (virus y gusanos) hacia otras formas de códigos maliciosos (backdoors, keyloggers, troyanos bancarios) y desde la creación de virus como recreación hacia su desarrollo profesional con objetivos delictivos. El reconocimiento por parte de desarrolladores, investigadores y evaluadores de programas antimalware del hecho de que las pruebas comparativas y las certificaciones no sólo deben incluir las evaluaciones de códigos maliciosos conocidos, sino también metodologías más demandantes diseñadas para probar la capacidad que posee un producto de usar el análisis de comportamiento, la heurística y otras formas de detección proactiva y dinámica en lugar de centrarse exclusivamente en la detección específica de programas maliciosos por medio de las firmas de virus. Para elaborar este resumen, hacemos uso de las fuentes de datos que empleamos continuamente para mantener y mejorar el alcance de nuestros productos. En particular, VirusRadar.com recopila datos sobre programas maliciosos propagados por el correo electrónico, mientras que nuestra tecnología ThreatSense.Net recopila automáticamente información sobre todo tipo de amenazas conocidas y desconocidas que son detectadas por la heurística y reenviadas de inmediato a nuestro Laboratorio de Investigación de Amenazas. Estos datos cumplen la función principal de darnos una ventaja en el mercado de seguridad informática al permitirnos mejorar la capacidad de detección de nuestros productos, para que no sólo sigamos detectando programas maliciosos sino también amenazas totalmente nuevas, gracias al perfeccionamiento continuo de las tecnologías de detección proactiva. Esperamos que esta breve mirada a la esencia de nuestra tecnología y a lo que hemos recopilado en los últimos doce meses le resulte interesante, informativa y útil ESET (3738)

6 4 Top 10 de malware propagado por VirusRadar.com es un proyecto creado por ESET y sus Partners para efectuar análisis estadísticos y de control de los códigos maliciosos propagados a través del correo electrónico. A continuación, presentamos las diez amenazas principales del año 2007, según los datos obtenidos por VirusRadar. Los valores indican la cantidad de instancias registradas hasta el 10 de diciembre de 2007 y luego se da una explicación de las amenazas mencionadas. Nombre bajo el cual ESET detecta el código malicioso Variante de Win32/Stration.XW 11,608,228 Probablemente virus desconocido NewHeur_PE 4,184,672 Gusano Win32/Netsky.Q 3,355,513 Gusano Win32/Nuwar.gen 2,965,119 Troyano Win32/Fuclip.B 1,740,631 Gusano Win32/Stration.XW 1,300,049 Variante del Gusano Win32/Stration.WL 760,689 Probablemente una variante del gusano Win32/Nuwar 745,021 Gusano Win32/Stration.WC 668,624 Variante del Gusano Win32/Stration.QQ 585,736 Otras detecciones de malware registrados: 5,895,524 Cantidad de detecciones Imagen 1: Proporción comparativa de las 10 amenazas principales del 2007 Nota: En el momento de la captura de datos, amenazas individuales fueron identificadas por VirusRadar. Hay información más actualizada disponible en: index_all_c12m_esn.html.

