Las Caras Del Malware

Con todos los términos diferentes, definiciones y terminología, tratar de comprender que es cuando se trata de malware de computadoras puede ser difícil. Para empezar, consideremos algunos términos clave que serán usados a lo largo del artículo.
  • Malware: Es software malicioso (malicious software) que es desarrollado específicamente para infiltrarse o provocar daño a sistemas de computación sin conocimiento de sus propietarios o sin su permiso.
  • Malcode: Es código de programación malicioso (malicious programming code) que es introducido durante la estapa de desarrollo de una aplicación de software y al cual nos referimos como la carga útil del malware.
  • Anti-malware: Incluye a cualquier programa que combate al malware, ya sea protecciónen tiempo real o detección y eliminacion de malware existente. Las aplicaciones anti-virus, anti-spyware y los escáner de malware son ejemplos de anti-malware.

Algo importante para recordar respecto del malware es que tal como su contraparte biológica su objetivo numero uno es la reproducción. Causar daño a sistemas de computación, destruir datos, o robar información sensible son objetivos secundarios.

Teniendo en mente las definiciones anteriores, echemos un vistazo a 10 tipos diferentes de malware.

1: El infame virus de computadora

Un virus de computadora es malware que es capaz de infectar una computadora pero que debe depender de algun otro medio para propagarse. Un verdadero virus solo puede propagarse de la computadora infectada a una computadora no infectada adjuntando alguna forma de código ejecutable que sea pasado entre las dos computadoras. Por ejemplo, un virus podría estar oculto en un archivo PDF adjunto en un correo electrónico.

La mayoría de los virus consisten de las siguientes tres partes:

  • Replicador: Cuando el programa anfitrión es activado, tambien el virus lo hace y la primer prioridad del código viral es propagarse.
  • Ocultador: El virus de computadora puede usar uno o varios métodos para ocultarse del anti-malware.
  • Carga útil: La carga útil de malcode de un virus puede ser determinada a hacer cualquier cosa, desde desabilitar funciones del equipo hasta destruir información.

Algunos ejemplos de virus de computadora actuales en circulación son W32.Sens.A, W32.Sality.AM, y W32.Dizan.F. La mayoría del software anti-virus de calidad eliminará esos virus una vez que la aplicación tenga el archivo de firmas parael virus.

2: El siempre popular gusano de computadora

Los gusanos son más sofisticados que los virus, son capaces de replicarse sin la intervención del usuario. Si el malware usa redes (Internet) para propagarse es un gusano más que un virus. Los principales componentes de un gusano son:

  • Herramienta de penetración: El malcode que aprovecha las vulnerabilidades de la computadora de la víctima para conseguir acceso.
  • Instalador: La herramienta de penetración consigue que el gusano pase el mecanismo inicial de defensa. En ese punto el instalador se hace cargo y transfiere el cuerpo principal del malcode a la víctima.
  • Herramienta de descubrimiento: Una vez alojado, el gusaon usa distintos métodos para descubrir otras computadoras en la red, incluyendo direcciones de correo electrónico, lista de Anfitriones, y consultas DNS.
  • Escaner: El gusano una un escaner para determinar si alguno de los nuevos objetivos hallados son vulnerables a las explotaciones disponibles por su herramienta de penetración.
  • Carga útil: El malcode que reside en cada computadora de la víctima. Podría ser cualquier cosas desde una aplicación de acceso remoto hasta un lector de teclado para capturar los nombres de usuario y contraseñas.

Esta categoría de malware dedafortunadamente es la más prolífica, empezando con el gusano Morris en 1988 y continuando hoy con el gusano Conficker. La mayoría de los gusanos se pueden remover con escaneres de malware como MBAM o GMER.

3: La puerta trasera desconocida

Las puertas traseras son similares a los programas de acceso remoto que muchos de nosotros usamos todo el tiempo. Son considerados malware cuando son instalados sin permiso, que es exactamente lo que un atacante desea hacer, utilizando los siguientes métodos:

One installation method used is to exploit vulnerabilities on the target computer.
  • Un método de instlación es explotar las vulnerabilidades en la computadora objetivo.
  • Otro enfoque es engañar al usuario a instalar la puerta trasera mediante ingeniería social.

Una vez instalado, las puertas traseras permiten a los atacantes completarel acceso remoto de la computadora bajo ataque. SubSeven, NetBus, Deep Throat, Back Orifice, y Bionet son puertas traseras que ganaron notoriedad. Los escaneres de malware como MBAM y GMER son a menudo exitosos eliminando puertas traseras.

