lunes, 4 de abril de 2005

Nueva generación de código malicioso

Leo en Diario TI un reportaje entorno a una nueva tendencia en el mundo del código malicioso que pone en peligro la estrategia de las empresas antivirus frente a la detección de código malicioso.
La mayoría de las compañías utilizan la detección basada en patrones. Aunque hace poco fabricantes como Panda anunciaron una nueva tecnología que se basa en una detección preventiva de código (Truprevent), el resto siguen utilizando los patrones como sistema de detección.

Fuente: DiarioTI-Previenen contra malware profesional y deliberado

"WORM_JEANS.A es un gusano informático que produce sus propias variantes, usando para ello su propio código fuente y un compilador integrado.

Si pensamos que hoy por hoy la creación de código malicioso sigue siendo un acto espontáneo de muchachos que experimentan con obras de programación, podemos estar en un error. El trabajo de creación de virus, gusanos y otros tipos de programas malintencionados parece ser cada vez más profesional, deliberado y planeado.

WORM_JEANS.A es un gusano informático que genera sus propias variantes, usando para ello un archivo que viaja a través del correo electrónico y que contiene los componentes suficientes para contagiar una máquina y luego realizar en ella una copia del código entero del gusano, así como las herramientas de programación para volver a compilar el código y crear una variante nueva, con una apariencia diferente, que será la que se envíe en los mensajes de correo que esa computadora remitirá a sus nuevas víctimas.

Este novedoso método de programación automatizada pretende, evidentemente, eludir la detección antivirus en las computadoras, a través de un sistema permanente de mutación que estaría, virtualmente, generando variantes nuevas en cada máquina infectada.

En los hechos, JEANS.A resulta incapaz de lograr su cometido, ya que contiene un error que le impide ejecutar con éxito su rutina de autopropagación. Sin embargo, lo importante en este nuevo ejemplar es que deja patente el hecho de que los autores están ya probando una nueva generación de gusanos que tienen la capacidad de propagar otros gusanos diferentes a sí mismos, con características que no salen de un laboratorio sino de su antecesor inmediato.

Si nos atenemos a las firmas que porta el propio gusano, JEANS.A es obra de uno de los integrantes del grupo 29A, aquellos que en su momento se atribuyeron la liberación de diversas pruebas de concepto de código malicioso, entre las que se cuentan el primer gusano para teléfonos celulares que corren en la plataforma Symbian (SYMBOS_CABIR), así como el primer gusano diseñado especialmente para sistemas que corren en Windows de 64 bits (WORM_RUGRAT), entre otros.

No es difícil suponer entonces, que JEANS.A se trata de un nuevo experimento para probar que es posible construir en cada computadora infectada un robot programador, que produzca otros gusanos cada vez que infecta un sistema."
 
;