Doctor Web: informe de la actividad de virus en marzo de 2019

3 de abril de 2019

En marzo los analistas de virus de la empresa Doctor Web finalizaron el análisis de un troyano que amenazaba a los jugadores de Counter-Strike 1.6. Entre las amenazas más importantes del mes de marzo se observa una dinámica comparado con los resultados del mes pasado. Por ejemplo, la actividad de Trojan.MulDrop8.60634 bajó casi tres veces, y el número de tales amenazas como Trojan.Packed.24060 y Adware.OpenCandy.243 subió de repente en el último mes. Así mismo, se añadieron menos nombres de dominio a la base de sitios web no recomendados y nocivos que en el mes pasado y el soporte técnico de Doctor Web recibió más solicitudes para descifrar los datos.

Amenaza del mes

En marzo los analistas de Doctor Web publicaron una investigación detallada del troyano Belonard que usa las vulnerabilidades del día cero en el cliente Steam del juego Counter-Strike 1.6. Al penetrar en el equipo de la víctima, el troyano cambiaba los archivos del cliente y creaba los servidores proxy de juego para infectar a otros usuarios. El número de servidores nocivos CS 1.6 creados por el troyano Belonard alcanzó un 39% del número de todos los servidores oficiales registrados en Steam. Ahora todos los módulos del troyano Belonard se detectan correctamente por el antivirus Dr.Web y no amenaza a nuestros usuarios.

Más información sobre el troyano

Según los datos de servidores de estadísticas Doctor Web

Amenazas de este mes:

Trojan.Packed.24060

Instala las extensiones nocivas para navegadores que redirigen desde los resultados de búsqueda en los sistemas de búsqueda a otros sitios web.

Adware.Softobase.12

Un programa instalador que difunde el software obsoleto. Cambia la configuración del navegador.

Adware.OpenCandy.243

Una familia de aplicaciones destinadas para instalar varios tipos de software. Los programas de esta familia se usan por los desarrolladores de aplicaciones gratuitas para la monetización.

Adware.Ubar.13

Un cliente Torrent que instala software no deseado en el dispositivo.

Trojan.Starter.7394

Un troyano destinado para iniciar otro software nocivo en el dispositivo.

Bajó el número de amenazas de:

Trojan.MulDrop8.60634

Instala otros troyanos en el sistema. Todos los componentes instalados están en el cuerpo de Trojan.MulDrop.

Adware.Downware.19283

Un programa instalador, normalmente se difunde con el contenido pirata. Al instalarse, puede cambiar la configuración de navegadores e instalar otros programas no deseados.

Estadísticas de programas nocivos en el tráfico de correo

Exploit.ShellCode.69

Un documento nocivo de Microsoft Office Word. Usa la vulnerabilidad CVE-2017-11882.

W97M.DownLoader.2938

Una familia de troyanos descargadores que usan las vulnerabilidades de las aplicaciones de oficina para su funcionamiento. Sirven para descargar otros programas nocivos en el equipo atacado.

Exploit.Rtf.CVE2012-0158

Un documento modificado de Microsoft Office Word que usa la vulnerabilidad CVE2012-0158 para ejecutar el código nocivo.

Trojan.SpyBot.699

Un troyano bancario multimódulo. Permite a los ciberdelincuentes descargar e iniciar en el dispositivo infectado varias aplicaciones y ejecutar los comandos que llegan de los mismos. El troyano sirve para robar el dinero de las cuentas bancarias.

JS.DownLoader.1225

Una familia de scripts nocivos creados en JavaScript. Descargan e instalan en el equipo otros programas nocivos.

Trojan.PWS.Stealer.23680

Una familia de troyanos que sirven para robar contraseñas y otra información confidencial desde el equipo infectado.

Cifradores

En marzo el servicio de soporte técnico de la empresa Doctor Web con mayor frecuencia fue contactado por los usuarios víctimas de los siguientes troyanos cifradores:

• Trojan.Encoder.858 — 28,39%;
• Trojan.Encoder.18000 — 9,54%;
• Trojan.Encoder.27210 — 4,25%;
• Trojan.Encoder.11464 — 4,14%;
• Trojan.Encoder.11539 — 4,14%;
• Trojan.Encoder.567 — 2,76%;
• Trojan.Archivelock — 2,34%.

Sitios web peligrosos

Durante el mes de marzo del año 2019 a la base de los sitios web no recomendados y nocivos se añadieron 270 227 direcciones de Internet.

Software no deseado y nocivo para dispositivos móviles

En el mes pasado en el catálogo Google Play se detectaron nuevos programas nocivos. Entre ellos, más troyanos de la familia Android.FakeApp que se difunden como si fueran programas para ganar dinero online. Abren los sitios web donde a los titulares de dispositivos móviles se les ofrece contestar a las preguntas de las empresas “patrocinadoras”. Por participar en las encuestas los malintencionados prometen un premio a las víctimas potenciales. Para recibirlo, los usuarios supuestamente deben pagar la comisión por una transferencia de dinero o para confirmar su identidad. En realidad, no hay ningún premio y los usuarios envían el dinero a los estafadores.

Así mismo, fueron detectados los nuevos troyanos Android.HiddenAds. Constantemente visualizan los banners de publicidad por encima de las ventanas de otros programas y de la interfaz del sistema e impiden el trabajo con dispositivo en Android.

Además, los malintencionados siguieron difundiendo los troyanos bancarios. Sobre uno de ellos nuestra empresa informó en la segunda mitad del marzo. El programa nocivo conocido como Flexnet roba el dinero de las cuentas bancarias y del saldo de los móviles de usuarios.

A finales del mes los analistas de virus revelaron los detalles de la vulnerabilidad del navegador popular en Android UC Browser, capaz de descargar plugins esquivando los servidores Google Play. Los malintencionados podían usar esta función para difundir troyanos.

Los eventos más destacados vinculados a la seguridad “móvil” en marzo:

• Detección de la vulnerabilidad en el navegador UC Browser;
• Difusión de programas nocivos en Google Play;
• Difusión de troyanos bancarios.

Para más información sobre los eventos de virus para dispositivos móviles en marzo lee nuestro informe.