4: El sigiloso caballo de troya

Es difícil conseguir una mejor definición de malware caballo de troya que la que Ed Skoudis y Lenny Zelter hicieron en su libro Malware: Combatiendo el Código Malicioso:

“Un caballo de troya es un programa que parece tener un propósito útil o benigno, pero que en realidad enmascara alguna oculta funcionalidad maliciosa.”

El maware troyano encubre la carga destructiva durante la instalación y la ejecución del programa, impidiendo al anti-malware que reconozca el malcode. Algunas de las técnicas de ocultamiento incluyen:

  • Renombrar el malware para que se parezca a archivos que normalmente están presentes.
  • Corromper el anti-malware instalado para que no responda cuando se localice malware.
  • Código polimórfico es usado para alterar la firma del malware más rapidamente que los que el software defensivo pueda obtener nuevos archivos de firmas.

Vundo es un buen ejemplo; crea ventanas emergentes de publicidad de falsos programas anti-spyware, degrada el rendimiento del sistema e intefiere con la navegación Web. Tipicamente, se requiere un escáner de malware instalado en un LiveCD para detectarlo y eliminarlo.

5: Adware/Spyware, más que una molestia

El adware es un software que mensajes emergentes de publicidad sin permiso del usuario. Tipicamente la forma en que el adware queda instalado es por formar parte integrante de un programa gratuito. Más allpa de resultar muy irritante, el adware puede disminuir notoriamente el rendimiento del equipo.

El spyware es un tipo de programa que recolecta información de su computadora sin su conocimiento. Los programas gratuitos son muy conocidos por tener spyware cargado, de modo que leer el acuerdo de uso es muy importante. El escándalo de protección de copia de CD de Sony BMG es probablemente el ejemplo más notorio de spyware.

La mayoria de los programas anti-spyware de calidad encontrarán rápidamente adware/spyware no deseado y lo quitarán de la computadora. Tampoco es mala idea eliminar regularmente los archivos temporales, los cookies, y el historial de navegación del navegador como una forma de mantenimiento preventivo.

Guiso de Malware

Hasta ahora, todo el malware que he discutido tiene características distintivas, haciendo a cada tipo sencillo de definir. Desafortunadamente, no es el caso con las próximas categorias. Los desarrolladores de malware se las han arreglado para combinar las mejores características de diferentes tipos de malware en un intento por mejorar su tasa de éxito.

Los rootkits son un ejemplo de eso, integran un troyano y una puerta trasera en un solo paquete. Cuando son usados de forma combinada, un atacante consigue acceso a una computadora de forma remota y lo hace sin levantar sospechas. Los rootkits son una de las más importantes amenazas combinadas, de modo que demos una mirada en detalle a estos.

Rootkits: Únicos y diferentes

Los rootkits son una clase en si mismos, eligiendo modificar el sistema operativo existente en lugar de agregar software a nivel aplicación como la mayoría del malware. Esto es importante, porque hace que la detección por parte del anti-malware sea mucho más difícil.

Hay varias tipos distintos de rootkits, pero tres componen la vasta mayoría de los que se ven. Estos son los de modo-usuario, los de modo-kernel, y los rootkits de firmware. Los de modo-usuario y los de modo-kernel pueden requerir alguna explicación:

  • Modo usuario: El código tiene acceso restringido a los recursos de software y de hardware de la computadora. La mayoría del código ejecutandose en su computadora se ejecutará en modo usuario. Debido al acceso restringido, las caidas en modo usuarios son recuperables.
  • Modo Kernel: El código tiene acceso irrestricto a todos los recursos de software y de hardware en la computadora. El modo kernel generalmente se reserva para las funciones más confiables del sistema operativo. Las caídas en modo kernel resulta irrecuperables.

6: Rootkits modo-usuario

Ahora se comprende que los rootkits de modo-usuario corren en la computadora con los mismo privilegios que son reservados para los adminisatradores.. Esto implica que:

  • Los rootkits de modo usuario pueden alterar procesos, archivos, drivers de sistema, puertos de red e incluso servicios del sistema.
  • Los rootkits de modo usuario permanecen instalados copiando lmás os archivos necesarios en el disco de la compuadora, y lanzándose automaticamente con cada inicio del sistema.

Hacker Defender es un ejemplo de un rootkit de modo-usuario y afortunadamente la bien conocida aplicación Rootkit Revealer de Mark Russinovich es capaz de detectarlo así como a la mayoría de los rootkits de modo-usuario.

