El Riskware incluye todos aquellos programas legítimos (algunos de los cuales se venden públicamente y son comúnmente utilizados para fines bien intencionados), que pueden causar daños cuando caen en manos de delincuentes. En estos casos, estos softwares legales pueden ser utilizados para eliminar, bloquear, modificar o copiar datos, o alterar el rendimiento de los equipos o redes.
Los software que pertenecen a esta clase incluyen utilidades de administración, clientes IRC, programas de marcado (dialer), gestores de descargas de archivos, software para monitorear la actividad de los equipo, servicios de gestión de contraseñas y numerosos servicios como FTP, web, proxy y telnet.
Estos programas no son maliciosos por sí mismos, aunque tienen funciones que se pueden utilizar con fines maliciosos.
Por ejemplo, un programa de administración como WinVNC proporciona acceso a la interfaz de un equipo remoto y permite utilizar una máquina remota para controlarlo o supervisarlo. De hecho, así es como sus funciones se describen en el sitio web oficial del desarrollador:
VNC significa Virtual Network Computing. Se trata de un software de control remoto que permite ver e interactuar con un equipo (el “servidor”) usando un programa simple instalado en otra PC, en cualquier lugar de Internet. Los dos equipos ni siquiera tienen que ser del mismo tipo, dado que es posible usar VNC para monitorear una máquina Linux en la oficina o una PC de Windows en su casa. VNC es libre y está disponible públicamente; Es usado por millones de personas en industrias, academias y usuarios privados.
Esta es una pieza legítima de software y, muchas veces, es una herramienta necesaria para los administradores de sistemas y otros especialistas técnicos.
Sin embargo, en las manos de los usuarios maliciosos, este programa es capaz de dañar severamente los datos de los usuarios. Nuestro laboratorio de virus ha registrado varios incidentes en equipos en los que WinVNC había sido instalado secretamente con el fin de obtener acceso remoto a la computadora de otra persona.
Otro ejemplo es la utilidad mIRC. Se trata de un cliente de la red de IRC que también es un programa legítimo:
mIRC es un cliente de IRC para Windows. Fue desarrollado por Khaled Mardam-Bey. Es altamente configurable con todas los beneficios de UNIX, Macintosh e incluso Windows, en combinación con una buena interfaz de usuario. mIRC ofrece líneas de texto a todo color, envío de archivos DCC, capacidades de descarga de archivos, alias programables, comandos remotos, una gran barra de herramientas, soporte web, audio y muchas otras funcionalidades. mIRC es un programa shareware pero como podrás notar, no es un programa limitado.
Las funciones ampliadas de mIRC también pueden ser utilizadas por usuarios maliciosos. Usualmente, nuestro laboratorio de virus identifica programas troyanos (Backdoors, en particular) que utilizan las funciones de mIRC.
Cualquier Backdoor de IRC es capaz de escribir sus propios scripts en los archivos de configuración de mIRC y entregar con éxito su carga maliciosa sin el conocimiento del usuario. Lo que es peor, el usuario de mIRC ni siquiera sospecha que un troyano se está ejecutando en su computadora.
A menudo, los programas maliciosos instalan ellos mismos el cliente mIRC para aprovechar sus ventajas más tarde. En tales casos, mIRC se guarda en las carpetas y
subcarpetas de Windows. Si mIRC es detectado en estas carpetas, casi siempre significa que el equipo ha sido infectado con algún tipo de programa malicioso.
Por defecto, la opción para detectar Riskware está deshabilitada en los productos de Kaspersky Lab. Sin embargo, el usuario siempre puede activar esta opción. Nuestra opinión es que el usuario debe poder tomar sus propias decisiones.
Esta categoría comprende los siguientes comportamientos:
Client-IRC
Client P2P
Client STMP
Dialer
Downloader
FraudTool
Monitor
NetTool
PSWTool
RemoteAdmin
RiskTool
Server-FTP
Server-Proxy
Server-Telnet
Server-Web
WebToolBar