Top 20 malware según Kaspersky

Kaspersky Lab ha presentado dos nuevas listas "Top 20" sobre malware que ha elaborado utilizado los datos recogidos por el sistema Kaspersky Security Network (KSN) durante agosto de 2009. En la primera lista se enumeran los programas maliciosos, publicitarios y potencialmente peligrosos detectados y neutralizados por el escáner "on access" de los productos de Kaspersky Lab. En la segunda están reflejados los datos obtenidos como resultado del escáner on-line y en ella se enumeran los programas maliciosos detectados en páginas web y aquellos que intentaron descargarse desde páginas web.

Según la primera de las listas elaboradas por Kaspersky Lab, comprobamos que Net-Worm.Win32.Kido.ih y Virus.Win32.Sality.aa han conservado sus posiciones, aunque hay que "dar la bienvenida" a seis "novatos", algunos de los cuales son dignos de interés. El más interesante es Virus.Win32.Induc.a, que se reproduce usando un mecanismo de dos pasos para crear sus ficheros ejecutables, todo en Delphi. Primero, el código inicial de las aplicaciones se compila en módulos .dcu intermedios, a partir de los cuales se generan ficheros ejecutables para Windows. Teniendo en cuenta que muchos programas se infectan con este virus ya en la etapa de compilación, no sorprende que este virus haya aparecido de repente en el décimo lugar de la lista.

Lista 1 Top 20 malware según Kaspersky en agosto 2009.

Más arriba, en el tercer lugar, otro nuevo programa, not-a-virus:AdWare.Win32.Boran.z, que es un componente del panel de instrumentos Baidu Toolbar para Internet Explorer, muy popular en China. En éste se utilizan diferentes tecnologías rootkit para hacer que sea más difícil eliminar el panel por medio de los métodos estándar. Trojan.Win32.Swizzor.b y Packed.Win32.Katusha.b, que ocupan los lugares 14 y 15, son nuevas versiones de programas nocivos que ya estuvieron presentes en otras clasificaciones de Kaspersky. Estas nuevas versiones se diferencian de las anteriores por usar métodos muy extravagantes y perfeccionados para encubrir el código.

El gusano P2P-Worm.Win32.Palevo.ddm ha sido reemplazado por su pariente, Palevo.jaj, que ocupa la última posición de la lista. Hay que reconocer que es un programa malicioso bastante peligroso ya que además de propagarse por redes P2P, infecta medios extraíbles y se difunde por sistemas de mensajería instantánea. Como si esto fuera poco, también cuenta con funciones de “puerta trasera” que le proporcionan al delincuente un acceso flexible a la administración de los equipos infectados.

Respecto al segundo "Top 20", en el primer lugar continúa estando not-a-virus:AdWare.Win32.Boran.z, ya mencionado más arriba. Hace un mes Kaspersky advirtió sobre una vulnerabilidad en Internet Explorer cuyo exploit era detectado por su antivirus como Exploit.JS.DirektShow. Entonces, en la lista estaban presentes tres modificaciones de este exploit: .a, .j y .o. Pero ahora vemos en la lista cuatro versiones; esto significa que este exploit conserva su popularidad. Es probable que los delincuentes supongan que muchos usuarios todavía no han instalado el parche correspondiente y persistan en sus intentos de atacar al sistema a través de esta brecha.

Otra vulnerabilidad, pero esta vez en Microsoft Office también ha sido muy utilizada por los delincuentes. Una de las modificaciones del exploit para esta vulnerabilidad, detectada como Exploit.JS.Sheat, ocupa el décimo primer lugar en la lista.

Lista 2 Top 20 malware según Kaspersky en agosto 2009.

En Internet existe una gran cantidad de páginas web dedicadas a propagar falsos antivirus. Uno de los scripts que permiten hacerlo ocupa el décimo segundo lugar de la segunda lista. Kaspersky Anti-Virus lo detecta como Trojan-Downloader.JS.FraudLoad.d. Al visitar la página web que contiene el script, los usuarios reciben una notificación de que su equipo supuestamente está infectado por múltiples programas maliciosos y se les propone eliminarlos. Si el usuario acepta, en realidad descarga un antivirus falso, FraudTool en su clasificación.

La función de caballo de troya de Redirector.1 consiste en que remite las solicitudes de búsqueda del usuario a determinados servidores, con el objetivo de hacer aumentar la cantidad de clics de visitantes. En cambio, Iframe.bmu es un típico contenedor que integra una serie de diferentes exploits, en este caso para los productos de Adobe.