La empresa de antivirus y seguridad informática Kaspersky Lab reveló una lista de las mayores amenazas sufridas en la red de redes, en la que lideraron las descargas drive-by. En los últimos dos meses ha aumentado considerablemente la cantidad de programas maliciosos de la familia Trojan-Downloader.Java.OpenConnection. Y noviembre es un claro ejemplo de ello, donde la mayor amenaza para los usuarios fueron las descargas drive-by.
Durante estos ataques el ordenador se puede infectar aún si visita webs legítimas. Estos programas cumplen las mismas funciones que los exploits, pero en vez de usar las vulnerabilidades para descargar programas maliciosos, recurren al método “OpenConnection” de la clase URL.
Al principio el usuario llega a un sitio o recurso legítimo en el que los delincuentes han puesto un script que remite a otra página. (Un ejemplo es uno de los más famosos script-redirectores de los últimos tiempos Trojan-Downloader.JS.Pegel). Con ayuda del redirector se remite al ordenador del usuario a un script-cargador, que a su vez empieza a descargar exploits.
Por lo general los exploits cargan y ejecutan en el ordenador del usuario un fichero ejecutable que la mayor parte de los casos es un backdoor.
Distribución geográfica de las detecciones: El mayor riesgo de infección por Trojan-Downloader.JS.Agent.frs afectó a los usuarios de Rusia, EEUU, Francia e Inglaterra. Aquí se pudo detectar también tres redirectores y un script descargador que se usan en las descargas drive-by.
Redirectores y scripts descargadores: Toda la cadena de las descargas drive-by empieza con un redirector. Entre los redirectores que lideran en Internet están Trojan.HTML.IFrame.dl (quinto puesto), Trojan.JS.IFrame.pg (décimo puesto), Trojan.JS.Redirector.lc (vigésimo puesto), Trojan.JS.Redirector.np (vigésimo quinto puesto), Trojan-Downloader.JS.Iframe.bzn (vigésimo noveno puesto).
El segundo puesto entre los programas maliciosos detectados en Internet lo ocupa el script descargador Trojan-Downloader.JS.Agent.frs. Si el usuario llega a un sitio que tiene un redirector que lo remite a Trojan-Downloader.JS.Agent.frs, éste trata de usar los exploits para las vulnerabilidades en Java, PDF y JavaScript para descargar en su ordenador backdoors tan peligrosos como Backdoor.Win32.Shiz y Backdoor.Win32.Blakken (Black Energy 2).
Los exploits PDF: En noviembre también se detectaron exploits que usan las vulnerabilidades de los documentos PDF. Como regla, están escritos en JavaScript. Según el número de descargas únicas, las amenazas Exploit.JS.Pdfka.cyk y Exploit.JS.Pdfka.cyy ocuparon los puestos 24 y 28 respectivamente. Sin embargo la tendencia muestra que la cantidad de exploits PDF se va reduciendo: en los últimos seis meses nuestro antivirus ha detectado casi tres veces menos programas maliciosos de la familia Pdfka.
Dinámica de las detecciones de programas de la familia Exploit.JS.Pdfka: octubre-noviembre: Lo más probable es que esto se deba a que Adobe está tomando medidas para cerrar las brechas en sus productos. Así, en noviembre salió Adobe Reader X, que contiene un SandBox que permite hacer frente a los exploits.
TOP 20 de programas maliciosos en Internet: Posición Cambios en la posición Programa malicioso Números de usuarios
1 New Trojan-Downloader.Java.OpenConnection.bu 167617
2 New Trojan-Downloader.JS.Agent.frs 73210
3 1 Exploit.Java.CVE-2010-0886.a 68534
4 New Trojan.HTML.Iframe.dl 56075
5 1 Trojan.JS.Agent.bhr 46344
6 -3 Exploit.JS.Agent.bab 42489
7 6 Trojan.JS.Agent.bmx 40181
8 New Trojan.HTML.Agent.di 35464
9 29 Trojan.JS.Iframe.pg 28385
10 74 Trojan.JS.Redirector.nz 26203
11 9 Trojan.JS.Popupper.aw 25770
12 New Trojan-Downloader.Java.Agent.il 23048
13 -2 AdWare.Win32.FunWeb.q 22922
14 11 Trojan-Downloader.Win32.Zlob.aces 22443
15 3 AdWare.Win32.FunWeb.ci 19557
16 -1 Exploit.JS.CVE-2010-0806.b 19487
17 -3 Exploit.JS.CVE-2010-0806.i 18213
18 9 Exploit.SWF.Agent.du 17649
19 -3 Trojan.JS.Redirector.lc 16645
20 -10 Trojan-Downloader.Java.Agent.hx 16242
?