Protege lo creado

Otros recursos

  • free.drweb-av.es — utilidades gratuitas, complementos, informadores
  • av-desk.com — un servicio en Internet para los proveedores de servicios Dr.Web AV-Desk
  • curenet.drweb.com — utilidad de desinfección de red Dr.Web CureNet!
Cerrar

Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas | Normas de contactar

Sus solicitudes

Perfil

Doctor Web: informe de la actividad de virus en abril de 2017

28 de abril de 2017

En abril tuvieron lugar muchos eventos vinculados con la seguridad informática. A principios del mes, los ciberdelincuentes organizaron un envío nocivo para difundir un troyano multicomponente. Sirve para robar la información confidencial desde el equipo infectado. A mediados de abril, los expertos de Doctor Web investigaron un esquema fraudulento donde los malintencionados usaron un programa nocivo para engañar a usuarios. A finales del mes, se detectó una vulnerabilidad en el software Microsoft Office y se detectó la difusión del troyano que robaba contraseñas desde el equipo infectado.

Tendencias clave de abril

  • Difusión del envío nocivo con un troyano multicomponente
  • Detección de una vulnerabilidad en Microsoft Office
  • Difusión de programas troyanos para Windows

Amenaza del mes

Un troyano multifuncional llamado Trojan.MulDrop7.24844 se difundía como un adjunto archivado en mensajes del correo electrónico.

#drweb

El archivo contiene un contenedor comprimido creado usando las posibilidades del lenguaje Autoit. Un componente que Trojan.MulDrop7.24844 inicia en el equipo infectado es la aplicación para la administración remota detectada por el Antivirus Dr.Web como Program.RemoteAdmin.753. Además, el troyano guarda en la unidad dos aplicaciones más que son versiones de 32- y 64-bits de la utilidad Mimikatz. Sirve para interceptar las contraseñas de sesiones abiertas en Windows. Trojan.MulDrop7.24844 activa un keylogger que guarda en el archivo la información sobre las teclas pulsadas por el usuario y realiza otras funciones establecidas por la opción asignada al activar el mismo. El troyano les abre el acceso remoto por protocolo RDP (Remote Desktop Protocol) a los malintencionados para que los mismos puedan administrar el equipo infectado. Para más información sobre este programa nocivo, consulte el artículo publicado en el sitio web de la empresa Doctor Web.

Según los datos de las estadísticas del Antivirus Dr.Web

Según los datos de las estadísticas del Antivirus Dr.Web #drweb

Según los datos de los servidores de estadísticas Doctor Web

Según los datos de los servidores de estadísticas Doctor Web #drweb

Estadísticas de programas nocivos en el tráfico de correo

Estadísticas de programas nocivos en el tráfico de correo #drweb

Según los datos del bot Dr.Web para Telegram

Según los datos del bot Dr.Web para Telegram #drweb

encruptor #drweb

En abril, el servicio de soporte técnico de la empresa Doctor Web con mayor frecuencia fue contactado por los usuarios víctimas de las siguientes modificaciones de troyanos cifradores:

Dr.Web Security Space 11.0 para Windows
protege contra los troyanos cifradores

No hay esta funcionalidad en la licencia Antivirus Dr.Web para Windows.

Protección de datos contra la pérdida
Protección preventivaProtección de datos contra la pérdida

Más información Ver el vídeo sobre la configuración

En abril del año 2017 a la base de sitios web no recomendados y nocivos se añadieron 568 903 direcciones en Internet.

Marzo 2017Abril 2017Dinámica
+ 223 173+ 568 903+ 154.91%

A finales de abril, la empresa Doctor Web informó sobre un esquema fraudulento usado desde hace poco por los estafadores de red que se dedican a los partidos fraudulentos.

 #drweb

Normalmente los malintencionados venden la información falsa sobre los resultados de futuras competiciones a los usuarios inocentes, usando la cual supuestamente se puede apostar para ganar en casas de apuestas. Ahora los ciberdelincuentes le ofrecen a la víctima potencial descargar un archivo RAR de autodescompresión protegido por la contraseña que contiene un archivo de texto con resultados de un partido. La contraseña para el archivo los delincuentes la envían una vez finalizada la competición – así la víctima potencial podrá asegurarse de la calidad del pronóstico. Pero en vez del archivo, recibe un programa creado por los malintencionados que imita completamente la interfaz y el comportamiento del archivo SFX creado con la aplicación WinRAR. Este “archivo” falsificado contiene una plantilla del archivo de texto adonde usando un algoritmo especial se insertan los resultados necesarios del partido en función de la contraseña introducida por el usuario. El programa fue añadido a las bases de virus Dr.Web bajo el nombre Trojan.Fraudster.2986, y las direcciones de las páginas web que la difunden – a las bases de sitios web no recomendados.

