Economía digital | Artículos | 01 OCT 2005

Crecen los virus que se descargan de forma inadvertida

El mundo del software malicioso, a menudo, está dividido en dos clases: el de tipo viral y el no viral. Podemos decir que los virus no son ni más, ni menos, que unos cuantos bits de código escondidos dentro de otros códigos. De hecho, cuando se ejecuta el código “anfitrión”, los virus se replican a sí mismos y pueden contagiar todo el sistema, con lo que su forma de funcionamiento resulta muy similar a la que ejecutan los virus biológicos en el cuerpo humano.

Los gusanos son una clase de “parásitos de ordenador” a los que se le suele asociar como parte del mundo de los virus, ya que se replican y extienden de equipo en equipo. Como los virus, un gusano malicioso puede actuar replicándose por toda una infraestructura de PC, generando tal número de correos electrónicos o peticiones de conexión, que los servidores no puedan atender y acaban colapsándose.
Los gusanos son distintos de los virus, ya que no son simples bits de código escondidos dentro de otros archivos. Pueden ser archivos completos (una hoja de Excel, por ejemplo) y se replican sin necesidad de ejecutar otro programa.
Asimismo, los denominados RAT (Remote Administration Trojans) son aquellos virus que, utilizando técnicas de administración remota, se comportan como si se tratara de un caballo de Troya, de ahí que sean denominados troyanos. De hecho, el propósito de estos programas no es tanto la replicación, sino más bien la penetración y el control de un sistema. Actúan de forma similar a la estratagema seguida por los griegos, quienes se escondieron dentro del Caballo de Troya, que introdujeron de noche en el interior de la legendaria ciudad fortificada. Son programas que se suelen camuflar con la apariencia de otra cosa y que, por regla general, tienen un propósito destructivo.
Hay diversos tipos de troyanos, incluidos los spybots o robots espía, que reportan las páginas web que visita un determinado usuario, así como los keybots y keyloggers que graban y transmiten las pulsaciones de teclado del usuario con el objetivo de descubrir sus contraseñas u otra información confidencial.
Los RAT intentan dar al intruso el poder de administrar de forma remota el ordenador infectado, trabajando en una estructura cliente/servidor. Y es que mientras el servidor reside en la máquina infectada, el cliente se aloja en cualquier otro lugar, a lo largo de la Red, donde se aloje el intruso. Así, utilizando los protocolos estándar TCP/IP o UDP, el cliente envía instrucciones al servidor. Por su parte, el servidor hará lo que se le ordene desde la máquina infectada.
Los troyanos, incluidos los RAT, se suelen descargar de forma inadvertida, sin que se salven ni los usuarios más experimentados. Visitar la página web equivocada o hacer click sobre un enlace determinado servirá de tarjeta de visita para que acceda cualquier tipo de troyano en el equipo. No en vano, los RAT se instalan a sí mismos aprovechando las debilidades de los navegadores y los programas más usuales. Además, hay que tener en cuenta que, una vez que residen en un ordenador, son muy difíciles de detectar y eliminar. Por ejemplo, en el caso de usuarios de Windows, no les bastará con pulsar Ctrl-Alt-Supr para desenmascararlos, ya que operan en segundo plano y no quedan reflejados en la lista de tareas.

Diseños nefastos
Algunos RAT especialmente peligrosos se han diseñado para instalarse a sí mismos de forma que sean muy difíciles de eliminar, incluso cuando se les haya descubierto. Por ejemplo, una variante del RAT Back Orifice, denominada G_Door, instala su servidor como Kernel32.exe en el directorio del sistema de Windows, donde se activa y bloquea mientras controla las claves del registro. El fichero Kernel32.exe activo no puede eliminarse fácilmente y con un simple reinicio no se limpian las claves del registro. Cada vez que arranque el ordenador infectado, Kernel21.exe también se reiniciará y el programa se volverá a activar y bloquear.
Algunos servidores RAT se conectan a puertos estándar y otros lo hacen a puertos aleatorios, que “comunican” a los clientes cuáles son los puertos y las direcciones IP, a las que deben conectarse a través de correo electrónico. Incluso los ordenadores que se conecten a Internet a través de ISP, que ofrecen mejores condiciones de seguridad que las conexiones de banda ancha, pueden ser controlados a través de estos servidores RAT.
La habilidad de los servidores RAT de iniciar conexiones puede permitirles también evitar los firewalls, dispositivos específicamente diseñados para impedir conexiones entrantes no solicitadas y/o perniciosas. Una conexión saliente casi siempre suele permitirse, por lo que una vez que un servidor contacta con un cliente, ambos pueden comunicarse y el servidor comienza a seguir las instrucciones de éste.
Los administradores de sistemas suelen utilizar herramientas legítimas para administrar las redes para diversos propósitos, como añadir un nuevo usuario o descargar programas de actualización, funciones que son extraordinariamente similares a las que realizan algunos troyanos de administración remota. La diferencia entre ambos puede ser muy pequeña. Y es que, en realidad, una herramienta de administración remota utilizada por un intruso se convierte en un RAT.
En abril de 2001, un administrador de sistemas británico desempleado llamado Gary McKinon, utilizó una herramienta legítima de administración conocida como “remotely anywhere” para conseguir acceder a los ordenadores de una red de la Marina de EE.UU. Hackeando algunas contraseñas desprotegidas en equipos r

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios