Malware
El malware suele ser representado con símbolos de peligro.
Malware (del inglés malicious software), también llamado badware, código maligno, software malicioso o software malintencionado, es un tipo desoftware que tiene como objetivo infiltrarse o dañar una computadora sin el consentimiento de su propietario. El término malware es muy utilizado por profesionales de la informática para referirse a una variedad de software hostil, intrusivo o molesto.1 El término virus informático suele aplicarse de forma incorrecta para referirse a todos los tipos de malware, incluidos los virus verdaderos.
El software se considera malware en función de los efectos que, pensados por el creador, provoque en un computador. El término malware incluyevirus, gusanos, troyanos, la mayor parte de los rootkits, scareware, spyware, adware intrusivo, crimeware y otros softwares maliciosos e indeseables.2
Malware no es lo mismo que software defectuoso; este último contiene bugs peligrosos, pero no de forma intencionada.
Los resultados provisionales de Symantec publicados en el 2008 sugieren que «el ritmo al que se ponen en circulación códigos maliciosos y otros programas no deseados podría haber superado al de las aplicaciones legítimas».3 Según un reporte de F-Secure, «Se produjo tanto malware en 2007 como en los 20 años anteriores juntos».4
Según Panda Security, durante los 12 meses del 2011 se han creado 73.000 nuevos ejemplares de amenazas informáticas por día, 10.000 más de la media registrada en todo el año 2010. De éstas, el 73 por ciento son troyanos y crecen de forma exponencial los del subtipo downloaders.5 6
Propósitos
Malware infeccioso: virus y gusanos
Los tipos más conocidos de malware, virus y gusanos, se distinguen por la manera en que se propagan, más que por otro comportamiento particular.8
El término virus informático se usa para designar un programa que, al ejecutarse, se propaga infectando otros softwares ejecutables dentro de la misma computadora. Los virus también pueden tener un payload9 que realice otras acciones a menudo maliciosas, por ejemplo, borrar archivos. Por otra parte, un gusano es un programa que se transmite a sí mismo, explotando vulnerabilidades en una red de computadoras para infectar otros equipos. El principal objetivo es infectar a la mayor cantidad posible de usuarios, y también puede contener instrucciones dañinas al igual que los virus.
Nótese que un virus necesita de la intervención del usuario para propagarse mientras que un gusano se propaga automáticamente. Teniendo en cuenta esta distinción, las infecciones transmitidas por e-mail o documentos de Microsoft Word, que dependen de su apertura por parte del destinatario para infectar su sistema, deberían ser clasificadas más como virus que como gusanos.
Malware oculto: Backdoor o Puerta trasera, Drive-by Downloads, Rootkits y Troyanos
Para que un software malicioso pueda completar sus objetivos, es esencial que permanezca oculto al usuario. Por ejemplo, si un usuario experimentado detecta un programa malicioso, terminaría el proceso y borraría el malware antes de que este pudiera completar sus objetivos. El ocultamiento también puede ayudar a que el malware se instale por primera vez en la computadora.
Puertas traseras o Backdoors
Artículo principal: Puerta trasera.
Un backdoor o puerta trasera es un método para eludir los procedimientos habituales de autenticación al conectarse a una computadora. Una vez que el sistema ha sido comprometido (por uno de los anteriores métodos o de alguna otra forma), puede instalarse una puerta trasera para permitir un acceso remoto más fácil en el futuro. Las puertas traseras también pueden instalarse previamente al software malicioso para permitir la entrada de los atacantes.
Los crackers suelen usar puertas traseras para asegurar el acceso remoto a una computadora, intentando permanecer ocultos ante una posible inspección. Para instalar puertas traseras los crackers pueden usar troyanos, gusanos u otros métodos.
Se ha afirmado, cada vez con mayor frecuencia, que los fabricantes de ordenadores preinstalan puertas traseras en sus sistemas para facilitar soporte técnico a los clientes, pero no ha podido comprobarse con seguridad.10
Drive-by Downloads
Google ha descubierto que una de cada 10 páginas web que han sido analizadas a profundidad pueden contener los llamados drive by downloads, que son sitios que instalan spyware o códigos que dan información de los equipos sin que el usuario se percate. 11
A estas acciones Niels Provos y otros colaboradores de Google Inc le denominaron, en un artículo, "El fantasma en la computadora". 12 Por ello, se están realizando esfuerzos para identificar las páginas que pudieran ser maliciosas.
