Cómo los ciberdelincuentes intentan eludir el software antivirus

A fin de infectar una computadora con software malicioso, los cibercriminales deben:

• Persuadir al usuario a abrir un archivo infectado o
• Tratar de entrometerse en la computadora de la víctima a través de una vulnerabilidad dentro del sistema operativo o cualquier software de aplicaciones que se esté ejecutando en la máquina

Al mismo tiempo, los cibercriminales más profesionales también tratarán de asegurar que su malware evada cualquier software antivirus que se esté ejecutando en la computadora de la víctima.

Técnicas usadas para combatir software antivirus

Para aumentar la probabilidad de lograr sus objetivos, los cibercriminales han desarrollado una amplia gama de técnicas para tratar de combatir las actividades del software antivirus, lo que incluye:

• Cifrado y empaquetamiento de códigos
  La mayoría de los gusanos y virus troyanos están empaquetados y cifrados. Los hackers también diseñan utilidades especiales para empaquetar y cifrar. Se ha descubierto que cada archivo de Internet que se ha procesado mediante CryptExe, Exeref, PolyCrypt y algunas otras utilidades era malicioso.
• 
  A fin de detectar gusanos y troyanos empaquetados y cifrados, el programa antivirus debe agregar nuevos métodos de empaquetamiento y decodificación, o bien agregar nuevas firmas para cada muestra de un programa malicioso.
• Mutación de código
  Al mezclar el código de un virus troyano con las instrucciones de "spam" (para que el código asuma una apariencia diferente, a pesar de que el troyano conserva su funcionalidad original), los cibercriminales tratan de disfrazar su software malicioso. Algunas veces la mutación de código ocurre en tiempo real, en todas, o casi todas, las ocasiones en que el troyano se descarga desde un sitio web infectado. El gusano de correo Warezov usó esta técnica y provocó algunas epidemias graves.
• Técnicas silenciosas
  Las tecnologías de rootkit (que suelen emplear los virus troyanos) pueden interceptar y sustituir funciones del sistema, a fin de hacer invisible el archivo infectado para el sistema operativo y los programas antivirus. Algunas veces incluso las ramas del registro (donde el troyano se registra) y otros archivos de sistema están ocultos. El troyano HacDef con puerta trasera (backdoor) es un ejemplo de código malicioso que usa estas técnicas.
• Bloqueo de programas antivirus y actualizaciones de base de datos antivirus
  Muchos virus troyanos y gusanos de red buscarán activamente programas antivirus en la lista de aplicaciones activas en la computadora de la víctima. El malware entonces tratará de:
  • Bloquear el software antivirus
  • Dañar las bases de datos antivirus
  • Evitar el funcionamiento correcto de los procesos de actualización del software antivirus
  A fin de derrotar al malware, el programa antivirus tiene que defenderse controlando la integridad de su base de datos y ocultando sus procesos a los troyanos.
• Enmascarado del código en un sitio web
  Las empresas antivirus conocerán rápidamente las direcciones de los sitios web que contienen archivos de virus troyano y sus analistas de virus podrán entonces estudiar el contenido de estos sitios y agregar el nuevo malware a sus bases de datos. Sin embargo, en un intento por combatir el análisis del antivirus, una página web puede ser modificada de manera que, cuando una empresa antivirus envíe solicitudes, se descargará un archivo no troyano en lugar de un troyano.
• Ataques masivos
  En un ataque masivo, se distribuyen grandes cantidades de nuevas versiones de troyanos en Internet dentro de un período breve de tiempo. Como resultado, las empresas antivirus reciben enormes cantidades de nuevas muestras para analizar. El cibercriminal espera que el tiempo que se emplea para analizar cada muestra dé a su código malicioso la posibilidad de entrometerse en las computadoras de los usuarios.