miércoles, octubre 19, 2011

Categorías de malware

Sinopsis
Cuando hablamos de virus, gusanos y caballos troyanos, normalmente nos referimos a software que tiene un efecto dañino. El término general normalmente aceptado para estos programas nocivos es "malware" (de "malicioso" + "software"). El concepto de "malware" incluye todos los programas diseñados para causar daños cambiando o borrando datos electrónicos o haciéndolos accesibles a terceros de modo ilícito. El malware tiene siempre una función dañina (en inglés, payload) y causa distintos efectos que abarcan desde advertencias inofensivas sobre la presencia del programa hasta el espionaje de datos personales o, en el peor de los casos, la eliminación de todo el disco duro. El malware se puede dividir en tres grupos: troyanos, gusanos y virus. Los programas espía (spyware) y los marcadores (dialer) 0190 se asignan a la clase de los troyanos. En un sentido más amplio también se incluyen los hoaxes.
Troyanos

Los troyanos —cuya denominación correcta sería en realidad “caballos de Troya”— se distinguen de los gusanos y virus en que no se reproducen por sí mismos. Siguiendo el ejemplo de su referente histórico, el "caballo de Troya" es un programa que aparenta estar ejecutando una función específica requerida por el usuario. Sin embargo, los troyanos también contienen un código de programa oculto que abre una "puerta trasera" (backdoor) al ordenador infectado, lo que garantiza acceso prácticamente ilimitado al sistema infectado sin el conocimiento del usuario.
Los métodos de los troyanos para esconderse son prácticamente ilimitados. Pueden ocultarse en líneas de comando para administradores de sistemas UNIX, como passwd, ps o netstat (simples rootkits), o aparecer como troyanos de acceso remoto (conocidos como RATs o, también, puertas traseras). Estos pérfidos programas también se envían por correo electrónico en forma de salvapantallas o juegos. Basta con iniciarlos una vez y el parásito infecta el sistema.
Características comunes de los virus y gusanos
Los virus y los gusanos están formados por los siguientes componentes:

Componente de duplicación

Esta parte del programa se encarga de reproducir el virus y la contienen obligatoriamente todos los virus y gusanos. La infección se puede extender mediante disquetes (y otros medios intercambiables), carpetas de acceso compartido, escáners de redes, redes peer-to-peer o por correo electrónico. Los programas maliciosos utilizan diversos puntos de ataque que, en algunos casos, sólo funcionan con combinaciones concretas de hardware, software y sistema operativo.

Componente de detección

El componente de detección explora un sistema para comprobar si está infectado con ese virus. Cada programa anfitrión se infecta sólo una vez para acelerar la propagación del virus y mantenerlo a salvo de ser detectado.
Componente dañino
Las funciones nocivas (en inglés, payloads) que acompañan a los virus y los gusanos se pueden dividir en los siguientes grupos:
  • Los piratas utilizan programas puertas traseras para obtener acceso al ordenador y a los datos y, de este modo, poder manipularlos o lanzar ataques de denegación de servicio.
  • Los datos del usuario pueden ser manipulados. La adulteración puede consistir en avisos, anuncios y sonidos (más o menos graciosos), hasta llegar a la eliminación de archivos y unidades de disco.
  • Se puede impedir el acceso a los datos encriptándolos, por ejemplo.
  • También se puede espiar la información del usuario y enviarla a terceros. Estos ataques tienen como objetivo las contraseñas, números de tarjetas de crédito, nombres de usuario y otros datos personales y secretos corporativos.
  • Con frecuencia, los ordenadores infectados se utilizan ilícitamente para ataques de denegación de servicio (Denial of Service, DoS). Los ataques DoS tienen como objetivo sobrecargar un servicio o una página Web mediante una enorme cantidad de consultas. Si los ataques provienen de una sola fuente, es muy fácil rechazarlos. En los ataques de denegación de servicio repartida (Distributed Denial of Service, DDoS) se utilizan los ordenadores infectados para apoyar estos ataques. El objetivo de los ataques de DoS y DDoS puede ser provocar la caída del sistema afectado, sobrecargar la banda ancha y la memoria o imposibilitar que los usuarios puedan encontrar el servicio en la red.

