¿Están reapareciendo los virus?
Por Tim Rains, director de Informática de confianza
En los seis o siete años que llevamos publicando el Informe de inteligencia de seguridad de Microsoft (SIR), he visto surgir muchas tendencias con el paso del tiempo. El panorama de amenaza cambia constantemente a medida que los atacantes intentan encontrar métodos que los ayuden a poner en peligro los sistemas que atacan. Durante varios años, los virus (infectores de archivos) parecieron estar en desuso por parte de los atacantes, ya que utilizaban otras categorías de amenazas para atacar sistemas.
Los virus simplemente no admitían el motivo de ganancia que muchos atacantes tenían de la misma manera en que lo hacían los descargadores y droppers de troyanos, los troyanos diversos, los ladrones de contraseñas y las herramientas de monitoreo. Los virus son amenazas diseñadas en una época antes de que la ubicua conectividad a Internet le facilitara a los Gusanos autopropagarse con éxito. Los gusanos como SQL Slammer y Blaster se propagaron en todo el mundo en cuestión de minutos. Probablemente, esto le tomaría muchísimo más tiempo a un infector de archivos anticuado, lo que limitaría su capacidad de infectar rápidamente un gran número de sistemas. Además, los virus suelen ser amenazas relativamente más "ruidosas", ya que normalmente tratan de infectar grandes cantidades de archivos (.exe, .dll, .scr) en los sistemas que ponen en peligro. Esta característica puede hacer más fácil su detección en comparación con otras amenazas combinadas.
Posteriormente, rara vez he visto la categoría de amenaza de virus que se encuentra en más del 5 % de los sistemas con detecciones globalmente. Ha habido excepciones como Corea, Rusia y Brasil, donde he visto niveles de virus similares alcanzar entre el 10 y el 15 %. Pero más recientemente, he notado que los virus parecen estar reapareciendo. Como se ve en la figura 1, el predominio relativo de los virus muestra una tendencia en aumento. El predominio mundial de la categoría de amenaza de virus era de un 7,8 % en el cuarto trimestre de 2012 (4Q12).
Figura 1: detecciones por categoría de amenaza, tercer trimestre de 2011 al cuarto trimestre de 2012 (3Q11–4Q12), por porcentaje de todas las computadoras que informan detecciones. Nota: los totales para cada periodo podrían superar el 100 %, ya que algunas computadoras informan más de una categoría de amenaza en cada periodo de tiempo
Figura 1
Entre las ubicaciones con altos niveles de virus se incluyen Paquistán (virus encontrados en el 44 % de los sistemas con detección), Indonesia (40 %), Etiopía (40 %), Bangladesh (38 %), Somalia (37 %), Egipto (36 %) y Afganistán (35 %). Si miramos esta lista de ubicaciones, parece que la mayoría de estos lugares no cuenta con los mismos niveles de conectividad o ancho de banda de Internet en comparación con ubicaciones en Norteamérica y Europa. Según el análisis publicado en la edición especial del Informe de inteligencia de seguridad de Microsoft: vinculación entre las políticas de seguridad y el rendimiento, vimos una correlación de -0,6 entre los índices de penetración de banda ancha e infección por malware regional. Si miramos los índices de suscripciones a banda ancha en 2011 (suscripciones a banda ancha por 100 habitantes) que utilizan datos de la Unión internacional de telecomunicaciones, podemos ver índices de penetración de banda ancha relativamente bajos en ubicaciones con niveles de virus relativamente altos: Bangladesh (0,31), Etiopía (0,01), Egipto (2,21) e Indonesia (1,13 %).
Aunque no tenemos datos completos para todas las ubicaciones mencionadas anteriormente, podemos ver que de un 30 a un 40 por ciento de las computadoras en algunas de estas ubicaciones no tiene un software antivirus en tiempo real actualizado, en comparación con el promedio mundial del 24 por ciento. Estas percepciones podrían ayudar a explicar por qué los virus son relativamente predominantes en estas ubicaciones, en comparación con otros lugares.
El virus más predominante detectado por Microsoft a nivel mundial es Win32/Sality, como se ve en la figura 2. En 2012, Microsoft detectó Sality en 8.204.434 computadoras en todo el mundo. Sality es una familia de infectores de archivos polimórficos que atacan archivos ejecutables con extensiones .scr o .exe y que pueden ejecutar una carga dañina que elimina archivos con determinadas extensiones y finaliza los procesos y servicios relacionados con seguridad. Su autor agregó a Sality la capacidad de aprovechar la vulnerabilidad de CVE-2010-2568 en sistemas que no tienen MS10-046 instalado. Esta es una de las vulnerabilidades que utilizó el gusano Stuxnet.
Sality es una de las cinco detecciones principales en Windows XP, como se ve en la figura 3. Sality no ha tenido tanto éxito en versiones más recientes de Windows.
Figura 2 (izquierda) y Figura 3 (derecha): el malware y las familias de software potencialmente no deseadas detectadas más comúnmente por las soluciones antimalware de Microsoft en el cuarto trimestre de 2012 (4Q12), y como se clasifican de acuerdo a predominio en distintas plataformas, según la publicación en el Volumen 14 del Informe de inteligencia de seguridad de Microsoft
Figura 2 Figura 3
El éxito de Sality demuestra que los infectores de archivos aún pueden tener éxito. A diferencia de los virus del pasado, los atacantes de hoy están intentando robar información, algunas veces encendiendo los micrófonos y las cámaras de las computadoras.
La buena noticia es que es relativamente fácil defenderse contra los virus.
1. Conozca a su enemigo: aprenda más sobre Sality, revise el blog del Centro de protección contra malware de Microsoft para obtener información sobre esta amenaza:
https://blogs.technet.com/b/mmpc/archive/2010/07/30/stuxnet-malicious-lnks-and-then-there-was-sality.aspx
2. Mantenga actualizado todo el software de su sistema con las actualizaciones de seguridad más recientes. Ejecute software más reciente cada vez que sea posible.
3. Ejecute un antivirus en tiempo real actualizado de algún proveedor que conozca y en quien confíe.
4. Evite transferir datos a través de medios extraíbles como unidades USB, a menos que deba hacerlo.