7: Rootkits modo-kernel

Debido a que los rootkits que funcionan en modo-usuario pueden ser hallados y eliminados, los diseñadores de los rootkits cambiaron de idea y desarrollaron los rootkits modo-kernel:

  • El modo-kernel implica que el rootkit es instalado al mismo nivel que esl sistema operativo y el software de detección de rootkits.
  • Esto permite al rootkit manipular el sistema operativo hasta un punto en el cual el sistema operativo deja de ser confiable.

La inestabilidad es es la principal ruina de los rootkits de modo-kernel, típicamente llevando a caidas inexplicables o pantallas azules. En este punto, podría ser una buena idea probar GMER. Es uno de los pocas herramientas confiables para eliminar que tiene alguna oportunidad contra los rootkits modo-kernel tales como Rustock.

8: Rootkits de firmware

Los rootkits de firmware son el paso siguiente en sofisticación, con desarrolladores de rootkits buscando como almacenar el malcode del rootkit en el firmware. El firmware alterado puede ser cualquiera desde código de microprocesador hasta el firmware de una placa de expansión PCI. Esto significa que:

  • Cuando se apaga la computadora el rootkit graba el malcode actual al firmware especificado.
  • Al reiniciar la computadora el rootkit se reinstala por si mismo.

Incluso si un programa de limpieza encuentra y elimina el rootkit de firmware, la próxima vez que se inicia la computadora, el rootkit de firmware está funcionando neuvamente.

9: Código malicioso móvil

Con relativo anonimato, el código malicioso móvil rápidamente se está volviendo el la forma más efectiva de conseguir que el malware se instale en una computadora. Primero, definamos el código móvil como un software que es:

  • Obtenido de servidores remotos.
  • Transferido por la red..
  • Descargado y ejecutado en un sistema local.

Ejemplos de código móvil incluyen JavaScript, VBScript, controles ActiveX controls, y animaciones Flash. La idea primaria tras el código móvil es el contenido activo, el cual es fácil de reconocer. Es el contenido de las páginas dinámicas que hacen de la navegación Web una experiencia interactiva.

¿Qué hace malicioso al código móvil? Instalarlo sin permiso del propietario o engañar al usuario sobre lo que hace el software. Para peor, usualmente es el primer paso de un ataque combinado, similar a la herramienta de penetración usada por el malware troyano. Después de lo cual el atacante puede instalar malware adicional.

La mejor forma de ombatir el código móvil malicioso es asegurarse que el sistema operativo y todo el software adicional esté actualizado.

10: Amenazas combinadas

El malware es considerado una amenaza combinada cuando busca maximizar el daño y propagarse eficientemente mediante la combinación de varias piezas de malcode de un solo popósito. Dicho esto, las amenazas combinadas merecen una mención especial en tanto los expertos de seguridad admiten de mala gana que son los mejores en lo que hacen. Una amenaza combinada típica incluye las siguientes capacidades:

  • Explotar varias vulnerabilidades conocidas o incluso crear vulnerabillidades.
  • Incorporar métodos alternativos de replicación.
  • Automatizar la ejecución de código, lo cual elimina la interacción del usuario.

El malware de amenaza combinada por ejemplo puede enviar un correo electrónico HTML conteniendo un caballo de troya incrustado junto con un adjunto PDF que contiene otro troyano diferente. Algunas de las más famosos amenazas combinadas son Nimda, CodeRed, y Bugbear. Eliminar una amenaza combinada de una computadora puede requerir varias piezas diferentes de anti-malware asi como también el uso de escáneres de malware instaados en un LiveCD.

Consideraciones finales

Malware: ¿es posible incluso reducir el efectodañino que causa? Aquí hay algunos pensamientos finales sobre el tema:

  • El malware no se va a irse en el corto plazo. Especialmente cuando se vuelve evidente que se puede hacer dinero, mucho dinero con su uso.
  • Debido a que todas las aplicaciones anti-malware son reactivas, están destinadas a a fallar.
  • Los desarrolladores que crean software de sistema operativo y de aplicación deben tener una tolerancia cero hacia las vulnerabilididades.
  • Todo aquel que use computadora necesita tomar más propiedad en aprender como reaccionar al siempre cambiante entorno del malware.
  • No es posible enfatizarlo lo suficiente, por favor asegúrese de mantener actualizado el sistema operativo y las aplicaciones.

La información de esta nota tambien está para descargar como una presentación de Power Point que puede usar para capacitar a su personal de TI y a los usuarios. Descargue “10 Faces of Computer Malware” del directorio de TechRepublic.


Autor: Michael Kassner
Fuente: IT Security - TechRepublic

0 comentarios: