Doctor Web: informe de actividad de virus en octubre de 2015
30 de octubre de 2015
Desde el punto de vista de aparición de las nuevas amenazas de seguridad informática, octubre fue un mes bastante tranquilo. Sin embargo, durante ese mes fue registrado un hecho de hackear varios recursos de Internet populares: usando los mismos, los malintencionados difundían el programa nocivo peligroso que se camuflaba por una utilidad antivirus del fabricante desconocido. Además, en octubre aparecieron los nuevos troyanos que amenazaban a usuarios de la plataforma móvil Google Android, — en particular, entre ellos podemos mencionar Android.BankBot.80.origin que se camuflaba de una aplicación bancaria de una entidad financiera importante rusa, así como para la plataforma iOS — aquí «se destacó» el troyano IPhoneOS.Trojan.YiSpecter.2 destinado para visualizar la publicidad y descargar otros programas de forma oculta.
Tendencias clave de octubre
- Los malintencionados hackearon los sitios web para difundir el software nocivo
- Aparición del nuevo troyano capaz de realizar web injects
- Difusión de los nuevos programas nocivos para Google Android
Amenaza del mes
A mediados de octubre los expertos de la empresa Doctor Web registraron varios casos de hackear los sitios web populares entre los cuales hay una página de un culebrón ruso que pertenece a una empresa de televisión. Al ir de los resultados de búsqueda Google a la página web hackeada por los malintencionados, al cumplir con algunos requisitos, en la ventana del navegador se abría una nueva pestaña y fue imposible cerrarla, — lo impedía un script incrustado por los malintencionados en la página. Al hacer clic con el ratón o al pulsar las teclas del teclado del equipo, a la víctima potencial se le visualizaba una ventana importuna ofreciendo instalar alguna extensión para el navegador que, según los ciberdelincuentes, supuestamente era una utilidad creada por algún productor del software antivirus.
Este complemento detectado por el Antivirus Dr.Web como Trojan.BPLug.1041, sirve para incrustar contenido ajeno en las páginas web consultadas por el usuario. Así mismo, el programa nocivo bloquea en todos los sitios web la visualización de la publicidad de terceros desde cualquier dominio, admás de los dominios cuyo listado está previsto en la configuración de la misma. Además,si una víctima inicia sesión en la red social “Odnoklassniki”, Trojan.BPLug.1041 intenta proporcionar acceso a la aplicación determinada a API de este portal en nombre de usuario: sus datos personales pueden ser usados para promover los grupos, enviar spam o para alguna votación. Para más información sobre este programa nocivo, véase el material informativo publicado en nuestro sitio web.
Según los datos estadísticos de la utilidad de desinfección Dr.Web CureIt!
Trojan.Siggen6.33552
Un detect del programa nocivo que sirve para instalar otro software peligroso.Trojan.Crossrider1.42770
Un representante de la familia de troyanos que sirve para visualizar varios tipos de publicidad dudosa.Trojan.DownLoad3.35967
Un representante de la familia de troyanos descargadores que descargan de Internet e inician otro software nocivo en el equipo atacado.Trojan.LoadMoney
Una familia de programas descargadores generados por los servidores del programa socio LoadMoney. Estas aplicaciones descargan e instalan en el equipo de la víctima varios tipos del software no deseado.
Según los datos de servidores de estadísticas Doctor Web
Trojan.InstallCube
Una familia de programas descargadores que instalan en el equipo del usuario varias aplicaciones no necesarias y no deseadas.Trojan.Siggen6.33552
Un detect del programa nocivo destinado para instalar otro software peligroso.Trojan.DownLoad3.35967
Un representante de la familia de troyanos descargadores que descargan de Internet e inician en el equipo de la víctima otro software nocivo.Trojan.LoadMoney
Una familia de programas descargadores generados por los servidores del programa socio LoadMoney. Estas aplicaciones descargan e instalan en el equipo de la víctima varios tipos del software no deseado.
Estadísticas de programas nocivos en el tráfico de correo
Trojan.Encoder.567
Un representante de la familia de troyanos extorsionistas que cifran los datos en las unidades del equipo de la víctima y demandan rescate por descifrarlos. Este troyano puede cifrar varios archivos de usuario, así mismo, de tipos siguientes: .jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, .cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx.Trojan.PWS.Stealer
Una familia de troyanos destinados para robar contraseñas y otra información confidencial de valor en el equipo infectado.Trojan.DownLoader15.52331
Un representante de la familia de troyanos descargadores que descargan de Internet e inician en el equipo atacado otro software nocivo.
