Informe sobre software malicioso G DATA. Informe semestral de julio-diciembre de Ralf Benzmüller. Go safe. Go safer. G DATA.

Transcripción

1 G DATA Informe julio-diciembre de 2008 sobre software malicioso G DATA Informe sobre software malicioso Informe semestral de julio-diciembre de 2008 Ralf Benzmüller Copyright 2009 G DATA Software AG Go safe. Go safer. G DATA. 1

2 G DATA Informe julio-diciembre de 2008 sobre software malicioso G DATA Informe sobre software malicioso Julio-diciembre de 2008 Ralf Benzmüller Copyright 2009 G DATA Software AG 1

3 Resumen Cifras y datos nuevos programas maliciosos en 2008 representan aproximadamente 6,7 veces más que en nuevos programas maliciosos en la segunda mitad de 2008 constituyen un aumento de 1,8 veces más en comparación con el primer semestre. Las categorías más frecuentes de programas maliciosos son los troyanos, backdoors y descargadores. En otras categorías se encuentran los programas espía, adware y gusanos. Entre las familias de virus más activas se encuentran los backdoors, los ladrones de cuentas de juegos online y los componentes para la instalación de adware y scareware. El gusano más activo, "Autorun", utiliza las funciones de autoarranque para CD y lápices USB para su propagación. El 99,2 % de todos los programas maliciosos del segundo semestre funcionaban en el entorno de Windows. Los autores de los programas maliciosos se concentran aún más en el líder del mercado. Los códigos maliciosos para plataformas móviles, Unix y Apple son en 2008 más bien excepcionales. Los programas maliciosos en JavaScript descienden más de un cuarto del total, mientras que el número de programas maliciosos basados en Flash aumenta en un 38 %. Esto quiere decir que la tendencia se aleja del JavaScript y se adopta cada vez con más frecuencia el tipo de programa malicioso de Flash. Eventos y tendencias Exploits: código malicioso que aprovecha los agujeros de seguridad para atacar el ordenador. Cada vez se crea con más rapidez. Microsoft tuvo que poner a disposición patches adicionales en octubre y diciembre. Los principales engaños utilizados contra los usuarios de Internet para que instalen programas maliciosos son: 1, peticiones de descarga de códecs o software; 2, falsos programas antivirus y scareware; y 3, correos electrónicos sobre pedidos, paquetes y envíos. Las guerras en el mundo también tienen sus escenario en Internet, donde incluso se intensifican los combates. Las páginas web del oponente son atacadas con sobrecargas y las fuentes de noticias son craqueadas y manipuladas para difundir propaganda. Numerosas brechas y fallos de seguridad informáticos hacen accesibles datos personales, incluso de personalidades, y revelan información militar estrictamente confidencial. La protección de datos no se toma en serio. El foro sobre tarjetas en línea "Dark Market", considerado como un importante mercado ilícito de intercambio de la información contenida en tarjetas de crédito, es descubierto. 56 personas de varios países del mundo son detenidas. Intercage y McColo son expulsados de la red. La avalancha de correo basura (spam) desciende durante un tiempo y el mercado de botnets se reorganiza. Las redes sociales se utilizan cada vez con más frecuencia para la distribución de correo basura y programas maliciosos. Los grandes eventos, como las olimpiadas o las elecciones presidenciales en los Estados Unidos, son utilizados por remitentes de correo basura y autores de programas maliciosos. 2 Copyright 2009 G DATA Software AG

4 G DATA Informe julio-diciembre de 2008 sobre software malicioso Pronósticos La red de Internet se hace más peligrosa. Aplicaciones Web 2.0, redes sociales, foros y blogs presentan un gran potencial de ataque que se utilizará cada vez más en los próximos meses. Flash como vía de difusión de programas maliciosos aumentará en los próximos meses. Hasta ahora no se consideraba peligroso la visualización de películas en Flash. La avalancha de programas maliciosos va a aumentar, aunque a un ritmo más lento. Contenido Eventos y tendencias durante el segundo semestre de 2008 Las brechas de seguridad se aprovechan rápidamente...4 El "Patch-Day" de Microsoft: una fecha fija en el calendario de la delincuencia informática...4 Casos en Internet...5 Guerra informática: Internet como arma...7 Datos - quiebras, ladrones y fallos...8 Calendario Julio de Agosto de Septiembre de Octubre de Noviembre de Diciembre de Programas maliciosos: cifras y datos La avalancha de programas maliciosos sigue creciendo...17 Las botnets y los programas espía y publicitarios determinan el curso de los acontecimientos.19 Cuidado con Autorun Programas maliciosos a través de Flash en aumento Perspectiva en 2009 Más páginas web peligrosas Más programas maliciosos a través de Flash Abandono de Windows? La rapiña de datos continúa Aún más programas maliciosos? Copyright 2009 G DATA Software AG 3

5 Eventos y tendencias durante el segundo semestre de 2008 Durante el segundo semestre de 2008, los delincuentes informáticos permanecieron activos en todos los frentes. En los G DATA Security Labs surgen con frecuencia los temas que les comentamos en los siguientes apartados. Los aspectos más importantes son los exploits, los medios de engaño más corrientes, la guerra en Internet, los fallos en los datos y la protección de datos, y la lucha contra la delincuencia informática. Las brechas de seguridad se aprovechan rápidamente Los expertos en seguridad no se cansan de avisar de lo importante que es mantener actualizado el sistema operativo y el software del ordenador. Muchos proveedores de software publican los últimos patches en intervalos más o menos regulares. Cada segundo martes de cada mes, Microsoft proporciona patches para nuevos agujeros de seguridad del sistema operativo o del software de Microsoft (de ahí el nombre de "Patch-Day"). Con el tiempo se acumulan muchas instalaciones pequeñas. En el Service Pack 3 de Windows XP se agrupan los patches enviados desde el Service Pack 2. Desde el 9 de julio, el Service Pack 3 de Windows XP se envía automáticamente a través de una actualización. El "Patch-Day" de Microsoft: una fecha fija en el calendario de la delincuencia informática También durante el segundo semestre de 2008, los hackers y delincuentes informáticos reaccionan ante el "Patch-Day". Sucede a menudo que las brechas de seguridad son aprovechadas inmediatamente después de que Microsoft haya enviado los patches. Para ello, los hackers analizan los archivos del sistema operativo que han sido modificados y crean un "exploit code" a partir de la información obtenida. En muchos casos esta operación se realiza en unas pocas horas. Estos "exploit codes" son integrados por los piratas informáticos en programas maliciosos o, aún peor, en herramientas para la elaboración y difusión de programas maliciosos. Cada vez con mayor frecuencia se publican agujeros de seguridad para los que aún no hay patches, nada más finalizar el "Patch-Tuesday" de Microsoft. Los piratas informáticos esperan al Patch-Day y, si el agujero no se ha cerrado, pueden infectar ordenadores durante todo un mes, siempre que Microsoft no introduzca un turno especial. Y precisamente esto es lo que ha sucedido dos veces a lo largo del segundo semestre: Después de que el 23 de octubre se dieran a conocer informes sobre determinados ataques a ordenadores de Windows, basados en brechas críticas en el servicio RPC de Windows, Microsoft realiza una actualización de seguridad fuera del turno habitual (MS ). Dos días más tarde, Gimmiv.A utiliza ese agujero para penetrar en ordenadores y robarles sus datos. A pesar de la rápida reacción de Microsoft, a comienzos de 2009 los ordenadores del Gobierno Regional de Kärnten y el Centro Médico de Kärnten KABEG fueron infectados por un gusano llamado Conficker (alias Downadup). El 17/12 se cerró un agujero de seguridad en Internet Explorer 5 a 8 mediante una actualización extraordinaria (MS08-078). En varias páginas web, no sólo pertenecientes al negocio del sexo, se detectó el exploit code que aprovechaba los agujeros de seguridad para encriptar código malicioso en ordenadores vulnerables. Particularmente el primer ejemplo muestra lo importante que se ha vuelto contar con un software y un sistema operativo actualizados. 4 Copyright 2009 G DATA Software AG

6 G DATA Informe julio-diciembre de 2008 sobre software malicioso Casos en Internet Mediante trucos insidiosos, los piratas informáticos intentan introducir programas maliciosos que se instalan en los ordenadores de sus víctimas mientras éstas navegan en Internet. Los métodos para engañar al usuario que más éxito han tenido son: 1. Petición para la instalación de códecs o software que supuestamente faltaba 2. Scareware y falsos antivirus 3. Envíos, pedidos y paquetes En el primer caso se envía al usuario a una página web que supuestamente contiene un vídeo interesante u otro tipo de archivos multimedia a través de un correo electrónico o mensaje instantáneo, aunque también a través de otras páginas web, foros o grupos de noticias. Al reproducir el archivo o ejecutar el archivo correspondiente, el usuario se da cuenta de que no dispone del códec o software que necesita. Se solicita al usuario que instale los componentes que supuestamente le faltan. El usuario que obedece a tal petición infecta su ordenador. En el caso de los scareware (procedente del inglés "to scare" - asustar) se le hace ver al visitante que se está realizando un análisis del sistema. Al finalizar el análisis se anuncia que en el ordenador se ha detectado (supuestamente) la presencia de programas maliciosos. A continuación se ofrece al usuario (o, mejor dicho, casi se le fuerza) que descargue un falso antivirus que, en la mayoría de los casos, no funciona. Estos productos no detectan generalmente ningún programa malicioso. En el mejor de los casos, eliminan los mensajes de advertencia falsos. Durante el segundo semestre han surgido los primeros ejemplares de este tipo de falso software antivirus, que forman parte del antivirus gratuito de ClamAV. Parece ser que los piratas informáticos se quieren librar así de ser perseguidos por la ley. Mediante falsos pedidos, comunicados de oficinas de cobros o notificaciones sobre problemas durante el envío de un paquete se solicita a los usuarios de correo electrónico que abran el archivo adjunto o visiten una página web maliciosa. En ese lugar acecha el software malicioso que infecta el ordenador del usuario. Aquí proporcionamos algunos ejemplos: Fig. 1: Falsa notificación de UPS del 11 de agosto. El archivo adjunto instala un software espía. Copyright 2009 G DATA Software AG 5