7 ESET - Informe General de Amenazas del Tabla 1 Variente de Win32/Stration.XW Probablemente desconocido NewHeur_PE virus Win32/Netsky.Q Win32/Nuwar.gen TroWin32/Fuclip.B Win32/Stration.XW Variante de Win32/Stration.WL Probable variante de Win32/Nuwar worm Win32/Stration.WC Variante de Win32/Stration.QQ Significado de los nombres Detección de un programa malicioso muy similar al gusano Win32/Stration.XW. Detección heurística (ver glosario) de un programa malicioso desconocido. Detección específica de un gusano de Internet. Detección genérica de una variante del gusano Nuwar. Detección específica del troyano Fuclip.B. Detección específica de una variante en particular del gusano Stration. Detección genérica de un código malicioso muy similar a una variante del gusano Stration. Detección de un código malicioso muy similar a una variante del gusano Nuwar. Detección de un programa malicioso muy similar a una variante del gusano Nuwar. Detección genérica de un programa malicioso muy similar a una variante del gusano Stration. Proporción de mails infectados en el total de correos electrónicos controlados Nuestras cifras indican que de una muestra de 4.251,9 millones de mensajes controlados durante el período entre el 1 de enero del 2007 y el 10 de diciembre del 2007, 33,8 millones de mensajes tenían contenido malicioso en forma de archivos maliciosos adjuntos o de vínculos a un sitio web que posee códigos maliciosos. Es cierto que la cantidad de mensajes que controlamos ni siquiera se acerca al total de todos los correos electrónicos enviados en todo el mundo; sin embargo, es una muestra suficientemente extensa para formarnos una idea de lo que ocurre a nivel mundial. Naturalmente, existen ciertas cosas que no podemos controlar, por ejemplo, no sabemos cuántos mensajes infectados fueron interceptados por otros sensores antes de llegar a los servidores que nosotros controlamos, pero es un problema que tienen todos los vendedores de soluciones de seguridad. Tampoco podemos saber qué proporción de mensajes no infectados constituyen correos no deseados molestos, pero inofensivos que no transportan ningún contenido malicioso evidente: para averiguarlo, hace falta la puesta en marcha de una serie de herramientas completamente diferentes y aún así, el envío indiscriminado de correos no deseados no se puede medir con la misma precisión que el contenido de mensajes con programas maliciosos porque, hasta cierto punto, el destinatario es quien define qué correo electrónico es correo no deseado y no la comunidad de seguridad informática. A pesar de todo, las estadísticas brindan la tranquilidad de que nuestra detección proactiva de nuevas amenazas ya sea por su semejanza a amenazas conocidas usando firmas genéricas como por sofisticadas técnicas heurísticas que identifican códigos maliciosos totalmente nuevos sigue siendo tan sorprendentemente efectiva como lo esperan nuestros clientes ESET (3738)

8 6 Descripciones de las Amenazas Informáticas Win32/Stration La amenaza Stration ha estado en circulación desde mediados del Este programa malicioso de correo masivo se usa para enviar mensajes de correo electrónico no solicitado (spam). Por lo general, llega en un archivo adjunto del mensaje e intenta hacerse pasar por un archivo de texto normal modificando su icono propio. Hemos visto variantes del Stration que también utilizan los programas de mensajería instantánea MSN Messenger o Skype para enviar copias de sí mismos. Stration envía correos masivos con un pequeño archivo ejecutable que, cuando el usuario lo abre, descarga componentes adicionales de sitios web registrados por los mismos creadores. Los creadores del Stration han registrado decenas de sitios web para actualizar sus redes de los equipos anfitriones comprometidos. También se usan los servidores para insertar el contenido de los correos electrónicos no solicitados y los objetos a infectar en todos los nodos de la red antes de iniciar la propagación. Las variantes del Stration usan diversas estrategias para convencer al usuario de que su computadora no se encuentra infectada. Por ejemplo, si intenta abrir un archivo ejecutable que se hace pasar por un archivo de texto, se le mostrará un mensaje de Error desconocido, para cubrir el hecho de que en realidad no aparecerá ningún texto en el Bloc de notas. Otros nombres comunes para referirse a esta amenaza son Warezov y Strati. Probablemente desconocido NewHeur_PE virus Este rótulo indica que el mecanismo de Heurística Avanzada (ver glosario) implementado en ESET NOD32 llegó a la conclusión de que el archivo era malicioso. El rótulo no se usa para identificar una familia de malware en particular; indica la detección proactiva de amenazas informáticas que no se han visto antes ni fueron clasificados. La gran cantidad de detecciones en esta categoría demuestra la sobresaliente efectividad de nuestra tecnología heurística. Win32/Netsky.Q Es una variante muy común de un gusano de Internet que se difunde a través de mensajes de correo electrónico, redes P2P (entre pares, o peer-to-peer ) o unidades compartidas de red. En general, se propaga como un archivo adjunto en los correos electrónicos, usando la extensión.pif ó.zip. Es capaz de explotar una vulnerabilidad en las copias de Internet Explorer 5.x a las que no se les instalaron los parches correspondientes y las que permiten la ejecución del código malicioso cuando la víctima abre el mensaje o su vista previa, incluso cuando el archivo adjunto no es abierto. Se puede identificar a este programa malicioso por otros nombres, entre los que se encuentran: Netsky.P, I-Worm. NetSky.q, W32.Netsky.P@mm o WORM_NETSKY.GEN. Al ejecutarse, el programa genera un archivo con extensión.dll empaquetado con el compresor UPX. El correo electrónico parece haber sido enviado por un remitente conocido por el destinatario, pero en realidad la dirección está falsificada. El gusano encontró el nombre del supuesto remitente buscando en varios tipos de archivos del disco rígido de una computadora infectada previamente. El asunto y el cuerpo del correo electrónico varían considerablemente. El gusano crea archivos en el sistema infectado y manipula el registro de Windows agregando entradas. Tiene incorporado un motor SMTP que le permite enviarse a sí mismo a las direcciones encontradas en el sistema infectado cada vez que haya una conexión a Internet activa. A veces provoca ataques de denegación de servicio (DoS) contra sitios web específicos. El hecho de que un programa relativamente antiguo que envía correos masivos haya seguido circulando durante tanto tiempo constituye un mensaje perturbador sobre la cantidad de usuarios y sitios que no cuentan con la protección adecuada contra los programas maliciosos y sobre la continua necesidad de contar con detección por firmas de virus para identificar y eliminar códigos maliciosos conocidos, a pesar de los avances en la detección heurística y en los análisis de comportamiento.

