PDF de programación - Troyanos y gusanos: el reinado del malware

Troyanos y gusanos: el
reinado del malware

Análisis de las 100 amenazas más detectadas por
ESET en Latinoamérica



ESET Latinoamérica: Av. Del Libertador 6250, 6to. Piso -
Buenos Aires, C1428ARS, Argentina. Tel. +54 (11) 4788 9213 -
Fax. +54 (11) 4788 9629 - [email protected], www.eset-la.com

Troyanos y gusanos: el reinado del malware

2

Índice

Introducción

................................................... 3

Tipos de malware: ¿el fin de los virus?

................ 3

Características del malware

............................. 5



Ingeniería Social

................................................................ 6

Dispositivos USB y vulnerabilidades

................................... 6



Botnet


.............................................................................. 7

Robo de información


......................................................... 7

El TOP 5

........................................................ 8

INF/Autorun (1º/4º)

............................................................ 8

Win32/Conficker.AA (2º)

..................................................... 8

Win32/PSW.OnLineGames.OUM (3º)

.................................. 9



Win32/Tifaut.C (5º)


........................................................... 10

Cuestión de familia

........................................ 11

Toolbars

............................................................................ 11

Peerfag

............................................................................. 11

Sality

................................................................................ 11

TrojanDownloader

........................................................... 12

Virut

................................................................................ 12



Conclusión: un camino lento

........................... 12


Anexo: el TOP100

........................................... 13



Autor:
SebastiánBortnik
Coordinador de Awareness
& Research

Fecha:
01 de mayo del 2011



Troyanos y gusanos: el reinado del malware

3



Introducción

Virus, gusanos, troyanos, spyware, adware… todo parece ser confuso para los usuarios, que
ante una infección, les resulta difícil comprender qué es lo que está atentando contra la
seguridad de su información. Estadísticas revelan que durante el 2010, el 84% de los usuarios
hogareños se infectaron al menos una vez; y cuatro de cada diez personas recurre al formateo
de su computadora ante un incidente con códigos maliciosos. ¿Es esta la mejor opción? Aunque
muchas veces en términos costo-beneficio suele serlo, hay otros dos motivos fundamentales
que influyen en que la mitad de los usuarios infectados lleguen a esta decisión. En primer
término, que no se poseen las medidas de prevención suficiente y, en segundo lugar, que
muchas veces se desconoce la naturaleza de las amenazas que atentan contra el sistema, o que
infectaron al mismo.

En ese contexto, ESET Latinoamérica ha realizado un análisis que pretende graficar el estado de
la seguridad en la región, a partir de los códigos maliciosos más detectados durante el último
año.

Para ello, se utilizaron las estadísticas de ThreatSense.Net, el sistema de alerta temprana de
ESET, que permite conocer el estado de las detecciones de malware en todo el mundo. El
presente informe, es el resultado del análisis de las 100 amenazas más detectadas por ESET
en Latinoamérica, durante el año 2010 (disponibles en el anexo de este documento).

¿Cuáles son los códigos maliciosos más detectados? ¿Qué es más probable, infectarse con un
troyano, un gusano o un virus? Estas, y otras preguntas basadas en el comportamiento
promedio de las amenazas en la región, serán respondidas a lo largo del documento, como así
también se realizará un análisis y descripción de los cinco principales códigos maliciosos que
infectaron el último año a usuarios de Latinoamérica.

Tipos de malware: ¿el fin de los
virus?

Aunque los términos virus y malware suelen utilizarse para los mismos fines, vale destacar que
no se trata del mismo concepto. Los virus informáticos son las amenazas que dieron origen a



Troyanos y gusanos: el reinado del malware

4



esta problemática, mientras que, el malware (del inglés, malicious software, aplicación
maliciosa) es el concepto que engloba a todos los tipos de amenazas informáticas, no solo los
virus, sino también gusanos, troyanos, spyware, entre otros.

Por lo tanto, vale la pena analizar cómo están distribuidos los códigos maliciosos a partir de su
tipo, es decir, virus, gusanos, troyanos, adware y spyware. Según las 100 amenazas más
detectadas por ESET, la distribución de las mismas indica con claridad que los virus
informáticos tienden a desaparecer, así como también los spyware tradicionales, tal como se
muestra en la siguiente imagen:

Imagen 1: Tipos de Malware actuales según ThreatSense.NET



Como se puede apreciar en la misma, los virus informáticos poseen poca relevancia en el
escenario global de amenazas (tan solo el 7%). En este, los gusanos (48%) y los troyanos (33%)
ocupan la mayoría de los códigos maliciosos propagados en la región. De hecho, dentro de las
100 amenazas más detectadas, recién en el vigésimo cuarto lugar aparece un virus informático,
Win32/FlyStudio.OGS (24º). Por otro lado, entre los seis malware más detectados se identifican
cuatro gusanos: INF/Autorun (1º), Win32/Conficker.AA (2º), INF/Autorun.gen (4º) y Win32/Tifaut.C
(5º), y dos troyanos, Win32/PSQ.OnLineGames.OUM (3º) y Win32/PSW.OnLineGames.NNU (6º).

