PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
Virus Informatico
1. VIRUS
¿Qué es un virus Informático?
Bien, esta es la definición formal basada en los estudios de Fred Cohen, el inventor del término
"virus informático", que hace las delicias de los matemáticos pero que sólo está aquí para
asustar. Afortunadamente Cohen da otra definición más asequible de virus informático: "un
virus es un programa que es capaz de infectar otros programas modificándolos para que
incluyan una copia, quizá evolucionada, de él mismo". Es decir, un virus lo que hace es tratar
de añadir una copia de su propio código en otros programas.
Los virus informáticos han mutado en los últimos años. Sus formas de infección ya no son las
mismas. En los primeros años del desarrollo y expansión de la informática en entornos
domésticos, era habitual que el ataque tomara el control del ordenador, manipulara el ratón,
aparecieran ventanas emergentes y los procesos se ralentizaran hasta hacer imposible el uso.
El premio era demostrar la pericia del hacker al usuario y no tanto conseguir expandir el virus o
mucho menos borrar información del equipo. Esto ha motivado que muchos usuarios aún
piensen que una infección de su ordenador puede detectarse mediante la observación de
algunos de estos parámetros. Hoy en día, sin embargo, los virus más peligrosos se ejecutan de
forma discreta en los ordenadores de los usuarios, para pasar desapercibidos y continuar con
su tarea encomendada.
Los virus actuales están orientados principalmente a tomar el control del ordenador para que
forme parte de una red de miles de ordenadores infectados, conocida como botnet. Desde
esta, se realizan por la fuerza bruta todo tipo de actos delictivos a través de Internet, como
robo de datos personales, usurpación de identidad en las cuentas bancarias o en las redes
sociales, etc. También se utilizan como parte de guerras informáticas para tomar el control de
equipos industriales concretos, como el virus Stuxnet, que infectó a varias centrales nucleares
de Irán en 2010. Es muy posible que muchos usuarios en todo el mundo estemos infectados
con este virus o alguna de sus variantes, pero el mismo no activará sus funciones en nuestros
ordenadores, ya que no somos el objetivo prioritario. Y lo mismo puede ocurrir con muchos
otros virus.
VIRUS EN WINDOWS
• Win32/Filecoder.E
• Win32/VB.NSM
• Win32/Filecoder.F
• Agent.LXF
• Agent.LBX
• Mdrop.CIW
• Zbot.KJ
• Vobfus.GE
• Gampass.Y
“Win32/Filecoder.E”
Troyano que encripta archivos de las unidades locales.
2. Detalles
Cuando el malware se ejecuta encripta archivos para luego pedir al usuario que envié un
mensaje SMS a un número específico.
Crea el siguiente archivo en la siguiente carpeta:
C:/ Windows/ System/ FYKRAGNL.exe
Crea la siguiente entrada del registro:
HKCR/ .crypted]
"(Default)" = "LQWGAQGIVE"
HKCR/ LQWGAQGIVE]
"(Default)" = "CRYPTED!"
HKCR/ LQWGAQGIVE/ LQWGAQGIVE/ DefaultIcon]
"(Default)" = "%system%/ FYKRAGNL.exe,0"
HKCR/ LQWGAQGIVE/ shell/ open/ command]
"(Default)" = "%system%/ FYKRAGNL.exe "%1""
Busca archivos con las siguientes extensiones para encriptarlos:
* 3gp, amr, avi, bmp, doc, img, iso, jpg, mov, mp3, mp4, msi, nrg, pdf, php, ppt, psd, rar, txt,
vob, wmv, xlp.s, zip.
Solución
1. Reinicie en Modo a prueba de fallos.
2. Ejecute un antivirus actualizado y elimine los archivos infectados.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los
Nombres anotados en el paso 3, en la siguiente clave del registro:
HKLM/ SOFTWARE/ Microsoft
/ Windows/ CurrentVersion/ Run
6. Cierre el editor del Registro del sistema.
7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del
troyano.
“Win32/VB.NSM”
Gusano que se copia en distintas carpetas del equipo infectado.
