En la época de los virus para DOS los especímenes se mantenían activos
durante años. Hoy día el malware no suele ser autosuficiente, sino que
depende de una infraestructura basada en servidores en Internet con
los que se comunica. Cuando esa infraestructura es desactivada, el
malware ya no es útil para sus propósitos.
Los que somos menos jóvenes (o más viejos) recordaremos a virus como
Viernes 13, Brain, Ping-Pong, Barrotes, etc. Además de por ser los
primeros con los que nos topamos, perduran en nuestra memoria porque
estuvieron con nosotros mucho tiempo.
Cuando los virus eran virus, es decir, cuando se autoreplicaban de
archivo en archivo o de disco en disco, las epidemias eran más
similares a la de los virus biológicos. Un virus aparecía en una zona
geográfica concreta, por ejemplo en una universidad, y su área de
influencia iba propagándose de forma lenta a través de los usuarios
que compartían disquetes y archivos infectados. Tenía que transcurrir
varios meses para llegar a ser una epidemia de ámbito internacional.
No había forma de erradicarlos completamente. El virus era
autosuficiente, así que en cualquier momento y lugar podía aparecer
un nuevo brote si los ordenadores que tenían contacto con el virus no
contaban con un antivirus actualizado.
Con la explosión de Internet aparecieron los gusanos de propagación
masiva por correo electrónico. La distribución de éstos era mucho más
explosiva, en apenas unas horas podían dar la vuelta al mundo y llegar
a cientos de miles de sistemas. También perduraban en el tiempo,
algunas variantes de Netsky han dado la lata durante muchos meses en
los Tops de clasificación de malware.
Ahora que vivimos la época de los troyanos con fines lucrativos, nos
topamos con un malware mucho menos perenne, de usar y tirar, que
necesita reciclarse constantemente con nuevas variantes, y que da
lugar a gran cantidad de especímenes caducados.
Por un lado tenemos que los troyanos no son autosuficientes en su
distribución/replicación, a diferencia de los virus y gusanos que ellos
mismos se encargan de llegar a otros PCs. Hoy día los troyanos se
distribuyen en alguna campaña puntual de spam, o a través de la web.
Pasado ese primer envío masivo y manual, o desactivada la web desde
la que se distribuye, esa variante del troyano es probable que nunca
más vuelva a distribuirse.
Además, los propios troyanos suelen tener una dependencia de
infraestructura externa. Imaginemos un troyano “downloader” que se
encarga de descargar otros componentes. En el momento que se desactiva
el servidor desde donde realiza las descargas, ya no podrá llevar a
cabo su acción.
Pensemos ahora en el autor del troyano Gpcode. Lo distribuye a través
de spam. En las máquinas que se ejecuta, el troyano cifra los
archivos sensibles del ordenador (documentos, imágenes, y un largo
etcétera de extensiones), y pide un rescate al usuario para descifrar
y volver a recuperar esos archivos. La forma de contacto es una
dirección de e-mail en un servidor de correo público de Rusia. Cuando
las autoridades consiguen que el proveedor del servicio de correo
desactive esa dirección de e-mail, esa versión del troyano será
inútil para el autor ya que no puede ponerse en contacto con sus
víctimas para llevar a cabo el chantaje y, por tanto, no volverá a
utilizarla ni distribuirla. Deberá crear una nueva versión.
Situaciones similares se pueden dar con muchos otros tipos de
troyanos, por ejemplo, un malware dedicado a hacer pharming local para
redirigir a los usuarios infectados a páginas de phishing cuando
visiten determinados bancos. Lo que hace el troyano es modificar el
archivo hosts de Windows para redirigir los dominios de un determinado
banco a la IP del servidor web que hospeda las páginas falsas. Cuando
el banco tiene conocimiento de este tipo de fraude inicia una
actuación para desactivar las páginas de phishing. En el momento que
lo logra, que suele ser cuestión de horas, a lo sumo días, el troyano
será inútil, nunca más se distribuirá de nuevo. El autor se verá
obligado a crear nuevas versiones.
Un ejemplo de este último caso puede verse en:
http://blog.hispasec.com/laboratorio/232
La realidad es que un porcentaje del malware específico que detecta
un antivirus ya está “fuera de mercado”, no nos afectará. Si los
antivirus deben detectar ese “malware caducado” es una cuestión que
no sólo depende de ellos, ya que las evaluaciones antivirus actuales
fomentan lo contrario: que se detecte de todo, incluso muestras que
no son dañinas. Si los antivirus tienen problemas para diferenciar
el malware, del grayware y el goodware, los evaluadores y
comparativas antivirus sencillamente no saben.
Al ritmo actual del crecimiento del número de variantes, el mantener
firmas de detección de todo el malware histórico podría dar lugar a
algunos problemas de tamaño/rendimiento. Hace ahora algo más de 4
años denominé el problema como “efecto ZOO”, en la noticia
http://www.hispasec.com/unaaldia/1562
Entonces el problema del tamaño de firmas parecía no preocupar a los
desarrolladores antivirus, ya que el principal cuello de botella es
el acceso a los archivos a analizar.
Hoy día sigue siendo manejable, al menos en cuanto a volumen que no
a estrategia, pero la curva de crecimiento sigue imparable y amenaza
con pasar a medio plazo de la necesidad de reconocer 20.000 muestras
hace unos años a 2 millones. ¿Seguimos anclados como las comparativas
pidiendo que los antivirus detecten de todo aunque no nos afecte?
¿O pedimos antivirus modernos adaptados a una realidad diferente?
bernardo@hispasec.com
Deja un comentario