El gusano Conficker empezó a propagarse en noviembre del año pasado aprovechando una vulnerabilidad crítica de Microsoft, ya corregida, y ha alcanzado rápidamente altos niveles de detección debido a la falta de actualización de los usuarios. Después empezaron a propagarse nuevas variantes con métodos de infección distintos, como el uso de recursos compartidos y de archivos autorun para dispositivos de almacenamiento extraíbles, entre otros.
La combinación de estas técnicas y la complejidad del gusano han llevado a Conficker a las primeras posiciones del ranking durante los últimos meses y a ser el malware más importante desde comienzos de 2009, según muestran los informes de incidencia de malware distribuidos por ESET en los últimos meses.
“La industria de la seguridad ha quedado sorprendida por la increíble repercusión que ha tenido Conficker, tanto a nivel mediático como a nivel técnico, con muchas infecciones”, comenta Fernando de la Cuadra, director de Educación de Ontinet.com. “Sin embargo, es paradójico que a pesar de aprovecharse de un problema tan antiguo haya podido continuar propagándose”, subraya.
 |
Durante el mes de marzo también aparecieron nuevas variantes del troyano Waledac. Este malware se difunde a través de correos electrónicos considerados spam que simulan ser noticias enviadas por la prestigiosa agencia de noticias Reuters sobre una explosión en diferentes ciudades del mundo. Este troyano había aparecido durante el mes de febrero en forma de postales falsas con motivo del día de los enamorados y ahora está utilizando este nuevo mensaje de ingeniería social para hacer que los usuarios vean un supuesto vídeo de la explosión, pero en realidad terminan descargando el malware.
“En su estrategia, los creadores de malware parecía que habían olvidado las fechas clave ante la propagación del malware por Internet, pero al haber ‘redescubierto’ la propagación por medios extraíbles, como las memorias USB, es necesario un tiempo de espera antes de la activación para poder darle tiempo al código a propagarse”, apunta De la Cuadra, que resalta que “es una curiosa vuelta al pasado que ha sorprendido bastante”.
Además, a finales de marzo apareció una nueva técnica de ataque que infectó por primera vez routers y módems con plataformas Linux, demostrando que hoy en día el espectro de plataformas y dispositivos que pueden ser infectados se sigue ampliando debido a la profesionalización de los creadores de malware.
El Ranking de propagación de malware de ESET en Marzo 2009
Win32/Conficker continúa en la primera posición del ranking. Su porcentaje total de detecciones es mayor al del mes pasado, y alcanza el 8,90%. La segunda posición la sigue ocupando Win32/PSW.OnlineGames con el 8,54%, mientras que INF/Autorun continúa en el tercer puesto con el 7,19% del total.
Win32/Agent continúa en el cuarto lugar con el 3,22% del total de detecciones. Se trata de una amplia familia de malware capaz de robar información del usuario de los equipos infectados. Para lograrlo, suele auto-copiarse en carpetas temporales y agregar claves de acceso que se refieren a este archivo o similares creados al azar en otras carpetas del sistema operativo, permitiendo así la ejecución del programa cada vez que se inicie el sistema.
WMA/TrojanDownloader.GetCodec.Gen asciende a la quinta posición sumando el 1,45% del total. Es un tipo de malware que transforma los archivos de audio encontrados en el equipo infectado al formato WMA, y les agrega un campo en el encabezado que incluye una dirección web que dirige al usuario a un nuevo codec que deberá ser descargado para poder leer el archivo.
“Ni los usuarios actualizados ni los usuarios con un buen sistema antivirus deberían haber sido víctimas de Conficker, lo que demuestra que todavía hay mucho que hacer para concienciar a los usuarios de la necesidad de la actualización”, recalca Fernando de la Cuadra. “Además, por supuesto, es necesario que los usuarios cuenten con un antivirus de calidad, que pueda probar su capacidad para eliminar virus”.
