Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas | Normas de contactar

Sus solicitudes

Perfil

Doctor Web: informe de la actividad de virus en noviembre de 2015

30 de noviembre de 2015

El mes de noviembre de 2015 se destaca por la aparición de la información sobre la difusión del cifrador para sistemas operativos de la familia Linux, llamado Linux.Encoder.1. Este encoder es otro troyano más para los usuarios del SO Linux: aún en agosto de 2014 la empresa Doctor Web informó sobre la aparición del troyano Trojan.Encoder.737, capaz de cifrar los archivos guardados en almacenes de red de la empresa Synology. Además. Antes de la difusión de Linux.Encoder.1, aparecieron por lo menos dos versiones de este programa nocivo. Así mismo, la actividad destructiva de Linux.Encoder.1 fue la más masiva: según los datos del sistema de búsqueda Google, este encoder infectó más de 3000 sitios web en todo el mundo.

Tendencias clave de noviembre

  • Infección de más de 3000 sitios web por el troyano cifrador peligroso Linux.Encoder.1
  • Difusión de programas nocivos que abren el acceso no sancionado al equipo infectado
  • Aparición de los nuevos troyanos para Microsoft Windows y la plataforma móvil Google Android

Amenaza del mes

El objetivo básico de los creadores de virus que difundían el troyano encoder Linux.Encoder.1, eran los dueños de los sitios web que funcionan bajo CMS tan populares como WordPress, Magento y otros. Para realizar los ataques, se usaba una vulnerabilidad aún no detectada. Como averiguaron los expertos, este cifrador no necesita los derechos root para su funcionamiento— basta con disponer de privilegios de usuario de www-data, es decir, derechos de una aplicación que funciona en nombre del servidor web. Según los datos a fecha de 12 de noviembre, Linux.Encoder.1 supuestamente infectó más de 2000 sitio web — se puede sacar esta conclusión al realizar una búsqueda en Google por nombre del archivos con demandas de los malintencionados. Pero ya a fecha de 24 de noviembre, el número de recursos en Internet similares superó 3000.

screen #drweb

El troyano se inicia en el servidor donde está ubicado el sitio web atacado, usando el contenido de Shell script anteriormente implementado en el sistema de administración del contenido. Usando este script, los malintencionados ubican en el servidor en la misma carpeta otro archivo, un dropper del troyano encoder Linux.Encoder.1. Al activarse por comando de los malintencionados, el dropper detecta la arquitectura del sistema operativo funcionando en el servidor (versión Linux de 32 o 64 bits), extrae de su propio cuerpo una copia correspondiente del cifrador y la inicia, y luego se elimina. Al iniciarse en el servidor atacado, el troyano cifra los archivos en carpetas para las cuales tiene derecho de escritura. Luego guarda en la unidad del servidor un archivo llamado README_FOR_DECRYPT.txt que contiene instrucciones para descifrar archivos y las demandas de los malintencionados. Si por alguna razón resulta que el cifrador tiene más privilegios, el mismo dañará no solo una carpeta del servidor web.

screen #drweb

Son posibles varias causas de infección de un sitio web por este programa nocivo: configuración incorrecta del servidor web por los administradores, instalación inoportuna de la actualización de seguridad de sistemas de administración del contenido, el uso de versiones obsoletas de CMS, así como de componentes comerciales o módulos WordPress, Magento hackeados etc.

Como los creadores de Linux.Encoder.1 hicieron varios errores importantes en el código de este cifrador, se puede descifrar los datos dañados por este encoder. Para saber más sobre las peculiaridades del funcionamiento de este programa nocivo, consulte el artículo informativo publicado en el sitio web de la empresa Doctor Web y una investigación más detallada de este troyano.

Según los datos estadísticos de la utilidad de desinfección Dr.Web CureIt!

screen #drweb

Según los datos de servidores de estadísticas Doctor Web

screen #drweb

Estadísticas de programas nocivos en el tráfico de correo

screen #drweb

Botnets

Los expertos de la empresa Doctor Web siguen supervisando con atención la actividad de dos subredes de la botnet que consiste en los equipos infectados por el virus de archivos Win32.Rmnet.12. En los gráficos siguientes puede consultarse la actividad de estas botnets en noviembre de 2015:

screen #drweb

screen #drweb

Rmnet — es una familia de virus de archivos que se difunden sin participación de usuario y son capaces de incrustar el contenido ajeno en las páginas web visualizadas por el usuario (lo que teóricamente permite a los ciberdelincuentes obtener acceso a la información bancaria de la víctima), así como robar los archivos cookies y las contraseñas de los clientes FTP más populares y realizar varios comandos de los malintencionados.

