El mundo de antivirus

lunes 6 de marzo de 2017

¿Entiendo bien que un troyano es un programa nocivo en cualquier caso? Lo pregunto porque hace tiempo descargué un programa al parecer “crackeado”, de pago, de un tracker. Pero uso la versión gratuita del sitio web oficial, la segunda la descargué por si acaso, por si hay problemas con la versión gratuita. No he usado el programa descargado del tracker, porque el antivirus encontraba un troyano al escanearlo. Y me daba miedo usarlo, sobre todo porque es un programa para acceso remoto.

Pregunta de un lector del proyecto «El mundo de antivirus»

Los programas pueden ser distintos y al mismo tiempo pueden tanto ser nocivos como usados para fines legales. Vamos a verlo con más detalle.

Pero al principio vamos a aclarar la terminología. Lo que pasa es que la clasificación del software nocivo es bastante convencional. Muchos representantes del mismo pueden pertenecer a varias clases y tipos a la vez, cambiar la funcionalidad al vuelo. Vamos a ver dos tipos básicos del software nocivo – los virus y los troyanos. Los virus son más complicados que los troyanos: tienen función de autodifusión, pueden ser archivos, pero no se puede usar los archivos de su sistema para buscarlos. Los virus implementan su código en los archivos anteriormente «limpios» al modificarlos. Por lo tanto, para detectar los virus se usa el control de modificación de archivos en el sistema (así mismo no se puede controlar solo la longitud del archivo, un virus puede infectar el archivo sin modificar la longitud), la búsqueda en el archivo usando los extractos del código característico o, si el virus no tiene estos extractos, la búsqueda con procedimientos especiales orientados a la búsqueda de cambios o acciones características.

A diferencia del virus, los troyanos no tienen función de autodifusión. Casi siempre son archivos. Un troyano siempre se difunde por otra razón: a veces un usuario hace clic sobre un enlace, a veces por medio de un programa descargador que había penetrado en el equipo anteriormente, un sitio web creado a propósito que organiza la descarga y el inicio de archivos en la parte del usuario, etc.

Por lo tanto, a diferencia de virus, el nivel de protección contra troyanos depende de los usuarios. Para la protección contra virus, ayuda la ausencia de vulnerabilidades en el equipo y su configuración correcta, para protegerse contra troyanos es muy importante ser prudente y no hacer clic sobre todos los enlaces a la vez.

No siempre ayuda solo lo mencionado más arriba, porque además existen virus y troyanos sin cuerpo, el software nocivo que combina las características de ambos tipos, etc.

Pero todo esto nos permite sacar la conclusión siguiente: los virus y los troyanos son un tipo de difusión nada más. Estos términos no contienen ninguna descripción de acciones nocivas.

Pero los cifradores, los bloqueadores, los troyanos bancarios, los envidores de SMS, los descargadores etc. – son varios tipos de virus y troyanos. Con mucha frecuencia alguna acción empieza a asociarse con un tipo de software nocivo y es fácil confundirse. Los cifradores, al igual que los troyanos bancarios por tipo de difusión en su mayoría son programas troyanos. Y nosotros, al decir «un cifrador», sobreentendemos «un troyano». Pero sería más correcto llamar estos programas «un troyano cifrador», «un troyano descargador ».

A propósito, los nombres oficiales de programas nocivos describen también su tipo de difusión y su funcionalidad básica. Por ejemplo, Trojan.Encoder.858: tipo de difusión – troyano, función – cifrador, modificación – 858.

¿Por qué tantas complicaciones? ¿Por qué se separa el tipo de difusión y la funcionalidad? Lo que pasa es que la funcionalidad aún no significa que el programa es nocivo. Por ejemplo, la función de cifrar archivos puede ser usada para ocultar la información de valor, la posibilidad de bloquear la pantalla – para el trabajo del administrador remoto, la recopilación de la información sobre las pulsaciones del teclado – para registrar las acciones del personal del servicio técnico en caso de algún problema.

Un programa se considera nocivo si tiene varias características. Primero, la instalación siempre oculta. El programa oculta sus posibilidades durante la instalación, se instala de manera oculta, etc. Segundo, este programa tiene funcionalidad que daña al usuario, no mencionada en la descripción de las posibilidades del programa.

Por supuesto, los cifradores, los bloqueadores de pantalla, los troyanos bancarios etc. son programas nocivos. Pero se puede atacar al usuario también usando programas legales. Al averiguar la contraseña, al instalar un sistema de administración remota usando la vulnerabilidad, un delincuente obtiene acceso completo al equipo, sin usar ningún troyano.

Es por eso que algunos programas se consideran Riskware.

Riskware — son programas legales que frecuentemente tienen sus sitios web oficiales y documentación, pero usando los mismos los malintencionados pueden causar daño. Pueden considerarse Riskware los programas de administración remota, las utilidades para hackear las contraseñas, los messengers que funcionan usando el protocolo IRC, los programas para descargar y enviar archivos, las utilidades de control de la actividad en el equipo.

Un antivirus supervisa la instalación de estos programas y lo informa al usuario. De manera predeterminada, la instalación de programas de esta categoría no está prohibida por el antivirus, pero su el usuario está seguro de que no los necesitará, puede configurar su antivirus para considerarles nocivos.