Top 5 de códigos maliciosos que no dejaron dormir a los investigadores

Este post es una traducción y adaptación de su versión original en We Live Security.

Top 5 de códigos maliciosos que no dejaron dormir a los investigadores

Cuando se analizan códigos maliciosos, los investigadores sin duda tienen desarrollado el sentido para detectar el riesgo potencial del material con el que trabajan y son adecuadamente precavidos, sin embargo, hay algunas amenazas tan temidas que se revisan tantas veces para asegurarse de no liberarlas por accidente. A pesar de que sin duda existen códigos maliciosos que fueron mucho más costosos para eliminar o que se propagaron más ampliamente, en lo que respecta a los inconvenientes o daños directos ocasionados, los siguientes son los 5 más complejos:

  1. CIH (alias Chernobyl)
    CIH es el más antiguo de los códigos maliciosos de esta lista; se descubrió por primera vez en 1998. Este virus causó tantos daños entre las víctimas que salió en las noticias año tras año. Para propagarse, CIH se ocultaba en espacios “vacíos” de archivos no maliciosos, lo que dificultaba mucho su desinfección, ya que el tamaño de dichos espacios varía mucho, por lo que el código del virus se dividía de distintas maneras y se hacía muy difícil asegurarse de que las rutinas de desinfección eliminaban hasta los últimos rastros de los archivos. Esto significaba en muchos casos el reemplazo manual de los archivos ejecutables dañados. Lo que es más grave, si el sistema seguía infectado el día 26 de abril (el aniversario del desastre en Chernobyl, que algunos especulan es la razón por la que se eligió esa fecha) el virus estaba configurado para sobrescribir el primer megabyte del disco duro, de modo que el equipo se colgaba o mostraba la pantalla azul. En ciertos casos, el virus incluso actualizaba el BIOS, o sea que dejaba el equipo totalmente inutilizable ya que sobrescribía el código que le permite al equipo encender. El virus atacó a más de un millón de equipos en todo el mundo y siguió dando vueltas durante varios años tras el descubrimiento de la última variante.
  2. ExploreZip
    ExploreZip también es un virus bastante antiguo; se descubrió por primera vez en 1999. Se remonta a los días en que las personas empezaban a usar el término “amenaza combinada” para describir la táctica cada vez más popular de los gusanos para propagarse  mediante una variedad de mecanismos diferentes. Éste código malicioso se propagaba de dos formas: al responder correos electrónicos no leídos con una copia de sí mismo y al buscar archivos compartidos en red donde se pudiera copiar en forma silenciosa. Una vez ejecutado, mostraba un mensaje de error que parecía indicar que se acababa de ejecutar un archivo ZIP defectuoso. En segundo plano, el virus sobrescribía con ceros los archivos .DOC y ciertos archivos fuente de programación, lo que significaba que los archivos quedaban destruidos sin posibilidad de revertirse a menos que se emplearan costosas técnicas de recuperación de datos.
  3. CryptoLocker
    CryptoLocker es la amenaza más nueva de la lista; se descubrió por primera vez hace unos meses y también provoca cambios en los archivos de los usuarios afectados. Este malware es del tipo ransomware, es decir que está diseñado para secuestrar la información del usuario y pedir a cambio de la misma una suma de dinero en un período de tiempo antes de destruir la información. A veces, con el ransomware se tiene suerte y se encuentra algún tipo de pista en los archivos o algún defecto en el cifrado que permite descifrar los archivos. Pero en este caso el código malicioso usa cifrado asimétrico (similar a la técnica usada por productos comerciales), sin la clave del atacante es imposible recuperar los archivos.
  4. Mebromi
    Mebromi fue descubierto en 2011, similar al CIH en que también actualiza el BIOS para almacenar parte de su código. Pone parte de su código disperso en el disco duro, lo que significa que queda fuera del alcance de los mecanismos normales de desinfección. Muchas veces es necesario trabajar sobre la motherboard para lograr la desinfección, lo cual no es una tarea sencilla.
  5. ZMist
    Este código malicioso es de la familia de los virus polimórficos: cambian la apariencia de su código entre una infección y otra para mostrarse distintos, y de esa forma tratar de engañar a las soluciones de seguridad. La ventaja es que el código utilizado para cambiar de forma es estático, lo cual puede ser utilizado como forma de identificar el virus. ZMist, descubierto en 2002, se denominó virus “metamórfico” porque llevó esta idea a un nivel incluso más complicado. En lugar de simplemente cambiar su apariencia, incluía código para volver a compilarse entre una infección y otra. Esto lo hacía increíblemente difícil de detectar con la tecnología disponible en ese momento.

Estos códigos maliciosos son inquietantes debido a que hacen un gran esfuerzo para evadir su eliminación o para causar un daño permanente en los equipos infectados. Pero ninguno de ellos logró ser imposible de detectar, y la mayoría ni siquiera funciona en las últimas versiones de Windows.

Las primeras dos amenazas lograron tener un gran alcance y realmente provocaron una gran cantidad de daños. Como las amenazas hoy en día tienen una motivación financiera, en general no es una buena idea para ellas anunciar su presencia provocando muchos daños en los sistemas comprometidos, ya que de hecho estarían matando su fuente de ingresos. CryptoLocker vendría a ser una excepción a esta regla, ya que muchas personas pagan para recuperar sus datos. Para el usuario que realizó copias de seguridad de los datos, esto es solo una molestia en lugar de un problema genuino.

Los creadores de malware que buscan el rédito económico nunca van a desperdiciar más tiempo ni dinero en el desarrollo que el necesario para aprovechar el hecho que muchas personas no aplica las buenas prácticas en seguridad. Esto hace que los creadores de malware logren hacer una gran cantidad de dinero con técnicas mucho menos complicadas. Es decir, que si por lo menos se contara con una solución de seguridad y las aplicaciones actualizadas se lograría  eludir la mayoría de las amenazas.

Autor Lysa Myers, We Live Security

Autor , ESET

  • Pingback: Top 5 de códigos maliciosos que no dejar...()

  • Pingback: Top 5 de códigos maliciosos | Reverendo's Blog()

  • Buen día,

    Leyendo el articulo, en la sección del ExploreZip se haba de costosas técnicas para recuperar información en archivos que han sido reescritos, y me preguntaba, es esto real?, es decir, se pueden recuperar los bytes de un archivo después de ser modificado?

    • Estimado Edinson,
      La sobreescritura de los sectores de un disco hace que la información anteriormente almacenada allí no pueda ser recuperada, al menos en los discos actuales; cuando un sector es escrito, se pierde el contenido antiguo. Sin embargo, cuando un archivo es modificado, puede que se le asignen otros sectores físicos en el disco, descartando los viejos. Y, dado que estos sectores viejos no son realmente borrados o sobreescritos, es posible la recuperación con técnicas como data carving. En la actualidad existen alternativas no tan costosas para aplicar estas técnicas, pero cuando surgió ExploreZip el panorama era distinto.
      Saludos!
      Matías

  • Señor Matias,

    Muchas gracias por su respuesta, pues a contribuido a reducir mis indices de ignorancia informática, un poquitico.

  • Pingback: Top 5 de códigos maliciosos que no dejaron dormir a los investigadores()

Síguenos