9 ESET - Informe General de Amenazas del Win32/Nuwar.gen Los sitios web utilizados para distribuir variantes del Nuwar (ver notas sobre Win32/Nuwar) ponen en circulación una nueva versión del programa malicioso cada treinta minutos. Para garantizar la detección de cada variante de esta amenaza se utiliza una firma genérica en lugar de firmas individuales para cada una de las variantes. El rótulo Nuwar. gen identifica muestras que han sido detectadas basándose en la firma genérica para la familia de gusanos Storm Worm, y no en la detección específica de una variante o subvariante particular. Win32/Fuclip El nombre Fuclip es una abreviación que proviene del inglés Full Clip ( video completo ). Este programa malicioso formó parte de la primera ola de infección de Nuwar. ESET NOD32 detecta los archivos en las unidades del sistema creados por Nuwar en su intento por ocultar su presencia mediante técnicas de rootkits y de componentes como Fuclip. La variante Fuclip.B se ha enviado como correo masivo con una gran diversidad de mensajes y algunos de los asuntos tenían la siguiente modalidad de noticias (todos aparecían en inglés): 230 muertos tras tormenta que azota Europa Genocidio de musulmanes británicos Secretaria de Estado de los E.E.U.U. Condoleezza Rice golpeó a la Canciller alemana Ángela Merkel Hugo Chávez muerto Musulmán radical bebe sangre enemiga Sadam Hussein sano y salvo! Sadam Hussein vivo! Fidel Castro muerto. Con frecuencia, Fuclip descarga un archivo de Internet y lo ejecuta. El archivo puede ser utilizado para controlar la computadora infectada en forma remota o para ocultar su presencia en el sistema, usando las técnicas comunes de rootkits. Win32/Nuwar Nuwar, también muy conocido como el gusano Storm Worm (a pesar de ser un troyano, en lugar de un gusano), llega a la computadora personal como un archivo adjunto en un correo electrónico o se descarga cuando un usuario visita un sitio web con programas maliciosos. Los creadores del Nuwar utilizaron decenas de estrategias distintas de Ingeniería Social para engañar a los usuarios y lograr que seleccionen el vínculo malicioso que les llegó en el correo electrónico o que abran el archivo adjunto. Al parecer, el propósito principal de este programa malicioso es crear una poderosa red de computadoras comprometidas que se comporten como zombis (una botnet). Se ha utilizado para enviar información relacionada al fraude bursátil pump and dump y también para instalar programas maliciosos adicionales con el objetivo de robar datos bancarios de las computadoras comprometidas. Nuwar es único porque sus programadores y los administradores de las botnets, con quienes trabajan, le prestan suma atención al mantenimiento de las botnets y lanzan actualizaciones frecuentes para evadir los sistemas de detección de programas antimalware. Otros nombres de uso común para esta amenaza son: Peacomm, Zhelatin y Tibs, y aparece en la lista de programas maliciosos comunes como CME-711, en el sitio web Common Malware Enumeration ( ESET (3738)