El adware (9%) y el spyware (3%) completan las variantes de amenazas, teniendo el primero de
estos una mayor preponderancia, ya que ocupa el tercer lugar de malware más detectado.
Estos, son códigos maliciosos diseñados para la exposición de publicidades no deseadas en el
equipo del usuario. En esta categoría, que representa una de cada diez amenazas en la región,



Troyanos y gusanos: el reinado del malware

5



aparecen también los rogue, falsos antivirus diseñados con el ánimo de estafar al usuario
cobrando por una solución de seguridad ilegítima.

Finalmente, la baja tasa de amenazas del tipo spyware, viene dada por el aumento de
amenazas del tipo botnet (ver sección siguiente). Mientras hace unos años estos códigos
maliciosos, diseñados para robar información, eran efectivos para los atacantes, hoy en día
esta acción suele ser llevada a cabo a través de redes de equipos zombis, conformadas por
gusanos y troyanos, líderes de este ranking de códigos maliciosos.

Como se pudo observar, en la actualidad los virus informáticos han dejado el lugar protagónico
a otras amenazas con características más efectivas para infectar ya que son más sencillas de
desarrollar y son más funcionales para los ciber delincuentes de hoy en día.

¿Por qué los gusanos y troyanos tuvieron tal preponderancia? Particularmente se debe a que los
métodos de propagación basados en Ingeniería Social o explotación de vulnerabilidades son
las vías más efectivas para los atacantes, al momento de propagar masivamente sus códigos
maliciosos. Estos, justamente, son los métodos utilizados por gusanos y troyanos que, según
el TOP 100 del malware en la región, son las amenazas que más atentan contra los usuarios, los
sistemas y, esencialmente, su información.

Características del malware

Una vez conocidos los tipos de códigos maliciosos más propagados, es importante profundizar,
no sólo en las tipologías, sino también en sus características. Definir un malware no es una
tarea sencilla, ya que es frecuente que una amenaza posea características de más de una
variante. Un código malicioso puede propagarse por Ingeniería Social, y ser identificado como
un troyano, y a la vez mostrar publicidad, lo que lo convierte al mismo tiempo en un adware.
Aunque al momento de la clasificación priman los aspectos más relevantes de la amenaza, es
importante tener en cuenta que conocer la distribución según el tipo de amenaza, es solo el
primer paso.

Por lo tanto, más allá de su tipología, ¿Qué más se conoce sobre los códigos maliciosos más
propagados en Latinoamérica? ¿Cuáles son sus características más importantes? A partir del
ranking, se analizaron las cualidades más frecuentes del malware, y se describen las más
relevantes a continuación.



Troyanos y gusanos: el reinado del malware

6



Ingeniería Social

El 45% de las amenazas más detectadas según ThreatSense.Net usan Ingeniería Social
decir, que para su propagación, utilizan componentes sociales para engañar a los usuarios que,
de una u otra forma, se convierten en cómplices involuntarios de la infección. En esta categoría,
se incluyen troyanos como Win32/PSW.Onlinegames (3º, 6º, 18º, 72º y 97º, con distintas variantes),
Win32/Peerfag (30º, 46º, 54º, 75º, 89º y 90º, con distintas variantes) o Win32/TrojanDownloader
(43º, 64º, 65º, 69º, 80º y 94º, con distintas variantes), entre otras. Estos ejemplos marcan otra
tendencia: las amenazas que utilizan Ingeniería Social son propensas a la multiplicidad de
variantes, ya que a partir de un vector de propagación basado en engañar al usuario, se hace
más factible para los atacantes crear diversas variantes.

. Es

El hecho de que la Ingeniería Social sea la característica que más se destaca entre las 100
amenazas más detectadas, deja muy en claro las necesidades en materia de concientización y
educación en la región. Especialmente a partir de la costumbre de los atacantes de usar
temáticas regionalizadas y locales con problemáticas o acontecimientos de países
latinoamericanos, confirma la importancia de educar al usuario, para que no se exponga de
forma desprevenida a estos códigos maliciosos.

Dispositivos USB y vulnerabilidades

La segunda característica que se destaca al analizar el ranking en cuestió