Informe General de Amenazas

Anuncio
Protegemos su Mundo Digital
Informe General de Amenazas
2007
www.eset.com
ESET - Informe General de Amenazas del 2007
1
Llegamos al cierre de otro año en el que a muy pocas personas se les puede haber pasado por alto las plagas de
códigos maliciosos, la cantidad desbordante de correos electrónicos fraudulentos y la creciente corrupción de nuestro
mundo en línea, que han convertido al año 2007 en uno de los más extraordinarios de la historia del malware.
Desde la fundación de ESET en 1992, surgieron muchos tipos de amenazas, evolucionaron y, en ciertos casos,
volvieron a desaparecer. El 2007 no fue una excepción; como empresa, hemos tenido que crecer y evolucionar para
encontrar formas innovadoras de combatir esas amenazas. Para cerrar este año emocionante – quizá demasiado
emocionante en algunos aspectos – decidimos hacer una retrospectiva para reflexionar sobre los retos y triunfos de
los últimos meses.
ESET cuenta con una base de datos única para explotar y analizar, recopilados a través de nuestra tecnología
ThreatSense.Net®, que reúne información sobre amenazas de códigos maliciosos, en particular sobre nuevas
amenazas detectadas por heurística. La información es enviada por nuestros clientes (con su consentimiento explícito,
por supuesto) a nuestro Laboratorio de Amenazas. Este proceso nos permite reconocer las nuevas amenazas
instantáneamente y recopilar estadísticas sobre la efectividad de nuestra detección. De este modo, logramos obtener
un panorama completo del malware en constante evolución en el “mundo real”.
ThreatSense.Net no sólo nos permite mejorar constantemente nuestros productos por medio del análisis de datos,
alcanzando una detección perfeccionada, sino que también nos permite compartir nuestra perspectiva de las
tendencias y avances del año con el resto del mundo.
Es evidente que el nuevo año nos presentará más desafíos. Pero hay una tendencia clara: al momento de lidiar con
las enormes cantidades de códigos maliciosos y la rápida propagación que vemos hoy, cada vez más personas notan
que la detección proactiva de programas maliciosos constituye un componente imprescindible en la estrategia de
defensa.
En ESET, sabemos que la mera predicción y seguimiento de tendencias no constituyen recursos suficientes para
asegurar la protección de nuestros clientes y continuaremos basándonos en nuestros valores principales, quedando
siempre al frente de las evaluaciones comparativas gracias a la consistencia de nuestra innovación tecnológica. Como
somos exitosos pioneros en técnicas heurísticas, ¡pueden confiar plenamente en que nos aseguraremos de vencer
el reto de lo impredecible!
Al leer este informe, hay que tener en cuenta que la información no está limitada a la perspectiva de ESET, sino
que también refleja lo ocurrido a nivel mundial durante los últimos doce meses. Como sucede con las acciones
y valores, las tendencias pasadas de las amenazas informáticas no conforman pronósticos suficientes sobre los
procesos futuros: no obstante, podemos estar seguros de una cosa. Aunque las amenazas cambien y surjan otras
nuevas, seguirán existiendo códigos maliciosos mientras tanto existan computadoras para ser atacadas y explotadas,
y usuarios para hacer el papel de víctimas. Además, mientras más plataformas empiecen a ser de uso corriente,
inevitablemente serán utilizadas como medio de explotación. Vale la pena recordar que muchas amenazas de códigos
maliciosos explotan al usuario y no a una plataforma en particular. El phishing (fraude informático), por ejemplo, no
corresponde únicamente al entorno de un solo sistema operativo.
Esperamos que la lectura de este informe resulte interesante y estaremos encantados de recibir sus comentarios. Por
favor, escríbanos a threatreports@eset.com.
Le deseamos un buen viaje a través de 2008, y quédese tranquilo: haremos todo lo que esté a nuestro alcance para
Proteger su Mundo Digital.
El Equipo de Investigación de ESET
1-866-343-ESET (3738)
www.eset.com
2
Tabla de Contenidos
Página
Introducción y Nociones generales
3
Las diez amenazas principales propagadas por el correo electrónico
Imagen 1: Comparativa de las 10 amenazas principales de 2007
Tabla 1: Significado de los nombres
Proporción de mails infectados en el total de mensajes controlados
Descripciones de las amenazas
• Win32/Stration
• “Probablemente desconocido NewHeur_PE virus”
• Win32/Netsky.Q
• Win32/Nuwar.gen
• Win32/Fuclip
• Win32/Nuwar
Imagen 2: Top 10 de VirusRadar de los principales malware
4
4
5
5
6
6
6
6
6
7
7
8
Resumen de Tendencias de 2007
• Los diez malware principales de Enero del 2007
• Otros evento de Enero
• Los diez malware principales de Febrero del 2007
• Otros eventos de Febrero
• Los diez malware principales de Marzo del 2007
• Otros eventos de Marzo
• Los diez malware principales de Abril del 2007
• Otros eventos de Abril
• Los diez malware principales de Mayo del 2007
• Otros eventos de Mayo
• Los diez malware principales de Junio del 2007
• Otros eventos de Junio
• Los diez malware principales de Julio del 2007
• Otros eventos de Julio
• Los diez malware principales de Agosto del 2007
• Otros eventos de Agosto
• Los diez malware principales de Septiembre del 2007
• Otros eventos de Septiembre
• Los diez malware principales de Octubre del 2007
• Otros eventos de Octubre
• Los diez malware principales de Noviembre del 2007
• Otros eventos de Noviembre
• Los diez malware principales de Diciembre del 2007
• Otros eventos de Diciembre
9
10
12
13
13
14
14
15
16
17
17
18
18
20
20
21
21
22
23
24
25
26
26
27
27
Más malware de interés
Conclusión
Recursos y lecturas complementarias
Glosario
Acerca de ESET
Acerca de ESET NOD32 Antivirus y ESET Smart Security
Acerca de ThreatSense®
29
30
31
32
35
35
35
ESET - Informe General de Amenazas del 2007
3
Introducción y Nociones generales
La línea de productos de ESET tradicionalmente se ha centrado en la detección y eliminación de todo tipo de códigos
maliciosos, aunque se nota al leer este documento que se hace bastante más que eso y que el alcance de los
productos tiene una versatilidad cada vez mayor. Aún así, las fuentes de datos que utilizadas para poder ofrecer este
resumen siguen centralizándose en el malware; por lo tanto, no se hará más que una referencia superficial a otros
fascinantes fenómenos relacionados a la seguridad y a temas que han predominado en el año, como los siguientes:
• El uso de archivos PDF de Adobe Acrobat y otros objetos con menús gráficos fáciles de usar, como las
hojas de cálculo de Excel, en campañas de envío de correos electrónicos no deseados y estafas bursátiles,
conocidas como fraudes pump and dump.
• El surgimiento de Windows Vista de Microsoft y las reñidas discusiones sobre sus mejoras de seguridad.
• La creciente atención que tanto los especialistas de seguridad como los crackers le han dado a las tecnologías
Web 2.0 (tecnologías y plataformas colaboradoras, como wikis, blogs, entre otras), así como a mundos
virtuales como Second Life y a redes sociales como Facebook, MySpace, Ning y Linkedin.
• La diversificación continua y la sofisticación cada vez mayor de la tecnología y topología de las redes
botnets.
• La constante transición desde los programas maliciosos replicativos (virus y gusanos) hacia otras formas de
códigos maliciosos (backdoors, keyloggers, troyanos bancarios) y desde la creación de virus como recreación
hacia su desarrollo profesional con objetivos delictivos.
• El reconocimiento por parte de desarrolladores, investigadores y evaluadores de programas antimalware del
hecho de que las pruebas comparativas y las certificaciones no sólo deben incluir las evaluaciones de códigos
maliciosos conocidos, sino también metodologías más demandantes diseñadas para probar la capacidad que
posee un producto de usar el análisis de comportamiento, la heurística y otras formas de detección proactiva
y dinámica en lugar de centrarse exclusivamente en la detección específica de programas maliciosos por
medio de las firmas de virus.
Para elaborar este resumen, hacemos uso de las fuentes de datos que empleamos continuamente para mantener y
mejorar el alcance de nuestros productos. En particular, VirusRadar.com recopila datos sobre programas maliciosos
propagados por el correo electrónico, mientras que nuestra tecnología ThreatSense.Net® recopila automáticamente
información sobre todo tipo de amenazas conocidas y desconocidas que son detectadas por la heurística y reenviadas
de inmediato a nuestro Laboratorio de Investigación de Amenazas.
Estos datos cumplen la función principal de darnos una ventaja en el mercado de seguridad informática al permitirnos
mejorar la capacidad de detección de nuestros productos, para que no sólo sigamos detectando programas maliciosos
sino también amenazas totalmente nuevas, gracias al perfeccionamiento continuo de las tecnologías de detección
proactiva. Esperamos que esta breve mirada a la esencia de nuestra tecnología y a lo que hemos recopilado en los
últimos doce meses le resulte interesante, informativa y útil.
1-866-343-ESET (3738)
www.eset.com
4
Top 10 de malware propagado por e-mail
VirusRadar.com es un proyecto creado por ESET y sus Partners para efectuar análisis estadísticos y de control de
los códigos maliciosos propagados a través del correo electrónico. A continuación, presentamos las diez amenazas
principales del año 2007, según los datos obtenidos por VirusRadar. Los valores indican la cantidad de instancias
registradas hasta el 10 de diciembre de 2007 y luego se da una explicación de las amenazas mencionadas.
Nombre bajo el cual ESET detecta el código malicioso
Cantidad de detecciones
“Variante de Win32/Stration.XW”
11,608,228
“Probablemente virus desconocido NewHeur_PE”
4,184,672
Gusano Win32/Netsky.Q
3,355,513
Gusano Win32/Nuwar.gen
2,965,119
Troyano Win32/Fuclip.B
1,740,631
Gusano Win32/Stration.XW
1,300,049
“Variante del Gusano Win32/Stration.WL”
760,689
“Probablemente una variante del gusano Win32/Nuwar”
745,021
Gusano Win32/Stration.WC
668,624
“Variante del Gusano Win32/Stration.QQ”
585,736
Otras detecciones de malware registrados: 5,895,524
Imagen 1: Proporción comparativa de
las 10 amenazas principales del 2007
Nota: En el momento de la captura de datos,
1.142 amenazas individuales fueron identificadas
por VirusRadar.
Hay información más actualizada disponible
en: http://www.virusradar.com/stat_01_current/
index_all_c12m_esn.html.
ESET - Informe General de Amenazas del 2007
5
Tabla 1
Significado de los nombres
“Variente de Win32/Stration.XW”
Detección de un programa malicioso muy similar al
gusano Win32/Stration.XW.
“Probablemente desconocido NewHeur_PE virus”
Detección heurística (ver glosario) de un programa
malicioso desconocido.
Win32/Netsky.Q
Detección específica de un gusano de Internet.
