El top 5 del malware en Latinoamérica

 

Completando la descripción de las amenazas más importantes de la región (realizada en nuestra entrega anterior), vale la pena analizar las cuatro familias de malware que se ubican en las primeras cinco posiciones de los códigos maliciosos más detectados según ThreatSense.Net 

INF/Autorun (primer y cuarto lugar) 

Se trata de una de las firmas genéricas que posee ESET NOD32 Antivirus, para detectar códigos maliciosos que se propagan a través de dispositivos USB o memorias extraíbles, que poseen el archivo Autorun.inf, que es utilizado para la ejecución automática de la amenaza. 

El lugar ocupado por esta amenaza, coincide con lo indicado secciones anteriores: la alta tasa de uso de los dispositivos USB para la infección de sistemas en la región, y la incidencia de la falta de costumbre de los usuarios en mantener sus sistemas actualizados. Otra firma genérica que posee características muy similares, es INF/Autorun.gen (cuarto lugar), cuyos vectores de propagación son exactamente los mismos. Un archivo autorun.inf que propaga malware, y que puede ser detectado por esta firma, se ve de la siguiente manera: 

Win32/Conficker.AA (segundo lugar) 

Si hay un código malicioso que ha causado problemas en todo el mundo, y con altos índices de infección, es el gusano Conficker. Este malware, que apareció en noviembre del año 2008, se propagaba a través de la explotación de la vulnerabilidad MS08-067, publicada por Microsoft (junto al parche correspondiente) el mes anterior. La misma, permitía la ejecución de código automática a través del protocolo RPC.

Win32/Conficker.AA (2º) es la primer variante de esta amenaza (luego aparecerían más versiones), publicada el 29 de diciembre del 2008. Conocida popularmente como Conficker.B, esta versión del gusano no solo podía propagarse a través de equipos en red con la vulnerabilidad, sino también a través de dispositivos USB y carpetas compartidas que tuviesen contraseñas débiles por medio de ataques de diccionario con una base de datos de 248 posibles contraseñas para acceder a recursos en otros sistemas. 

Esta versión también incorporó rutinas para evitar su desinfección, cerrando procesos de los más reconocidos fabricantes de antivirus y bloqueando el acceso a sitios web en cuyos nombres hubiese cadenas específicas (por ejemplo, “windowsupdate”, “eset” y “nod32”). Con la aparición de esta variante, los equipos que ya hubieran instalado el parche de seguridad de Microsoft MS08-067 también podrían infectarse a través de los nuevos mecanismos de propagación. 

Esto explica por qué, esta variante del gusano es la más propagada, y hace que esta amenaza siga causando pérdidas económicas a lo largo de todo el mundo. ¿Gusano? ¿Vulnerabilidades? ¿USB? Sin lugar a dudas, Conficker es referente en lo que respecta a amenazas en Latinoamérica, y no casualmente ocupa el segundo lugar en el ranking de amenazas. 

En abril de 2009, el Instituto de Ciber Seguridad realizó un estudio al respecto, estimando que las pérdidas causadas por el gusano podrían alcanzar los 9100 mil millones de dólares. 

Win32/PSW.OnLineGames.OUM (tercer lugar) 

La familia de amenazas Win32/PSW.OnLineGames se caracterizan por estar orientada, de una u otra forma (dependiendo de su variante), a generar daños en usuarios que utilicen juegos en sus computadoras, la mayoría de ellos en línea. Son una consecuencia de las nuevas funcionalidades que incluyen este tipo de juegos, que ahora permiten el acceso online, el uso de dinero virtual, y por ende abren el juego para ataques como el robo de información o incluso el fraude económico. 

Esta variante en particular, se caracteriza por descargar otros códigos maliciosos una vez instalado en el sistema, a partir de órdenes recibidas, vía protocolo HTTP, desde otra computadora en Internet. 

Win32/Tifaut.C (quinto lugar) 

Este código malicioso es un gusano que también se propaga a través de dispositivo removibles, creando un archivo cada vez que se conecta uno de estos con los nombres (aleatoriamente) alokium.exe y random.exe. Además, se crea el archivo autorun.inf correspondiente, y un archivo vacío de nombre khq. La amenaza posee conectividad a cuatro direcciones URL, y puede recibir instrucciones para realizar alguna de las siguientes acciones: 

  1. Crear entrada de registro 
  2. Borrar entradas de registro 
  3. Recuperar información del sistema operativo 

Resulta interesante analizar esta amenaza a lo largo del mundo, ya que se puede observar cómo algunos países de Latinoamérica poseen los más altos índices de propagación, como puede observarse en la siguiente imagen: 

Tifaut es un ejemplo de cómo el malware se ha comenzado a regionalizar, y archivos que pueden pasar prácticamente inadvertidos en algunas zonas del mundo, pueden ser de los más importantes en otras, como es el caso de Latinoamérica, y especialmente países como Argentina, Uruguay, Paraguay y Brasil.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *