Introducción
Normalmente todos hablamos de todo tipo de malware, las empresas de seguridad que dan cursos sobre forensia a malware y demás temas relacionas a esto lo hacen, pero realmente sabemos sus características principales?
Los virus y los caballos de Troya hacen que las computadoras hagan cosas que los usuarios no quieren que se lleven a cabo. El término Caballo de Troya se debe al uso por los griegos de un caballo de madera hueco lleno de guerreros para engañar a los troyanos y por eso esa designación para identificarlos.
Los troyanos se dividen en 4 categorías principales
Las mascaradas directas
Ejemplo: Podría mencionar a un troyano que apareció en los años 90´s llamado iclean20.EXE el cual llegaba añadido a un email el cual supuestamente se usaba para examinar nuestra PC en busca de malware y ademas que aparentaba ser enviado por el fabricante del producto, pero realmente se disfrazaba de una herramienta de limpieza del antivirus Trend Micro y que solo ha afectó a usuarios en China.
A pesar de que el uso de esta técnica (enviar un malware como archivo adjunto) no es lo más usual en estos días, (ya que la mayor parte de códigos maliciosos se están distribuyendo principalmente como links, los cuales son descargados directamente de sitios web que han sido comprometidos), sigue siendo efectiva.
installer
adware
loader
Y demás infecciones que no son parte del tema a tratar en este articulo y que trataremos mas a detalle en otro articulo.
no se hacen pasar por programas existentes, sino que se hacen pasar por programas posibles que son distintos de lo que son.
Ejemplo: programas con nombres como sexo arriba.
tienen nombres que se aproximan a los nombres de programas legítimos.
Ejemplo: un programa llamado dr que podría activarse si el usuario escribe mal el directorio. Dado que los usuarios desean instalar programas (por ejemplo, para fines de mantenimiento o actualización) y tal vez escribir sus propios programas, en la práctica, pocos sistemas proporcionan restricciones en los nombres de los programas; incluso si lo hacen, debe haber menos restricciones para los programadores que los diseñan. La consecuencia de esta liberalidad son los troyanos indetectables / no identificables.
no son programas fácilmente identificables invocados por el usuario, pero generalmente son programas que ya se están ejecutando y que proporcionan una interpretación no deseada de los comandos u otras actividades del usuario.
Ejemplo: un sistema operativo cuyo mensaje de inicio de sesión para el usuario es una pantalla clara y el mensaje 'login:' se puede troyanizar indirectamente al construir un programa que intercepte al usuario, al borrar la pantalla y al emitir el mensaje de inicio de sesión. Luego puede embarcarse en cualquier actividad que desee, generalmente registrando el nombre y la contraseña del usuario; para evitar que el usuario lo detecte, transferiría el control al programa de inicio de sesión auténtico. (Si esto no es factible, podría informar erróneamente un error de contraseña, pedirle al usuario que lo intente nuevamente y luego finalizar para que el programa de inicio de sesión auténtico se haga cargo por completo).
Ejemplo: cuando se inserta un CD de entretenimiento, puede comenzar a reproducirse automáticamente; si contiene código ejecutable, puede ejecutarse y causar daños (o prepararse para hacerlo). El Macintosh AutoStart 9805 es un troyano de este tipo; comienza la ejecución como un efecto secundario de insertar medios extraíbles.
Un componente troyano
Un programa infectado hace algo no deseado en ciertas circunstancias. El componente troyano a veces se denomina carga útil.
Un componente de latencia
La infección viral puede ocultarse indefinidamente. Los troyanos también pueden usar la latencia para ocultar su presencia, pero con un virus latente (o, equivalentemente, daño troyano inadvertido) es esencial para la efectividad de su tercer componente:
Un componente infeccioso
Los programas infectados infectan otros programas, que luego se comportan de manera similar. (Los virus pueden desear evitar la reinfección, porque la reinfección toma tiempo o espacio y, por lo tanto, puede hacer que la infección sea más obvia. Los virus a menudo incluyen una heurística para la autodetección, un procedimiento que, si se identifica, podría dirigirse contra ellos. )
profesor x
Las máscaras simples
no se hacen pasar por programas existentes, sino que se hacen pasar por programas posibles que son distintos de lo que son.
Ejemplo: programas con nombres como sexo arriba.
Las mascaradas de deslizamiento
tienen nombres que se aproximan a los nombres de programas legítimos.
Ejemplo: un programa llamado dr que podría activarse si el usuario escribe mal el directorio. Dado que los usuarios desean instalar programas (por ejemplo, para fines de mantenimiento o actualización) y tal vez escribir sus propios programas, en la práctica, pocos sistemas proporcionan restricciones en los nombres de los programas; incluso si lo hacen, debe haber menos restricciones para los programadores que los diseñan. La consecuencia de esta liberalidad son los troyanos indetectables / no identificables.
Las mascaradas medioambientales
no son programas fácilmente identificables invocados por el usuario, pero generalmente son programas que ya se están ejecutando y que proporcionan una interpretación no deseada de los comandos u otras actividades del usuario.
Ejemplo: un sistema operativo cuyo mensaje de inicio de sesión para el usuario es una pantalla clara y el mensaje 'login:' se puede troyanizar indirectamente al construir un programa que intercepte al usuario, al borrar la pantalla y al emitir el mensaje de inicio de sesión. Luego puede embarcarse en cualquier actividad que desee, generalmente registrando el nombre y la contraseña del usuario; para evitar que el usuario lo detecte, transferiría el control al programa de inicio de sesión auténtico. (Si esto no es factible, podría informar erróneamente un error de contraseña, pedirle al usuario que lo intente nuevamente y luego finalizar para que el programa de inicio de sesión auténtico se haga cargo por completo).
Ejemplo: cuando se inserta un CD de entretenimiento, puede comenzar a reproducirse automáticamente; si contiene código ejecutable, puede ejecutarse y causar daños (o prepararse para hacerlo). El Macintosh AutoStart 9805 es un troyano de este tipo; comienza la ejecución como un efecto secundario de insertar medios extraíbles.
Cualquiera sea su comportamiento, una infección viral tiene tres componentes principales:
Un componente troyano
Un programa infectado hace algo no deseado en ciertas circunstancias. El componente troyano a veces se denomina carga útil.
Un componente de latencia
La infección viral puede ocultarse indefinidamente. Los troyanos también pueden usar la latencia para ocultar su presencia, pero con un virus latente (o, equivalentemente, daño troyano inadvertido) es esencial para la efectividad de su tercer componente:
Un componente infeccioso
Los programas infectados infectan otros programas, que luego se comportan de manera similar. (Los virus pueden desear evitar la reinfección, porque la reinfección toma tiempo o espacio y, por lo tanto, puede hacer que la infección sea más obvia. Los virus a menudo incluyen una heurística para la autodetección, un procedimiento que, si se identifica, podría dirigirse contra ellos. )
profesor x
via Rodolfo H. Baz
No hay comentarios:
Publicar un comentario