7 Fig. 2: Supuesta orden de cargo en cuenta bancaria de los Juzgados de Colonia. El archivo adjunto "Rechnung.zip" contiene un enlace llamado "Rechnung.txt" y el código malicioso como "Zertifikat.ssl". El enlace ejecuta este código malicioso como orden de línea de comandos. (véase article/928-warnung-vor-gefaelschten-rechn.html) Fig. 3: En nombre de la normativa de cobros se envían "liquidaciones" que integran el ordenador en una "botnet". 6 Copyright 2009 G DATA Software AG

8 G DATA Informe julio-diciembre de 2008 sobre software malicioso Guerra informática: Internet como arma Además del uso comercial tan extendido del software malicioso, el malware también se utiliza con fines políticos. Mediante el software malicioso se espía a los oponentes políticos y se envía propaganda con su ayuda. Los ataques a la infraestructura informática del oponente pertenecen desde hace algún tiempo al arsenal utilizado por el ejército. El último caso más llamativo tuvo lugar en mayo de 2007, cuando los nacionalistas rusos de Estonia utilizaron botnets para decidir a su favor el debate político sobre un monumento en memoria de los soldados rusos. También en el segundo semestre de 2008, los enfrentamientos bélicos llegaron a Internet. Durante la campaña de Rusia contra Georgia, emisores de correo basura antigeorgianos intentaron crear una botnet con falsos mensajes de la BBC. En agosto de 2008, Georgia culpó a Rusia de cerrar el acceso a la página web del Ministerio de Asuntos Exteriores, obligando así a que los mensajes del Ministerio de Asuntos Exteriores georgiano fueran publicados en una página de Blogspot y en la página del presidente polaco. También contra otras páginas de noticias georgianas (apsny.ge, news.ge) se realizaron ataques de sobrecarga (DDoS). La página web del Banco Nacional de Georgia fue desfigurada mediante imágenes de dictadores y del presidente georgiano. También en el lado contrario se sufrieron ataques de sobrecarga en páginas web del Gobierno de Osetia del Sur y de la agencia de noticias rusa RIA Novosti. En el conflicto entre Pakistán e India se suceden constantes enfrentamientos virtuales. Por ejemplo, en octubre se alteró la página web de la compañía de ferrocarril india Eastern Railway, supuestamente por atacantes paquistaníes. Poco después de que Israel comenzara a bombardear los asentamientos de la franja de Gaza, más de 300 páginas web israelíes recibieron mensajes antiisraelíes y antiamericanos. En el otro bando, los israelíes iniciaron una campaña de propaganda en la blogosfera. Abrieron un canal propio en Youtube y organizaron una conferencia de prensa vía Twitter. También en Facebook se libraron luchas de trincheras. En grupos como "Hamas, I don t like them" o "Fxxk Israel" expresan su opinión los partidarios del bando correspondiente. Algunos de estos grupos fueron hechos inaccesibles por la "Jewish Internet Defense Force". En la página web "help-israel-win" podía descargarse voluntariamente un programa que integraba el ordenador en una botnet. Enviaba ataques a los servicios de Internet enemigos. La supremacía israelí en este campo se afianza aún más debido a que los chiítas y sunitas se debilitan mutuamente mediante ataques informáticos. Este conflicto no llega en un momento oportuno para los sunitas de Hamas. Copyright 2009 G DATA Software AG 7

9 Datos - quiebras, ladrones y fallos También en el segundo semestre de 2008 se han conocido numerosos casos de robo de datos, fallos informáticos e infracciones en materia de protección de datos. Aquí le ofrecemos una selección: El ciudadano de cristal En la central del consumidor de Schleswig-Holstein, los ciudadanos se quejaban de cargos en cuenta bancaria no autorizados. Se detectó que todos los clientes habían pagado hacía muy poco tiempo boletos de la lotería oficial del Sur de Alemania (SKL) por cargo en cuenta bancaria. Los empleados del call center disponían supuestamente de los datos bancarios de las víctimas. La central del consumidor recibe a principios de agosto un CD anónimo con los datos de ciudadanos. Los datos con nombre, fecha de nacimiento, dirección, teléfono y número de cuenta bancaria fueron vendidos por una empresa del Land alemán de Renania del Norte- Westfalia. Al parecer, algunos empleados corruptos de call centers utilizan estos datos para, tras una conversación breve (y, posiblemente también, del todo insustancial), extraer dinero de la cuenta del receptor de la llamada. La revista Wirtschaftswoche realizó algunas investigaciones adicionales que condujeron finalmente al asunto relacionado con los call center. En noviembre publicó que los datos bancarios de aprox. 21 millones de ciudadanos están en circulación. Es decir, 3 de cada 4 titulares de cuenta bancaria se han visto afectados. Se sospecha como autores a pequeños call centers en su mayoría. véase: Best Western 25. de agosto 8 millones de datos sobre clientes de la cadena hotelera Best Western que pernoctaron en ella durante el último año fueron robados por un cracker indio y vendidos a la mafia rusa a través de un foro ilegal. Brechas informáticas en el Reino Unido En el segundo semestre continuó una serie de pérdidas de datos en el Reino Unido. Los resultados indican, por una parte, las numerosas posibilidades de pérdida de datos y, por otra parte, la imprudencia con la que se tratan los datos personales. Julio: En un tren se encuentran documentos secretos sobre la red terrorista de Al Qaeda. 25. de agosto: Se pierde un lápiz USB con los datos de reclusos británicos, juegos de datos de los cuales pertenecían a internos con múltiples condenas. Una empresa que debía escribir un sistema de administración de datos había extraviado el soporte de datos. En total desaparecieron en 2008 en el Reino Unido 26 lápices USB que contenían informaciones clasificadas en parte como secretas. 27. de agosto: En ebay se subasta un ordenador por 45 que contenía el nombre, números de teléfono móvil, datos bancarios y firmas de más de un millón de clientes del Royal Bank of Scotland (RBS). 8. de septiembre: Desaparece un disco duro con nombres, fechas de nacimiento, números de seguridad social y lugar de residencia de aproximadamente 5000 funcionarios de prisiones del Servicio Inglés de Gestión de Reclusos (NOMS en inglés). Uno de cada nueve 8 Copyright 2009 G DATA Software AG

