1

Malware: Historia y Clasificacin

Luis Fran Cardozo Gonzlez, Bladimiro Garca Severiche

Resumen Ante la alta conectividad de las empresas y las personas a la red, las amenazas a la seguridad de la informacin va en constante aumento. La informacin confidencial que manejan las empresas y las personas son el primordial objetivo de los creadores de malware, ya que por medio de virus, troyanos, gusanos entre otros, pueden cometer fraudes, robos, extorsiones, etc. Ninguno de los antivirus de la actualidad cuenta con mecanismos efectivos para contrarrestarlo, porque no es posible para las compaas antivirus abarcar las miles de muestras que reciben a diario. Los malware pueden ser clasificados segn sus efectos: como los Malware infecciosos que dentro de stos, los ms comunes que podemos localizar son Virus y Gusanos; tambin existen los malware ocultos que tienen como finalidad infiltrarse en los computadores y permanecer siempre oculto para cumplir con sus objetivos. Algunos malware de este tipo que podemos encontrar son los Rootkits y Troyanos; Hay otros que se utilizan para obtener beneficios mostrando publicidades a travs de Spyware, los cuales se encarga de solicitar informacin acerca de las actividades que realiza el usuario sobre su ordenador para luego distribuirlas a empresas de publicidad u otras organizaciones, tambin podemos mencionar a los Adware, los cuales vienen incluidos en programas Shareware y su funcin principal es mostrar o descargar publicidades al ejecutarse. Palabras clave Cdigo ciberntico (Crimeware), malicioso (Malware), Crimen

I. INTRODUCCIN La tecnologa se vuelve cada da ms esencial en nuestras vidas, por lo que la mayora de los dispositivos electrnicos que utilizamos requieren de una computadora para funcionar. Dependemos de dispositivos como porttil, celulares, Tablet, entre otros, para comunicarnos, trabajar y almacenar informacin que no podemos perder. Sin embargo, el aumento en el uso de estos dispositivos tambin significa que la cantidad de datos sensibles en la red, tanto de usuarios como de empresas, va creciendo significativamente. Los Malware [1] siguen siendo un grave problema a pesar de los muchos intentos para detectarlos y evitarlos. Los creadores de malware Siguen desarrollando continuamente nuevos mtodos para evadir las detecciones por medio de firmas, como el uso de la encriptacin, empaquetamiento y la ofuscacin. Se informan de un gran nmero de nuevos casos de malware cada da, por ejemplo, alrededor de medio milln de muestras de malware se registraron en julio del 2012 [2]. El problema ms difcil es la forma de detectar de manera eficiente y eficaz los nuevos malware. La Clasificacin de malware es el primer paso en la anlisis y deteccin de nuevos casos de malware. De esta manera nos basamos en explicar detalladamente cmo funcionan, segn su clasificacin cada uno de estos programas maliciosos. De acuerdo con la compaa de antivirus, la mayor amenaza a la seguridad de esos datos confidenciales son los malware, debido a que son desarrollados con el objetivo de obtener dinero de forma ilegal, tales como fraudes, extorsiones, robo de identidad. II. DESARROLLO A. Qu es el Malware? Podemos definir que es todo software que tiene propsitos dainos. Los propsitos que tiene el Malware van desde la simple recoleccin de informacin personal del usuario (para poder venderla a otras compaas), pasando por el uso de recursos de forma remota o simplemente el daar la estructura del sistema operativo afectado incluso obtener dinero de forma ilegal. Dichos propsitos estn estrictamente relacionados con la persona que los disea; algunos lo hacen por simple ocio, mientras que la gran mayora lo hace en pos de un beneficio econmico.

Ing. Luis Fran Cardozo Gonzlez y Bladimiro Garca Severiche pertenecen a la Maestra Ingeniera de Sistemas y Computacin y realizan la siguiente investigacin como parte del desarrollo de Seguridad en Redes (Email: lucag2004@gmail.com, bgarcias18@hotmail.com). La investigacin fue asesorada por el PhD(c) Ing. Enrique Santiago Chinchilla. Le agradecemos al PhD(c) Ing. Enrique Santiago Chinchilla, por su dedicacin y muestra de apoyos en nuestra formacin.

