PARA USUARIOS

Cerrar

Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Buscar
Buscar

Soporte
Soporte 24 horas | Normas de contactar

Escribir

una solicitud al rellenar un formulario

Llamar

+7 (495) 789-45-86

Foro

Sus solicitudes

Crear una nueva solicitud

Llamar

+7 (495) 789-45-86

Perfil

ES

RU CN DE EN ES FR IT JP KZ UZ PL BY
Cerrar
Noticias

Noticias por temas

Noticias sobre virus
El mundo de antivirus
Informadores
Centro de prensa

Doctor Web: informa de la actividad de virus en junio de 2016

30 de junio de 2016

El primer mes de verano del año 2016 resultó ser muy «caulroso” para los expertos en seguridad informática— a principios de junio los analistas de virus de la empresa Doctor Web terminaron la investigación del nuevo virus bancario Bolik, y luego fue investigado el troyano de publicidad sin cuerpo Trojan.Kovter.297. Además, en junio hubo más ataques a usuarios de programas de contabilidad rusos. Al principio, fue detectada la difusión del troyano creado en el lenguaje de programación incrustado 1С que iniciaba el cifrador peligroso en el equipo atacado. Luego fue investigado el troyano espía Trojan.PWS.Spy.19338 capaz de registrar las pulsaciones de teclas en varias aplicaciones populares, así mismo, en programas de contabilidad populares. Así mismo, durante este mes los analistas de virus detectaron 2 veces en el catálogo oficial Google Play los troyanos para la plataforma móvil Android.

Tendenicas clave de junio

  • Aparición del virus bancario polimórfico Bolik
  • Difusión del troyano para la aplicación 1С
  • Aparición del troyano de publicidad sin cuerpo Trojan.Kovter
  • Difusión del troyano espía peligroso Trojan.PWS.Spy.19338

Amenaza del mes

Los programas de la familia 1С son muy populares entre los contables y economistas de empresas rusas. También son de interés para los creadores de virus: los analistas de la empresa Doctor Web ya detectaban aplicaciones nocivas creadas en el lenguaje de programación incrustado 1С. El troyano 1C.Drop.1 tiene otra arquitectura y objetivo — es un dropper de plena función que guarda en la unidad e inicie el cifrador peligroso Trojan.Encoder.567.

screen Trojan.Encoder.567 #drweb

El troyano se difunde en los mensajes del correo electrónico con el asunto «Hemos cambiado el BIC del banco», que tienen adjunto un archivo de procesamiento externo para el programa «1С:Empresa». Si el destinatario de este mensaje sigue las instrucciones adjuntas y abre este archivo en el programa «1С:Empresa», el troyano enviará su propia copia a direcciones del correo electrónico detectadas en la base de contrapartes, y luego extraerá de sus recursos, guardará en la unidad e iniciará el troyano cifrador Trojan.Encoder.567. Este encoder peligroso que tiene varias modificaciones, cifra los archivos que se guardan en las unidades del equipo infectado y demanda un rescate por descifrarlos. 1C.Drop.1 soporta el trabajo con las bases de las siguientes configuraciones de 1С:

Para la información más detallada sobre este programa nocivo, véase el artículo informativo publicado en el sitio web de la empresa doctor Web.

Según los datos estadísticos de la utilidad de desinfección Dr.Web CureIt!

Según los datos estadísticos de la utilidad de desinfección Dr.Web CureIt! #drweb

Según los datos de servidores de estadísticas Doctor Web

Según los datos de servidores de estadísticas Doctor Web #drweb

Estadística de programas nocivos en el tráfico de correo

Estadística de programas nocivos en el tráfico de correo #drweb

Troyanos cifradores

Troyanos cifradores #drweb

Los troyanos cifradores más difundidos en junio de 2016:

En junio de 2016 fue muy difundido el troyano cifrador Trojan.Encoder.4860, así mismo, conocido como JS.Crypt. Este encoder se destaca por ser creado completamente en el lenguaje JScript. El troyano llama a sí mismo— «virus RAA», y la extensión de los archivos cifrados es *.locked. Una vez cifrados los archivos de usuarios, Trojan.Encoder.4860 coloca en las carpetas raíz de las unidades un documento RTF siguiente:

screen Trojan.Encoder.4860 #drweb

Lamentablemente, de momento los expertos de la empresa Doctor Web no disponen de herramientas para descifrar los archivos dañados por esta versión de troyano cifrador.

Dr.Web Security Space 11.0 para Windows
protege de troyanos cifradores

No hay esta funcionalidad en la licencia Antivirus Dr.Web para Windows

Protección de datos contra la pérdida
Protección de datos contra la pérdidaProtección de datos contra la pérdida

Más información

Otros eventos

A principios de junio los analistas de virus de la empresa Doctor Web finalizaron la investigación del virus bancario peligroso Trojan.Bolik.1. Sirve para robar dinero desde las cuentas de clientes de bancos rusos, robar la información confidencial, así como para espionaje. El virus hereda algunas soluciones técnicas de los troyanos bancarios muy conocidos Zeus (Trojan.PWS.Panda) y Carberp, pero, a diferencia de ellos, puede difundirse de forma autónoma e infectar los archivos ejecutables.

Por comando de ciberdelincuentes, Trojan.Bolik.1 busca los archivos ejecutables en las carpetas de red y en dispositivos USB conectados al equipo, y luego los infecta. Los programas infectados por este virus se detectan por el Antivirus Dr.Web bajo el nombre Win32.Bolik.1. Dentro de cada programa se guarda el mismo troyano Trojan.Bolik.1 cifrado, así como otra información necesaria para el virus.

Trojan.Bolik.1 puede controlar los datos transmitidos y enviados por los navegadores Microsoft Internet Explorer, Chrome, Opera y Mozilla Firefox (gracias a lo cual, es capaz de robar información que el usuario introduce en los formularios de pantalla). Además, el virus sabe hacer copias de pantalla, registrar las pulsaciones de teclas, crear en el equipo infectado su propio servidor proxy y el servidor web que permite intercambiar archivos con los malintencionados. Para más información sobre este programa nocivo, consulte el artículo informativo preparado por la empresa Doctor Web.

Otra novedad de junio es el troyano sin cuerpo Trojan.Kovter.297. Este programa nocivo, sin que el usuario lo note, inicie en modo de segundo plano varias copias del navegador Microsoft Internet Explorer, vista los sitios web indicados por los malintencionados usando las mismas y falsifica el aumento de consultas de publicidad haciendo clics en los enlaces de publicidad y banners. La peculiaridad del troyano es que el mismo no está en el equipo infectado como archivo autónomo. Sino funciona directamente en la memoria operativa, usando el registro de sistema Windows para guarda a sí mismo.

screen Trojan.Kovter.297 #drweb

Para la información más detallada sobreо Trojan.Kovter.297, véase el material de noticias correspondiente.

A finales del mes los analistas de virus Doctor Web detectaron un grupo entero de programas nocivos, entre los cuales estaba Trojan.PWS.Spy.19338 — un troyano espía destinado para contables. El objetivo clave de este troyano es supervisar las pulsaciones de teclas en las ventanas de algunas aplicaciones, entre las cuales hay— 1С de varias versiones y СБиС++. Así mismo, recaba la información sobre el sistema infectado y transmite a los malintencionados los datos del portapapeles del equipo infectado. Para más información sobre Trojan.PWS.Spy.19338, consulte nuestro artículo de noticias.

En junio fue registrada la difusión del troyano Linux Linux.BackDoor.Irc.13. Este programa nocivo es una modificación de Linux.BackDoor.Tsunami, pero no contiene funciones para realizar ataques DDoS. Este troyano recibe comandos usando el protocolo IRC (Internet Relay Chat) que sirve para intercambiar los mensajes de texto en Internet.

Los creadores de virus también prestaron atención a los usuarios de equipos Apple: en junio los expertos de Doctor Web detectaron un nuevo troyano para OS X, llamado Mac.BackDoor.SynCloud.1. Al iniciarse, extrae los nombres de usuario y las contraseñas de toso los usuarios de OS X autorizados en el sistema en el momento y envía esta información al servidor administrativo. Por comando de los malintencionados, Mac.BackDoor.SynCloud.1 puede descargar del servidor de comandos e iniciar en el equipo infectado un archivo ejecutable o un script en el lenguaje Python, o realizar otras acciones, por ejemplo, actualizar su versión. Todas la información que Mac.BackDoor.SynCloud.1 1 intercambia con el servidor administrativo, se cifra.

Sitios web peligrosos

Durante el mes de junio del año 2016 a la base de los sitios web no recomendados y nocivos se añadieron 1 716 920 direcciones en Internet.

Mayo 2016Junio 2016Dinámica
+ 550 258+ 1 716 920+212%
Sitios web no recomendados

Software nocivo y no deseado para dispositivos móviles

En junio los analistas de virus de la empresa Doctor Web detectaron varias aplicaciones nocivas que se difundían en el catálogo Google Play. Una de ellas fue llamada Android.Valeriy.1.origin. Este troyano descargaba los sitios web sospechosos y los visualizaba como banners de publicidad donde a los usuarios se les ofrecía indicar su número de teléfono para acceder a varios servicios, pero, una vez introducido el número, se cobraban pagos de la cuenta de la víctima. Así mismo, el troyano pudo descargar otras aplicaciones nocivas y ejecutar los scripts JavaScript.

Otro programa nocivo detectado en el catálogo Google Play fue añadido a la base de virus como Android.PWS.Vk.3. Este troyano era un reproductor de audio para escuchar música publicada en la red social «VKontakte». Android.PWS.Vk.3 solicitaba a los usuarios el nombre de usuario y la contraseña de la cuenta y luego transmitía estos datos a los malintencionados.

Eventos más destacados vinculados a la seguridad móvil en junio:

Para más información sobre los eventos de virus para dispositivos móviles, consulte nuestro informe.

Conozca más con Dr.Web

Estadísticas de virus Biblioteca de descripciones Todos los informes de virus