Programari maliciós

El programari maliciós^[1] o programari nociu és el programari o arxiu nociu per a l'ordinador que està dissenyat per a inserir virus, cucs, troians, programari espia o fins i tot bots, intentant aconseguir algun objectiu, com ara recollir informació sobre l'usuari o sobre l'ordinador en si.

La paraula en anglès malware prové d'una agrupació de les paraules en anglès (malicious software).

Tipologia

Dos tipus comuns de programari maliciós són els virus i els cucs informàtics. Aquests tipus de programes tenen en comú la capacitat d'autoreplicar-se, és a dir, poden contaminar amb còpies de si mateixos que en algunes ocasions ja han mutat. La diferència entre un cuc i un virus informàtic rau en el fet que el cuc opera de forma més o menys independent als altres arxius, mentre que el virus depèn d'un portador per a poder replicar-se.

A continuació es fa una breu descripció dels diferents tipus de programari maliciós:

• Els virus informàtics fan servir diferents portadors. Els més comuns són els arxius executables que són part de les aplicacions, els documents que contenen macros, i els sectors d'arrancada dels discs de 3 i 1/2 polzades. En el cas dels arxius executable, la rutina d'infecció es produeix quan el codi infectat és executat, executant al mateix temps el codi del virus. Normalment l'aplicació infectada funciona correctament. Alguns virus sobreescriuen altres programes amb còpies d'ells mateixos. El contagi entre ordinadors s'efectua quan el programari o el document infectat va d'una computadora a una altra i és executat.
• Els cucs són similars als virus, però els cucs no depenen d'arxius portadors per a contaminar altres sistemes. Aquests poden modificar el sistema operatiu amb l'objectiu d'autoexecutar-se com a part del procés d'inicialització del sistema. Per a contaminar altres sistemes, els cucs exploten vulnerabilitats de l'objectiu o fan servir algun mecanisme d'enginyeria social per a enganyar als usuaris i poder executar-se.
• Un troià informàtic és un programa nociu amb aparença de programa legítim. Els troians no són capaços de replicar-se per si mateixos i poden ser adjuntats amb qualsevol tipus de programari per un programador o pot contaminar als equips per mitjà de l'engany.
• Una porta del darrere és un programa que permet l'accés al sistema de l'ordinador ignorant els procediments normals d'autenticació. Segons com treballen i infecten altres equips, existeixen dos tipus de portes falses:

1. El primer grup s'assembla als troians, és a dir, són inserits manualment a dins d'algun altre programa, executats pel programa contaminat, i infecten al sistema per a poder ser instal·lats permanentment.
2. El segon grup funciona de forma semblant a un cuc informàtic, que és executat com un procediment d'inicialització del sistema i normalment infecta per mitjà de cucs que el porten com a càrrega.

• El programari espia és tot aquell programari que recol·lecta i envia informació dels usuaris. Normalment treballen i contaminen sistemes com ho fan els troians.
• Un exploit és aquell programa que ataca una vulnerabilitat particular d'un sistema operatiu. Els exploits no són necessàriament nocius: són generalment creats per investigadors de seguretat informàtica per a demostrar que existeix una vulnerabilitat. I per això són components comuns dels programes nocius com els cucs informàtics.
• Una eina d'intrusió és un programa que inserit en un ordinador després que algun atacant hagi aconseguit el control d'un sistema. Les eines d'intrusió generalment inclouen funcions per a ocultar el rastre de l'atac, com és esborrar els log d'entrades o encobrir els processos de l'atacant. Els rootkit poden incloure portes falses, permetent a l'atacant obtenir novament accés al sistema o també poden incloure exploits per atacar altres sistemes.
• Un programari maliciós de rescat és aquell programa que restringeix l'accés als arxius d'un ordinador de forma il·lícita i exigeix un rescat econòmic per retirar les restriccions. El mètode més habitual és la codificació amb una clau secreta que només coneixen els atacants i per la qual sol·liciten una retribució normalment en diners virtuals o amb transferències via passarel·les de pagament de difícil seguiment. La paraula en anglès ransomware prové d'una agrupació de les paraules en anglès (ransom software).

Estructura

Dins del codi del malware podem tenir un codi destinat a aportants diferents tipus de funcionalitats:

• La càrrega útil. És la part del codi relacionada amb l'activitat maliciosa que realitza el malware i, per tant, aquesta part és obligatòria.^[2]
• Opcionalment, el malware pot tenir un codi per a la seva distribució automàtica, se'n diu reproducció, que propaga el malware a altres ubicacions. Per tant, la infecció pel malware pot ser directa, per exemple, a través de l'execució de programes descarregats de la xarxa, o a través d'aquesta reproducció automàtica.
• Usualment, el malware pot tenir un codi útil per a l'usuari destinat a ocultar la funcionalitat veritable del software. És típic amagar el malware a plugins o programes d'utilitat bàsica com salvapantalles. Al malware que té aquest component se'ls anomena troians.
• El malware pot tenir codi destinat a ocultar l'activitat maliciosa realitzada.

El malware, per realitzar alguna de les seves funcions, pot fer ús de programes legítims aprofitant les seves funcionalitats per, per exemple, eliminar, bloquejar, modificar, copiar dades o alterar el rendiment d'ordinadors o xarxes. Aquest tipus de programes legítims s'anomenen Riskware.^[3] Alguns tipus de programes que són riskware són: utilitats d'administració remota, clients IRC, descarregadors de fitxers, monitoritzadors de l'activitat de l'ordinador, utilitats d'administració de contrasenyes, servidors d'Internet (FTP, Web, servidor intermediari, telnet, ...). És habitual que els antivirus permetin detectar el riskware instal·lat.

Programari malintencionat [cal citació]

El programari malintencionat és aquell programa dissenyats per distorsionar o destruir un sistema informàtic i n'hi ha de diferents tipus:

Els virus són programes que realitzen accions nocives a un ordinador. El terme virus informàtic es deu a la gran semblança amb els virus biològics. Els virus biològics s'introdueixen en el ésser viu i infecten una cèl·lula, que a la vegada infectarà noves cèl·lules. Els virus informàtics s'introdueixen en els ordinadors i infecten fitxers. Quan el fitxer infectat s'executa, el virus s'estén per tot l'ordinador. Ambdós tipus de virus provoquen l'aparició de símptomes que avisen de la seva presència i, mentre que els virus biològics són micro-organismes, els virus informàtics són micro-programes.

Els cucs (worms) es limiten a realitzar còpies de si mateixos a la màxima velocitat possible, sense tocar ni danyar cap altre fitxer. No obstant això, es reprodueixen a tal velocitat que poden col·lapsar per saturació les xarxes on s'infiltren. Les infeccions produïdes per aquest programari gairebé sempre es realitzen a través del correu electrònic. A efectes pràctics són tractats com a virus i són detectats i eliminats pels antivirus.

Els troians o cavalls de Troia, l'objectiu dels quals és la instal·lació de programes en l'ordinador per permetre el control remot d'aquest. Els efectes dels troians poden ser molt perillosos. Poden capturar i enviar dades confidencials o obrir ports de comunicacions, permetent controlar l'ordinador de forma remota.

Les bombes lògiques tenen per objectiu destruir les dades d'un ordinador o causar altres mals de consideració quan es compleixen certes condicions. Mentre aquest fet no ocorre, ningú no s'adona de la presència de la bomba lògica. La seva acció pot arribar a ser tremendament destructiva. No es consideren estrictament virus, ja que no es reprodueixen. Ni tan sols són programes independents, sinó un segment camuflat dintre d'un altre programa.

Els hoaxes són missatges enganyosos que es difonen massivament per Internet sembrant l'alarma sobre suposades infeccions víriques. Els hoaxes tracten de guanyar-se la confiança dels usuaris aportant dades que semblen certes i proposant una sèrie d'accions a realitzar per a deslliurar-se de la suposada infecció. Si es rep un hoax, no cal fer cas dels seus advertiments i instruccions: el més aconsellable és esborrar-lo sense prestar-li la més mínima atenció i no reenviar-lo a altres persones.

