Protege lo creado

Otros recursos

  • free.drweb-av.es — utilidades gratuitas, complementos, informadores
  • av-desk.com — un servicio en Internet para los proveedores de servicios Dr.Web AV-Desk
  • curenet.drweb.com — utilidad de desinfección de red Dr.Web CureNet!
Cerrar

Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas | Normas de contactar

Sus solicitudes

Perfil

Doctor Web: informe de la actividad de virus en enero de 2016

29 de enero de 2016

Durante el primer mes del año 2016 aparecieron muchos nuevos programas nocivos para el SO Linux, así mismo, otra versión del troyano encoder, así como un backdoor peligroso capaz de crear las copias de pantalla en el dispositivo infectado, registrar las pulsaciones de teclas y ejecutar los comandos de malintencionados. Además, en enero fue detectado un troyano en Android que se difundía en firmware de un fabricante conocido, y a finales del mes los analistas de la empresa Doctor Web detectaron muchas aplicaciones nocivas en el catálogo oficial de Google Play.

Tendencias clave de enero

  • Aparición de los nuevos programas nocivos para Linux
  • Aparición del nuevo troyano cifrador para Linux
  • Difusión de un troyano peligroso en firmware Android

Amenaza del mes

A finales de enero, los expertos de la empresa Doctor Web investigaron un troyano backdoor multifuncional capaz de infectar dispositivos bajo la administración del SO Linux. Este programa nocivo consiste en dos componentes: un dropper y la carga útil que realiza las funciones espía clave en el sistema infectado. Al iniciarse, el dropper muestra en la pantalla del dispositivo atacado un cuadro de diálogo:

screen #drweb

Si el programa ha podido iniciarse en el equipo objetivo, extrae de su propio cuerpo el componente nocivo básico— el backdoor — y lo guarda en una carpeta del disco duro. Este módulo es capaz de ejecutar más de 40 varios comandos. En particular, puede guardar las pulsaciones de teclas por el usuario (keylogging), descargar e iniciar varias aplicaciones, transmitir a los malintencionados los nombres de archivos en el directorio establecido. Así mismo, puede subir al servidor administrativo los archivos seleccionados, crear, eliminar, cambiar nombres de archivos y carpetas, crear copias de pantalla (screenshots), ejecutar los comandos bash,y mucho más. Para la información detallada sobre este troyano peligroso, véase el artículo publicado en el sitio web de la empresa Doctor Web.

Según los datos estadísticos de la utilidad de desinfección Dr.Web CureIt!

screen #drweb

Según los datos de servidores de estadísticas Doctor Web

screen #drweb

Estadísticas de programas nocivos en el tráfico de correo

screen #drweb

Botnets

Los analistas de virus de la empresa Doctor Web siguen supervisando la actividad de botnets creadas por los malintencionados usando el virus de archivos Win32.Rmnet.12.

screen #drweb

screen #drweb

Rmnet — es una familia de virus de archivos que se difunden sin participación del usuario y son capaces de incrustar contenido ajeno en las páginas web consultadas por el usuario (lo que teóricamente permite a los ciberdelincuentes obtener acceso a la información bancaria de la víctima), así como robar los archivos cookies y las contraseñas de clientes FTP más populares y ejecutar varios comandos de los malintencionados.

Así mismo, sigue siendo activa la botnet que consiste en equipos infectados por el virus de archivos Win32.Sector. Este programa nocivo tiene las funciones siguientes:

El gráfico de actividad media diaria de esta botnet en enero de 2016 puede consultarse en la figura siguiente:

screen #drweb

Troyanos cifradores

screen #drweb

Cifradores más difundidos en enero de 2016:

Dr.Web Security Space 11.0 para Windows
protege contra los troyanos cifradores

No hay esta funcionalidad en la licencia Antivirus Dr.Web para Windows

Protección de datos contra la pérdida
Protección de datos contra la pérdidaProtección de datos contra la pérdida

Más información

Programas nocivos para Linux

El enero del año 2016 fue un mes de programas nocivos para Linux — fue detectado un número récord de troyanos para este sistema operativo a principios del año. Después de las vacaciones del Años Nuevo, los expertos de la empresa Doctor Web investigaron una nueva versión del troyano cifrador para el SO Linux llamado Linux.Encoder.3. En esta modificación del programa nocivo los malintencionados corrigieron todos los errores y defectos característicos de las realizaciones anteriores de cifradores Linux, pero, a pesar de varias peculiaridades de arquitectura, Linux.Encoder.3 permite descifrar los archivos dañados como resultado de acciones del troyano.

