Malware caducado

La era de los virus autosuficientes

En la época de los virus para DOS los especímenes se mantenían activos durante años. Hoy día el malware no suele ser autosuficiente, sino que depende de una infraestructura basada en servidores en Internet con los que se comunica. Cuando esa infraestructura es desactivada, el malware ya no es útil para sus propósitos.

Los que somos menos jóvenes (o más viejos) recordaremos a virus como Viernes 13, Brain, Ping-Pong, Barrotes, etc. Además de por ser los primeros con los que nos topamos, perduran en nuestra memoria porque estuvieron con nosotros mucho tiempo.

Cuando los virus eran virus, es decir, cuando se autoreplicaban de archivo en archivo o de disco en disco, las epidemias eran más similares a la de los virus biológicos. Un virus aparecía en una zona geográfica concreta, por ejemplo en una universidad, y su área de influencia iba propagándose de forma lenta a través de los usuarios que compartían disquetes y archivos infectados. Tenía que transcurrir varios meses para llegar a ser una epidemia de ámbito internacional.

No había forma de erradicarlos completamente. El virus era autosuficiente, así que en cualquier momento y lugar podía aparecer un nuevo brote si los ordenadores que tenían contacto con el virus no contaban con un antivirus actualizado.

Con la explosión de Internet aparecieron los gusanos de propagación masiva por correo electrónico. La distribución de éstos era mucho más explosiva, en apenas unas horas podían dar la vuelta al mundo y llegar a cientos de miles de sistemas. También perduraban en el tiempo, algunas variantes de Netsky han dado la lata durante muchos meses en los Tops de clasificación de malware.

Ahora que vivimos la época de los troyanos con fines lucrativos, nos topamos con un malware mucho menos perenne, de usar y tirar, que necesita reciclarse constantemente con nuevas variantes, y que da lugar a gran cantidad de especímenes caducados.

Por un lado tenemos que los troyanos no son autosuficientes en su distribución/replicación, a diferencia de los virus y gusanos que ellos mismos se encargan de llegar a otros PCs. Hoy día los troyanos se distribuyen en alguna campaña puntual de spam, o a través de la web.Pasado ese primer envío masivo y manual, o desactivada la web desde la que se distribuye, esa variante del troyano es probable que nunca más vuelva a distribuirse.

Además, los propios troyanos suelen tener una dependencia de infraestructura externa. Imaginemos un troyano “downloader” que se encarga de descargar otros componentes. En el momento que se desactiva el servidor desde donde realiza las descargas, ya no podrá llevar a cabo su acción.

Pensemos ahora en el autor del troyano Gpcode. Lo distribuye a través de spam. En las máquinas que se ejecuta, el troyano cifra los archivos sensibles del ordenador (documentos, imágenes, y un largo etcétera de extensiones), y pide un rescate al usuario para descifrar y volver a recuperar esos archivos. La forma de contacto es una dirección de e-mail en un servidor de correo público de Rusia. Cuando las autoridades consiguen que el proveedor del servicio de correo desactive esa dirección de e-mail, esa versión del troyano será inútil para el autor ya que no puede ponerse en contacto con sus víctimas para llevar a cabo el chantaje y, por tanto, no volverá a utilizarla ni distribuirla. Deberá crear una nueva versión.

Situaciones similares se pueden dar con muchos otros tipos de troyanos, por ejemplo, un malware dedicado a hacer pharming local para redirigir a los usuarios infectados a páginas de phishing cuando visiten determinados bancos. Lo que hace el troyano es modificar el archivo hosts de Windows para redirigir los dominios de un determinado banco a la IP del servidor web que hospeda las páginas falsas. Cuando el banco tiene conocimiento de este tipo de fraude inicia una actuación para desactivar las páginas de phishing. En el momento que lo logra, que suele ser cuestión de horas, a lo sumo días, el troyano será inútil, nunca más se distribuirá de nuevo. El autor se verá obligado a crear nuevas versiones.

Un ejemplo de este último caso puede verse en: http://blog.hispasec.com/laboratorio/232

La realidad es que un porcentaje del malware específico que detecta un antivirus ya está “fuera de mercado”, no nos afectará. Si los antivirus deben detectar ese “malware caducado” es una cuestión que no sólo depende de ellos, ya que las evaluaciones antivirus actuales fomentan lo contrario: que se detecte de todo, incluso muestras que no son dañinas. Si los antivirus tienen problemas para diferenciar el malware, del grayware y el goodware, los evaluadores y comparativas antivirus sencillamente no saben.

Problema Tamaño/rendimiento

Al ritmo actual del crecimiento del número de variantes, el mantener firmas de detección de todo el malware histórico podría dar lugar a algunos problemas de tamaño/rendimiento. Hace ahora algo más de cuatro años denominé el problema como “efecto ZOO”, en la noticia http://www.hispasec.com/unaaldia/1562

Entonces el problema del tamaño de firmas parecía no preocupar a los desarrolladores antivirus, ya que el principal cuello de botella es el acceso a los archivos a analizar.

Hoy día sigue siendo manejable, al menos en cuanto a volumen que no a estrategia, pero la curva de crecimiento sigue imparable y amenaza con pasar a medio plazo de la necesidad de reconocer 20.000 muestras hace unos años a dos millones. ¿Seguimos anclados como las comparativas pidiendo que los antivirus detecten de todo aunque no nos afecte? ¿O pedimos antivirus modernos adaptados a una realidad diferente?