Download El Malware, un demonio de mil cabezas - Center

El Malware, un demonio de mil cabezas
En el presente artículo el lector podrá conocer más sobre el Malware,
desde su definición, clasificación y comportamiento típico hasta un
conjunto de buenas prácticas para aprender a detectarlo y combatirlo,
pasando por la estrategia que Microsoft ha desarrollado para combatir
este mal de la informática moderna.
Por Luis Montenegro, Director de Infoclan. MVP
Dentro de los muchos aspectos que abarca la seguridad de la información, la seguridad a nivel de
host (o estación de trabajo), es uno de los tópicos más reconocidos por el común de la gente.
Generalmente cuando a las personas se les habla de “seguridad informática”, lo primero que se les
viene a la cabeza son los antivirus, gusanos, troyanos y otros conceptos muy típicos del aspecto
anteriormente nombrado. Y no podemos hablar de seguridad de host sin nombrar a su principal
amenaza: El malware, un demonio que – al igual que Hidra de Lerna – parece tener cada día una
nueva variante (o cabeza, haciendo la analogía) a vencer.
¿Qué es el Malware?
El término Malware proviene de la asociación de dos palabras de la lengua inglesa: Malicious
Software. Bajo este término, se asocia a todo aquel software que tiene propósitos dañinos para el
usuario que tiene la mala suerte de topárselos. Los propósitos que tiene el Malware van desde la
simple recolección de información personal del usuario (para poder venderla a otras compañías),
hasta el uso de recursos de forma remota o simplemente el dañar la estructura del sistema
operativo afectado. Estos propósitos están estrictamente relacionados con la persona que diseña
cada malware; algunos lo hacen por simple ocio, mientras que la gran mayoría lo hace en pos de
un beneficio económico.
Dentro del concepto de Malware se pueden encontrar amenazas tales como:

Gusanos

Troyanos

Backdoors

Spywares

RootKits

Exploits

Dialers, etc.
Clasificando el Malware
Uno de los aspectos que más comúnmente se usan para clasificar el Malware es su nivel de
peligro o daño potencial para el equipo afectado. En la figura 1 se puede observar una clasificación
del Malware.
Figura 1. Clasificación del Malware según su peligro potencial. “+” No revierte peligro
(ejemplo positivo) “–“ Revierte peligro (ejemplo de malware)-
El Malware, como se puede ver en la figura anterior, tiene variados comportamientos, que van
desde la simple publicidad no autorizada hasta la actividad claramente maliciosa, lo cual
compromete los tres principios de la seguridad de la información.
Entre las actividades típicas que se pueden encontrar en un Malware, destacan las siguientes:

Vectores de replicación: Muchos tipos de Malware tienen la capacidad de explorar las
listas de contactos que tiene el usuario afectado en su equipo y autoenviarse a todos los
usuarios de ésta. Es un método típico de propagación de virus y gusanos de correo
electrónico, aunque este comportamiento también puede repetirse en una red P2P, en
sistemas de mensajería instantánea e incluso en una red local.

Explotación de una vulnerabilidad de software: Generalmente, cada vez que se da
alerta de un problema del sistema operativo o de otro de sus componentes importantes
(como clientes de correo electrónico y navegadores de Internet), se crea un malware que
es capaz de explotar dicha vulnerabilidad, en muchos casos para intentar tomar control
remoto de la máquina afectada. He aquí la importancia por parte del usuario de
mantenerse al tanto de cada una de estas publicaciones y de instalar de manera correcta
los parches necesarios.

Ingeniería social: Es sabido que una gran cantidad de malware no puede funcionar sin la
interacción del usuario. Muchos virus y gusanos informáticos por ejemplo, vienen
encapsulados en un archivo ejecutable que si no es abierto por el usuario no reviste daño
alguno. Por lo tanto, muchos de estos programas malignos necesitan de la cooperación de
la famosa “capa 8”, por lo que suelen venir adjuntos en correos electrónicos tentadores,
con remitentes que a veces son nuestros propios amigos o colegas de trabajo.

Robo de contraseñas: Uno de los principales objetivos que persigue un delincuente
informático es alcanzar la contraseña de administrador de los equipos que está atacando,
para poder tener acceso sin restricciones al sistema. Por lo tanto una gran cantidad de
malware está diseñado para ir tras ese objetivo.

Polimorfismo: El malware es una amenaza en evolución. Estos programas son capaces
de cambiar su forma para evitar ser destruidos o neutralizados por el software de
protección. Cuando se lanzan los parches de protección a una vulnerabilidad que explota
un malware específico, los creadores de este último intentan hacer ingeniería reversa de
tal manera de mejorar su creación. Así comienza una brutal carrera entre el atacante y el
atacado.

