Cómo los ciberdelincuentes intentan eludir el software antivirus

Para infectar un ordenador con software malicioso, los cibecriminales deben:

Persuadir a un usuario para que inicie un archivo infectado o bien,
Intentar introducirse en el ordenador de la víctima a través de una vulnerabilidad del sistema operativo o cualquier software de la aplicación que se ejecute en el equipo

Al mismo tiempo, los cibecriminales más profesionales también intentarán asegurarse de que su malware evite cualquier tipo de software antivirus que se esté ejecutando en el ordenador de la víctima.

Técnicas utilizadas para combatir el software antivirus

Para aumentar las probabilidades de conseguir sus objetivos, los cibercriminales han desarrollado una amplia variedad de técnicas para intentar combatir las actividades del software antivirus, entre las que se incluyen las siguientes:

Empaquetado y cifrado de código
La mayoría de los gusanos y virus troyanos están empaquetados y cifrados. Los hackers también diseñan herramientas especiales para el empaquetado y cifrado. Se ha descubierto que todos los archivos de Internet procesados mediante CryptExe, Exeref, PolyCrypt y algunas otras herramientas son maliciosos.

Con el fin de detectar gusanos y troyanos comprimidos y cifrados, el programa antivirus debe añadir nuevos métodos de descomprensión y descifrado, o bien nuevas firmas para cada muestra de programa malicioso.
Mutación de código
Mezclando el código de un virus troyano con instrucciones de "spam", para que el código adquiera una apariencia distinta a la vez que el troyano mantiene su funcionalidad original, los cibecriminales intentan disfrazar su software malicioso. En muchas ocasiones, la mutación de código se produce en tiempo real, en todos o casi todos aquellos casos en los que el troyano se descarga de un sitio web infectado. El gusano de correo electrónico Warezov utilizaba esta técnica y causó epidemias muy graves.
Técnicas sigilosas
Las tecnologías rootkit (empleadas generalmente por los virus troyanos) pueden interceptar y sustituir funciones del sistema con el fin de hacer que el archivo infectado sea invisible para el sistema operativo y los programas antivirus. En algunas ocasiones, se ocultan incluso las ramas del registro (donde se registra el troyano) y otros archivos del sistema. El troyano backdoor (de ataque "de puerta trasera") HacDef es un ejemplo de código malicioso que utiliza estas técnicas.
Bloqueo de programas antivirus y actualizaciones de las bases de datos de virus
Muchos virus troyanos y gusanos de red buscarán activamente los programas antivirus en la lista de aplicaciones activas en el ordenador de la víctima. El malware intentará entonces:
- Bloquear el software antivirus
- Dañar las bases de datos de virus
- Impedir el funcionamiento correcto de los procesos de actualización del software antivirus

Con el fin de acabar con el malware, el programa antivirus debe defenderse controlando la integridad de sus bases de datos y ocultando sus procesos a los troyanos.

Enmascaramiento del código en un sitio web
Las empresas de antivirus detectarán rápidamente las direcciones de los sitios web que contienen archivos de virus troyanos. Sus analistas de virus estudian entonces el contenido de estos sitios y añaden el nuevo malware a sus bases de datos. No obstante, en un intento de combatir el análisis antivirus, una página web puede modificarse de modo que, cuando las solicitudes se envían desde una empresa de antivirus, se descargará un archivo que no es un troyano.

Ataques por "cantidad"

En un ataque por cantidad, grandes cantidades de versiones de troyanos se propagan por Internet en un breve periodo de tiempo. Como resultado, las empresas de antivirus reciben grandes cantidades de nuevas muestras para su análisis. El cibecriminal confía en que el tiempo que se tarda en analizar cada muestra permita que el código malicioso se introduzca en los ordenadores de los usuarios.

Otros artículos y enlaces relacionados con malware y soluciones antivirus