Documentos de Académico
Documentos de Profesional
Documentos de Cultura
o programa
maligno (tambi�n llamado badware, c�digo maligno, software maligno, software da�ino
o software malintencionado) hace referencia a cualquier tipo de software maligno
que trata de afectar a un ordenador, a un tel�fono celular u otro dispositivo.3? Se
considera un tipo da�ino de software si es destinado a acceder a un dispositivo sin
el conocimiento del usuario. El t�rmino malware es muy utilizado por profesionales
de la inform�tica para referirse a una variedad de software hostil, intrusivo o
molesto.4?Antes de que el t�rmino malware fuera acu�ado por Yisrael Radai en
1990,5?6? el software maligno se agrupaba bajo el t�rmino �virus inform�tico� (un
virus es en realidad un tipo de programa maligno).7?
Los estudios de Symantec publicados en 2008 suger�an que �el ritmo al que se ponen
en circulaci�n c�digos malignos y otros programas no deseados podr�a haber superado
al de las aplicaciones leg�timas�.8? Seg�n un informe de F-Secure, �se produjo
tanto malware en 2007 como en los 20 a�os anteriores juntos�.9?
Seg�n Panda Security, durante los doce meses del 2011 se crearon 73 000 nuevos
ejemplares de amenazas inform�ticas por d�a, 10 000 m�s de la media registrada en
todo 2010. De estas, el 73 % fueron troyanos y crecieron de forma exponencial los
del subtipo de descarga.10?11?
�ndice
1 Prop�sito
2 Malware infeccioso: virus y gusanos
3 Malware oculto: puerta trasera, drive-by downloads, rootkits y troyanos
3.1 Puertas traseras
3.2 Drive-by download
3.3 Rootkits
3.4 Troyanos
4 Malware para obtener beneficios
4.1 Mostrar publicidad: spyware, adware y hijacking
4.2 Robar informaci�n personal: keyloggers y stealers
4.3 Realizar llamadas telef�nicas: dialers
4.4 Ataques distribuidos: Botnets
4.5 Otros tipos: Rogue software y ransomware
4.5.1 Ransomware
5 Grayware o greynet
6 Vulnerabilidades usadas por el malware
6.1 Eliminando c�digo sobre-privilegiado
7 Programas anti-malware
8 M�todos de protecci�n
9 Antimalware Day
10 V�ase tambi�n
10.1 Compa��as antimalware
11 Referencias
12 Enlaces externos
Prop�sito
Malware por categor�as el 16 de marzo de 2011.
El software creado para causar da�os o p�rdida de datos suele estar relacionado con
actos delictivos. Muchos virus son dise�ados para destruir archivos en disco duro o
para corromper el sistema de archivos escribiendo datos inv�lidos. Algunos gusanos
son dise�ados para vandalizar p�ginas web dejando escrito el alias del autor o del
grupo por todos los sitios por donde pasan. Estos gusanos pueden parecer el
equivalente inform�tico del grafiti.
Hay muchos m�s tipos de malware producido con �nimo de lucro, como el spyware, el
adware intrusivo y los secuestradores tratan de mostrar publicidad no deseada o
redireccionar visitas hacia publicidad para beneficio del creador. Estos tipos de
malware no se propagan como los virus, ya que generalmente son instalados
aprovech�ndose de vulnerabilidades de los sistemas o junto con software leg�timo
como las aplicaciones inform�ticas de tipo descarga de contenido (P2P).
Malware infeccioso: virus y gusanos
Art�culos principales: Virus, Gusano y Robert Tappan, creador del 1er Gusano.
C�digo fuente del gusano Morris.
Virus de ping-pong.
Los tipos m�s conocidos de malware, virus y gusanos se distinguen por la manera en
que se propagan, m�s que por otro comportamiento particular.13?
Para que un software maligno pueda completar sus objetivos, es esencial que
permanezca oculto al usuario. Por ejemplo, si un usuario experimentado detecta un
programa maligno, terminar�a el proceso y borrar�a el malware antes de que este
pudiera completar sus objetivos. El ocultamiento tambi�n puede ayudar a que el
malware se instale por primera vez en la computadora.