10 8 Imagen 2: Listado de VirusRadar de los 10 malware principales según el tipo de detección Detección específica de códigos maliciosos 7,064,817 Detección por firmas genéricas 16,604,793 Detección heurística 4,184,672 La detección específica de códigos maliciosos denota que se ha identificado un programa malicioso que ya conocemos. La detección por firmas genéricas denota que se ha identificado un programa malicioso que se asemeja mucho a una variante de un programa malicioso conocido o que pertenece a una familia de programas maliciosos. La detección heurística denota que se ha identificado un programa malicioso que no se asemeja a los programas maliciosos existentes. Las cifras obtenidas por VirusRadar demuestran que la detección de amenazas nuevas (y de nuevas versiones de amenazas antiguas) es al menos tan importante en los programas de seguridad como la detección tradicional basada en firmas de virus. Consideramos que nuestra heurística es la mejor de la industria y cuando usted vea las tendencias de las amenazas y la tecnología de seguridad a lo largo del año, notará que varios expertos de la industria están de acuerdo con nosotros.

11 ESET - Informe General de Amenazas del Resumen de Tendencias del 2007 Esta sección muestra las tendencias de cada mes desde enero hasta diciembre del La mayoría de los datos presentados fueron extraídos de ThreatSense.Net, intercalados con otra información de interés más general. Mientras que VirusRadar.com controla los correos electrónicos, los datos de ThreatSense.Net están basados en muestras enviadas automáticamente a nuestro Laboratorio de Investigación de Amenazas por los clientes que desean participar, por lo tanto, no se restringen a las amenazas distribuidas en correos electrónicos ESET (3738)

12 10 Enero Imagen 3: Los diez programas maliciosos principales en enero del 2007 Win32/Adware.Boran Adware.Boran no es un virus: entra en la categoría que los fabricantes de soluciones de seguridad con frecuencia denominan Programas o Aplicaciones potencialmente indeseables. Después de que se instala a sí mismo, el programa abre ventanas emergentes de publicidades y es posible que redirija algunas de las solicitudes hechas a la web a sitios de terceros. También se lo conoce con el nombre Adware.Win32.Agent. Este programa intenta contactar una gran cantidad de sitios para buscar datos sobre actualizaciones. Además cambia la información en el registro de manera que se carga automáticamente cada vez que se inicia el sistema operativo. Win32/RJump.A RJump es un gusano de Internet que presenta características de un troyano, ya que abre una puerta trasera en el sistema infectado y envía información sobre la computadora comprometida. Se propaga copiándose a unidades externas, como discos rígidos, cámaras digitales, celulares y memorias USB. A veces también se lo conoce por los siguientes nombres: Backdoor.Rajump, W32/Jisx.A.worm, W32/RJump.A!Worm, WORM_SIWEOL.B. Win32/Brontok Es un programa malicioso con características de un programa de puerta trasera (backdoor), se difunde por medio de los correos electrónicos y recursos compartidos en red. Utiliza su propio motor SMTP para enviar mensajes de correo electrónico con archivos adjuntos que usan las siguientes extensiones:.asp,.cmf,.csv,.doc,.eml,.htm y.html,.php,.txt, y.wab. También crea archivos de sistema y modifica algunas entradas en el registro.

13 ESET - Informe General de Amenazas del Nuwar (Storm Worm) Este programa malicioso ha atraído la atención de los medios desde enero, ya que se propagó al hacerse pasar por una noticia sobre el fuerte temporal Kyrill. Las razones son muchas. En primer lugar, fue una de las primeras amenazas de gran alcance que utilizó redes P2P como mecanismos de comunicación de comando y control (C&C o Command and Control), a pesar de que los bots han estado usando las redes P2P aproximadamente desde el El hecho de que Nuwar se comunique en una red descentralizada hace que sea muy difícil estimar la cantidad de equipos anfitriones infectados. Algunos investigadores aseguraron que existen más de un millón de equipos infectados, mientras que investigadores de Microsoft sugirieron que las máquinas comprometidas son sólo un par de cientos de miles. El objetivo principal de esta amenaza es construir una botnet sólida y confiable (una red de computadoras anfitrionas comprometidas). La botnet del Storm Worm se ha utilizado para enviar correos electrónicos con fraudes bursátiles pump and dump, correos no deseados, correos electrónicos de auto propagación e incluso troyanos bancarios, diseñados para robar información de cuentas bancarias. Los creadores del Storm Worm han usado una variedad de tácticas de Ingeniería Social para atraer a los usuarios a visitar sitios web maliciosos y comprometer así sus sistemas. La siguiente tabla muestra una lista de los temas de Ingeniería Social utilizados con este propósito. La duración del uso de las técnicas demuestra que los creadores cuentan con medios para controlar la efectividad de cada una de las maniobras, lo que contribuye a la mejor propagación e infección. Ajustan las estrategias en respuesta a los resultados obtenidos para incrementar el rendimiento y efectividad de su botnet. Tipo Período Noticias aterradoras o de actualidad Diciembre del 2006 a mayo de 2007 Tarjetas electrónicas Junio a agosto del 2007 Postales electrónicas Agosto del 2007 Soporte técnico (envío de parches o conexiones a redes privadas virtuales) Versiones de prueba de programas Agosto del 2007 (un día solo) Agosto del 2007 (un día solo) Videos Agosto a septiembre del 2007 Día del trabajo Privacidad (Tor, o red de anonimato) Septiembre del 2007 (un día solo) Septiembre del 2007 (un día solo) Temporada de la Liga de Fútbol Americano Septiembre del 2007 Descarga de videojuegos clásicos Septiembre a octubre del 2007 Además de cambiar las estrategias de Ingeniería Social, los creadores de Nuwar crean actualizaciones de los programas con frecuencia. Los sitios web que utilizan para distribuir los programas maliciosos tienen un archivo diferente cada 30 minutos. En general, la diferencia entre los archivos es mínima, pero es suficiente para evadir los patrones de firmas en los que se basan la mayoría de los programas antivirus. El marco de comando y control en el que opera Nuwar es completamente descentralizado y depende del protocolo Overnet para encontrar los recursos necesarios para infectar computadoras. Por ejemplo, un equipo anfitrión infectado explorará las redes entre pares (P2P) para encontrar sitios de actualización desde donde bajar las nuevas versiones del programa malicioso. Nuwar también usa la red de pares con el objetivo de recibir información e instrucciones relacionadas a los correos no deseados que debe diseminar y de especificar los objetos para ataques de denegación de servicio distribuido (DDoS, según sus siglas en inglés). La información transmitida por la red siempre es confusa y oculta, y utiliza el algoritmo de cifrado RSA. Nuwar es un buen ejemplo de una amenaza moderna que utiliza tecnologías avanzadas para infectar computadoras y mantenerse firme en los sistemas comprometidos por cualquier medio que sea necesario. Su estructura sofisticada y diversificada así como su mecanismo de auto actualización provocan que distintos componentes sean detectados bajo nombres muy diversos, incluso por el mismo producto antivirus ESET (3738)

