Para algunos puede parecer ciencia ficción pero estamos asistiendo a la expansión de un nuevo tipo combinado de amenaza que aunque de momento parece ser totalmente fruto de la casualidad, puede causar estragos. Hablamos del termino acuñado por Loreana Botezatu de BitDefender, Frankenmalware para designar a este relativamente nuevo tipo de amenaza.
Para situarnos, nada mejor que un ejemplo, supongamos que en un ordenador de nuestra red tenemos un gusano y que X día ese terminal se ve también afectado por un virus. Este virus infectará el ejecutable del gusano, que a su vez transportará al virus junto a el al expandirse. Con lo que el próximo terminal en ser afectado por este gusano recibirá como "bonus" también el virus, uniendo como hemos dicho antes, de manera casual sus capacidades para hacer mucho más daño del que en un origen estaban diseñados para realizar.
Loreana Botezatu nos explica un ejemplo de esta simbiosis entre el virus Virtob y el gusano Rimecud detectado por BitDefender. Este gusano se difunde a través de redes p2p, usbs, messenger, unidades de red... Su actividad es la de robar passwords inyectándose a si mismo en el proceso explorer.exe y abriendo un backdoor para bajar software adicional del C&C. Pues bien, el virus Virtob que viaja con este gusano también abre un backdoor, esta vez sus C&C en IRC, modifica ficheros y infecta los ejecutables, es decir a cualquier otro gusano que encuentre.
En este escenario tenemos un terminal infectado con un virus y un gusano, con 2 backdoor abiertos y controlado a través de 2 C&C, además de todos los posibles elementos que a los atacantes les apetezca enviar..
En el caso de que un antivirus o antimalware detecte el fichero infectado, es posible que lo limpie de ambas amenazas, solo de una o en el peor de los casos de ninguna de ellas.
En el caso de que detecte y limpie una sola de estas amenazas, el output del antivirus será el mismo archivo sin virus pero con el resto de funcionalidades relativamente intactas (todo depende del tipo de combinación que se haya producido en el archivo..), pero como el archivo ha sido modificado por el antivirus ahora contendrá una firma diferente y esto a su vez puede causar que no sea nunca más detectado ya que los antivirus basan la mayoría de detecciones en la heurística en vez de en el comportamiento del propio virus o gusano.
Ahora bien, reflexionando sobre este ejemplo de Loreana Botezatu, no creeis que ya existan virus especialmente diseñados para acoplarse a determinados gusanos y de esta manera conseguir robar la información conseguida por estos, o para inutilizarlos en detrimento de grupos rivales? Sin duda que sí. Realmente un tema muy interesante pero que nos lleva a uno de los consejos básicos de seguridad que compartimos con vosotros desde cyberseguridad.net que es el de disponer de una buena solución tanto antivirus como antimalware legítima y actualizada constantemente, para minimizar el riesgo de todo este tipo de amenazas.