Win32/Nuwar.gen
Detección genérica de una variante del gusano Nuwar.
TroWin32/Fuclip.B
Detección específica del troyano Fuclip.B.
Win32/Stration.XW
Detección específica de una variante en particular del
gusano Stration.
“Variante de Win32/Stration.WL”
Detección genérica de un código malicioso muy similar a
una variante del gusano Stration.
“Probable variante de Win32/Nuwar worm”
Detección de un código malicioso muy similar a una
variante del gusano Nuwar.
Win32/Stration.WC
Detección de un programa malicioso muy similar a una
variante del gusano Nuwar.
“Variante de Win32/Stration.QQ”
Detección genérica de un programa malicioso muy
similar a una variante del gusano Stration.
Proporción de mails infectados en el total de correos
electrónicos controlados
Nuestras cifras indican que de una muestra de 4.251,9 millones de mensajes controlados durante el período entre el
1 de enero del 2007 y el 10 de diciembre del 2007, 33,8 millones de mensajes tenían contenido malicioso en forma
de archivos maliciosos adjuntos o de vínculos a un sitio web que posee códigos maliciosos. Es cierto que la cantidad
de mensajes que controlamos ni siquiera se acerca al total de todos los correos electrónicos enviados en todo el
mundo; sin embargo, es una muestra suficientemente extensa para formarnos una idea de lo que ocurre a nivel
mundial. Naturalmente, existen ciertas cosas que no podemos controlar, por ejemplo, no sabemos cuántos mensajes
infectados fueron interceptados por otros sensores antes de llegar a los servidores que nosotros controlamos, pero es
un problema que tienen todos los vendedores de soluciones de seguridad. Tampoco podemos saber qué proporción
de mensajes no infectados constituyen correos no deseados molestos, pero “inofensivos” que no transportan
ningún contenido malicioso evidente: para averiguarlo, hace falta la puesta en marcha de una serie de herramientas
completamente diferentes y aún así, el envío indiscriminado de correos no deseados no se puede medir con la misma
precisión que el contenido de mensajes con programas maliciosos porque, hasta cierto punto, el destinatario es quien
define qué correo electrónico es correo no deseado y no la comunidad de seguridad informática.
A pesar de todo, las estadísticas brindan la tranquilidad de que nuestra detección proactiva de nuevas amenazas – ya
sea por su semejanza a amenazas conocidas usando firmas genéricas como por sofisticadas técnicas heurísticas
que identifican códigos maliciosos totalmente nuevos – sigue siendo tan sorprendentemente efectiva como lo esperan
nuestros clientes.
1-866-343-ESET (3738)
www.eset.com
6
Descripciones de las Amenazas Informáticas
Win32/Stration
La amenaza Stration ha estado en circulación desde mediados del 2006. Este programa malicioso de correo masivo
se usa para enviar mensajes de correo electrónico no solicitado (spam). Por lo general, llega en un archivo adjunto del
mensaje e intenta hacerse pasar por un archivo de texto normal modificando su icono propio. Hemos visto variantes
del Stration que también utilizan los programas de mensajería instantánea MSN Messenger o Skype para enviar
copias de sí mismos.
Stration envía correos masivos con un pequeño archivo ejecutable que, cuando el usuario lo abre, descarga
componentes adicionales de sitios web registrados por los mismos creadores. Los creadores del Stration han
registrado decenas de sitios web para actualizar sus redes de los equipos anfitriones comprometidos. También se
usan los servidores para insertar el contenido de los correos electrónicos no solicitados y los objetos a infectar en
todos los nodos de la red antes de iniciar la propagación.
Las variantes del Stration usan diversas estrategias para convencer al usuario de que su computadora no se encuentra
infectada. Por ejemplo, si intenta abrir un archivo ejecutable que se hace pasar por un archivo de texto, se le mostrará
un mensaje de “Error desconocido”, para cubrir el hecho de que en realidad no aparecerá ningún texto en el Bloc de
notas. Otros nombres comunes para referirse a esta amenaza son Warezov y Strati.
“Probablemente desconocido NewHeur_PE virus”
Este rótulo indica que el mecanismo de Heurística Avanzada (ver glosario) implementado en ESET NOD32 llegó a la
conclusión de que el archivo era malicioso. El rótulo no se usa para identificar una familia de malware en particular;
indica la detección proactiva de amenazas informáticas que no se han visto antes ni fueron clasificados. La gran
cantidad de detecciones en esta categoría demuestra la sobresaliente efectividad de nuestra tecnología heurística.
Win32/Netsky.Q
Es una variante muy común de un gusano de Internet que se difunde a través de mensajes de correo electrónico, redes
P2P (entre pares, o “peer-to-peer”) o unidades compartidas de red. En general, se propaga como un archivo adjunto
en los correos electrónicos, usando la extensión .pif ó .zip. Es capaz de explotar una vulnerabilidad en las copias de
Internet Explorer 5.x a las que no se les instalaron los parches correspondientes y las que permiten la ejecución del
código malicioso cuando la víctima abre el mensaje o su vista previa, incluso cuando el archivo adjunto no es abierto.
Se puede identificar a este programa malicioso por otros nombres, entre los que se encuentran: Netsky.P, I-Worm.
NetSky.q, W32.Netsky.P@mm o WORM_NETSKY.GEN.
Al ejecutarse, el programa genera un archivo con extensión .dll empaquetado con el compresor UPX. El correo
electrónico parece haber sido enviado por un remitente conocido por el destinatario, pero en realidad la dirección está
falsificada. El gusano encontró el nombre del supuesto remitente buscando en varios tipos de archivos del disco rígido
de una computadora infectada previamente. El asunto y el cuerpo del correo electrónico varían considerablemente.
El gusano crea archivos en el sistema infectado y manipula el registro de Windows agregando entradas. Tiene
incorporado un motor SMTP que le permite enviarse a sí mismo a las direcciones encontradas en el sistema infectado
cada vez que haya una conexión a Internet activa. A veces provoca ataques de denegación de servicio (DoS) contra
sitios web específicos. El hecho de que un programa relativamente antiguo que envía correos masivos haya seguido
circulando durante tanto tiempo constituye un mensaje perturbador sobre la cantidad de usuarios y sitios que no
cuentan con la protección adecuada contra los programas maliciosos y sobre la continua necesidad de contar con
detección por firmas de virus para identificar y eliminar códigos maliciosos conocidos, a pesar de los avances en la
detección heurística y en los análisis de comportamiento.
ESET - Informe General de Amenazas del 2007
7
Win32/Nuwar.gen
Los sitios web utilizados para distribuir variantes del Nuwar (ver notas sobre Win32/Nuwar) ponen en circulación una
nueva versión del programa malicioso cada treinta minutos. Para garantizar la detección de cada variante de esta
amenaza se utiliza una firma genérica en lugar de firmas individuales para cada una de las variantes. El rótulo Nuwar.
gen identifica muestras que han sido detectadas basándose en la firma genérica para la familia de gusanos Storm
Worm, y no en la detección específica de una variante o subvariante particular.
Win32/Fuclip
El nombre Fuclip es una abreviación que proviene del inglés “Full Clip” (“video completo”). Este programa malicioso
formó parte de la primera ola de infección de Nuwar. ESET NOD32 detecta los archivos en las unidades del sistema
creados por Nuwar en su intento por ocultar su presencia mediante técnicas de rootkits y de componentes como
Fuclip. La variante Fuclip.B se ha enviado como correo masivo con una gran diversidad de mensajes y algunos de los
asuntos tenían la siguiente modalidad de noticias (todos aparecían en inglés):
230 muertos tras tormenta que azota Europa
Genocidio de musulmanes británicos
Secretaria de Estado de los E.E.U.U. Condoleezza Rice golpeó a la Canciller alemana Ángela Merkel
Hugo Chávez muerto
Musulmán radical bebe sangre enemiga
¡Sadam Hussein sano y salvo!
¡Sadam Hussein vivo!
Fidel Castro muerto.
Con frecuencia, Fuclip descarga un archivo de Internet y lo ejecuta. El archivo puede ser utilizado para controlar la
computadora infectada en forma remota o para ocultar su presencia en el sistema, usando las técnicas comunes de
rootkits.
Win32/Nuwar
Nuwar, también muy conocido como el gusano Storm Worm (a pesar de ser un troyano, en lugar de un gusano),
llega a la computadora personal como un archivo adjunto en un correo electrónico o se descarga cuando un usuario
visita un sitio web con programas maliciosos. Los creadores del Nuwar utilizaron decenas de estrategias distintas de
Ingeniería Social para engañar a los usuarios y lograr que seleccionen el vínculo malicioso que les llegó en el correo
electrónico o que abran el archivo adjunto.
Al parecer, el propósito principal de este programa malicioso es crear una poderosa red de computadoras
comprometidas que se comporten como zombis (una botnet). Se ha utilizado para enviar información relacionada al
fraude bursátil “pump and dump” y también para instalar programas maliciosos adicionales con el objetivo de robar
datos bancarios de las computadoras comprometidas.
Nuwar es único porque sus programadores y los administradores de las botnets, con quienes trabajan, le prestan
suma atención al mantenimiento de las botnets y lanzan actualizaciones frecuentes para evadir los sistemas de
detección de programas antimalware.
Otros nombres de uso común para esta amenaza son: Peacomm, Zhelatin y Tibs, y aparece en la lista de programas
maliciosos comunes como CME-711, en el sitio web Common Malware Enumeration (http://cme.mitre.org).
1-866-343-ESET (3738)
www.eset.com
8
Imagen 2: Listado de VirusRadar de los 10 malware principales según el tipo de detección
Detección específica de códigos maliciosos
7,064,817
Detección por firmas genéricas
16,604,793
Detección heurística
4,184,672
La “detección específica de códigos maliciosos” denota que se ha identificado un programa malicioso que ya
conocemos. La “detección por firmas genéricas” denota que se ha identificado un programa malicioso que se asemeja
mucho a una variante de un programa malicioso conocido o que pertenece a una familia de programas maliciosos.
La “detección heurística” denota que se ha identificado un programa malicioso que no se asemeja a los programas
maliciosos existentes.
Las cifras obtenidas por VirusRadar demuestran que la detección de amenazas nuevas (y de nuevas versiones de
amenazas antiguas) es al menos tan importante en los programas de seguridad como la detección tradicional basada
en firmas de virus. Consideramos que nuestra heurística es la mejor de la industria y cuando usted vea las tendencias
de las amenazas y la tecnología de seguridad a lo largo del año, notará que varios expertos de la industria están de
acuerdo con nosotros.
ESET - Informe General de Amenazas del 2007
9
Resumen de Tendencias del 2007
Esta sección muestra las tendencias de cada mes desde enero hasta diciembre del 2007. La mayoría de los datos
presentados fueron extraídos de ThreatSense.Net®, intercalados con otra información de interés más general.
