El Malware, un demonio de mil cabezas

En el presente artculo el lector podr conocer ms sobre el Malware,

desde su definicin, clasificacin y comportamiento tpico hasta un
conjunto de buenas prcticas para aprender a detectarlo y combatirlo,
pasando por la estrategia que Microsoft ha desarrollado para combatir
este mal de la informtica moderna.

Por Luis Montenegro, Director de Infoclan. MVP

Dentro de los muchos aspectos que abarca la seguridad de la informacin, la seguridad a nivel de
host (o estacin de trabajo), es uno de los tpicos ms reconocidos por el comn de la gente.
Generalmente cuando a las personas se les habla de seguridad informtica, lo primero que se les
viene a la cabeza son los antivirus, gusanos, troyanos y otros conceptos muy tpicos del aspecto
anteriormente nombrado. Y no podemos hablar de seguridad de host sin nombrar a su principal
amenaza: El malware, un demonio que al igual que Hidra de Lerna parece tener cada da una
nueva variante (o cabeza, haciendo la analoga) a vencer.

Qu es el Malware?

El trmino Malware proviene de la asociacin de dos palabras de la lengua inglesa: Malicious

Software. Bajo este trmino, se asocia a todo aquel software que tiene propsitos dainos para el
usuario que tiene la mala suerte de toprselos. Los propsitos que tiene el Malware van desde la
simple recoleccin de informacin personal del usuario (para poder venderla a otras compaas),
hasta el uso de recursos de forma remota o simplemente el daar la estructura del sistema
operativo afectado. Estos propsitos estn estrictamente relacionados con la persona que disea
cada malware; algunos lo hacen por simple ocio, mientras que la gran mayora lo hace en pos de
un beneficio econmico.

Dentro del concepto de Malware se pueden encontrar amenazas tales como:

Gusanos
Troyanos
Backdoors
Spywares
RootKits
Exploits
Dialers, etc.
Clasificando el Malware

Uno de los aspectos que ms comnmente se usan para clasificar el Malware es su nivel de
peligro o dao potencial para el equipo afectado. En la figura 1 se puede observar una clasificacin
del Malware.

Figura 1. Clasificacin del Malware segn su peligro potencial. + No revierte peligro

(ejemplo positivo) Revierte peligro (ejemplo de malware)-

El Malware, como se puede ver en la figura anterior, tiene variados comportamientos, que van
desde la simple publicidad no autorizada hasta la actividad claramente maliciosa, lo cual
compromete los tres principios de la seguridad de la informacin.

Entre las actividades tpicas que se pueden encontrar en un Malware, destacan las siguientes:

Vectores de replicacin: Muchos tipos de Malware tienen la capacidad de explorar las

listas de contactos que tiene el usuario afectado en su equipo y autoenviarse a todos los
usuarios de sta. Es un mtodo tpico de propagacin de virus y gusanos de correo
 electrnico, aunque este comportamiento tambin puede repetirse en una red P2P, en
sistemas de mensajera instantnea e incluso en una red local.
Explotacin de una vulnerabilidad de software: Generalmente, cada vez que se da
alerta de un problema del sistema operativo o de otro de sus componentes importantes
(como clientes de correo electrnico y navegadores de Internet), se crea un malware que
es capaz de explotar dicha vulnerabilidad, en muchos casos para intentar tomar control
remoto de la mquina afectada. He aqu la importancia por parte del usuario de
mantenerse al tanto de cada una de estas publicaciones y de instalar de manera correcta
los parches necesarios.
Ingeniera social: Es sabido que una gran cantidad de malware no puede funcionar sin la
interaccin del usuario. Muchos virus y gusanos informticos por ejemplo, vienen
encapsulados en un archivo ejecutable que si no es abierto por el usuario no reviste dao
alguno. Por lo tanto, muchos de estos programas malignos necesitan de la cooperacin de
la famosa capa 8, por lo que suelen venir adjuntos en correos electrnicos tentadores,
con remitentes que a veces son nuestros propios amigos o colegas de trabajo.
Robo de contraseas: Uno de los principales objetivos que persigue un delincuente
informtico es alcanzar la contrasea de administrador de los equipos que est atacando,
para poder tener acceso sin restricciones al sistema. Por lo tanto una gran cantidad de
malware est diseado para ir tras ese objetivo.
Polimorfismo: El malware es una amenaza en evolucin. Estos programas son capaces
de cambiar su forma para evitar ser destruidos o neutralizados por el software de
proteccin. Cuando se lanzan los parches de proteccin a una vulnerabilidad que explota
un malware especfico, los creadores de este ltimo intentan hacer ingeniera reversa de
tal manera de mejorar su creacin. As comienza una brutal carrera entre el atacante y el
atacado.
Secuestro de informacin: Este tipo de malwares, conocidos recientemente como
ransomware, segn los informes de las distintas compaas de antivirus, se caracterizan
por impedir el acceso del usuario a sus propios documentos hasta que sea pagada una
determinada cantidad monetaria.

Y qu est haciendo Microsoft para combatir estas amenazas?

Microsoft est trabajando hace largo tiempo para combatir el Malware, basndose en un equipo
tecnolgico que trabaja codo a codo con el COSD (Core-OS-Division). Este equipo, que cuenta con
un excelente equipo de profesionales del equipo de seguridad de Microsoft (STU) ha generado un
conjunto de disciplinas estndares ms un equipo de respuesta especializado para combatir esta
amenaza. Haciendo un poco de historia, el trabajo antimalware de Microsoft est relacionado con
la adquisicin de GeCAD en Diciembre de 2004, aunque el ao anterior ya haba adquirido los
derechos de propiedad intelectual de esta compaa desarrolladora de Software. Desde ese
momento, los especialistas antimalware de Microsoft han estado trabajando continuamente en el
desarrollo de herramientas de software que sean capaces de detectar, analizar y neutralizar los
efectos de esta amenaza.

Bsicamente, la solucin de Micorosft para combatir el malware se basa en 3 conceptos clave:

Un ncleo, consistente en un sistema de proteccin en tiempo real, un motor de bsqueda

de malwares y un conjunto de firmas que usa el motor para detectar el malware y tomar
acciones necesarias para su desinfeccin
Un sistema de recoleccin de los datos arrojados por el ncleo.
El anlisis de los datos recolectados por parte de Microsoft, para poder estudiar nuevas
variantes de Malwares y mejorar continuamente sus productos.

El ncleo

Figura 2. Estructura del ncleo de la solucin antimalware de Microsoft

El ncleo de la solucin antimalware de Microsoft se basa en 3 componentes principales:

Sistema de proteccin en tiempo real: Un sistema de proteccin en tiempo real, es

bsicamente un pequeo programa residente en el sistema operativo que est a la espera
de algn cambio sospechoso en la configuracin global del sistema, ante lo cual ejecuta
 contramedidas para evitar dichos cambios. El sistema de proteccin en tiempo real
depender de la solucin escogida por el usuario. En algunos casos, el sistema de
proteccin en tiempo real reaccionar ante cualquier cambio en el sistema de archivos o en
el ncleo del sistema operativo. En otros casos, el sistema reaccionar ante cambios en el
registro que impliquen el autoinicio de alguna aplicacin o que cambien las condiciones de
inicio de alguna de las aplicaciones existentes. Un claro ejemplo de esto ltimo es el caso
de los spywares que son capaces de cambiar la pgina de inicio del navegador de Internet
o crean Dialers a sitios pornogrficos. Ante estos cambios, propios del comportamiento del
Malware, se ejecuta un proceso de SCAN y se neutraliza el ataque.
Motor de bsqueda antimalware: El motor de bsqueda es el componente del ncleo al
cual tiene acceso el usuario, generalmente a travs de una API. ste se encarga de cargar
todos los plugins necesarios para un proceso de SCAN, el cual se realiza a travs de un
proceso de comparacin de los archivos del sistema operativo con las firmas de malwares
existentes en el sistema. El motor antimalware cuenta adems con bibliotecas de ayuda
que son capaces de detectar patrones de ncleo propios del malware, como CRC o
patrones de comportamiento.
Conjunto de Firmas: Una firma es un identificador nico de un malware en particular. El
motor antimalware hace su anlisis buscando dentro de todo el sistema operativo algn
componente que dentro de su estructura tenga alguna de las firmas existentes dentro del
ncleo. Los tipos de firmas existentes dentro de la solucin antimalware de Microsoft
incluyen hashing simple de archivos, Multi-CRC, Tunneling Signaturas (para rootkits de
modo usuario), Deteccin genrica (para detectar componentes de familias de malware
basado en segmentos de cdigo repetido y propios de la familia), Emulacin (para tratar
virus polimrficos) y escaneo basado en reglas (Heursticas). Adems dentro de las firmas
se pueden encontrar firmas especficas de limpieza para algunos malwares especficos
(como por ejemplo para el sasser o blaster).