B. Evolucin El desarrollo de programas dainos se origin a travs de la creacin de virus informticos y, aunque inicialmente sus fines se destinaban estrictamente a la investigacin, con el tiempo su objetivo deriv en la obtencin de reconocimiento por parte de sus autores y en la actualidad con fines lucrativos. PnadaSecurity [ 3], nos ilustra un poco acerca de la evolucin de los malware, la cual comenz en 1949 cuando Von Neumann estableci la idea de programa almacenado y expuso La Teora y Organizacin de Autmatas Complejos, donde presentaba por primera vez la posibilidad de desarrollar pequeos programas replicantes y capaces de tomar el control de otros programas de similar estructura. Si bien el concepto tiene miles de aplicaciones en la ciencia, es fcil apreciar una aplicacin negativa de la teora expuesta por Neumann: los virus informticos. Pero Fue en 1972 cuando Robert Thomas Morris cre el que es considerado cmo el primer virus propiamente dicho: el Creeper era capaz de infectar mquinas IBM 360 de la red ARPANET (la precedente de Internet) y emita un mensaje en pantalla que deca Soy una enredadera (creeper), atrpame si puedes. Para eliminarlo, se cre otro virus llamado Reaper (segadora) que estaba programado para buscarlo y eliminarlo. Este es el origen de los actuales antivirus. A principio de este siglo se considera la poca de las grandes epidemias masivas que tuvieron su punto lgido en el 2004, donde utilizando tcnicas de ingeniera social, se infectaba a los usuarios por medio del correo electrnico siendo el gusano I LOVE YOU el de mayor repercusin meditica. A partir de este punto, ms exactamente en el ao 2005 tras 5 aos de tendencia sostenida en la que los virus tal y como los conocamos fueron dejando su lugar a gusanos y troyanos encargados de formar redes de bots para obtener dinero, cuando vieron que el entretenimiento que poda suponer la creacin de malware se poda convertir en un negocio muy rentable. Quiz la mejor prueba de ello sean los denominados Troyanos Bancarios de los que existen miles de variantes dado que los creadores, para dificultar su deteccin modificaban permanente el cdigo de los mismos. En cuanto a las amenazas para mviles, no cabe duda de que la llegada de las tecnologas, mviles e inalmbricas, y su constante evolucin han revolucionado en los ltimos aos la forma en la que nos comunicamos y trabajamos. Sin embargo, la expansin del uso de esta tecnologa ha hecho que tambin se convierta en un vector de ataque importante para la industria del malware. C. Clasificacin Teniendo en cuenta la clasificacin realizada por muchas empresas dedicadas a combatir los diferentes tipos de malware y realizando una agrupacin segn sus caractersticas, podramos clasificarlos de la siguiente manera: Virus: En su libro "Virus Informticos: teora y experimentos", el doctor Fred Cohen [4], quien es reconocido como el primero en definir los virus informticos, seal: "Se denomina virus informtico a todo programa capaz de infectar a