14 12 Win32/PSW.QQRob Es un keylogger capaz de robar información sobre el usuario y la computadora infectada, incluyendo contraseñas, nombres de usuario y cualquier tipo de información confidencial ingresada en cualquier documento o sitio web desde el teclado. Otros eventos en enero También en el mes de enero, el Global Islamic Media Front, la pantalla mediática de Al Qaeda, anunció la aparición del primer programa informático islámico para intercambio seguro en Internet. El hacker conocido como LMH y Kevin Finisterre explicaron en detalle lo que llamaron el Mes de las Fallas de Apple ( El Servicio de Seguridad del Departamento de Defensa de los Estados Unidos rectificó su informe sobre las monedas espía canadienses : habían afirmado que los contratistas militares estadounidenses que viajaban por Canadá estaban siendo vigilados por medio de radiotransmisores diminutos insertados en monedas. Las personas empezaron a hablar sobre Julie Amero, una maestra de escuela de Connecticut llevada a juicio por no haber evitado la exposición de los alumnos a ventanas emergentes con imágenes pornográficas durante una clase. Microsoft sacó al mercado un producto llamado Vista, sobre el cual la Electronic Frontier Foundation (Fundación Fronteras Electrónicas) resaltó la existencia de ciertas restricciones preocupantes en el Acuerdo de Licencia de Usuario Final Randy Abrams, Director of Technical Education de ESET, participó en un debate sobre la coordinación de ataques zeroday en el curso dictado por Gadi Evron Internet Security Operations and Intelligence II (Operaciones de seguridad e inteligencia en Internet II), al que acudieron vendedores de soluciones de seguridad y de otras organizaciones, miembros del centro CERT, representantes del departamento de Defensa y del departamento de Seguridad Nacional de los Estados Unidos y especialistas en seguridad para hablar sobre cómo arreglar la seguridad en Internet. AV-Comparatives anunció que ESET NOD32 fue considerado el mejor producto antivirus del año 2006.

15 ESET - Informe General de Amenazas del Febrero Imagen 4: Los diez programas maliciosos principales en febrero del 2007 Win32/Adware.Yisou Este programa, al parecer de origen asiático, muestra publicidades no solicitadas en ventanas emergentes con caracteres chinos. La aplicación Win32/Adware.Toolbar. SearchColours, que emerge en el resumen de marzo, es bastante similar. Win32/Genetik El rótulo Win32/Genetik se usa para designar todos los archivos detectados como maliciosos por la nueva técnica implementada en ESET NOD32. Esta técnica de detección usa la Heurística Avanzada para aprovechar el conocimiento acumulado durante años en nuestra base de datos de firmas genéricas. Otros eventos en febrero También en el mes de febrero, una corte holandesa sentenció a dos hackers a prisión (aunque las sentencias fueron un poco cortas) por ofensas relacionadas al uso de botnets con varios propósitos criminales, mientras que un creador holandés de spam recibió una multa de dólares por enviar más de 90 mil millones de mensajes de correo electrónico no solicitado. En Los Ángeles, Samy Kamkar recibió una sentencia de tres años de libertad condicional y 90 días de servicio comunitario por haber creado el Superworm, que usaba la red social MySpace para propagarse. Varios artículos de noticias especularon sobre la amplia difusión de los ataques de hackers chinos. Mientras tanto, estalló la controversia sobre el caso de Julie Amero: era una corruptora de menores, una ignorante incapaz de encontrar el botón de encendido de la computadora o del monitor, o la víctima de la junta directiva de una escuela que intentaba cubrir su propia incompetencia y evadir un caso de prosecución sobre falsos testimonios? ESET NOD32 obtuvo su 42º premio VB100 en una evaluación comparativa de programas antivirus en Windows Vista, realizada por Virus Bulletin. El crítico John Hawes también señaló su impresionante velocidad, como siempre. En el mismo mes, ICSA labs certificó el producto bajo su Programa de Certificación de Soluciones Antivirus para Windows Vista ESET (3738)

16 14 Marzo Imagen 5: Los diez programas maliciosos principales en marzo del 2007 Win32/Perlovga Perlovga es un programa muy simple que copia archivos a la carpeta %windir%, donde se replica a sí mismo como %windir%\xcopy.exe. También intenta copiar %windir%\autorun.inf a C:\autorun.inf y a veces se lo llama Trojan. CopySelf. Puede formar parte de una amenaza más importante. Win32/TrojanDownloader.Agent.AWF Perlovga es un programa muy simple que copia archivos a la carpeta %windir%, donde se replica a sí mismo como %windir%\xcopy.exe. También intenta copiar %windir%\autorun.inf a C:\autorun.inf y a veces se lo llama Trojan. CopySelf. Puede formar parte de una amenaza más importante. Otros eventos en marzo El periódico británico Daily Mail expuso una posible vulnerabilidad en los nuevos pasaportes electrónicos de Reino Unido, mientras que el Home Office (el Ministerio del Interior británico) negó la posibilidad de falsificar un pasaporte nuevo por ningún medio. El periódico Washington Post informó que hubo que apagar computadoras del gobierno de los Estados Unidos en el condado de Anne Arundel debido a una infección de Rinbot; se informó que Al Qaeda estaba formando un complot para desmoronar el acceso a Internet de Reino Unido bombardeando el centro de comunicaciones Telehouse en Londres; y una publicación del servicio de seguridad de Microsoft describió una vulnerabilidad en los cursores e íconos animados de Windows. En ESET, el cofundador Miroslav Trnka fue nombrado el Empresario del año 2006 por Ernst & Young, y se publicó un documento informativo sobre Análisis Heurístico escrito por Andrew Lee, Chief Research Officer de ESET, y David Harley, Reseach Author.

