Virus complejos y técnicas
de detección: “polimórficos”, “metamórficos” y de ”ocultamiento de punto de
entrada” (EPO).
No todos los virus son iguales, ni mucho menos. Algunos son
variantes de otros códigos maliciosos aparecidos anteriormente; otros son
códigos maliciosos muy simples, y algunos, incluso, presentan fallos que les
impiden funcionar como su autor deseaba.
En cualquier caso, si PandaLabs, el laboratorio de virus de
Panda Software, detuviese su actividad un solo instante, cualquiera de ellos
podría provocar graves problemas a los usuarios. Podría pensarse que la tarea de
PandaLabs es rutinaria y sistemática; sin embargo, esto dista mucho de ser así.
De ello se ocupan algúnos códigos maliciosos que aparecen con frecuencia, que
técnicamente se denominan virus “polimórficos”, “metamórficos” y de
”ocultamiento de punto de entrada” (EPO).
Los virus polimórficos son capaces de modificar su apariencia mediante el uso de
una capa externa denominada "polimórfica”, en la que se pueden cambiar las
instrucciones de cada generación del virus. Por ejemplo, pueden cifrar su código
con una clave distinta cada vez, añadiendo al mismo tiempo a su propio código la
rutina de descifrado correspondiente. De esta forma, cada vez tendrán un aspecto
diferente, aunque su contenido seguirá siendo el mismo. Por su parte, los
metamórficos van un paso más allá, ya que además de modificar su aspecto
externo, también cambian su interior hasta el extremo de poder variar su propio
código vírico.
La última generación, en lo que a virus se refiere, son los llamados de
“ocultamiento de punto de entrada”. Se trata de códigos maliciosos que no actúan
del modo normal, es decir, inmediatamente después de ser ejecutados, sino que
insertan su código en medio de otros archivos. De esta manera, el virus lleva a
cabo únicamente su función cuando una parte muy concreta del archivo
“hospedante” es ejecutada (por ejemplo, cada vez que se muestra un mensaje en
una ventana de texto, o cuando se accede a un fichero de disco).Se trata de un
proceso similar al que llevan a cabo algunos virus biológicos.
La finalidad de estos todos estos tipos de virus es muy clara: dificultar su
detección por parte de los programas antivirus, pero ¿realmente lo consiguen?
Según explica Luis Corrons, director de PandaLabs: “Evidentemente, no es lo
mismo hacer una vacuna para un gusano simple de correo electrónico, que para un
virus polimórfico. Sin embargo, si se cuenta con los medios adecuados, esto no
pasa de ser una mera anécdota. Para poder detectar un código malicioso de este
tipo no se llevan a cabo las rutinas habituales, sino que procedemos a hacer lo
que llamamos “excepciones”. Es decir, remedios capaces no sólo de detectar al
virus, sino de adelantarse a su próximo cambio. Sin embargo”, añade, “para esto
es necesario contar con los suficientes recursos humanos y técnicos. De otra
manera, el tiempo que se tardaría en preparar la vacuna contra un virus de este
tipo podría conllevar la infección de miles de equipos”.
Al igual que los virus evolucionan, lo hacen los programas antivirus. Desde
siempre, se ha tratado de dotar a estas aplicaciones con comportamientos
“inteligentes”, es decir, conseguir que sean capaces de detener amenazas por sí
solos, sin necesidad de ser actualizados previamente con la vacuna
correspondiente. Así, comenzaron a utilizarse los sistemas de detección
heurísticos que, pese a que han dado resultados aceptables, no son totalmente
eficaces. Ello se debe a que este tipo de análisis detecta virus nuevos
aplicando sencillas reglas de comparación sobre el código estático de los
ficheros analizados.