Recoleccin de datos y posterior anlisis de stos

Uno de los componentes vitales para el xito de la solucin antimalware de Microsoft es la

recoleccin de los datos entregados por sus soluciones antimalware y su posterior anlisis. Estos
datos, que son recibidos y tratados con el estndar de privacidad de Microsoft, permiten a la
compaa monitorear las tendencias existentes, priorizar el proceso de creacin de nuevas firmas y
estudiar nuevos malwares existentes, de tal forma de poder hacer a sus soluciones ms preactivas
en el futuro cercano. Dentro de los datos frecuentemente recolectados para anlisis, se tienen los
siguientes:
 Informacin del archivo infectado
Motor de bsqueda asociado
Firma asociada
Sistema Operativo afectado
Localizacin geogrfica del equipo afectado

Toda esta informacin permite a Microsoft clasificar mediante un sistema de valoracin (o pesaje)
los nuevos malwares que son reportados por sus clientes. Esto generalmente se realiza gracias a
conceptos como:

Posibles falsos positivos

Amenazas de alta difusin
Amenazas de alto impacto
Amenazas que explotan vulnerabilidades nuevas
Amenazas muy recientemente empaquetadas o compiladas

Soluciones antimalware de Microsoft Existentes

La siguiente tabla indica las principales soluciones antimalware que Microsoft est entregando a
sus clientes.

MS Offering Target Customer Real-Time Signature Set

Malicious Software Win2k and higher. Delivered via WU/MU/AU No AV only (partial)
Removal Tool
Internet Explorer V7 XPSP2 and Server 2K3 No AV only (partial)
installer
Windows Vista - Clean Consumers who upgrade XP PCs. Integrated No AV only (partial)
on upgrade to Vista with Dynamic Update
MSN Messenger V8 Consumers No AV only
Windows Live Safety Win2k and higher. Consumers No AV & AS
Center
Microsoft Forefront Server OSs. Corporate Customers No AV only
Antigen
Windows Defender Win2k SP4, XPSP2, Server 2k3 SP1. Yes AS only
Consumers
Windows Vista with Consumers. Yes AS only
Defender Technology
Windows Live OneCare Windows XPSP2. For fee offering. Yes AV & AS
Consumers
Microsoft Forefront Win2k and higher. Corporate customers Yes AV & AS
Client Security
Buenas prcticas de usuario

Su equipo de un da para otro comienza a trabajar notablemente ms lento? Aparecen conos

extraos en pantalla o cambia extraamente su pgina de inicio en su navegador de Internet? El
conocer su propio sistema operativo es clave para aprender a detectar la presencia de algn tipo
de malware existente en su computador.

Una de las principales caractersticas que son comunes a casi todo tipo de malware es su bajo
perfil dentro de lo visible para el usuario. Mientras ms oculto y desapercibido pueda actuar un
malware, mayores son las posibilidades que este tiene para seguir atacando al sistema afectado. A
veces, un simple examen visual por parte del usuario puede ser una buena forma de detectar a
residentes no deseados en nuestro sistema.

Cambios en el inicio

Una de las primeras cosas que deberan poner en alerta a cualquier usuario comn y corriente son
los cambios en los procesos de inicio del sistema operativo. conos nuevos en la bandeja de
sistema, demoras fuera de lo comn en el arranque del SO o de alguno de sus programas, o
cambios en la pgina de inicio de un navegador de Internet (inclusive luego de deshacer dicho
cambio en la configuracin del sistema) son clara seal de la presencia de malware en el equipo.
Adems, los porn dialers generalmente lanzan una ventana de conexin a Internet apenas se inicia
el sistema.

Bajas en el rendimiento de la red

Nota que su red anda considerablemente ms lenta? Malwares como los caballos de Troya o los
Backdoors hacen uso malicioso de la red. Este tipo de programas generalmente suele afectar
bastante el rendimiento de la misma, al hacer uso de puertos TCP para enviar informacin a un
usuario remoto. Una de las buenas maneras para detectar este tipo de anomalas, es hacer uso de
una herramienta de anlisis de trfico que viene dentro de DOS.
 Figura 3. El comando Netstat permite ver las conexiones existentes en la red.

La lista es muy larga? Cuando las listas de trfico de red son muy extensas, esto se puede deber
a dos motivos:
a) El sistema est conectado a una red P2P
b) Algo est enviando informacin sin nuestro consentimiento

Para no caer en la paranoia, es bueno saber que muchos programas usan puertos caractersticos,
como por ejemplo:
Messenger usa el puerto 1863
Los navegadores de Internet usan el puerto 80
IRC usa el puerto 6667
Los clientes FTP usan los puertos 20 y 21
Los clientes de correo usan los puertos 110 y 25

Una buena herramienta que puede ser una excelente alternativa a NETSTAT es TCP View, un
programa de distribucin gratuita de Sysinternals. Este programa, que muestra en una versin
Win32 el equivalente al comando netstat ano de DOS, permite ver los programas que estn
asociados a las distintas conexiones de red. Este programa permite conocer el verdadero origen de
algunas conexiones. Este pequeo examen al funcionamiento de la red es conveniente hacerlo
apenas se encienda el equipo y se conecte a Internet. Si existen muchas conexiones extraas en
ese momento, lo ms probable es que algn programa que el usuario desconoce est haciendo
uso malintencionado de los recursos de red.
 Figura 4. TCP View.