17 ESET - Informe General de Amenazas del Abril Imagen 6: Los diez programas maliciosos principales en abril del 2007 Win32/TrojanDownloader.Ani.Gen Los archivos que ESET NOD32 identifica como Win32/TrojanDownloader.Ani.Gen son archivos maliciosos de iconos que intentan explotar una falla de seguridad en el editor de iconos animados de Windows (MS07-017: ver y cgi?name=cve ). Estos archivos pueden cargarse en un explorador con javascript. La falla de seguridad se ha utilizado considerablemente para descargar programas maliciosos adicionales en las computadoras de las víctimas. La actualización de seguridad de Microsoft correspondiente a abril del 2007 incluyó un parche para esta falla de seguridad. Entre los otros nombres por los que se conoce a esta amenaza se encuentran: Exploit.Win32.IMG-ANI y Trojan.Anicmoo. Win32/Pacex.Gen El rótulo Pacex.gen en general designa archivos maliciosos que usan una capa específica de ofuscación, para pasar desapercibidos ante programas antivirus. Se descubrió que esta capa de ofuscación es utilizada mayormente por los troyanos que roban contraseñas. Win32/Adware.Virtumonde Este programa frecuentemente denunciado, entra en la categoría de Programas potencialmente indeseados. Se usa para enviar publicidades a las computadoras de los usuarios y también puede ser identificado bajo el nombre Vundo. Win32/Spy.VBStat.J Spy.VBStat es un troyano que roba información, se distribuye en formato DLL y muchas veces es instalado por otro programa malicioso. También puede ser identificado por el nombre InfoStealer ESET (3738)

18 16 Otros eventos en abril En su primera edición de abril, la cadena de noticias CNET anunció que el presidente Bush había firmado una medida donde decretaba que Vista es tan complejo que presenta una amenaza a la seguridad nacional; que la Corte Suprema había anulado la Ley de Moore; y que el departamento de Seguridad Nacional planificaba controlar a los estadounidenses con cámaras de video integradas en las computadoras personales, como medida antiterrorista. De vuelta en el mundo real, Kevin Poulsen, el hacker que se convirtió en periodista, mencionó en la revista Wired que Vista no incluye una versión del protocolo telnet, una herramienta de red primitiva y algo insegura que se ha usado durante los últimos 35 años. Tradicionalmente, los programas exploradores de Internet tenían soporte para telnet, ya que pasaban los pedidos de las conexiones de telnet a las aplicaciones clientes locales de telnet. Sin embargo, el programa que habilita el uso de telnet no se encuentra presente en Internet Explorer 7. (Si uno lo desea, se puede volver a habilitar. Por cierto, sigue presente en muchos sistemas que no funcionan con Windows.) También hubo denuncias de mensajes y vínculos a fotografías calientes de Britney Spears que resultaron ser explotadores de las vulnerabilidades de iconos animados de Windows mencionadas arriba. Apareció una prueba de concepto de un malware (cuyo único objetivo es demostrar lo que se puede llegar a hacer) que infectaba ipods con Linux. Alex Ionescu puso en circulación una prueba de concepto de un programa que deshabilita la protección de procesos protegidos en Vista, como una forma de explotar la gestión de derechos digitales de Vista para ocultar programas maliciosos. Joanna Rutkowska anunció que entre julio y agosto iba a demostrar cómo evadir las técnicas de antirootkits y BitLocker en Vista durante una convención de Black Hat. Abril también fue un buen mes para bromas, como el virus de la antorcha olímpica y un supuesto virus de telefonía celular que es letal para seres humanos, de circulación en Pakistán. ESET anunció la versión beta del programa ESET Smart Security, un producto que integra un motor antimalware excepcional con control de correo no deseado y un firewall personal.

