A veces, las peores amenazas son las que no notamos. Por eso, hoy te traemos un tema interesante, ¿en qué consiste un virus polimórfico? ¿Qué pensarías si un virus pudiese ocultarse dentro de tus dispositivos, haciéndose pasar por archivos de tu antivirus? Te estaremos explicando este concepto dentro del desarrollo de malwares y cómo protegerte.

Acompáñanos en este artículo, descubre en qué consisten, sus ejemplos y cómo protegerte.

¿Qué es un virus polimórfico?

Un virus polimórfico puede tomar múltiples formas, aunque ejecute la misma función. ¿Cómo lo hace? Cuando el virus se ejecuta, el cuerpo principal del código (payload) se encripta. También se añade un elemento desencriptador, que lee la función, aunque cambie el código.

¿Cuál es su objetivo? No ser detectado por un antivirus, y aunque la función del virus seguirá siendo la misma, el código mutará cada vez que se ejecute, evitando la detección.

En Techopedia podemos encontrar una interesante metáfora para ilustrar este concepto:

• Un programador crea una serie de objetos bajo la categoría “animales”; caballo, pez, y ave.
• La categoría “animales” está programada con una función: “movimiento”.
• Aunque todas las subclases heredarán esta función, todas tienen una forma diferente de implementarla; el caballo trota, el pez nada y el ave vuela.
• Desde un punto de vista de código y programación, así se simplifica el trabajo de un desarrollador. Ya que, podemos crear una clase general de objetos, cuyas subclases ejecutaran las mismas funciones en base a sus características propias.

¿Cuál fue el primer virus polimórfico?

La primera vez que se usó el polimorfismo para desarrollar un virus de computadora fue en 1990. Su nombre: 1260 o V2PX, y fue creado por Mark Washburn como parte de un proyecto para demostrar las limitaciones de los antivirus.

Poco después de su creación, en 1991, se descubrirían los primeros virus de este tipo creados con fines maliciosos; Tequila y Maltese Amoeba.

Ejemplos de virus polimórfico

Korplug RAT (conocido como PlugX):

Es uno de los virus polimórficos más conocidos. Es un spyware que puede enmascararse como parte de un antivirus, fue usado para atacar los sistemas militares de Afganistán, Tayikistán y Rusia.

Storm Worm:

¿Recuerdas esta entrada en nuestro artículo sobre los 10 virus más famosos? Conocido por tener una de las botnet más grandes, equivale a una de las supercomputadoras más poderosas del mundo.

Se esparció a través de una serie de correos sobre la tormenta Kyrill en 2007, descargando archivos con nombres como postcard.exe o ecard.exe, que ocultaban un troyano.

Beebone:

Otro ejemplo del riesgo de las botnets. Se estima que este virus afectó a alrededor de 12.000 computadoras en 2015. En este caso, el virus consistía en un mecanismo de descarga de otros malwares, que mutaba constantemente.

Llegó a ser de tal magnitud, que se necesitó la colaboración de varias agencias internacionales como el FBI y la Interpol para derribar la botnet.

Cómo detectar un virus polimórfico

Aunque este malware cambia constantemente, su función se mantiene igual y es ese propósito malicioso lo que lo convierte en un malware. En ese sentido, un buen antivirus o protocolo de detección, se enfocará en las consecuencias del malware, y no en el malware en sí mismo.

• Se comportan de forma repetitiva.
• Se manifiesta como corrupción de memoria del sistema, extracción de datos y contraseñas o encriptación de datos (como sucede con el ransomware).
• Aunque muchos antivirus no puedan detectar el código como la firma de una amenaza, sí que podemos detectar los procesos maliciosos. Por ejemplo, que un proceso se conectó a un servidor, descargando y ejecutando una aplicación desconocida.
• Uno de los protocolos de detección más comunes consiste en monitorear los Macros de Windows Office.
• Muchos virus ejecutan scripts dentro de los Macros y una vez que se ejecutan, se inyecta el código e inicia el proceso que necesita el virus para cumplir su propósito.

Te puede interesar: la ingeniería social

¿Cómo puedes protegerte de un virus polimórfico?

 Aquí tienes algunas recomendaciones:

• La mayoría de los ataques de malware provienen del correo electrónico. Sugerimos contar con un antivirus que cubran con el análisis y protección de los correos electrónicos.
• Dentro de las buenas prácticas de ciberseguridad, se encuentra actualizar periódicamente nuestras contraseñas. Además, activar la autenticación de dos factores (2FA) le añade una capa extra de seguridad a tus datos.
• Este malware cambia su código, pero la función y sus objetivos se mantienen iguales. Las actualizaciones de seguridad de software y sistemas operativos tienden a proteger estás vulnerabilidades.
• Usa un antivirus robusto, con heurística y detección por comportamiento que no dependan de firmas como REVE. Esto puede ayudarte a filtrar este tipo de virus, dado que detienen acciones maliciosas como encriptación de datos sin tu autorización (lo que te defiende de ransomware).

Para finalizar

El polimorfismo definitivamente representa beneficios para programadores normales. Sin embargo, como todo, aquellos con intenciones maliciosas también aprovechan estas metodologías, creando lo que conocemos como virus polimórfico.

Aunque este tipo de virus tiende a infectar entornos corporativos, por el trabajo que llevan, cualquiera puede ser una víctima. Todo se reduce a dos dimensiones; como manejamos nuestros datos, sistemas de información y qué antivirus utilizamos.

Gracias por leer.

Esperemos que haya sido de tu agrado.

Si fue así, compártelo con otros apasionados de la ciberseguridad y síguenos en nuestras redes sociales.

Suscríbete a nuestro boletín para recibir lo más reciente en ciberseguridad cada semana.

¡Hasta la próxima!