Virus de compañía

En la época del DOS uno de los tipos más primitivos de malware eran los "virus de compañía". Básicamente se aprovechaban de que el MS-DOS daba prioridad a los COM sobre los EXE, de forma que si un usuario ejecuta "CHKDSK", el sistema primero comprueba si existe "CHKDSK.COM" para ejecutarlo, y en su defecto lo hace con "CHKDSK.EXE".

El virus lo que hacía era buscar ejecutables con extensión EXE y realizaba una copia del virus con el mismo nombre del ejecutable pero con extensión COM. Cuando el usuario llamaba por su nombre al ejecutable, por ejemplo "CHKDSK", el MS-DOS ejecutaba el virus (CHKDSK.COM) en vez de la aplicación original (CHKDSK.EXE). Para que el usuario no sospechara, el virus al final de su ejecución lanzaba el ejecutable EXE original, y a simple vista no se apreciaba nada raro.

El otro día un conocido me trajo su portátil porque su antivirus detectaba un malware y no era capaz de desinfectarlo. Se trataba de una versión del popular Vundo/WinFixer, un troyano/adware con múltiples variantes, muy extendido, y que tiene la particularidad de que resulta complicado eliminar (hay muchas discusiones en foros sobre como desinfectar a Vundo-Winfixer porque los antivirus no suelen hacerlo).

Este conocido, con cierta habilidad con la informática (lo que podríamos llamar como usuario avanzado), ya había probado con varios antivirus online de diferentes marcas y utilidades específicas para eliminar al Vundo que había encontrado en foros donde ayudan a los usuarios infectados. Pero aunque algunos de estos programas le decían que habían detectado y eliminado los ficheros del malware, el troyano aparecía después de cada reinicio.

Una de las estrategias que seguía el troyano, y que lo hacía perenne en el sistema, me recordó mucho a los virus de compañía de hace años. Básicamente se hace pasar por algunos de los ejecutables que ya se encuentran en la clave RUN del registro de Windows (que se ejecutan en cada inicio de sistema). En vez de sobrescribir el ejecutable, lo que hace es renombrarlo añadiéndole un espacio a su nombre, y a continuación realiza una copia del troyano con el nombre original.

Con ésto consigue que el troyano se ejecute en cada inicio de sistema sin necesidad de añadir una nueva entrada en la clave RUN. Si el usuario revisa manualmente el contenido de la clave no encontrará ningún nombre extraño, y si tiene algún antivirus o utilidad de seguridad que monitorice las entradas en estas claves tampoco detectará cambios sospechosos.

Para combatir la detección del antivirus por firma lo que hace es seguir esta estrategia de forma simultánea, en el mismo sistema, con diferentes droppers (ejecutables que instalan el troyano). Cada dropper necesitaría una firma de detección distinta, de forma que al mantener varios diferentes tiene más posibilidades de que alguno de ellos no sea detectado por el antivirus que posea el usuario, logrando la reinfección en cada inicio de sistema. Aquí los resultados de VirusTotal en el caso del dropper que suplantaba un binario de Java, jusched.exe, y otra versión del dropper haciendo lo propio con un binario de QuickTime, qttask.exe.

Este tipo de estrategias entre otras (se inyecta en otros procesos, dificulta la eliminación de sus componentes, etc) explican que Winfixer sea uno de los malware más perennes en los equipos infectados pese a que los usuarios mantengan un antivirus actualizado. En el Estudio sobre Seguridad de la Información y eConfianza de los hogares españoles, de INTECO, lectura recomendable, aparece como detectado en el 7,9% de los sistemas analizados.

Algunos los inventan los mismos que hacen los antivirus, otros son de personas despedidas de empresas como microsoft y de los mismos antivirus, otros lo hacen para sacar dinero

·         Virus lentos: Los virus de tipo lento hacen honor a su nombre infectando solamente los archivos que el usuario hace ejecutar por el SO, simplemente siguen la corriente y aprovechan cada una de las cosas que se ejecutan. Por ejemplo, un virus lento únicamente podrá infectar el sector de arranque de un disquete cuando se use el comando FORMAT o SYS para escribir algo en dicho sector. De los archivos que pretende infectar realiza una copia que infecta, dejando al original intacto.

Su eliminación resulta bastante complicada. Cuando el verificador de integridad encuentra nuevos archivos avisa al usuario, que por lo general no presta demasiada atención y decide agregarlo al registro del verificador. Así, esa técnica resultaría inútil.

La mayoría de las herramientas creadas para luchar contra este tipo de virus son programas residentes en memoria que vigilan constantemente la creación de cualquier archivo y validan cada uno de los pasos que se dan en dicho proceso. Otro método es el que se conoce como Decoy launching. Se crean varios archivos .EXE y .COM cuyo contenido conoce el antivirus. Los ejecuta y revisa para ver si se han modificado sin su conocimiento.