¿Por qué los creadores de malware utilizan tecnologías tan inteligentes con fines tan estúpidos?

26

Hace algunos días me infecté con un malware, probablemente algo nuevo y muy inteligente, ya que no se detuvo y ninguna herramienta de análisis pudo detectarlo después (consulte esta pregunta ).

Fue una infección en dos etapas: primero se introdujo un malware obvio a través de Internet Explorer (totalmente parcheado, por lo que probablemente todavía hay un agujero desconocido) y comencé a correr y hacer cosas tontas como esconder todos mis archivos y el sistema falso de parpadeo. las ventanas emergentes de advertencia me piden que reinicie debido a un "mal funcionamiento del controlador de disco"; Esta fue probablemente una forma de engañarme para que reiniciara y cargara el malware real. Luego, después de que se eliminó (muy fácilmente, una simple tecla Ejecutar registro), se dejó un rootkit que era absolutamente indetectable ... pero que también hacía tonterías, como el secuestro de búsquedas de Google y el lanzamiento Los procesos de fondo iexplore.exe que eran claramente visibles en el Administrador de tareas (aunque me pregunto qué estaban haciendo). Por fin, pude deshacerme de él reescribiendo el MBR y el sector de arranque de la unidad del sistema, donde se ocultó algún código del cargador; Sin embargo, todavía no sé qué se estaba cargando .

Lo que me pregunto ahora es: las personas que escriben malware se están volviendo cada vez más inteligentes, utilizan más y más técnicas de sigilo avanzadas ... y, sin embargo, siguen usando estas poderosas herramientas para hacer cosas tontas como mostrar anuncios, que por ahora casi todos se reconocen como un signo seguro de infección de malware (¿y quién hace clic en ellos, de todos modos?). Si no fuera por los procesos de búsqueda y de fondo iexplore.exe , nunca hubiera adivinado que un rootkit todavía estaba allí después de la infección "principal" ... y, si la infección "principal" no hubiera jugado bien con attrib.exe para hacerme pensar que todos mis archivos habían desaparecido, simplemente no lo habría notado y habría sido gratis cargar el rootkit en el siguiente reinicio (que, por tratarse de una computadora doméstica, seguramente habría ocurrido en más al día).

Un rootkit tan sigiloso podría haberse quedado allí por un tiempo largo , si no hubiera hecho tantos esfuerzos para mostrar su presencia; y podría haber dañado real , como instalar un keylogger o participar en una red de bots; lo que quizás también hizo , también ... pero como era tan obvio que la máquina estaba infectada, comencé a buscar una forma de limpiarla y la encontré (o de lo contrario, habría formateado , que voy a hacer de todos modos, solo para estar seguro).

Entonces, la pregunta sigue siendo: ¿por qué todas estas técnicas inteligentes de infección y sigilo se desperdician en mostrar anuncios inútiles?

    
pregunta Massimo 13.07.2011 - 10:39
fuente

6 respuestas

23

Varios motivos:

El atacante a menudo no es el Desarrollador : los desarrolladores de malware venden los paquetes a cualquier persona; el atacante definirá la carga útil. Algunos atacantes quieren ser sigilosos, otros no, de hecho, algunos se deleitan en ser obvios y notorios.

Práctica : desarrollo de técnicas

Apatía / ignorancia : los usuarios finales no son realmente buenos para solucionar problemas que no se pueden resolver haciendo clic en antivirus o limpiadores de malware.

Dinero : los clics y el clickjacking pueden generar buen dinero. Viagra / Cialis spam también hace dinero. Las descargas de herramientas de eliminación de malware falso pueden generar mucho dinero.

    
respondido por el Rory Alsop 13.07.2011 - 12:03
fuente
11

La respuesta es simple, y se llama principio antrópico . hay muchos, muchos virus sigilosos que permanecen en el lugar por mucho tiempo, porque no lo hacen, pero nunca escuchas ni piensas en ellos, por la misma razón que cauteloso. Recuerda, lo que realmente estás preguntando es: "¿Por qué veo tantos virus no sigilosos en comparación con la cantidad de virus sigilosos que veo?" Pero, por supuesto, no ves a los sigilosos.

    
respondido por el ikdc 03.03.2013 - 00:59
fuente
1

Mi primera suposición es: dinero. Y mi segundo sería: desafío. Eventualmente podrías añadir: bromas. (Tal vez para los primeros malwares que se desarrollaron: D)

Pero los malwares también son gusanos y virus. Así que podemos agregar a las ganancias potenciales:

  • Tiene acceso a la computadora (botnet, proxies) = > sigilo
  • Robar datos de alto valor = > poder, reputación
  • Asusta al usuario final y gana dinero = > engaño

Directa o indirectamente, eso implica dinero.

Tal vez uno de ellos sea para dominar el mundo. (¿broma?)

    
respondido por el M'vy 13.07.2011 - 10:55
fuente
0

Lo que está describiendo suena como FakeAlert o un software falso antivirus / pc booster / optimizador de sistema. El único propósito del software es conseguir que compre la edición "Completa" para evitar problemas inexistentes, o los problemas que ha creado. Pueden agregar publicidad en el lateral, por lo tanto, desvío de búsqueda de Google ... etc.

No es un malware tonto. Está ahí para ganar dinero, aunque no hará mucho en un sistema individual, un gran despliegue en el número máximo de computadoras generalmente genera buenos retornos. Además, los operadores solo están usando un kit que compraron, por lo tanto, no tiene sentido al principio usar un kit complejo para tales propósitos.

    
respondido por el Mike Winsborough 16.10.2014 - 11:24
fuente
-1

Tal vez sean incluso más inteligentes de lo que piensas: crean una infección obvia con ventanas emergentes molestas y un rootkit que se elimina fácilmente. Así que piensas que estás limpio ahora. Sin embargo: la infección real todavía está allí, pero se oculta aún más inteligentemente. Mantenga una estrecha vigilancia sobre su cuenta bancaria ...

    
respondido por el Jeff 20.03.2012 - 20:01
fuente
-3

Una respuesta es que tiene algunas clasificaciones de ese modelo de negocio. Si comprara una franquicia, compraría un "sistema" rentable. Malware y botnets podrían considerarse un equivalente digital de eso.

Desafortunadamente, es un círculo vicioso, pero no lo veo detenerse porque la naturaleza humana incluye la codicia. Digamos que alguien en China o Ucrania escribe un nuevo malware que es más probable que lo haga por dinero en efectivo. Los siguientes usuarios se infectan y las compañías de AV lo descubren, crean un "arreglo" y aumentan las ventas de sus suites basándose en "En nuestro producto, por lo general, tenemos arreglos para la mayoría de las infecciones de los usuarios en horas y días".

Entonces, la gente compra ese producto, pero luego se "infecta" y luego usualmente llevan sus sistemas a algún tipo de tienda minorista que puede o no saber lo que está haciendo (tirar una moneda aquí) para eliminar la amenaza (s) ). Si la tienda no puede resolverlo, algunos de nosotros (administradores competentes / técnicos) recibimos una llamada para "arreglar" o eliminar las infecciones. Después de resolver el problema, siempre instalo un archivo HOSTS de terceros para bloquear un montón de basura para que empiece. ¿Por qué las empresas de AV no implementan algún tipo de bloqueo de hosts que podrías preguntar? $ DINERO $ es siempre la respuesta. El punto que sigue siendo el círculo hace que el dinero, los malos, las empresas y los buenos se paguen en algún momento.

    
respondido por el Brad 20.03.2012 - 19:46
fuente

Lea otras preguntas en las etiquetas