1.

RESUMEN EJECUTIVO

Este informe presenta los resultados del anlisis de la presencia de malware 1 en las redes Peer to Peer (P2P 2 ) realizado por INTECO a travs de su Centro de Respuesta a Incidentes de Seguridad en Tecnologas de la Informacin, INTECO-CERT. Mediante la ejecucin de este proyecto, INTECO ha desarrollado un trabajo de investigacin para evaluar y caracterizar en detalle el malware que se distribuye a travs de diversas redes P2P utilizadas en Espaa. Se ha utilizado un modelo representativo de los hbitos de uso de los usuarios espaoles en dichas redes con el fin de reflejar los posibles riesgos que stos deben afrontar. Para ello y dado el alto contenido tcnico de la labor, INTECO-CERT ha generado una metodologa especfica para acometer los dos aspectos ms sensibles del proyecto: La realizacin de las descargas a travs de las redes P2P, incluyendo la seleccin de las redes P2P a estudio, los clientes de descarga, la seleccin de los productos a descargar 3 y la construccin de la plataforma que d soporte a la realizacin de todas las descargas. El anlisis tcnico pormenorizado de los ficheros descargados, para el que se ha construido una plataforma de anlisis en diferentes fases y con diversas etapas en cada fase. Todos los ficheros descargados recorren una batera de sistemas de deteccin y diagnstico, para determinar si existe o no malware en cada uno de ellos.

Para la realizacin del presente anlisis se han descargado y analizado 3.032,22 GB (3 TB) que correspondan a ms de 1.114.800 ficheros descargados de redes P2P.

1.1.

MARCO DE REFERENCIA

El entorno actual relativo tanto al uso de las redes P2P como a la evolucin del malware se puede resumir en los siguientes aspectos: El desarrollo y propagacin de malware ha crecido de forma exponencial durante los ltimos 5 aos. Segn datos de Panda Security 4 o de McAfee 5 , en 2008 se ha detectado ms malware que en todos los aos anteriores juntos. Durante los dos ltimos aos el volumen de trfico de Internet en la zona sur europea, dentro de la cual se encuentra Espaa, procede mayoritariamente del uso de redes P2P, con unos valores que oscilan entre el 63,94% del volumen total en 2007 al valor del 54,46% en los aos 2008 y 2009, segn datos de la empresa alemana Ipoque 6 en su estudio anual Internet Study.

Malware: denominacin comn para todo tipo de software malicioso Red P2P (peer to peer): nombre que se asigna a las redes de intercambio de archivos entre pares 3 Producto a descargar: engloba todas las descargas de software para una misma bsqueda 4 Panda Security (www.pandasecurity.com): compaa espaola de seguridad informtica fundad en 1990 centrada inicialmente en el desarrollo y comercializacin de software de antivirus 5 McAfee (www.mcafee.com): empresa especializada en productos para la seguridad informtica fundada en 1987 y con sede en Estados Unidos. 6 Ipoque (www.ipoque.com): compaa alemana especializada en productos de monitorizacin y control de redes informticas
2

Resea Anlisis de la presencia de malware en las descargas de redes P2P

Tambin, segn datos de dicho estudio, las redes P2P ms utilizadas en la zona sur de Europa durante el ao 2007 fueron la red eDonkey 7 , con un 57% del volumen del trfico relativo a descargas e intercambio de archivos, seguida de la red BitTorrent 8 con un 40%. Muy de lejos le sigue la red Gnutella 9 , con un 2,23%. La tendencia se mantiene en 2008 y 2009 aunque ms igualada entre las dos mayoritarias, con un 48,94% de BitTorrent, y un 47,17% de eDonkey, seguidos de lejos por Gnutella que baja al 1,66%. Las redes P2P son un mecanismo idneo para la propagacin de malware ya que se utilizan para intercambio de archivos entre usuarios annimos, de forma que es sencillo introducir software malicioso en ficheros a compartir. Adems, la dudosa legalidad de algunas descargas realizadas a travs de P2P, unido al carcter distribuido y transnacional de estas redes hacen complejas tanto la identificacin de la fuente original como la exigencia de responsabilidades ante una descarga maliciosa.

1.2.