Secuestro de información: Este tipo de malwares, conocidos recientemente como
ransomware, según los informes de las distintas compañías de antivirus, se caracterizan
por impedir el acceso del usuario a sus propios documentos hasta que sea pagada una
determinada cantidad monetaria.
¿Y qué está haciendo Microsoft para combatir estas amenazas?
Microsoft está trabajando hace largo tiempo para combatir el Malware, basándose en un equipo
tecnológico que trabaja codo a codo con el COSD (Core-OS-Division). Este equipo, que cuenta con
un excelente equipo de profesionales del equipo de seguridad de Microsoft (STU) ha generado un
conjunto de disciplinas estándares más un equipo de respuesta especializado para combatir esta
amenaza. Haciendo un poco de historia, el trabajo antimalware de Microsoft está relacionado con
la adquisición de GeCAD en Diciembre de 2004, aunque el año anterior ya había adquirido los
derechos de propiedad intelectual de esta compañía desarrolladora de Software. Desde ese
momento, los especialistas antimalware de Microsoft han estado trabajando continuamente en el
desarrollo de herramientas de software que sean capaces de detectar, analizar y neutralizar los
efectos de esta amenaza.
Básicamente, la solución de Micorosft para combatir el malware se basa en 3 conceptos clave:

Un núcleo, consistente en un sistema de protección en tiempo real, un motor de búsqueda
de malwares y un conjunto de firmas que usa el motor para detectar el malware y tomar
acciones necesarias para su desinfección

Un sistema de recolección de los datos arrojados por el núcleo.

El análisis de los datos recolectados por parte de Microsoft, para poder estudiar nuevas
variantes de Malwares y mejorar continuamente sus productos.
El núcleo
Figura 2. Estructura del núcleo de la solución antimalware de Microsoft
El núcleo de la solución antimalware de Microsoft se basa en 3 componentes principales:

Sistema de protección en tiempo real: Un sistema de protección en tiempo real, es
básicamente un pequeño programa residente en el sistema operativo que está a la espera
de algún cambio sospechoso en la configuración global del sistema, ante lo cual ejecuta
contramedidas para evitar dichos cambios. El sistema de protección en tiempo real
dependerá de la solución escogida por el usuario. En algunos casos, el sistema de
protección en tiempo real reaccionará ante cualquier cambio en el sistema de archivos o en
el núcleo del sistema operativo. En otros casos, el sistema reaccionará ante cambios en el
registro que impliquen el autoinicio de alguna aplicación o que cambien las condiciones de
inicio de alguna de las aplicaciones existentes. Un claro ejemplo de esto último es el caso
de los spywares que son capaces de cambiar la página de inicio del navegador de Internet
o crean Dialers a sitios pornográficos. Ante estos cambios, propios del comportamiento del
Malware, se ejecuta un proceso de SCAN y se neutraliza el ataque.

Motor de búsqueda antimalware: El motor de búsqueda es el componente del núcleo al
cual tiene acceso el usuario, generalmente a través de una API. Éste se encarga de cargar
todos los plugins necesarios para un proceso de SCAN, el cual se realiza a través de un
proceso de comparación de los archivos del sistema operativo con las firmas de malwares
existentes en el sistema. El motor antimalware cuenta además con bibliotecas de ayuda
que son capaces de detectar patrones de núcleo propios del malware, como CRC o
patrones de comportamiento.

Conjunto de Firmas: Una firma es un identificador único de un malware en particular. El
motor antimalware hace su análisis buscando dentro de todo el sistema operativo algún
componente que dentro de su estructura tenga alguna de las firmas existentes dentro del
núcleo. Los tipos de firmas existentes dentro de la solución antimalware de Microsoft
incluyen hashing simple de archivos, Multi-CRC, Tunneling Signaturas (para rootkits de
modo usuario), Detección genérica (para detectar componentes de familias de malware
basado en segmentos de código repetido y propios de la familia), Emulación (para tratar
virus polimórficos) y escaneo basado en reglas (Heurísticas). Además dentro de las firmas
se pueden encontrar firmas específicas de limpieza para algunos malwares específicos
(como por ejemplo para el sasser o blaster).
Recolección de datos y posterior análisis de éstos
Uno de los componentes vitales para el éxito de la solución antimalware de Microsoft es la
recolección de los datos entregados por sus soluciones antimalware y su posterior análisis. Estos
datos, que son recibidos y tratados con el estándar de privacidad de Microsoft, permiten a la
compañía monitorear las tendencias existentes, priorizar el proceso de creación de nuevas firmas y
estudiar nuevos malwares existentes, de tal forma de poder hacer a sus soluciones más preactivas
en el futuro cercano. Dentro de los datos frecuentemente recolectados para análisis, se tienen los
siguientes:

