VDEOintypedia006es

LECCIN6:MALWARE
AUTOR:BernardoQuintero
HispasecVirusTotalFounder

ALICIA
Hola, bienvenidos a intypedia. Hoy vamos a hablar del apasionante mundo de los cdigos
maliciososyelnegocioqueexistealrededordeellos.Acompanos!

ESCENA1.INTRODUCCINALMALWARE:CONCEPTOS

ALICIA
Hola Bernardo, quera consultarte una cosa sobre mi ordenador. ltimamente aparecen
muchas ventanas de publicidad de forma aleatoria, sin que yo haga nada. Tambin lo noto
especialmente lento cuando navego por Internet crees que podra estar infectado por un
virus?

BERNARDO

Podra ser algn tipo de malware. Si quieres djame que lo estudie un momento para ver si
encontramosalculpabledeesecomportamientoextrao.

ALICIA
Claro,toma,aqulotienes.Me hasdichoquepuede serunmalware,esoqu es,untipode
virus?

BERNARDO

Guin intypedia006es 1

Malware es un trmino genrico para referirse a cualquier tipo de software malicioso o
molestoqueseinstalaenlossistemas,tambinsecaracterizanporquellevanacaboacciones
no deseadas sin el consentimiento del usuario. Los virus informticos son en realidad un
subtipo dentro de la gran familia del malware, al igual que otros especmenes como son los
gusanos,troyanos,adware,keyloggers,dialers,etc.

ALICIA
Vaya, no saba que hubiera tantos tipos de software malicioso. Qu diferencias hay entre
ellos?

BERNARDO

Los virus informticos tienen la capacidad de adjuntarse o incrustarse en otro software, es

decir,seautoreplicaninfectandootrosprogramas.

Deestaformaunaaplicacinlegtima,porejemplounjuegode ordenadorounprogramade
contabilidad, podra estar infectado por un virus si ha tenido contacto con l en un sistema
infectado.Enelcasodelosgusanos,notienenesacapacidaddeintroducirseeinfectaraotros
programas, y en su lugar se replican haciendo copias de s mismos. Por ejemplo, uno de los
casos ms conocidos fue el gusano ILOVEYOU, que se replicaba enviando una copia de s
mismoporcorreoelectrnicosimulandoserunacartadeamor.Sialguienabraelficheroque
contenalasupuestacartadeamor,elgusanoseejecutabayseautoenviabadenuevoenun
mensajeatodalalistadecontactosdecorreoelectrnicodeeseusuario.

Por otro lado, el adware es todo aquel software que presenta publicidad no deseada ni
consentidaporelusuario,loskeyloggerssonprogramasquepermitencapturarlaspulsaciones
de teclado de manera que actan como espas de lo que el usuario infectado escriba en su
sistema,ylosdialersrealizanllamadasdetarificacinadicionalatravsdeun mdem,con el
consecuente incremento en la factura telefnica de los usuarios afectados. Una atencin
especial merecen los troyanos por su difusin actual. Los troyanos, a diferencia de los virus y
losgusanos,nosoncapacesdeinfectaraotrosprogramasniautoreplicarse porsmismos,y
suelen presentarse como un programa legtimo a la espera de que el usuario lo acepte y
ejecute.

De hecho, su nombre proviene del famoso caballo de madera que los griegos utilizaron para
infiltrarse en la ciudad de Troya, hacindoles creer que se trataba de un regalo, cuando en
realidadensuinteriorseencontrabanescondidoslossoldadosdispuestosaatacar.Hoydalos
troyanos representan la familia ms extensa dentro del malware y a su vez se dividen en
muchas subespecies. As, hablamos de troyanos backdoor aquellos que instalan una puerta
trasera que permite a un intruso acceder al sistema, troyanos bancarios aquellos que estn
especializadosenelrobodecredencialesdeaccesoalabancaporInternet,etc.

ALICIA
Guin intypedia006es 2

Quinteresante!Entonceslasventanasquesalenenmiordenadorpuedenestarprovocadas
porunadwareExistenmstiposdemalware?

BERNARDO

S, hay muchos ms, y adems podemos tener varias clasificaciones de malware segn
diferentescriterios.Porejemploatendiendoalosmecanismosdedistribucin,alosmtodos
deinstalacinenelsistema,alaformaenquesoncontroladosremotamente,etc.Hoydalos
especmenesdemalwaresuelenposeermuchasfuncionalidadesysesuelenclasificarsegnla
msdestacada.Porejemplo,podramoshablardeuntroyanoquetienefuncionesderootkitsi
posee tcnicas especficas para permanecer oculto ante usuarios avanzados y soluciones de
seguridad,ademspuedeserunbotsiformapartedeunareddeequiposinfectadosqueson
controladosdeformacentralizadayremota.Almismotiempotambinpodrahaceraparecer
publicidadnodeseadaycapturarlaspulsacionesdeteclado,porloquetambinentraraenla
familiaadwareykeylogger.Esdecir,serauntroyanorootkitbotadwarekeyloggertodoen
uno!Enrealidadesteescenarioesbastantecomn.

ESCENA2.DIFUSINDELMALWARE.CMOSEINFECTA?

ALICIA
Bernardo me ha quedado bastante ms claro los diferentes tipos de malware que existen.
Quizs los troyanos y el adware sean los ms comunes. Cmo hacen para infectar
ordenadores?

BERNARDO

A da de hoy la mayor parte del malware se distribuye a travs de Internet. Uno de los
mtodos ms usuales es el conocido como "driveby download" que consiste en descargar y
ejecutarelficheromalicioso,porejemploatravsdelaWeboejecutandounficheroadjunto
recibido por correo electrnico, por ejemplo, un fichero PDF malicioso. En muchas ocasiones
se le engaa al usuario hacindole creer que es un programa o informacin til para l, por
ejemplo, para un software para reproducir vdeos. En otras ocasiones, la infeccin es
transparente al usuario; slo es necesario visitar una pgina Web que aproveche alguna
vulnerabilidad del navegador Web para descargar y ejecutar el malware. No obstante, en
general cualquier protocolo de Internet puede ser utilizado para distribuir malware, por
ejemplo las redes P2P o la mensajera instantnea. No debe olvidarse, adems, que tambin
los medios de almacenamiento fsico pueden propagarlos; por ejemplo, es comn la
distribucindeellosatravsdememoriasUSB.

ESCENA3.ELNEGOCIODELMALWARE

ALICIA
Guin intypedia006es 3

Bernardo,hayalgoquenoentendiendo,porqualguienquerracrearmalware?Quizspara
demostrarqueesmsinteligente?

BERNARDO

Bueno, ms o menos. Cuando aparecieron los primeros virus informticos, los creadores de
malware eran personas que tenan mucha destreza programando en lenguaje ensamblador y
el nico fin era experimentar y demostrar su capacidad ante terceros. Digamos que en su
comienzofueunadcadaromntica,encuantoaquenoexistaunfineconmicoporparte
de los creadores de virus. Hoy da el panorama es bien diferente; existe todo un negocio
alrededordelmalware,hayverdaderasmafiasdetrsdeestosbichos.

ALICIA
Perocmopuedenganardineroconelmalware?Culeselnegocio?

BERNARDO

Haymuchasvasparaganardineroatravsdelmalware.Porejemplo,existenlosespecmenes
especializadosendelitosfinancieros,comolostroyanosquerobancredencialesdeaccesoala
bancaelectrnica,deformaquelosatacantespuedenrealizartransferenciasennombredela
vctima. A este tipo de malware tambin se le conoce por el nombre de crimeware. Por
ejemplo, el adware produce dinero mediante la venta de publicidad intrusiva en los
ordenadores infectados, en muchas ocasiones los anunciantes no son conscientes de estas
prcticas, sino que creen que estn pagando campaas de publicidad legtimas. De manera
similarhaymalwarecuyafuncinesenviarspam,mensajesmasivosdepublicidadatravsde
los sistemas infectados. Las botnets, o redes de sistemas controladas de forma central, son
utilizadas en muchas ocasiones para realizar ataques distribuidos de negacin de servicio
contra sitios Web, como por ejemplo comercios electrnicos. Bsicamente los miles de
sistemas infectados, o incluso millones, reciben rdenes de visitar o enviar trfico a un sitio
Web, produciendo su colapso. En esos casos los sitios sufren chantajes a cambio de no ser
atacados.

Perolacosanosequedaahexistenotrasmuchasestafasrelacionadasconelmalware.Por
ejemplo,esteltipodemalwareransomwarequesebasaenelchantaje;porejemplocifra
los documentos y fotos de los sistemas infectados para luego pedir un rescate al usuario si
quiererecibirlacontraseaquepermitadescifrarlosyrecuperarlos.

Otro modelo de fraude en auge es el malware clasificado como rogueware, que

paradjicamente son falsos antivirus que cobran al usuario para eliminar supuestas
infecciones. Evidentemente estos productos no eliminan nada, toda las detecciones y
supuestas desinfecciones son falsas; lo nico cierto es que el usuario habr pagado por un
softwarequeesuntimo.

Guin intypedia006es 4

ESCENA4.CONTRAMEDIDAS:DETECCINYELIMINACINDEMALWARE

ALICIA
QutalvaelanlisisdemiordenadorBernardo?Hasdescubiertoalgo?

BERNARDO

S, he encontrado dos especmenes de malware instalados: AdWare.Win32.Axarq.a y

Trojan.Bredolab. El primero era el que provocaba que aparecieran esas molestas ventanas
de publicidad. El segundo era un troyano que recibe rdenes de forma remota; tu ordenador
estaba formando parte de una botnet. Es probable que primero te infectaras con
Trojan.Bredolab y que este troyano, das ms tarde, descargara e instalara el adware en tu
equipo. Una hiptesis es que te infectaras de forma automtica navegando por Internet, ya
queestsutilizandounaversinantiguadeInternetExplorerquetienevulnerabilidades.

ALICIA
Peroyotengounantivirusinstaladoyactualizado?Nodeberahabermeprotegido?

BERNARDO

Los antivirus son una solucin de seguridad recomendable, pero no son infalibles. Aunque
muchos implementan sistemas heursticos, firmas genricas y detecciones basadas en el
comportamiento para tratar de detectar los especmenes nuevos, la realidad es que buena
parte de la proteccin que ofrecen contra el malware de nueva generacin sigue siendo
reactiva.Esdecir,siemprehayunnmeroindeterminadodecasosdondeelantivirusnopodr
protegerdeformaefectiva.

ALICIA
A lo mejor instalndome un sistema operativo distinto de Windows estara ms segura?
QuizsLinuxoMac?

BERNARDO

Todos los sistemas operativos son proclives a tener software malicioso; de hecho existen
muchosespecmenesespecialmentediseadosparaLinuxyMac.Noobstante,esciertoquela
gran mayora del malware se disea para Windows ya que es un sistema de uso mayoritario;
no olvidemos que el malware es un negocio y por tanto los creadores intentan maximizar su
beneficio afectando al mayor nmero de vctimas. Es decir, aunque puedes infectarte con
cualquier sistema operativo, s es cierto que a efectos prcticos tienes ms posibilidades con
Windows. Mi recomendacin es que uses el sistema operativo y el software en general que
mejorseadapteatusnecesidades.

Guin intypedia006es 5

ALICIA
Entoncesqumerecomiendasparaprevenirestetipodeinfecciones?

BERNARDO

Hoy lo ms importante es actualizar el sistema operativo y las aplicaciones de tu ordenador,

especialmentealgunasaplicacionescrticascomoelvisualizadordearchivosenformatoPDFo
el paquete de ofimtica. No debes olvidar de actualizar la versin de tu navegador Web y de
aquellasextensionesmspopularesquepermitenvercontenidomultimedia,vdeosflash,etc.
Lgicamente, aunque no es una medida infalible, tener instalado un antivirus actualizado
constituye una capa ms a aadir a la seguridad de tu ordenador. En cualquier caso, a todo
esto hay que sumarle sentido comn y actitud crtica antes de ejecutar programas de
desconocidos o pinchar en enlaces recibidos por correo electrnico. Estas simples medidas
permitirnprevenirmuchassituacionesderiesgo.

ALICIA
GraciasBernardo!Seguirtusconsejos.

BERNARDO

BuenoAlicia,yaheeliminadoelmalwaredetusistemayheactualizadoelsistemaoperativoy
todas tus aplicaciones. Por hoy ya es suficiente. En la pgina Web de intypedia encontrars
documentacinadicionalaestaleccin.Adis!

ALICIA
Hastalaprximaleccin!

Guin adaptado al formato intypedia a partir del documento entregado por D. Bernardo
Quintero.
Madrid, Espaa, marzo de 2011
http://www.intypedia.com
http://twitter.com/intypedia

Guin intypedia006es 6