Informe Virus actualizado a Noviembre del 2012

Sin comentarios

INFORME NOVIEMBRE. INFORME MENSUAL DE NOVIEMBRE 2012

ACTIVIDADES DE MALWARE EN HONEYNET
MUESTRAS CAPTURADAS
26/11/2012
Autor: Pedro Sánchez
Fuente: Bitdefender
INDICE
1.- OBJETIVOS
2.- HERRAMIENTAS UTILIZADAS
3.- MUESTRAS
3.1.- CANTIDAD DE ATAQUES RECIBIDOS Y SU PROCEDENCIA
3.2.- TOP DE FICHEROS CAPTURADOS
3.3.- INFECCIONES DE MALWARE POR CIUDADES
3.4.- SISTEMAS OPERATIVOS AFECTADOS Y VULNERADOS
3.5.- APLICACIONES AFECTADAS
3.6.- TIPOS DE MALWARE
3.7.- DOMINIOS MALICIOSOS
3.8.- MUESTRAS DE MALWARE
1.- OBJETIVOS
El objeto de este informe es disponer de una visión parcial del malware que afecta a los usuarios, aplicaciones y sistemas. Para ello se ha colocado un sensor en cientos de Universidades y empresas públicas y privadas con objeto de capturar una muestra y poder seguir las incidencias que se producen.
Actualmente se encuentran ubicados en las principales ciudades de España por lo que la muestra es solo parcial pero puede dar objetividad a como se propaga el malware y su origen. Podremos saber cuándo y cómo se produce una infección y que antivirus lo detectan.
2.- HERRAMIENTAS UTILIZADAS
Las herramientas utilizadas son los ‘sensores’, estos se integran dentro de una ‘honeynet’ que es una red trampa que simula redes y sistemas operativos con vulnerabilidades en los que el atacante se centra con objeto de infiltrase o infectar el sistema para tener el control. La HoneyNet manda toda la información ‘recolectada’ para posterior estudio.
Actualmente hay distribuidos 512 sensores con más de 1 millón de muestras que contienen malware y ataques.
3.- MUESTRAS
Las muestras son ficheros ejecutables y tráfico de red. Una vez es capturado por la HoneyNet se pasa un proceso de explotación de los datos que contiene el malware y se procede a su clasificación que se compone de:
· Cantidad de ataques recibidos y su procedencia
· TOP de Ficheros más utilizados
· Infecciones de malware por ciudades
· Sistemas operativos afectados
· Tipos de malware
· Detección más usual en las últimas 24 Horas
3.1.- CANTIDAD DE ATAQUES RECIBIDOS Y SU PROCEDENCIA
En el mes de Noviembre y al igual que el pasado mes se destaca que sigue habiendo ataques con origen en China y EEUU. En la muestra falta el puerto 22 que es de los más atacados por IPs de origen Chino.
Hasta el momento los ataques son automatizados y se ha encontrado malware especifico para servidores gubernamentales de EEUU.
ymant-informe-virus-ataques
3.2.- TOP DE FICHEROS CAPTURADOS
Eso es una muestra de los nombres de ficheros que se han capturado en las últimas 24 horas.
ymant-informe-virus-ficheros-capturados
El total de ficheros capturados en lo que llevamos de año es de 1.122.156.
3.3.- INFECCIONES DE MALWARE POR CIUDADES
Dado que los sensores se encuentran ubicados en las siguientes ciudades se procede a su clasificación ordenando de mayor a menor las muestra activos como malware 39.662
ymant-informe-virus-ciudades
3.4.- SISTEMAS OPERATIVOS AFECTADOS Y VULNERADOS
No es significativa está gráfica dado que los sensores disponen en su mayoría entorno operativo Windows. Lo que es destacable es que los pocos sensores con sistemas operativos basados en Linux y OSX están están afectados. Según lo que llevamos de año Mac OSX está teniendo un crecimiento. en cuanto a la predilección de los atacantes por esta plataforma.
ymant-informe-virus-sistemas-operativos-virus
3.5.- APLICACIONES AFECTADAS
En esta gráfica se aprecia las aplicaciones vulnerables puestas en los sensores a conciencia para que el atacante las explote. Se aprecia que mucho del malware y ataques son a través de Adobe acrobat y Java.
ymant-informe-virus-apps-vulnerables
3.6.- TIPOS DE MALWARE
De las muestras capturadas que utilizan mutación en memoria, cifrado de código, inicialización de puertos, cambios sustanciales en el registro, conexiones a redes Zombi, ISPs comprometidos y redes anónimas del tipo TOR.
ymant-informe-virus-tipo-virus
3.7.- DOMINIOS MALICIOSOS
De las muestras capturadas crean dominios personalizados que a su vez contienen malware
ymant-informe-virus-dominios
3.8.- MUESTRAS DE MALWARE
En la siguiente gráfica se aprecia el nivel de detección de soluciones antivirus de las muestras obtenidas en las últimas 24 horas.
ymant-informe-virus-lista-virus
YmantInforme Virus actualizado a Noviembre del 2012

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *