You are on page 1of 18

G Data

Informe sobre
software malicioso
Informe semestral enero-junio 2009
Ralf Benzmüller & Werner Klier
G Data Security Labs

Go safe. Go safer. G Data.
G Data Informe enero-junio de 2009 sobre software malicioso

Informe G Data sobre software malicioso
Enero-junio 2009

Ralf Benzmüller & Werner Klier

G Data Security Labs

Copyright © 2009 G Data Software AG 1
Resumen
Cifras y datos
• En el primer semestre de 2009, G Data identificó 663.952 nuevos programas maliciosos.
Esto significa más del doble de los detectados durante el mismo período del año anterior.
En comparación con el segundo semestre de 2008 sólo se obtuvo un ligero incremento del
15%. No obstante, el número de familias activas de programas maliciosos descendió en un
7%.
• Las categorías más frecuentes de programas maliciosos son los troyanos, descargadores y
backdoors. Mientras que los troyanos y descargadores escalaron posiciones, la proporción
de backdoors retrocedió. Los rootkits siguieron consolidándose. Su número se octuplicó con
creces frente al mismo período del año anterior.
• Los programas maliciosos con rutinas de propagación propias tan sólo constituyen un 4,0%
del total de los programas informáticos maliciosos.
• Entre los tipos de programa malicioso más activos se encuentran los troyanos, los backdoors
y los ladrones de cuentas de juegos online. Igualmente han aumentado notablemente la fa-
milia de gusanos "Autorun". Su número prácticamente se ha quintuplicado en comparación
al primer semestre de 2008 y su parte en el total aumentó hasta alcanzar un 1,6%.
• En el 99,3% de los casos, todos los programas maliciosos del segundo semestre funcionaron
en el entorno de Windows. La concentración en el sistema operativo líder en el mercado
continúa.
• El código malicioso para plataformas móviles ha conseguido entrar esta vez en el Top 5
de las plataformas. Pero, con tan solo 106 elementos dañinos, su proporción sigue siendo
mínima.
• También los usuarios de MacOS X reciben ataques de programas maliciosos. El número
de nuevos programas maliciosos para MacOSX es de 15. En abril se descubrió una primera
botnet procedente de los ordenadores Apple.

Eventos y tendencias
• Las redes sociales se utilizan cada vez con más frecuencia para la distribución de spam y
programas maliciosos.
• Conficker se convierte en el eterno caballo de batalla. Infecta varios millones de PC y el 1 de
abril da que hablar por su nueva rutina de actualización. A partir de ahí desaparece.

Pronósticos
• Internet alberga cada vez un mayor número de códigos maliciosos. Los métodos de infec-
ción se hacen cada vez más sofisticados.
• La ola de programas maliciosos seguirá creciendo en los próximos meses, aunque en menor
medida y a través de un menor número de familias de programas maliciosos.
• Los usuarios de MacOSX y Smartphones pasarán a estar con mayor frecuencia en la mira de
los autores de programas maliciosos.

2 Copyright © 2009 G Data Software AG
G Data Informe enero-junio de 2009 sobre software malicioso

Contenido

Resumen.......................................................................................................................................................................2
Cifras y datos...............................................................................................................................................................2
Eventos y tendencias................................................................................................................................................2
Pronósticos...................................................................................................................................................................2

Programas maliciosos: Cifras y datos......................................................................................4
La ola de programas maliciosos crece, aunque con menor intensidad..................................................4
Categorías de malware............................................................................................................................................4
Familias..........................................................................................................................................................................6
Plataformas..................................................................................................................................................................8

Perspectiva 2009......................................................................................................................9
Pronósticos...................................................................................................................................................................9

Eventos y tendencias durante el primer semestre de 2009................................................10
Enero de 2009.......................................................................................................................................................... 10
Febrero de 2009.......................................................................................................................................................11
Marzo de 2009..........................................................................................................................................................13
Abril de 2009.............................................................................................................................................................14
Mayo de 2009............................................................................................................................................................15
Junio de 2009............................................................................................................................................................15

Copyright © 2009 G Data Software AG 3
Programas maliciosos: Cifras y datos
La ola de programas maliciosos crece, aunque con menor intensidad
En los últimos años el número de nuevos programas maliciosos ha ido creciendo de forma
constante. Cada día se batían nuevos récords de tasas de crecimiento. También en el primer
semestre de 2009 el número de programas informáticos maliciosos vuelve a aumentar. En
comparación con el mismo período del año anterior, el número se ha duplicado con creces
hasta los 663.952 programas maliciosos. Aunque, como ya anunciaba el último informe de G
Data sobre programas maliciosos, el ritmo de crecimiento ha remitido. En comparación con el
segundo semestre de 2008, el número de programas maliciosos ha aumentado en tan sólo un
15%.
㄀㘀    

㄀㐀    

㄀㈀    

㄀     

㠀    

㘀    

㐀    

㈀    

 
䨀愀渀
01 02
䘀攀戀 03
䴀爀稀 04
䄀瀀爀椀氀 05
䴀愀椀 06
䨀甀渀椀 07
䨀甀氀椀 08
䄀甀最 09
匀攀瀀 10
伀欀琀 11
一漀瘀 12
䐀攀稀

Diagrama 1: Número de nuevos programas maliciosos por mes durante 2008 (gris) y 2009 (rojo).