Els joke, programa inofensiu que simula les accions d'un virus informàtic en el nostre ordinador. El seu objectiu no és atacar, sinó fer una broma als usuaris, fent-los creure que estan infectats per un virus i que s'estan posant de manifest els seus efectes. Encara que la seva activitat arriba a ser molesta, no produeixen efectes nocius.

Vies de propagació

Ens pot arribar un virus al visualitzar un missatge de correu electrònic, navegant pel web i per les xarxes d'intercanvi i descàrrega de fitxers. També a través dels telèfons mòbils o els sistemes de televisió. Internet, i particularment el correu electrònic, és la major via d'entrada de virus. Molts virus; es reenvien per si sols a tots els contactes que l'usuari infectat tingui en la llibreta d'adreces. Produeixen infeccions amb la simple obertura del missatge. S'aprofiten de possibles vulnerabilitats o forats de seguretat dels programes de correu.

Els símptomes d'una infecció

És difícil endevinar a primera vista si un ordinador està infectat per virus. La certesa només s'aconsegueix utilitzant antivirus actualitzats. No obstant això, hi ha certs símptomes que delaten la possible presència de virus en l'ordinador, encara que també poden deure's a altres problemes aliens als virus.

• La lentitud no habitual, sense cap causa aparent, pot deure's a diversos motius: molts programes treballant al mateix temps o problemes de xarxa, però també a una infecció vírica.
• La impossibilitat d'obrir certs fitxers o de treballar amb determinats programes perquè un virus els ha eliminat, o ha suprimit els fitxers que necessita per funcionar.
• La desaparició de fitxers i carpetes, que és un dels efectes més comuns dels virus.
• La impossibilitat d'accedir al contingut de certs fitxers. Els virus també acostumen a modificar fitxers, deixant-los inservibles. Al obrir-los, es mostrarà un avís d'error.
• L'aparició en pantalla d'avisos o missatges de text inesperats pot ser un clar símptoma d'infecció per virus. Generalment, aquests avisos contenen textos de caràcter absurd, burleta o agressiu.
• La disminució de l'espai en disc o de la capacitat de la memòria és també un símptoma d'infecció per virus, que pot arribar a ocupar tot l'espai lliure. En tal cas es mostren avisos indicant que no hi ha més espai.
• L'alteració inesperada en les propietats d'un fitxer és un símptoma d'infecció. Alguns virus modifiquen els fitxers que infecten, augmentant la seva grandària, alterant la data de creació i modificació o els atributs, etc.
• L'aparició de missatges d'error pot ser a causa d'un error real o de la presència de virus. Si aquests missatges apareixen al realitzar operacions senzilles en condicions normals, cal sospitar.
• El canvi inesperat del nom d'un fitxer és també un símptoma d'infecció.
• Els problemes en arrencar l'ordinador poden deure's a diversos motius, però la infecció per part d'un virus és un dels més freqüents.
• L'efecte de bloqueig (l'ordinador es queda penjat). Això és especialment clar quan s'estan realitzant operacions senzilles que no suposen massa treball per a l'ordinador.
• El tancament sense motiu aparent i tornada a arrencar. Alguns virus necessiten que això succeeixi per activar-se i assegurar el seu funcionament, per la qual cosa provoquen aquest tipus de situacions. Si un programa es tanca sobtadament mentre estem treballant amb ell, tindrem motius per a sospitar d'una infecció.
• Els efectes inesperats poden ser símptomes de la infecció per troians, com per exemple la safata del DVD que s'obre i es tanca automàticament, el teclat i el ratolí que no funcionen correctament o ho fan a l'atzar.

