TAF 4: Autoinfeccion con Malware
Continuando con la SAGA TAF – Técnicas Anti Forenses, hoy vamos a referirnos a la acción de AUTOINFECCION CON MALWARE.
Se debe entender que MALWARE es un nombre genérico para diferentes tipos de programas maliciosos, es decir, programas construidos para hacer cosas raras, generalmente con desconocimiento del usuario en el dispositivo infectado.
La clasificación de malware es muy amplia, podemos ver algo en la imagen siguiente:
En que consiste la AUTOINFECCION?
Ya sea de manera particular mediante la acumulación de programas maliciosos o descargando ejemplos de estos de manera intencional
Malware detectado, pero no necesariamente eliminado. Puede quedar en estado de cuarentena, pero sigue latente en el computador. Todo dependerá de la acción siguiente a su detección.
Muestra de un sitio web donde uno puede encontrar muestras de malware. Imaginen un laboratorio de bioquímica donde tienen diferentes cepas de virus, pero cualquiera puede acceder a ellos y descargar unos cuantos.
Evidentemente para esto debe ocurrir una de 2 cosas:
- El equipo NO tiene antivirus o este esta completamente desactualizado
- El usuario desactiva o reconfigura el antivirus para permitir el ingreso de estos programas. Es como retirar al guardia de la puesta para que entren los ladrones.
Al final, el efecto es tener dispositivos tanto de procesamiento como de almacenamiento con varias muestras de virus.
EFECTO ANTIFORENSE
La acción del Malware es muy diversa, desde simplemente existir, robar claves, colocar archivos, acceder a otros equipos, robar datos, etc. Si el sospechosos ha procedido a ejecutar como acto preparatorio esta TAF, entonces cuando su equipo tenga que ser analizado podrá recurrir a la llave MALWARE para eludir responsabilidad. Es decir apelar a la inocencia parcial o toral y decir que algún intruso mediante técnicas de intrusión con malware ha logrado colocar, borrar u otra acción.
Podar pedir como punto pericial. la indetificacion de malware en su equipo. Incluso podria tener activado alguno. Ojo. Algo asi como apelar a la demencia temporal.
Por si acaso esta técnica puede ser también defensiva en caso de ver comprometidos sus archivos. Activar un Ransomware, pero estas TAF la veremos en otro capitulo.
Ultima recomendación para los colegas peritos informáticos: El análisis de evidencia digital debe ser realizado en una suerte de SANDBOX o ambiente aislado para mitigar el riesgo de virus.
No se olviden de leer las TAFs ya publicadas:
- TAF1: Modificacion de hora y fecha
- TAF2: DEFRAGmentacion de disco
- TAF3: Borrado seguro