En la actualidad existe una gran variedad de códigos maliciosos a los que cotidianamente estamos expuestos, pero aunque esta variedad sea realmente amplia, la gran mayoría del malware concluye en lo mismo y comparte las mismas metodologías para llevar a cabo su objetivo: realizar una acción maliciosa sobre nuestro sistema a través de alguna técnica de Ingeniería Social.

Veamos un ejemplo concreto y bastante común con el cual muchos lectores se sentirán identificados. “Juguemos” un rato y luego: ¡dame tu computadora!

Es muy común navegar por algún sitio de juegos realizados con tecnología Flash o que algún amigo nos pase alguno de ellos o incluso un CD repleto de estos juegos. En la siguiente captura podemos apreciar uno de estos juegos:

El juego en acción

Si no consideramos que hay que atropellar personas con un camión, parece un juego "simpático", pero el punto concretamente no está en el juego sino en lo que sucede ni bien hacemos doble clic sobre su ejecutable.

Cabe aclarar que para acceder a este tipo de "entretenimientos", debemos descargarlo y luego ejecutar el archivo .exe descargado en nuestra PC. Analicemos un poco más en profundidad.

En caso de tener activo algún firewall, en nuestro caso, el firewall de nuestro Windows XP, veremos que el mismo nos advierte sobre que “algo” está queriendo comunicarse con el “exterior” de nuestra PC.

Se trata de un supuesto servicio llamado “Proxy Config Tool for http Services” y vemos que se levanta su proceso asociado denominado “proxycfg”. En la siguiente captura podemos apreciar esta situación:

Intento de conexión

Esto comienza a suceder mientras nos aventuramos en nuestro divertido juego. Si no tuviésemos activado el firewall, este supuesto servicio pasaría totalmente desapercibido.

Esta aplicación es un clásico ejemplo de troyano. Es decir, simular ser una aplicación inofensiva, benigna y divertida, pero que en realidad se trata de un programa que de benigno no tiene nada, ya que su código malicioso se mimetiza tras un programa, supuestamente inofensivo con el fin de engañarnos y pasar en forma totalmente subrepticia y transparente ante nuestros ojos.

Por otro lado se copia en diferentes sectores del sistema, manipula el registro agregando una clave y abre los puertos 5800 y 5900. Estos puertos son dos de los utilizados por la aplicación VNC (Virtual Network Computing - Computación en Red Virtual) con lo cual es evidente que una vez comprometido el sistema, alguien, desde algún lugar, intentará conectarse a nuestra PC.

Malware en acción

Hay que tener mucha precaución, incluso a la hora de divertirnos con algún “jueguito”, el costo de nuestro entretenimiento puede ser alto.

Jorge