Mientras que VirusRadar.com controla los correos electrónicos, los datos de ThreatSense.Net® están basados en
muestras enviadas automáticamente a nuestro Laboratorio de Investigación de Amenazas por los clientes que desean
participar, por lo tanto, no se restringen a las amenazas distribuidas en correos electrónicos.
1-866-343-ESET (3738)
www.eset.com
10
Enero
Imagen 3: Los diez programas maliciosos principales en enero del 2007
Win32/Adware.Boran
Adware.Boran no es un virus: entra en la categoría que los fabricantes de soluciones de seguridad con frecuencia
denominan Programas o Aplicaciones potencialmente indeseables. Después de que se instala a sí mismo, el programa
abre ventanas emergentes de publicidades y es posible que redirija algunas de las solicitudes hechas a la web a sitios
de terceros. También se lo conoce con el nombre Adware.Win32.Agent. Este programa intenta contactar una gran
cantidad de sitios para buscar datos sobre actualizaciones. Además cambia la información en el registro de manera
que se carga automáticamente cada vez que se inicia el sistema operativo.
Win32/RJump.A
RJump es un gusano de Internet que presenta características de un troyano, ya que abre una puerta trasera en
el sistema infectado y envía información sobre la computadora comprometida. Se propaga copiándose a unidades
externas, como discos rígidos, cámaras digitales, celulares y memorias USB. A veces también se lo conoce por los
siguientes nombres: Backdoor.Rajump, W32/Jisx.A.worm, W32/RJump.A!Worm, WORM_SIWEOL.B.
Win32/Brontok
Es un programa malicioso con características de un programa de puerta trasera (backdoor), se difunde por medio
de los correos electrónicos y recursos compartidos en red. Utiliza su propio motor SMTP para enviar mensajes de
correo electrónico con archivos adjuntos que usan las siguientes extensiones: .ASP, .CMF, .CSV, .DOC, .EML, .HTM
y .HTML, .PHP, .TXT, y .WAB. También crea archivos de sistema y modifica algunas entradas en el registro.
ESET - Informe General de Amenazas del 2007
11
Nuwar (Storm Worm)
Este programa malicioso ha atraído la atención de los medios desde enero, ya que se propagó al hacerse pasar por una
noticia sobre el fuerte temporal Kyrill. Las razones son muchas. En primer lugar, fue una de las primeras amenazas de
gran alcance que utilizó redes P2P como mecanismos de comunicación de comando y control (C&C o Command and
Control), a pesar de que los bots han estado usando las redes P2P aproximadamente desde el 2003. El hecho de que
Nuwar se comunique en una red descentralizada hace que sea muy difícil estimar la cantidad de equipos anfitriones
infectados. Algunos investigadores aseguraron que existen más de un millón de equipos infectados, mientras que
investigadores de Microsoft sugirieron que las máquinas comprometidas son sólo un par de cientos de miles.
El objetivo principal de esta amenaza es construir una botnet sólida y confiable (una red de computadoras anfitrionas
comprometidas). La botnet del Storm Worm se ha utilizado para enviar correos electrónicos con fraudes bursátiles
“pump and dump”, correos no deseados, correos electrónicos de auto propagación e incluso troyanos bancarios,
diseñados para robar información de cuentas bancarias.
Los creadores del Storm Worm han usado una variedad de tácticas de Ingeniería Social para atraer a los usuarios
a visitar sitios web maliciosos y comprometer así sus sistemas. La siguiente tabla muestra una lista de los temas de
Ingeniería Social utilizados con este propósito. La duración del uso de las técnicas demuestra que los creadores cuentan
con medios para controlar la efectividad de cada una de las maniobras, lo que contribuye a la mejor propagación e
infección. Ajustan las estrategias en respuesta a los resultados obtenidos para incrementar el rendimiento y efectividad
de su botnet.
Tipo
Período
Noticias aterradoras o de actualidad
Diciembre del 2006 a mayo de 2007
Tarjetas electrónicas
Junio a agosto del 2007
Postales electrónicas
Agosto del 2007
Soporte técnico (envío de parches o conexiones a redes Agosto del 2007 (un día solo)
privadas virtuales)
Versiones de prueba de programas
Agosto del 2007 (un día solo)
Videos
Agosto a septiembre del 2007
Día del trabajo
Septiembre del 2007 (un día solo)
Privacidad (Tor, o red de anonimato)
Septiembre del 2007 (un día solo)
Temporada de la Liga de Fútbol Americano
Septiembre del 2007
Descarga de videojuegos clásicos
Septiembre a octubre del 2007
Además de cambiar las estrategias de Ingeniería Social, los creadores de Nuwar crean actualizaciones de los
programas con frecuencia. Los sitios web que utilizan para distribuir los programas maliciosos tienen un archivo
diferente cada 30 minutos. En general, la diferencia entre los archivos es mínima, pero es suficiente para evadir los
patrones de firmas en los que se basan la mayoría de los programas antivirus.
El marco de comando y control en el que opera Nuwar es completamente descentralizado y depende del protocolo
Overnet para encontrar los recursos necesarios para infectar computadoras. Por ejemplo, un equipo anfitrión infectado
explorará las redes entre pares (P2P) para encontrar sitios de actualización desde donde bajar las nuevas versiones
del programa malicioso. Nuwar también usa la red de pares con el objetivo de recibir información e instrucciones
relacionadas a los correos no deseados que debe diseminar y de especificar los objetos para ataques de denegación
de servicio distribuido (DDoS, según sus siglas en inglés). La información transmitida por la red siempre es confusa y
oculta, y utiliza el algoritmo de cifrado RSA.
Nuwar es un buen ejemplo de una amenaza moderna que utiliza tecnologías avanzadas para infectar computadoras
y mantenerse firme en los sistemas comprometidos por cualquier medio que sea necesario. Su estructura sofisticada
y diversificada así como su mecanismo de auto actualización provocan que distintos componentes sean detectados
bajo nombres muy diversos, incluso por el mismo producto antivirus.
1-866-343-ESET (3738)
www.eset.com
12
Win32/PSW.QQRob
Es un keylogger capaz de robar información sobre el usuario y la computadora infectada, incluyendo contraseñas,
nombres de usuario y cualquier tipo de información confidencial ingresada en cualquier documento o sitio web desde
el teclado.
Otros eventos en enero
También en el mes de enero, el Global Islamic Media Front, la pantalla mediática de Al Qaeda, anunció la aparición del
“primer programa informático islámico para intercambio seguro en Internet”. El hacker conocido como “LMH” y Kevin
Finisterre explicaron en detalle lo que llamaron el “Mes de las Fallas de Apple” (http://projects.info-pull.com/moab/). El
Servicio de Seguridad del Departamento de Defensa de los Estados Unidos rectificó su informe sobre las “monedas
espía canadienses”: habían afirmado que los contratistas militares estadounidenses que viajaban por Canadá estaban
siendo vigilados por medio de radiotransmisores diminutos insertados en monedas. Las personas empezaron a hablar
sobre Julie Amero, una maestra de escuela de Connecticut llevada a juicio por no haber evitado la exposición de los
alumnos a ventanas emergentes con imágenes pornográficas durante una clase.
Microsoft sacó al mercado un producto llamado Vista, sobre el cual la Electronic Frontier Foundation (Fundación
Fronteras Electrónicas) resaltó la existencia de ciertas restricciones preocupantes en el Acuerdo de Licencia de
Usuario Final – http://www.eff.org/deeplinks/2007/01/microsofts-vista-read-fine-print.
Randy Abrams, Director of Technical Education de ESET, participó en un debate sobre la coordinación de ataques zeroday en el curso dictado por Gadi Evron “Internet Security Operations and Intelligence II” (Operaciones de seguridad
e inteligencia en Internet II), al que acudieron vendedores de soluciones de seguridad y de otras organizaciones,
miembros del centro CERT, representantes del departamento de Defensa y del departamento de Seguridad Nacional
de los Estados Unidos y especialistas en seguridad para hablar sobre cómo “arreglar” la seguridad en Internet.
AV-Comparatives anunció que ESET NOD32 fue considerado el mejor producto antivirus del año 2006.
ESET - Informe General de Amenazas del 2007
13
Febrero
Imagen 4: Los diez programas maliciosos principales en febrero del 2007
Win32/Adware.Yisou
Este programa, al parecer de origen asiático, muestra publicidades no solicitadas en ventanas emergentes con
caracteres chinos. La aplicación Win32/Adware.Toolbar. SearchColours, que “emerge” en el resumen de marzo, es
bastante similar.
Win32/Genetik
El rótulo Win32/Genetik se usa para designar todos los archivos detectados como maliciosos por la nueva técnica
implementada en ESET NOD32. Esta técnica de detección usa la Heurística Avanzada para aprovechar el conocimiento
acumulado durante años en nuestra base de datos de firmas genéricas.
Otros eventos en febrero
También en el mes de febrero, una corte holandesa sentenció a dos hackers a prisión (aunque las sentencias fueron
un poco cortas) por ofensas relacionadas al uso de botnets con varios propósitos criminales, mientras que un creador
holandés de spam recibió una multa de 97.000 dólares por enviar más de 90 mil millones de mensajes de correo
electrónico no solicitado. En Los Ángeles, Samy Kamkar recibió una sentencia de tres años de libertad condicional y
90 días de servicio comunitario por haber creado el Superworm, que usaba la red social MySpace para propagarse.
Varios artículos de noticias especularon sobre la amplia difusión de los ataques de hackers chinos.
Mientras tanto, estalló la controversia sobre el caso de Julie Amero: ¿era una corruptora de menores, una ignorante
incapaz de encontrar el botón de encendido de la computadora o del monitor, o la víctima de la junta directiva de una
escuela que intentaba cubrir su propia incompetencia y evadir un caso de prosecución sobre falsos testimonios?
ESET NOD32 obtuvo su 42º premio VB100 en una evaluación comparativa de programas antivirus en Windows Vista,
realizada por Virus Bulletin. El crítico John Hawes también señaló su “impresionante velocidad, como siempre”. En el
mismo mes, ICSA labs certificó el producto bajo su Programa de Certificación de Soluciones Antivirus para Windows
Vista.
1-866-343-ESET (3738)
www.eset.com
14
Marzo
Imagen 5: Los diez programas maliciosos principales en marzo del 2007
Win32/Perlovga
Perlovga es un programa muy simple que copia archivos a la carpeta %windir%, donde se replica a sí mismo como
%windir%\xcopy.exe. También intenta copiar %windir%\autorun.inf a C:\autorun.inf y a veces se lo llama Trojan.
CopySelf. Puede formar parte de una amenaza más importante.
Win32/TrojanDownloader.Agent.AWF
Perlovga es un programa muy simple que copia archivos a la carpeta %windir%, donde se replica a sí mismo como
%windir%\xcopy.exe. También intenta copiar %windir%\autorun.inf a C:\autorun.inf y a veces se lo llama Trojan.
