El mundo de antivirus

jueves 24 de noviembre de 2022

En la edición de hoy de “El mundo de antivirus” vamos a analizar un tema no muy nuevo, pero muy actual. Una pequeña encuesta entre nuestros usuarios confirmó que la amenaza bastante difundida detectada por el antivirus Dr.Web es el archivo Hosts infectado. Seguramente muchos de nuestros lectores saben o por lo menos han oído hablar de este archivo que se guarda en la profundidad de los catálogos de sistema del SO Windows. Y alguien hasta sabe qué peligros contiene este archivo legal y por qué provoca tanto interés de los malintencionados. Pero con mucha frecuencia los usuarios no se percatan de nada. Y si el antivirus de repente informa sobre una amenaza localizada de tipo DFH.HOSTS.corrupted o Trojan.Hosts (varios vendedores antivirus usan varios nombres, pero se trata de lo mismo) — es mejor saberlo y enterarse de qué se trata.

El archivo Hosts existe no solamente en Windows, sino también en otros sistemas operativos, y siempre realiza las mismas funciones. Hace mucho, cuando aún surgían las redes informáticas, el contenido del mismo aseguraba el funcionamiento correcto de la red. Pero en los SO modernos los usuarios pocas veces interaccionan con este archivo directamente. El archivo y su funcionalidad se mantienen, pero el uso del mismo ya no es necesario desde hace mucho. Por lo tanto, frecuentemente el archivo Hosts simplemente está en el SO y existe sin cambio durante todo el periodo, desde la instalación hasta la eliminación del mismo.

Pero no siempre es así. El archivo Hosts puede ser usado por malware y por los ciberdelincuentes para realizar los ataques de red bastante eficaces. En nuestras ediciones ya hemos mencionado los conceptos, tales como la suplantación de DNS, el ataque del intermediario, o “man-in-the-middle”, informamos sobre las infecciones de los routers de hogar. En general son varios modos de conseguir lo mismo, que el usuario siga una dirección falsa donde le esperarán los malintencionados. Pero existe otra forma de hacer casi lo mismo, con la modificación maliciosa del archivo Hosts.

Para que esta edición sea más interesante, vamos a informar brevemente de cómo funciona este archivo y para qué sirve. En las redes informáticas que funcionan por protocolo TCP/IP, como direcciones para reenviar las secciones con información (paquetes) se usan las direcciones IP. Cada nodo en la red, el servidor o el cliente, tiene la dirección IP asignada. Por ejemplo, el sitio web drweb.ru está disponible en la dirección 178.248.232.183. Y ahora imagine que necesita recordar e introducir esta dirección para consultar el sitio web. No es muy cómodo, ¿verdad? Sobre todo, si tomamos en cuenta el número de sitios web que consultamos cada día. Por lo tanto, para transformar las direcciones de red que entiende el equipo en los nombres cómodos de usar por una persona, fue creado un sistema de los nombres del dominio, o DNS (inglés Domain Name System). DNS le permite al equipo recibir la dirección IP por el nombre de dominio y detectar a qué nodo hay que enviar la solicitud de red. De esta forma, se obtiene la correspondencia de las direcciones IP a los nombres de dominio.

Antes de aparecer DNS, el archivo Hosts fue la única base de datos donde estaba la información para transformar los nombres de los nodos en las direcciones de red y al revés. Ahora los servidores DNS, así como un servicio correspondiente que funciona en un equipo local, realizan esta tarea. Por ejemplo, cuando Vd. en la línea de dirección del navegador introduce el nombre ordinario del sitio web y hace clic sobre “introducir”, el navegador no sabe a qué nodo hay que enviar Su solicitud. Para recibir la dirección, el navegador contacta al servicio especial – el cliente DNS que funciona en Su equipo. Y aquí empieza lo más interesante.

Para recibir la dirección de red, el servicio consulta las fuentes en orden siguiente:

1. Archivo Hosts.
2. Su caché propio
3. El servidor DNS cuya dirección está indicada en la configuración del adaptador de red.

Como vemos, el archivo Hosts sirve para la correspondencia de los nombres de dominio a las direcciones IP. Pero lo importante es que el archivo es el primero en la lista, es decir, tiene prioridad sobre la caché del servicio y la consulta a los servidores DNS. Si en el archivo Hosts no hay entrada conveniente, todo funciona sin el mismo — el servicio DNS recibirá la dirección IP de otras fuentes. Es por eso que muchos usuarios no se percatan de la existencia de este archivo. Pero si hay entradas en el mismo, todo es distinto.

A causa de la prioridad más alta, la modificación ilegal del archivo Hosts es de amenaza importante. Lo que pasa es que una entrada determinada realizada en el archivo hará que cualquier programa, así mismo, el navegador, dirija las solicitudes a las direcciones de red establecidas que fácilmente pueden ser servidores de los malintencionados. Por ejemplo, para realizar un ataque phishing los ciberdelincuentes pueden hacer una entrada que hace corresponder el nombre legal del sitio web a la dirección IP de un sitio web phishing. De la misma forma pueden actuar los troyanos cuyo objetivo es modificar el archivo Hosts. Además de los peligros de phishing, estas acciones son de ayuda importante para los malintencionados en caso de realizar los ataques de “man-in-the-middle”. Como ya hemos mencionado, lo importante es que el usuario siga una ruta falsa, pero es posible que haya múltiples opciones de desarrollo del escenario de un ataque.

Con Hosts también se puede bloquear totalmente el acceso a cualquier sitio web o nodo de red. Para realizarlo, se hace que al nombre del dominio determinado se le corresponda, como dirección de red, el así llamado localhost — la dirección local del equipo — 127.*.*.*. (habitualmente, 127.0.0.1). En este caso, al intentar conectarse al nodo indicado por el nombre de dominio, el equipo como si contactara a sí mismo. De esta forma los activadores ilegales bloquean el acceso a los servidores de activación para los programas.

Por supuesto, el archivo Hosts tiene valor aplicado, como antes. Con el mismo, se puede configurar la resolución de nombres entre la red informática local. Normalmente lo configuran los administradores de red, y los detalles del mismo no forman parte de este artículo.

Por lo tanto, hemos averiguado que la modificación del archivo Hosts puede dañar la seguridad. ¿Cómo protege el antivirus al usuario contra esta amenaza? Vamos a ver los mecanismos de protección en contexto de SO de la familia Windows aplicados en Dr.Web Security Space. Para proteger Hosts se usa el control de acceso a nivel de protección preventiva, así como la detección de los cambios y la desinfección del archivo con el Escáner Dr.Web. Estos niveles de protección funcionan de forma autónoma. De forma predeterminada, la protección preventiva bloquea el acceso al archivo Hosts, al protegerlo contra los cambios, así mismo, contra la modificación por el usuario. Si el archivo fue modificado antes de ser instalado o durante la desactivación del antivirus, al escanear, el Escáner Dr.Web detectará Hosts infectado y lo desinfectará. Cabe destacar que las “entradas que bloquean” se someten a la desinfección, las que bloquean el acceso a algún sitio web o nodo de red en Internet, al enviar solicitudes a localhost.

El alto nivel de control asegurado por la protección preventiva casi previene la posibilidad de modificar el archivo hasta por un troyano desconocido. Así mismo, si el usuario excluye el archivo del escaneo por la protección preventiva o añade una aplicación para modificar el archivo a los de confianza, el Escáner Dr.Web igual seguirá analizando y desinfectando las entradas que bloquean en el archivo. Este enfoque fue realizado pata la protección integrada del archivo y para la seguridad del usuario. Como hemos indicado más arriba, la modificación autónoma del archivo Hosts por un usuario ordinario no se produce con frecuencia. Pero con mayor frecuencia se observan los intentos de modificar archivo de forma ilegal. Es por eso se recomienda la protección segura en vez de cualquier acción autónoma con el archivo Hosts misterioso.