Cómo leer y entender nombre de Malware

 
UAB DIGIMA

¿Confundido sobre qué ha detectado su antivirus en su ordenador? No es el único. Esta guía intentará arrojar algo de luz acerca de las diferencias entre los nombres y cómo conseguir más información sobre parásitos. La detección de malware no suele ser fácil de entender para el usuario y en muchos casos los desarrolladores intentan convencerle de que han hecho un gran trabajo al detectar el malware y piensa que es suficiente.

El problema con esto es el siguiente: los vendedores de Antivirus se olvidan o ignoran que podría necesitar más información sobre este parásito. Esto no es verdad en muchos casos:

  1. ¿Cómo decidir si la infección ha comprometido los datos?
  2. ¿Qué pasa si da un falso positivo o el programa es cuestionable?
  3. ¿Qué pasa si el problema se repite constantemente?

Por eso hay que saber y entender los términos de los desarrolladores de malware y cómo podrían llamarse a los parásitos en otras fuentes.

¿Cómo llaman a los parásitos los desarrolladores de antimalware?

La verdad es que hay muchas maneras para desarrollar un nombre de un parásito. El nombre pocas veces suele ser amigable, y sirve para identificar el parásito sólo en la base de datos del antivirus. Sin embargo, la mayoría de los vendedores de antivirus quieren ordenar sus datos de manera apropiada así que los parásitos relacionados tendrán nombres similares ya que eso ayuda a su organización. Por ello, normalmente cada detección tiene de 2 a 5 partes diferentes:

  1. Función del malware (Backdoor, Adware, Spyware, Agent/Generic, Descargador, Malicioso, secuestrador etc). Esta parte define qué hará el parásito en el sistema y qué síntomas verá. Nota, algunos antivirus usan una clasificación menos rigurosa y otros una más detallada. Cabe mencionar HEUR o detección de comportamiento, que significa que el parásito no es conocido y se sospecha de alguna posibilidad de código malicioso que usa.
  2. Plataforma o SO en el que se ejecuta (Win32/W32, OSX, Android, Symbian, JS/HTML, Linux, etc). Esto muestra dónde se puede ejecutar el virus en particular. Sin embargo, esto no significa que se previene la infección de los parásitos en diferentes plataformas. Así que, por ejemplo, JS.Injector podría intentar instalar troyanos de Windows o Mac pero sólo pueden hacerlo si ha visto la página infectada.
  3. Manera de distribución (Virus,Troyano,Gusano). Mientras que los virus infectan archivos, los troyanos reemplazan o se hacen pasar por archivos buenos y los gusanos intentan instalarse usando varias vulnerabilidades. Hay un caso especial de Programas Potencialmente No Deseados (PUP, PUA, en inglés, ni virus ni adjuntos) que hace referencia a los programas que se instalan por los propios usuarios pero que tienen funciones no deseadas o podrían promocionarse de manera engañosa. Mientras esta información es importante tanto para los desarrolladores de antivirus como para las víctimas de malware, es menos importante que el primer caso, incluso aunque se usen más a menudo.
  4. „Fácil para el usuario“ nombre de la familia. Mientras que algunos desarrolladores de AV lo omiten, algunos incluyen algún tipo de nombre de grupos de malware. Normalmente, esto hace referencia a algún tipo de síntoma o una línea de un archivo de malware. A veces un nombre de otra herramienta de malware de la base de datos ha sido usado. Normalmente, es una de las últimas partes en el nombre completo del parásito.
  5. La versión del parásito particular si existiesen varias versiones. Normalmente, es la última parte del parásito.

Algunos ejemplos:

Trojan.Generic o Trojan.Agent o Trojan.Win32 – Parásito troyano sin ninguna información específica sobre familia o función. Es obvio, que para tener más información tendrá que escanear con una herramienta diferente o subir información a VirusTotal o algún servicio de escaneado online similar. También podrían dar falsos positivos.

W32.Downadup.b – Parásito de Windows 32 bits de la familia Downdup, versión B.

Mientras muchos vendedores de antivirus publican sus bases de datos online, la mejor manera de investigar la detección es estrechar la familia de malware e intentar encontrar información legible para los humanos sobre él. En casos complejos puede hacerse subiendo el parásito a VirusTotal o buscar información de la familia del parásito.

 
 
 

Deja un comentario