10 G DATA Informe julio-diciembre de 2008 sobre software malicioso empleados de la compañía se vio afectado por este hecho. Algunos solicitaron un traslado a otro puesto de trabajo y/o mudanza para proteger a su familia frente a posibles ataques. 18. de septiembre: El Servicio de Insolvencia británico denuncia la pérdida de un ordenador portátil con datos personales de 122 antiguos directivos de la compañía. Además, el ordenador portátil contenía información sobre acreedores, inversores y empleados. 30 de septiembre: Una cámara digital subastada en ebay por 25 contenía datos altamente confidenciales del servicio secreto británico MI6 sobre sospechosos de terrorismo de Al Qaeda con fotografías y huellas dactilares y sobre envíos de armas. 10. de octubre: De una oficina del proveedor de servicios informáticos EDS desaparece un disco duro portátil con nombres, direcciones, fechas de nacimiento y otros datos de miembros del ejército y solicitantes de empleo. 10. de noviembre: Durante la semana de Navidad, el proveedor de servicios de pago RBS WorldPay admitió, después de que se conociesen los primeros casos de fraude, que tras un ataque de hackers, habían sido robados 1,5 millones de juegos de datos. Los datos consistían en información personal de usuarios de tarjetas prepago y tarjetas de regalo y los PIN de todas las tarjetas con PIN. A aprox. 1,1 millones de clientes les robaron los números de la seguridad social, tan importante en los Estados Unidos. Brechas informáticas en Alemania También en Alemania se cometieron infracciones contra la protección de datos: En LIDL, Penny, Plus, Norma, Rewe, Edeka, Tegut, Hagebau y en muchas otras compañías se vigila y se espía a los empleados. Telekom se toma la justicia por su mano y utiliza los datos de conexión existentes para detectar agujeros en el propio sistema de comunicación de la compañía. Lufthansa analiza ilegalmente los datos de vuelo de los pasajeros (entre los que también se encuentran periodistas). A través del sindicato de la policía, los números de móvil de policías berlineses permanecieron libremente accesibles en Internet. Dos antiguos empleados de T-Mobile roban 17 millones de datos de clientes (direcciones, números de teléfono móvil, fechas de nacimiento y posiblemente direcciones de correo electrónico), entre los que se encuentran personalidades de la política, economía y medios de comunicación, y los venden a comerciantes de datos de dudosa reputación. Famosos hackeados También en este semestre algunas personalidades de la vida pública volvieron a ser víctimas de ataques más o menos dirigidos: El 18 de septiembre se publicó que la cuenta de correo electrónico privada de Sarah Palin en Yahoo fue hackeada. El atacante respondió a las preguntas de seguridad que se proporcionan cuando alguien ha olvidado su contraseña. (véase palin- -ha.html) En septiembre se cargó una pequeña cantidad en una cuenta del presidente francés Sarkozy. Es bastante improbable que Sarkozy revelara sus datos en una página de fraude electrónico. Tampoco se trataba de un ataque dirigido específicamente a él. Es mucho más Copyright 2009 G DATA Software AG 9

