XperimentoS

He leido una interesante comparación en Hispasec entre el malware de antes (de cuando el DOS) con las actuales infecciones.

Así comenta que cuando se usaba DOS los especímenes se mantenían activos durante años. Hoy día el malware no suele ser autosuficiente, sino que depende de una infraestructura basada en servidores en Internet con los que se comunica. Cuando esa infraestructura es desactivada, el malware ya no es útil para sus propósitos.

Cuando los virus eran virus, es decir, cuando se autoreplicaban de archivo en archivo o de disco en disco, las epidemias eran más similares a la de los virus biológicos. Un virus aparecía en una zona geográfica concreta, por ejemplo en una universidad, y su área de influencia iba propagándose de forma lenta a través de los usuarios que compartían disquetes y archivos infectados. Tenía que transcurrir varios meses para llegar a ser una epidemia de ámbito internacional.

No había forma de erradicarlos completamente. El virus era autosuficiente, así que en cualquier momento y lugar podía aparecer un nuevo brote.

Con la explosión de Internet aparecieron los gusanos de propagación masiva por correo electrónico. La distribución de éstos era mucho más explosiva, en apenas unas horas podían dar la vuelta al mundo y llegar a cientos de miles de sistemas.

Ahora que vivimos la época de los troyanos con fines lucrativos, nos topamos con un malware mucho menos perenne, de usar y tirar, que necesita reciclarse constantemente con nuevas variantes, y que da lugar a gran cantidad de especímenes caducados.

Por un lado tenemos que los troyanos no son autosuficientes en su distribución/replicación, a diferencia de los virus y gusanos que ellos mismos se encargan de llegar a otros PCs. Hoy día los troyanos se distribuyen en alguna campaña puntual de spam, o a través de la web. Pasado ese primer envío masivo y manual, o desactivada la web desde la que se distribuye, esa variante del troyano es probable que nunca más vuelva a distribuirse.

Además, los propios troyanos suelen tener una dependencia de infraestructura externa. Imaginemos un troyano “downloader” que se encarga de descargar otros componentes. En el momento que se desactiva el servidor desde donde realiza las descargas, ya no podrá llevar a
cabo su acción.

La realidad es que un porcentaje del malware específico que detecta un antivirus ya está “fuera de mercado”, no nos afectará. La mala noticia es que debido al ritmo actual del crecimiento del número de variantes, el mantener firmas de detección de todo el malware histórico podría dar lugar a algunos problemas de tamaño/rendimiento.