CopySelf. Puede formar parte de una amenaza más importante.
Otros eventos en marzo
El periódico británico Daily Mail expuso una posible vulnerabilidad en los nuevos pasaportes electrónicos de Reino
Unido, mientras que el Home Office (el Ministerio del Interior británico) negó la posibilidad de falsificar un pasaporte
nuevo por ningún medio. El periódico Washington Post informó que hubo que apagar 2.500 computadoras del
gobierno de los Estados Unidos en el condado de Anne Arundel debido a una infección de Rinbot; se informó que Al
Qaeda estaba formando un complot para desmoronar el acceso a Internet de Reino Unido bombardeando el centro
de comunicaciones Telehouse en Londres; y una publicación del servicio de seguridad de Microsoft describió una
vulnerabilidad en los cursores e íconos animados de Windows.
En ESET, el cofundador Miroslav Trnka fue nombrado el Empresario del año 2006 por Ernst & Young, y se publicó
un documento informativo sobre Análisis Heurístico escrito por Andrew Lee, Chief Research Officer de ESET, y David
Harley, Reseach Author.
ESET - Informe General de Amenazas del 2007
15
Abril
Imagen 6: Los diez programas maliciosos principales en abril del 2007
Win32/TrojanDownloader.Ani.Gen
Los archivos que ESET NOD32 identifica como Win32/TrojanDownloader.Ani.Gen son archivos maliciosos de
iconos que intentan explotar una falla de seguridad en el editor de iconos animados de Windows (MS07-017: ver
http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx y http://www.cve.mitre.org/cgi-bin/cvename.
cgi?name=CVE-2007-0038 ). Estos archivos pueden cargarse en un explorador con javascript. La falla de seguridad se
ha utilizado considerablemente para descargar programas maliciosos adicionales en las computadoras de las víctimas.
La actualización de seguridad de Microsoft correspondiente a abril del 2007 incluyó un parche para esta falla de seguridad.
Entre los otros nombres por los que se conoce a esta amenaza se encuentran: Exploit.Win32.IMG-ANI y Trojan.Anicmoo.
Win32/Pacex.Gen
El rótulo Pacex.gen en general designa archivos maliciosos que usan una capa específica de ofuscación, para pasar
desapercibidos ante programas antivirus. Se descubrió que esta capa de ofuscación es utilizada mayormente por los
troyanos que roban contraseñas.
Win32/Adware.Virtumonde
Este programa frecuentemente denunciado, entra en la categoría de Programas potencialmente indeseados. Se
usa para enviar publicidades a las computadoras de los usuarios y también puede ser identificado bajo el nombre
Vundo.
Win32/Spy.VBStat.J
Spy.VBStat es un troyano que roba información, se distribuye en formato DLL y muchas veces es instalado por otro
programa malicioso. También puede ser identificado por el nombre InfoStealer.
1-866-343-ESET (3738)
www.eset.com
16
Otros eventos en abril
En su primera edición de abril, la cadena de noticias CNET anunció que el presidente Bush había firmado una
medida donde decretaba que Vista es tan complejo que presenta una amenaza a la seguridad nacional; que la Corte
Suprema había anulado la Ley de Moore; y que el departamento de Seguridad Nacional planificaba controlar a los
estadounidenses con cámaras de video integradas en las computadoras personales, como medida antiterrorista.
De vuelta en el mundo real, Kevin Poulsen, el hacker que se convirtió en periodista, mencionó en la revista Wired que
Vista no incluye una versión del protocolo telnet, una herramienta de red primitiva y algo insegura que se ha usado
durante los últimos 35 años. Tradicionalmente, los programas exploradores de Internet tenían soporte para telnet, ya
que pasaban los pedidos de las conexiones de telnet a las aplicaciones clientes locales de telnet. Sin embargo, el
programa que habilita el uso de telnet no se encuentra presente en Internet Explorer 7. (Si uno lo desea, se puede
volver a habilitar. Por cierto, sigue presente en muchos sistemas que no funcionan con Windows.)
También hubo denuncias de mensajes y vínculos a fotografías “calientes” de Britney Spears que resultaron ser
explotadores de las vulnerabilidades de iconos animados de Windows mencionadas arriba. Apareció una prueba de
concepto de un malware (cuyo único objetivo es demostrar lo que se puede llegar a hacer) que infectaba iPods con
Linux. Alex Ionescu puso en circulación una prueba de concepto de un programa que deshabilita la protección de
“procesos protegidos” en Vista, como una forma de explotar la gestión de derechos digitales de Vista para ocultar
programas maliciosos. Joanna Rutkowska anunció que entre julio y agosto iba a demostrar cómo evadir las técnicas
de antirootkits y BitLocker en Vista durante una convención de Black Hat. Abril también fue un buen mes para bromas,
como el virus de la antorcha olímpica y un supuesto virus de telefonía celular que es letal para seres humanos, de
circulación en Pakistán.
ESET anunció la versión beta del programa ESET Smart Security, un producto que integra un motor antimalware
excepcional con control de correo no deseado y un firewall personal.
ESET - Informe General de Amenazas del 2007
17
Mayo
Imagen 7: Los diez programas maliciosos principales en mayo del 2007
Otros eventos en mayo
La empresa española especialista en seguridad industrial Neutralbit anunció la existencia de problemas en el protocolo
para control de procesos “OLE for Process Control” (OPC) que podrían indicar vulnerabilidades de explotación remota
en sistemas SCADA (Control supervisor y adquisición de datos, según siglas en inglés) utilizados por estaciones
de servicio, refinerías, etc. Dos hombres fueron sentenciados a servicio comunitario por poner dispositivos que
funcionaban con pilas en Boston y Cambridge. Resultó ser un medio de promoción del canal Cartoon Network, pero
en un principio, al ser descubiertos en puentes y estaciones de subterráneos, fueron tomados por bombas, lo que
ocasionó graves obstaculizaciones de tráfico. Hubo una especulación constante de que los ataques de “ciberguerra”
en Estonia se originaban en Rusia, que se encontraba en conflicto con Estonia.
Verison adquirió Cybertrust, por lo que incidentalmente adquirió ICSAlabs, que se especializa en la certificación de
productos de seguridad y también dirige la organización internacional Wildlist International Organization (http://www.
wildlist.org). Esta organización constituye una fuerza mayor en el rastreo de programas maliciosos y su colección de
muestras WildCore es un componente esencial en cualquier prueba de programas antivirus. En Reykiavik, Islandia, se
llevó a cabo un taller internacional sobre la evaluación de programas antivirus, que reunió a los fabricantes antivirus
y organizaciones relacionadas a las pruebas comparativas y certificaciones: Andrew Lee dio una presentación de
gran aceptación sobre el momento para actualizar (Time to Update). ESET anunció su servicio de análisis gratuito
en línea.
1-866-343-ESET (3738)
www.eset.com
18
Junio
Imagen 8: Los diez programas maliciosos principales en junio de 2007
INF/Autorun
Este rótulo se usa para describir una variedad de programas maliciosos que utilizan el archivo autorun.inf para
instalarse o para liberar otros archivos en el sistema. El archivo autorun.inf contiene información sobre programas que
se ejecutan automáticamente, como los CD o las memorias USB. Los programas maliciosos que instalan o modifican
archivos en autorun.inf son detectados por ESET NOD32 con el nombre Autorun/INF. En la actualidad corresponde a
un vector de amenazas muy extendido.
Win32/BHO.G
BHO (a veces llamado Metajuan) es un troyano que roba información. Su nombre proviene de “Browser Helper
Objects”, un módulo a veces usado por Internet Explorer. El troyano usa los objetos de ayuda para recopilar la
información ingresada en campos de texto cuando se utiliza Internet Explorer para llenar formularios, además recopila
las direcciones de los sitios web visitados. Se cree que existe una relación directa entre Adware.BHO.G, Adware.
Virtumonde y el troyano BHO.G.
Otros eventos en junio
Se le concedió un nuevo juicio a la ex maestra de Connecticut Julie Amero. Sin embargo, todavía no se llevó a
cabo y se especula que el juicio nunca se hará: algunos creen que se dejará que el asunto vaya muriendo en forma
inadvertida. Una broma sobre un tsunami en Indonesia generó que miles de personas huyeran de sus hogares en la
costa: se especula que la broma fue iniciada por saqueadores. (Existen ciertas evidencias de que esto también ocurrió
luego del Tsunami del océano Índico de 2004, que de por sí generó muchas bromas y estafas.) El departamento
de Justicia de los Estados Unidos y el FBI informaron que habían identificado a más de un millón de víctimas de
crímenes relacionados a botnets como parte de una iniciativa de entorpecer la Operación: Bot Roast, una operación
para eliminar las botnets. Muchos de nosotros en particular disfrutamos el informe donde se explica que la iniciativa
tenía el propósito de “desbaratar y desmantelar a los botherders”. (El término botherders se aplica comúnmente a
ESET - Informe General de Amenazas del 2007
19
las personas que administran las botnets maliciosas: a pesar de que existan argumentos para atraparlos, colgarlos y
descuartizarlos, es improbable que hasta la corte estadounidense más cruel vaya tan lejos.)
En un debate de una convención de Black Hat, Thomas Ptacek, Nate Lawson y Peter Ferrie desafiaron a Joanne
Rutkowska a que probara que su tecnología conocida como el proyecto “Blue Pill” (la píldora azul) puede crear un
rootkit 100% indetectable. Ella aceptó el desafío bajo una serie de condiciones: los retadores aceptaron cuatro de las
condiciones, pero se resistieron a pagarle 384.000 dólares para convertir el prototipo de la “Blue Pill” en un rootkit de
calidad comercial; en consecuencia, no se concretó la apuesta. (Para leer la historia completa ingrese a http://blogs.
zdnet.com/security/?p=334.)
El programa ESET NOD32 recibió una mención de cinco estrellas en el informe sobre herramientas para la detección
de programas maliciosos de la revista SC Magazine.
1-866-343-ESET (3738)
www.eset.com
20
Julio
Imagen 9: Los diez programas maliciosos principales en julio del 2007
Win32/Adware.Ezula
Esta aplicación “probablemente indeseada” viene con el ícono de un programa de instalación común, pero al ejecutarlo
no se muestra ningún mensaje para el usuario. La instalación se completa en forma oculta y no le ofrece al usuario
ningún tipo de información sobre lo que se está instalando. Una vez instalado, descarga y ejecuta componentes
adicionales desde un sitio web actualmente ubicado en las Filipinas. Ezula rastrea palabras clave de búsqueda que
son enviadas por el usuario a una lista predefinida de sitios web y además muestra en forma intermitente mensajes
de publicidades mientras el usuario navega por Internet. También se conoce este programa por otros nombres, como
AdClicker-FK, Generic5.CF, TR/Agent.aoy.1 y Trj/Downloader.OZB.