RESULTADOS MS DESTACADOS DEL ANLISIS

Los resultados ms significativos obtenidos en el proyecto, y que sern analizados con mayor detalle y profundidad a lo largo del informe (especialmente en el captulo 4 de Resultados del anlisis de malware en redes P2P), son los siguientes: La cantidad de descargas comprometidas con algn tipo de malware obtenido sobre el total de ficheros descargados ha sido de un 9,7%, lo que significa prcticamente una de cada diez descargas realizadas. La categora de descargas potencialmente ms peligrosas de enmascarar o esconder malware en las redes P2P son principalmente las de aplicaciones o software, donde se cumple que el 31,93% de las aplicaciones descargadas contienen algn tipo de malware. A continuacin le siguen los juegos, con un 16,33% de malware sobre todas las descargas de juegos efectuadas. Para el resto de descargas de audio, vdeo y texto/imgenes se han detectado el 9,91%, del cual el 2,13% y el 1,03% respectivamente tenan algn tipo de contenido malicioso.

7 8 9

eDonkey: red P2P de intercambio de archivos basada en el uso de servidores. BitTorrent: red P2P para el intercambio de archivos basada en el uso del protocolo con mismo nombre Gnutella: red P2P de intercambio de archivos basada en un protocolo totalmente descentralizado

Resea Anlisis de la presencia de malware en las descargas de redes P2P

Figura 1: Descargas realizadas por categora de contenidos

Fuente: INTECO

El malware se concentra en las utilidades para poder instalar y utilizar software que no es de utilizacin libre sin licencia (cracks 10 , generadores de nmeros de serie 11 , etc.). Si no se considera la descarga aparte de estas utilidades, el porcentaje de malware detectado disminuye significativamente al valor de un 4,6% sobre las descargas realizadas. Adems, en la gran mayora de este 4,6% restante, el cdigo malicioso detectado est asociado a utilidades de este tipo ya incorporadas en el interior de la propia descarga del producto.

En lo que respeta a tipos de ficheros descargados, los archivos con malware se concentran en ficheros ejecutables, con un 87,2%, seguidos por los de vdeo, con el

10 Crack: aplicacin informtica desarrollada para modificar el funcionamiento original de un programa, usada generalmente para activar software o saltarse protecciones o restricciones de uso impuestas por licencia. 11 Generador de nmeros de serie: (keygen, key generator): programa informtico para la generacin de claves de registro vlidas para aplicaciones que necesitan de una licencia

Resea Anlisis de la presencia de malware en las descargas de redes P2P

8,2%. El resto de detecciones corresponde a ficheros de audio, y texto/imgenes, confirmando que existen ficheros manipulados con malware de cualquier tipo. La mayor parte de las ocasiones, un 76,34%, los ficheros con malware no se descargan directamente sino que se encuentran encapsulados dentro de descargas de ficheros empaquetados 12 . La red que ha resultado ms peligrosa para su uso en descargas P2P ha sido Gnutella, en la que se ha detectado que el 50,4% de las descargas realizadas estaban manipuladas con malware. Le sigue eDonkey/Kad, con un 10,3% de descargas comprometidas (con valores muy dispares entre s: el 15,8% en KAD y el 4,85% en eDonkey). BitTorrent ha resultado ser la ms segura, con slo un 1,7% de descargas con malware. Las redes P2P centralizadas que utilizan servidores o directorios centrales (eDonkey, BitTorrent) para la gestin de las descargas se muestran ms seguras que las redes ms descentralizadas (Kad, Gnutella), donde la comunicacin es ms directa entre los nodos. En el caso de las redes centralizadas, es adems muy importante utilizar siempre los servidores o directorios de ms reputacin o recomendados por fuentes oficiales confiables, pudiendo aumentar significativamente las descargas comprometidas en caso de no hacerlo (p. ej. hasta cerca del 100% en caso de utilizar servidores eD2K falsos o fraudulentos).
Figura 2: Porcentajes de descargas con malware por red P2P

Malware en redes P2P

Fuente: INTECO

Ficheros empaquetados: ficheros que se caracterizan por ser contenedores de otros ficheros (como archivos comprimidos, imgenes de CD/DVD, archivos de instalacin, etc.), es decir, dentro de ellos estn agrupados uno o varios ficheros.

12

Resea Anlisis de la presencia de malware en las descargas de redes P2P