otros programas, a partir de su modificacin para introducirse en ellos". Adems poseen dos caractersticas particulares: Pretender actuar de forma transparente al usuario y tener la capacidad de reproducirse a s mismo. Todas las cualidades mencionadas pueden compararse con los virus biolgicos, que producen enfermedades (y un dao) en las personas, actan por s solos y se reproducen (contagian). Como cualquier virus, los virus informticos necesitan de un anfitrin o husped donde alojarse, y este puede ser muy variable: un archivo ejecutable, el sector de arranque o incluso la memoria del ordenador. El dao que un virus puede causar tambin es extremadamente variable: desde un simple mensaje en pantalla para molestar al usuario o la eliminacin de archivos del sistema, hasta inhabilitar completamente el acceso al sistema operativo, son algunas de las alternativas conocidas. Los virus pueden infectar de dos maneras diferentes. La tradicional consiste en inyectar una porcin de cdigo en un archivo normal. Es decir, el virus reside dentro del archivo ya existente. De esta forma, cuando el usuario ejecute el archivo, adems de las acciones normales del archivo en cuestin, se ejecutan las instrucciones del virus. La segunda forma de infectar consiste en ocupar el lugar del archivo original y renombrar este por un nombre conocido solo por el virus. En este caso, al ejecutar el archivo primero se ejecuta el malicioso y, al finalizar las instrucciones, este llama al archivo original, ahora renombrado. Cuando un virus es ejecutado se producen dos acciones en paralelo: el dao en cuestin y la propagacin para seguir infectando. Esta es la caracterstica primordial de los virus, su capacidad de reproducirse por s mismos: el mismo virus es el que causa el dao y contina infectando nuevos ordenadores o archivos. A pesar de que hoy en da la principal va de contagio es a travs de Internet, los canales de entrada de un virus informtico pueden ser variables y se incluyen tambin los medios de almacenamiento (un disco rgido, cd/dvd, un pen drive, etc.) o una red local (por ejemplo, a travs de las carpetas compartidas). Gusanos: Los "Gusanos Informticos" son programas que realizan copias de s mismos, alojndolas en diferentes ubicaciones del ordenador. El objetivo de este malware suele ser colapsar los ordenadores y las redes informticas, impidiendo as el trabajo a los usuarios. A diferencia de los virus, los gusanos no infectan archivos. El principal objetivo de los gusanos es propagarse y afectar al mayor nmero de ordenadores posible. Para ello, crean copias de s mismos en el ordenador afectado, que distribuyen posteriormente a travs de diferentes medios, como el correo electrnico, programas P2P o de mensajera instantnea, entre otros. Los gusanos suelen utilizar tcnicas de ingeniera social para conseguir mayor efectividad. Para ello, los creadores de malware seleccionan un tema o un nombre atractivo con el que camuflar el archivo malicioso. Los temas ms recurrentes son los relacionados con el sexo, famosos, temas morbosos, temas de actualidad o software pirata. El comportamiento tpico de los gusanos informticos [5] incluyen los siguientes elementos del sistema operativo donde

pueden incrustar cdigo malicioso. El sistema de arranque (sectores HD, archivos de inicio y principalmente el registro de configuraciones que se ha convertido en el sitio preferido para cargar todo tipo de malware). El pool de procesos en memoria (que representa la lista de procesos en ejecucin). El sistema de archivos (obviamente una aplicacin debe ejecutarse desde un archivo que contenga sus instrucciones ejecutables y hace del spam y el phishing un caso especial de malware). El trfico de red (donde se intercambian paquetes de informacin con otras mquinas). Rootkits: Se trata de programas diseados para ocultar objetos como procesos, archivos o entradas del Registro de sistemas. Este tipo de software no es malicioso en s mismo, pero es utilizado por los creadores de malware para esconder evidencias y utilidades en los sistemas infectados. Existen ejemplares de malware que emplean rootkits con la finalidad de ocultar su presencia en el sistema en el que se instalan. Rootkits[6], trabajan como parte del sistema operativo y no dejar que los usuarios puedan ver las tareas o servicios reales. El Sistema operativo estar bajo el control total del atacante y se puede esconder todo lo que quiera en el sistema. Rootkits tienen dos grupos principales con diferentes arquitecturas, Rootkits clsica y rootkits de kernel. Inicialmente los rootkit aparecieron en el sistema operativo UNIX y eran una coleccin de una o ms herramientas que le permitan al atacante conseguir y mantener el acceso al usuario de la computadora ms privilegiado (en los sistemas UNIX, este usuario se llama *root* y de ah su nombre). En los sistemas basados en Windows, los rootkits se han asociado en general con herramientas usadas para ocultar programas o procesos al usuario. Una vez que se instala, el rootkit utiliza funciones del sistema operativo para ocultarse, de manera tal de no ser detectado y es usado en general para ocultar otros programas dainos. Un rootkit ataca directamente el funcionamiento de base de un sistema operativo. En Linux, modificando y trabajando directamente en el kernel del sistema. En Windows, interceptando los APIs (Interfaz de Aplicaciones de Programacin) del sistema operativo. Estas, interactan entre el usuario y el kernel; de esta forma, el rootkit manipula el kernel sin trabajar directamente en l como en el caso del software libre. La utilizacin de estos programas se alinea a la perfeccin con la dinmica actual del malware: El Cibercrimen. Si el objetivo es la realizacin de delitos informticos para conseguir beneficios econmicos, ser de vital importancia pasar lo ms inadvertido posible. De esta forma, se maximizar la cantidad de tiempo que el malware consiga estar activo dentro del ordenador, sin ser detectado. Troyanos: El trmino troyano proviene de la leyenda del caballo de Troya, ya que su objetivo inicial es el de engaar a los usuarios para que los ejecuten simulando ser archivos normales e indefensos, como juegos, programas, animaciones etc. De esta forma logran instalarse en nuestros sistemas y una vez