Otros eventos en julio
Richard Ford, profesor de investigación en el centro de seguridad de la información del Institute of Technology
de Florida y ex editor de Virus Bulletin, evaluó “25 años de virus” (http://www.npr.org/templates/story/ story.
php?storyld=11954260), tomando como punto de partida el virus “Elk Cloner” para Apple II. Nuwar (Storm Worm) fue
el responsable de un vendaval de correos con tarjetas electrónicas falsas, lo que inspiró a Randy Abrams a dar una
explicación sobre el motivo por el cual las tarjetas electrónicas y las invitaciones electrónicas son malas en un contexto
inapropiado (http://www.eset.com/threat-center/blog/?p=76; http://www.eset.com/threat-center/blog /?p=77).
ESET elaboró un informe minucioso sobre phishing y amenazas relacionadas, disponible en http://www.eset.com/
download/whitepapers.php y anunció las versiones beta para sus líneas de productos para servidores Linux y
FreeBSD.
ESET - Informe General de Amenazas del 2007
21
Agosto
Imagen 10: Los diez programas maliciosos principales en agosto del 2007
Win32/Obfuscated
El rótulo “Obfuscated” se utiliza cono identificador genérico para designar a los programas maliciosos que usan
códigos confusos o de ofuscación para ocultar sus funciones. El nombre se aplica a una gran variedad de programas
maliciosos de Windows que se ocultan por técnicas de ofuscación como empaquetamiento, polimorfismo e inyección
de código basura dentro del archivo infectado.
Win32/HackAV.G
La familia de programas identificados como HackAV.G tienen como objetivo hacer modificaciones (cracks y hacks)
utilizadas para promover la piratería de aplicaciones.
Otros eventos en agosto
Como mínimo, una vez por año llega alguien con una prueba comparativa para productos antivirus se pongan con
los nervios de punta de los investigadores de soluciones contra programas maliciosos en todo el mundo. Este año
fue el turno de Untangle, que ofrece una solución esencial de código abierto para puertas de enlace. No hay nada
de malo en esto, el problema es que realizaron una prueba en el evento LinuxWorld donde cometieron casi todos los
errores metodológicos básicos, como el uso de un muestrario demasiado pequeño, el empleo de muestras no válidas,
el uso inapropiado de archivos libres de virus junto con las muestras y la evaluación basada en comparaciones no
válidas. Randy Abrams comentó en http://www.este.com/threat-center/blog/?p=78 que “Hay que hacer lo posible para
ser menos competente”, y Andrew Lee y David Harley procedieron a redactar un paper y una presentación para
la conferencia AVAR (ver resumen de noviembre) donde usaron la prueba de Untangle y la prueba de Consumer
Reports del año anterior como ejemplos de lo que no hay que hacer en una evaluación comparativa.
Lee, Chief Research Officer de ESET, también fue uno de los contribuyentes principales del informe de Harley “AVIEN
Malware Defense Guide for the Enterprise” (“La guía AVIEN de defensa contra códigos maliciosos en la empresa”),
publicado este mes en los Estados Unidos por la editorial Syngress. (No es sorprendente el hecho de que Lee y
Harvey hayan escrito un capítulo juntos sobre la evaluación y las pruebas de programas antivirus.) Mientras tanto, se
habilitó al público el ESET Online Scanner.
1-866-343-ESET (3738)
www.eset.com
22
Septiembre
Imagen 11: Los diez programas maliciosos principales en septiembre del 2007
Win32/PSW.Agent.NDP
Este programa malicioso es un juego en línea que roba contraseñas. Al ejecutarse, se copia a sí mismo a la carpeta
de archivos temporales del usuario y crea un DLL en la misma ubicación. Los archivos creados tienen nombres muy
variados, que incluyen “rundl132.dll” y “iexpl0rer.exe”. Se crea una entrada de registro para ejecutar el programa cada
vez que se reinicia el sistema. La información robada sobre contraseñas se envía a un servidor Web remoto a través
del protocolo HTTP. Los juegos que contienen esta amenaza al parecer cambian según la variante del programa
malicioso. Otros nombres para designarlo incluyen InfoStealer.Gamepass y PWStealer.
IRC/SdBot
El rótulo SdBot designa a una de las familias más grandes de códigos maliciosos. Las variantes del SdBot se usan para
crear redes de equipos anfitriones infectados, también conocidos como redes de zombis o botnets. El mecanismo de
comando y control utilizado por la mayoría de las variantes del SdBot es el protocolo de comunicación en tiempo real
IRC (Internet Relay Chat). Como el código fuente de esta amenaza está disponible para cualquiera que lo descargue
de Internet, muchos creadores de programas maliciosos han copiado el código para crear sus propias versiones. La
mayoría de las versiones del SdBot se transmiten en objetos compartidos en red y explotan una gran variedad de
vulnerabilidades conocidas de distintas aplicaciones. Los bots como SdBot constituyen una grave amenaza para la
seguridad de la comunidad en línea. Por el alcance y la naturaleza altamente variable de esta amenaza, no suele
llegar a estar entre las primeras amenazas de las listas como ThreatSense.Net®, ya que se basan en el grado de
difusión de las amenazas. No obstante, si observan las listas mensuales de virus activos en el mundo real o WildLists
(http://www.wildlist.org/WildList/), que no se basan en el grado de difusión, notarán que las variantes de Agobot,
Sdbot, IRCbot y sus hermanos se encuentran bien arriba junto a los programas más antiguos (pero aún vigentes) que
envían correo masivo.
Win32/Agent
ESET NOD32 utiliza este rótulo en forma genérica para designar a una gama de códigos maliciosos que tiene, el
propósito de robar información. Esta familia de programas maliciosos se copia a sí misma en ubicaciones temporales y
agrega entradas en el registro para asegurar que el programa se ejecute cada vez que se inicia el sistema operativo.
ESET - Informe General de Amenazas del 2007
23
Otros eventos en septiembre
Para la comunidad de investigación contra programas maliciosos, el evento principal de septiembre fue la
conferencia organizada por Virus Bulletin, donde se reunieron varias de las mejores mentes de la investigación de
códigos maliciosos en Viena para intercambiar ideas e información (http://www.virusbtn.com/conference/vb2007/
VB2007report.pdf). Este año, ESET estuvo muy bien representado: Andrew Lee presentó un paper junto a David
Harley titulado “Phish Phodder: is User Education Helping or Hindering?” (Carnada para phishing: ¿la educación del
usuario ayuda o entorpece?). Randy Abrams y Pierre-Marc Bureau dieron una presentación donde demostraron que
los programas antivirus no van a morir como muchos afirman, sino todo lo contrario. Como siempre, hubo muchas
otras presentaciones y papers excelentes como el de Alex Shipp “El extraño caso de Julie Amero” y la presentación
de Dmitry Alperovitch sobre los fraudes con correos no deseados.
De todas formas, la semana previo, el stand de ESET en la exhibición InfoSecurity en Nueva York presenció un evento
de firma de libros significativo cuando se hizo la presentación del libro “AVIEN Malware Defense Guide” (“La guía
AVIEN de defensa contra códigos maliciosos”) – para el cual uno de los contribuyentes principales fue nuestro Chief
Research Officer, Andrew Lee – y se formó un panel con Andrew y sus coautores David Harley, Ken Betchel y Robert
Vibert, quienes respondieron a las preguntas de la audiencia. También contribuyeron en la creación del libro otros
miembros distinguidos de AVIEN (http://www.avien.org) y AVIEWS (http://www.aviews.net).
1-866-343-ESET (3738)
www.eset.com
24
Octubre
Imagen 12: Los diez programas maliciosos principales en octubre del 2007
Mac Malware
En octubre observamos uno de los primeros ataques (además de algunos macro virus) que infectaban tanto
a computadoras personales con Windows de Microsoft como a Macintosh de Apple con Mac OS X. El vector de
infección de este ataque era un códec falso que sólo se hacía efectivo cuando se lograba engañar al usuario para que
lo descargue y ejecute. Para más detalles sobre códecs falsos y técnicas de Ingeniería Social, lea el siguiente análisis
sobre los engaños al usuario de la computadora para ejecutar los programas maliciosos.
El ataque del programa malicioso que infectaba al sistema operativo Mac OS X era similar al W32/Zlob, pero mucho
más rudimentario al compararlo con los avanzados códigos maliciosos para Windows. Estaba integrado por un
paquete de instalación con formato dmg que funcionaba si el usuario lo seleccionaba y lo instalaba. El programa
malicioso usaba una secuencia de comandos de instalación para cambiar elementos críticos de la configuración
en el sistema de la víctima. El propósito de este programa malicioso era cambiar la configuración del DNS (Domain
Name Server) y redirigir todas las peticiones hechas al DNS a un servidor de la organización del cibercrimen llamada
Russian Business Network. Una vez que había logrado controlar la información del DNS, el atacante redirigía las
peticiones a sitios web de bancos y comercios en línea para robar la información bancaria de las víctimas.
David Harley señaló en su blog Securiteam en http://blogs.securiteam.com/index.php/ archives/1029 que las
investigaciones informales de Roger Grimes sugieren que los programas maliciosos que funcionan con técnicas
de Ingeniería Social (en este caso engañando a la víctima para que ejecute el programa malicioso) logran “mejores
resultados” que los basados en la explotación de las vulnerabilidades de aplicaciones. También están quienes afirman
que los usuarios de Mac son más inteligentes que los usuarios de Windows y por lo tanto no se dejan engañar por las
técnicas de Ingeniería Social (lo curioso es que en general son las mismas personas que creen que los programas
maliciosos de Windows se basan sólo en la explotación de vulnerabilidades y no en Ingeniería Social). Sin embargo,
en este momento, los usuarios de Mac sin conocimientos particulares sobre seguridad pueden ser especialmente
vulnerables si creen que sus sistemas son tan intrínsicamente seguros fuera de la caja que no necesitan saber ni
hacer nada respecto a la seguridad. Harley también comentó: “Más allá de lo que suceda, y más allá de que esta sea
la punta del iceberg donde los usuarios de Mac comienzan a sufrir como los usuarios de Windows, estoy convencido
de que no es momento para discusiones desde ambos lados del abismo entre Mac y Windows. Éste es un momento
para observar y aprender, y para buscar hechos en lugar de prejuicios”.
ESET - Informe General de Amenazas del 2007
25
Otros eventos en octubre
Este mes, en el blog de ESET en http://www.eset.com/threat-center/blog/, Pierre-Marc Bureau reparó en cierto
comportamiento interesante del W32/Nuwar, también conocido como el Storm Worm. Señaló que los primeros veinte
minutos luego de una infección se usan para establecer comunicación con otros sistemas comprometidos y unirse a
la red descentralizada. El Nuwar utiliza el protocolo de red entre pares (peer-to-peer) eMule, en lugar de los protocolos
más comunes IRC ó HTTP: esta peculiaridad parece tener la intención de fortificar la botnet, ya que no hay un punto
central desde donde apagar el sistema, por lo tanto no existe un punto único de falla. Cuando una computadora
comprometida se conecta a la botnet, provoca volúmenes considerables de tráfico de red y realiza un mantenimiento
de red a cada hora. La importancia de los picos resultantes en el tráfico de red es que les otorga a los administradores
de red que están alerta una forma de controlar el impacto local de Nuwar y otros programas maliciosos similares.