11 probable que uno de sus ordenadores hubiera sido infectado con un troyano captador de claves bancarias. Estos datos se venden en paquetes de cientos o miles de datos. Al realizar la compra se utilizan generalmente unas pocas cuentas a modo de prueba. Los compradores de los datos utilizaron los datos de Sarkozy para verificar la validez del paquete de datos completo. Parece ser que las personas dedicadas a la compraventa de datos no sabían con quién estaban comerciando. Protección de datos Como es habitual, muchos ciudadanos no son conscientes de la cantidad de datos que son recogidos sobre ellos y lo valiosos que esos datos pueden ser. Poco a poco se dejan ver casos de uso indebido de los datos que conducen, p. ej., a intrusiones, violaciones de la seguridad o pérdidas financieras. Además de los piratas informáticos que cometen fraude con sus víctimas utilizando sus datos para obtener dinero, traficantes de dudosa reputación se benefician de un tratamiento despreocupado de los datos de los clientes y de los datos de registro. Con el caso de los call center se ha visto claramente que las dimensiones de este delito van más allá de casos aislados. Hace tiempo que los datos de la mayoría de los ciudadanos llevan estando accesibles en los mercados de compraventa de datos. El valor de los datos y la importancia de su protección están aún infravalorados. Lucha contra la economía del ecrime Tras una misión secreta de dos años de duración, en octubre de 2008 las autoridades de procesamiento penal consiguieron cerrar el foro de tarjetas en Internet "Dark Market" y detener a 56 personas en varios países del mundo. El Dark Market era uno de los puntos ilegales de peor fama de compraventa de datos de tarjetas de crédito y de acceso a cuentas bancarias. No obstante, otro enfoque ha resultado ser mucho más efectivo. También las páginas web, datos y servidores de control de la industria de programas maliciosos deben alojarse en determinados ordenadores. La Russian Business Network (RBN) se ha hecho tristemente famosa el año pasado en relación al "Bullet-Proof Hosting". La gran atención recibida, también por parte de los perseguidores, fue ciertamente perjudicial para los negocios. La RBN se repartía en varios grupos en China y Europa del Este. Esto permitió que se pusieran en la brecha otros servicios de hosting que operaban, no en Europa del Este o en China, sino en los Estados Unidos. A finales de agosto de 2008 se hizo público de que la empresa californiana Intercage, que poco tiempo antes operaba bajo el nombre de Atrivo, ofrecía sus servicios de hosting y registro de dominios principalmente a proveedores de servicios ilegales (véase Con la casa emisora de correo basura, Atrivo/Intercage ha llamado la atención en 3 años con más de 350 casos de difusión de programas maliciosos y servidores de tipo command & control para botnets. Dos proveedores de Intercage rescindieron los contratos con Intercage debido a la presión pública, con lo que estos servidores quedaron inaccesibles desde la red de Internet. Un proveedor amigo de Intercage que había decidido entrar en el negocio, se echó atrás en pocos días debido a la presión pública. Esto hizo que los servidores de Intercage cargados de programas maliciosos y emisores de spam quedaran desactivados desde el 21 de septiembre. Poco tiempo después, Intercage cambió a un proveedor estonio. El resultado fue el siguiente: Durante un breve espacio de tiempo se redujo la cantidad de correo basura recibida. Las turbulencias en relación a Intercage hicieron que las actividades de la botnet Sturm quedaran paralizadas. 10 Copyright 2009 G DATA Software AG

12 G DATA Informe julio-diciembre de 2008 sobre software malicioso En relación a las investigaciones posteriores realizadas sobre Intercage, a principios de septiembre el servicio de protección de la privacidad de la empresa de registro de dominios Directi con sede en la India fue objeto de críticas. No obstante, esto se solventó rápidamente. (véase Con la compañía registradora estonia ESTDomains la situación se desarrolló de distinto modo. Constantemente se registraban allí dominios en los que se implicaban negocios ilegales, programas de correo basura y fraude electrónico. El 28 de octubre, ICANN dejó de trabajar con ESTDomains y puso en venta la gestión de los nombres de dominio gestionados por ESTDomains (véase announcement-2-28oct08-en.htm) Pero las consecuencias más importantes para la comunidad de Internet provinieron del aislamiento del proveedor de hosting californiano McColo. Brian Krebs, del Washington Post, publicó las vinculaciones de McColo con dominios farmacéuticos y sitios de pago, scareware, páginas web con pornografía infantil, servicios de anonimización y por último, pero no menos importante, el controlador de botnets para las famosas redes de correo basura de botnet. Cuando McColo fue retirado de la red el 11 de noviembre descendió el volumen de correo basura en un tercio de un día a otro (véase fig. 4). También el servicio proxy de Fraudcrew quedó paralizado Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic Fig. 4: Número de correos basura por segundo de enero a diciembre de El cierre de McColo fue tan sorprendente para los operadores de botnets que de un golpe varios cientos de miles de PC zombis quedaron sin señor que los controlara. Los zombis calculaban cada 72 horas 4 dominios de emergencia y buscaban allí un nuevo maestro, pero los especialistas de la compañía FireEye craquearon el algoritmo y registraron para sí mismos los dominios resultantes. Como FireEye no pudo soportar las tasas de registro de 4000 $ semanales, a finales de noviembre dejaron de registrarse. Esto permitió a las huestes de zombis acceder de nuevo a su botnet. Por motivos legales FireEye renunció a la desinfección que podía realizarse en los ordenadores infectados desde el punto de vista técnico. Como los servidores de comando de varias botnets habían sido alojados en los servidores de McColo, la situación en las botnets cambió mucho (véase fig. 5). Las consecuencias en la botnet Srizbi fueron aplastantes. Srizbi era hasta entonces la botnet más grande (con zombis aprox.) a través de Copyright 2009 G DATA Software AG 11

13 la que eran enviados la mayoría de los correos basura. En noviembre la parte que Srizbi tenía en el pastel de botnets descendió hasta cero. Parece ser que los "clientes" no tenían la voluntad de esperar a que Srizbi volviera a estar operativo. En poco tiempo, Pushdo (alias Cutwail) y Bobax ocuparon su lugar. Desde comienzos de diciembre, Mega-D es la botnet más fuerte, aunque con el cambio de año, Rustock y la nueva botnet Xarvester se pusieron a la cabeza. Con Waledec y Cimbot, otras botnets están calentando motores. Estas nuevas botnets están configuradas de forma que aprenden a partir de la experiencia en el pasado. La comunicación está cifrada y los mecanismos de reserva son tan sofisticados que evitan problemas similares a los vividos con McColo. Ciertamente sería deseable que en 2009 se vieran más éxitos de este tipo. Aunque no se debería subestimar a los operadores de las botnets y tener unas expectativas demasiado altas Jun. 3. Aug. 14. Sept. 26. Okt. 7. Dez. 18. Jan. RUSTOCK MEGA-D XARVESTER PUSHDO BOBAX SRIZBI Fig. 5: Proporción de botnets en el envío de correo basura 12 Copyright 2009 G DATA Software AG

14 G DATA Informe julio-diciembre de 2008 sobre software malicioso Calendario Además de los acontecimientos agrupados temáticamente del capítulo anterior también se produjeron algunas novedades y acontecimientos interesantes que deberían nombrarse por orden cronológico. Julio de 2008 El gusano GetCodec utiliza archivos de audio y vídeo para su difusión El 9 de julio aparece un nuevo gusano llamado "GetCodec" que se expande a través de archivos multimedia de formato WMA/WMV. Este formato de archivo contiene mucho más de los propios datos de audio o vídeo. Contiene información sobre códecs necesarios. GetCodec modifica esta información para que Media Player no encuentre el códec y en su lugar intente cargar un códec de Internet. Hasta el momento, este tipo de peticiones de instalación de códecs sólo se conocían desde el navegador de Internet. GetCodec amplía la zona de peligro al propio Media Player. Si el usuario cierra la ventana de confirmación con OK, en lugar del códec se instala un troyano que carga otro software malicioso, entre el que se encuentra también un gusano que infecta otros archivos WMA/WMV. Otras variantes posteriores pueden infectar también archivos MP2 y MP3. Los archivos se convierten a formato WMA/WMV, aunque la extensión del archivo no cambia. Fig. 6: GetCodec solicita la instalación de un códec de Windows Media Player Copyright 2009 G DATA Software AG 13

15 3. Guerra Mundial El 10 de julio, en los correos electrónicos de la botnet Sturm se anuncia la llegada de la Tercera Guerra Mundial. Los vídeos, supuestamente grabados por soldados, solicitan un códec troyano. Por lo demás, las actividades de la botnet Sturm se paralizan por completo en los meses siguientes. Fig. 7: Anuncio de vídeo de la Tercera Guerra Mundial Fraude informático en Monster Los usuarios de la bolsa de empleo Monster reciben el 14 de julio correos electrónicos de fraude electrónico. En estos correos electrónicos, con asuntos como "Monster customer service: new security measures. ", se pretendía engañar al destinatario para que creyera que debía volver a registrarse debido a una modificación técnica. Quienes hacían clic sobre el enlace recibido en el correo electrónico eran conducidos a una página web falsa muy similar a la auténtica. Los que introducían sus datos de registro en esta página revelaban a los delincuentes sus currículums y datos personales contenidos en ellos. Agosto de 2008 Redes sociales en el punto de mira Las redes sociales gozan cada vez de una mayor predilección, también por parte de los piratas informáticos. Las cuentas sustraídas se utilizan para alojar y difundir mensajes de correo basura. El 2 de agosto, un programa malicioso llamado "Koobface" envió mensajes a amigos de MySpace y Facebook en los que se ponía de señuelo un interesante vídeo de Youtube. En el falso Youtube ruso se solicitaba la actualización del reproductor de Flash, que resultaba ser un programa de descarga (downloader). También en Twitter se produjeron los primeros casos de distribución de programas maliciosos a principios de agosto. En perfiles especialmente elaborados se establece un enlace de referencia a páginas web con vídeos al hacer clic sobre determinadas imágenes o textos. En ese lugar se solicita la instalación del reproductor Flash, que se revela como programa de descarga (downloader) que carga un troyano de captura de datos bancarios. La visita de los perfiles preparados puede solicitarse a través de un correo basura o de un mensaje instantáneo. Twitter 14 Copyright 2009 G DATA Software AG

16 G DATA Informe julio-diciembre de 2008 sobre software malicioso ofrece aquí además otra posibilidad. Debido a un agujero de seguridad es posible hacer clic sin saberlo sobre un enlace que lleva al "seguidor" de un determinado perfil (véase com/security/?p=1611). Troyanos en el espacio sideral En la estación espacial ISS se encontró un troyano de juegos online. Parece ser que llegó a este lugar a través de un lápiz USB o de un portátil infectado. Los ordenadores de la ISS no están conectados a Internet. (véase Las olimpiadas, también para los programas maliciosos Los grandes acontecimientos deportivos como, p. ej., la final de la Superbowl en los Estados Unidos, han sido utilizados durante el último año por autores de programas maliciosos. También durante los Juegos Olímpicos de China se produjo una mayor actividad en relación al correo basura y los programas maliciosos. Aquí proporcionamos algunos ejemplos: Una falsa presentación de PowerPoint muestra imágenes de la ceremonia de inauguración e instala un programa backdoor. Los documentos en Word y PDF prometen contener información sobre los juegos olímpicos Salvapantallas bautizados con nombres como "2008BejingOlympics.scr o "100Olymp.scr infectan el PC con programas de descarga y backdoors. Varios cientos de páginas web que supuestamente deberían contener información sobre los Juegos Olímpicos fueron utilizadas para propagar programas maliciosos. Generalmente se vieron afectados usuarios asiáticos. Septiembre de 2008 Google Chrome Beta La mayoría de los ataques a ordenadores tuvieron lugar a través del navegador de Internet. La elección del navegador es, por tanto, para muchos usuarios una cuestión de confianza. A comienzos de septiembre de 2008, Google ofrecía "Chrome", una versión beta de un navegador de Internet. Su configuración interna prometía protección frente a ataques como Cross Site Request Forgery (falsificación de petición en sitios cruzados). Pero mayor preocupación causa el afán de Google por recopilar datos del usuario. Octubre de 2008 ClickJacking El 15 de octubre se presenta un nuevo método para modificar los ajustes del navegador de Internet, en el que pueden utilizarse los clics en juegos online especialmente preparados para ello. Por ejemplo, es posible cambiar los ajustes de Flash para que se encienda la webcam. (véase Noviembre de 2008 De forma similar a lo que sucedió en los Juegos Olímpicos, se aprovecharon las elecciones Copyright 2009 G DATA Software AG 15

