Malware oculto: Backdoor o Puerta trasera, Drive-by Downloads, Rootkits y Troyanos[editar]
Para que un software malicioso pueda completar sus objetivos, es esencial que permanezca oculto al usuario. Por ejemplo, si un usuario experimentado detecta un programa malicioso, terminaría el proceso y borraría el malware antes de que este pudiera completar sus objetivos. El ocultamiento también puede ayudar a que el malware se instale por primera vez en la computadora.
Puertas traseras o Backdoors[editar]
Artículo principal: Puerta trasera
Un backdoor o puerta trasera es un método para eludir los procedimientos habituales de autenticación al conectarse a una computadora. Una vez que el sistema ha sido comprometido (por uno de los anteriores métodos o de alguna otra forma), puede instalarse una puerta trasera para permitir un acceso remoto más fácil en el futuro. Las puertas traseras también pueden instalarse previamente al software malicioso para permitir la entrada de los atacantes.
Los crackers suelen usar puertas traseras para asegurar el acceso remoto a una computadora, intentando permanecer ocultos ante una posible inspección. Para instalar puertas traseras los crackers pueden usar troyanos, gusanos u otros métodos.
Se ha afirmado, cada vez con mayor frecuencia, que los fabricantes de ordenadores preinstalan puertas traseras en sus sistemas para facilitar soporte técnico a los clientes, pero no ha podido comprobarse con seguridad.10
Un malware en Skype está siendo el problema reciente en la seguridad, debido a que a mayo del 2013, existían ya 750 mil afectados siendo el 67% en Latinoamérica. El código malicioso afecta al equipo y se propaga entre los contactos a través de este mismo medio de comunicación.11
Drive-by Downloads[editar]
Google ha descubierto que una de cada 10 páginas web que han sido analizadas a profundidad puede contener los llamados drive by downloads, que son sitios que instalan spyware o códigos que dan información de los equipos sin que el usuario se percate. 12
A estas acciones Niels Provos y otros colaboradores de Google Inc le denominaron, en un artículo, "El fantasma en la computadora"13 Por ello, se están realizando esfuerzos para identificar las páginas que pudieran ser maliciosas.
El término puede referirse a las descargas de algún tipo de malware que se efectúa sin consentimiento del usuario, lo cual ocurre al visitar un sitio web, al revisar un mensaje de correo electrónico o al entrar a una ventana pop-up, la cual puede mostrar un mensaje de error. Sin ser su verdadera intención, el usuario consiente la descarga de software indeseable o de malware, y estas vulnerabilidades se aprovechan.
El proceso de ataque Drive-by Downloads se realiza de manera automática mediante herramientas que buscan en el sitio web alguna vulnerabilidad. Una vez encontrada, insertan un script malicioso dentro del código HTML del sitio violado. Cuando un usuario visita el sitio infectado, éste descargará dicho script en el sistema del usuario, y a continuación realizará una petición a un servidor Hop Point, donde se solicitarán nuevos scripts con exploits encargados de comprobar si el equipo tiene alguna vulnerabilidad que pueda ser explotada, intentando con ellas hasta que tienen éxito, en cuyo caso se descargará un script que descarga el archivo ejecutable (malware) desde el servidor.
En la mayor parte de los navegadores se están agregando bloqueadores antiphishing y antimalware que contienen alertas que se muestran cuando se accede a una página web dañada, aunque no siempre dan una total protección.
Rootkits[editar]
Artículo principal: Rootkit
Las técnicas conocidas como rootkits modifican el sistema operativo de una computadora para permitir que el malware permanezca oculto al usuario. Por ejemplo, los rootkits evitan que un proceso malicioso sea visible en la lista de procesos del sistema o que sus ficheros sean visibles en el explorador de archivos. Este tipo de modificaciones consiguen ocultar cualquier indicio de que el ordenador esta infectado por un malware. Originalmente, un rootkit era un conjunto de herramientas instaladas por un atacante en un sistema Unix donde el atacante había obtenido acceso de administrador (acceso root). Actualmente, el término es usado mas generalmente para referirse a la ocultación de rutinas en un programa malicioso.
Algunos programas maliciosos también contienen rutinas para evitar ser borrados, no sólo para ocultarse. Un ejemplo de este comportamiento puede ser:
"Existen dos procesos-fantasmas corriendo al mismo tiempo. Cada proceso-fantasma debe detectar que el otro ha sido terminado y debe iniciar una nueva instancia de este en cuestión de milisegundos. La única manera de eliminar ambos procesos-fantasma es eliminarlos simultáneamente, cosa muy difícil de realizar, o provocar un error el sistema deliberadamente."14
Uno de los rootkits más famosos fue el que la empresa Sony BMG Music Entertainment. Secretamente incluyó, dentro de la protección anticopia de algunos CD de música, el software “Extended Copy Protection (XCP) y MediaMax CD-3”,15 los cuales modificaban a Windows para que no lo pudiera detectar y también resultar indetectable por los programas anti-virus y anti-spyware. Actuaba enviando información sobre el cliente, además abrió la puerta a otros tipos de malware que pudieron infiltrarse en las computadoras, además de que si se detectaba, no podía ser eliminado, pues se dañaba el sistema operativo.
