Las medidas de seguridad para mantener al malware lejos de nuestros
ordenadores continúan mejorando, pero lo mismo se puede decir del código que
compone a estos bichos digitales. La astucia y la inteligencia de aquellos
que desarrollan código malicioso los lleva a explorar métodos poco
convencionales para esparcir sus creaciones. En general, que un virus
termine infectando a otro puede parecer un simple error de comportamiento,
aunque también es algo fabulosamente retorcido que, por ejemplo, un troyano
aproveche la capacidad de infección de un gusano para llegar a más sistemas.
Bienvenidos al "Frankenmalware".
La creatividad de los desarrolladores de malware continúa en ascenso, y
honestamente, es cuestión de tiempo para que algún bicho encuentre una
fisura y logre abrirse paso. Lamentablemente, aquella declaración del ERI en
el ataque al hotel Brighton también se aplica aquí: Nosotros debemos tener
suerte siempre, pero quien envía al malware sólo necesita tener suerte una
vez.
Caso teórico: Un troyano infecta a un gusano. El antivirus limpia al
gusano, cambiando su firma original en el proceso, y el antivirus ahora no
puede detectar al gusano. Dos errores harían un acierto para el malware.
Un comportamiento inusual pero no imposible entre el malware es que una
variante infecte a otra. A modo de ejemplo, tomemos a un gusano. Redes
sociales, P2P, correos electrónicos y servicios de chat están entre las
rutas de infección preferidas de un gusano. Pero como archivo ejecutable que
es, el gusano también puede convertirse en blanco de otro malware, como un
troyano. A decir verdad, esto suele ser accidental. El troyano infecta
archivos por tipo, y no por el comportamiento del mismo. Los blancos
preferidos son ejecutables de bajo nivel (explorer.exe, winlogon.exe) que
garanticen la presencia del malware en el ordenador desde su inicio,
aumentado así sus posibilidades de infección, y sería de una complejidad
bastante alta que un troyano intente "evitar" a otros "bichos colegas", por
lo tanto, otros ejecutables también se convierten en blancos válidos.
El problema es que, de acuerdo a la gente de Bitdefender, que ha estado
explorando este lado poco ortodoxo de las infecciones de malware, una
infección adrede de un virus a otro podría llevar a escenarios realmente
difíciles de enfrentar para cualquier usuario. El combo "gusano-troyano" es
particulamente perturbador. Imagina que un gusano es infectado por un
troyano. El antivirus detecta primero al troyano y "limpia" al gusano, pero
el gusano desinfectado no es técnicamente idéntico a su versión original, lo
que altera su firma. Si esta firma es diferente a la que tiene registrada el
antivirus para eliminarlo, el gusano quedaría "inmunizado" por la infección
del troyano, abriendo paso a una mutación. Como en todo caso, la mejor
defensa sigue siendo la prevención, pero si los desarrolladores llegaran a
"coordinar esfuerzos", el salto de calidad del malware sería preocupante.
Los desarrolladores suelen competir por el mismo botín (números de tarjetas,
contraseñas, robo de identidad, etc.), pero nadie está diciendo que sea algo
imposible. El nombre oficial para estos combos es "Frankenmalware", y según
Bitdefender, ya hay 40 mil de estos "paquetes" en la Web.
Fuente: Bitdefender
No hay comentarios:
Publicar un comentario