Pero también puede faltar una parte dañina explícita. Aun así, el desperdicio de tiempo de cálculo, el ancho de banda necesario y la mayor capacidad de memoria requerida suponen de todas maneras una función dañina (payload).
Componente condicional
Tanto la propagación como la función dañina pueden programarse haciéndolas depender de condiciones.
  • Lo más sencillo es que el código malicioso se inicie automáticamente sin que la víctima lo perciba.
  • En algunos casos es la víctima quien debe iniciar la función nociva, lo que puede ocurrir al acceder a un programa infectado, abrir un adjunto a un correo electrónico o incluso mediante phishing de datos personales.
  • El inicio del código malicioso también puede estar asociado a condiciones como, por ejemplo, en el caso de virus que actúan en una fecha determinada o tras cierto número de accesos. La ejecución puede también depender de que el ordenador tenga instalados ciertos programas.

Componente de camuflaje
Los gusanos, troyanos y virus intentan evitar ser descubiertos por el usuario y sus herramientas de detección de virus. Para lograr este objetivo utilizan una serie de mecanismos.
  • Reconocen, por ejemplo, cuándo están activos los depuradores o se protegen mediante líneas de código (ensamblado) superfluas y confusas.
  • Ocultan los indicios de una infección mediante, por ejemplo, mensajes de estado o entradas de registro falsificadas. Así por ejemplo, un virus residente en memoria puede engañar al sistema haciéndole creer que la memoria que ocupa el virus procede del programa que ha eliminado antes. Este procedimiento se conoce sobre todo de los rootkits.
  • Para evitar ser descubiertos, algunos virus se encriptan a sí mismos y/o a su código dañino. A la hora de descodificarse, los virus pueden utilizar siempre los mismos códigos, pueden obtener los códigos de una lista (virus oligomórficos) o pueden generar un número infinito de códigos nuevos (virus polimórficos).
  • Los compresores de tiempo de ejecución reestructuran los archivos ejecutables de tal modo que sólo son reconocibles mediante las nuevas firmas de virus.

Gusanos
Un gusano, al contrario que un virus, no se acopla a ningún archivo ejecutable. Se difunde utilizando las redes o enlaces entre ordenadores para contagiar otros sistemas.
Gusanos de red