Como dice Pierre-Marc Bureau: “los creadores de este programa malicioso parecen haber elegido la confiabilidad por
sobre el encubrimiento en la red. La industria de seguridad necesita prestar atención a las concesiones operacionales
que hacen los atacantes. Estos intercambios pueden mostrar debilidades que nos ayudan a asegurar nuestra
infraestructura”. Pierre-Marc también llamó nuestra atención el 31 de octubre por el hecho de que el Storm Worm
se estaba sumando a los festejos y juegos del Día de Brujas haciéndose pasar por una aplicación de un esqueleto
bailarín. ¿Qué mejor momento para ampliar la población de zombis?
Como mencionamos más arriba, un nuevo troyano llegó al radar de Mac. Esta fue una de las más interesantes: estaba
relacionada a una familia significativa de programas maliciosos para los usuarios de Windows, usaba un códec falso
como vector de infección y, una vez instalado, redirigía las peticiones al DNS para lograr que las víctimas finalmente
ingresaran a sitios web falsos de bancos y comercios en línea con la intención de robar la información de su cuenta.
Convencer a los usuarios de computadoras de que necesitan descargar un códec especial para poder ver un video fue
un vector muy popular en las infecciones del año 2007. Un códec es un componente de una aplicación que permite
la compresión y descompresión de archivos de video para ocupar menos espacio en el disco. Con frecuencia, los
usuarios eran redirigidos a sitios web que supuestamente contenían videos, donde se les informaba que necesitaban
descargar e instalar un códec para poder visualizar el video en su computadora. La mayoría de los ataques de códecs
falsos que hemos visto hasta ahora se han usado para infectar computadoras con la familia de programas maliciosos
Zlob. La familia de troyanos Zlob descarga componentes adicionales luego de su instalación y le provee al atacante
acceso completo a la computadora de la víctima. También se realizaron estafas con códecs falsos (tanto en Windows
como en OS X) para distribuir programas que modifican la configuración del DNS del equipo anfitrión para redirigir
las peticiones de sitios Web legítimos a sitios maliciosos, con el objetivo de robar información sensible o recopilar
estadísticas de la navegación en Internet.
Mientras tanto, ESET lanzó la versión definitiva de ESET Smart Security y la versión ESET NOD32 3.0.
1-866-343-ESET (3738)
www.eset.com
26
Noviembre
Imagen 13: Los diez programas maliciosos principales en noviembre del 2007
Este mes no entró ningún malware novedoso en la lista de los diez principales.
Otros eventos en noviembre
El Servicio de Hacienda y Aduanas británico (HMRC) admitió haber perdido dos CD con los datos de 25 millones de
familias beneficiarias del programa de ayuda a familias con niños menores, por lo que pueden verse expuestas a
explotación fraudulenta. Los datos fueron enviados a la National Audit Office (NAO) a través de un canal inseguro, al
parecer no estaban codificados y los registros incluían más datos sensibles que los solicitados en realidad por la NAO,
ya que resultaba más económico dejar intactos los datos correspondientes a la información no deseada. Estos temas
sugieren el incumplimiento de varios de los Principios de Protección de Datos establecidos por el Reino Unido y otras
leyes europeas. En forma sucesiva, se reconoció que previamente la organización había tenido siete casos más de
incumplimiento de este tipo desde el 2005.
Cada año se realizan tres conferencias de seguridad a las que los investigadores de seguridad contra malware no
suelen faltar. Lamentablemente, la conferencia EICAR para esta temporada de 2007 fue cancelada y ya hemos hecho
referencia a la conferencia de septiembre de 2007 realizada por Virus Bulletin. A fines de noviembre, el tercer gran
evento sobre seguridad correspondía a la conferencia AVAR (Asociación de Investigadores de Antivirus de Asia,
según sus siglas en inglés) en Seúl. Esta conferencia fue particularmente interesante para todo el que haya seguido
la evolución de las pruebas de productos antivirus y de las certificaciones, ya que hubo, a falta de uno, tres papers
presentados sobre el tema, incluyendo uno escrito por nuestro propio experto Andrew Lee junto a David Harley. (Este
dúo se está convirtiendo rápidamente en el Abbot y Costello dentro del ámbito de eventos sobre seguridad informática;
¿o deberíamos decir Morecambe y Wise porque son ingleses?) Además, el 22 de noviembre, Andrew y Pierre-Marc
Bureau presentaron un paper sobre la evolución de los programas maliciosos, titulado “Du Défi au Profit” (“Bravado to
Business: from hobbyist to malware for profit” “De fanfarrón a negociante: programas maliciosos como pasatiempo o
por dinero”) en el evento organizado por Infosec en Paris.
ESET lanzó las versiones Business Edition de ESET Smart Security y ESET NOD32 3.0, así como la versión pública
de la protección de seguridad para Linux/FreeBSD en empresas y entornos de red de PYME.
ESET - Informe General de Amenazas del 2007
27
Diciembre
Imagen 14: Los diez programas maliciosos principales en diciembre de 2007
W32/Virut
Virut es un virus polimórfico que modifica archivos ejecutables bajo el sistema operativo Windows. Como tiene la
capacidad de infectar archivos ejecutables, se propaga a través de redes compartidas y medios de almacenamiento
portátiles. Este programa malicioso también se distribuyó por intermedio de sitios web maliciosos. El objetivo de
Virut es instalar un programa de puerta trasera (backdoor) que se conecte al servidor IRC. Aunque Virut no llegó
a estar entre los diez programas maliciosos principales del mes, incluimos esta nota sobre él porque prevaleció lo
suficiente como para ser mencionado en la prueba de Virus Bulletin, a la que hacemos referencia más abajo, y generó
dificultades significativas de detección para muchos programas antivirus (¡no para ESET NOD32!).
Otros eventos en diciembre
En el mundo hubo denuncias sobre un chatbot ruso que seduce a sus víctimas para extraerles información confidencial
mediante engaños. Habrá que ver si el “Ciberlover” llegará a tener alcance internacional, pero los geeks de la ciencia
informática de inmediato comenzaron a hablar extasiados de recuerdos nostálgicos sobre la Prueba de Turing y
“el juego de la imitación” citado por Alan Turing en su paper sobre inteligencia artificial de 1950 titulado “Computer
Machinery and Intelligence” (http://loebner.net/Prizef/TuringArticle.html), y sobre un programa informático llamado
Liza que una vez logró mantenerse en pie durante una conversación sobre Dios que duró 1½ hora. Sin embargo,
este bot ruso parece haber dominado el arte de la cita rápida, ya que logra conseguir hasta diez parejas en una hora,
mientras recopila información personal, como los datos del contacto y fotografías.
Quizá no sea tan sorprendente que este mes Gartner haya informado que la cantidad de víctimas de ataques de
phishing aumentó 40% en el efa2007. El Internet Storm Center (http://isc.sans.org), un proyecto que controla los
códigos maliciosos en Internet, resaltó el constante problema de las publicidades maliciosas (también llamadas
malvertising), por medio de las cuales se engaña a las víctimas para que descarguen programas indeseados o
maliciosos a través de publicidades y redes sociales. Al parecer, el vector más difundido son los archivos SWF creados
por el programa Flash de Adobe que incluyen códigos maliciosos desarrollados con el lenguaje de Flash ActionScript:
Adobe respondió sacando un parche importante que soluciona varias vulnerabilidades de Flash de distintos niveles
1-866-343-ESET (3738)
www.eset.com
28
de gravedad. El sitio Business Intelligence Lowdown publicó una lista de los diez virus, troyanos y gusanos más
graciosos. Como en la lista se incluyeron programas que infectaban archivos de imagen y sonido en los sistemas de
usuarios, que dejaban los teléfonos móviles inteligentes “prácticamente inservibles”, que eliminaban archivos al azar
y que publicaban documentos de Word “confidenciales y personales” en el grupo de noticias Usenet, la elección del
adjetivo “gracioso” suena bastante bizarro. Una vez más, los creadores del Storm Worm aprovecharon la temporada
de fiestas enviando tarjetas electrónicas falsas con motivo de Navidad y Año Nuevo. Hemos visto muchos miles de
variantes bien definidas del programa para Navidad y Año Nuevo, con modificaciones y actualizaciones diarias. La
revista Forbes (http://www.forbes.com/technology/2007/12/20/apple-army-hackers-tech-security-cx_ag_1221army.
html) informó que el Ejército de los Estados Unidos estaba comprando grandes cantidades de servidores Xserve de
Apple para sus centros de datos. El sitio The Register predijo un estrépito ensordecedor de teclados Apple cuando las
ciberfuerzas militares chinas, ente otras, comiencen a indagar para detectar posibles vulnerabilidades en los sistemas
(http://www.theregister.co.uk/2007/12/31/us_army_mac_attack/).
El nuevo blog técnico de seguridad de Microsoft Security Vulnerability and Defense ofreció información más detallada
sobre sus actualizaciones de seguridad y las vulnerabilidades a las que corresponden. Ontrack, una empresa
especialista en recuperación de datos, informó que en su lista de las historias más desastrosas de pérdida de datos
no aparecían temas relacionados a malware, pero sí hubo muchas computadoras, dispositivos USB y discos rígidos
maltratados físicamente, entre los que se encontraba una computadora embebida en repelente para insectos, una
computadora portátil que tuvo que ser “pescada” del fondo de un lago, un dispositivo USB que logró escabullirse en
un lavarropas y un disco rígido que “chirriaba” y fue “reparado” por su dueño, que lo perforó con un torno y lo llenó de
aceite (http://www.ontrackdatarecovery.co.uk/data-disaster-2007/).
ESET NOD32 obtuvo su 47º premio VB100 en una evaluación comparativa de programas antivirus en Windows 2000,
realizada por Virus Bulletin. Este resultado nos permitió seguir siendo los primeros por un gran margen de diferencia,
ya que varios programas antivirus de la competencia fracasaron por haber detectado Falsos Positivos o por haber
pasado por alto muestras del virus polimórfico W32/Virut, que infecta archivos. Respecto al rendimiento de ESET
NOD32 en la evaluación, Virus Bulletin anunció “como se esperaba, realizó la prueba a una velocidad increíble y
obtuvo resultados excelentes, al igual que siempre”.
ESET - Informe General de Amenazas del 2007
29
Más códigos maliciosos de interés
Los códigos maliciosos mencionados anteriormente son simplemente una pequeña fracción de los datos emitidos
en el 2007 por ThreatSense.Net® y por otras fuentes y recursos. A continuación, exponemos algunos ejemplos más
que fueron denunciados en cantidades significativas. No obstante, hay que tener en cuenta que es imposible obtener
estadísticas exactas universales sobre el predominio de programas maliciosos. Lamentablemente, no existe un
parquímetro informático que lleve la cuenta de todo el tráfico malicioso, por lo tanto todas las estadísticas representan
una imagen parcial que llega a través de una pequeña ventana, no es la imagen completa.
