¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Demo gratis
Dr.Web para Android

Protege lo creado

Otros recursos

  • free.drweb-av.es — utilidades gratuitas, complementos, informadores
  • av-desk.com — un servicio en Internet para los proveedores de servicios Dr.Web AV-Desk
  • curenet.drweb.com — utilidad de desinfección de red Dr.Web CureNet!
Cerrar

Perfil
Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas

Llamar

+7 (495) 789-45-86

Foro

Doctor Web: informe de la actividad de virus en julio de 2017

31 de julio de 2017

Los más destacado

Normalmente a medidos de verano pocas veces pasa algo importante en cuanto a la seguridad informática, pero este mes de julio fue una excepción. A principios del mes, los expertos de la empresa Doctor Web detectaron un backdoor completo en una aplicación para organizar el flujo de documentos electrónico M.E.Doc. Un poco más tarde, los analistas de virus detectaron la fuente de difusión del troyano BackDoor.Dande que robaba la información sobre las compras de medicamentos a empresas farmacéuticas. A finales del mes, fue comprometido el portal de los servicios públicos de la Federación de Rusia (gosuslugi.ru). Así mismo, en julio se detectaron varios programas peligrosos para la plataforma móvil Android.

Tendencias clave de julio

  • Detección de un backdoor en el programa M.E.Doc
  • Detección de la fuente de difusión del backdoor Dande
  • Compromiso del portal de servicios públicos

Amenaza del mes

La aplicación para organizar el flujo de documentos electrónicos M.E.Doc, popular en Ucrania, fue desarrollada por la empresa Intellect Service. En un componente de esta aplicación, ZvitPublishedObjects.Server.MeCom, los analistas de virus Doctor Web detectaron una entrada que corresponde a la clave característica del registro de sistema Windows: HKCU\SOFTWARE\WC.

#drweb

La misma clave del registro fue usada por el troyano cifrador Trojan.Encoder.12703 para su funcionamiento. Los analistas de virus investigaron el archivo del registro del antivirus Dr.Web recibido del equipo de un cliente nuestro y detectaron que este encoder fue iniciado en el equipo afectado por la aplicación ProgramData\Medoc\Medoc\ezvit.exe, un componente del programa M.E.Doc:

#drweb

La posterior investigación del programa detectó que en una biblioteca suya— ZvitPublishedObjects.dll — hay un backdoor capaz de realizar las funciones siguientes:

Además, el módulo de actualización M.E.Doc permite iniciar la carga útil con la utilidad rundll32.exe con opción #1 — así en los equipos infectados fue iniciado Trojan.Encoder.12544. Para más información sobre la investigación, Doctor Web consulte el artículo publicado en nuestro sitio web.

Estadísticas

Según los datos estadísticos del Antivirus Dr.Web

#drweb

Según los datos de servidores de estadísticas de Doctor Web

#drweb

Estadísticas de programas nocivos en el tráfico del correo

#drweb

Según los datos del bot Dr.Web para Telegram

#drweb

Cifradores

#drweb

En julio, el servicio de soporte técnico de la empresa Doctor Web con mayor frecuencia fue contactado por los usuarios víctimas de siguientes modificaciones de troyanos cifradores:

Sitios web peligrosos

Durante el mes de julio de 2017, la base de los sitios web no recomendados y nocivos fue completada con 327 295 direcciones de Internet.

Junio 2017Julio 2017Dinámica
+ 229 381+ 327 295+ 42,6%

A mediados de julio, el portal de los servicios públicos de la Federación de Rusia (gosuslugi.ru) fue potencialmente peligroso para usuarios – los analistas de virus de la empresa Doctor Web detectaron un código potencialmente peligroso en el mismo. Este código hacía que el navegador de cualquier visitante del sitio web sin autorización se conectara a una de no menos de 15 direcciones de dominio registradas para un particular desconocido, 5 de las cuales, como mínimo, pertenecían a las empresas holandesas. Durante la generación dinámica de la página del sitio web solicitada por el usuario, al código html de las páginas web se añade el contenedor <iframe> que permite cargar o solicitar cualquier datos de terceros al navegador del usuario. Todas las vulnerabilidades del sitio web gosuslugi.ru fueron corregidas por la administración del recurso a unas horas de publicación de la noticia sobre este incidente.

Otros eventos de seguridad informática

En el año 2011, la empresa Doctor Web informó sobre la aparición del troyano BackDoor.Dande que espiaba las empresas farmacéuticas y farmacias. Al haber investigado el disco duro proporcionado por una empresa víctima, los analistas de virus detectaron que el troyano fue descargado e iniciado en sistemas objetivo por un componente de la aplicación ePrica, usada por los directivos de las farmacias para analizar los precios de medicamentos y seleccionar los mejores proveedores. Este módulo descargaba el instalador BackDoor.Dande desde el servidor de Spargo Technologies que iniciaba el backdoor en equipos atacados. Así mismo, el módulo indicado tenía la firma digital Spargo.

El análisis realizado por la empresa Doctor Web demostró que los componentes de BackDoor.Dande estaban incrustados directamente en una versión reciente del instalador ePrica. Entre los módulos del troyano, hay un instalador del backdoor, así como los componentes para recabar la información sobre las compras de medicamentos que reciben la información necesaria de las bases de datos de programas de farmacias. Así mismo, uno de ellos se usaba para copiar la información sobre las compras de fármacos que reciben la información necesaria desde las bases de datos del programa 1C. Cabe destacar que hasta una vez desinstalado el software ePrica, el backdoor permanecía en el sistema y seguía espiando a los usuarios. Para más información sobre la investigación del software ePrica realizada por los expertos de Doctor Web, véase el artículo publicado en nuestro sitio web.

Software nocivo y no deseado para dispositivos móviles

A principios del mes, los expertos de la empresa Doctor Web detectaron un troyano descargador Android.DownLoader.558.origin en el juego popular BlazBlue disponible en el catálogo Google Play. Este programa nocivo pudo descargar e iniciar sin autorización los componentes de aplicaciones no escaneados. Más tarde, los analistas de virus investigaron un troyano peligroso Android.BankBot.211.origin. Podía administrar los dispositivos móviles infectados, robaba la información bancaria confidencial y otra información secreta, así mismo, las contraseñas. A finales del mes, los analistas de virus detectaron un troyano Android.Triada.231, incrustado por los malintencionados en una biblioteca de sistema del SO Android y colocado en el el firmware de varios modelos de dispositivos móviles. Este programa nocivo se implementaba en los procesos de todos los programas iniciados e iniciaba los módulos troyanos sin autorización.

Eventos más destacados vinculados a la seguridad «móvil» en julio:

Para más información sobre virus para dispositivos móviles en julio, véase nuestro informe.

Desarrollador ruso de antivirus Dr.Web

Experiencia de desarrollo a partir del año 1992

Dr.Web se usa en más de 200 países del mundo

Entrega de antivirus como servicio a partir del año 2007

Soporte 24 horas

© Doctor Web
2003 — 2017

Doctor Web es un productor ruso de los medios antivirus de protección de la información bajo la marca Dr.Web. Los productos Dr. Web se desarrollan a partir del año 1992.

125040, Rusia, Moscú, c/3 Yamskogo Polya, 2, edif.12А