Las medidas de seguridad para mantener al malware lejos de nuestros ordenadores continúan mejorando, pero lo mismo se puede decir del código que compone a estos bichos digitales. La astucia y la inteligencia de aquellos que desarrollan código malicioso los lleva a explorar métodos poco convencionales para esparcir sus creaciones. En general, que un virus termine infectando a otro puede parecer un simple error de comportamiento, aunque también es algo fabulosamente retorcido que, por ejemplo, un troyano aproveche la capacidad de infección de un gusano para llegar a más sistemas. Bienvenidos al “Frankenmalware“.
En lo personal hace ya varios meses que no me encuentro con una infección de malware, pero su ausencia de los radares no quiere decir que no esté allí afuera, esperando. Mi proveedor insiste en ofrecerme “paquetes de seguridad” asociados a mi conexión de Internet con precios cuestionables, cuando en realidad no ha sido otra cosa más que la clásica paranoia la que ha mantenido limpios a mis sistemas. Sin embargo, la creatividad de los desarrolladores de malware continúa en ascenso, y honestamente, es cuestión de tiempo para que algún bicho encuentre una fisura y logre abrirse paso. Lamentablemente, aquella declaración del ERI en el ataque al hotel Brighton también se aplica aquí: Nosotros debemos tener suerte siempre, pero quien envía al malware sólo necesita tener suerte una vez.
Un comportamiento inusual pero no imposible entre el malware es que una variante infecte a otra. A modo de ejemplo, tomemos a un gusano. Redes sociales, P2P, correos electrónicos y servicios de chat están entre las rutas de infección preferidas de un gusano. Pero como archivo ejecutable que es, el gusano también puede convertirse en blanco de otro malware, como un troyano. A decir verdad, esto suele ser accidental. El troyano infecta archivos por tipo, y no por el comportamiento del mismo. Los blancos preferidos son ejecutables de bajo nivel (explorer.exe, winlogon.exe) que garanticen la presencia del malware en el ordenador desde su inicio, aumentado así sus posibilidades de infección, y sería de una complejidad bastante alta que un troyano intente “evitar” a otros “bichos colegas”, por lo tanto, otros ejecutables también se convierten en blancos válidos.
El problema es que, de acuerdo a la gente de Bitdefender, que ha estado explorando este lado poco ortodoxo de las infecciones de malware, una infección adrede de un virus a otro podría llevar a escenarios realmente difíciles de enfrentar para cualquier usuario. El combo “gusano-troyano” es particulamente perturbador. Imagina que un gusano es infectado por un troyano. El antivirus detecta primero al troyano y “limpia” al gusano, pero el gusano desinfectado no es técnicamente idéntico a su versión original, lo que altera su firma. Si esta firma es diferente a la que tiene registrada el antivirus para eliminarlo, el gusano quedaría “inmunizado” por la infección del troyano, abriendo paso a una mutación. Como en todo caso, la mejor defensa sigue siendo la prevención, pero si los desarrolladores llegaran a “coordinar esfuerzos”, el salto de calidad del malware sería preocupante. Los desarrolladores suelen competir por el mismo botín (números de tarjetas, contraseñas, robo de identidad, etc.), pero nadie está diciendo que sea algo imposible. El nombre oficial para estos combos es “Frankenmalware“, y según Bitdefender, ya hay 40 mil de estos “paquetes” en la Web.