ejecutados, parecen realizar tareas inofensivas pero en paralelo realizan otras tareas ocultas en el ordenador. Los Troyanos a diferencia de los Gusanos y Virus, no tienen la capacidad de reproducirse por s mismo. Segn las estadsticas en su informe trimestral PandaLabs [7], hasta el tercer trimestre del ao, los troyanos ocupaban el 72,58% en produccin de nuevos malware creados (Casi 3 de cada 4 muestras de malware son troyanos). Los resultados de la investigacin se muestran en la Figura 1.

Figura 1. Nuevo malware creados en el tercer trimestre de 2012, por tipo. Los propsitos para los cuales pueden ser utilizados los Troyanos son muchos, por ejemplo: Robo de informacin del sistema, registro de tipeo y robo de contraseas o accesos remotos (puertas traseras), donde permiten al atacante conectarse remotamente al equipo infectado. Los troyanos los podemos clasificar en los siguientes tipos: Backdoors: Troyanos de acceso remotos o puertas trasera, tienen la caractersticas de permitirle al atacante conectarse remotamente al equipo infectado. Luego de que el atacante accede al ordenador del usuario, los usos que puede hacer del mismo son variados, segn las herramientas que utilice: enviar correos masivos, eliminar o modificar archivos, ejecucin de archivos, reiniciar el equipo o usos ms complejos como instalar aplicaciones para uso malicioso (por ejemplo: alojamiento de sitios web de violencia o pedofilia). En los ltimos meses [8], esta rpida proliferacin mundial de cdigo malicioso cada vez ms inteligentes ha llegado acompaado de un mtodo de ataque daino: troyanos que se instalan puertas traseras en los sistemas de redes comprometidas para que puedan participar en la actividad malintencionada desde un sistema infectado y enviar los datos a ubicaciones remotas . El cdigo del troyano se disfraza como un programa inofensivo, correo electrnico, o una imagen, etc, y con el xito de obtener acceso al sistema, el troyano puede dar rienda suelta a cdigo daino como la instalacin de puertas traseras. Una vez establecida la puerta trasera, ningn cracker puede perpetrar, pirata informtico, o otra persona con conocimiento de la apertura puede utilizarla para la entrada del sistema. Keyloggers: Son uno de los troyanos ms utilizados para obtener informacin sensible de los usuarios. Son programas creados para robar informacin, para lo cual monitorean todas las pulsaciones del teclado y las almacenan para un posterior envo al creador, quien puede obtener beneficios econmicos o de otro tipo a travs de su uso o distribucin. Por ejemplo, al

introducir un nmero de tarjeta de crdito el keylogger guarda el nmero, posteriormente lo enva al autor y ste puede hacer pagos fraudulentos con esa tarjeta. Los keyloggers normalmente son usados para recopilar contraseas y otros datos, pero tambin se pueden usar para espiar conversaciones de chat u otros fines. Banker: Se denomina troyanos bancarios a la familia de cdigos maliciosos cuya finalidad es la obtencin de informacin bancaria de los usuarios infectados. Utilizan diferentes estrategias para obtener las claves de acceso a todo tipo de entidad financiera. Algunas de estas estrategias son: Remplazar el sitio web de la entidad de manera total o parcial, capturar pantallas de la pgina bancaria cuando se utiliza teclado virtual entre otros, envindose esta informacin al atacante por correo electrnico normalmente. Botnets: Son utilizados para crear redes de equipos zombis. El atacante utiliza el troyano para controlar una cantidad de computadores y as, utilizarlos para cualquier fin maligno. Se utilizan para enviar Spam o para realizar ataques de negacin de servicios, de los cuales pueden sacar beneficios econmicos. Las botnets [9] se han identificado recientemente como una de las amenazas ms importantes para la seguridad del Internet. Tradicionalmente, las botnets se organizan de forma jerrquica con un comando central y lugar de control. Esta ubicacin puede ser estticamente definido en el bot, o puede ser definido de forma dinmica basada en un servidor de directorio. En la actualidad, la caracterstica central de botnets es til para profesionales de la seguridad, ya que ofrece un punto central de la insuficiencia de la red de bots. En un futuro prximo, creemos que los atacantes se movern a las arquitecturas ms flexibles. Una de las amenazas ms importantes a la Internet hoy en da es la amenaza de botnets, que son redes de ordenadores infectados bajo el control de un atacante. Es difcil medir la magnitud del dao causado en Internet por botnets, pero es ampliamente aceptado que el dao es significativo. Adems, es el mas potencial en magnitud de dao que existe en el futuro. Password Stealer: Los Stealer roban la informacin privada que se encuentra guardada en el equipo. Al ejecutarse, comprueban los programas instalados en el equipo y si tienen contraseas recordadas (por ejemplo en navegadores web) descifran esa informacin y la envan al creador. Dialer: Toman el control del mdem, realizan una llamada a un nmero de telfono de tarifa especial (muchas veces internacional) y dejan la lnea abierta, cargando el costo de la llamada al usuario. La forma ms habitual de infeccin suele ser en pginas web que ofrecen contenidos gratuitos pero que slo permiten el acceso mediante conexin telefnica, y los seuelos suelen ser videojuegos, salvapantallas o pornografa. Actualmente la mayora de las conexiones a internet son mediante ADSL y no mediante mdem, por lo que los dialers ya no son tan populares. Adems de los diferentes tipos de troyanos descritos, cabe resaltar la incursin y evolucin de Troyanos para dispositivos mviles y para Mac. En el caso de los primeros, el creciente mercado de los equipos con Android, ha llevado a que el mayor

nmero de ataques de malware sea a equipos con este sistema, y que el 99% porcentaje de software malicioso que detectan empresas como Karpesky es para la plataforma ya mencionada. En la Figura 2. Karpesky [10] en su boletn de seguridad 2012, nos muestra el Top ten de los malware para Android, donde el mayor porcentaje de estos son Troyanos.

Figura 2. Top 10 de Malware para Android. Spyware: Estos recopilan la informacin de los usuarios respecto a los accesos a internet sin el consentimiento de ellos, y posteriormente envan estos datos a personas externas. Aunque este tipos de malware no daan el ordenador, si afectan el rendimiento de este, adems de atentar contra la privacidad de los usuarios y modificar algunas configuraciones de los navegadores web. La mayora de los programas Spyware, son instalados como troyanos junto a software bajados por internet. Ciertos spyware poseen caractersticas adicionales para conseguir informacin e intentan interactuar con el usuario simulando ser buscadores o barras de herramientas. Con estas tcnicas, los datos obtenidos son ms legtimos y confiables que con otros mtodos espas utilizados. Adware: Son programas que muestran publicidad al usuario de manera intrusiva en forma de ventanas pop-up o de cualquier otra forma. Esta publicidad aparece inesperadamente en el equipo y resulta muy molesta. Al igual que los Spyware, los Adware no atentan contra la integridad de los sistemas operativos, si no que sus consecuencias se ven reflejadas primero en el rendimiento de este, ya que consumen procesador, memoria y ancho de banda y segundo en la molestia que causan a los usuarios mostrando ventanas con publicidad la cual aparece sin ningn tipo de orden dada al computador. Ransomware: Son programas que cifran los archivos importantes para el usuario, hacindolos inaccesibles. Luego de esto se exige pagar un "rescate" para poder recibir la contrasea que permite recuperar dichos archivos. El Ransomware es una de las amenazas informticas ms similares a un ataque sin medios tecnolgicos: el secuestro. Este tipo de ataques por lo general es perpetrado por un solo atacante quien casi siempre utiliza los archivos de ofimtica como vctimas del ataque. Tambin imgenes y correos electrnicos, son prioritarios para el comn de los ataques.