Detalles
3. Cuando se ejecuta el malware se copia en las siguientes carpetas:
C:/ PDA.exe
C:/ WINDOWS/ system32/ Dragon Son.exe
C:/ WINDOWS/ system32/ Play Boys.exe
C:/ WINDOWS/ system32/ PDA.exe
C:/ WINDOWS/ system32/ Shai Ling.exe
C:/ WINDOWS/ system32/ Internet V9.exe
C:/ WINDOWS/ system32/ MP3.exe
C:/ Documents and Settings/ All Users/ Start Menu/ Play Boys.exe
C:/ Documents and Settings/ All Users/ Desktop/ PDA.exe
C:/ Documents and Settings/ All Users/ Documents/ Shai Ling.exe
C:/ Documents and Settings/ All Users/ Desktop/ Dragon Son.exe
C:/ Documents and Settings/ All Users/ Desktop/ Internet V9.exe
C:/ Documents and Settings/ All Users/ Start Menu/ Programs/
Accessories/ MP3.exe
Para ejecutarse en cada reinicio del sistema crea las siguientes claves del registro:
HKLM/ SOFTWARE/ Microsoft/ Windows/
CurrentVersion/ Run
"Play Boys.exe" = "C:/ WINDOWS/ system32/ Play Boys.exe"
También puede crear carpetas con los siguientes nombres:
Khmer MP3
Kong Fu Story
Phone Soft
Play Boy Sex
The Internet Last Version
Intenta finalizar cualquier proceso que contenga las siguientes cadenas en su nombre:
Windows Task Manager
Run
Windows
Command Prompt
Solución
1. Reinicie en Modo a prueba de fallos.
2. Ejecute un antivirus actualizado y elimine los archivos infectados.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los
nombres anotados en el paso 3, en la siguiente clave del registro:
4. HKLM/ SOFTWARE/ Microsoft
/ Windows/ CurrentVersion/ Run
6. Cierre el editor del Registro del sistema.
7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del
gusano.
“Win32/Filecoder.F”
Troyano que encripta archivos de las unidades locales.
Detalles
Cuando el malware se ejecuta encripta archivos para luego pedir al usuario que envié un
mensaje SMS a un número especifico.
Crea el archivo en la carpeta:
C:/ Windows/ System/ FYKRAGNL.txt
Solución
1. Reinicie en Modo a prueba de fallos.
2. Ejecute un antivirus actualizado y elimine los archivos infectados.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
5. Elimine bajo la columna "Nombre", la entrada que hagan referencia a alguno de los nombres
anotados en el paso 3, en la siguiente clave del registro:
HKLM/ SOFTWARE/ Microsoft
/ Windows/ CurrentVersion/ Run
6. Cierre el editor del Registro del sistema.
7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del
troyano.
“Agent.LXF”
Troyano para plataforma Windows que crea una tarea en el sistema para cargarse al iniciar el
sistema.
Detalles
Crea el fichero: %System%/ providd.exe.
5. Se propagación mediante la participación de un usuario malicioso o descargado por otro
software malicioso.
Solución
Si utiliza Windows Me, XP o Vista, y sabe cuándo se produjo la infección, puede usar la
característica de ‘Restauración del Sistema’ para eliminar el virus volviendo a un punto de
restauración anterior a la infección.
Elimine los ficheros:
%System%/ providd.exe.
Elimine las entradas del registro:
Clave: HKCU/ Software/ Microsoft/ Windows/ CurrentVersion/ Run
Valor: sqlpdro=%System%/ providd.exe
Clave: HKLM/ SOFTWARE/ Microsoft/ Windows NT/ CurrentVersion/ Winlogon
Valor: Taskman=%System%/ providd.exe
Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del
navegador, vacíe también la Papelera de reciclaje.
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la
eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree
un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o
problemas en el futuro.
“Agent.LBX”
Troyano para plataforma Windows que modifica el registro para cargarse en memoria al iniciar
el sistema.
Detalles
Crea los siguientes:
%Windows%/ scssrr.exe.
Se propagación mediante la participación de un usuario malicioso o descargado por otro
software malicioso.
Solución
Si utiliza Windows Me, XP o Vista, y sabe cuándo se produjo la infección, puede usar la
característica de ‘Restauración del Sistema’ para eliminar el virus volviendo a un punto de
restauración anterior a la infección.
Elimine los ficheros:
%Windows%/ scssrr.exe.
Elimine las entradas del registro:
6. Clave: HKLM/ SOFTWARE/ Microsoft/ Windows/ CurrentVersion/ Run
Valor: Winlogon=%Windows%/ scssrr.exe
Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del
navegador, vacíe también la Papelera de reciclaje.