Mikko Hypponen, jefe de investigación de la empresa de seguridad, F-Secure con sede en Finlandia, consideró a este rootkit como uno de los momentos fundamentales de la historia de los malware.16
Troyanos[editar]
Captura de pantalla del Troyano “Beast"
Artículo principal: Troyano
El término troyano suele ser usado para designar a un malware que permite la administración remota de una computadora, de forma oculta y sin el consentimiento de su propietario, por parte de un usuario no autorizado. Este tipo de malware es un híbrido entre un troyano y una puerta trasera, no un troyano atendiendo a la definición.
A grandes rasgos, los troyanos son programas maliciosos que están disfrazados como algo inocuo o atractivo que invitan al usuario a ejecutarlo ocultando un software malicioso. Ese software, puede tener un efecto inmediato y puede llevar muchas consecuencias indeseables, por ejemplo, borrar los archivos del usuario o instalar más programas indeseables o maliciosos.
Los tipos de troyanos son: backdoors, banker, botnets, dialer, dropper, downloaders, keylogger, password stealer, proxy.17 18
Los troyanos conocidos como droppers19 20 son usados para empezar la propagación de un gusano inyectándolo dentro de la red local de un usuario.
Una de las formas más comunes para distribuir spyware es mediante troyanos unidos a software deseable descargado de Internet. Cuando el usuario instala el software esperado, el spyware es puesto también. Los autores de spyware que intentan actuar de manera legal pueden incluir unos términos de uso, en los que se explica de manera imprecisa el comportamiento del spyware, que los usuarios aceptan sin leer o sin entender.
Malware para obtener beneficios[editar]
Durante los años 80 y 90, se solía dar por hecho que los programas maliciosos eran creados como una forma de vandalismo o travesura. Sin embargo, en los últimos años la mayor parte del malware ha sido creado con un fin económico o para obtener beneficios en algún sentido. Esto es debido a la decisión de los autores de malware de sacar partido monetario a los sistemas infectados, es decir, transformar el control sobre los sistemas en una fuente de ingresos.
Mostrar publicidad: Spyware, Adware y Hijacking[editar]
Artículo principal: Spyware
Artículo principal: Adware
Artículo principal: Hijacking
Los programas spyware son creados para recopilar información sobre las actividades realizadas por un usuario y distribuirla a agencias de publicidad u otras organizaciones interesadas. Algunos de los datos que recogen son las páginas web que visita el usuario y direcciones de correo electrónico, a las que después se envía spam. La mayoría de los programas spyware son instalados como troyanos junto a software deseable bajado de Internet. Otros programas spyware recogen la información mediante cookies de terceros o barra de herramientas instaladas en navegadores web. Los autores de spyware que intentan actuar de manera legal se presentan abiertamente como empresas de publicidad e incluyen unos términos de uso, en los que se explica de manera imprecisa el comportamiento del spyware, que los usuarios aceptan sin leer o sin entender.
Por otra parte los programas adware muestran publicidad al usuario de forma intrusiva en forma de ventana emergente (pop-up) o de cualquier otra forma. Esta publicidad aparece inesperadamente en el equipo y resulta muy molesta. Algunos programas shareware permiten usar el programa de forma gratuita a cambio de mostrar publicidad, en este caso el usuario consiente la publicidad al instalar el programa. Este tipo de adware no debería ser considerado malware, pero muchas veces los términos de uso no son completamente transparentes y ocultan lo que el programa realmente hace.
Los hijackers son programas que realizan cambios en la configuración del navegador web. Por ejemplo, algunos cambian la página de inicio del navegador por páginas web de publicidad o página pornográfica, otros redireccionan los resultados de los buscadores hacia anuncios de pago o páginas de phishing bancario. El pharming es una técnica que suplanta al DNS, modificando el archivo hosts, para redirigir el dominio de una o varias páginas web a otra página web, muchas veces una web falsa que imita a la verdadera. Esta es una de las técnicas usadas por los hijackers o secuestradores del navegador de Internet. Esta técnica también puede ser usada con el objetivo de obtener credenciales y datos personales mediante el secuestro de una sesión.WIKIPEDIA