III. CONCLUSIONES Hasta este punto de la investigacin, vemos como cada da aumentan el nmero de ataques de malware a los diferentes sistemas (Windows, Mac, Linux, Android), creciendo a la vez el riesgo de que seamos victimas de uno de estos tipos de software maliciosos. El basto crecimiento de dispositivos mviles, en especial el progresivo aumento de equipos con Android, ha disparado por parte de los desarrolladores la alta creacin de nuevos malware y la constante evolucin de los ya existentes, convirtindose cada vez ms difcil la tarea de detectar y eliminar cada uno de estos programas mal intencionado. Al pasar de simples intenciones de reconocimientos a intereses econmicos, los creadores de estos tipos de software, buscan constantemente diferentes estrategias que los lleven a cumplir con su cometido, sin interesarles incurrir en delito. Con la aclaracin de conceptos y la correspondiente clasificacin de los malware, tendremos un conocimiento mayor de la forma como cada uno de ellos operan con el objetivo de poder protegernos. REFERENCIAS [1] Fast Malware Classification. Cyber Defense Laboratory. Department of Computer Science Department NC State University, Raleigh, NC, USA. | Younghee Park, Douglas Reeves, Vikram Mulukutla, Balaji Sundaravel. (2010). [2] Symantec Intelligence Report: July 2012. Disponible en Internet: http://www.symanteccloud.com/verify.nocache?filename=SY MCINT_2012_07_July.pdf [3] Panda Security Antivirus. Security Info Classic Malware: su historia, su evolucin | PandaLabs, el laboratorio antimalware de Panda Security. Disponible en Internet: http://www.pandasecurity.com/spain/homeusers/securityinfo/classic-malware/ [4] Elementos terico-prcticos tiles para conocer los virus informticos. | Lic. Ramn Orlando Bello Hernndez y Ms C. Ileana R. Alfonso Snchez. (2003). [5] HUNTER. Modelo de Antivirus Inteligente para La Proteccin contra Gusanos. | Siler Amador, Hilda Quinays, Guillermo Jurado, Beatriz Garzn y Leidy Yurany Aley. (2008). [6] Trojans and Backdoors. | Shahram Monshi Pouri, Nikunj Modi. [7] Panda Security Antivirus. Informes - Trimestrales | Informe Trimestrales PandaLabs [citado Octubre 2012]. Disponible en internet: http://prensa.pandasecurity.com/wpcontent/uploads/2012/12/Informe-Trimestral-PandaLabs-JulioSeptiembre-2012.pdf [8] The Digital Insider: Backdoor Trojans. The World Bank Integrator Unit | Tom Kellermann, CISM and Yumi Nishiyama. (2003). [9] Peer-to-Peer Botnets: Overview and Case Study | Julian B. Grizzard, Vikram Sharma, Chris Nunnery, and Brent ByungHoon Kang (2007).

[10 ] Kaspersky Antivirus. Centro de Prensa | Boletn de seguridad 2012. Estadstica general de 2012 [citado Diciembre 10, 2012]. Disponible en Internet: http://www.viruslist.com/sp/analysis?pubid=207271195#1