19 ESET - Informe General de Amenazas del Mayo Imagen 7: Los diez programas maliciosos principales en mayo del 2007 Otros eventos en mayo La empresa española especialista en seguridad industrial Neutralbit anunció la existencia de problemas en el protocolo para control de procesos OLE for Process Control (OPC) que podrían indicar vulnerabilidades de explotación remota en sistemas SCADA (Control supervisor y adquisición de datos, según siglas en inglés) utilizados por estaciones de servicio, refinerías, etc. Dos hombres fueron sentenciados a servicio comunitario por poner dispositivos que funcionaban con pilas en Boston y Cambridge. Resultó ser un medio de promoción del canal Cartoon Network, pero en un principio, al ser descubiertos en puentes y estaciones de subterráneos, fueron tomados por bombas, lo que ocasionó graves obstaculizaciones de tráfico. Hubo una especulación constante de que los ataques de ciberguerra en Estonia se originaban en Rusia, que se encontraba en conflicto con Estonia. Verison adquirió Cybertrust, por lo que incidentalmente adquirió ICSAlabs, que se especializa en la certificación de productos de seguridad y también dirige la organización internacional Wildlist International Organization ( wildlist.org). Esta organización constituye una fuerza mayor en el rastreo de programas maliciosos y su colección de muestras WildCore es un componente esencial en cualquier prueba de programas antivirus. En Reykiavik, Islandia, se llevó a cabo un taller internacional sobre la evaluación de programas antivirus, que reunió a los fabricantes antivirus y organizaciones relacionadas a las pruebas comparativas y certificaciones: Andrew Lee dio una presentación de gran aceptación sobre el momento para actualizar (Time to Update). ESET anunció su servicio de análisis gratuito en línea ESET (3738)

20 18 Junio Imagen 8: Los diez programas maliciosos principales en junio de 2007 INF/Autorun Este rótulo se usa para describir una variedad de programas maliciosos que utilizan el archivo autorun.inf para instalarse o para liberar otros archivos en el sistema. El archivo autorun.inf contiene información sobre programas que se ejecutan automáticamente, como los CD o las memorias USB. Los programas maliciosos que instalan o modifican archivos en autorun.inf son detectados por ESET NOD32 con el nombre Autorun/INF. En la actualidad corresponde a un vector de amenazas muy extendido. Win32/BHO.G BHO (a veces llamado Metajuan) es un troyano que roba información. Su nombre proviene de Browser Helper Objects, un módulo a veces usado por Internet Explorer. El troyano usa los objetos de ayuda para recopilar la información ingresada en campos de texto cuando se utiliza Internet Explorer para llenar formularios, además recopila las direcciones de los sitios web visitados. Se cree que existe una relación directa entre Adware.BHO.G, Adware. Virtumonde y el troyano BHO.G. Otros eventos en junio Se le concedió un nuevo juicio a la ex maestra de Connecticut Julie Amero. Sin embargo, todavía no se llevó a cabo y se especula que el juicio nunca se hará: algunos creen que se dejará que el asunto vaya muriendo en forma inadvertida. Una broma sobre un tsunami en Indonesia generó que miles de personas huyeran de sus hogares en la costa: se especula que la broma fue iniciada por saqueadores. (Existen ciertas evidencias de que esto también ocurrió luego del Tsunami del océano Índico de 2004, que de por sí generó muchas bromas y estafas.) El departamento de Justicia de los Estados Unidos y el FBI informaron que habían identificado a más de un millón de víctimas de crímenes relacionados a botnets como parte de una iniciativa de entorpecer la Operación: Bot Roast, una operación para eliminar las botnets. Muchos de nosotros en particular disfrutamos el informe donde se explica que la iniciativa tenía el propósito de desbaratar y desmantelar a los botherders. (El término botherders se aplica comúnmente a