24 de diciembre de 2015
El primer mes del invierno como siempre resulta ser bastante tranquilo en cuanto a los eventos de seguridad informáticas — a vísperas de las fiestas de la Navidad y del Año Nuevo los creadores de virus rara vez demuestran mucha actividad. El diciembre de 2015 tampoco fue una excepción. A principios del mes se detectó la difusión de un troyano para el SO Linux, capaz de descargar e instalar en el dispositivo infectado varios programas, así como de un instalador de aplicaciones no deseadas para OS X. Así mismo, los analistas de virus de la empresa Doctor Web otra vez detectaron la difusión de un troyano bancario peligroso para la plataforma móvil Google Android, detectado aún a principios del año y hasta el momento detectado en dispositivos móviles más de 31 000 veces.
Tendencias clave de diciembre
- Difusión de un nuevo programa troyano para Linux
- Aparición de un instalador de aplicaciones no deseadas para el OS X
- Difusión del troyano bancario peligroso para Android
Amenaza del mes
El interés de los malintencionados por el sistema operativo OS X sigue creciendo — lo confirma el crecimiento continuo de programas nocivos para esta plataforma. Así mismo, la mayoría de las amenazas para los equipos Apple hoy día son los troyanos bancarios y los instaladores de aplicaciones no deseadas. A la última categoría se refiere Adware.Mac.Tuguu.1, detectado por los analistas de virus de la empresa Doctor Web en diciembre del año 2015. Adware.Mac.Tuguu.1 permite instalar de forma oculta en el Mac de la víctima potencial varias aplicaciones extra, normalmente inútiles, y a veces nocivas.
Este instalador se difunde como si fuera algún programa gratis para el OS X. Al iniciar, Adware.Mac.Tuguu.1 lee el contenido del archivo de configuración ".payload" ubicado en la misma carpeta desde la cual fue iniciado el programa, detecta la dirección del servidor administrativo, lo modifica de un modo especial y le consulta para obtener un listado del software extra cuya instalación se le ofrecerá al usuario. Todos los datos que este programa intercambia con el centro de comandos se cifran. Según la numeración interna usada por el instalador, en total existen 736 varias aplicaciones que Adware.Mac.Tuguu.1 puede instalar en el Mac de usuario. Así mismo, antes de iniciar la instalación, Adware.Mac.Tuguu.1 comprueba si los programas ofrecidos son compatibles— por ejemplo, no instalará juntas las aplicaciones MacKeeper y MacKeeper Grouped. Así mismo,Adware.Mac.Tuguu.1 intenta asegurarse de que este software no fue instalado anteriormente en el sistema, y, antes de finalizar su funcionamiento, comprueba si la instalación fue completada correctamente. Para la información más detallada sobre esta aplicación peligrosa, consulte el artículo informativo publicado en el sitio web de la empresa Doctor Web.
Según los datos estadísticos de la utilidad de desinfección Dr.Web CureIt!
Trojan.DownLoad3.35967
Un representante de la familia de troyanos descargadores que descargan de Internet e inician en el equipo atacado otro software nocivo.Trojan.Crossrider1.50845, Trojan.Crossrider1.48337
Representantes de la familia de troyanos destinados para visualizar varios tipos de publicidad sospechosa.Trojan.Siggen6.33552
Un detect del programa nocivo destinado para instalar otro software peligroso.Trojan.Amonetize.10301
Un programa nocivo destinado para instalar otras aplicaciones no deseadas.
Según los datos de servidores de estadísticas Doctor Web
Trojan.InstallCube
Una familia de programas descargadores que instalan en el equipo de usuario varias aplicaciones inútiles y no deseadas.Trojan.Zadved
Complementos destinados para suplantar en la ventana del navegador los resultados de búsqueda de sistemas de búsqueda, así como para visualizar los mensajes emergentes falsificados de las redes sociales. Además, su funcionalidad troyana incluye la sustitución de los mensajes de publicidad visualizados en varios sitios web.Trojan.DownLoad3.35967
Un representante de la familia de troyanos descargadores que descargan de Internet e inician en el equipo atacado otro software nocivo.Trojan.Siggen6.33552
Un detect del programa nocivo destinado para instalar otro software nocivo.Trojan.LoadMoney
Una familia de programas descargadores generados por los servidores del programa socio LoadMoney. Estas aplicaciones descargan e instalan en el equipo de la víctima varios tipos del software no deseado.
Estadísticas de programas nocivos en el tráfico de correo
Trojan.PWS.Stealer
Una familia de troyanos destinados para robar contraseñas y otra información confidencial en el equipo infectado.Trojan.Encoder.567
Un representante de la familia de troyanos extorsionistas que cifran archivos en el equipo y demandan a la víctima un rescate por descifrar. Puede cifrar los archivos importantes, así mismo, de tipos siguientes: .jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, .cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx.W97M.DownLoader
Una familia de programas descargadores que usan para su funcionamiento las vulnerabilidades de aplicaciones de oficina. Sirven para descargar en el equipo atacado otros programas nocivos.Trojan.InstallCube
Una familia de programas descargadores que instalan en el equipo del usuario varias aplicaciones inútiles y no deseadas.
