Tomado de: The 10 faces of Malware, Michael Kassner, Techrepublic
No es una traducción fiel sino una interpretación,
tiene palabras y párrafos añadidos o reinterpretados.
- Malware: Es software malicioso o malintencionado específicamente diseñado para infiltrar o causar daño en sistemas de computación sin que los propietarios se den cuenta o sin su autorización.
- Malcode: Es programación malintencionada que es introducida durante la etapa de desarrollo de una aplicación y es conocida como la carga del malware (payload).
- Anti-malware: Incluye cualquier programa que combata el malware, sea protección en tiempo real o detección y eliminación de malware existente. Los antivirus, antispyware y exploradores (scanners) de malware son ejemplos de antimalware.
1: El infame virus de computadoraUn virus es malware que es capaz de infectar una computadora pero tiene que apoyarse en algún medio externo de propagación. Un verdadero virus sólo puede esparcirse de una computadora a otra adjuntándose a alguna forma de contenido ejecutable que es transmitido entre computadoras. Por ejemplo, un virus podría estar escondido en un archivo PDF adjunto a su vez en un correo electrónico. La mayoría de los virus se componen de 3 partes:
- Replicante/Replicador: Cuando el programa que lo carga (hospedero) es activado, también lo es el virus y la prioridad del código viral es propagarse.
- El ocultador (Concealer): El virus puede emplear uno de muchos métodos para esconderse del antimalware.
- La carga (Payload): La carga de malcode de un virus puede estar dirigida casi a cualquier propósito, desde deshabilitar funciones de la computadora hasta destruir datos.
2: El siempre popular gusano (worm)Los gusanos son más sofisticados que los virus, siendo capaces de replicarse sin la intervención del usuario. Si el malware usa redes para propagarse es más un gusano que un virus. Los principales componentes de un gusano son:
- Herramienta de penetración: El malcode que averigua vulnerabilidades en la computadora víctima para obtener acceso.
- Instalador: La herramienta de penetración rompe el primer mecanismo de defensa, en ese punto el instalador se encarga de transferir el cuerpo principal de malcode a la víctima.
- Herramienta de descubrimiento: Una vez incorporado al sistema, el gusano usa varios métodos para descubrir otras computadoras de la red, incluyendo direcciones de correo electrónico, listas de hosts y peticiones DNS.
- Explorador: El gusano usa un explorador para determinar si alguna de las nuevas computadoras son vulnerables a los medios disponibles en su herramienta de penetración, usualmente exploits.
- Carga: El Malcode que reside en la computadora víctima. Podría ser cualquier cosa, desde una aplicación de acceso remoto a un interceptor de teclado que capture nombres de usuario, contraseñas u otra información importante.
3: La puerta trasera desconocidaLas puertas traseras son similares a los programas de acceso remoto que muchos de nosotros usamos todo el tiempo. Son considerados malware cuando son instalados sin permiso, que es exactamente lo que un atacante quiere hacer, usando alguno de los siguientes métodos:
- Explotando una vulnerabilidad de la computadora objetivo.
- Otra forma es engañar al usuario para que instale la puerta trasera usando ingeniería social.
4: El reservado caballo de troyaEs difícil encontrar una mejor definición para caballo de troya que la que hicieron Ed Skoudis y Lenny Zelter en su libro Malware: combatiendo el código malicioso (Malware: Fighting Malicious Code):
“Un caballo de troya o troyano es un programa que aparenta tener algún propósito útil o benigno pero en realidad enmascara alguna funcionalidad malintencionada escondida.”El caballo de troya esconde la carga destructiva durante la instalación y ejecución del programa, evitando ser detectado por antimalware. Algunas técnicas de ocultación incluyen:
- Renombrar el malware para parecer archivos normalmente presentes en el sistema.
- Corromper el antimalware instalado para no responder cuando el malware es ubicado o detectado.
- Código polimórfico es usado para alterar la firma del malware más rápido de lo que el software de defensa puede conseguir archivos de firma nuevos.
5: Adware/Spyware, más que una molestiaAdware es software que crea avisos emergentes sin la autorización del usuario. Típicamente el adware se instala a partir de programas gratuitos. Además de ser muy irritantes, pueden degradar significativamente el desempeño de la computadora. El spyware es software que recolecta información de su computadora sin su conocimiento. El software gratuito es notorio por tener cargas de spyware, por lo tanto leer el acuerdo de uso es muy importante. El escándalo de protección de copia de CDs de Sony BMG es probablemente el ejemplo más notable de spyware. La mayoría de antispyware rápidamente encontrará adware/spyware no deseado y lo removerá del sistema. Tampoco es una mala idea eliminar regularmente archivos temporales, cookies y la historia de navegación de los navegadores como medida preventiva.
Estofado de MalwareHasta este punto, todo el malware ha tenido unas características distintivas, haciéndolo fácil de definir. Infortunadamente, ese no es el caso con las siguientes categorías. Los desarrolladores de malware se han inventado formas de combinar las mejores características de los diferentes tipos de malware en un intento de mejorar su rata de éxito. Los rootkits son un ejemplo de ésto, integrando un caballo de troya y una puerta trasera en un mismo paquete. Cuando es usada en combinación, un atacante puede ganar acceso a un computador remotamente y hacerlo sin levantar sospecha. Los rootkits son una de las más importantes amenazas combinadas, por lo que los examinaremos más en detalle.
Rootkits: diferentes de manera únicaÉstos están en su propia categoría, ya que escogen modificar el sistema operativo existente en vez de añadir software de la capa de aplicación como la mayoría del malware ordinario. Eso es muy significativo porque hace la detección mucho más difícil. Hay varias formas diferentes de rootkits, pero tres componen la mayoría de los que se ven en la red: modo de usuario, modo de kernel (o núcleo) y firmware. Modo usuario y modo kernel requieren una mejor explicación:
- Modo de usuario (User mode): El código tiene acceso restringido a los recursos de software y hardware de la computadora. La mayoría del código ejecutado en su computadora se ejecutará en modo usuario. Debido al acceso restringido, los colapsos en modo de usuario son recuperables.
- Modo kernel: El código tiene acceso irrestricto al software y hardware. El modo kernel está generalmente reservado a las funciones más confiables del sistema operativo, los colapsos en modo kernel no son recuperables.
6: Rootkits en modo usuarioYa se sabe que los rootkits en modo de usuario corren como usuario privilegiado, lo que significa que:
- Los rootkits en modo usuario pueden alterar procesos, archivos, controladores de hardware (drivers), puertos de red e incluso servicios del sistema.
- Los rootkits permanecen instalados copiando sus archivos al disco duro, ejecutándose automáticamente cada vez que arranca el sistema.
7: Rootkits en modo kernelDado que los rootkits en modo usuario pueden ser encontrados y removidos, los diseñadores de rootkits cambiaron su forma de pensar y desarrollaron rootkits en modo kernel:
- Modo kernel significa que el rootkit está instalado al mismo nivel que el sistema operativo y que el software de detección de rootkits.
- Ésto les permite manipular el sistema operativo al punto de que deja de ser confiable.
8: Rootkits de FirmwareLos rootkits de firmware son el siguiente paso en sofisticación: los desarrolladores de rootkits averiguaron cómo almacenar malware en el firmware. El firmware alterado podría ser cualquier cosa, desde códico de microprocesador hasta controladores de una tarjeta de expansión PCI. Ésto significa que:
- Cuando el computador es apagado el rootkit escribe el malcode al firmware especificado.
- Al reiniciar el PC el rootkit se reinstala a sí mismo.
9: Código malicioso móvilEn relativo anonimato, el código móvil malicioso está conviertiendose rápidamente en la más efectiva forma de inyectar malware en una computadora. Primero miremos lo que es el código móvil:
- Se obtiene de servidores remotos.
- Se transfiere a través de la red.
- Descargado y ejecutado en un sistema local.
10: Amenaza combinadaEl Malware es considerado una amenaza combinada que busca dañar y propagarse eficientemente combinando varias piezas de malcode de propósito específico. Dicho lo anterior, las amenazas combinadas requieren una atención especial, al punto que hasta los expertos en seguridad admiten a regañadientes que éstas son las mejores en hacer lo que hacen. Una amenaza combinada incluye típicamente las siguientes habilidades:
- Explotar diversas vulnerabilidades conocidas o incluso crearlas.
- Incorporar métodos alternativos de duplicación.
- Automatizar su ejecución, lo cual elimina la interacción o dependencia.
ConclusionesMalware: ¿será posible reducir sus efectos dañinos que causa? A continuación algunas reflexiones al respecto:
- El Malware no se va a acabar pronto. Especialmente cuando se hace evidente que hay dinero, en grandes cantidades, que se surten de que exista.
- Dado que las aplicaciones anti-malware son todas reactivas, están destinadas a fallar.
- Los desarrolladores de sistemas operativos y de aplicaciones deben mostrar cero tolerancia a las vulnerabilidades de software.
- Cualquiera que use computadoras necesita asumir el aprendizaje sobre cómo reaccionar al ambiente siempre cambiante del malware.
- Nunca insistiremos suficiente: por favor, asegúrese de mantener su sistema operativo y aplicaciones actualizados.
Mis recomendaciones personales