En ordenadores en red seleccionados al azar se escanean varios puertos y, si se puede realizar un ataque, se utilizan puntos vulnerables de los protocolos (p. ej., IIS) o su implementación para extender el gusano. Entre los ejemplos más conocidos de esta clase están "Lovsan/Blaster" y "CodeRed".
Sasser explota un error de desbordamiento del búfer en el Local Security Authority Subsystem Service (LSASS, Servicio de subsistema para autorización de seguridad local) e infecta los ordenadores cuando se conectan a Internet.
Gusanos de correo electrónico
Un gusano que se extiende por correo electrónico puede utilizar los programas de correo disponibles (p. ej., Outlook o Outlook Express) o puede incluso tener su propio motor de correo SMTP. Los gusanos, además de incrementar el tráfico en la red y sobrecargar los recursos del sistema, pueden tener también otras funciones dañinas. Integrantes destacados de este grupo son los gusanos Beagle y Sober.
Gusanos peer-to-peer
Los gusanos P2P se copian en los accesos compartidos de las plataformas de intercambio peer to peer como Emule, Kazaa etc. Aquí esperan y atraen a sus víctimas con tentadores nombres de archivo de software actual o de personas famosas.
Gusanos de mensajería instantánea
Los gusanos IM utilizan los programas de chateo para propagarse. Pero no utilizan sólo las funciones de transferencia de archivos. Cada vez con mayor frecuencia, también utilizan un enlace a una página Web dañina. Algunos gusanos de mensajería instantánea tienen incluso la capacidad de chatear con sus potenciales víctimas.
Virus
También los virus persiguen la finalidad de autorreproducirse y propagarse a otros ordenadores. Para ello se enganchan a otros archivos o se instalan en el sector de arranque de los soportes de datos. A menudo entran clandestinamente y sin ser detectados en el PC mediante soportes de datos intercambiables (p. ej., disquetes), mediante redes (incluyendo las peer-to-peer), por correo electrónico o vía Internet.
Los virus se pueden acoplar a muy distintas partes del sistema operativo y pueden actuar a través de los más diversos canales. Se distinguen los grupos siguientes:
Virus de sector de arranque
Los virus del sector de arranque o virus MBR (= Master Boot Record) se implantan antes del propio sector de arranque en un soporte de datos, lo que asegura que el sistema lea primero el código del virus y, a continuación, el sector de arranque original cuando el ordenador se inicia desde este medio. De esta manera, el virus se puede instalar en el sistema sin ser notado y a partir de entonces se ejecutará también durante el arranque desde el disco duro. Con frecuencia, el código del virus permanece en la memoria después de la infección. A estos virus se les denomina "residentes en la memoria". El virus se propaga al formatear disquetes, lo que permite que se pueda extender a otros ordenadores. Pero no sólo durante las operaciones de formateo se puede activar el virus de sector de arranque. También mediante el comando DIR de DOS se puede poner en marcha la transmisión del virus desde un disquete infectado. Según la secuencia maliciosa de que se trate, los virus de sector de arranque pueden ser sumamente peligrosos o, simplemente, quedarse en puramente molestos. El virus de este tipo más antiguo y extendido es el "Form".
Virus de archivo
Muchos virus aprovechan la ocasión de esconderse en archivos ejecutables. Para alcanzar este objetivo, el virus puede borrar o sobrescribir el archivo anfitrión o bien puede acoplarse a él. En este último caso, el código ejecutable del archivo sigue estando operativo. Cuando se abre el archivo ejecutable, primero se ejecuta el código del virus, generalmente escrito en ensamblador, y después arranca el programa original (si es que no lo ha borrado antes el virus).
Virus multipartitos
Este tipo de virus es particularmente peligroso, ya que sus ejemplares infectan no sólo los ficheros ejecutables, sino también el sector de arranque (o las tablas de particiones).
Virus acompañantes
En DOS se ejecutan los archivos COM antes que los archivos EXE de igual denominación. En la época en que el ordenador se operaba, exclusivamente o con frecuencia, mediante líneas de comando, este mecanismo era una forma muy eficaz de ejecutar subrepticiamente código malicioso en un ordenador.
Virus de macro
También los virus de macro se acoplan a archivos existentes. Pero ellos mismos no son ejecutables. Además, los virus de macro no están escritos en ensamblador, sino en un lenguaje para macros como, por ejemplo, Visual Basic. Los virus necesitan un intérprete de lenguaje para macros, como los que se encuentran en Word, Excel, Access y PowerPoint, para poder ejecutarse. Por lo demás, en los virus de macro pueden actuar los mismos mecanismos que en los virus de archivo. También pueden camuflarse, infectar adicionalmente el sector de arranque o crear virus acompañantes.
Virus invisibles y rootkits
Los virus stealth o virus invisibles contienen dispositivos especiales de protección para evitar ser detectados por los programas antivirus. Para ello asumen el control a través de distintas funciones del sistema. Cuando esto ocurre, estos virus ya no se pueden detectar al acceder normalmente a los archivos o sectores del sistema. Fingen para el programa antivirus que está incólume un archivo en realidad infectado o convierten en invisible ese archivo para la protección antivirus. Los mecanismos de camuflaje de estos virus sólo tienen efecto cuando el virus se ha hecho residente de la memoria de trabajo.
Virus polimórficos
Los virus polimórficos contienen mecanismos para mutar su forma en cada infección. Para ello se codifican partes del virus. La rutina de codificación integrada en el virus genera un nuevo código para cada copia y, algunas veces, incluso nuevas rutinas de codificación. Adicionalmente pueden cambiarse o diseminarse aleatoriamente secuencias de comandos que no se requieran para el funcionamiento del virus. Por lo tanto, estos virus pueden dar origen fácilmente a miles de millones de variaciones de un mismo virus. La utilización de firmas de virus tradicionales a menudo no es suficiente para detectar y eliminar los virus polimórficos codificados. Normalmente tienen que escribirse programas especiales. El tiempo invertido en el análisis y la preparación de los medios adecuados para combatirlos puede ser extremadamente alto. Por eso, los virus polimórficos son, sin exagerar, los reyes entre los virus.
Intentos de virus
"Intento de virus" se denomina a un virus parcialmente defectuoso que consigue llevar a cabo una primera infección de un archivo, pero que a partir de este punto ya no puede reproducirse.
Virus de correo electrónico
Los virus de correo electrónico pertenecen a la categoría "blended threats" (amenaza compuesta). Estos programas maliciosos combinan las propiedades de los troyanos, gusanos y virus. Cuando el virus BubbleBoy apareció en escena, quedó patente que se podía infiltrar un virus en un PC mediante la función de vista previa de un correo electrónico en HTML. El código peligroso del virus se esconde en los correos HTML y se sirve de una brecha de seguridad de Microsoft Internet Explorer. No se debe subestimar la amenaza que representan estos "virus combinados".
Troyanos
Los troyanos carecen de rutinas de propagación propias. Se envían por correo electrónico o acechan en las plataformas de intercambio o en las páginas Web. Se clasifican de acuerdo a la función nociva que posean.
Puertas traseras
Los "backdoors" o puertas traseras abren un acceso secreto al ordenador infectado para que así pueda ser controlado a distancia por el atacante. Generalmente se instalan luego otros programas y el ordenador se integra con otros ordenadores zombi en una botnet. Pero también hay formas legítimas de aplicación. Muchos administradores de sistema utilizan programas de mantenimiento por control remoto para administrar ordenadores desde su ubicación actual. Este procedimiento resulta de gran utilidad, sobre todo en las grandes empresas. El administrador del sistema interviene normalmente con conocimiento del usuario del ordenador y contando con su consentimiento. Pero cuando estas funciones de puerta trasera se aplican a espaldas del usuario del PC y ejecutan acciones dañinas, entonces un programa backdoor se convierte en malware.
Adware
El adware (programas de publicidad) registra todas las actividades y procesos en un ordenador, como las costumbres de navegación del usuario. En el momento oportuno muestra entonces mensajes publicitarios. O manipula los resultados de las búsquedas en la red.
Spyware
El spyware (programas espía) sirve para sustraer información: contraseñas, documentos y datos, números de licencia de software, direcciones de correo electrónico, etc. Los datos, o bien se captan en el soporte de datos o se filtran del tráfico de la red. También recopilan los datos introducidos en los formularios de la red (especialmente en la banca en línea). En el peor de los casos, los atacantes tienen acceso a todas las cuentas de correo electrónico, foros y tiendas en línea que utilice la víctima. A los ciberdelincuentes les gusta mucho este camuflaje.
Descargadores y droppers (cuentagotas)
Muchos troyanos están especializados en una sola tarea. Los descargadores y los cuentagotas tienen la función de descargar o copiar un archivo en el ordenador infectado. Antes suelen intentar rebajar la configuración de seguridad del sistema.
Marcadores

