Protege lo creado

Otros recursos

  • free.drweb-av.es — utilidades gratuitas, complementos, informadores
  • av-desk.com — un servicio en Internet para los proveedores de servicios Dr.Web AV-Desk
  • curenet.drweb.com — utilidad de desinfección de red Dr.Web CureNet!
Cerrar

Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas | Normas de contactar

Sus solicitudes

Perfil

Doctor Web: informe de actividad de virus en abril de 2015

30 de abril de 2015

En abril de 2015 varios eventos importantes a la vez se produjeron en el ámbito de seguridad informática.

TENDENCIAS CLAVE DE ABRIL

  • Intentos de malintencionados de ataques objetivo de varias entidades de defensa rusas.
  • Aparición de un nuevo troyano bancario multicomponente, peligros para clientes de varias entidades de crédito.
  • Difusión de backdoors peligrosos para el SO Windows y Linux.
  • Aparición de los nuevos programas malintencionados para la plataforma móvil Google Android.

Amenaza del mes

A principios de abril los especialistas de la empresa Doctor Web finalizaron el análisis de un troyano bancario multicomponente llamado Trojan.Dridex.49. Este programa malintencionado consiste en un componente que crea los datos de configuración necesarios para el funcionamiento del troyano, y que inicia el programa nocivo mismo, un núcleo y los módulos extra. Una característica particular de este troyano es el uso del protocolo P2P para la conexión con el servidor de administración.

En función de las opciones establecidas, Trojan.Dridex.49 se incorpora en los procesos del Explorador (explorer.exe) o de navegadores (chrome.exe, firefox.exe, iexplore.exe). Todos los mensajes que el mismo intercambia con el servidor administrativo, se cifran. En el equipo infectado este programa nocivo puede tener alguna de tres funciones posibles:

En otras palabras, para intercambiar mensajes, la botnet Trojan.Dridex.49 usa una cadena de tipo bot -> node -> admin node -> otros admin node -> servidor de administración. Para la seguridad de la conexión, los troyanos intercambian las claves. En general, un esquema de interacción dentro de la botnet es el siguiente:

screen

El objetivo clave de Trojan.Dridex.49 son webinjects, es decir, la incrustación del contenido de terceros en las páginas de varias entidades financieras visualizadas por el usuario.

El troyano puede robar los datos confidenciales introducidos por el usuario en varios formularios y permite a los malintencionados obtener acceso a las cuentas bancarias de la víctima para robar los medios almacenados en las mismas. Los especialistas de Doctor Web conocen más de 80 sitios web bancarios y otros recursos de Internet donde Trojan.Dridex.49 puede robar la información, entre ellos, las entidades financieras conocidas como Royal Bank of Scotland, TCB, Santander, Bank of Montreal, Bank of America, HSBC, Lloyds Bank, Barclays y muchos otros. La firma de Trojan.Dridex.49 fue añadida a las bases de virus, por lo tanto, los usuarios de productos antnvirus Dr.Web están protegidos contra la acción de este programa malintencionado.

Según los datos estadísticos de la utilidad de desinfección Dr.Web CureIt!

En total, durante el mes se detectaron 73 149 430 objetos malintencionados y potencialmente peligrosos.

screen

Según los datos de servidores de estadísticas de Doctor Web

screen

Estadísticas de programas nocivos en el tráfico del correo

screen

Botnets

Los especialistas de la empresa Doctor Web siguen supervisando la actividad de la botnet creada por los malintencionados usando el virus de archivos Win32.Rmnet.12.

screen

Rmnet — es una familia de virus de archivos que se difunden sin participación del usuario y son capaces de incrustar en las páginas web consultadas por el usuario un contenido de terceros (lo que teóricamente permite a los ciberdelincuentes obtener acceso a la información bancaria de la víctima), así como robar los archivos cookies y las contraseñas de los clientes FTP más populares y ejercer varios comandos de los malintencionados.

Sigue funcionando una botnet que consiste en equipos infectados por el virus de archivos Win32.Sector. Este programa malintencionado tiene las funciones siguientes:

screen

El número de equipos Apple infectados por el programa troyano BackDoor.Flashback.39 sigue siendo prácticamente el mismo y es de 25 000 apróx:

screen

En abril se activaron los ataques de varios recursos de internet realizados por los malintencionados usando el troyano Linux.BackDoor.Gates.5. Comparado con el mes pasado, el número de las direcciones IP únicas atacadas se incrementó más que un 48% y fue de 3320. Es curioso que si antes los objetivos básicos de los malintencionados estaban en el territorio de China, ahora el líder de este indicador son los Estados Unidos. La distribución geográfica de los ataques puede consultarse en la figura siguiente:

screen

Troyanos cifradores

Número de solicitudes de descifrar que llegaron al servicio de soporte técnico de Doctor Web

Marzo 2015Abril 2015Dinámica
23611359- 42.4 %

Cifradores más populares en abril del año 2015:

Dr.Web Security Space 10.0 para Windows
protege contra los troyanos cifradores

Esta funcionalidad no la hay en la licencia del Antivirus Dr.Web para Windows

Protección preventivaProtección de los datos contra la pérdida
Protección preventivaProtección de los datos contra la pérdida

Ver más Ver vídeo de la configuración

Amenzas para Linux

En abril los especialistas de la empresa Doctor Web analizaron un nuevo troyano capaz de infectar los sistemas operativos de la familia Linux — Linux.BackDoor.Sessox.1. Los malintencionados pueden administrar este backdoor usando un protocolo de intercambio de mensajes de texto IRC (Internet Relay Chat), — el bot recibe los comandos de los creadores de virus en chat que funciona en el servidor perteneciente a los mismos. El troyano se difunde y escanea los servidores remotos en busca de vulnerabilidades para iniciar en un servidor no protegido un script de terceros que a su vez puede instalar una copia del troyano en el sistema comprometido.

El programa malintencionado es capaz de atacar el nodo web establecido por los delincuentes por medio de enviar al mismo las solicitudes GET que se repiten.

Descripción más detallada de Linux.BackDoor.Sessox.1.

Otros eventos de abril

A principios del mes, los especialistas de la empresa Doctor Web registraron un envío de correo objetivo a direcciones personales y privadas del personal de algunas entidades de defensa rusas usando el cual los malintencionados difundían un troyano peligroso.

screen

El programa malintencionado llamado BackDoor.Hser.1 es capaz transmitir por comando al servidor remoto un listado de procesos activos en el PC infectado, descargar e iniciar otra aplicación malintencionada, así como abrir la consola de comandos y redirigir la entrada-salida al servidor perteneciente a ciberdelincuentes, gracias a lo cual los malintencionados obtienen la posibilidad de administración remota del equipo infectado. Para más información sobre este incidente, consulte los materiales de noticias correspondientes.

Así mismo, en abril fue analizado un nuevo programa malintencionado VBS.BackDoor.DuCk.1 capaz de ejecutar los comandos transmitidos por los malintencionados y transmitir al servidor remoto las copias de pantalla hechas en un equipo infectado. El backdoor tiene mecanismos para comprobar si en el equipo atacado hay un entorno virtual y las aplicaciones antivirus. El artículo dedicado a este troyano peligroso está publicado en el sitio web Doctor Web.

Sitios web peligrosos

Durante el mes de abril de 2015 a la base de los sitios web no recomendados y nocivos de Dr.Web se añadieron 129 199direcciones de Internet.

Marzo 2015Abril 2015Dinámica
74 108129 199+ 74.3%
Sitios web no recomendados

Software nocivo y no deseado para Android

En abril los malintencionado siguieron atacando activamente a los usuarios de dispositivos móviles en Android, por lo tanto el mes pasado hubo muchos eventos antivirus. Los eventos más destacados vinculados con el software nocivo y no deseado para el SO son:

Saber más con Dr.Web

Estadísticas de virus Biblioteca de descripciones Todos los informes de virus Laboratorio-live

Desarrollador ruso de antivirus Dr.Web

Experiencia de desarrollo a partir del año 1992

Dr.Web se usa en más de 200 países del mundo

Entrega de antivirus como servicio a partir del año 2007

Soporte 24 horas

© Doctor Web
2003 — 2019

Doctor Web es un productor ruso de los medios antivirus de protección de la información bajo la marca Dr.Web. Los productos Dr. Web se desarrollan a partir del año 1992.

125040, Rusia, Moscú, c/3 Yamskogo Polya, 2, edif.12А