Sobre malware y packers

Entre los profesionales que se encargan de seguridad antivirus existe una larga discusión en torno a si los packers deben ser detectados por los productos AV o no.

La realidad de este asunto es que las empresas AV pueden llegar a tener problemas de diferentes índoles (como legales por ejemplo) por detectar como maliciosos algunos programas de este estilo, Themida por ejemplo.

Cabe aclarar, para aquellos que no sepan que son los empaquetadores (packers), que este tipo de programas básicamente poseen como objetivo “comprimir” los archivos ejecutables.

Si alguna vez, algún lector, intentó comprimir un programa con aplicaciones como WinZip o WinRAR, se habrá dado cuenta que la compresión es mínima y en algunos casos hasta aumenta el tamaño del archivo “comprimido”.

Entonces, los packers son utilizados por los desarrolladores para disminuir el peso de sus aplicaciones, por ende son programas útiles (y no dañinos) en muchos entornos y situaciones; sin embargo, es aquí donde la línea entre la intencionalidad maliciosa y la no maliciosa se torna demasiado finita, ya que la gran variedad y mayoría del malware actual utilizan algún programa empaquetador.

Y hasta en algunos casos, los empaquetadores poseen capacidad de configuración que permite a los creadores de malware lograr que sus códigos maliciosos detecten cuando están siendo ejecutados en entornos controlados, es decir, en máquinas virtuales, dificultando así su análisis.

Pero dejemos por ahora esta discusión al libre albedrío y veamos una simple estadística generada por nuestro laboratorio a través de la colección de muestras que poseemos, donde podemos observar aquellos programas empaquetadores más utilizados por malware actual.

Packers más utilizados por el malware

Como se puede apreciar, uno de los packers más utilizados es UPX (Ultimate Packer for eXecutables) que dentro de esta “torta” se lleva el 28%, tal vez, el hecho de ser un programa gratuito sea el motivo por el cual es uno de los más elegidos por los creadores de malware.

Y seguido por debajo de la mitad (con el 12%) comparten el podio Themida y PECompact (ambos pagos).

Jorge

Autor Editor, ESET

Síguenos

Recibir automáticamente nuevos posts por correo electrónico:

Soportado por FeedBurner

8 artículos relacionados a:
Hot Topic


Archivos

Anterior
Copyright © 2014 ESET, Todos Los Derechos Reservados.