1. UNIVERSIDAD TECNOLOGICA DE LA REGION
NORTE DE GUERRERO
INGENIERIA EN TECNOLOGIAS DE LA
INFORMACION
SEGURIDAD DE LA INFORMACIÓN
GUSANOS INFORMATICOS
PRESENTA:
T.S. U. SANTA EDITH DE LA CRUZ GONZÁLEZ
PROFESOR:
JOSE FERNANDO CASTRO DOMINGUEZ
Octubre, 2011
2. GUSANOS INFORMATICOS
ÍNDICE
PRESENTACION.................................................................................................................................... 2
INTRODUCCION ................................................................................................................................... 3
CAPITULO I. GUSANOS INFORMATICOS .............................................................................................. 4
I.- ¿QUÉ SON LOS GUSANOS INFORMATICOS? ................................................................................... 4
II.- ¿CÓMO FUNCIONAN? .................................................................................................................... 5
III. TIPOS DE GUSANOS ........................................................................................................................ 6
IV. TABLA DE GUSANOS ...................................................................................................................... 9
V.- ¿CÓMO LOS PREVENGO? ............................................................................................................. 13
CONCLUSIONES ................................................................................................................................. 15
GLOSARIO .......................................................................................................................................... 16
BIBLIOGRAFIA .................................................................................................................................... 17
1
3. GUSANOS INFORMATICOS
PRESENTACION
En esta investigación presento algo con lo cual pretendo informar a los usuarios
que hacen uso de un ordenador a tomar un poco mas de conciencia, importancia y
valoración a lo que debe ser el buen cuidado de un ordenador contra los virus
informáticos, los cuales destruyen todo del computador, en este apartado hablare
acerca de los gusanos informáticos.
Ojala que esta investigación sirva de mucho a las personas que no sabían mucho
acerca del tema y así desde ahora este problema se erradique para un bien social.
2
4. GUSANOS INFORMATICOS
INTRODUCCION
Partiendo de la base de que muchas veces existe un desconocimiento en un área
de la informática, las soluciones suelen exceder a las necesidades, se concluye
que finalmente los usuarios serán los perjudicados. No es un secreto que a
menudo las fallas incipientes de hardware, los conflictos de software, la instalación
incorrecta de drivers y a veces la inexperiencia del técnico llevan a los servicios de
reparación a culpar a los virus, a veces inexistentes, de los problemas más
insólitos y ayudan a la facturación de servicios alimentados más por el ansia de
ganar una comisión que por el objetivo de fidelizar al cliente para que vuelva una y
otra vez a consultar o comprar.
Cuando un técnico llega a la conclusión de que para solucionar un problema de
virus es necesario el temido formateo con la pérdida total de la información de un
disco, es que realmente debe haber agotado todas y cada una de las instancias
posibles para recuperar la información. Pero si ese paso se da por
desconocimiento o negligencia, el único perjudicado siempre es el usuario final.
Hay una tendencia generalizada en los clientes a creer que aquellos técnicos que
dicen "no sé, debo averiguar", no son de fiar. Y eso lleva a que muchos servicios
técnicos, presionados por mantener una imagen falsa, se apresuren y tomen
decisiones precipitadas y por ende, fatales.
3
5. GUSANOS INFORMATICOS
CAPITULO I. GUSANOS INFORMATICOS
I.- ¿QUÉ SON LOS GUSANOS INFORMATICOS?
“Los Gusanos Informáticos son programas que realizan copias de sí mismos,
alojándolas en diferentes ubicaciones del ordenador". El objetivo de este malware
suele ser colapsar los ordenadores y las redes informáticas, impidiendo así el
trabajo a los usuarios. A diferencia de los virus, los gusanos no infectan archivos.
Los gusanos son programas que se introducen en los sistemas de cómputo, pero
no infectan archivos. Pueden permanecen ocultos y respondiendo a algunas
acciones de parte del usuario o esperando a que llegue cierta fecha o evento en
especial. Actualmente los virus más recientes son mezcla de virus y gusanos, lo
que muchas veces causa discusión entre los especialistas sobre como
clasificarlos.
Hoy en día los gusanos informáticos al tener la capacidad de replicarse e
infectar al mayor número de usuarios, son muy usados por delincuentes
informáticos para crear las botnets o redes de ordenadores zombis,
principalmente con el fin de lucro, mandando grandes cantidades de SPAM o
también con el objetivo de lanzar ataques de denegación de servicio a
determinados servidores web.
4
6. GUSANOS INFORMATICOS
II.- ¿CÓMO FUNCIONAN?
El funcionamiento de los virus coincide en sus líneas esenciales con el de los
demás programas ejecutables, toma el control del ordenador y desde allí procede
a la ejecución de aquello para lo que ha sido programado.
Generalmente están diseñados para copiarse la mayor cantidad de veces posible,
bien sobre el mismo programa ya infectado o sobre otros todavía no
contaminados, siempre de forma que al usuario le sea imposible o muy difícil
darse cuenta de la amenaza que está creciendo en su sistema. El efecto que
produce un virus puede comprender acciones tales como un simple mensaje en la
pantalla, disminución de la velocidad de proceso del ordenador o pérdida total de
la información contenida en su equipo.
En la actuación de un virus se pueden distinguir tres fases:
1. El contagio: El contagio inicial o los contagios posteriores se realizan cuando el
programa contaminado está en la memoria para su ejecución. Las vías por las que
puede producirse la infección de su sistema son disquetes, redes de ordenadores
y cualquier otro medio de transmisión de información. Los disquetes son por el
momento, el medio de contagio más extendido en nuestro país. Estos disquetes
contaminantes suelen contener programas de fácil y libre circulación y carecen de
toda garantía. Es el caso de los programas de dominio público, las copias ilegales
de los programas comerciales, juegos, etc.
2. El virus activo: Cuando se dice que un virus se activa significa que el virus
toma el control del sistema, y a la vez que deja funcionar normalmente a los
programas que se ejecutan, realiza actividades no deseadas que pueden causar
daños a los datos o a los programas.
Lo primero que suele hacer el virus es cargarse en la memoria del ordenador y
modificar determinadas variables del sistema que le permiten "hacerse un hueco"
5
7. GUSANOS INFORMATICOS
e impedir que otro programa lo utilice. A esta acción se le llama "quedarse
residente". Así el virus queda a la espera de que se den ciertas condiciones, que
varían de unos virus a otros, para replicarse o atacar.
La replicación, que es el mecanismo más característico y para muchos expertos
definitorio de la condición de virus, consiste básicamente en la producción por el
propio virus de una copia de si mismo, que se situará en un archivo. El contagio de
otros programas suele ser la actividad que más veces realiza el virus, ya que
cuanto más deprisa y más discretamente se copie, más posibilidades tendrá de
dañar a un mayor número de ordenadores antes de llamar la atención.
3. El ataque: Mientras que se van copiando en otros programas, los virus
comprueban si determinada condición se ha cumplido para atacar, por ejemplo
que sea cinco de enero en el caso del conocido virus Barrotes. Es importante
tener en cuenta que los virus son diseñados con la intención de no ser
descubiertos por el usuario y generalmente, sin programas antivirus, no es
descubierto hasta que la tercera fase del ciclo de funcionamiento del virus se
produce el daño con la consiguiente pérdida de información.
III. TIPOS DE GUSANOS
1.- Gusanos de correo electrónico: Suelen propagarse a través de los mensajes
valiéndose de la utilización de ciertos programas clientes, reenviándose
automáticamente a los contactos de la libreta de direcciones. Algunos de los
gusanos más recientes (SirCam, Nimda, Klez, BugBear), pueden incluso, llegar a
enviarse a cualquier dirección de correo que encuentren en caché, con lo cual, si
en una página visitada se ha incluido una dirección de correo, puede ser utilizada
por el gusano, al tener éste la capacidad de rastrearlas.
6
8. GUSANOS INFORMATICOS
2.- Gusanos de IRC: Estos se propagan a través de canales de IRC (Chat),
empleando habitualmente para ello al mIRC y al Pirch. En este apartado cabe
recomendar tener precaución con las transferencia que uno acepte.
3.- Gusanos de VBS (Visual Basic Script): Son gusanos escritos o creados en
Visual Basic Script y para su prevención es importante considerar la sugerencia de
hacer visibles todas las extensiones en nuestro sistema (para poder identificar y
rechazar los archivos que vengan con doble extensión, como es el caso de anexos
de correos infectados por SirCam).
4.- Gusanos de Windows 32: Son Gusanos que se propagan a través de las API
(Application Program Interface o Application Programming Interface) de Windows,
las cuales son funciones pertenecientes a un determinado protocolo de Internet.
Las API corresponden al método específico prescrito por un sistema operativo o
por cualquier otra aplicación de aplicación mediante el cual un programador que
escribe una aplicación puede hacer solicitudes al sistema operativo o a otra
aplicación.
Finalmente, cabe mencionar que gusanos como el Nimda, tienen capacidad para
colocar su código en una página Web, propagando la infección con el simple
hecho de que uno la visite sin la protección adecuada (un buen antivirus bien
configurado y debidamente actualizado). Para que esto sea factible, este gusano
aprovecha una falla de seguridad del navegador Internet Explorer (misma que ya
ha sido resuelta por Microsoft), en sus versiones anteriores a la 6.0, lo cual le
permite accionarse automáticamente al entrar a la página infectada o al ver el
mensaje de correo.
Los archivos con las siguientes extensiones, en particular, tiene más posibilidades
de estar infectados:
386, ACE, ACM, ACV, ARC, ARJ, ASD, ASP, AVB, AX, BAT, BIN, BOO, BTM,
CAB, CLA, CLASS, CDR, CHM, CMD, CNV, COM, CPL, CPT, CSC, CSS, DLL,
DOC, DOT DRV, DVB, DWG, EML, EXE, FON, GMS, GVB, HLP, HTA, HTM,
HTML, HTA, HTT, INF, INI, JS, JSE, LNK, MDB, MHT, MHTM, MHTML, MPD,
MPP, MPT, MSG, MSI, MSO, NWS, OBD, OBJ, OBT, OBZ, OCX, OFT, OV?, PCI,
7
9. GUSANOS INFORMATICOS
PIF, PL, PPT, PWZ, POT, PRC, QPW, RAR, SCR, SBF, SH, SHB, SHS, SHTML,
SHW, SMM, SYS, TAR.GZ, TD0, TGZ, TT6, TLB, TSK, TSP, VBE, VBS, VBX,
VOM, VS?, VWP, VXE, VXD, WBK, WBT, WIZ, WK?, WPC, WPD, WML, WSH,
WSC, XML, XLS, XLT, ZIP
Los gusanos actuales se propagan principalmente por correo electrónico con
archivos anexados y disfrazados, con el objeto de engañar al usuario a que los
ejecute y así empiece el proceso de infección y reproducción. Por ejemplo un
gusano puede llegar a su correo electrónico con un mensaje:
Fig. 1.- Foto.jpg.exe
Nótese que el gusano anexado tiene doble extensión para confundir al usuario
“foto.jpg.exe”. En ordenadores que tienen activado “ocultar las extensiones del
archivo para tipos de archivos conocidos” sólo se mostrará “foto.jpg” y el usuario
pensando que se trata de un archivo legitimo lo puede ejecutar.
Fig. 2.- Chat
Como se puede apreciar el figura 2 son gusanos que se utilizan frecuentemente
los programas de mensajería instantánea como “Windows Live Messenger”,
“Yahoo Messenger” y similares con links infectados usando el mismo método de
persuasión.
8
10. GUSANOS INFORMATICOS
De igual forma los gusanos pueden estar programados para hacerse pasar por
archivos de música “Te envió esta canción: track1.mp3.com”, documentos “Te
envió el documento que me solicitaste; documento.doc.vbs”, videos
“video.mpg.bat”, etc., y a veces estos enlaces pueden estar disfrazados para que
no sean detectados a simple vista.
IV. TABLA DE GUSANOS
GUSANOS INFORMÁTICOS
NOMBRE: COMO OPERA: COMO PREVENIRLO:
ILOVEYOU Es un virus de tipo Para evitar los efectos del
(VBS/Loveletter o Love gusano, escrito en Visual I love you es necesario
Bug worm) Basic Script que se elaborar un parche,
propaga a través de programa informático que
correo electrónico y de se aplica sobre otro que,
IRC (Internet Relay Chat). instalado en el servidor
de correo, sea capaz de
reconocer la firma del
virus y frenarlo.
Blaster (Lovsan o El gusano LovSan / se recomienda
Lovesan) Blaster está programado encarecidamente
para analizar una instalar un firewall
cantidad aleatoria personal en las
de direcciones IP en máquinas que estén
busca de sistemas conectadas a Internet, y
vulnerables a la falla del también filtrar los
RPC en el puerto 135. puertos TCP/69, TCP/135
a TCP/139 y TCP/4444 y
mantener actualizado el
sistema operativo.
Sobig Worm Gusano de envío masivo Si dispone de
de correo cuya herramientas de
propagación se realiza a filtrado, configúrelas
todas las direcciones para que rechacen los
electrónicas encontradas mensajes que
dentro de los ficheros de cumplan las
extensiones: .txt, .eml, características
.html, .htm, .dbx, y .wab. mencionadas en el
9
11. GUSANOS INFORMATICOS
El correo en el que se apartado Método de
propaga el gusano propagación.
parece como si fuese Instale y configure
enviado por un firewall, para
”big@boss.com”. bloquear el acceso no
autorizado de los
puertos mencionados,
particularmente el
acceso remoto al
puerto UDP 8998.
Instale un buen
antivirus en su
ordenador.
Mantenga su antivirus
actualizado. Si admite
actualizaciones
automáticas,
configúrelas para que
funcionen siempre
así.
Tenga activada la
protección
permanente de su
antivirus en todo
momento.
Code Red Este virus al atacar Es importante que los
configuraciones más administradores de
complejas, que no son sistemas Windows con
implementadas por el Internet Information
usuario final, tuvo menor Server apliquen el parche
impacto que el Sircam. publicado en el boletín de
Cabe destacar las 2 seguridad de Microsoft
mutaciones basadas en MS01-033 para evitar el
este virus que circulan ataque de este gusano.
por Internet, Codered.C y
el Codered.D, que utilizan
su misma técnica
variando su carga
destructiva.
Klez Este virus explota una Si utiliza Outlook Express
vulnerabilidad en el y con el fin de evitar la
Internet Explorer por la infección le
cual es capaz de recomendamos que
autoejecutarse con solo desactive la vista previa.
visualizar el correo Este gusano utiliza una
10
12. GUSANOS INFORMATICOS
electrónico en el que vulnerabilidad de Internet
llega como adjunto. El Explorer, ya utilizada por
virus es capaz de impedir otros gusanos,
el arranque del sistema y consistente en permitir la
de inutilizar ciertos ejecución de ficheros
programas. adjuntos de forma
automática al abrir un
mensaje de correo
electrónico, o
simplemente, al verlo a
través de la vista previa
de Outlook Express.
Melissa (”Mailissa”, Este virus infecta a MS La nueva versión de
“Simpsons”, “Kwyjibo”, o Word y éste a todos los Melissa puede
“Kwejeebo”) archivos que se abren, identificarse mediante el
cambia ciertas Asunto del archivo que lo
configuraciones para contiene: "Important
facilitar la infección, se message from
auto-envía por correo, USERNAME"
como un mensaje
proveniente del usuario a
los primeros 50 buzones
de la libreta de
direcciones de su correo.
Sasser (Big One) Gusano que para Instalar el parche de
propagarse a otros Microsoft para verse
equipos, aprovecha la afecta por el gusano
vulnerabilidad en el Sasser.
proceso LSASS (Local
Security Authority
Subsystem). Sólo afecta
a equipos Windows
2000/XP y Windows
Server 2003 sin
actualizar.
Los síntomas de la
infección son: Aviso de
reinicio del equipo en 1
minuto y tráfico en los
puertos TCP 445, 5554 y
9996.
Bagle (Beagle) Gusano que se difunde Se recomiendan pasar
mediante el envió masivo un programa antivirus y
de correo electrónico a actualizar el software de
11
13. GUSANOS INFORMATICOS
direcciones que captura seguridad que se tenga
de diversos ficheros en la instalado.
máquina infectada. Utiliza
un truco de ingeniería
social muy simple pero
efectiva, consistente en
hacerse pasar por un
mensaje de prueba con
un fichero adjunto que
usa el icono de la
calculadora de Windows,
lo que parece que hace
pensar a las víctimas que
es inofensivo.
