Malware:
También llamado badware, código maligno, software malicioso o software malintencionado es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora sin el consentimiento de su propietario. El término malware es muy utilizado por profesionales de la informática para referirse a una variedad de software hostil, intrusivo o molesto.
El término virus informático es utilizado en muchas ocasiones de forma incorrecta para referirse a todos los tipos de malware, incluyendo los verdaderos virus.
El software es considerado malware basándose en los efectos que cause en un computador, pensados por autor a la hora de crearlo. El término malware incluye virus, gusanos, troyanos, la mayoría de los rootkits, spyware, adware intrusivo, crimeware y otros software maliciosos e indeseables.
Malware no es lo mismo que software defectuoso, este último contiene bugs peligrosos pero no de forma intencionada.
Los resultados provisionales de Symantec publicados en 2008 sugieren que el ritmo al que se ponen en circulación códigos maliciosos y otros programas no deseados podría haber superado al de las aplicaciones legítimas. Según un reporte de F-Secure, Se produjo tanto malware en 2007 como en los 20 años anteriores juntos.
Según Panda Security, en los primeros meses de 2011 se han creado 73.000 nuevos ejemplares de amenazas informáticas por día, 10.000 más de la media registrada en todo el año 2010. De éstas, el 70% son troyanos, y crecen de forma exponencial los del sub tipo downloaders.
Malware infeccioso: Virus y Gusanos:
Los tipos más conocidos de malware, virus y gusanos, se distinguen por la manera en que se propagan más que por otro comportamiento particular.
El término virus informático se usa para designar un programa que al ejecutarse, se propaga infectando otros software ejecutables dentro de la misma computadora. Los virus también pueden tener un payload que realice otras acciones a menudo maliciosas, por ejemplo, borrar archivos. Por otra parte, un gusano es un programa que se transmite a sí mismo, explotando vulnerabilidades, en una red de computadoras para infectar otros equipos. El principal objetivo es infectar a la mayor cantidad de usuarios posible, también puede contener instrucciones dañinas al igual que los virus.
Nótese que un virus necesita de la intervención del usuario para propagarse mientras que un gusano se propaga automáticamente. Teniendo en cuenta esta distinción, las infecciones transmitidas por e-mail o documentos de Microsoft Word, que dependen de su apertura por parte del destinatario para infectar su sistema, deberían ser clasificadas más como virus que como gusanos.
Malware oculto: Backdoor o Puerta trasera, Drive-by Downloads, Rootkits y Troyanos:
Puertas traseras o Backdoors:
Un backdoor o puerta trasera es un método para eludir los procedimientos normales de autenticación a la hora de conectarse a una computadora. Una vez que el sistema ha sido comprometido (por uno de los anteriores métodos o de alguna otra forma) una puerta trasera puede ser instalada para permitir un acceso remoto más fácil en el futuro. Las puertas traseras también pueden ser instaladas previamente al software malicioso para permitir la entrada de los atacantes.
Los crackers suelen usar puertas traseras para asegurar el acceso remoto a una computadora, intentando permanecer ocultos ante una posible inspección. Para instalar puertas traseras los crackers pueden usar troyanos, gusanos u otros métodos.
La idea de que los fabricantes de ordenadores preinstalan puertas traseras en sus sistemas para facilitar soporte técnico a los clientes ha sido sugerida a menudo pero no ha llegado a ser comprobada nunca de forma fiable.
Drive-by Downloads:
Google ha descubierto que una de cada 10 páginas web que han sido analizadas a profundidad, pueden contener los llamados “drive by downloads” que son sitios que instalan spyware o códigos que dan información de los equipos sin percatarse el usuario.
A estas acciones Niels Provos y colaboradores de Google Inc, le han denominado en su artículo como "El fantasma en la computadora".
Por lo que están realizando esfuerzos para identificar las páginas que pudieran ser maliciosas.
El término puede referirse a las descargas de algún tipo de malware, que se efectúan sin consentimiento del usuario, el cual sucede al visitar un sitio Web, al checar un mensaje de correo electrónico o entrando a una ventana pop-up la cual puede mostrar un mensaje de error al que el usuario si ser su verdadera intención consiente la descarga de software indeseable o malware, y aprovechando vulnerabilidades.
