Introducción a la seguridad Informática 3 - (2-8)

Clasificación Parte 1

Existen diversos subtipos de malware, la clasificación se realiza teniendo en cuenta el comportamiento del código malicioso. Por ejemplo, un malware podría infiltrarse en un equipo y ejecutar acciones de forma oculta con el fin de robar sigilosamente la información que el mismo contenga, mientras que otro quizás no se esfuerce por ocultar su comportamiento y elimine todos los archivos del sistema. En base a diferencias como estas, un malware puede clasificarse dentro de uno o varios de los siguientes subtipos:

• Adware
• Backdoor
• Gusano
• Keylogger
• Rogue
• Rootkit
• Stealer
• Spyware
• Troyano
• Ransomware
• Virus

A continuación analizaremos cada uno de ellos.
Nota: los subtipos de malware listados arriba no son los únicos existentes pero sí los más comunes.

Adware

Adware es el acrónimo de Advertisement Software. El término aplica a los programas diseñados para mostrar excesiva publicidad en el navegador web del usuario, beneficiando económicamente a los creadores del Adware a través de un acceso forzado a los anuncios.

Los Adware podrían infiltrarse en un equipo sin el consentimiento del usuario o también estar ocultos en la instalación de un programa gratuito, y se consienta su acceso aceptando los términos y condiciones de uso, que en la mayoría de los casos, no suelen ser leídos. Por otro lado las empresas pudieran incluir Adware en una versión gratuita de su programa para luego ofrecer la versión paga sin las molestas publicidades.

Si bien es normal que un sitio web posea publicidad para generar ganancias, en el caso de una computadora infectada por un Adware los anuncios aparecerán de forma excesiva e inesperada. Hasta incluso puede abrirse la publicidad en ventanas del navegador web aun cuando el usuario no esté utilizando internet. Además de mostrarnos los famosos pop-ups de publicidad, los Adware tienen la capacidad de agregar al navegador nuevas páginas favoritas o una barra de herramientas para que el usuario siga navegando en internet dentro de sus redes de publicidad.

Fuera de lo molesto que puede ser un Adware para el usuario, el equipo que ha sido infectado disminuirá notablemente su rendimiento y la velocidad de acceso a internet. El Adware consume recursos y ancho de banda, por lo que el navegador web será el primero en funcionar lento.

Backdoor

Como su nombre en inglés lo indica, es una puerta trasera. Por lo general, una vez que el equipo ha sido comprometido por otro subtipo de malware o técnica de intrusión, el atacante instalará un backdoor de manera que pueda mantener el acceso al sistema aun si se corrige el medio por el cual se consiguió comprometer el sistema originalmente.

En su variante más común, un backdoor está programado para habilitar conexiones entrantes a un puerto específico, en el firewall que posea la máquina donde ha sido ejecutado. Como opción adicional quizás agregue una cuenta al grupo administradores con credenciales conocidas por el atacante.

Gusano

Los gusanos, también conocidos como worms, tienen la capacidad de duplicarse a sí mismos y propagarse por diferentes medios electrónicos con el objetivo de infectar la mayor cantidad posible de equipos. En un principio los gusanos únicamente impactaban en el rendimiento del sistema ya que consumían recursos y ancho de banda para distribuirse e infectar otras máquinas. Actualmente son mucho más complejos y se utilizan como transportadores de otros subtipos de malware, comúnmente troyanos, lo cual hace la infección mucho más peligrosa.

La pregunta es, ¿cómo se propaga el gusano? Una vez que infectó un equipo intentará copiarse a los dispositivos de almacenamiento USB que estén conectados (pendrives), a los recursos compartidos en la red local e incluso se enviará por correo electrónico a todos los contactos del usuario víctima de la infección. Cabe destacar que tan sólo hemos mencionado tres métodos de propagación, los gusanos actuales cuentan con mayor diversidad en este aspecto.

El atacante crea el gusano a través de un programa como el que puede observarse en la figura 2 (también se lo llama cliente del gusano). Por lo general, las principales opciones son:

• Dirección URL de un archivo a descargar en el equipo infectado (comúnmente un troyano).
• Elegir métodos de propagación: Red LAN, P2P, USB, entre otros.
• Auto-iniciarse junto al sistema operativo.

Adicionalmente, según las habilidades del desarrollador del gusano, podemos encontrar opciones para saltar Antivirus, Sandboxie y otros sistemas de seguridad así cómo deshabilitar funciones de Windows que podrían servir para erradicar al gusano.

Cliente de un Gusano de la actualidad.

Keylogger

Tal como lo indica su nombre en inglés, un keylogger tiene la capacidad de grabar todas las teclas pulsadas por el usuario del equipo infectado. Por supuesto que de este modo atrapará todo tipo de credenciales de acceso, peor aún, los keyloggers más avanzados pueden realizar capturas de pantalla sobre el click del mouse para capturar contraseñas que se escriban mediante un teclado virtual. Adicionalmente también se guarda el título de la ventana donde se pulsan las teclas, fecha y hora del momento.

Un keylogger puede ser remoto o local.

En el caso de ser local se instalará en el equipo por alguna persona que tenga acceso físico al mismo, y quedará oculto registrando todo lo que sea pulsado en el teclado de ese equipo. El registro podrá ser visto únicamente por la persona que lo instaló.

Los keyloggers remotos son más complejos. El atacante al crearlo debe especificar a donde se enviarán los registros de las pulsaciones, comúnmente utilizará un servidor FTP o un correo electrónico en su poder. Luego, debe indicar cada cuanto tiempo, o en su defecto, cada cuantos kilobytes se enviarán los registros.

Cliente para crear un keylogger remoto.

Rogue

Rogue, se le llama a los códigos maliciosos que simulan ser una solución anti-malware pero contrariamente a esta, concluyen por infectar el equipo con otro subtipo de malware (comúnmente un troyano). A través de la ingeniería social asustan al usuario indicando, luego de simular un escaneo al equipo, que posee alrededor de 300 virus que podrían destruir su PC si no los elimina ya mismo. Por supuesto que dan la falsa solución al problema, la cual si el usuario acepta tendrá que pagar una suma de dinero o simplemente descargar el software que limpiará el equipo (que en realidad es otro malware).

Típico mensaje de un Rogue.