Convencions de noms

El nombre de programes maliciosos identificats és enorme. Per exemple, el 2013 es van localitzar 170 milions de programes maliciosos diferents, i 70 milions n'havien aparegut nous aquell mateix any.^[4] Cada organització que treballa amb programes maliciosos fa servir els seus propis noms interns per identificar-los. Tot i això, perquè les diferents organitzacions es puguin intercanviar informació, cal un sistema estàndard d'identificació precisa. Això és complicat a causa del gran volum de programes maliciosos i que diversos poden ser molt similars. Hi ha hagut diferents iniciatives:^[5][6]

• La primera convenció de noms per a programes maliciosos va ser proposada en 1991 per la Computer Antivirus Researcher Organization. Aquesta convenció es basava a donar un nom amb base a les característiques ressenyables, agrupar-los en famílies i desglossar-los en variants. A causa de la seva pròpia naturalesa era freqüent que les diferents organitzacions que l'adoptaven donaven un nom diferent al mateix programa el que causava confusió.
• El 2004, el Mitre desenvolupa la iniciativa Common malware Enumeration (CME) amb l'objectiu de donar un identificador únic a cada programa maliciosos. El seu propòsit era intentar que la indústria col·laborés en aquest projecte i amb consens aconseguir identificadors únics. El sistema va semblar que va funcionar el 2005 però el 2006 el gran increment en la quantitat d'aquests programes va reduir la necessitat de tenir un identificador per a cadascun. L'important era el desenvolupament d'heurístiques, que, en analitzar de forma genèrica, permetés la detecció de gran nombre d'instàncies de malware. D'aquesta manera, l'últim CME-ID va ser generat a principis de 2017.
• Malware Attribute Enumeration and Characterization (MAEC). Llenguatge basat en XML estandarditzat per Mitre per a la descripció i comunicació d'informació sobre malware. Està basat en atributs com a comportament, artefactes, patrons d'atac, capacitats, relacions amb altres malware, .... És un llenguatge de caracterització de malware basada en atributs que permet eliminar l'ambigüitat i la inexactitud en la descripció. Hi ha hagut diferents versions.^[7] Com que el malware concret a partir del seu comportament es pot considerar com un indicador de compromís.^[8] A causa del nivell de detall proposat a MAEC, és prohibitiu caracteritzar un conjunt ampli de malware. A més, el conjunt de mostres que és possible caracteritzar amb aquest mètode està molt esbiaixat cap a aquells que es poden executar en un entorn controlat de sandbox.^[9]

Antimalware Day

L'Antimalware Day se celebra el 3 de novembre de cada any.^[10] Es tracta d'una data que va ser establerta el 2017 per la companyia de seguretat ESET amb l'objectiu de destacar la tasca que fan els investigadors que exerceixen en el camp de la seguretat de la informació i la indústria en general. Així mateix, també per recordar la importància d'estar protegits en un món cada cop més influenciat per la tecnologia. La data escollida és el 3 de novembre en homenatge a Frederick Cohen i Leonard Adleman, ja que aquesta mateixa data, però de l'any 1983, l'estudiant d'Enginyeria de la Universitat del Sud de Califòrnia, Fred Cohen, va presentar un prototip de programa maligne en un seminari d'informàtica que després el seu professor, Len Adleman, batejaria com a virus informàtic.

Referències

1. «Programari maliciós». Cercaterm. TERMCAT, Centre de Terminologia.
2. ESET. «Tipos de malware y otras amenazas informáticas». Arxivat de l'original el 2009-12-14. [Consulta: 15 setembre 2023].
3. ¿Qué es el riskware?. kaspersky.com
4. La «otra manera» de identificar malware. Asier Martínez. INCIBE. 19 de marzo de 2014
5. The Concepts of the malware Attribute Enumeration and Characterization(MAEC) Effort. Ivan A. Kirillov et ali.
6. Automatic malware Description via AttributeTagging and Similarity Embedding. Felipe N. Ducau et ali.
7. THE MAEC LANGUAGE. THE MITRE CORPORATION. 12 de junio de 104
8. Inteligencia de amenazas I. Sothis.tech. 20 noviembre de 2018
9. Automatic malware Description via AttributeTagging and Similarity Embedding. Felipe N. Ducau et ali. 23 de enero de 2020
10. «malware-day/ Antimalware Day: cómo nació la lucha contra las amenazas informáticas».