VBS/Butsur.A
El VBS/Butsur.A es un gusano escrito en Visual Basic que se copia a sí mismo a la carpeta %windir% con el nombre
Bha.dll.vbs: también modifica el registro y se replica en dispositivos de almacenamiento portátiles y unidades
compartidas, usando el archivo autorun.inf para cargarse en otros sistemas.
Win32/Saburex.A
Es un virus que infecta archivos y se distribuye a través del correo electrónico, redes P2P y otros vectores de infección.
Libera archivos .DLL en la carpeta %windir% y busca archivos .EXE para infectar.
Win32/Sohanad.NAF
Sohanad es un gusano que se propaga a través de la mensajería instantánea por Internet: sus variantes utilizan el
Yahoo! Messenger, AOL Instant Messenger, Windows Live Messenger, etc. Muestra una gran variedad de mensajes
que cumplen el papel de “anzuelos” para lograr que el destinatario los abra.
Win32/Qhost
Este troyano está presente en páginas web, cuyas direcciones URL se distribuyen en spam a víctimas potenciales. Si
se ingresa a ellas, ejecuta un código para redirigir a las víctimas a un servidor DNS diferente.
Win32/AHKHeap.A
Este gusano utiliza secuencias de comandos de AutoHotKey para propagarse a través de unidades de almacenamiento
portátiles como las memorias USB, usando un archivo Autorun.inf con los atributos System (sistema) y Hidden (oculto).
Los programas maliciosos que usan la función autorun (ejecución automática) para infectar desde unidades portátiles,
CD, etc, fueron muy populares durante 2007. Los siguientes blogs sobre este tema valen la pena leer: http://blogs.
technet.com/steriley/archive/2007/09/22/autorun-good-for-you.aspx; http://www.eset.com/threat-center/blog/?p=94.
Win32/TrojanDownloader.Swizzor
Este troyano es un programa de descarga que instala un objeto de ayuda “Browser Helper Object” para Internet
Explorer, con el fin de usarlo como programa espía o de publicidades. Nos llegaron muchas denuncias de este
troyano durante el primer semestre del 2007. Se instala en forma oculta desde ciertos sitios web maliciosos y puede
propagarse en los correos electrónicos no deseados. Se crea usando una rutina de auto generación, lo que significa
que cada vez que se descarga, para el antivirus se verá como una aplicación diferente. ESET desarrolló una
solución para esta amenaza al poco tiempo de su aparición usando una firma genérica que no es fácil de engañar
confundiéndola con pequeñas variaciones del troyano.
Win32/TrojanClicker.Small.KJ
El Win32/TrojanClicker.Small.KJ es un miembro de la conocida familia de troyanos que intenta descargar y ejecutar
otros archivos ejecutables de Internet, permitiéndole al atacante remoto obtener acceso no autorizado a los sistemas
infectados.
1-866-343-ESET (3738)
www.eset.com
30
Conclusión
Entonces, ¿qué hemos aprendido en este rápido recorrido por el año 2007? Aprendimos que al mundo en línea no le
faltan aplicaciones maliciosas ni tampoco tonterías sobre el tema de la seguridad, sin duda. Es cierto que la mayoría
de nosotros ya somos concientes de que el panorama de amenazas involucra mucho más que virus y gusanos: hay
spyware, troyanos, phishing y una gran variedad de otras formas de correos no deseados y de estafas; todos ellos son
amenazas con las que debe lidiar un producto sofisticado y actualizado de seguridad informática.
Quizás usted se haya sorprendido al notar que los tipos de programas maliciosos más antiguos, por ejemplo, las
aplicaciones que envían mensajes masivos por correo electrónico, siguen circulando en grandes cantidades. No se
deje engañar por el hecho de que las diez amenazas principales tienden a incluir entre 15% y 25% de las detecciones
totales. Existen muchas otras amenazas activas en el mundo real, a pesar de que no hay una forma única y autoritaria
para contabilizarlas – pero piense que son “montones de amenazas”. También tenga en cuenta que, como nuestra lista
de las diez detecciones principales por lo general incluye firmas genéricas y detecciones heurísticas de programas
maliciosos completamente nuevos, en realidad pueden transformarse en cientos o miles de variantes y subvariantes,
si hubiera alguien con tiempo disponible para llevar a cabo ese tipo de análisis. Sin embargo, si usted ya es cliente
de ESET, probablemente no se sorprenda por el hecho de que nuestros productos detecten una cantidad tan grande
de programas maliciosos en forma genérica y proactiva en lugar de firmas para variantes y subvariantes específicas.
De hecho, muchas de las detecciones registradas por ThreatSense.Net® dan una idea muy escasa sobre qué tipo de
programa malicioso ha detectado exactamente. La razón es que nosotros creemos que la prioridad principal consiste
en detectar las aplicaciones maliciosas antes de que encuentren la oportunidad de arraigarse en el sistema y no
después de que fueron analizadas y categorizadas. Sin duda, la detección de amenazas conocidas sigue teniendo
una importancia vital, en particular si algo serio logró aferrarse en el sistema porque entonces puede resultar muy
difícil limpiar la infección cuando no se sabe con exactitud de qué tipo de infección se trata. Por eso es tan importante
que ThreatSense.Net® recoja información sobre nuevos códigos maliciosos y la envíe a nuestros Laboratorios de
Investigación de Amenazas. Hoy en día se escuchan muchos comentarios sobre “la muerte inminente de los programas
antivirus” y la llegada de la detección basada en firmas digitales. Por supuesto, en ESET creemos que la detección
por firmas digitales no está lo suficientemente cerca y que la creación de más técnicas proactivas es de importancia
crítica. Por eso invertimos tanta cantidad de recursos en investigación y desarrollo para mejorar nuestra heurística. Sin
embrago, en muchas ocasiones, únicamente la identificación exacta o casi exacta de programas maliciosos conocidos
es suficiente para desinfectar un sistema correctamente.
A continuación, mostramos algunas predicciones para el 2008:
• Habrá más pruebas comparativas de productos antimalware mal planteadas y cientos de amateurs en
seguridad afirmarán haber demostrado que la industria de seguridad antivirus es, en el mejor de los casos,
incompetente y probablemente hasta criminal.
• Otro individuo afirmará que los programas antivirus ya están muertos y enterrados porque “sólo detectan virus
conocidos” y porque fueron reemplazados por la panacea más reciente (probablemente las listas blancas).
• Los servicios de seguridad y defensa de todo el mundo seguirán perdiendo computadoras portátiles que
contienen información confidencial.
• Las botnets seguirán prosperando y diversificándose.
• Se enviarán más cantidad de correos electrónicos no solicitados, incluso que en 2007.
• Las tecnologías colaborativas web 2.0, los mundos virtuales como Second Life y los sitios de redes y recursos
sociales como FaceBook atraerán cada vez más la atención de los “malos” y, en consecuencia, de los
investigadores de seguridad que necesitan controlar las amenazas nuevas y las que están por llegar.
• ESET continuará ofreciendo a sus clientes protección proactiva de última generación
ESET - Informe General de Amenazas del 2007
31
Recursos y lecturas complementarias
• Anti-Phishing Working Group (APWG): http://www.antiphishing.org
• AntiSpyware Coalition (ASC): http://www.antispywarecoalition.org
• AVAR (The Association of Anti-Virus Asia Researchers) http://www.aavar.org
• AVIEN (Anti-Virus Information Exchange Network): http://www.avien.org
• AVIEWS(Anti-Virus Information & Early Warning System): http://www.aviews.net
• Botnets: the Killer Web App: Craig Schiller, Jim Binkley et al, Syngress 2007
• Definiciones de malware: http://www.eset.com/threat-center/threats.php
• EICAR, The European Institute of Computer Anti-Virus Research, http://www.eicar.org
• ESET Online Scanner gratuito: http://www.eset.com/onlinescan/index.php
• ESET Threat Center blog: http://www.eset.com/threat-center/blog/index.php
• ESET Threat Encyclopedia: http://www.eset.com/threat-center/encyclopedia.php
• Más información sobre ESET Smart Security: http://www.eset.com/download/whitepapers/ESSwhitePaper20071214.
pdf; http://www.eset.com/smartsecurity/index.php
• Más información sobre el análisis heurístico:
http://www.eset.com/download/whitepapers/HeurAnalysis(Mar2007)Online.pdf
• Más información acerca de rootkits:
http://www.eset.com/download/whitepapers/Whitepaper-Rootkit_Root_Of_All_Evil.pdf
• Otros documentos informativos: http://www.eset.com/download/whitepapers.php
• SANS Internet Storm Center: http://isc.sans.org
• The Art of Computer Virus Research and Defense: Peter Szor, Addison-Wesley, 2005.
• The AVIEN Malware Defense Guide for the Enterprise: David Harley et al, Syngress, 2007
• Virus Bulletin: http://www.virusbtn.com
• WildList Organization International: http://www.wildlist.org
1-866-343-ESET (3738)
www.eset.com
32
Glosario
Blackhat (o cracker),
whitehat, greyhat
Blackhat (o cracker): Es el individuo que se dedica a realizar actividades
inequívocamente maliciosas (intrusión; hacking o cracking no autorizado; creación,
diseminación o explotación de programas con códigos maliciosos; actividades
criminales como el fraude o la extorsión).
Whitehat: Es el individuo, en particular un profesional de seguridad informática, que
se dedica a defender a toda la comunidad o a su propia organización o grupo de
interés de las actividades llevadas a cabo por los crackers.
Greyhat: Es el individuo cuya motivación puede ser similar a la del investigador
whitehat, pero que emplea métodos que se acercan más a los utilizados por los
crackers. La clasificación de estos tres grupos por colores de sombreros (que en
español sería: sombrero negro, sombrero blanco y sombrero gris, respectivamente)
no es tan simple y proviene de las tradicionales películas western, tan categóricas
como esta clasificación, donde los bandidos siempre usaban un sombrero negro y
el héroe, un sombrero blanco de vaquero.
Bot, Botnet, botmaster
Bot: En el contexto de la seguridad moderna, en general se aplica a un programa
de una serie de códigos maliciosos utilizados para comprometer un sistema y
luego asimilarlo a una red de sistemas infectados (botnet) bajo el control de un
administrador o botherder.
Botherder, botmaster, botmeister: Es el individuo que administra la botnet con
diversos propósitos criminales o maliciosos, como la distribución de correo
electrónico no deseado, la distribución de programas maliciosos y la organización
de ataques de denegación de servicio distribuido.
Botnet: Es la red de sistemas comprometidos o infectados, que se encuentra bajo
el control de un administrador o botmaster.