Conozca más sobre los sitios web no recomendados por Dr.Web

Otros eventos de seguridad informática

A finales de abril fue detectado la difusión del programa nocivo Trojan.DownLoader23.60762, destinado para robar las contraseñas de navegadores populares y descargar varios archivos sin autorización. En el equipo infectado el troyano se incrusta en los procesos de navegadores e intercepta las funciones responsables del trabajo con la red. Puede ejecutar los comandos siguientes:

Para más información sobre este programa nocivo, consulte el material publicado en nuestro sitio web.

Así mismo, en abril fue detectada una vulnerabilidad en el editor de textos Word que forma parte del paquete Microsoft Office. Los malintencionados crearon un exploit Exploit.Ole2link.1 para esta vulnerabilidad. El exploit fue realizado como un documento Microsoft Word con extensión .docx. Al intentar abrir este documento, se carga otro archivo llamado doc.doc que contiene un script HTA incrustado detectado por Dr.Web como PowerShell.DownLoader.72. Este script HTA creado con sintaxis Windows Script inicia el interpretador de comandos PowerShell. En el mismo se procesa otro script nocivo que descarga el archivo ejecutable en el equipo atacado. Para más información sobre la vulnerabilidad, consulte el artículo informativo correspondiente.

Programas nocivos para Linux

Durante el mes pasado los expertos de la empresa Doctor Web detectaron 1 317 388 ataques a varios dispositivos Linux, de ellos 147 401 se realizaron por protocolo SSH y 1 169 987— por protocolo Telnet. La proporción de los programas nocivos que los ciberdelincuentes descargaban en dispositivos atacados puede consultarse en el diagrama siguiente:

 #drweb

En abril los analistas de virus de la empresa Doctor Web investigaron la versión actualizada del programa nocivo de la familia Linux.UbntFM, llamado Linux.UbntFM.2. Este troyano fue desarrollado por los creadores de virus para sistemas operativos de la familia Linux, entre ellos, Air OS, producida por Ubiquiti Networks que lo instala en sus dispositivos. Fue realizado en scritps bash que se difunden en el archivo tgz.

Linux.UbntFM.2 crea las nuevas cuentas en el dispositivo infectado y, así mismo, puede descargar e iniciar archivos aleatorios. Además, el troyano sabe atacar los dispositivos remotos usando la vulnerabilidad en la interfaz web Air OS que permite cargar un archivo aleatorio por ruta aleatoria sin autenticarse. Si el troyano no logra instalar el protocolo (o si en el equipo atacado no está instalado Air OS), puede intentar averiguar las cuentas para la conexión SSH usando un diccionario y los nombres de usuario "root", "admin", "ubnt" con las contraseñas que se guardan en el archivo "passlst". Para más información sobre las bases de funcionamiento de este programa nocivo, consulte la descripción técnica.

Además, en abril fue detectada la nueva versión del troyano de la familia Fgt — Linux.BackDoor.Fgt.645. Esta modificación del programa nocivo, a diferencia de sus antecesores, tiene un conjunto de funciones limitado (entre los cuales solo queda un módulo para hackear los abonados remotos y un dropper), así mismo, la nueva versión ahora tiene posibilidad de enviar solicitudes para descargar e iniciar el script sh.

Software nocivo y no deseado para dispositivos móviles

En abril a la base de virus Dr.Web fue añadido un nuevo troyano espía llamado Android.Chrysaor.1.origin. Los creadores de virus podían usarlo para ataques objetivo para robar la información confidencial a los usuarios de dispositivos móviles bajo la administración del SO Android. Así mismo, el mes pasado, en el catálogo Google Play se detectaron varios troyanos bancarios a la vez. Uno de ellos fue llamado Android.BankBot.179.origin. Se propagaba como si fuera un programa para ver vídeos en línea que en realidad realizaban la función declarada. Otro banker Android detectado en Google Play fue añadido a la base de virus como Android.BankBot.180.origin. Era un programa linterna.

Los eventos más desacatados vinculados a la seguridad “móvil” en abril:

Para más información sobre virus para dispositivos móviles en abril, consulte nuestro informe.

Conozca más con Dr.Web

Estadísticas de virus Biblioteca de descripciones Todos los informes de virus

Desarrollador ruso de antivirus Dr.Web

Experiencia de desarrollo a partir del año 1992

Dr.Web se usa en más de 200 países del mundo

Entrega de antivirus como servicio a partir del año 2007

Soporte 24 horas

© Doctor Web
2003 — 2019

Doctor Web es un productor ruso de los medios antivirus de protección de la información bajo la marca Dr.Web. Los productos Dr. Web se desarrollan a partir del año 1992.

125040, Rusia, Moscú, c/3 Yamskogo Polya, 2, edif.12А