Home  Noticias Sourcefire publica estudio de droppers malignos más comunes en el mundo
21 feb 12.- Sourcefire realizó un estudio para detectar los droppers más concurrentes que se presentaron alrededor del mundo en 2011.
 La palabra dropper se refiere al programa de origen por el cual se crea un malware que infecta un sistema informático; pueden ser programas legítimos, utilizar nombres de aplicaciones de Windows o estar adjuntos a estas aplicaciones. Por ejemplo, si alguien descarga un archivo maligno por Firefox, entonces este buscador es el dropper.
En el análisis realizado por Sourcefire, la medida para definir la popularidad de los droppers se definió de acuerdo con el número de eventos detectados con un malware específico. A partir de este principio, se segmentó el estudio en dos fases. En la primera se evitó ver el archivo de información, es decir, no se hizo distinción entre las diferentes versiones de Internet Explorer. Esto con el objetivo de identificar el mayor nivel de tendencias en aplicaciones. Mientras que en la segunda fase se elaboró un informe detallado de los números de cada versión.
México
● El dropper más popular en México es explorer.exe (Windows Explorer) – una aplicación en el que muchas muestras de malware se adjuntan a él sin excepción de alguna versión. Sin embargo la más popular es Explorer 6.1.7600.16450.
● Los navegadores más populares que arrojan malware (en orden de las instancias de malware vistas desde el navegador) son Chrome, Internet Explorer, y Firefox. La versión de Chrome que arroja la mayor cantidad de malware en México es 16.0.912.63.
● Dropbox se muestra entre los 20 droppers en México pero ocupa la posición 19 en la lista, sugiriendo que es una fuente común de infecciones pero no tan común como en EUA.
● WinRAR es el noveno en la lista.
A continuación se muestran los resultados obtenidos, segmentados por país, en el estudio realizado por Sourcefire.
Estados Unidos
● El dropper más popular es winlogon.exe
● Los navegadores más populares que arrojan malware, por orden descendiente, son Internet Explorer, Chrome, y Firefox. La versión de Internet Explorer asociada con un mayor número de descargas con malware es 9.0.8112.16421.
● El cuarto dropper más popular es Dropbox.exe (versión 1.0.0.1), lo que significa que las carpetas de Dropbox hay presencia de malware en grandes cantidades.
En este programa parece ser que la gente tiene un número de generadores clave y herramientas similares en sus carpetas de Dropbox.
● El séptimo dropper más popular es MaxSync.exe (versión 5.0), el cual está asociado con Maxtor Hard Drives. Con este software los sistemas se infectan y por consecuencia también es infectada la memoria de respaldo. Esto con el propósito de que cada vez que sincronicen su equipo, el malware encuentra su rumbo de vuelta al sistema.
Australia
● El dropper más común en Australia es explorer.exe, seguido por chrome.exe con la versión 16.0.912.63, y en tercer lugar Firefox. Otro dropper común es
Praetorians.exe, nombre que coincide con un popular juego popular. Este dato sugiere que los usuarios descargan e instalan el software pero en sí es una copia pirata del mismo juego, pero es en realidad arroja droppers malware a su sistema.
Brasil
● El droper más común es explorer.exe, seguido por “Ev~NeN^e.eXe”. Este último representa un nombre asociado con una pieza de malware común; en este caso específico se encuentra el virus Sality, el cual es la amenaza más comúnmente vista en los países de habla no hispana.
● Incluso cuando se informan números de versiones, explorer.exe (versión 6.0.2900.5512) continúa siendo el dropper más popular.
● El orden de los navegadores como droppers es exactamente lo opuesto a lo que típicamente se ve: Firefox es el dropper más popular entre los navegadores, seguido por Chrome, y luego Internet Explorer. Cuando se informa por números de versiones entre los navegadores, Firefox versión 3.6.23.0, arroja el mayor número de malware.
● El tercer dropper más común es reader_sl.exe, el cual está asociado con Adobe Reader, lo que significa que muchos equipos en Brasil están siendo infectados vía PDF y otras amenazas de vectores PDF. Incluso puede tratarse de versiones no auténticas de Adobe Reader.
● El quinto dropper en Brasil es uTorrent.exe (versión 2.2.1.25302), el cual representa una aplicación común de BitTorrent. La presencia de este dropper sugiere que la gente está siendo infectada al descargar Torrents maliciosos, es probable que se realice bajo el engaño de software pirata, música, películas, etc.
China
● Chrome.exe el dropper más popular en China. Esta tendencia continúa así incluso si se cuenta por números de versiones; la versión Chrome 16.0.912.4 es el dropper más común.
● Los navegadores más populares que arrojan un mayor número de malware son Chrome, Internet Explorer, y Firefox, estos dos últimos con un número mucho menor.
● El Segundo dropper más popular en China es WinRAR versión 3.93.0.0, indicando que es una forma especialmente popular en China para descargar malware.
Francia
● El dropper más común es service.exe, quizás un intento de los atacantes para parecer como una aplicación común de Windows services.exe. Seguido por EmangEloh.exe, un nombre asociado con un conocido malware.