Igual que antes, sigue funcionando la botnet creada por los malintencionados usando el virus de archivos Win32.Sector. Un gráfico de la actividad media diaria de esta botnet puede consultarse en la figura siguiente:

screen #drweb

Este programa nocivo tiene las siguientes funciones destructivas:

La tendencia de reducción de ataques DDoS usando el troyano Linux Linux.BackDoor.Gates.5, que empezó el mes pasado, continuó en noviembre también. El número de los recursos en Internet atacados por los ciberdelincuentes bajó un 27.9% y fue de 3641. El líder absoluto por número de ataques es China, los EE.UU. ocupan la segunda posición.

screen #drweb

Troyanos cifradores

screen #drweb

Cifradores más difundidos en noviembre de 2015:

Las solicitudes para descifrar archivos llegan al servicio de soporte técnico no solo de Rusia, sino también desde el extranjero. La empresa Doctor Web ayuda activamente a los usuarios de países europeos víctimas de los troyanos encoders. Además, en noviembre los dueños de los sitios web infectados por el cifrador Linux.Encoder.1 contactaban con el servicio de soporte técnico de Doctor Web. Cabe destacar que las utilidades conocidas hoy día destinadas para descifrar los archivos dañados por Linux.Encoder.1 no eliminan el shell script implementado por los malintencionados en el servidor infectado, que puede ser usado posteriormente para volver a infectar el sistema. Por eso los expertos del servicio de soporte técnico de la empresa Doctor Web ayudan a todos los dueños de sitios web que piden ayuda para descifrar archivos a limpiar el sistema de objetos nocivos ajenos y asegurarlo contra los ataques posibles usando este cript en el futuro.

Dr.Web Security Space 11.0 para Windows
protege contra los troyanos cifradores

No hay esta funcionalidad en la licencia del Antivirus Dr.Web para Windows

Protección de los datos contra la pérdida
Protección de los datos contra la pérdidaProtección de los datos contra la pérdida

Más información

Programas nocivos para Linux

El troyano cifrador muy famoso Linux.Encoder.1 resultó ser otro encoder que amenaza a los usuarios de este sistema operativo. Los expertos de seguridad informática detectaron por los menos dos otros representantes de esta familia de programas nocivos que aparecieron antes de Linux.Encoder.1, pero durante mucho tiempo permanecían desconocidos para los analistas de las empresas antivirus.

Así, por ejemplo, el troyano llamado Linux.Encoder.2, se distingue de sus análogos por usar otro generador de números pseudoaleatorios, para cifrar aplica la biblioteca OpenSSL (y no PolarSSL, como en Linux.Encoder.1) y cifra los datos en modo AES-OFB-128. Así mismo, el contexto vuelve a inicializarse cada 128 bytes, es decir, cada 8 bloques de AES. Así mismo, Linux.Encoder.2 tiene varias otras diferencias de la realización alternativa de este encoder. Para más información detallada sobre este programa nocivo, consulte nuestro artículo.

Además, en noviembre los analistas de virus de la empresa Doctor Web detectaron el troyano Linux.Sshcrack.1 destinado para obtener acceso no sancionado a varios dispositivos por medio de averiguar el nombre de usuario y la contraseña usando diccionario (bruteforce).

Otros programas nocivos

A mediados de noviembre los especialistas de Doctor Web investigaron un paquete entero de programas nocivos llamado BackDoor.RatPack. Los ciberdelincuentes lo difundían como un documento en formato RTF, al intentar abrir el cual, en el equipo de la víctima se descifraba y se guardaba un archivo nocivo. Cabe destacar que este archivo, un programa instalador, tiene la firma digital válida (igual que casi todos los archivos del conjunto BackDoor.RatPack).

screen #drweb

Al iniciarse, el instalador intenta detectar la presencia de máquinas virtuales, programas monitores y depuradores en el equipo atacado, y luego comprueba la existencia en el sistema de programas banca-cliente de varis entidades de crédito rusas. La carga útil del instalador son varias variantes de la utilidad legal condicionalmente gratuita Remote Office Manager — los expertos de la empresa Doctor Web detectaron como mínimo tres variantes similares con varias configuraciones. Por medio de interceptar algunas funciones del sistema, el programa nocivo oculta los iconos de esta utilidad en el área de notificación y la barra de tareas Windows, para que el usuario no pueda detectarla de forma oportuna. Se puede suponer que al aplicar BackDoor.RatPack los malintencionados intentan obtener acceso a las cuentas bancarias y la información confidencial de las víctimas por medio de la administración remota del equipo infectado. Para más información sobre este incidente, consulte el artículo informativo publicado en el sitio web de la empresa Doctor Web.

Sitios web peligrosos

Durante el mes de noviembre de 2015, a la base de los sitios web no recomendados y nocivos fueron añadidas 670 545 direcciones de Internet.

Octubre 2015Noviembre 2015Dinámica
+ 264 970+ 670 545+ 153 %

Sitios web no recomendados

Software nocivo y no deseado para Android

El mes de noviembre resultó ser bastante tranquilo para los usuarios de dispositivos móviles. Pero aun así, en noviembre los ciberdelincuentes seguían intentando infectar los smartphones y las tabletas con el software nocivo y no deseado que se añadía de forma oportuna a la base de virus Dr.Web. En particular los analistas de virus de la empresa Doctor Web detectaron una aplicación en Android de publicidad que se instalaba en el sistema usando el troyano y visualizaba las notificaciones inoportunas por encima de las aplicaciones iniciadas por los usuarios. Así mismo, durante todo el mes a los dueños de smartphones y tabletas en Android les amenazaban los troyanos extorsionistas, los bankers, los troyanos SMS y otras aplicaciones nocivas. Además, en noviembre fue detectado otra variedad del troyano que infecta los dispositivos bajo la administración de iOS.

Loa eventos más destacados vinculados con la seguridad «móvil» en noviembre:

Para más información sobre los eventos de virus para dispositivos móviles en octubre, consulte nuestro informe.

Saber más con Dr.Web

Estadísticas de virus Biblioteca de descripciones Todos los informes de virus Laboratorio-live