Aumenta un 600% el número de nuevos códigos maliciosos :ojo:
Trend Micro detectó 1.485 nuevos códigos maliciosos durante el mes de septiembre, una cifra que contrasta claramente respecto a los 250 detectados durante el mismo período de 2003.Del total de código detectados, los programas Troyanos representan el 61% (se incluyen las puertas traseras, que son fundamentalmente “Troyanos remotos”), mientras que los gusanos representan el 29%. Es de destacar el hecho de que el 79% (más de 400 ejemplares) de los gusanos que TrendLabs ha detectado en septiembre sean programas “robot”, lo que muestra la difusión de redes “zombi” controladas remotamente.

¿Qué ha motivado este aumento?
Existen diversos factores que podrían explicar este hecho. Es evidente el cambio de motivación en la creación de virus. Mientras que en el pasado los autores de virus buscaban sus “15 minutos de gloria”, actualmente hay pruebas de que su inspiración responde más a ganancias y recompensas monetarias. Ello queda ilustrado en el creciente numero de códigos maliciosos diseñados para crear redes “zombi”, que pueden darse en cualquier momento al mejor postor (véase más adelante), así como por los sucesivos lanzamientos de Troyanos capaces de robar información, como las variantes de TROJ_BANKER y TROJ_BANCOS, que intentan hacerse con información confidencial (datos bancarios, etc.) de los usuarios infectados. El hecho de que cada vez sea más fácil acceder a los códigos fuente de dichos códigos maliciosos constituye otro factor importante que ha motivado su multiplicación, ya que da vía libre a los hackers para crear nuevas variantes modificando el código antes de su liberación en la red. Este es el caso concreto de gusanos como Mydoom, Bagle y Lovgate.

Creciente frecuencia de programas diseñados para crear redes “zombi”
Como hemos mencionado anteriormente, TrendLabs ha detectado este mes 400 incidencias relacionadas con tales programas “robot”, en comparación con las 17 que se registraron durante el mismo periodo en 2003. Estos códigos maliciosos normalmente explotan las vulnerabilidades de la red y emplean los canales IRC (Internet Relay Chat) para realizar un ataque de acceso remoto al sistema comprometido. De esta manera, el atacante toma el control del sistema y lo usa para crear una red “zombi”, es decir, un grupo de sistemas de TI que puede utilizarse furtivamente con fines malintencionados, como lanzar ataques de denegación de servicio. Estas redes también pueden utilizarse para distribuir spam desde los ordenadores que componen estas redes sin que el usuario sea consciente de ello. El creciente número de programas “robot” viene a reflejar la difusión de redes “robot”. También podría afirmarse que representa un número, cada vez mayor, de hackers que se sienten atraídos por la idea de utilizar sistemas de control remoto.

El gusano Sasser continúa activo
Cuatro meses después de comenzar a ciruclar, el virus SASSER.B sigue encabezando la lista “Top 10” que ha elaborado TrendLabs en función de la frecuencia de infección. En septiembre de 2004, Sasser ha representado el 31% del número total de infecciones, proviniendo la mayoría de estos gusanos de la India. De aquí se deduce que aún existe un número elevado de sistemas sin parchear esta vulnerabilidad, a pesar de las reiteradas campañas lanzadas desde todos los sectores del mercado de la seguridad.

Resurgimiento de los gusanos BAGLE y MYDOOM
Durante el periodo comprendido entre el 25 de agosto y el 25 de septiembre de 2004, Trend Micro sólo declaró un brote de riesgo medio relacionado con el WORM_BAGLE.AI. Con posterioridad a la “guerra de virus” que tuvo lugar a principios de año, vimos nuevas variantes del gusano Bagle en julio y comienzos de agosto. Las ultimas variantes de este gusano muestran un método de propagación más complejo que el de sus predecesores, los cuales simplemente empleaban técnicas de los códigos maliciosos de envío masivo. Estas variantes de última aparición envían un componente que descarga un programa troyano y un componente en lenguaje HTML en un archivo zip, así como a través de recursos de red compartidos. Permaneciendo fiel a su “línea de destrucción”, las variantes más recientes de Bagle siguen eliminando cualquier rastro de las variantes de su rival Netsky.

MyDoom, que apareció por primera vez en enero de 2004, ha engendrado cinco nuevas variantes este mes, demostrando que aún se deja sentir su presencia.

Aparición del primer ‘virus JPEG’
El 14 de septiembre, Microsoft publicó su boletín sobre seguridad MS04-028, donde anunciaba una vulnerabilidad crítica que afectaba a la forma en la que ciertos componentes de Windows manejan los archivos JPEG que pueden permitir a un atacante ejecutar códigos arbitrarios en un sistema objetivo. Un hacker podría potencialmente inyectar código ejecutable que explote esta vulnerabilidad en un archivo JPEG, que se ejecutará automáticamente cuando el usuario abra el archivo o lo previsualice en un ordenador desprotegido. La ejecución automática de estos códigos puede dar al atacante los mismos privilegios de acceso a información en el equipo en cuestión que aquellos de los que disfruta el verdadero usuario.

La explotación remota de esta vulnerabilidad puede implicar páginas Web especialmente manipuladas que utilicen esta vulnerabilidad, mientras que un ataque a través de correo electrónico puede implicar el envío de un archivo adjunto JPEG modificado a usuarios objetivo. Otro posible vector de propagación es a través de recursos compartidos de red, donde se pueden situar copias de los archivos JPEG manipulados. El propio usuario puede desencadenar la infección simplemente al previsualizar los contenidos de esta carpeta, o al mover el cursor del ratón sobre el archivo JPEG.