Botnets
Los expertos de la empresa Doctor Web siguen supervisando la actividad de una botnet creada por los malintencionados usando un virus de archivos peligroso Win32.Rmnet.12. A finales del mes la actividad de ambas subredes de esta botnet bajó, lo que confirman los gráficos más abajo:
Rmnet — es una familia de los virus de archivos que se difunden sin participación del usuario y son capaces de incrustar el contenido ajeno en las páginas web visualizadas por el usuario (lo que teóricamente les permite a los ciberdelincuentes obtener acceso a la información bancaria de la víctima), así como robar los archivos cookies y las contraseñas de clientes FTP más populares y ejecutar varios comandos de los malintencionados.
Así mismo, sigue funcionando la botnet que consiste en los equipos infectados por el virus de archivos Win32.Sector. Este programa nocivo tiene las siguientes funciones destructivas:
- descarga de la red P2P e inicio en el equipo infectado de varios archivos ejecutables;
- incrustación en los procesos iniciados en el equipo infectado;
- posibilidad de detener algunos programas antivirus y bloquear acceso a los sitios web de sus desarrolladores;
- infección de objetos de archivos en unidades locales y dispositivos extraíbles (donde durante la infección crea un archivo de autoinicio autorun.inf), así como de archivos que se guardan en las carpetas de red compartidas.
Un gráfico de actividad promedio diaria de esta botnet puede consultarse en la figura siguiente:
Troyanos cifradores
Cifradores más difundidos en diciembre del año 2015:
Dr.Web Security Space 11.0 para Windows
protege de troyanos cifradores
No hay esta funcionalidad en el Antivirus Dr.Web para Windows
| Protección de datos contra la pérdida | |
|---|---|
 |  |
Programas nocivos para Linux
El número de programas nocivos para los sistemas operativos de la familia Linux sigue creciendo: así, en diciembre de 2015 los analistas de virus de la empresa Doctor Web detectaron un troyano Linux.Rekoobe.1, que por comando de los malintencionados puede descargar del servidor administrativo y subir al mismo varios archivos, así como interactuar con el interpretador de comandos Linux en el dispositivo infectado. Las primeras versiones de Linux.Rekoobe.1 estaban destinadas para infectar los dispositivos que funcionan bajo la administración de Linux con arquitectura SPARC, pero luego los creadores de virus aparentemente decidieron modificar el troyano para que el mismo sea compatible con la plataforma Intel. Así mismo los expertos de la empresa Doctor Web conocen las muestras de Linux.Rekoobe.1 tanto para las versiones de 32 como de 64-bits Intel-compatibles del SO Linux.
En determinadas condiciones, este troyano se conecta al centro de comandos a través del servidor proxy, además, Linux.Rekoobe.1 tiene un sistema sofisticado de comprobar la autenticidad de los «envíos» con información cifrada recibidos del servidor administrativo. Pero, a pesar de su mecanismo de funcionamiento tan complicado, Linux.Rekoobe.1 puede ejecutar solo tres comandos de los malintencionados, a saber: descargar del servidor administrativo o subir al mismo los archivos, transmitir las directivas recibidas al interpretador de comandos Linux y traducir el resultado obtenido al servidor remoto, gracias a lo cual los ciberdelincuentes obtienen la posibilidad de interactuar de forma remota con el dispositivo infectado.
Para la información más detallada sobre este troyano, consulte el artículo publicado en el sitio web de la empresa Doctor Web.
Sitios web peligrosos
Durante el mes de diciembre de 2015 a la base de los sitios web no recomendados y nocivos se añadieron 210 987 direcciones de Internet.
| Noviembre 2015 | Diciembre 2015 | Dinámica |
|---|---|---|
| + 670 545 | + 210 987 | - 68.53% |
Software nocivo y no deseado para dispositivos móviles
En diciembre los malintencionados se interesaron otra vez por los dispositivos móviles, por lo tanto, para los titulares de los mismos el último mes de este año resultó ser bastante complicado. Así, por ejemplo, los creadores de virus difundían activamente varios troyanos bancarios que roban dinero de las cuentas de sus víctimas. Además, los analistas de virus detectaron un gran número de nuevos SMS-senders. Así mismo, en diciembre fue detectado otro programa nocivo que infecta los dispositivos móviles bajo la administración de iOS.
Los eventos más destacados vinculados a la seguridad móvil en diciembre:
- Difusión de los troyanos bancarios peligrosos;
- Aparición de los nuevos SMS-senders;
- Detección del nuevo troyano para iOS.
Para más información sobre los virus para dispositivos móviles en diciembre, consulte nuestro informe temático.
Conozca más con Dr.Web
Estadísticas de virus Biblioteca de descripciones Todos los informes de virus Laboratorio-live