Puertas traseras
Art�culo principal: Puerta trasera
Una puerta trasera (en ingl�s, backdoor) es un m�todo para eludir los
procedimientos habituales de autenticaci�n al conectarse a una computadora. Una vez
que el sistema ha sido comprometido (por uno de los anteriores m�todos o de alguna
otra forma), puede instalarse una puerta trasera para permitir un acceso remoto m�s
f�cil en el futuro. Las puertas traseras tambi�n pueden instalarse previamente al
software maligno para permitir la entrada de los atacantes.
Los crackers suelen usar puertas traseras para asegurar el acceso remoto a una
computadora, intentando permanecer ocultos ante una posible inspecci�n. Para
instalar puertas traseras los crackers pueden usar troyanos, gusanos u otros
m�todos.
Se ha afirmado, cada vez con mayor frecuencia, que los fabricantes de ordenadores
preinstalan puertas traseras en sus sistemas para facilitar soporte t�cnico a los
clientes, pero no ha podido comprobarse con seguridad.15?
Google ha descubierto que una de cada 10 p�ginas web que han sido analizadas a
profundidad puede contener las llamadas drive-by downloads o descargas autom�ticas,
que son sitios que instalan spyware o c�digos que dan informaci�n de los equipos
sin que el usuario se percate. 17?
El t�rmino puede referirse a las descargas de alg�n tipo de malware que se efect�a
sin consentimiento del usuario, lo cual ocurre al visitar un sitio web, al revisar
un mensaje de correo electr�nico o al entrar a una ventana emergente, la cual puede
mostrar un mensaje de error. Sin ser su verdadera intenci�n, el usuario consiente
la descarga de software indeseable o de malware, y estas vulnerabilidades se
aprovechan.
Algunos programas malignos tambi�n contienen rutinas para evitar ser borrados, no
solo para ocultarse. Un ejemplo de este comportamiento puede ser:
Uno de los rootkits m�s famosos fue el que la empresa Sony BMG Music Entertainment.
Secretamente incluy�, dentro de la protecci�n anticopia de algunos CD de m�sica, el
software �Extended Copy Protection (XCP) y MediaMax CD-3�,20? los cuales
modificaban a Windows para que no lo pudiera detectar y tambi�n resultar
indetectable por los programas anti-virus y anti-spyware. Actuaba enviando
informaci�n sobre el cliente, adem�s abri� la puerta a otros tipos de malware que
pudieron infiltrarse en las computadoras, adem�s de que si se detectaba, no pod�a
ser eliminado, pues se da�aba el sistema operativo.
El t�rmino troyano suele ser usado para designar a un malware que permite la
administraci�n remota de una computadora, de forma oculta y sin el consentimiento
de su propietario, por parte de un usuario no autorizado. Este tipo de malware es
un h�brido entre un troyano y una puerta trasera, no un troyano atendiendo a la
definici�n.
A grandes rasgos, los troyanos son programas malignos que est�n disfrazados como
algo inocuo o atractivo que invitan al usuario a ejecutarlo ocultando un software
maligno. Ese software, puede tener un efecto inmediato y puede llevar muchas
consecuencias indeseables, por ejemplo, borrar los archivos del usuario o instalar
m�s programas indeseables o malignos.
Los troyanos conocidos como droppers24?25? son usados para empezar la propagaci�n
de un gusano inyect�ndolo dentro de la red local de un usuario.
Una de las formas m�s comunes para distribuir spyware es mediante troyanos unidos a
software deseable descargado de Internet. Cuando el usuario instala el software
esperado, el spyware es puesto tambi�n. Los autores de spyware que intentan actuar
de manera legal pueden incluir unos t�rminos de uso, en los que se explica de
manera imprecisa el comportamiento del spyware, que los usuarios aceptan sin leer o
sin entender.
Malware para obtener beneficios
Durante los a�os 1980 y 1990, se sol�a dar por hecho que los programas malignos
eran creados como una forma de vandalismo o travesura. Sin embargo, en los �ltimos
a�os la mayor parte del malware ha sido creado con un fin econ�mico o para obtener
beneficios en alg�n sentido. Esto es debido a la decisi�n de los autores de malware
de sacar partido monetario a los sistemas infectados, es decir, transformar el
control sobre los sistemas en una fuente de ingresos.
Mostrar publicidad: spyware, adware y hijacking
Art�culos principales: Spyware, Adware e Hijacking.
