Categories: SeguridadVirus

Malware caducado

La era de los virus autosuficientes

En la época de los virus para DOS los especímenes se mantenían activos durante años. Hoy día el malware no suele ser autosuficiente, sino que depende de una infraestructura basada en servidores en Internet con los que se comunica. Cuando esa infraestructura es desactivada, el malware ya no es útil para sus propósitos.

Los que somos menos jóvenes (o más viejos) recordaremos a virus como Viernes 13, Brain, Ping-Pong, Barrotes, etc. Además de por ser los primeros con los que nos topamos, perduran en nuestra memoria porque estuvieron con nosotros mucho tiempo.

Cuando los virus eran virus, es decir, cuando se autoreplicaban de archivo en archivo o de disco en disco, las epidemias eran más similares a la de los virus biológicos. Un virus aparecía en una zona geográfica concreta, por ejemplo en una universidad, y su área de influencia iba propagándose de forma lenta a través de los usuarios que compartían disquetes y archivos infectados. Tenía que transcurrir varios meses para llegar a ser una epidemia de ámbito internacional.

No había forma de erradicarlos completamente. El virus era autosuficiente, así que en cualquier momento y lugar podía aparecer un nuevo brote si los ordenadores que tenían contacto con el virus no contaban con un antivirus actualizado.

Con la explosión de Internet aparecieron los gusanos de propagación masiva por correo electrónico. La distribución de éstos era mucho más explosiva, en apenas unas horas podían dar la vuelta al mundo y llegar a cientos de miles de sistemas. También perduraban en el tiempo, algunas variantes de Netsky han dado la lata durante muchos meses en los Tops de clasificación de malware.

Ahora que vivimos la época de los troyanos con fines lucrativos, nos topamos con un malware mucho menos perenne, de usar y tirar, que necesita reciclarse constantemente con nuevas variantes, y que da lugar a gran cantidad de especímenes caducados.

Por un lado tenemos que los troyanos no son autosuficientes en su distribución/replicación, a diferencia de los virus y gusanos que ellos mismos se encargan de llegar a otros PCs. Hoy día los troyanos se distribuyen en alguna campaña puntual de spam, o a través de la web.Pasado ese primer envío masivo y manual, o desactivada la web desde la que se distribuye, esa variante del troyano es probable que nunca más vuelva a distribuirse.

Además, los propios troyanos suelen tener una dependencia de infraestructura externa. Imaginemos un troyano “downloader” que se encarga de descargar otros componentes. En el momento que se desactiva el servidor desde donde realiza las descargas, ya no podrá llevar a cabo su acción.

Pensemos ahora en el autor del troyano Gpcode. Lo distribuye a través de spam. En las máquinas que se ejecuta, el troyano cifra los archivos sensibles del ordenador (documentos, imágenes, y un largo etcétera de extensiones), y pide un rescate al usuario para descifrar y volver a recuperar esos archivos. La forma de contacto es una dirección de e-mail en un servidor de correo público de Rusia. Cuando las autoridades consiguen que el proveedor del servicio de correo desactive esa dirección de e-mail, esa versión del troyano será inútil para el autor ya que no puede ponerse en contacto con sus víctimas para llevar a cabo el chantaje y, por tanto, no volverá a utilizarla ni distribuirla. Deberá crear una nueva versión.

Situaciones similares se pueden dar con muchos otros tipos de troyanos, por ejemplo, un malware dedicado a hacer pharming local para redirigir a los usuarios infectados a páginas de phishing cuando visiten determinados bancos. Lo que hace el troyano es modificar el archivo hosts de Windows para redirigir los dominios de un determinado banco a la IP del servidor web que hospeda las páginas falsas. Cuando el banco tiene conocimiento de este tipo de fraude inicia una actuación para desactivar las páginas de phishing. En el momento que lo logra, que suele ser cuestión de horas, a lo sumo días, el troyano será inútil, nunca más se distribuirá de nuevo. El autor se verá obligado a crear nuevas versiones.

Un ejemplo de este último caso puede verse en: http://blog.hispasec.com/laboratorio/232

La realidad es que un porcentaje del malware específico que detecta un antivirus ya está “fuera de mercado”, no nos afectará. Si los antivirus deben detectar ese “malware caducado” es una cuestión que no sólo depende de ellos, ya que las evaluaciones antivirus actuales fomentan lo contrario: que se detecte de todo, incluso muestras que no son dañinas. Si los antivirus tienen problemas para diferenciar el malware, del grayware y el goodware, los evaluadores y comparativas antivirus sencillamente no saben.

Problema Tamaño/rendimiento

Al ritmo actual del crecimiento del número de variantes, el mantener firmas de detección de todo el malware histórico podría dar lugar a algunos problemas de tamaño/rendimiento. Hace ahora algo más de cuatro años denominé el problema como “efecto ZOO”, en la noticia http://www.hispasec.com/unaaldia/1562

Entonces el problema del tamaño de firmas parecía no preocupar a los desarrolladores antivirus, ya que el principal cuello de botella es el acceso a los archivos a analizar.

Hoy día sigue siendo manejable, al menos en cuanto a volumen que no a estrategia, pero la curva de crecimiento sigue imparable y amenaza con pasar a medio plazo de la necesidad de reconocer 20.000 muestras hace unos años a dos millones. ¿Seguimos anclados como las comparativas pidiendo que los antivirus detecten de todo aunque no nos afecte? ¿O pedimos antivirus modernos adaptados a una realidad diferente?

Redacción

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago