Kaspersky Lab presentó un nuevo informe de malware, adware y programas potencialmente no deseados detectados y neutralizados durante el mes de enero.
De acuerdo con Vyacheslav Zakorzhevsky, autor del artículo, en enero se registró un significativo aumento de programas maliciosos en Internet. Entre las nuevas amenazas se encuentran: Exploit.HTML.CVE-2010-1885.aa (3°), AdWare.Win32.FunWeb.gq (4°), Trojan.JS.Redirector.os (6°), Trojan-Downloader.Java.OpenConnection.cg (9°), Hoax.Win32.ArchSMS.mvr (11°), AdWare.Win32.WhiteSmoke.a (12°), Hoax.HTML.Fraud.e (17°), Trojan-Clicker.JS.Agent.om (18°), Trojan-Downloader.Java.OpenConnection.cx (20°).
En cuanto a los programas maliciosos detectados en las computadoras de los usuarios, la clasificación permanece prácticamente invariable, con excepción de algunos cambios menores. Es la primera vez que el popular software FunWeb Hoax.Win32.ScreenSaver.b ingresa al TOP20 de programas maliciosos detectados en los ordenadores de los usuarios, pero llega directamente al cuarto lugar. AdWare.Win32.HotBar.dh continúa liderando la lista, seguido por Trojan-Downloader.Java.OpenConnection.cf en segundo lugar.
La mayoría de los programas maliciosos, sobre todo los más complejos, se camuflan en el sistema y actúan de una forma que pasa desapercibida por el usuario. Sin embargo, para que un esquema de estafa funcione, hace falta la participación del usuario. Es muy importante saber los trucos que usan los estafadores para evitar caer en sus trampas.
“En nuestro anterior análisis escribimos sobre la propagación de enlaces maliciosos en Twitter abreviados con la ayuda del servicio goo.gl. A mediados de enero, la difusión masiva de enlaces abreviados ha continuado”, cuenta el autor. De la misma forma que en diciembre, al seguir los enlaces el usuario, después de peregrinar por varias redirecciones, llega a una página con un “antivirus online”. El antivirus falso actúa según el mismo esquema de diciembre: abre en la página una ventana similar a la de Mi PC, hace una imitación de escaneado del equipo y le pide al usuario pagar para eliminar los programas maliciosos “detectados”.
De acuerdo con el estudio, se produjo una novedad en enero: la aparición de un nuevo gusano de correo, el Email-Worm.Win32.Hlux. Se propaga mediante mensajes que le dicen al usuario que ha recibido una tarjeta y que tiene que instalar Flash Player para “que la visualización de la tarjeta sea correcta”. El enlace abre una ventana de diálogo en la que se le pregunta al usuario si quiere descargar el fichero. Independientemente de la respuesta del usuario, el gusano trata de irrumpir en el equipo: a los cinco segundos de la apertura de la ventana de diálogo, se lo remite a una página que contiene una serie de exploits y programas de la familia Trojan Downloader.Java.OpenConnection que empiezan a descargar Hlux en el ordenador.
El exploit Exploit.JS.Agent.bbk, que usa la vulnerabilidad CVE-2010-0806 entró a la veintena de las amenazas más propagadas bloqueadas en los equipos de los usuarios. A pesar de que la vulnerabilidad se cerró ya a finales de marzo de 2010, aparte de Agent.bbk la explotan varios programas maliciosos más del TOP20 (puestos 6 y 13). Esto significa que la brecha en el software todavía sigue abierta en una multitud de equipos y los delincuentes siguen sacándole provecho.
Este mes, los delincuentes empezaron a utilizar una nueva manera de robar dinero a los propietarios de teléfonos celulares. El nuevo troyano Trojan-SMS.J2ME.Smmer.f se propaga por medio de un método estándar para los programas móviles escritos en Java, es decir, con la ayuda de mensajes de textos que contienen un enlace a una “tarjeta virtual”. Después de instalarse en el teléfono, el troyano envía sendos mensajes de texto a dos diferentes números de pago. Los mensajes a estos números se envían gratis. ¿Pero cómo lucran los estafadores? Resulta que uno de los proveedores de telefonía celular usa ambos números para transferir dinero de una cuenta a otra. En el primer mensaje enviado por el troyano se indica el monto que se retirará de la cuenta del dueño del teléfono infectado y el número usado por los delincuentes para recibir el dinero. El segundo mensaje se envía para confirmar la transferencia.
El informe completo puede consultarse en http://www.viruslist.com/sp/analysis?pubid=207271112
