Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 5 de julio de 2007

LA DELGADA BARRERA QUE SEPARA LOS CODIGOS MALICIOSOS ILEGALES DE LOS LEGALES (ADWARE & SPYWARE)

Por André Goujon Maucher

Los Adware ya no son simples programas que muestran publicidad como hace unos años, sino que son capaces de eliminar otros Adware, atacar antivirus, firewalls y programas antispyware, actualizarse a versiones no detectadas por los antivirus y antispyware y ahora además ¡nos chantajean!

Breve introducción a los códigos maliciosos legales e ilegales
Para poder entender lo que más abajo expongo, se deben tener claros algunos conceptos básicos al respecto:

Códigos maliciosos legales
Programas que realizan diversas operaciones en el ordenador de forma oculta al usuario. Son generalmente instalados por aplicaciones gratuitas (KaZaa por ejemplo). Esto se debe a que al mostrar publicidad o enviar información del usuario, las empresas que ofrecen dichos programas gratuitos pueden obtener dinero a cambio. Son legales ya que en el contrato del programa gratuito se especifica que serán instalados y el usuario al hacer clic sobre "Yo acepto" está declarando que acepta los términos para poder utilizar dicho programa.

Dentro de los códigos maliciosos legales podemos encontrar Adware y Spyware.

1. Adware: Programas que muestran publicidad en su ordenador. Aunque no realizan espionaje, suelen ser molestos ya que utilizan recursos del ordenador, muestran publicidad incluso si no se tiene abierto el navegador Web, etc.

2. Spyware: Programas que envían información del usuario como hábitos de navegación a un determinado ordenador (servidor) de una compañía.

Códigos maliciosos ilegales
Todos aquellos programas que realizan operaciones en el ordenador sin el consentimiento escrito del usuario. Dentro de esta categoría tenemos la siguiente clasificación:

1. Virus: Programas que infectan ficheros del ordenador agregando su propio código al fichero original.

2. Troyanos: Programas que no poseen rutinas de expansión ni tampoco infectan ficheros. Aparentan ser una aplicación con buenos propósitos (de ahí el nombre).

  • Troyano downloader: Troyanos que descargan otros códigos maliciosos legales e ilegales desde Internet sin el consentimiento del usuario para luego instalarlos en el ordenador.
  • Troyano dropper: Troyanos que instalan códigos maliciosos legales e ilegales sin el consentimiento del usuario.
  • Troyanos de acceso remoto: Troyanos que esperan instrucciones de una persona remota desde Internet.


3. Gusanos: Programas capaces de expandirse utilizando Internet y redes.

¿Pero que tan legales son estos códigos?

Hoy en día, los códigos maliciosos legales han pasado a ser uno de los principales dolores de cabeza.

Bastó para darme cuenta cuando la gente me llama y me pide ayuda: André, mi computador está infectado con virus. En la mayoría de los casos, estas "infecciones" sólo se trataban de Adware o Spyware.

La barrera que existe entre los códigos maliciosos ilegales (virus, gusanos y troyanos) y los legales se nota cada vez menos. Los Adware ya no son simples programas que muestran publicidad como hace unos años, sino que son capaces de eliminar otros Adware, atacar antivirus, firewalls y programas antispyware, actualizarse a versiones no detectadas por los antivirus y antispyware y ahora además ¡nos chantajean!

Muchas aplicaciones vienen con estos códigos maliciosos legales, sin embargo, algunas páginas de estos productos aseguran que sus programas están libres de virus y troyanos. Hablando en términos de clasificación de códigos maliciosos, lo que estas empresas aseguran es cierto, pero ¿Los adware y spyware son tan legales como lo aseguran ser?

Revisemos el caso del virus que NOD32 detecta como Win32/Oleloa.A. Este virus es descargado por otros adware y troyanos downloaders. El virus infecta los archivos del disco duro y luego nos pide un precio por una solución capaz de desinfectar nuestros ficheros.

La aplicación misma sólo traería consigo un adware, pero capaz de descargar códigos maliciosos ilegales. En este caso, la barrera entre los códigos legales e ilegales desaparecería.

En mi opinión, esto no es legal en lo absoluto, independiente que el contrato de uso de un programa lo especifique. Es decir, ¿Cómo puede ser legal un código malicioso a pesar de que esté especificado en un contrato de un programa?

Pongamos el siguiente ejemplo: Ofrezco servicios de limpieza de chimeneas. En mi contrato de servicio especifico que a parte de limpiar la chimenea tengo derecho a robar objetos de la casa. ¿Es esto legal? En lo absoluto.

Los adware están atentando contra las buenas costumbres al descargar códigos maliciosos como virus.
Los programas antispyware tendrán que empezar a incluir rutinas de desinfección y los antivirus tendrán que cuestionarse si agregar el código en cuestión a la base de datos estándar (detección de códigos maliciosos ilegales) o extendida (detección de códigos maliciosos legales), ya que estrictamente hablando es un adware, pero que descarga un código malicioso, por lo tanto, podría considerarse como un troyano.

Que un virus sea instalado por un troyano downloader o por un adware debería ser castigado de igual manera e incluso se le debería prestar la misma atención que una persona que hace troyanos.

Espero que las leyes se pongan estrictas al respecto y que empiecen a actuar para prohibir dichas tendencias.

Fuente: http://www.enciclopediavirus.com/enciclopedia/articulo.php?id=564

Ver más

SECURITY DAY CON VIDEO
Desde el Blog de Chema podemos acceder al un video de Security Day con charlas del mismo Chema y Sergio de los Santos sobre malware y virustotal.

El video viene con demostración de troyanos y todo sobre el final. Si alguien quiere ver como funcionan, también puede hacerlo en nuestro seminario.

Fuente: http://www.segu-info.com.ar

Ver más