Una vez conocidos los tipos de códigos maliciosos más propagados, en la segunda entrega de nuestro especial sobre malware, abordamos sus características. Definir un malware no es una tarea sencilla, ya que es frecuente que una amenaza posea características de más de una variante.
A partir del ranking, se analizaron las cualidades más frecuentes del malware, y se describen las más relevantes a continuación.
Ingeniería Social
El 45% de las amenazas más detectadas según ThreatSense.Net usan Ingeniería Social. Es decir, que para su propagación, utilizan componentes sociales para engañar a los usuarios que, de una u otra forma, se convierten en cómplices involuntarios de la infección. En esta categoría, se incluyen troyanos como Win32/PSW.Onlinegames (3º, 6º, 18º, 72º y 97º, con distintas variantes), Win32/Peerfag (30º, 46º, 54º, 75º, 89º y 90º, con distintas variantes) o Win32/TrojanDownloader (43º, 64º, 65º, 69º, 80º y 94º, con distintas variantes), entre otras.
El hecho de que la Ingeniería Social sea la característica que más se destaca entre las 100 amenazas más detectadas, deja muy en claro las necesidades en materia de concientización y educación en la región. Especialmente a partir de la costumbre de los atacantes de usar temáticas regionalizadas y locales con problemáticas o acontecimientos de países latinoamericanos, confirma la importancia de educar al usuario, para que no se exponga de forma desprevenida a estos códigos maliciosos.
Dispositivos USB y vulnerabilidades
La segunda característica que se destaca al analizar el ranking en cuestión (ver anexo), es la utilización de dispositivos USB para infectar sistemas con malware, cualidad identificada en el 41% de las amenazas. Esta característica cobra mayor relevancia que otros años, teniendo en cuenta que Microsoft deshabilitó la ejecución automática de dispositivos externos a través de Autorun, en febrero de 2011 (más información en la KB971029). Sin embargo, a pesar de ello, no se ha observado una disminución de infecciones, dato que no resulta llamativo ya que las altas tasas de uso de software no licenciado en Latinoamérica hacen que gran parte de los usuarios no actualicen sus sistemas operativos.
Cuatro de cada diez usuarios conectaron un dispositivo USB infectado a sus computadoras durante el último año, y claramente es otra de las características preponderantes en Latinoamérica. El miedo a conectar un USB ajeno a un sistema propio es una constante para usuarios en la región, que consideran a este tipo de dispositivos como sinónimo de peligro, y están en lo correcto, tal como se evidencia en los primeros puestos del ranking presentado en este informe.
Botnet
Continuando con las características distintivas del malware en Latinoamérica, se destacan en tercer lugar las botnet, redes de equipos zombis infectados, que son controlados remotamente por un atacante. Si se consideran también los troyanos del tipo backdoor, que incluyen una puerta trasera de acceso a los sistemas, uno de cada cinco códigos maliciosos del TOP 100 permite el control remoto de los equipos para actividades maliciosas.
Entre las acciones más utilizadas, es posible destacar el robo de información, los ataques de denegación de servicio o el envío de spam desde los equipos zombis.
Entre los códigos maliciosos más importantes del tipo botnet, ubicados en el ranking de amenazas (ver anexo) se destacan Win32/Conficker (5º, 7º y 60ª, según sus variantes), IRC/SdBot (el más popular de los administrador por IRC) y Win32/Peerfrag (30º, 46º y 75º, según sus variantes). Por otro lado, también se incluyen en esta categoría otras amenazas del tipo backdoor que, aunque no conforman lo que sería una red botnet, sí permiten al atacante ingresar remotamente al equipo infectado, tales como Win32.Virut.NBP (41º) o Win32/Slugin.A (48º).
Robo de información
Finalmente, para completar el cuadro de las características más importantes del malware en Latinoamérica, es necesario mencionar el robo de información. El 27% de los códigos maliciosos listados poseen algún tipo de rutina para robar datos del equipo infectado, como por ejemplo Win32/PSW.OnLineGames.NNU (6º), que envía al atacante las claves de acceso del usuario a juegos en línea como Lineage, World of Warcraft, Age of Conan, Cabal, Dekaron, Seal Online; entre otros.
Además, se destacan los troyanos bancarios, diseñados para obtener usuarios y claves de acceso a banca en línea, como Win32/Qhost (15º) o Win32/Qhost.Banker.EM (35º). Ambas amenazas utilizan técnicas de pharming local para redireccionar al usuario a sitios de phishing al momento de intentar acceder a un sitio de determinado banco.