Informe Virus actualizado a Noviembre del 2012

INFORME NOVIEMBRE. INFORME MENSUAL DE NOVIEMBRE 2012

ACTIVIDADES DE MALWARE EN HONEYNET
MUESTRAS CAPTURADAS
26/11/2012
Autor: Pedro Sánchez
Fuente: Bitdefender
INDICE
1.- OBJETIVOS
2.- HERRAMIENTAS UTILIZADAS
3.- MUESTRAS
3.1.- CANTIDAD DE ATAQUES RECIBIDOS Y SU PROCEDENCIA
3.2.- TOP DE FICHEROS CAPTURADOS
3.3.- INFECCIONES DE MALWARE POR CIUDADES
3.4.- SISTEMAS OPERATIVOS AFECTADOS Y VULNERADOS
3.5.- APLICACIONES AFECTADAS
3.6.- TIPOS DE MALWARE
3.7.- DOMINIOS MALICIOSOS
3.8.- MUESTRAS DE MALWARE
1.- OBJETIVOS
El objeto de este informe es disponer de una visión parcial del malware que afecta a los usuarios, aplicaciones y sistemas. Para ello se ha colocado un sensor en cientos de Universidades y empresas públicas y privadas con objeto de capturar una muestra y poder seguir las incidencias que se producen.
Actualmente se encuentran ubicados en las principales ciudades de España por lo que la muestra es solo parcial pero puede dar objetividad a como se propaga el malware y su origen. Podremos saber cuándo y cómo se produce una infección y que antivirus lo detectan.
2.- HERRAMIENTAS UTILIZADAS
Las herramientas utilizadas son los ‘sensores’, estos se integran dentro de una ‘honeynet’ que es una red trampa que simula redes y sistemas operativos con vulnerabilidades en los que el atacante se centra con objeto de infiltrase o infectar el sistema para tener el control. La HoneyNet manda toda la información ‘recolectada’ para posterior estudio.
Actualmente hay distribuidos 512 sensores con más de 1 millón de muestras que contienen malware y ataques.
3.- MUESTRAS
Las muestras son ficheros ejecutables y tráfico de red. Una vez es capturado por la HoneyNet se pasa un proceso de explotación de los datos que contiene el malware y se procede a su clasificación que se compone de:
· Cantidad de ataques recibidos y su procedencia
· TOP de Ficheros más utilizados
· Infecciones de malware por ciudades
· Sistemas operativos afectados
· Tipos de malware
· Detección más usual en las últimas 24 Horas
3.1.- CANTIDAD DE ATAQUES RECIBIDOS Y SU PROCEDENCIA
En el mes de Noviembre y al igual que el pasado mes se destaca que sigue habiendo ataques con origen en China y EEUU. En la muestra falta el puerto 22 que es de los más atacados por IPs de origen Chino.
Hasta el momento los ataques son automatizados y se ha encontrado malware especifico para servidores gubernamentales de EEUU.
ymant-informe-virus-ataques
3.2.- TOP DE FICHEROS CAPTURADOS
Eso es una muestra de los nombres de ficheros que se han capturado en las últimas 24 horas.
ymant-informe-virus-ficheros-capturados
El total de ficheros capturados en lo que llevamos de año es de 1.122.156.
3.3.- INFECCIONES DE MALWARE POR CIUDADES
Dado que los sensores se encuentran ubicados en las siguientes ciudades se procede a su clasificación ordenando de mayor a menor las muestra activos como malware 39.662
ymant-informe-virus-ciudades
3.4.- SISTEMAS OPERATIVOS AFECTADOS Y VULNERADOS
No es significativa está gráfica dado que los sensores disponen en su mayoría entorno operativo Windows. Lo que es destacable es que los pocos sensores con sistemas operativos basados en Linux y OSX están están afectados. Según lo que llevamos de año Mac OSX está teniendo un crecimiento. en cuanto a la predilección de los atacantes por esta plataforma.
ymant-informe-virus-sistemas-operativos-virus
3.5.- APLICACIONES AFECTADAS
En esta gráfica se aprecia las aplicaciones vulnerables puestas en los sensores a conciencia para que el atacante las explote. Se aprecia que mucho del malware y ataques son a través de Adobe acrobat y Java.
ymant-informe-virus-apps-vulnerables
3.6.- TIPOS DE MALWARE
De las muestras capturadas que utilizan mutación en memoria, cifrado de código, inicialización de puertos, cambios sustanciales en el registro, conexiones a redes Zombi, ISPs comprometidos y redes anónimas del tipo TOR.
ymant-informe-virus-tipo-virus
3.7.- DOMINIOS MALICIOSOS
De las muestras capturadas crean dominios personalizados que a su vez contienen malware
ymant-informe-virus-dominios
3.8.- MUESTRAS DE MALWARE
En la siguiente gráfica se aprecia el nivel de detección de soluciones antivirus de las muestras obtenidas en las últimas 24 horas.
ymant-informe-virus-lista-virus

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

LLÁMANOS YA

HABLA CON UN EXPERTO

VALENCIA

HEADQUARTERS

C/ Guardia Civil 26, bajo izquierda
46020, Valencia, España.

BARCELONA

OFICINA COMERCIAL

Gran Vía Carles III, 84, Planta 3-4
08028 Barcelona

MADRID

OFICINA COMERCIAL

C/ Orense, 85 
28020 Madrid

TENERIFE

OFICINA COMERCIAL

C/ Radio Aficionados, nº 3, Edif. Universidad II. Portal 2, 5º C*
38320. La Laguna. Santa Cruz de Tenerife

¿Quieres ser un colaborador de YMANT en tu área? Contacta ahora