El término puede referirse a las descargas de algún tipo de malware que se efectúa sin consentimiento del usuario, lo cual ocurre al visitar un sitio web, al revisar un mensaje de correo electrónico o al entrar a una ventana pop-up, la cual puede mostrar un mensaje de error. Sin ser su verdadera intención, el usuario consiente la descarga de software indeseable o de malware, y estas vulnerabilidades se aprovechan.
El proceso de ataque Drive-by Downloads se realiza de manera automática mediante herramientas que buscan en el sitio web alguna vulnerabilidad. Una vez encontrada, insertan un script malicioso dentro del código HTML del sitio violado. Cuando un usuario visita el sitio infectado, éste descargará dicho script en el sistema del usuario, y a continuación realizará una petición a un servidor (Hop Point), donde se solicitarán nuevos scripts con exploits encargados de comprobar si el equipo tiene alguna vulnerabilidad que pueda ser explotada, intentando con ellas hasta que tienen éxito, en cuyo caso se descargará un script que descarga el archivo ejecutable (malware) desde el servidor.
En la mayor parte de los navegadores se están agregando bloqueadores antiphishing y antimalware que contienen alertas que se muestran cuando se accede a una página web dañada, aunque no siempre dan una total protección.
Rootkits
Artículo principal: Rootkit.
Las técnicas conocidas como rootkits modifican el sistema operativo de una computadora para permitir que el malware permanezca oculto al usuario. Por ejemplo, los rootkits evitan que un proceso malicioso sea visible en la lista de procesos del sistema o que sus ficheros sean visibles en el explorador de archivos. Este tipo de modificaciones consiguen ocultar cualquier indicio de que el ordenador esta infectado por un malware. Originalmente, un rootkit era un conjunto de herramientas instaladas por un atacante en un sistema Unix donde el atacante había obtenido acceso de administrador (acceso root). Actualmente, el término es usado mas generalmente para referirse a la ocultación de rutinas en un programa malicioso.
Algunos programas maliciosos también contienen rutinas para evitar ser borrados, no sólo para ocultarse. Un ejemplo de este comportamiento puede ser:
"Existen dos procesos-fantasmas corriendo al mismo tiempo. Cada proceso-fantasma debe detectar que el otro ha sido terminado y debe iniciar una nueva instancia de este en cuestión de milisegundos. La única manera de eliminar ambos procesos-fantasma es eliminarlos simultáneamente, cosa muy difícil de realizar, o provocar un error el sistema deliberadamente."13
Uno de los rootkits más famosos fue el que la empresa Sony incluyó dentro de la protección anticopia de algunos CD de música.14
Troyanos
Captura de pantalla del Troyano “Beast"
Artículo principal: Troyano.
El término troyano suele ser usado para designar a un malware que permite la administración remota de una computadora, de forma oculta y sin el consentimiento de su propietario, por parte de un usuario no autorizado. Este tipo de malware es un híbrido entre un troyano y una puerta trasera, no un troyano atendiendo a la definición.
A grandes rasgos, los troyanos son programas maliciosos que están disfrazados como algo inocuo o atractivo que invitan al usuario a ejecutarlo ocultando un software malicioso. Ese software, puede tener un efecto inmediato y puede llevar muchas consecuencias indeseables, por ejemplo, borrar los archivos del usuario o instalar más programas indeseables o maliciosos. Los troyanos conocidos como droppers15 16 son usados para empezar la propagación de un gusano inyectándolo dentro de la red local de un usuario.
Una de las formas más comunes para distribuir spyware es mediante troyanos unidos a software deseable descargado de Internet. Cuando el usuario instala el software esperado, el spyware es puesto también. Los autores de spyware que intentan actuar de manera legal pueden incluir unos términos de uso, en los que se explica de manera imprecisa el comportamiento del spyware, que los usuarios aceptan sin leer o sin entender.
Mostrar publicidad: Spyware
Los programas spyware son creados para recopilar información sobre las actividades realizadas por un usuario y distribuirla a agencias de publicidadu otras organizaciones interesadas. Algunos de los datos que recogen son las páginas web que visita el usuario y direcciones de e_mail, a las que después se envía spam. La mayoría de los programas spyware son instalados como troyanos junto a software deseable bajado de Internet. Otros programas spyware recogen la información mediante cookies de terceros o barras de herramientas instaladas en navegadores web. Los autores de spyware que intentan actuar de manera legal se presentan abiertamente como empresas de publicidad e incluyen unos términos de uso, en los que se explica de manera imprecisa el comportamiento del spyware, que los usuarios aceptan sin leer o sin entender.
0 comentarios:
Publicar un comentario