Nimda Gusano troyano que Existe un parche de
emplea tres métodos de actualización de
propagación diferentes: a seguridad para evitar éste
través del correo accionar, pero sigue
electrónico, carpetas de siendo una constante
red compartidas o entre los administradores
servidores que tengan de los servidores de no
instalado IIS (empleando actualizar su software.
el “exploit” Web Directory
Traversal). Descarga en
el directorio
C:WindowsTemp un
fichero
(meXXXX.tmp.exe, un
correo en el formato
EML) que contiene el
fichero que será enviado
adjunto por el gusano.
12
14. GUSANOS INFORMATICOS
V.- ¿CÓMO LOS PREVENGO?
Buena parte de los virus informáticos y otro software malintencionados se
propagan a través de los archivos que se envían adjuntos a los mensajes de
correo electrónico. Si un archivo adjunto a un mensaje de correo electrónico
contiene un virus, lo normal es que se inicie cuando el usuario abre el archivo (por
lo general, mediante un doble clic en el icono del archivo adjunto).
Independientemente del programo de correo electrónico que utilice o de la versión
de Windows que se ejecute, existe la posibilidad de evitar algunos virus si se
siguen determinadas reglas básica. Si utilizas las versiones mas recientes de
Outlook u Outlook Express y de Windows, puede aprovechar algunas mejores y
opciones de configuración predeterminadas que le ayudaran a evitar que su
equipo se vea infectado accidentalmente por un virus.
Cinco sugerencias sobre los correos electrónicos:
1. No abras ningún mensaje o descargues archivos de alguien que te lo
mande sin saber quien es.
2. Si recibiste un correo con un archivo y dice que el remitente es desconocido
no lo abras y solo elimínalo.
3. Utiliza antivirus antispyware escaneadores todo para que no se metan en tu
computadora.
4. Si mandas un correo adjunto prevenlo de que no es un virus.
5. Utilizar filtros contra correos no deseado.
13
15. GUSANOS INFORMATICOS
Siete recomendaciones sobre el equipo de cómputo y descargas para prevenir el
ataque los gusanos informáticos:
1. Tener sistema operativo actualizado
2. Tener un antivirus y firewall instalados
3. Monitoreo de puertos
4. Precaución al abrir archivos de internet
5. Analizar las descargas
6. Descargar en paginas oficiales o sitios de confianza
7. Concientización de los usuarios que hacen uso de los sistemas informáticos
14
16. GUSANOS INFORMATICOS
CONCLUSIONES
Los ataques informáticos se están convirtiendo en un problema de impredecibles
consecuencias económicas para las empresas de todo el mundo. Los malwares
son cada vez más sofisticados y dañinos, están aprovechando las facilidades que
presentan el Internet y los fallos de seguridad de algunos programas informáticos
para infectar a un gran número de ordenadores en todo el mundo.
Internacionalmente se cuenta con Ingenieros y Especialistas en esta rama con un
alto nivel de profesionalidad .Que trabajan arduamente para prevenir y
contrarrestar los daños que pudieran ocasionar estos "intrusos" al invadir la PC.
Con la realización de esta investigación se amplió los conocimientos sobre la
existencia y los ataques de los Gusanos Informáticos. Evidenciándose solamente
la punta del iceberg del problema. Además cabe destacar, la gran importancia que
tiene este tema para la humanidad y su necesidad de difusión, con el objetivo de
prevenir catástrofes en el futuro en el mundo de las tecnologías de la información.
Para finalizar se puede añadir que se ha cumplido con todos los objetivos trazados
en la investigación de los Gusanos Informáticos, esperando que sea utilizado
como material informativo y de consulta para todas aquellas personas interesadas
en el tema.
15
17. GUSANOS INFORMATICOS
GLOSARIO
PC: Acrónimo de Personal Computer. Se utiliza para designar los ordenadores
o computadoras personales.
IP: Internet Protocol, Protocolo de Internet. Es el soporte lógico básico
empleado para controlar este sistema de redes.
HTML: Acrónimo de Hyper Text Markup Lenguage, Lenguaje de Marcas de
Hipertexto .En informática, formato estándar de los documentos que circulan
en (WWW).
WWW: World Wide Web. También conocido como Web. Mecanismo proveedor
de información el electrónica, para usuarios conectados a Internet.
SMTP: Simple Mail Transfer Protocol, Protocolo Simple de Transferencia de
Correos .Protocolo mas usado en Internet para el envío de mensajes de
correos electrónicos.
16