Categorías de malware
Un vistazo a los cambios en cada una de las categorías de programas maliciosos puede apor-
tarnos una explicación de este retroceso. Mientras que los backdoors, adware y programas
espía permanecen por debajo de la media, la cantidad de rootkits y troyanos sobrepasa el
crecimiento medio considerablemente. También el número de descargadores y droppers
sobrepasa la media.
Los backdoors se necesitan para integrar ordenadores zombi en una red de bots y poder asu-
mir el control remoto. El retroceso en este área es un indicio de que la ampliación de las bot-
nets ha perdido importancia. El gran aumento de rootkits es señal de que cada vez un mayor
número de programas maliciosos (también backdoors) permanecen ocultos a los antivirus y a
las miradas curiosas. A todas luces parece que la capacidad disponible ya basta para cubrir la
demanda de actividades botnet, como el envío de correo basura y los ataques de sobrecarga.
También el mercado de adware parece haberse estancado en un alto nivel. Posiblemente
tienen que ver en esto las campañas de sensibilización. Aunque también ha contribuido a ello
el parón causado por la crisis, con unos presupuestos publicitarios limitados, lo que hace que

4 Copyright © 2009 G Data Software AG
G Data Informe enero-junio de 2009 sobre software malicioso

también la economía del crimen electrónico se vea obligada a actuar en menor escala.
La cantidad de spyware ha descendido ligeramente. Si observamos el fenómeno más de cerca
podremos detectar que los "keylogger" o registradores de órdenes de teclado, se han duplica-
do, mientras que los troyanos bancarios y los ladrones de datos de contraseñas o juegos online
han retrocedido en un 30%. El empleo de medidas de seguridad más estrictas por los bancos y
las empresas de juegos online ya no permiten soslayar la protección por medios sencillos. En el
área del robo de datos, la tendencia se inclina hacia programas maliciosos cada vez más univer-
sales y potentes.
Categoría #2009 Propor- # 2008 Propor- Dif. # 2008 Propor- Dif.
H1 ción H2 ción 2008H1 H1 ción 2008H1
2008H2 2009H1
Caballos 221.610 33,6% 155.167 26,9% 143% 52.087 16,4% 425%
troyanos
Puertas 104.224 15,7% 125.086 21,7% 83% 75.027 23,6% 139%
traseras
Descargado- 147.942 22,1% 115.358 20,0% 128% 64.482 20,3% 229%
res/Droppers
Spyware o 97.011 14,6% 96.081 16,7% 101% 58.872 18,5% 165%
programas
espía
Adware 34.813 5,3% 40.680 7,1% 86% 32.068 10,1% 109%
Gusanos 26.542 4,0% 17.504 3,0% 152% 10.227 3,2% 260%
Herramientas 11.413 1,6% 7.727 1,3% 148% 12.203 3,8% 94%
Rootkits 12.229 1,9% 6.959 1,2% 176% 1.425 0,4% 858%
Exploits 2.279 0,3% 1.841 0,3% 124% 1.613 0,5% 141%
Dialer 1.153 0,2% 1013 0,2% 114% 4.760 1,5% 24%
Virus 143 0,0% 167 0,0% 86% 327 0,1% 44%
Otros 4.593 0,7% 8.419 1,5% 55% 5.170 1,6% 89%
Total 663.952 100,0% 576.002 100,0% 115% 318248 100,0% 209%
Tabla 1: Cantidad y porcentaje de nuevas categorías de programas maliciosos en el primer semestre de 2008 y 2009
incluyendo cambios

La tabla 1 indica asimismo que la cantidad de programas dialer ha descendido hasta apenas un
cuarto del volumen del año anterior. El modelo de negocio del dialer se está extinguiendo, por
lo que se ve. También el número de virus clásicos (p.ej. infectadores de archivos) ha decrecido
notablemente en comparación con el mismo período del año anterior. Esta vía de expansión
constituye más bien la excepción. Los gusanos, entre los que se encuentra también el gran
grupo de infectadores Autorun, vio aumentar su porcentaje hasta un 4.0%. Su número se ha
multiplicado por 2,6 frente al primer semestre de 2008 y por 1,5 frente al segundo semestre de
2008.