Botnets
Los expertos de la empresa Doctor Web siguen vigilando la actividad de las botnets creadas por los ciberdelincuentes usando el virus de archivos Win32.Rmnet.12. La actividad de estas botnets en octubre de 2015 puede consultarse en los gráficos siguientes:
Rmnet — es una familia de virus de archivos que se difunden sin participación del usuario y son capaces de incrustar contenido ajeno en las páginas web consultadas por el usuario (es lo que teóricamente les permite a los ciberdelincuentes obtener acceso a la información bancaria de la víctima), así como robar los archivos cookies y las contraseñas de clientes FTP más populares y ejercer varios comandos de los malintencionados.
Sigue activa la botnet que consiste en equipos infectados por el virus de archivos Win32.Sector. Un gráfico de actividad diaria media de esta red puede consultarse en la figura siguiente:
Este programa nocivo tiene las siguientes funciones destructivas:
- descarga de la red P2Pe inicio en el equipo infectado de varios archivos ejecutables;
- incrustación en los procesos iniciados en el equipo infectado;
- posibilidad de detener el funcionamiento de algunos programas antivirus y bloquear acceso a los sitios web de sus desarrolladores;
- infección de objetos de archivos en unidades locales y dispositivos extraíbles (donde durante la infección crea un archivo de autoinicio autorun.inf), así como de archivos que se guardan en carpetas de red públicas.
En octubre de 2015 bajó un poco la actividad de los malintencionados que organizan los ataques DDoS masivos usando el troyano Linux Linux.BackDoor.Gates.5. Durante el mes pasado el número de los nodos atacados bajó un 33.29% y fue de 5051. China sigue siendo objetivo líder para ciberdelincuentes, y los EE.UU. cambiaron al 3 lugar, Francia ocupa la segunda posición:
Troyanos cifradores
Número de solicitudes de descifrar recibido por el servicio de soporte técnico Doctor Web
| Septiembre 2015 | Octubre 2015 | Dinámica |
|---|---|---|
| 1310 | 1471 | + 12.29 % |
El cifrador más difundido en octubre de 2015 es Trojan.Encoder.567.
Dr.Web Security Space 11.0 para Windows
protege contra los troyanos cifradores
Esta funcionalidad no está en la licencia Antivirus Dr.Web para Windows
| Protección de los datos contra la pérdida | |
|---|---|
 |  |
Sitios web peligrosos
Durante el mes de octubre de 2015 a la base de los sitios web no recomendados y nocivos fueron añadidas 264 970 direcciones de Internet.
| Septiembre 2015 | Octubre 2015 | Dinámica |
|---|---|---|
| + 399 227 | + 264 970 | - 33.6 % |
Entre los sitios web añadidos por los analistas de Doctor Web al listado de recursos en Internet no recomendados, hay tiendas en Internet que ofrecen artículos dudosos y a veces hasta muy raros. Y hemos mencionado algunos de ellos en nuestras noticias, pero los vendedores de red siguen sorprendiendo a los expertos con más ejemplos de artículos muy interesantes que completan la gama de plataformas similares. Consulte el artículo publicado en el sitio web de nuestra empresa sobre los hilos mágicos contra el mal de ojo, aumentadores de labios y otros artículos “mágicos” en Internet.
Software nocivo y no deseado para dispositivos móviles
El mes pasado los usuarios de dispositivos móviles otra vez resultaron ser objetivo de los ciberdelincuentes. Así, por ejemplo, a principios de octubre fue detectado un nuevo troyano destinado para infectar smartphones y tabletas fabricados por la corporación Apple. Así mismo, las víctimas potenciales de los ciberdelincuentes podían ser los titulares de dispositivos tanto con la versión hackeada del SO como “limpia”. Además, en el catálogo oficial de aplicaciones en Android Google Play fue detectado otro programa nocivo que “pudo” esquivar la protección de la corporación Google. A mediados del mes los expertos de Doctor Web registraron otro caso de penetración del troyano en el firmware Android de dispositivos móviles, y un poco más tarde detectaron otro troyano bancario destinado para robar dinero a usuarios.
Eventos más destacados vinculados con seguridad «móvil» en octubre:
- Aparición del nuevo troyano que infecta los dispositivos móviles bajo la administración de iOS
- Detección de otro programa nocivo en el catálogo de aplicaciones en Android Google Play
- Detección de otro caso de infección del firmware Android por una aplicación nociva;
- Difusión de los nuevos bankers en Android por los malintencionados
Para más información sobre los eventos de virus para dispositivos móviles en octubre, consulte nuestro informe.
Conozca más con Dr.Web
Estadísticas de virus Biblioteca de descripciones Todos los informes de virus Laboratorio-live
[% END %]