Linux.Encoder.3 para su funcionamiento no requiere privilegios del superusuario Linux — el troyano se inicia con derechos del servidor web, suficientes para cifrar todos los archivos en el directorio particular del sitio web. Linux.Encoder.3 se distingue, comparado con las versiones anteriores, por poder recordar la fecha de creación y edición del archivo inicial y suplantarla para los archivos que el mismo modifica por valores establecidos antes de cifrar. Así mismo, los creadores de virus cambiaron el algoritmo de cifrado: cada copia del programa nocivo usa su propia clave única creada a base de las características de archivos cifradores y valores generados de forma aleatoria. Para la información más detallada sobre este programa, consulte el artículo publicado en el sitio web de la empresa Doctor Web.

Posteriormente, los analistas de virus de la empresa Doctor Web detectaron el troyano Linux.Ekoms.1, la información general sobre el cual fue publicada en el material de noticias correspondiente. Este troyano con periodicidad de 30 segundos hace una copia de pantalla del equipo infectado (screenshot) y lo guarda en la carpeta temporal en formato JPEG. El contenido de la carpeta temporal se sube al servidor administrativo por cronómetro con intervalos temporales determinados. Además, Linux.Ekoms.1 puede subir al servidor de los malintencionados los archivos desde el dispositivo infectado, y, así mismo, puede descargar otros archivos del servidor administrativo y guardarlos en la unidad del equipo.

Cabe destacar que en enero los expertos de la empresa Doctor Web detectaron la versión de Linux.Ekoms.1 compatibles con Windows, llamada Trojan.Ekoms.1. Al iniciarse, este troyano busca algunos archivos ejecutables en la carpeta %appdata% para prevenir otra infección del sistema y, si no los detecta, guarda su propia copia n esta carpeta con nombre de uno de estos archivos. Además de copias de pantalla, Trojan.Ekoms.1 guarda los datos sobre las pulsaciones de teclas por el usuario en el archivo con extensión .kkt, así los listados de archivos en carpetas que se guardan en el archivo con extensión .ddt, y transmite estos archivos al servidor de los malintencionados. Cabe destacar que en Linux.Ekoms.1 había menciones de estos archivos, pero en la redacción Linux del troyano no había código responsable del procesamiento de los mismos. Igual que en la estructura del troyano para Linux, Trojan.Ekoms.1 tiene un mecanismo especial que permite grabar el sonido y guardar la grabación obtenida en formato WAV, pero en este caso tampoco se usa. El troyano tiene la firma digital válida de la empresa "Issledovaniya i razrabotka", y el certificado raíz fue emitido por la empresa Comodo.

screen #drweb

En cuanto a los programas nocivos para el SO Linux, cabe destacar que a finales del enero algunas ediciones de red y blogs populares publicaron la información sobre la difusión de un supuestamente nuevo gusano Linux llamado «TheMoon». Esta aplicación nociva se detecta por el Antivirus Dr.Web para Linux bajo el nombre Linux.Themoon.2 aún a partir del 14 de diciembre de 2015. Para consultar la descripción técnica detallada de este programa nocivo, véase el material publicado por la empresa Doctor Web.

Sitios web peligrosos

Durante el mes de enero de 2016, a la base de los sitios web no recomendados y nocivos fueron añadidas 625 588 direcciones de Internet.

Diciembre 2015Enero 2016Dinámica
+ 210 987+ 625 588+ 196%

Saber más sobre los sitios web no recomendados por Dr.Web

Software nocivo y no deseado para dispositivos móviles

En enero pasado, el interés de los malintencionados por la plataforma móvil Google Android seguía siendo alta. Así, a mediados del mes los analistas de virus de la empresa Doctor Web detectaron en el firmware del smartphone Philips s307 un troyano nocivo Android.Cooee.1, destinado para la descarga oculta e instalación de varias aplicaciones. Y a finales de enero, los expertos de Doctor Web detectaron en el catálogo Google Play más de 60 juegos que contenían el troyano Android.Xiny.19.origin, – este programa nocivo es capaz de iniciar de forma oculta los archivos apk recibidos de los creadores de virus, descargar y ofrecer a los usuarios la instalación de varios tipos de software, así como mostrar la publicidad importuna.

Eventos más destacados vinculados a la seguridad móvil en enero:

Para más información sobre los eventos de virus para dispositivos móviles en enero, consulte nuestro informe.

Saber más con Dr.Web

Estadísticas de virus Biblioteca de descripciones Todos los informes de virus Laboratorio-live

Desarrollador ruso de antivirus Dr.Web

Experiencia de desarrollo a partir del año 1992

Dr.Web se usa en más de 200 países del mundo

Entrega de antivirus como servicio a partir del año 2007

Soporte 24 horas

© Doctor Web
2003 — 2020

Doctor Web es un productor ruso de los medios antivirus de protección de la información bajo la marca Dr.Web. Los productos Dr. Web se desarrollan a partir del año 1992.

125040, Rusia, Moscú, c/3 Yamskogo Polya, 2, edif.12А