El proceso de ataque Drive-by Downloads se realiza de manera automatica mediante herramientas que buscan en el sitio web alguna vulnerabilidad y que, una vez encontrada, insertan un script malicioso entre el código HTML del sitio violado para que cuando un usuario visite el sitio infectado, este descargue dicho script al sistema del usuario y a continuación realice una petición a un servidor (Hop Point) solicitando nuevos scripts con exploits encargados de comprobar si nuestro equipo tiene alguna vulnerabilidad que pueda ser explotada, intentando con ellas hasta que tienen éxito, en cuyo caso se descargará un scrcript que descarga el archivo ejecutable (malware) desde el servidor.
En la mayoría de los navegadores se están agregando bloqueadores antiphishing y antimalware que contienen alertas que se muestran cuando se accede a una página web dañada, aunque no siempre dan una total protección.
Rootkits:
Las técnicas conocidas como rootkits modifican el sistema operativo de una computadora para permitir que el malware permanezca oculto al usuario. Por ejemplo, los rootkits evitan que un proceso malicioso sea visible en la lista de procesos del sistema o que sus ficheros sean visibles en el explorador de archivos. Este tipo de modificaciones consiguen ocultar cualquier indicio de que el ordenador esta infectado por un malware. Originalmente, un rootkit era un conjunto de herramientas instaladas por un atacante en un sistema Unix donde el atacante había obtenido acceso de administrador (acceso root).
Actualmente, el término es usado mas generalmente para referirse a la ocultación de rutinas en un programa malicioso.
Algunos programas maliciosos también contienen rutinas para evitar ser borrados, no sólo para ocultarse. Un ejemplo de este comportamiento puede ser:
"Existen dos procesos-fantasmas corriendo al mismo tiempo. Cada proceso-fantasma debe detectar que el otro ha sido terminado y debe iniciar una nueva instancia de este en cuestión de milisegundos. La única manera de eliminar ambos procesos-fantasma es eliminarlos simultáneamente, cosa muy difícil de realizar, o provocar un error el sistema deliberadamente.
Uno de los rootkits más famosos fue el que la empresa Sony incluyó dentro de la protección anticopia de algunos CD de música.
Troyanos:
El término troyano suele ser usado para designar a un malware que permite la administración remota de una computadora, de forma oculta y sin el consentimiento de su propietario, por parte de un usuario no autorizado. Este tipo de malware es un híbrido entre un troyano y una puerta trasera, no un troyano atendiendo a la definición.
A grandes rasgos, los troyanos son programas maliciosos que están disfrazados como algo inocuo o atractivo que invitan al usuario a ejecutarlo ocultando un software malicioso. Ese software, puede tener un efecto inmediato y puede llevar muchas consecuencias indeseables, por ejemplo, borrar los archivos del usuario o instalar más programas indeseables o maliciosos. Los troyanos conocidos como droppers son usados para empezar la propagación de un gusano inyectándolo dentro de la red local de un usuario.
Una de las formas más comunes para distribuir spyware es mediante troyanos unidos a software deseable descargado de Internet. Cuando el usuario instala el software esperado, el spyware es puesto también. Los autores de spyware que intentan actuar de manera legal pueden incluir unos términos de uso, en los que se explica de manera imprecisa el comportamiento del spyware, que los usuarios aceptan sin leer o sin entender.
Malware para obtener beneficios:
Durante los años 80 y 90, se solía dar por hecho que los programas maliciosos eran creados como una forma de vandalismo o travesura. Sin embargo, en los últimos años la mayor parte del malware ha sido creado con un fin económico o para obtener beneficios en algún sentido. Esto es debido a la decisión de los autores de malware de sacar partido económico a los sistemas infectados, es decir, transformar el control sobre los sistemas en una fuente de ingresos.
Mostrar publicidad: Spyware, Adware y Hijacking
Los programas spyware son creados para recopilar información sobre las actividades realizadas por un usuario y distribuirla a agencias de publicidad u otras organizaciones interesadas. Algunos de los datos que recogen son las páginas web que visita el usuario y direcciones de e_mail, a las que después se envía spam. La mayoría de los programas spyware son instalados como troyanos junto a software deseable bajado de Internet. Otros programas spyware recogen la información mediante cookies de terceros o barras de herramientas instaladas en navegadores web. Los autores de spyware que intentan actuar de manera legal se presentan abiertamente como empresas de publicidad e incluyen unos términos de uso, en los que se explica de manera imprecisa el comportamiento del spyware, que los usuarios aceptan sin leer o sin entender.
Por otra parte los programas adware muestran publicidad al usuario de forma intrusiva en forma de ventanas emergentes (pop-up) o de cualquier otra forma. Esta publicidad aparece inesperadamente en el equipo y resulta muy molesta. Algunos programas shareware permiten usar el programa de forma gratuita a cambio de mostrar publicidad, en este caso el usuario consiente la publicidad al instalar el programa. Este tipo de adware no debería ser considerado malware, pero muchas veces los términos de uso no son completamente transparentes y ocultan lo que el programa realmente hace.
Los hijackers son programas que realizan cambios en la configuración del navegador web. Por ejemplo, algunos cambian la página de inicio del navegador por páginas web de publicidad o pornográficas, otros redireccionan los resultados de los buscadores hacia anuncios de pago o páginas de phishing bancario. El pharming es una técnica que suplanta al DNS, modificando el archivo hosts, para redirigir el dominio de una o varias páginas web a otra página web, muchas veces una web falsa que imita a la verdadera. Esta es una de las técnicas usadas por los hijackers o secuestradores del navegador de Internet. Esta técnica también puede ser usada con el objetivo de obtener credenciales y datos personales mediante el secuestro de una sesión.
Robar información personal: Keyloggers y Stealers:
Cuando un software produce pérdidas económicas para el usuario de un equipo, también se clasifica como crimeware13 o software criminal, término dado por Peter Cassidy para diferenciarlo de los otros tipos de software malicioso. Estos programas están encaminados al aspecto financiero, la suplantación de personalidad y el espionaje.
Los keyloggers y los stealers son programas maliciosos creados para robar información sensible. El creador puede obtener beneficios económicos o de otro tipo a través de su uso o distribución en comunidades underground. La principal diferencia entre ellos es la forma en la que recogen la información.
Los keyloggers monitorizan todas las pulsaciones del teclado y las almacenan para un posterior envío al creador. Por ejemplo al introducir un número de tarjeta de crédito el keylogger guarda el número, posteriormente lo envía al autor del programa y este puede hacer pagos fraudulentos con esa tarjeta. Si las contraseñas se encuentran recordadas en el equipo, de forma que el usuario no tiene que escribirlas, el keylogger no las recoge, eso lo hacen los stealers. La mayoría los keyloggers son usados para recopilar contraseñas de acceso pero también pueden ser usados para espiar conversaciones de chat u otros fines.
Los stealers también roban información privada pero solo la que se encuentra guardada en el equipo.
Al ejecutarse comprueban los programas instalados en el equipo y si tienen contraseñas recordadas, por ejemplo en los navegadores web o en clientes de mensajería instantánea, descifran esa información y la envían al creador.
Realizar llamadas telefónicas: Dialers:
Los dialers son programas maliciosos que toman el control del módem dial-up, realizan una llamada a un número de teléfono de tarificación especial, muchas veces internacional, y dejan la línea abierta cargando el coste de dicha llamada al usuario infectado. La forma más habitual de infección suele ser en páginas web que ofrecen contenidos gratuitos pero que solo permiten el acceso mediante conexión telefónica. Suelen utilizar como señuelos videojuegos, salva pantallas, pornografía u otro tipo de material.
Actualmente la mayoría de las conexiones a Internet son mediante ADSL y no mediante módem, lo cual hace que los dialers ya no sean tan populares como en el pasado.
Ataques distribuidos: Botnets:
Las botnets son redes de computadoras infectadas, también llamadas "zombies", que pueden ser controladas a la vez por un individuo y realizan distintas tareas. Este tipo de redes son usadas para el envío masivo de spam o para lanzar ataques DDoS contra organizaciones como forma de extorsión o para impedir su correcto funcionamiento. La ventaja que ofrece a los spammers el uso de ordenadores infectados es el anonimato, que les protege de la persecución policial.
En una botnet cada computadora infectada por el malware se loguea en un canal de IRC u otro sistema de chat desde donde el atacante puede dar instrucciones a todos los sistemas infectados simultáneamente. Las botnets también pueden ser usadas para actualizar el malware en los sistemas infectados manteniéndolos así resistentes ante antivirus u otras medidas de seguridad.
Otros tipos: Rogue software y Ransomware:
Los rogue software hacen creer al usuario que la computadora está infectada por algún tipo de virus u otro tipo de software malicioso, esto induce al usuario a pagar por un software inútil o a instalar un software malicioso que supuestamente elimina las infecciones, pero el usuario no necesita ese software puesto que no está infectado.
Los ransomware, también llamados criptovirus o secuestradores, son programas que cifran los archivos importantes para el usuario, haciéndolos inaccesibles, y piden que se pague un "rescate" para poder recibir la contraseña que permite recuperar los archivos.
0 comentarios:
Publicar un comentario