Información del archivo infectado

Motor de búsqueda asociado

Firma asociada

Sistema Operativo afectado

Localización geográfica del equipo afectado
Toda esta información permite a Microsoft clasificar mediante un sistema de valoración (o pesaje)
los nuevos malwares que son reportados por sus clientes. Esto generalmente se realiza gracias a
conceptos como:

Posibles falsos positivos

Amenazas de alta difusión

Amenazas de alto impacto

Amenazas que explotan vulnerabilidades nuevas

Amenazas muy recientemente empaquetadas o compiladas
Soluciones antimalware de Microsoft Existentes
La siguiente tabla indica las principales soluciones antimalware que Microsoft está entregando a
sus clientes.
MS Offering
Target Customer
Malicious Software
Removal Tool
Internet Explorer V7
installer
W indows Vista - Clean
on upgrade to Vista
W in2k and higher. Delivered via W U/MU/AU No
AV only (partial)
XPSP2 and Server 2K3
No
AV only (partial)
Consumers who upgrade XP PCs.
Integrated with Dynamic Update
No
AV only (partial)
MSN Messenger V8
Consumers
No
AV only
W indows Live Safety
Center
Microsoft Forefront
Antigen
W indows Defender
W in2k and higher. Consumers
No
AV & AS
Server OS’s. Corporate Customers
No
AV only
W in2k SP4, XPSP2, Server 2k3 SP1.
Consumers
Consumers.
Yes
AS only
Yes
AS only
Yes
AV & AS
Yes
AV & AS
W indows Vista with
Defender Technology
W indows Live OneCare W indows XPSP2. For fee offering.
Consumers
Microsoft Forefront
W in2k and higher. Corporate customers
Client Security
Real-Time Signature Set
Buenas prácticas de usuario
¿Su equipo de un día para otro comienza a trabajar notablemente más lento? ¿Aparecen íconos
extraños en pantalla o cambia extrañamente su página de inicio en su navegador de Internet? El
conocer su propio sistema operativo es clave para aprender a detectar la presencia de algún tipo
de malware existente en su computador.
Una de las principales características que son comunes a casi todo tipo de malware es su bajo
perfil dentro de lo visible para el usuario. Mientras más oculto y desapercibido pueda actuar un
malware, mayores son las posibilidades que este tiene para seguir atacando al sistema afectado. A
veces, un simple examen visual por parte del usuario puede ser una buena forma de detectar a
“residentes no deseados” en nuestro sistema.
Cambios en el inicio
Una de las primeras cosas que deberían poner en alerta a cualquier usuario común y corriente son
los cambios en los procesos de inicio del sistema operativo. Íconos nuevos en la bandeja de
sistema, demoras fuera de lo común en el arranque del SO o de alguno de sus programas, o
cambios en la página de inicio de un navegador de Internet (inclusive luego de deshacer dicho
cambio en la configuración del sistema) son clara señal de la presencia de malware en el equipo.
Además, los porn dialers generalmente lanzan una ventana de conexión a Internet apenas se inicia
el sistema.
Bajas en el rendimiento de la red
¿Nota que su red anda considerablemente más lenta? Malwares como los caballos de Troya o los
Backdoors hacen uso malicioso de la red. Este tipo de programas generalmente suele afectar
bastante el rendimiento de la misma, al hacer uso de puertos TCP para enviar información a un
usuario remoto. Una de las buenas maneras para detectar este tipo de anomalías, es hacer uso de
una herramienta de análisis de tráfico que viene dentro de DOS.
Figura 3. El comando Netstat permite ver las conexiones existentes en la red.
¿La lista es muy larga? Cuando las listas de tráfico de red son muy extensas, esto se puede deber
a dos motivos:
a) El sistema está conectado a una red P2P
b) Algo está enviando información sin nuestro consentimiento
Para no caer en la paranoia, es bueno saber que muchos programas usan puertos característicos,
como por ejemplo:

Messenger usa el puerto 1863

Los navegadores de Internet usan el puerto 80

IRC usa el puerto 6667

Los clientes FTP usan los puertos 20 y 21

Los clientes de correo usan los puertos 110 y 25
Una buena herramienta que puede ser una excelente alternativa a NETSTAT es TCP View, un
programa de distribución gratuita de Sysinternals. Este programa, que muestra en una versión
Win32 el equivalente al comando netstat –ano de DOS, permite ver los programas que están
asociados a las distintas conexiones de red. Este programa permite conocer el verdadero origen de
algunas conexiones. Este pequeño examen al funcionamiento de la red es conveniente hacerlo
apenas se encienda el equipo y se conecte a Internet. Si existen muchas conexiones extrañas en
ese momento, lo más probable es que algún programa que el usuario desconoce esté haciendo
uso malintencionado de los recursos de red.
Figura 4. TCP View.
Correos de error
¿Alguna vez se ha encontrado con mensajes de correo electrónico de los MAILER-DEMON,
indicando que un correo que usted no envió no pudo llegar a destino? Una de las características de
los Malware en general es que estos buscan una forma de replicarse, y una de las más conocidas
formas de hacer esto es por medio del correo electrónico. Así que una buena señal de alerta son
los correos que uno envía sin saberlo.
Algunos consejos prácticos
Para poder defenderse de manera efectiva del malware, es conveniente tener en cuenta los
siguientes consejos:

Mantenga su equipo actualizado. Las actualizaciones de seguridad más que un lujo son
una necesidad; ayudan a cubrir vulnerabilidades que suelen ser explotadas por estos
programas.

Instale un sistema de protección. Tener un buen antivirus y un antispyware es siempre una
ayuda para combatir este mal. Pero con eso no basta; estos también deben estar
actualizados. Un antivirus no actualizado presta tanta protección como un equipo sin
antivirus.

Use las herramientas de análisis en línea. Windows Live One Care es una excelente
herramienta de escaneo en línea del sistema operativo. Un análisis en línea es liviano, no
consume mayores recursos del sistema y le permite identificar posibles amenazas.
Figura 5. Windows Live One Care

Cuide sus lugares de navegación. Generalmente los sitios asociados al hacking o la
pornografía suelen estar llenos de malware esperando arribar a su sistema.

No abra todos los archivos que le llegan, sobre todo si son de remitentes desconocidos. Al
comienzo del artículo se habla de la importancia que tiene la ingeniería social en el triunfo
del malware.

Tenga mucho cuidado a la hora de usar redes P2P. Muchas de ellas también son foco de
malware.
A modo de conclusión
La guerra contra el malware está en pleno desarrollo. Por un lado, se tienen ataques cada vez más
ingeniosos (de hecho en estos días pude leer una noticia que informaba sobre un ataque de virus
que se hizo a una empresa antivirus, que hizo que este malware fuera propagado como paquete
de actualización de la empresa). Por otro lado, grandes compañías reúnen profesionales expertos
en seguridad para tratar el tema y crear herramientas cada vez más eficientes y eficaces. El futuro
de la guerra contra el malware está en la proactividad, es decir, la capacidad de detectar y
neutralizar malware en base a patrones de comportamiento, usando las firmas como un
complemento a dicha labor. Es importante destacar dentro de todo esto la importancia del usuario
dentro de todo este proceso. Muchas de las amenazas de hoy en día corresponden al famoso
virus gallego:
“Hola, mi nombre es Manolo y soy el primer virus gallego. Este virus está basado en un sistema de
honor, así que por favor reenvíe este correo a toda su lista de usuarios y acto seguido borre
manualmente todo el contenido de C:\. Muchas gracias por su cooperación, Manolo”.
Dejando a un lado el lado humorístico, muchas de las amenazas de malware existentes hoy en día
todavía requieren cierta interacción con el usuario. Por lo tanto, un factor clave para derrotar a este
monstruo de mil cabezas es orientar al usuario y enseñarle el uso correcto de sus herramientas
tecnológicas de trabajo.
Enlaces de interés






W indows Defender
o W ebsite: http://www.microsoft.com/antispyware
o Newsgroup: microsoft.private.security.spyware
o Discussion alias: spybuddy
MSRT
o W ebsite: http://www.microsoft.com/malwareremove
o Newsgroup: microsoft.public.security.virus
o W hite paper: http://go.microsoft.com/fwlink/?linkid=67998
W indows Live Safety Center
o W ebsite: http://safety.live.com
General
o Blog: http://blogs.msdn.com/antimalware
o PM Alias: ampt
Microsoft Technet Chile
o W ebsite: http://www.microsoft.com/chile/technet/
o Seguridad: http://www.microsoft.com/latam/technet/seguridad/
o Newsletter Seguridad:
http://www.microsoft.com/latam/technet/seguridad/security_flash/default.asp
o Newsletter: http://www.microsoft.com/latam/technet/boletin/default.asp
o ALSI: http://www.mslatam.com/latam/technet/cso/Html-ES/home.asp
Comunidades y grupos de usuarios
o Infoclan: http://groups.msn.com/infoclan