Copyright © 2009 G Data Software AG 5
Familias
Dependiendo de las funciones y de las características del código que utilizan, los programas
informáticos maliciosos se subdividen en familias. Desde hace años, el número de familias de
virus ha descendido. En el primer semestre de 2008 había aún 2395 y en el segundo 2094. En
el primer semestre de 2009 se contaron 1948 distintos representantes de familias de virus. En
otras palabras, el nuevo aumento de programas maliciosos se basa en un menor número de
familias. Este dato indica una concentración del mercado.

# 2009 H1 Familia de # 2008 H2 Familia de # 2008 H1 Familia de
virus virus virus
1 45.407 Monder 45.407 Hupigon 32.383 Hupigon
2 35.361 Hupigon 35.361 OnlineGames 19.415 OnLineGames
3 20.708 Genome 20.708 Monder 13.922 Virtumonde
4 18.718 Buzus 18.718 MonderB 11.933 Magania
5 15.937 OnlineGames 15.937 Cinmus 7.370 FenomenGame
6 13.133 Fraudload 13.133 Buzus 7.151 Buzus
7 13.104 Bifrose 13.104 Magania 6.779 Zlob
8 12.805 Poison 12.805 PcClient 6.247 Cinmus
9 11.530 Magania 11.530 Zlob 6.194 Banload
10 10.412 Inject 10.412 Virtumonde 5.433 Bifrose
Tabla 2: Top 10 de las familias de virus más activas durante el primer semestre de 2009 y 2008

Mientras algunas familias aportan solo unas pocas variantes, otras son especialmente prolíficas.
Algunas de ellas llevan en el Top 10 desde hace años. Entre ellas se encuentran los backdoor de
la familia Hupigon y Bifrose, que han perdido el primer puesto, los ladrones de datos de juegos
online de las familias OnlineGames y Magania, así como los troyanos de la familia Buzus. Los
nuevos líderes son los troyanos adware/scareware de Monder, que van pisando los talones de
Virtumonde. Junto con el recién incorporado Fraudload indican la popularidad que ha ganado
el scareware entre los ciberdelincuentes, con soluciones imitadas de los antivirus. También
ingresan recientemente en el Top 10 las familias Genome, Poison e Inject.

6 Copyright © 2009 G Data Software AG
G Data Informe enero-junio de 2009 sobre software malicioso

Primer puesto: Monder Sexto puesto: Fraudload
Las innumerables variantes Monder son troyanos que La familia Fraudload abarca numerosas variantes de
manipulan la configuración de seguridad del sistema los llamados programas scareware, que se presentan
infectado, haciéndolo así susceptible de ser atacado al usuario bajo la apariencia software de seguridad o
posteriormente. Además, puede tener lugar una de herramienta del sistema. Se sugiere a la víctima que
infección de adware, que muestra molestas ventanas el sistema está siendo examinado en busca de infec-
publicitarias en el sistema infectado, en particular ciones. Para eliminar estas supuestas infecciones se le
con anuncios de software de seguridad falsificado. recomienda urgentemente a la víctima que adquiera
Se sugiere a la víctima que el sistema está siendo la "versión completa" y para ello revele la información
examinado en busca de infecciones. Para eliminar de su tarjeta de crédito en una página web especial.
estas supuestas infecciones, se urge a la víctima a que La infección tiene lugar generalmente a través de agu-
adquiera la "versión completa" y a que pague median- jeros de seguridad no cerrados del sistema operativo
te tarjeta de crédito (!!). Algunas variantes descargan o a través de software de aplicación vulnerable de la
otros paquetes de software malicioso y envían al víctima. No obstante, también existen métodos de
atacante información sobre las páginas visitadas por la ataque en los que la víctima es atraída a páginas en las
víctima, sin informar de ello al usuario. que supuestamente se muestran vídeos de contenido
erótico o de noticias de actualidad. Para poder visua-
Segundo puesto: Hupigon lizar estos supuestos vídeos, la víctima debe instalar
La puerta trasera Hupigon permite al atacante, entre un códec especial de vídeo en el que viene oculto el
otras cosas, controlar el ordenador de forma remota, software malicioso.
obtener la información ingresada a través del teclado,
acceder al sistema de archivos y encender la cámara Séptimo puesto: Bifrose
web. El backdoor Bifrose permite a los atacantes el acceso a
ordenadores infectados y se conecta a un servidor IRC.
Tercer puesto: Genome Desde allí, el programa malicioso ejecuta las órdenes
Los troyanos de la familia Genome aúnan funciones ta- del atacante.
les como descargador, keylogger o cifrado de archivos.
Octavo puesto: Poison
Cuarto puesto: Buzus El backdoor Poison permite a los atacantes el acceso
Los troyanos de la familia Buzus examinan los sistemas remoto no autorizado al sistema de la víctima, que
infectados de sus víctimas en busca de datos persona- posteriormente puede ser utilizado de forma indebida,
les (tarjetas de crédito, banca online, accesos a correo p.ej. para ataques de sobrecarga distribuidos (DDoS).
electrónico y a servidores FTP, etc.), que son enviados
al atacante. También se intenta desactivar la configura- Noveno puesto: Magania
ción de seguridad del ordenador, con lo que se hace el Los troyanos de la familia china Magania están
sistema de la víctima aún más vulnerable. especializados en el robo de datos de cuentas de
juego del experto en software taiwanés Gamania.
Quinto puesto: OnlineGames Generalmente, los ejemplares de Magania se distri-
Los miembros de la familia OnlineGames roban buyen por correo electrónico que integra un archivo
principalmente los datos de acceso a juegos online. RAR incrustado y varias veces comprimido. Al ejecutar
Para ello, algunos archivos y entradas de registro son el software malicioso se muestra primeramente una
registrados y/o se instala un keylogger. En el último imagen a modo de distracción, mientras que en se-
caso no sólo se roban los datos de juegos. Los ataques gundo plano se guardan otros archivos en el sistema.
apuntan principalmente a los juegos populares en Además, Magania penetra en el Explorador de Internet
Asia. vía DLL, con lo que puede obtener información de las
páginas visitadas en Internet.

Décimo puesto: Inject
La familia Inject abarca una gran cantidad de troyanos
que se incrustan en procesos en ejecución y toman así
el control de ese proceso determinado. Esto permite
al atacante manipular los procesos incautados como
desee, con objetivos maliciosos.

Copyright © 2009 G Data Software AG 7
La familia de gusanos más activa es "Autorun“, con 9.689 variantes y un porcentaje del 1,6%.
Los representantes de esa familia utilizan el mecanismo que ejecuta archivos automáticamente
al insertar unidades de CD/DVD o al conectar soportes de datos USB. Para ello se copia en el
soporte de datos y genera un archivo adecuado llamado autorun.inf. A la vista de la amplia
propagación de este programa malicioso conviene desactivar el mecanismo Autorun de Win-
dows. Para que esto funcione realmente, Microsoft ha creado su propio "patch" o parche.

Los exploits más comunes aprovechaban la brecha de seguridad WMF y puntos débiles en
documentos PDF. La cantidad de archivos PDF maliciosos ha aumentado notablemente en los
últimos meses. En este sentido no sólo se utilizan las brechas de seguridad. Los autores de pro-
gramas maliciosos aprovechan con fruición la posibilidad de ejecutar en los PDF sus productos
en código JavaScript.

Plataformas
También en el primer semestre de 2009 los autores de programas maliciosos se concentran
en ordenadores con SO Windows como primera diana de sus ataques. Con un 99,3% del total,
vuelve a aumentar la proporción de programas maliciosos para Windows. Es muy raro encon-
trar software malicioso para otros sistemas operativos. En los sistemas basados en Unix apare-
cen 66 programas maliciosos (en comparación con 16 en el segundo semestre de 2009) y para
el sistema operativo Apple OSX se encontraron 15 nuevos programas dañinos. En el segundo
semestre de 2008 eran 6. Incluso al observarse una tendencia en aumento de los programas
maliciosos para otros sistemas operativos, esta cantidad, en comparación con la oleada de
programas maliciosos para Windows, es insignificante.

Plataforma #2009 H1 % 2009 H1 # 2008 H2 % 2008 H2 #2008 H1 Proporción
1 Win32 659.009 99,3% 571.568 99,2% 312.656 98,2%
2 WebScripts 3.301 0,5% 2.961 0,5% 3.849 1,4%
3 Scripts 924 0,1% 1.062 0,2% 1.155 0,3%
4 MSIL 365 0,1% 318 0,1% 252 0,1%
5 Móvil 106 0,0% 70 0,0% 41 0,0%
Tabla 3: La 5 plataformas principales durante 2008 y el primer semestre de 2009. Los WebScripts agrupan los progra-
mas maliciosos basados en JavaScript, HTML, Flash/Shockwave, PHP o ASP y generalmente puntos débiles a través de
navegador de Internet. Los "scripts" son scripts de tipo batch o shell o programas escritos en los lenguajes de progra-
mación script VBS, Perl, Python o Ruby. MSIL es un programa malicioso escrito en el código temporal de los programas
NET. El concepto "móvil" abarca los programas maliciosos para J2ME, Symbian y Windows CE.

La cantidad de nuevos programas maliciosos para smartphones y ordenadores móviles ha
aumentado aprox. la mitad y los elementos maliciosos para terminales móviles han vuelto a
conseguir encontrarse en el Top 5. En total han aparecido 106 nuevos elementos maliciosos.
Aprox. 90 de estos no tienen su propia rutina de propagación y son utilizados para el envío de
SMS a clientes telefónicos que, en su mayoría, residen en Rusia y China. Sólo la familia Yxe se
propaga automáticamente vía SMS con enlace a una página web. El archivo que se ofrece allí
para su descarga viene firmado por Symbian. Así, la actuación del usuario (que sigue siendo
imprescindible) se reduce a un clic.

8 Copyright © 2009 G Data Software AG
G Data Informe enero-junio de 2009 sobre software malicioso

Perspectiva 2009
Los programas maliciosos seguirán constituyendo en los próximos meses una fuente de eleva-
dos ingresos. La economía cibercriminal está firmemente afianzada y los modelos de negocio
acreditados para spam, spyware y adware siguen llenando las arcas de los creadores, los propa-
gadores y los usuarios de programas maliciosos. Los éxitos ocasionales de las autoridades de
control no serán capaces de cambiar esta situación. Los usuarios de Windows seguirán estando
en la mira de los ciberdelincuentes.
La oleada de programas maliciosos sigue creciendo. Pero también es previsible que un número
cada vez menor de familias sea responsable de este aumento. Las tasas de crecimiento no
seguirán un desarrollo tan abrupto como el de los últimos años.
Vista la profesionalidad de la economía en la sombra, no es sorprendente que las brechas de
seguridad en el sistema operativo y en conocidas aplicaciones ya sean utilizadas por progra-
mas maliciosos a los pocos días de su publicación. En un intervalo muy breve estarán disponi-
bles para usuarios inexpertos unas herramientas de fácil operación para crear programas mali-
ciosos. El elemento más débil de la cadena es, actualmente, el navegador y sus componentes.
Aquí se encuentra y se utiliza la mayoría de los agujeros de seguridad. Los que no mantengan
su ordenador actualizado ofrecerán un amplio frente inerme a los ataques de los programas
maliciosos.
No obstante, también se sigue experimentando en otras plataformas. Aumentará el número de
programas maliciosos para Appel, Unix y los ordenadores portátiles. Pero no se espera un uso
desmesurado de estos programas.
Como muchas puertas de entrada de programas maliciosos están protegidas mediante tec-
nologías de seguridad, los atacantes prefieren actuar en los lugares más desprotegidos. Las
páginas web con sus numerosas aplicaciones ofrecen en la actualidad las mejores perspectivas
de éxito. Por tanto, es de esperar que este área sea utilizada también durante los próximos
meses con escenarios de ataque cada vez más novedosos y sofisticados. Aquí podrían utilizarse
en mayor medida medios subestimados hasta el momento, como flash o PDF. También au-
mentará seguramente el abanico de trucos que los estafadores usan para engañar a los usua-
rios de Internet al visitar una página web o ejecutar archivos. Sobre todo en las redes sociales
prevemos nuevas maniobras de engaño. Twitter ofrece aquí en la actualidad la mayoría de las
posibilidades.

Pronósticos

Categoría Tendencia Categoría Tendencia
Caballos troyanos Rootkits
Backdoors Exploits
Descargadores/Droppers Win32
Spyware o programas espía WebScripts
Adware Scripts
Virus/gusanos MSIL
Herramientas Móvil

Copyright © 2009 G Data Software AG 9
Eventos y tendencias durante el
primer semestre de 2009
A continuación exponemos cronológicamente los principales acontecimientos en torno a los
programas maliciosos. Destaca sobre todo Confi cker, que en los primeros meses del año gozó
de una gran notoriedad. También son notables las numerosas incidencias en las redes sociales
más populares entre los usuarios, como Twitter, Linkedln, MySpace y Facebook. Los diseñado-
res de programas maliciosos se percatan al instante de estas tendencias y aprovechan las opor-
tunidades. Aparte de los incidentes aislados, también otras tendencias indican que las redes
sociales ganan atractivo. Antes, el fraude informático (phishing) prácticamente se dedicaba en
exclusividad a bancos y a eBay, pero en el último semestre Google y las redes sociales Facebo-
ok, Sulake y MySpace han accedido de forma constante a la lista de las 10 primeras dianas del
phishing. Desde hace algún tiempo, las redes sociales sirven de fuente de información a los
cibercriminales para preparar sus ataques específi cos y spam personalizado. Las redes sociales
son un medio cada vez más popular, también para los creadores de programas maliciosos.
Este hecho es avalado, en particular, por la creación del gusano koobface. Este gusano, como
su nombre indica, estaba concentrado como plataforma de distribución para Facebook y poco
más tarde, se trasladó a MySpace y, de este modo, la lista se ha ampliado en los últimos años
a las redes sociales como hi5.com, friendster.com, myyearbook.com, bebo.com, tagged.com,
netlog.com, fubar.com y livejournal.com. Los enlaces confi gurados allí remiten a páginas web
en las que, según una rutina de engaño sobradamente conocida, pueden probarse las demos
de programas "antivirus de pega" o la "descarga de codec/fl ash". Koobface, no obstante, se
expande también en términos cuantitativos, como indica la siguiente tabla. En junio se ha
multiplicado por 10 el número de variantes.

Mes Enero 09 Feb 09 Mar 09 Abr 09 May 09 Jun 09
# Variantes de Koobface 18 14 23 50 56 541
Tabla 4: Número de variantes de koobface durante el primer semestre de 2009

En los próximos meses contamos con que el número de programas maliciosos en redes socia-
les va a crecer. Con el aumento de usuarios aumenta también el atractivo para los difusores de
programas maliciosos.

Enero de 2009
05.01. Los usuarios del microblog Twitter son
atraídos mediante mensajes cortos especí-
fi cos a una página de registro fraudulenta
de ese servicio para robarles allí los datos
de acceso para futuras campañas de spam.
06.01. Twitter advierte: "Numerosas cuentas
hackeadas. Situación estable”. Los afecta-
dos han sido, entre otros, las cuentas de
Britney Spears y Barack Obama. En algu-
nos casos, se enviaron mensajes picantes
en nombre de las víctimas.

10 Copyright © 2009 G Data Software AG
G Data Informe enero-junio de 2009 sobre software malicioso

07.01. En la página de red social LinkedIn se colgaron falsos perfiles de famosos. Estos
perfiles contenían enlaces que remitían a antivirus fraudulentos o a una versión de
Windows Media Player infectada con un troyano. Personajes famosos víctimas de estos
actos: Victoria Beckham, Beyoncé Knowles, Salma Hayek y un largo etcetera.
08.01. En el Gobierno Federal del Land Austriaco de Carintia 3000 ordenadores fueron in-
fectados con el virus Conficker. Esto se debió a que la actualización de seguridad
publicada por Microsoft en octubre de 2008, creada con el fin de cerrar una brecha de
seguridad utilizada por Conficker, no se había ejecutado hasta el momento.
12.01. Conficker ataca en Carintia una vez más, esta vez en los hospitales de la Sociedad de
Sanidad Pública de Carintia, KABEG. De nuevo hay unos 3000 ordenadores afectados.
14.01. Las estimaciones parten de 2,5 millones de infecciones con Conficker. Por primera vez
se conoce que Conficker genera permanentemente nombres de dominio mediante un
algoritmo especial, con los que se establece contacto conforme al principio aleatorio.
El objetivo: Los atacantes han registrado previamente muchos de los dominios alea-
torios y pueden utilizarlos para cargar posteriormente otro código malicioso o para
proporcionar más instrucciones a los ordenadores infectados.
21.01. La epidemia Conficker sigue su ofensiva contra todos: Una gran parte de las autorida-
des militares británicas resulta afectada.
23.01. Una copia con troyano incluido del software de diseño y presentación de Apple,
iWork 09, circula por la red BitTorrent. Se calcula que unos 20.000 usuarios habrán
descargado la copia distribuida desde comienzos de mes.
25.01. La plataforma de búsqueda de empleo monster.com declara haber sido víctima de
un robo de datos. Los "ataques no autorizados" a la base de datos de la empresa han
tenido como consecuencia el robo de los datos de acceso, los nombres, los números
de teléfono y las direcciones de correo electrónico, así como algunos datos demográfi-
cos de los usuarios.

Febrero de 2009
01.02. Un agujero de seguridad permite poner fuera de servicio el control de cuentas del
usuario (UAC en inglés) de la versión beta de Windows 7 mediante un sencillo script.
De este modo, los atacantes están en disposición de insertar otros programas de soft-
ware malicioso en el sistema operativo sin que nadie se percate de ello.
02.02. Los atacantes manipulan la presencia en Internet del periódico Hamburger Abend-
blatt para infectar con software malicioso a los lectores de las noticias online.
04.02. Una página de registro fraudulenta de la red social wer-kennt-wen.de perteneciente
a la cadena alemana RTL captura los datos de acceso de sus usuarios.
08.02. Mediante un ataque Denial-of-Service distribuido a destinatarios específicos se parali-
zan temporalmente diversas páginas web de seguridad, como Metasploit, Milw0rm o
Packetstorm.
10.02. Tan sólo dos días tras el primer ataque, la presencia en Internet del proyecto Metas-
ploit vuelve a situarse en el punto de mira de un ataque de tipo DDoS. Los atacantes
varían la estrategia ofensiva varias veces.

Copyright © 2009 G Data Software AG 11
11.02. A través de un agujero de seguridad en el Sistema de Administración de Contenidos
Typo 3 algunos días antes se manipulan varias páginas web alemanas que aún no
habían ejecutado la actualización de seguridad correspondiente. Resultaron afectadas,
por ejemplo, las páginas web del club de fútbol FC Schalke 04, en las que se infor-
ma sobre el despido de Kevin Kuranyi o la página web del político alemán Wolfgang
Schäuble en la que se coloca un enlace relativo al archivado de datos reservados.