Los dialers o marcadores se instalan con frecuencia en el ordenador sin ser notados. Si la conexión de acceso telefónico se establece mediante un módem, se utiliza un costoso prefijo 906 o similar la próxima vez que el usuario se conecta a la red. Con la legislación alemana "Ley para combatir el uso indebido de los números de teléfono de servicios de valor añadido con prefijos (0)190/(0)900", promulgada el 15 de agosto de 2003, entraron en vigor algunas condiciones (límites máximos de precios o registro). No obstante, los marcadores siguen siendo una molesta plaga que puede llegar a causar elevados perjuicios financieros. Hay programas antidialer como el Dialer Control para proteger el ordenador contra los marcadores indeseados. En la página alemana www.dialerschutz.de encontrará más información sobre los marcadores.
http://www.dialerschutz.de
Otros tipos de malware
Para completar el cuadro vamos a citar aquí otras categorías molestas o, en algunos casos, dañinas, que no se incluyen en el grupo del malware.
Hoaxes

Los hoaxes son mensajes falsos sobre supuestos virus que suelen difundirse por correo electrónico. A los destinatarios se les pide que reenvíen el aviso de correo a sus amigos y conocidos: Pero generalmente estos avisos suelen ser alarmas sin fundamento. Más detalles...
http://www.tu-berlin.de/www/software/hoax.shtml
Spam
Otra plaga igualmente costosa y molesta es el envío de correos comerciales o propaganda indeseados. Los programas modernos antispam utilizan una combinación de procesos estáticos (análisis de texto, listas de servidores de correo) y estadísticos (basados en el teorema de Bayes) para filtrar el correo no deseado.
Phishing

Se entiende por "phishing" el intento de obtener datos personales, como los nombres de registro, contraseñas, números de tarjeta de crédito, datos de acceso a cuentas bancarias, etc., mediante correos electrónicos o páginas Web falsificados. Con frecuencia en este proceso se conduce a la víctima a páginas Web amañadas. En los últimos años, este fenómeno ha aumentado en gran medida. En la actualidad, los troyanos especializados en este delito causan daños del orden de miles de millones. Se puede obtener más información en www.antiphishing.org (en inglés).

tomado de gdata
http://www.gdata.es/securitylabs/informacion/categorias-de-malware.html

No hay comentarios.:

Powered By Blogger