Codec
La palabra códec proviene de la forma abreviada de compresión/descompresión
(en inglés compression/decompression). Es una tecnología diseñada para reducir
el tamaño de una señal (por lo general de audio o video) con el objetivo de ahorrar
espacio en disco y reducir el tiempo de transferencia a través de una red.
DoS (ataque de denegación
de servicio), DDoS (ataque
de denegación de servicio
distribuido)
DoS: (siglas provenientes del inglés “Denial of Service”) ataque de denegación
de servicio: es un intento de afectar el funcionamiento normal de un sistema. Con
frecuencia se asocia a la extorsión: el criminal amenaza con provocar que el equipo
deje de funcionar para que la empresa de la víctima no pueda continuar con sus
actividades normales.
DDoS: (siglas provenientes del inglés “Distributed Denial of Service”) ataque de
denegación de servicio distribuido: es un ataque DoS amplificado, ya que se lleva
a cabo a través de una red completa de sistemas comprometidos, por lo general a
través de una botnet.
Identificación exacta
Es el reconocimiento de un malware cuando cada una de las secciones de sus
partes no modificables es identificada en forma precisa. La identificación “casi
exacta” es el término que se utiliza cuando la detección es lo suficientemente
convincente para asegurar que la eliminación del código malicioso no generará
daños en el equipo anfitrión si se usa un método de desinfección inapropiado. En
este caso, no se identifican en forma única todas las secciones no modificables del
malware.
ESET - Informe General de Amenazas del 2007
33
Genérico
En los programas antimalware, el término se refiere a la detección o el bloqueo de
una amenaza basándose en la clase de amenaza y no en la variante específica.
Antónimo de “específico”.
Firma genérica
En la detección de programas maliciosos, es un término conveniente pero de uso
no muy difundido que describe una definición o firma de virus que se generalizó
con el objetivo de detectar una familia de virus o variantes en lugar de detectar una
sola variante única. Es similar (aunque no igual) a la distinción que se hace entre
“identificación exacta” e “identificación casi exacta”, ya que la identificación casi
exacta por lo general se asocia a la desinfección genérica.
Heurística
Es un término abarcador aplicado a una serie de técnicas para la detección de
programas maliciosos y variantes aún desconocidos. Es el reconocimiento de un
objeto que posee la suficiente cantidad de características de programas maliciosos
como para sugerir que probablemente se trate de un virus u otro tipo de malware.
Como se suele usar en el contexto de la detección de programas maliciosos y de
correo no deseado, incluye un sistema de asignación de puntos dependiendo de
las características y comportamientos maliciosos que presente el objeto analizado,
que indicarán el grado de probabilidad de que sea malicioso.
Keylogger
Es una forma de spyware o troyano que graba cada pulsación del teclado que
hace un usuario sin su conocimiento y envía la información recopilada a criminales,
administradores de botnets, etc. Un programa que roba contraseñas en general
es un keylogger programado para buscar específicamente nombres de cuentas y
contraseñas.
Malware específico
Antónimo de “genérico”. Es la detección e identificación por nombre de un programa
malicioso particular o una de sus variantes o subvariantes, en lugar de suponer que
es un miembro de una clase o familia de programas maliciosos. Es la detección
de programas maliciosos conocidos usando cadenas de códigos específicas de
dichos programas maliciosos o variantes.
OS X
Es el sistema operativo actual de Macintosh. Está basado en Unix BSD pero con
una interfaz que continúa la larga trayectoria de la “apariencia” muy fácil de usar de
Mac además de proveer acceso a una línea de comandos UNIX más convencional.
Las distintas versiones de revisión y actualización del sistema operativo OS X
llevan tradicionalmente el nombre de felinos en inglés, por eso la última versión es
“Leopard” (OS X 10.5.x) y la versión anterior fue “Tiger”.
Rootkit
Es una tecnología usada mayormente en programas maliciosos que les permite
permanecer ocultos ante el sistema y el usuario. El rootkit le permite al intruso
mantenerse firme en un sistema y explotarlo sin ser descubierto. Una definición
más formal de rootkit sería la siguiente: una forma de herramienta instalada en un
sistema comprometido con el objetivo de:
• mantener el acceso privilegiado y el control del sistema;
• permitirle al individuo y/o programa que utilice el acceso mencionado de la
forma que desee;
• ocultarse o restringir el acceso a determinados objetos o procesos, como:
——Procesos
——Hilos de ejecución
——Archivos
——Carpetas / Directorios / Subdirectorios
——Entradas de registro
——Referencias a objetos
——Puertos abiertos
1-866-343-ESET (3738)
www.eset.com
34
Pump and Dump (Hype and
Dump)
Es una forma de fraude bursátil por medio de la cual el valor de las acciones se
infla artificialmente para que los especuladores deshonestos obtengan ganancias
al venderlas a un precio más elevado que el real. Les da buen resultado a los
estafadores, pero no a la empresa (generalmente pequeña) o a las víctimas de estas
estafas, cuya satisfacción por el incremento del precio se ve luego compensada
con grandes pérdidas una vez que el estafador termina de vender sus acciones y
deja de promocionar la empresa.
Análisis basado en firmas
Es la búsqueda de la presencia de un malware mediante la comparación con
una secuencia de bytes más o menos estática. De hecho, incluso los programas
antivirus básicos utilizan técnicas más complejas y efectivas hoy en día, entre las
que se encuentran el uso de algoritmos, comodines (wildcards), etc. En general, el
término “firmas” es despreciado en el área de la investigación de antivirus porque
presenta esta ambigüedad, aunque quizá sea demasiado tarde erradicarlo del
uso popular y mediático (y del uso equivocado). No obstante, se sigue utilizando
en la detección de intrusiones de rutina. Las firmas siguen siendo sinónimos de
“secuencias de análisis”, aunque muchas veces lleve a las personas a creer que
existe una secuencia única de bytes usada por todos los programas antivirus para
reconocer cada virus o variante.
Ingeniería Social
Es el término aplicado a una amplia gama de técnicas por medio de las cuales se
provoca un cambio de comportamiento deseado en un individuo o en un grupo de
individuos, o se saca provecho de ellos a través de la manipulación psicológica.
El término proviene de las ciencias sociales, donde no tiene necesariamente una
connotación negativa, pero al usarlo en el contexto de la seguridad informática
implica casi sin excepción algún tipo de engaño, maldad o fraude.
Spyware
Es un término bastante genérico para designar una gama de programas maliciosos
como keyloggers (registradores de pulsaciones del teclado), troyanos de acceso
remoto (RAT, según siglas en inglés), troyanos de puerta trasera, entre otros. Los
programas maliciosos usados para llevar a cabo actividades realmente criminales
como la falsificación (o phishing) también puede encontrarse bajo de nombre de
crimeware.
Stealth (oculto), Stealthware,
Stealthkit
Stealth: del inglés, oculto, furtivo. El uso de esta palabra en seguridad informática
proviene de las tecnologías furtivas usadas por los militares en “aviones furtivos”
(stealth aircrafts) y de otros términos relacionados a estrategias de ocultamiento.
Stealthware: Programas (generalmente maliciosos) que utilizan diversas técnicas
para permanecer ocultos.
Stealthkit: Un grupo de herramientas (en general maliciosas) similares a un rootkit,
pero que no involucran necesariamente la explotación del sistema para obtener
privilegios elevados ni para mantenerse firmes en el sistema. En otras palabras,
tiene la intención de esconderse, pero no necesariamente para explotar los
privilegios del sistema en el nivel del administrador.
Zombi
In botnet terminology, a zombie is a system (usually a PC) which has been
compromised by a bot of some sort, incorporated into a botnet, and at least
partly under the control of a remote attacker (the botmaster). To zombify is to
compromise a system so that it becomes a zombie.
ESET - Informe General de Amenazas del 2007
35
Acerca de ESET
Fundada en 1992, ESET es proveedor mundial de programas de seguridad para la empresa y el hogar. El premiado
sistema antivirus ESET NOD32 provee protección en tiempo real contra virus, spyware, rootkits y otros códigos
maliciosos conocidos y desconocidos. ESET NOD32 Antivirus ofrece la protección más avanzada del mercado,
además de ser el programa más liviano y rápido, con más premios de Virus Bulletin que cualquier otro producto
antivirus. La empresa fue incluida en el Deloitte’s Technology Fast 500 cinco años seguidos y cuenta con una extensa
red de Partners, incluyendo empresas como Canon, Dell y Microsoft. ESET tiene sus oficinas centrales en Bratislava,
Eslovaquia y oficinas en Bristol, Reino Unido; Buenos Aires, Argentina; Praga, República Checa y San Diego, Estados
Unidos, y cuenta con representación mundial en más de 110 países. Para mayor información, visite http://www.esetla.com
Acerca de ESET NOD32 Antivirus y ESET Smart Security
ESET NOD32 Antivirus no es un simple antivirus: es un sistema integrado contra amenazas que protege los equipos
de ataques de virus, spyware, adware, troyanos, gusanos y phishing. La tecnología proactiva ThreatSense® detiene
80% de las amenazas zero-day incluso antes de que sean liberadas en el sistema. El motor unificado ThreatSense®
le confiere la mejor detección, el análisis más veloz y el menor impacto en el rendimiento del sistema de todas las
soluciones antivirus y antispyware existentes. ESET NOD32 Antivirus es flexible y configurable, tiene administración
centralizada y diversas funciones para la emisión de informes. La amplia plataforma del producto protege equipos
con Windows, Linux, Novell y MS DOS. ESET Smart Security fue desarrollado sobre esta misma plataforma para
ofrecer, además de todo lo mencionado, detección y control del spam y un firewall personal. Las versiones Business
Edition de ESET NOD32 Antivirus y ESET Smart Security también incorporan la administración remota, un “mirror”
para la replicación de archivos de actualización y su distribución en una red de área local, y la posibilidad de instalar
el producto en servidores.
Para consultar una lista completa y detallada de los productos ESET, ingrese a http://www.eset-la.com/products/
Acerca de ThreatSense®
ThreatSense® es el motor unificado contra amenazas que da vida a ESET NOD32 Antivirus y ESET Smart Security.
Combina la mejor Heurística Avanzada de la industria con las firmas genéricas para brindar una protección íntegra
superior. Las actualizaciones dinámicas para ambas tecnologías son automáticas y gratuitas para todos los clientes
actuales. El programa instalado en el sistema del cliente se conecta con el Laboratorio de Investigación de Amenazas
en eset.com cada hora para verificar si hay nuevas actualizaciones.
1-866-343-ESET (3738)
www.eset.com
www.eset.com
610 West Ash Street • Suite 1900 • San Diego • California 92101 • U.S.A.
866-343-ESET
GTRWC20080110
© 2007 ESET, LLC. All rights reserved. Trademarks used herein are trademarks or registered trademarks of ESET, sro & ESET, LLC.
All other names and brands are registered trademarks of their respective companies.
Descargar