Una parte importante del malware pertenece al mismo grupo de ciberdelincuentes

n la primera tabla se registran los programas maliciosos y potencialmente peligrosos detectados y neutralizados por primera vez en los ordenadores de los usuarios.

La primera tabla TOP20 muestra su ya tradicional estabilidad. La aparición de tres novatos en los puestos 6, 10 y 11 provocó que parte de los demás programas se desplazaran levemente hacia abajo. La única excepción fue un programa aparecido hace un mes, Packed.Win32.Krap.ag, que subió tres puestos. Recordamos que Krap.ag, del mismo modo que otros representantes de la familia Packed, es un empaquetador de programas maliciosos, en este caso, de un antivirus falso. El porcentaje absoluto de este programa malicioso también ha crecido un poco, lo cual es un indicio de la vigencia de los pseudoantivirus y de la tenacidad de los delincuentes que los usan en sus esquemas malignos para obtener ganancias sustanciales.

En diciembre, debemos resaltar GamezTar.a, un novato notable que ha logrado ocupar el sexto lugar en la estadística. Este programa se posiciona como un panel para navegadores populares que ofrece un acceso rápido a juegos online y que, por supuesto, se dedica a mostrar publicidad insistentemente. Pero además, instala varias aplicaciones cuyo funcionamiento no depende del panel y que se introducen en diferentes aspectos de la vida online del usuario cuando hace o visualiza búsquedas en Internet. Estos componentes están descritos en el acuerdo de servicio (http://www.gameztar.com/terms.do), pero por lo general al usuario le resulta más atractivo pulsar un botón grande y parpadeante que pone "pulsa aquí, consigue juegos gratis" que el título "Condiciones de servicio" ubicado al final de la página. Por esta razón recomendamos leer estos acuerdos antes de descargar software.

En el décimo lugar tenemos Trojan.Win32.Swizzor.c, pariente de Swizzor.b, que ya estuvo en el TOP20 de agosto y de Swizzor.a, que observamos en mayo. Los desarrolladores de este programa malicioso refinadamente enmarañado no han dejado de trabajar en nuevas versiones. La verdadera función de este troyano es muy simple. Se dedica a descargar otros programas maliciosos de Internet.

Programas maliciosos en Internet

La segunda tabla refleja la situación en Internet. En esta lista se enumeran los programas maliciosos detectados en páginas web y los que hicieron intentos de descargarse desde páginas web.

En la segunda tabla, a diferencia de la primera, sólo una cuarta parte de los programas ha conservado su posición, uno ha vuelto y el resto ha cambiado radicalmente. Gumblar.x sigue siendo el líder. Los webmasters poco a poco han ido limpiando los sitios infectados y por eso la cantidad de intentos únicos en diciembre es una tercera parte menor que en noviembre.

Krap.ag, mencionado en la primera tabla, ha subido 8 posiciones en la segunda. En diciembre hubo el doble de intentos de descargarlo que en noviembre. Un puesto más arriba está Krap.ai, que es un empaquetador especial para pseudoantivirus.

GamezTar.a también aparece en la segunda tabla, algo que es natural si se tienen en cuenta sus funciones web y el hecho de que este programa está orientado a los juegos online. Además, en el puesto 16 encontramos otra modificación de este programa malicioso, Gamez.Tar.b.

Trojan-Clicker.JS.Iframe.db es un descargador iframe común y corriente, y con un enredo bastante sencillo. Trojan.JS.Iframe.ez, Trojan.JS.Zapchast.bn, Packed.JS.Agent.bn, Trojan.JS.Agent.axe, Trojan-Downloader.JS.Shadraem.a y Trojan-Downloader.JS.Kazmet.d son scripts con diferentes grados de complejidad lógica y enmarañamiento, que usan las vulnerabilidades de los productos Adobe y Microsoft para descargar ficheros ejecutables.

Y al final de la lista tenemos al ejemplar más interesante de las actividades creativas de los delincuentes, Trojan-Downloader.JS.Twetti.a (lugar 17), que ha contagiado muchos sitios legítimos. El algoritmo de funcionamiento de este descargador merece que le prestemos especial atención. Después de descifrarlo, no encontramos ni un enlace a un fichero ejecutable, ni exploits, ni enlaces a exploits. Durante el análisis descubrimos que el script usa el API de la red social Twitter, que también es popular entre los delincuentes.

El troyano funciona según el siguiente esquema: se hace una solicitud al API cuyo resultado son datos de los "trends", es decir, los temas más comentados en Twitter. De los datos obtenidos se forma un nombre de dominio pseudoaleatorio que los delincuentes ya han registrado con tiempo, usando un algoritmo similar, al cual se conduce con disimulo. En este dominio se encuentra la parte maliciosa, ya sean exploits PDF o ficheros ejecutables. De esta manera, los enlaces maliciosos y la redirección hacia los mismos se hace en tiempo real, por medio de un intermediario, que, en este caso, es Twitter.

Merece la pena mencionar que los programas maliciosos Packed.JS.Agent.bn y Trojan-Downloader.JS.Twetti.a usan un fichero PDF especial para infectar los equipos, al que detectamos como Exploit.JS.Pdfka.asd y que también está en la lista TOP20, en el puesto 12. Es decir, se puede suponer que por lo menos tres populares programas maliciosos de diciembre pertenecen a un sólo grupo de delincuentes. Es más, entre los ficheros ejecutables que, como consecuencia de los ataques drive-by, se descargan en los equipos víctima se ha registrado la presencia de las familias TDSS, Sinowal y Zbot, que son una de las amenazas más serias en este momento, lo que nos da mucho que pensar.

En resumen, podemos decir que las tendencias siguen siendo las mismas. Los ataques se hacen cada vez más refinados y difíciles de analizar, y su objetivo en la mayoría de los casos es obtener dinero de una u otra manera. Aumenta la seriedad de las amenazas virtuales, que en realidad son cada vez más reales. Por esta razón, hoy la prioridad fundamental debe ser la propia seguridad.