Correos de error

Alguna vez se ha encontrado con mensajes de correo electrnico de los MAILER-DEMON,

indicando que un correo que usted no envi no pudo llegar a destino? Una de las caractersticas de
los Malware en general es que estos buscan una forma de replicarse, y una de las ms conocidas
formas de hacer esto es por medio del correo electrnico. As que una buena seal de alerta son
los correos que uno enva sin saberlo.

Algunos consejos prcticos

Para poder defenderse de manera efectiva del malware, es conveniente tener en cuenta los
siguientes consejos:

Mantenga su equipo actualizado. Las actualizaciones de seguridad ms que un lujo son

una necesidad; ayudan a cubrir vulnerabilidades que suelen ser explotadas por estos
programas.
 Instale un sistema de proteccin. Tener un buen antivirus y un antispyware es siempre una
ayuda para combatir este mal. Pero con eso no basta; estos tambin deben estar
actualizados. Un antivirus no actualizado presta tanta proteccin como un equipo sin
antivirus.
Use las herramientas de anlisis en lnea. Windows Live One Care es una excelente
herramienta de escaneo en lnea del sistema operativo. Un anlisis en lnea es liviano, no
consume mayores recursos del sistema y le permite identificar posibles amenazas.

Figura 5. Windows Live One Care

Cuide sus lugares de navegacin. Generalmente los sitios asociados al hacking o la

pornografa suelen estar llenos de malware esperando arribar a su sistema.
No abra todos los archivos que le llegan, sobre todo si son de remitentes desconocidos. Al
comienzo del artculo se habla de la importancia que tiene la ingeniera social en el triunfo
del malware.
Tenga mucho cuidado a la hora de usar redes P2P. Muchas de ellas tambin son foco de
malware.
A modo de conclusin
La guerra contra el malware est en pleno desarrollo. Por un lado, se tienen ataques cada vez ms
ingeniosos (de hecho en estos das pude leer una noticia que informaba sobre un ataque de virus
que se hizo a una empresa antivirus, que hizo que este malware fuera propagado como paquete de
actualizacin de la empresa). Por otro lado, grandes compaas renen profesionales expertos en
seguridad para tratar el tema y crear herramientas cada vez ms eficientes y eficaces. El futuro de
la guerra contra el malware est en la proactividad, es decir, la capacidad de detectar y neutralizar
malware en base a patrones de comportamiento, usando las firmas como un complemento a dicha
labor. Es importante destacar dentro de todo esto la importancia del usuario dentro de todo este
proceso. Muchas de las amenazas de hoy en da corresponden al famoso virus gallego:

Hola, mi nombre es Manolo y soy el primer virus gallego. Este virus est basado en un sistema de
honor, as que por favor reenve este correo a toda su lista de usuarios y acto seguido borre
manualmente todo el contenido de C:\. Muchas gracias por su cooperacin, Manolo.

Dejando a un lado el lado humorstico, muchas de las amenazas de malware existentes hoy en da
todava requieren cierta interaccin con el usuario. Por lo tanto, un factor clave para derrotar a este
monstruo de mil cabezas es orientar al usuario y ensearle el uso correcto de sus herramientas
tecnolgicas de trabajo.

Enlaces de inters
Windows Defender
o Website: http://www.microsoft.com/antispyware
o Newsgroup: microsoft.private.security.spyware
o Discussion alias: spybuddy
MSRT
o Website: http://www.microsoft.com/malwareremove
o Newsgroup: microsoft.public.security.virus
o White paper: http://go.microsoft.com/fwlink/?linkid=67998
Windows Live Safety Center
o Website: http://safety.live.com
General
o Blog: http://blogs.msdn.com/antimalware
o PM Alias: ampt
Microsoft Technet Chile
o Website: http://www.microsoft.com/chile/technet/
o Seguridad: http://www.microsoft.com/latam/technet/seguridad/
o Newsletter Seguridad:
http://www.microsoft.com/latam/technet/seguridad/security_flash/default.asp
o Newsletter: http://www.microsoft.com/latam/technet/boletin/default.asp
o ALSI: http://www.mslatam.com/latam/technet/cso/Html-ES/home.asp
Comunidades y grupos de usuarios
o Infoclan: http://groups.msn.com/infoclan