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la
eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree
un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o
problemas en el futuro.
“Mdrop.CIW”
Troyano para la plataforma Windows que se ejecuta automáticamente en el arranque del
sistema y crea ficheros en la carpeta del sistema de Windows.
Detalles
Cuando Mdrop-CIW es instalado, se crean los ficheros:
%System%/ PRLS.DLL
%System%/ WORK.DAT
Los troyanos, por definición no disponen de una rutina propia de propagación. Suelen llegar a
la máquina infectada por correo, descargados a través de redes P2P, descargados
inadvertidamente mientras el usuario visita paginas maliciosas, etc.
Solución
Si utiliza Windows Me, XP o Vista, y sabe cuándo se produjo la infección, puede usar la
característica de ‘Restauración del Sistema’ para eliminar el virus volviendo a un punto de
restauración anterior a la infección.
Elimine los ficheros:
%System%/ PRLS.DLL
%System%/ WORK.DAT
Elimine las entradas del registro:
Clave:HKLM/ SOFTWARE/ Policies/ Microsoft/ Internet Explorer
Valor:Main=DEPOff
Restaure las siguientes entradas del registro al valor que tuviesen anteriormente, a
continuación se indican sus valores por defecto:
Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del
navegador, vacíe también la Papelera de reciclaje.
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la
eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree
7. un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o
problemas en el futuro.
“Zbot.KJ”
Troyano para la plataforma Windows que tiene la capacidad de ejecutarse cuando se inicia el
sistema.
Detalles
Cuando se ejecuta el troyano, crea los archivos:
%System%/ lowsec/ local.ds
%System%/ lowsec/ user.ds
%System%/ sdra64.exe
El troyano incluye una funcionalidad para autoejecutarse cuando se inicia el sistema.
Carece de rutina propia de propagación. Suele llegar al sistema descargado por otro código
malicioso, o descargado sin el conocimiento del usuario al visitar alguna página Web
infectada.
Solución
Si utiliza Windows Me, XP o Vista, y sabe cuándo se produjo la infección, puede usar la
característica de ‘Restauración del Sistema’ para eliminar el virus volviendo a un punto de
restauración anterior a la infección.
Elimine los ficheros:
%System%/ lowsec/ local.ds
%System%/ lowsec/ user.ds
%System%/ sdra64.exe
Elimine las entradas del registro:
Clave: HKLM/ SOFTWARE/ Microsoft/ Windows NT/ CurrentVersion/ WinlogonUserinit
Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del
navegador, vacíe también la Papelera de reciclaje.
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la
eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree
un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o
problemas en el futuro.
“Vobfus.GE”
Gusano para la plataforma Windows.Se propaga utilizando unidades extraíbles conectadas al
sistema.
Detalles
Cuando Vobfus.GE se ejecuta por primera vez, crea los ficheros:
%Windows%/ msa.exe
%System%/ sshnas.dll
8. %System%/ rgfqshz.dll
%System%/ ijendlp.dll
%System%/ lkpftkae.dat
%System%/ lnnftria.dat
%System%/ sonaajqt.dll
%System%/ lmcezcgn.dll
%Userprofile%/ kanef.exe
%Escritorio%/ yjAymL.exe
%Escritorio%/ PjCfog.bat
También crea los trabajos en el programador de tareas:
%Windows%/ Tasks/ At1.job
%Windows%/ Tasks/ {Dígito aleatorio}1.job
%Windows%/ Tasks/ {Dígito aleatorio}2.job
Con estos jobs los siguientes son ejecutados todos los días:
%Temp%/ c.exe
%Windows%/ msa.exe
%System%/ sshnas.dll
Solución
Si utiliza Windows Me, XP o Vista, y sabe cuándo se produjo la infección, puede usar la
característica de ‘Restauración del Sistema’ para eliminar el virus volviendo a un punto de
restauración anterior a la infección.
Elimine los ficheros:
%Windows%/ msa.exe
%System%/ sshnas.dll
%System%/ rgfqshz.dll
%System%/ ijendlp.dll
%System%/ lkpftkae.dat
%System%/ lnnftria.dat
%System%/ sonaajqt.dll
%System%/ lmcezcgn.dll
%Userprofile%/ kanef.exe
%Escritorio%/ yjAymL.exe
%Escritorio%/ PjCfog.bat
%Windows%/ Tasks/ At1.job
%Windows%/ Tasks/ {Dígito aleatorio}1.job
%Windows%/ Tasks/ {Dígito aleatorio}2.job
%Temp%/ c.exe
%Windows%/ msa.exe
%System%/ sshnas.dll
%Temp%/ a.exe
%Temp%/ b.exe
%Temp%/ c.exe
Elimine las entradas del registro:
Clave:HKCR/ Software/ Microsoft/ Windows/ CurrentVersion/ Run
9. Valor:Videohost = "%Temp%/ c.exe"
Valor:Minisoft = "%Windows%/ msb.exe"
Valor:kanef = "%Userprofile%/ kanef.exe"
Clave:HKLM/ System/ CurrentControlSet/ Services/ SSHNAS/ Parameters
Valor:ServiceDll = "%System%/ sshnas.dll"
Clave:HKCR/ CLSID/ {D6679FC8-E686-4611-B8CC-B5F85DB579D7/ InprocServer32
default = "%System%/ rgfqshz.dll"
Clave:HKLM/ Software/ Classes/ CLSID/ {D6679FC8-E686-4611-B8CC- B5F85DB579D7}/
InprocServer32
Valorefault = "%System%/ rgfqshz.dll"
Clave:HKLM/ Software/ Classes/ CLSID/ {016C6600-C309-494C-8A32-271BC1F9B639}/
InprocServer32
Valorefault = "%System%/ sonaajqt.dll"
Clave:HKCR/ CLSID/ {016C6600-C309-494C-8A32-271BC1F9B639}/ InprocServer32
Valor efault = "%System%/ sonaajqt.dll"
Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del
navegador, vacíe también la Papelera de reciclaje.
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la
eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree
un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o
problemas en el futuro.
“Gampass.Y”
Troyano para plataforma Windows que modifica el registro del sistema para cargarse al iniciar
el sistema.
Detalles
Crea los ficheros siguientes:
%System%/ miditool.dll
%System%/ rarinfo.dat
Este troyano incluye funcionalidades para:
Crear ficheros de comandos en %Windows%
Crear fichero en %System%
Se propaga mediante la participación de un usuario malicioso o descargado por otro software
malicioso.
Solución
Si utiliza Windows Me, XP o Vista, y sabe cuándo se produjo la infección, puede usar la
10. característica de ‘Restauración del Sistema’ para eliminar el virus volviendo a un punto de
restauración anterior a la infección.
Elimine los ficheros:
%System%/ miditool.dll
%System%/ rarinfo.dat
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la
eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree
un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o
problemas en el futuro.
VIRUS EN LINUX
Scripts: sh, Perl
Los lenguajes interpretados han sido una constante en todo sistema UNIX. Actualmente los
más utilizados son los scripts de shell y Perl. Programar un virus en estos lenguajes es un juego
de niños, aquí tenemos un ejemplo de un virus de shell sencillo:
#!/bin/sh
for FICHERO in *
do
tail -4 $0 >> $FICHERO
done
¿Qué hace?
Va copiando sus 4 últimas líneas (tail -4 $0) al final de cada fichero en este directorio (">>" es
append, o añadir al final). Como podemos ver, es un virus bastante tonto, infecta tanto
ejecutables como ficheros de datos, y puede dejarlos inutilizados, pero con unas pocas
decenas de líneas más, podría hacerse algo más presentable.
La sencillez de estos virus es su ventaja para sus programadores, pero también su debilidad:
son tremendamente fáciles de detectar a simple vista, engordan el tamaño del fichero
infectado considerablemente y realentizan su ejecución más allá de lo inperceptible por un
usuario normal.
¿Linux es seguro?
Sí, Linux es bastante seguro. De hecho un virus deberá utilizar algun despiste de configuración
en el sistema para poder colarse hasta tener acceso a todas sus partes.
Está claro que actualmente usar Linux es el mejor antivirus que existe. No he visto a nadie que
haya sufrido un virus en Linux y eso que conozco a mucha gente que usa Linux masivamente.
Es posible que con el tiempo esta situación vaya cambiando y Linux sea otro escenario donde
se libren las batallas entre programadores de virus y de antivirus. Por el momento, salvo
experimentos de laboratorio, estamos a salvo.