17 presidenciales para difundir programas maliciosos. Obama y McCain aparecen continuamente nombrados en la línea de asunto de los correos basura que redirigen a páginas de venta de productos farmacéuticos o a páginas de programas maliciosos. También algunos nombres de archivo contienen el nombre de Obama: "Beat_Obama_NNN.exe (NNN representa una secuencia numérica al azar) instalaba backdoors de la familia PcClient. Otro nombre de archivo sugiere actividades sexuales de Obama con una chica de 17 años. Cómo se comprueba el software antivirus? 10. de noviembre AMTSO publica una normativa para evaluar programas antimalware. La Organización de Normas de Evaluación de Productos Antimalware (AMTSO) es una federación de organizaciones de verificación de programas maliciosos, periodistas, personas vinculadas a la universidad y fabricantes de productos antivirus. Tras un largo debate, el 10 de noviembre se publicaron las normas para la realización de pruebas comparativas significativas y neutrales. Estas normas están pensadas para poder realizar pruebas abiertas, transparentes y neutrales, realizadas mediante métodos de comprobación adecuados y con resultados útiles y prácticos. (véase Diciembre de 2008 Malware-Fox 5 de diciembre ChromeInject es un troyano que, bajo el nombre de GreaseMonkey-Add-Ons, se integra en Firefox y copia los datos introducidos en más de 100 páginas de bancos y los envía a un servidor en Rusia. Los programas scareware son prohibidos 11. de diciembre La Federal Trade Commission (FTC) americana gana un juicio contra dos fabricantes de programas scareware. Se les prohíbe la venta de sus supuestos programas de protección. Éstos se "publicitan" generalmente en páginas web en las que un análisis falso clasifica el ordenador como infectado. Productos como WinFixer, WinAntivirus, DriveCleaner, ErrorSafe o XP Antivirus no protegen, sin embargo, frente a los programas maliciosos. Además, se congeló todo el patrimonio de estas dos empresas acusadas: Innovative Marketing, Inc., y ByteHosting Internet Services, LLC. Curse of Silence En el XXV Congreso de Informática Chaos celebrado en Berlín, Tobias Engel presentó una brecha de seguridad en los Symbian S60 Smartphones de Nokia y Sony Ericsson. Mediante un SMS formateado de forma especial, el Smartphone destinatario interrumpe el servicio SMS sin enviar ningún tipo de indicación ni de aviso. En lo sucesivo no es posible recibir más SMS/MMS. 16 Copyright 2009 G DATA Software AG

18 Ene Feb Mar Abr May Jun G DATA Informe julio-diciembre de 2008 sobre software malicioso Programas maliciosos: cifras y datos La avalancha de programas maliciosos sigue creciendo Durante el segundo semestre de 2008, el número de nuevos programas maliciosos sigue aumentando. Durante el primer semestre se registraron nuevos programas maliciosos, mientras que en el segundo fueron Estas cifras baten el récord del semestre anterior con prácticamente el doble de programas. A lo largo de todo el año 2008 se registraron nuevos programas maliciosos, 6,7 veces más que en El número de familias de virus para todo el año 2008, medido en el número notablemente mayor de frente a en 2007, se encontraba sólo un poco por encima de la cifra de Durante el segundo semestre, el número de familias de virus incluso se redujo de a con respecto al primer semestre. El aumento de programas maliciosos no se debe, por tanto, a un gran aumento de nuevos autores de programas maliciosos Jul Ago Sep Oct Nov Dic 0 Diagrama 1: Número de nuevos programas maliciosos por mes durante 2007 (gris) y 2008 (rojo). Entre las causas del reciente aumento se encuentran las siguientes: Modularización: El programa malicioso no se presenta ya en forma de gran bloque monolítico. En lugar de ello, todas las funciones se organizan en subprogramas especiales. Uso múltiple: Para evitar que sean descubiertos mediante firmas, los archivos maliciosos pueden modificarse, p. ej., mediante distintas técnicas de ocultación y/o aplicaciones de compresión que no pueden ser detectados por los programas antivirus. La funcionalidad del programa malicioso sigue estando disponible (casi sin limitaciones). Troyanos de usar y tirar: Muchos programas de descarga y numerosos troyanos están pensados para un solo uso. Después de cumplir su cometido, son eliminados de los sistemas infectados y no son reutilizados en esta forma por los autores del programa malicioso. Copyright 2009 G DATA Software AG 17

19 Actualización como mecanismo de camuflaje: Algunos operadores de botnets realizan actualizaciones frecuentes de los componentes backdoor. Esto sirve, por una parte, para realizar un mantenimiento del software, aunque también sirve para instalar versiones nuevas antes de que la actualización de firma del fabricante de antivirus descubra la presencia del programa malicioso. Trabajo por encargo: Los PC zombi de las botnets son ayudantes que sirven para enviar correo basura, mensajes de fraude electrónico, chantaje y distribuidores de programas maliciosos. Los operadores de botnets alquilan sus redes durante un determinado tiempo o para la realización de determinados encargos. Para ello, cada zombi recibe un paquete de software y datos que debe procesar. Una vez finalizado el trabajo, el software y los datos son borrados del ordenador en cuestión. Cuanto más variado es el uso de una botnet, mayor cantidad de programas maliciosos especializados es difundida. Polimorfía de servidor: Cada vez se envía una mayor cantidad de programas maliciosos a través de páginas web. Cuando una víctima accede a la página infectada, en función de la dirección IP se registra la región del visitante y, posteriormente, el navegador de Internet y el sistema operativo y sus versiones. A partir de esta información cada visitante recibe programas maliciosos a la medida. Teóricamente podría realizarse una codificación específica del archivo a partir de esta información, de forma que cada visitante a una página web recibiera una versión distinta de programa malicioso. De este modo es posible propagar miles de mutaciones del mismo programa malicioso. Para mantener bajo control la avalancha de programas maliciosos es cada vez más importante disponer de un servicio de detección proactivo. Las firmas heurísticas detectan programas maliciosos a partir de características específicas que también se aplican a nuevos programas maliciosos. La detección a partir del comportamiento es otra posibilidad de detectar el código malicioso que llega a un ordenador. G DATA ha mejorado en la generación 2009 la detección proactiva y ofrece, a pesar de la crecida de programas maliciosos, los máximos niveles de detección en el menor tiempo, incluso en el caso de programas maliciosos desconocidos hasta el momento. 18 Copyright 2009 G DATA Software AG

20 G DATA Informe julio-diciembre de 2008 sobre software malicioso Las botnets y los programas espía y publicitarios determinan el curso de los acontecimientos Si se observan las categorías de programas maliciosos y su evolución, se obtiene una situación similar a la del primer semestre. Ciertamente, se dan también algunas novedades. Los programas espía y programas publicitarios siguen encontrándose entre las categorías más frecuentes. También los programas de descarga que se utilizan para infectar ordenadores y los virus tipo backdoor, capaces de controlar los ordenadores de forma remota y de agruparlos en botnets, ocupan los primeros puestos del ranking. El crecimiento en estas áreas se encuentra, en general, en una media del 181 %. Categoría 2 sem Proporción 1er sem Proporción Dif sem y sem Troyanos ,9% ,40% 321% Backdoors ,7% ,60% 166% Descargadores/ ,0% ,30% 172% Droppers Programas ,7% ,50% 162% espía Adware ,1% ,10% 127% Gusanos ,0% ,20% 171% Herramientas ,3% ,80% 60% Rootkits ,2% ,40% 487% Exploits ,3% ,50% 114% Dialers ,2% ,50% 21% Virus 167 0,0% 327 0,10% 51% Otros ,5% ,60% 163% Total ,0% ,00% 181% Tabla 1: Cantidad y porcentaje de nuevas categorías de programas maliciosos durante el primer y segundo semestre de 2008 y sus modificaciones La categoría de troyanos durante 1 el segundo semestre ha aumentado más del triple y ha pasado del cuarto puesto a la primera posición del ranking. Este aumento se explica por los troyanos por encargo explicados más arriba. Se aprovechan del uso activo de botnets para el envío de correo basura, para la realización de ataques de sobrecarga repartidos, así como de la mayor modularización de los programas maliciosos. Es cierto que el número de exploits ha aumentado, pero, en este caso, la magnitud no es lo que importa. Lo importante es que los exploits disponibles son aprovechados del modo más rápido y eficaz, como hemos explicado más arriba. El mayor incremento se produjo en el área de los rootkits. Esto indica que los rootkits se han afianzado y establecido como mecanismo de ocultación para programas maliciosos. Los virus (es decir, virus que infectan sectores de arranque del disco duro o archivos y que se replican a sí mismos) y los marcadores (dialers) son los que más han disminuido en número. La importancia de los dialers disminuye al reducirse el uso de módems. 1 La categoría de los troyanos se utiliza aquí en un sentido específico. En realidad, todos los programas informáticos maliciosos que no poseen una rutina de propagación propia se consideran troyanos. Es decir, en principio, se trata de todos los programas maliciosos que no son gusanos ni virus (p. ej., backdoors, programas de descarga, programas espía, programas publicitarios, rootkits, exploits y dialers). En nuestra categoría de troyanos sólo contamos los troyanos que no pueden adscribirse a ninguna otra categoría. Copyright 2009 G DATA Software AG 19