12.02. Microsoft publica una recompensa de 250.000 dólares por la captura y penalización
del autor del gusano Conficker. Al mismo tiempo, el fabricante de software anuncia la
colaboración estrecha con el ICANN y las empresas de los principales servidores DNS
para atajar esta infección en plena fase de expansión.
14.02. Varios cientos de ordenadores del Ministerio de Defensa alemán caen presa del Con-
ficker.
17.02. Debido a una confi guración errónea del router en un proveedor de Internet checo
se pone gravemente en peligro la estabilidad de la transferencia de datos en algunas
partes de la Internet mundial.
23.02. Los investigadores de programas maliciosos analizan las variantes B y B++ del gusano
Confi cker y determinan que éstas, por su estructura modular, son capaces de actuar
con mucha mayor fl exibilidad que la variante A original.
25.02. Con ayuda de banners fl ash preparados, los atacantes distribuyen a través de la pági-
na web de la revista online eWeek y de otras páginas de Internet de la red Ziff -Davis,
documentos PDF que instalan un software antivirus fraudulento en los ordenadores de
las víctimas.

12 Copyright © 2009 G Data Software AG
G Data Informe enero-junio de 2009 sobre software malicioso

Marzo de 2009
01.03. Los investigadores de programas maliciosos descifran el algoritmo utilizado por Con-
ficker para generar nombres de dominio de un servidor de control. Este genera tam-
bién nombres ya utilizados. Durante el mes de marzo, los dominios legítimos jogli.com
(buscador especializado en música), wnsux.com (compañía aérea Southwest-Airlines),
qhfl h.com (red de mujeres china) y praat.org (análisis de audio) son atacados mediante
intentos de conexión desde ordenadores Confi cker.
04.03. Un equipo de especialistas del LKA Baden-Württemberg paraliza las actividades de
la plataforma de venta ilegal codesoft.cc, en la que se ponen a la venta troyanos e
información ilegal sobre el robo de datos y la falsifi cación de tarjetas de crédito.

09.03. Conficker utiliza un nuevo algoritmo, que en lugar de 250 dominios, ahora calcula
50.000 dominios al día. Además, en los ordenadores infectados fi nalizan procesos que
contienen determinadas cadenas de caracteres relacionadas con las herramientas de
análisis especializadas para combatir el gusano. Este elemento malicioso se defi ende
así activamente contra las medidas para atajar la epidemia.
12.03. Las investigaciones realizadas por la BBC británica permiten la toma el control de una
botnet que posee aprox.
22.000 ordenadores. Como
surgen críticas a la BBC a raíz
de este suceso, ésta declara
que las investigaciones van
en interés público y, por lo
tanto, cumplen las Directivas
de las Autoridades de Vigi-
lancia de Medios británicas
OFCOM. La cuestión de si
para tomar la botnet fue
necesario pagar un rescate
permanece sin respuesta por

Copyright © 2009 G Data Software AG 13
parte de la BBC.
17.03. Utilizando el dominio verosímil dhl-packstation.info, los criminales de Internet remiten
a los usuarios de Packstation, durante una campaña de phishing, a una página web
de registro fraudulenta, para robarles sus datos de acceso.
23.03. Los router DSL del tipo Netcomm NB5 son manipulables sin contraseña a través de la
interfaz de Internet y al acceso SSH, debido a su firmware anticuado y constituyen una
botnet llamada Psybot, cuyo tamaño se estima de 80.000 a 100.000 routers infecta-
dos.
30.03. Según información de expertos, Conficker comenzará el 1 de abril a buscar actualiza-
ciones de los innumerables dominios generados por su algoritmo. Nadie puede afir-
mar en ese momento lo que vaya a pasar durante la toma de contacto.
31.03. El gran interés mediático en Conficker pone en movimiento a otros oportunistas, que,
con métodos manipuladores, posicionan en las listas de aciertos del buscador Google
determinadas páginas web con supuestas herramientas de desinfección. Estas herra-
mientas presentadas como útiles y valiosas, son, en realidad, puro scareware, es decir,
software antivirus falso, que sugiere a la víctima que su ordenador está infectado para,
posteriormente, sustraerle la información de su tarjeta de crédito.

Abril de 2009
01.04. Los intentos de actualización esperados de Conficker caen en saco roto. Parece que
los sistemas infectados establecen realmente el contacto esperado con determinados
dominios, pero, en ese momento, aún no hay allí actualizaciones disponibles.
09.04. Contra lo que se esperaba en un principio,Conficker no carga las actualizaciones a tra-
vés de los nombres de dominio generados por un algoritmo. En lugar de ello, recurre a
un mecanismo alternativo P2P y se comunica directamente con otros sistemas infecta-
dos. La nueva variante bloquea el acceso a determinadas páginas web de empresas de
antivirus, para dificultar el acceso a herramientas de eliminación especializadas.
12.04. Conficker carga el scareware "SpywareProtect2009“ desde un servidor ucraniano,
que lanza advertencias de virus falsos supuestamente existentes en el ordenador de la
víctima. Para eliminar los programas maliciosos de los que se advierte (e inexistentes,
en realidad) el usuario infectado debe abonar 49,95 dólares USA.
18.04. Los expertos en seguridad descubren indicios de una primera red de bots compues-
ta de ordenadores Apple. Por lo que parece, existe una relación entre las versiones
infectadas por troyanos del iWork 09 de Apple, aparecidas a comienzos de año en la
plataforma de intercambio BitTorent. Además se afirma que circula igualmente una
versión con troyano incluido de Adobe Photoshop CS4.
22.04. Se detecta la mayor botnet jamás descubierta en el mundo. Contiene casi dos
millones de PCs zombi infectados. Se sospecha que es operada por una banda de tan
sólo seis personas que gestionan en Ucrania el correspondiente servidor Command &
Control.
23.04. En la Internet rusa aparece un troyano que bloquea el acceso del usuario a su PC con
Windows y le exige el pago de un rescate para desbloquearlo. Los usuarios afectados
deben enviar un SMS a un número privado sumamente caro y reciben a continuación
un código de desbloqueo.

14 Copyright © 2009 G Data Software AG
G Data Informe enero-junio de 2009 sobre software malicioso

Mayo de 2009
07.05. Un estudio de la multinacional de telecomunicaciones BT descubre que los discos
duros de ocasión, a menudo no se borran totalmente antes de su venta a terceros y
que, a veces, pueden contener datos sumamente confi denciales. Al realizar una prueba
de compra de 300 discos duros usados se encontró, entre otros datos, información
confi dencial sobre pruebas de un sistema de defensa de cohetes norteamericano, así
como fotocalco azul de la empresa de equipamiento norteamericana Lockheed Martin.
08.05. Según un informe de la autoridad de vigilancia aérea de los Estados Unidos, la FAA,
en los últimos años ha ocurrido varias veces la penetración de hackers en sistemas
de vigilancia aérea. Esta plaga abarca desde el acceso ilegal a casi 50.000 registros
de datos personales de empleados de la FAA hasta la posibilidad de desconectar la
alimentación eléctrica de importantes servidores.
09.05. Paquetes de instalación falsos de una supuesta versión de Windows 7 contienen un
troyano que se activa durante la confi guración.
24.05. La Policía Criminal Alemana advierte del envío de correos electrónicos falsifi cados en
su nombre que requieren al destinatario el pago de una multa debido a una supuesta
denuncia policial por descarga ilegal de películas, software y archivos MP3.

30.05. Mediante un informe de la revista InformationWeek se conoce que activistas turcos
han capturado varios servidores de Internet del Ejército de los Estados Unidos.
Los accesos a las páginas web en cuestión se desviaban a otras páginas web en las que
se encontraban consignas políticas.

Junio de 2009
03.06. Más de diez mil páginas web legítimas son víctimas de un ataque de hackers en
masa. Los visitantes de las páginas web manipuladas son reenviados a un servidor
ucraniano que distribuye exploits para Internet Explorer, Firefox y Quicktime.

Copyright © 2009 G Data Software AG 15
05.06. El proveedor de servicios de Internet californiano Pricewert LLC, que también actúa
bajo los alias de 3FN y APS Telecom es retirado de la red por presiones de las auto-
ridades de vigilancia comercial FTC. Además de alojar servidores de tipo Command
& Control para controlar más de 4500 programas espía, la empresa reclutaba presun-
tamente de forma activa a criminales y obstruía de forma selectiva la prosecución de
contenidos ilegales. A diferencia del importante cierre de McColo en noviembre de
2008, esta campaña sólo tendrá una repercusión mínima en el envío de spam y progra-
mas maliciosos.
09.06. Unos desconocidos se infiltran en los sistemas del servidor web británico VAserv y
manipulan o borran datos de más de 100.000 páginas web alojadas allí.
17.06. Aprox. 2,2 millones de URL del Servicio de Abreviaturas de URL cli.gs son manipuladas
y reenviadas a otro destino.
24.06. El pentágono crea un comando de ciberguerra por orden del Ministro de Defensa
de los Estados Unidos, capaz de hacer frente a ofensivas bélicas contra el entorno de
seguridad global.
25.06. La Fiscalía de Hannover abre sumario a la empresa que gestiona la página web mega-
downloads.net por fraude en masa a usuarios informáticos y congela durante el
proceso de investigación, entre otros, cuentas de empresa por valor de casi un millón
de euros. Según estimaciones de agencias del consumidor, al mes se estafaba a casi
20.000 usuarios mediante abonos fraudulentos.

16 Copyright © 2009 G Data Software AG
Go safe. Go safer. G Data.