● Ninguno de los nombres de estos droppers importantes en Francia coinciden exactamente con los nombres de aplicaciones populares siendo esto poco común.
● En Francia, Chrome arroja mayor malware seguido por Firefox y luego por Internet Explorer. La versión Chrome 16.0.912.63 arroja el mayor número de malware entre los navegadores.
Alemania
● El dropper más común es explorer.exe (Windows explorer), seguido por Uninstall.exe. En este caso en particular, Uninstall.exe está asociado con la amenaza W32.nsis, la cual es una amenaza de descarga común. El tercer dropper más común es WinRAR.exe, el cual se utiliza para comprimir archivos, lo que significa que el malware comprimido es muy común en Alemania.
● Cuando se informa sobre los números de versiones, explorer.exe permanece en la cima con la versión 6.0.6001.18164.
● En términos de batallas entre navegadores, Chrome es el dropper más popular seguido por Firefox e Internet Explorer. Esto es sorprendente ya que en otros países, Internet Explorer es el dropper de malware más común, en parte por su prevalencia. Cuando se informa por número de versiones, la versión 9.0.1.0 de Firefox es el dropper más común entre los navegadores de web.
India
● utility.exe es el dropper de malware más común en India. Esto continua siendo así incluso cuando se cuenta por número de versiones (versión 6.0.6001.18164).
● Los navegadores más populares que arrojan malware, en orden de número de instancias de malware vistas desde los navegadores, son Internet Explorer, Chrome, y Firefox. La versión de Internet Explorer que arroja más malware es 8.0.7600.16385.
Indonesia
● jusched.exe es el dropper más popular. Esto continua siendo así incluso cuando se cuenta por número de versiones. En este caso, la amenaza asociada con jusched es W32.Sality, la cual es una de las amenazas más común que vemos en países de habla no inglesa.
● Los navegadores más populares que arrojan malware, en orden de número de instancias de malware vistas desde los navegadores, son Internet Explorer, Firefox, y Chrome. La versión de Internet Explorer que arroja más malware en Indonesia es 8.0.7600.16766.
Japón
● Explorer.exe es el dropper más popular. Esta tendencia continúa así incluso cuando se informa por número de versiones, siendo la versión 6.1.7601.17567 la más popular.
● Los navegadores más populares que arrojan malware son Chrome, Firefox, e Internet Explorer. La versión de Chrome asociada con el mayor malware arrojado es 15.0.874.121.
Malasia
● El dropper más común en Malasia es iexplore.exe, representante de Internet Explorer.
● Los navegadores más populares que arrojan malware son Internet Explorer, Chrome, y Firefox. La versión del Internet Explorer que resulta con mayor número de infecciones es 9.0.7930.16406.
● El segundo dropper más común tiene el nombre de GoogleleUpdate.exe. La amenaza actual asociada con este dropper se conoce como Sality.
Emiratos Árabes Unidos
● El dropper más común es NMIndexStoreSvr.exe, incluso siguiendo el número de versión con 3.3.4.0.
● Firevod es el dropper más popular entre los navegadores, seguido por Chrome e Internet Explorer. La versión de Firefox asociada con el arrojo de mayor número de malware es 8.0.1.0.
● El quinto 5 dropper es Ymsgr_tray.exe versión 11.0.0.2014, la cual está asociada con Yahoo! Instant Messenger. Este resultado sugiere que los usuarios en Emiratos Árabes Unidos usualmente se infectan vía software de mensajes instantáneos. Una de las infecciones más comunes asociadas con Yahoo Messenger en EAU es la amenaza Mazben Mazben.
Gran Bretaña
● regsvc.exe, nombre de programa asociado con un servicio que permite accesar a Windows desde una locación remota, es el dropper más popular en Gran Bretaña. Después le sigue explorer.exe con las versiones 6.0.2900.5512 y 6.1.7601.17567.
● Los navegadores más populares con problemas de descarga de malware son Internet Explorer, Chrome, y Firefox. La versión 8.0.6001.18702 de Internet Explorer tiene el mayor número de malware en el Reino Unido.
● El quinto dropper más popular es Dropbox.exe, sugiriendo que la gente tiene malware en sus carpetas de Dropbox. Se encontró mayor número de instancias de Dropbox como un dropper en GB que en otros navegadores.
“La conclusión del análisis realizado por Sourcefire, es que las empresas mexicanas continúan siendo atacadas por amenazas cada día más sofisticadas y personalizadas. Por lo tanto, se requiere una solución capaz de reconocer estas diferencias. Lo más importante es que cuente con la habilidad de reconocer, en tiempo real, el cómo y dónde entró el código malicioso, hacía donde se dirigió y finalmente dar a los administradores de seguridad la habilidad de remediar y limpiar este código malicioso de las redes de manera inmediata y automática. Como respuesta, Sourcefire desarrolló una solución de ciberseguridad (FireAMP) capaz de contrarrestar estas amenaza y que este nuevo lanzamiento presenta la más avanzado en cuanto a ciberseguridad se refiere” comentó Arturo Barquin, Director de Ventas para Sourcefire Mexico.
Artículos nuevos:
Artículos antiguos:
|
|
|
|
| Últimas Noticias |
|
| Lo más leído |
|
|
|
