Desde disfrazar miniaplicaciones para que parezcan parte de Windows hasta usurpar las herramientas de seguridad, los piratas de la Web usan una variedad de métodos para esquivar las defensas de su PC.
Si los bribones que crean los virus, caballos de Troya y otro software malicioso tuvieran de estupidez lo que tienen de maldad, tendríamos menos por qué preocuparnos. Pero a medida que se crean métodos de protección más adecuados para detener los ataques obvios, esos desagradables personajes de la Internet responden con tácticas sigilosas para invadir las PC. Aquí explicamos cinco de sus estratagemas más sucias, todas basadas en caballos de Troya.
No me haga caso, sólo estoy aquí para romper su PC: Es como enviar un explorador diferente cada vez para que abra la puerta al resto de los invasores. El “Glieder Trojan” y muchos otros usan un proceso de infección en múltiples etapas cuyo primer paso es un minúsculo programa que los piratas pueden cambiar constantemente para que su antivirus no lo reconozca. Una vez adentro, el programa intenta inutilizar la seguridad antes de instalar el programa verdadero, que puede ser un ladrón de datos o cualquier cosa que el atacante quiera.
¿Y los sitios de la Web cerrados y cifrados? No hay problema: Los sitios de la Web pueden y deben usar la capa de conexión segura (SSL) para cifrar y proteger los datos confidenciales como las cuentas de banco (cuando un icono en forma de candado aparece en la barra de direcciones, eso indica que el sitio usa SSL). Pero el “Gozi Trojan” y su estirpe evaden las protecciones SSL haciendo que Windows crea que son parte del proceso, de manera que sus datos salen del IE y pasan a través de Gozi antes de ser cifrados y enviados a la red. En vez de espiar su teclado, que muchos programas de seguridad vigilan, estas aplicaciones se ocultan dentro del SO como proveedores de servicios en capas (LSP) falsos.
Programas maliciosos que revisan su PC para detectar programas maliciosos: Una herramienta antivirus adicional no puede sino ser beneficiosa ¿verdad? No cuando lo único que hace es deshacerse de los rivales del “SpamThru Trojan.” Este desagradable atacante introdujo una versión pirateada y disminuida de Kaspersky AntiVirus (que Kaspersky desde entonces ha cerrado) para borrar otros programas maliciosos que podrían usar la PC víctima con la intención de remitir correo indeseado. Si la PC tuviera una aplicación antivirus verdadera, SpamThru intentaría bloquear sus actualizaciones, evitando así que identificara nuevas amenazas.
Cifrado con las mismas oportunidades: Cifrar los datos confidenciales y protegerlos con una contraseña ayuda a resguardarlos de ojos indiscretos. Pero el “SpyAgent Trojan” ahora también se mete en el campo del cifrado. Cuando se instala en una PC de plataforma Windows con el Encrypting File System (que se incluye en Windows 2000, XP Pro, 2003 Server y 2005 Media Center), SpyAgent establece su propia cuenta de nivel de administrador y la usa para cifrar sus archivos. Usted –o su software antivirus– tendría que adivinar la contraseña aleatoria de la cuenta para descifrar y examinar los archivos maliciosos a fin de confirmar que no son los que deben estar allí.
Hola, cortafuego. Soy Windows Update. De veras: Los cortafuegos protegen a las computadoras y las redes de los malhechores. Por eso el “Jowspry Trojan” se disfraza como algo conocido y aprobado: el Windows Update. Ese taimado programa malicioso hace que sus conexiones se parezcan al Background Intelligent Transfer Service que Windows Update utiliza, por lo cual los cortafuegos no sospechan nada y le permiten bajar más programas de ataque a la PC.
Para salirse con estos ardides, el programa malicioso primero tiene que penetrar la PC. Si usted mantiene al día Windows y otros programas, evita abrir anexos o pulsar vínculos en el correo electrónico no solicitado y usa un buen programa antivirus, no le dará a los piratas la oportunidad de poner a trabajar sus caballos de Troya.
Las descripciones están basadas en la investigación y el análisis de Peter Gutmann, de la Universidad de Auckland; Craig Schmugar y Aditya Kapoor, en McAfee Avert Labs; y Joe Stewart, en SecureWorks.
Herramienta le ayuda a detectar los rootkits
Rootkits, una tecnología sigilosa que algunos escritores de programas maliciosos usan para ocultar sus creaciones en la PC de sus víctimas, son notoriamente difíciles de encontrar y purgar. El Rootkit Detective 1.0 gratuito de McAfee tiene por objetivo ayudar en esa misión (obtenga el archivo .zip de 1,4MB en find.pcworld.com/58595).
La instalación del programa es un paseo y produjo resultado en apenas 5 minutos en mi sistema. Usted puede escoger entre cinco opciones de pantalla que abarcan archivos, entradas del Registro, procesos y demás. Sin embargo, los datos son muy técnicos, sin pistas que le digan si un proceso o archivo oculto podría ser un rootkit o parte de una aplicación legítima; como advierte McAfee en la página desde la cual se baja la herramienta, usted no debe actuar basándose en los resultados a menos que sepa lo que está haciendo o que consiga la ayuda de alguien que tenga los conocimientos necesarios.
Si usted sabe que algo es malicioso, puede resolver el problema cambiando el nombre de archivos, borrando entradas del Registro, o terminando procesos. Si no está muy seguro, pero sospecha de algo, puede conseguir la ayuda de McAfee seleccionando la casilla que aparece junto al archivo y pulsando el botón Submit para enviar la información a esa firma para su análisis (esta opción sólo trabaja para los archivos, no para otros elementos en la exploración).
En la ventana de Submit, escriba su dirección de correo electrónico y todo lo que sepa o sospeche sobre el archivo; entonces pulse Send [Enviar]. Un representante de McAfee me contestó al día siguiente.
-Erik Larkin