Software malicioso y antivirus
Clasificación de malware

El malware puede ser clasificado de diferentes maneras de acuerdo a diferentes criterios: mecanismos de distribución, métodos de instalación del sistema, la forma en que son controlados remotamente, etc.

Actualmente los ejemplares de malware suelen tener muchas características, por lo que normalmente se clasifican de acuerdo a su función principal. Por ejemplo, podría haber un caballo de Troya con capacidades de rootkit y que puede permanecer oculto tanto a soluciones de seguridad como a usuarios expertos. También podría estar instalado en un equipo que forme parte de una red de ordenadores infectados y controlados a distancia. Al mismo tiempo, podría hacer que aparezcan anuncios y capture las pulsaciones de teclado, por lo que también sería parte de las familias de programas publicitarios y keylogger. Es decir, sería un caballo de Troya-rootkit-bot-adware-keylogger ... Todo en uno! De hecho, este ejemplo es bastante común

Una primera clasificación de programas maliciosos se basa en la necesidad de un archivo de host para propagarse. Los siguientes cuatro tipos de software malicioso se corresponden a malware que requieren dicho archivo:

La figura 4 muestra la distribución de malware por categorías (fuente: Panda Security)

Distribución de malware por categorías

Hay dos tipos de software malicioso que no necesitan un archivo de host para su propagación. Son:

Las puertas trampa son como entradas ocultas en el programa que permiten conseguir el acceso al sistema, evitando los mecanismos de seguridad. Estos mecanismos son utilizados por los programadores durante la depuración de programas para evitar el uso de mecanismos de autenticación y obtener así privilegios especiales. El software malicioso busca estas trampas para evitar los mecanismos de seguridad. Las consecuencias en el sistema informático suelen ser graves.

Las bombas lógicas constituyen la clase de software malicioso más antigua. Es un software integrado en un programa legítimo que se activa cuando se dan algunas condiciones. Un ejemplo de estas condiciones puede ser la presencia o ausencia de un archivo específico en días preestablecidos, semana o fecha de inicio de una aplicación determinada… Una bomba lógica puede causar pérdida o daños en el sistema de información, por ejemplo, puede borrar algunos archivos, dejar de ejecutar aplicaciones y así sucesivamente ...

Los troyanos son programas o comandos, que realizan procedimientos o procesos útiles, y al mismo tiempo realizan actividades maliciosas en segundo plano como borrado de datos. Un caso particular es el spyware, un software que captura las contraseñas introducidas a través del teclado, recopila la información sobre las páginas web visitadas, el tipo de software que está utilizando en el equipo, … y toda esa información recopilada se envía a través de Internet.

Los virus son programas capaces de conectarse a otro programa o archivo y pueden ejecutar acciones no autorizadas. Para su propagación es necesario que el archivo host pueda ser modificado por el virus. Los virus pueden atacar a otros archivos, propagarse y corromper sistemas de información.

Un gusano puede propagarse de un sistema informático a otro si los dos sistemas están interconectados por la red. La propagación del gusano se realiza por ejemplo mediante el uso de correo electrónico.

Un zombi es un software malicioso que se propaga a través de la red. Después de penetrar con éxito en un sistema informático, el ordenador infectado puede ser controlado y administrado remotamente. Cuando varios ordenadores están infectados por el mismo tipo de software malicioso y controlados por un ordenador remoto, se denomina botnet. Este ordenador remoto puede forzar a los ordenadores infectados a ejecutar las mismas órdenes, dando lugar a los ataques de denegación de servicio distribuido DDoS (Distributed Denial of Service).