Como ya publicamos en el post «malware más frecuente en ordenadores», sobre las infecciones reales por malware en 2014 en ordenadores de usuarios en España, la tipología detectada en mayor número de ordenadores son los troyanos. Entre febrero y marzo de 2014 se han identificado como infectados con este tipo de malware un 35,8% de los ordenadores de los usuarios. Estas conclusiones se obtienen de analizar el malware en 2.092 ordenadores de usuarios españoles con una aplicación de INCIBE que utiliza 50 motores antivirus distintos.
Así mismo, uno de los resultados significativos de este análisis real de los ordenadores es que se verifica el comportamiento habitual de para que el malware y los ataques lleguen a ser efectivos, los atacantes están desplegando el malware de un modo bastante característico: para evitar ser detectados están extendiendo el malware mediante el mayor número de variantes únicas posibles.
Se define una variante única de malware como cada una de las diferentes muestras de malware detectadas en el análisis, independientemente del número de veces que aparezca en los equipos de los usuarios. Se habla de variantes únicas porque sólo se cuenta una vez cada uno de los hash (MD5 o SHA-256 ), y se toma como valor el resultado de medir cuántos hashes distintos resultan de los archivos de las muestras, con independencia de la tipología, alias o metanombre del malware. La diversificación se mide en términos de variantes únicas identificadas de malware.
Este análisis confirma un hecho conocido, los creadores de malware utilizan generadores automáticos como constructores de virus y diferentes metodologías como variar aleatoriamente fragmentos de código, o utilizar distintos packers , etc. con el fin de evadir las firmas de las compañías de antivirus y prolongar los efectos del malware.
El resultado por tanto es una alta diversidad de patrones. Y, en los últimos resultados obtenidos, en marzo de 2014, se obtiene que de 4.559 archivos maliciosos encontrados, 2.433 eran variantes únicas.
– Evolución del número total de archivos maliciosos y variantes únicas de malware detectadas –
Se añade al resultado del análisis un segundo componente: el número de apariciones de las variantes. El 74% (1.801), donde la mayoría de las variantes únicas, corresponde a hashes con una única detección entre el total de archivos maliciosos detectados. Este comportamiento es habitual. El malware se clasifica en familias según sus características técnicas. Estas familias suelen componerse de decenas,cientos o miles de archivos diferentes que, aunque idénticos en sus características, no se pueden considerar estrictamente el mismo fichero y, por tanto, únicos.
La distribución de frecuencias para el número de apariciones de las variantes únicas quedaría como sigue:
– Número de detecciones de cada variante única de malware (marzo de 14) –
Además se añade un tercer componente de propagación en el patrón encontrado: las variaciones en el número total de archivos maliciosos encontrados no modifican sustancialmente el porcentaje de equipos que alojan malware, es decir no por más muestras de malware únicas hay más equipos infectados.
Lo que se deduce del dato es que es muy habitual que el malware incorpore funciones de downloader y descargue más malware. debido a que los ordenadores infectados carecen de actualizaciones, lo que favorece que aquellos ordenadores que alojan malware por no estar actualizados, puedan sufrir mayor cantidad de estos incidentes, en los momentos en que los atacantes aumentan el volumen de sus actuaciones.
Por las razones anteriores, el malware actual presenta una mayor dificultad de reconocimiento y detección para los antivirus, y los sistemas de firmas que estos utilizan, ya que el incremento del número de variantes y, por tanto, el crecimiento exponencial de los archivos de firmas, hace que las posibilidades de identificar y diseñar contramedidas se reduzca. Ante la gran difusión de este tipo de malware diseñado, se están generando nuevos sistemas de detección basados en comportamientos ante el volumen infinito de muestras únicas (análisis de heurísticas o sistemas de detección basados en la nube) y no en análisis de series históricas, aunque estos métodos todavía deben desarrollarse para mejorar la clasificación y definir como tales los verdaderos positivos.
Héctor R. Suárez (INCIBE)
Es nuestra arma para acabar con la impunidad de los más poderosos.
Te necesitamos a ti también para seguir haciendo un periodismo libre de presiones políticas y económicas
Hay mucho trabajo detrás de una noticia. Contrastar fuentes, redactar, analizar, recabar información… Pero todo esto implica unos costes muy altos, porque aunque parezca una obviedad, hacer buen periodismo, en estos momentos, es complicado.