Los programas spyware son creados para recopilar informaci�n sobre las actividades
realizadas por un usuario y distribuirla a agencias de publicidad u otras
organizaciones interesadas. Algunos de los datos que recogen son las p�ginas web
que visita el usuario y direcciones de correo electr�nico, a las que despu�s se
env�a spam. La mayor�a de los programas spyware son instalados como troyanos junto
a software deseable bajado de Internet. Otros programas spyware recogen la
informaci�n mediante cookies de terceros o barra de herramientas instaladas en
navegadores web. Los autores de spyware que intentan actuar de manera legal se
presentan abiertamente como empresas de publicidad e incluyen unos t�rminos de uso,
en los que se explica de manera imprecisa el comportamiento del spyware, que los
usuarios aceptan sin leer o sin entender.
Los Spyware tienen como objetivo recopilar informaci�n del equipo en el que se
encuentra y transmit�rselo a quien lo ha introducido en el equipo. Suele camuflarse
tras falsos programas, por lo que el usuario raramente se da cuenta de ello. Sus
consecuencias son serias y van desde robos bancarios, suplantaciones de identidad
hasta robo de informaci�n.
Por otra parte los programas adware muestran publicidad al usuario de forma
intrusiva en forma de ventana emergente (pop-up) o de cualquier otra forma. Esta
publicidad aparece inesperadamente en el equipo y resulta muy molesta. Algunos
programas shareware permiten usar el programa de forma gratuita a cambio de mostrar
publicidad, en este caso el usuario consiente la publicidad al instalar el
programa. Este tipo de adware no deber�a ser considerado malware, pero muchas veces
los t�rminos de uso no son completamente transparentes y ocultan lo que el programa
realmente hace.
Los hijackers son programas que realizan cambios en la configuraci�n del navegador
web. Por ejemplo, algunos cambian la p�gina de inicio del navegador por p�ginas web
de publicidad o p�gina pornogr�fica, otros redireccionan los resultados de los
buscadores hacia anuncios de pago o p�ginas de phishing bancario. El pharming es
una t�cnica que suplanta al DNS, modificando el archivo hosts, para redirigir el
dominio de una o varias p�ginas web a otra p�gina web, muchas veces una web falsa
que imita a la verdadera. Esta es una de las t�cnicas usadas por los hijackers o
secuestradores del navegador de Internet. Esta t�cnica tambi�n puede ser usada con
el objetivo de obtener credenciales y datos personales mediante el secuestro de una
sesi�n.
Robar informaci�n personal: keyloggers y stealers
Un ejemplo de c�mo un hardware PS/2 keylogger est� conectado.
Art�culos principales: Keylogger y Stealer.
Los keyloggers y los stealers son programas malignos creados para robar informaci�n
sensible. El creador puede obtener beneficios econ�micos o de otro tipo a trav�s de
su uso o distribuci�n en comunidades underground. La principal diferencia entre
ellos es la forma en la que recogen la informaci�n.
Los keyloggers monitorizan todas las pulsaciones del teclado y las almacenan para
un posterior env�o al creador. Por ejemplo al introducir un n�mero de tarjeta de
cr�dito el keylogger guarda el n�mero, posteriormente lo env�a al autor del
programa y este puede hacer pagos fraudulentos con esa tarjeta. Si las contrase�as
se encuentran recordadas en el equipo, de forma que el usuario no tiene que
escribirlas, el keylogger no las recoge, eso lo hacen los stealers. La mayor�a los
keyloggers son usados para recopilar contrase�as de acceso pero tambi�n pueden ser
usados para espiar conversaciones de chat u otros fines.
Los stealers tambi�n roban informaci�n privada pero solo la que se encuentra
guardada en el equipo. Al ejecutarse comprueban los programas instalados en el
equipo y si tienen contrase�as recordadas, por ejemplo en los navegadores web o en
clientes de mensajer�a instant�nea, descifran esa informaci�n y la env�an al
creador.
Realizar llamadas telef�nicas: dialers
Art�culo principal: Dialer
Los dialers son programas malignos que toman el control del m�dem dial-up, realizan
una llamada a un n�mero de tel�fono de tarificaci�n especial, muchas veces
internacional, y dejan la l�nea abierta cargando el coste de dicha llamada al
usuario infectado. La forma m�s habitual de infecci�n suele ser en p�ginas web que
ofrecen contenidos gratuitos pero que solo permiten el acceso mediante conexi�n
telef�nica. Suelen utilizar como se�uelos videojuegos, salva pantallas, pornograf�a
u otro tipo de material.
Las botnets son redes de computadoras infectadas, tambi�n llamadas �zombis�, que
pueden ser controladas a la vez por un individuo y realizan distintas tareas. Este
tipo de redes son usadas para el env�o masivo de spam o para lanzar ataques DDoS
contra organizaciones como forma de extorsi�n o para impedir su correcto
funcionamiento. La ventaja que ofrece a los spammers el uso de ordenadores
infectados es el anonimato, que les protege de la persecuci�n policial.
El rogue software hace creer al usuario que la computadora est� infectada por alg�n
tipo de virus u otro tipo de software maligno, esto induce al usuario a pagar por
un software in�til o a instalar un software maligno que supuestamente elimina las
infecciones, pero el usuario no necesita ese software puesto que no est�
infectado.27?
Ransomware
InfoSpyware reporta en su blog que a partir de mayo del 2012, han existido dos
variantes del llamado �virus de la polic�a� o �Virus Ukash�, que es producido por
el troyano Ransom.ab, que con el pretexto de que se entr� a p�ginas de pornograf�a
infantil, se les hace pagar una supuesta multa para poder desbloquear sus
equipos,28? actualmente tambi�n utilizando la propia c�mara Web del equipo hacen
unas supuestas tomas de v�deo que anexan en su banner de advertencia, para
asustarlos m�s al hacerlos pensar que est�n siendo observado y filmado por la
polic�a, siendo Rusia, Alemania, Espa�a y Brasil los pa�ses m�s afectados o la
versi�n falsa del antivirus gratuito Microsoft Security Essentials que dice
bloquear el equipo por seguridad y que para poder funcionar adecuadamente se ofrece
un m�dulo especial que se tiene que pagar.29?
A pesar de ello, han ido surgiendo nuevas versiones y variantes con caracter�sticas
propias de unidades policiales de pa�ses de Latinoam�rica, siendo los pa�ses
afectados Argentina, Bolivia, Ecuador, Uruguay y M�xico, en este �ltimo saca la
imagen de la desaparecida Polic�a Federal Preventiva.31?
Grayware o greynet
Los t�rminos grayware (o greyware) y graynet (o greynet) (del ingl�s gray o grey,
�gris�) suelen usarse para clasificar aplicaciones o programas de c�mputo que se
instalan sin la autorizaci�n del departamento de sistemas de una compa��a; se
comportan de modo tal que resultan molestos o indeseables para el usuario, pero son
menos peligrosos que los malware. En este rubro se incluyen: adware, dialers,
herramientas de acceso remoto, programas de bromas (Virus joke), programas para
conferencias, programa de mensajer�a instant�nea, spyware y cualesquiera otros
archivos y programas no bienvenidos que no sean virus y que puedan llegar a da�ar
el funcionamiento de una computadora o de una red. El t�rmino grayware comenz� a
utilizarse en septiembre del 2004.32?33?34?35?
Vulnerabilidades usadas por el malware
La mayor�a del software y de los sistemas operativos contienen bugs que pueden ser
aprovechados por el malware. Los ejemplos t�picos son los desbordamiento de b�fer
(buffer overflow), en los cuales la estructura dise�ada para almacenar datos en un
�rea determinada de la memoria permite que sea ocupada por m�s datos de los que le
caben, sobre escribiendo otras partes de la memoria. Esto puede ser utilizado por
el malware para forzar al sistema a ejecutar su c�digo maligno.
Las memorias USB infectadas pueden da�ar la computadora durante el arranque.
Originalmente las computadoras ten�an que ser booteadas con un disquete, y hasta
hace poco tiempo era com�n que fuera el dispositivo de arranque por defecto. Esto
significaba que un disquete contaminado pod�a da�ar la computadora durante el
arranque, e igual se aplica a CD y memorias USB con la funci�n AutoRun de Windows
la que ya ha sido modificada. Aunque eso es menos com�n ahora, sigue siendo posible
olvidarse de que el equipo se inicia por defecto en un medio removible, y por
seguridad normalmente no deber�a haber ning�n disquete, CD, etc., al encender la
computadora. Para solucionar este problema de seguridad basta con entrar en la BIOS
del ordenador y cambiar el modo de arranque del ordenador.
Como los ataques con malware son cada vez m�s frecuentes, el inter�s ha empezado a
cambiar de protecci�n frente a virus y spyware, a protecci�n frente al malware, y
los programas han sido espec�ficamente desarrollados para combatirlos.