¡Vd. usa un navegador obsoleto!
Es posible que la página no se visualice correctamente.
1 de octubre de 2015
Al llegar el otoño, los creadores de virus no bajaron su actividad: en septiembre fue registrada la difusión de varios instaladores de aplicaciones de publicidad y no deseadas — tanto para Windows como para Mac OS X, del nuevo troyano capaz de infectar los terminales POS, así como de varios programas nocivos para el SO Linux y la plataforma móvil Android.
Los terminales POS que funcionan bajo la administración de sistemas operativos de familia Microsoft Windows siempre eran de interés para los ciberdelincuentes, porque ya hace mucho se conocen varios métodos de robo de tracks de tarjetas bancarias de la memoria de dispositivo similares usando los programas nocivos. Una de estas aplicaciones es el troyano Trojan.MWZLesson, investigado en septiembre por los expertos de la empresa Doctor Web, que también es una modificación de otro programa peligroso— BackDoor.Neutrino.50.
Trojan.MWZLesson puede ejecutar los comandos siguientes:
Para más información sobre este troyano, véase el material informativo publicado en el sitio web de la empresa Doctor Web.
En el mes de septiembre usando la utilidad Dr.Web CureIt! se detectaron 155 554 503 objetos no deseados, potencialmente peligrosos y nocivos.
Los analistas de virus de la empresa Doctor Web siguen supervisando el funcionamiento de botnets creadas por los malintencionados usando un virus de archivos peligroso Win32.Rmnet.12. La actividad de estas botnets en septiembre de 2015 puede consultarse en figuras siguientes:
Rmnet — es una familia de virus de archivos que se difunden sin participación del usuario y son capaces de incrustar contenido ajeno en las páginas web consultadas por el usuario (lo que teóricamente permite a los ciberdelincuentes obtener acceso a la información bancaria de la víctima), así como robar archivos cookies y contraseñas de clientes FTP más populares y ejecutar varios comandos de los malintencionados.
Como antes, está activa la botner que consiste en PCs infectados por el virus de archivos Win32.Sector, — el gráfico de esta actividad puede consultarse en la figura siguiente:
El virus Win32.Sector tiene las siguientes posibilidades funcionales:
En septiembre de 2015 otra vez se activaron los malintencionados que realizan los ataques masivos DDoS usando el troyano Linux Linux.BackDoor.Gates.5. Comparado con el mes anterior, el número de estos ataques aumentó un 263.5% y fue de 7572. Así mismo los países líderes por número de abonados atacados comparado con los datos del mes de agosto intercambiaron posiciones: los EE.UU. están en el primer lugar y China ocupó el segundo lugar con seguridad. La distribución geográfica de los objetivos de los malintencionados que organizan los ataques DDoS usando Linux.BackDoor.Gates.5 puede consultarse en la figura siguiente:
Número de solicitudes de descifrar recibidas por el servicio de soporte técnico de Doctor Webо
Agosto 2015 | Septiembre 2015 | Dinámica |
---|---|---|
1425 | 1310 | - 8 % |
No hay esta funcionalidad en la licencia Antivirus Dr.Web para Windows
Protección preventiva | Protección de los datos contra la pérdida |
---|---|
En septiembre los expertos de la empresa Doctor Web otra vez afrontaron a los troyanos para sistemas operativos de familia Linux. Los más interesantes resultaron ser Linux.Ellipsis.1 y Linux.Ellipsis.2. El segundo sirve para hackear varios dispositivos por medio de averiguar los nombres de usuario y contraseñas usando un diccionario. Para la anonimidad de acceso a los dispositivos hackeados usando el mismo, los malintencionados usan el troyano Linux.Ellipsis.1. Cabe destacar también que este programa nocivo se destaca por un comportamiento bastante peculiar que los analistas de virus de Doctor Web llamaron paranoico.
El objetivo principal de Linux.Ellipsis.1 es organizar un servidor proxy en el equipo infectado que los ciberdelincuentes usan para el acceso no sancionado a los dispositivos comprometidos para “borrar las huellas”. Para realizarlo, el troyano controla las conexiones por dirección local y puerto establecidos utilizando proxy para todo el tráfico transmitido a través de esta dirección y puerto.
El comportamiento “paranoico” de Linux.Ellipsis.1 consiste en que el mismo dispone de un listado bastante amplio de líneas características detectando las cuales en el tráfico de red el troyano bloquea el intercambio de datos con el servidor remoto correspondiente. Además, este programa nocivo verifica todas las conexiones de red del equipo y envía al servidor administrativo la dirección IP a la cual está establecida la conexión. Si el servidor responde con el comando "kill", el troyano finaliza la aplicación que estableció la conexión, y también bloquea esta dirección IP por dos horas. Para la información más detallada sobre la arquitectura y las peculiaridades de funcionamiento de estos programas nocivos, véase el artículo informativo publicado.
Los instaladores de aplicaciones de publicidad y no deseados para el SO Windows son una cosa bastante ordinaria hoy día, pero en septiembre los analistas de virus de la empresa Doctor Web conocieron otro programa de este tipo, destinado para el sistema operativo Mac OS X. Esta muestra llamada Adware.Mac.WeDownload.1 es una distribución falsificada del reproductor Adobe Flash Player que se difunde usando los recursos del programa socio destinado para monetizar el tráfico de archivos.
Una vez enviada la solicitud correspondiente, Adware.Mac.WeDownload.1 recibe del servidor administrativo un listado de aplicaciones que se ofrecerán al usuario para instalar. Entre ellos, se detectaron tanto los programas deseados como nocivos, tales como Program.Unwanted.MacKeeper, Mac.Trojan.Crossrider, Mac.Trojan.Genieo, Mac.BackDoor.OpinionSpy, varios representantes de familia Trojan.Conduit y algunas otras aplicaciones nocivas, así mismo el número y el contenido de programas instalados depende del «vínculo» geográfico de la dirección IP de la víctima.
Para más información sobre este instalador de programas no deseados, véase nuestro artículo informativo.
El septiembre de 2015 se destaca para los especialistas de seguridad informática por la amplia difusión de instaladores de aplicaciones no deseadas, de publicidad y hasta nocivas creadas por los malintencionados para varios programas de socios destinados para monetizar el tráfico de archivos.
Así, a principios del mes los analistas de virus de la empresa Doctor Web investigaron el programa nocivo Trojan.InstallCube.339 que puede ser descargado por las víctimas potenciales desde varios recursos de almacenamiento de archivos o torrent-trackers. Una vez iniciado, este troyano obtiene los datos necesarios para su funcionamiento desde el servidor administrativo y visualiza al usuario una ventana con la información sobre el objeto descargado que tiene icono del cliente torrent popular mTorrent. La peculiaridad de servidores administrativos de este programa nocivo es que permiten descargar la carga útil solo si el equipo que los consulta tiene dirección IP rusa. Para más información sobre este programa nocivo, véase el artículo informativo publicado en el sitio web de Doctor Web.
Otro instalador peligroso que mencionamos a mediados del mes se llama Trojan.RoboInstall.1. Igual que otros programas similares, este troyano se difunde usando los sitios web de almacenamiento de archivos, torrents falsificados y otros recursos en Internet similares creados por los malintencionados. Estos programas nocivos también se usan frecuentemente por los mismos autores de aplicaciones gratuitas para monetizar los mismos — reciben dinero por cada utilidad adicional descargada por el troyano a los equipos de usuarios. A diferencia de muchos otros instaladores del software de publicidad, en los cuadros de diálogo visualizados por Trojan.RoboInstall.1 a menudo faltan las casillas que permiten rechazar la instalación de programas adicionales, por lo tanto el inicio de los mismos se realiza sin ninguna condición.
A finales de septiembre, los malintencionados intentaron difundir un programa nocivo en el envío de correo supuestamente realizado en nombre de la empresa Doctor Web.
Los ciberdelincuentes ofrecían a sus víctimas participar en las pruebas de la utilidad inexistente Dr.Web CureIt 2 camuflado por la cual, desde el sitio web perteneciente a los creadores de virus se descargaba el troyano Trojan.PWS.Stealer.13052 destinado para robar contraseñas. Para aumentar el número de infecciones por este programa nocivo, los malintencionados ofrecían a sus víctimas potenciales desactivar el antivirus que funcionaba en sus equipos, supuestamente porque la «utilidad» puede provocar conflictos con otro software antivirus. Para más información sobre este incidente, véase la noticia publicada.
Durante el mes de septiembre de 2015 a la base de sitios web no recomendados y nocivos se añadieron 399 227 direcciones de Internet.
Agosto 2015 | Septiembre 2015 | Dinámica |
---|---|---|
+ 834 753 | + 399 227 | - 51.39 % |
El mes de septiembre resultó ser muy rico en los eventos de virus vinculados a dispositivos móviles. Así, por ejemplo, los expertos de seguridad informática detectaron la penetración masiva de la aplicación troyana al catálogo App Store, así como los casos múltiples de ubicación de varios programas nocivos en el catálogo Google Play. A mediados del mes los analistas de virus de Doctor Web registraron otro incidente con participación del troyano preinstalado por los malintencionados en uno de los caparazones Android oficiales. Además. A los usuarios les amenazaban otra vez los troyanos bancarios, extorsionistas en Android y otras aplicaciones nocivas.
Tendencias más destacadas del ámbito de seguridad móvil en septiembre:
Para más información sobre la actividad de los virus para dispositivos móviles en septiembre, véase nuestro informe.
Estadísticas de virus Biblioteca de descripciones Todos los informes de virus Laboratorio-live