2. PRINCIPALES AMENAZAS EN LOS 90
• Virus: Programa informático con capacidad de replicación cuya finalidad es
difundirse al mayor número de usuarios a través de diferentes vías y provocar
daños de distinta índole en archivos y sistemas.
• Gusano: Posee las mismas características que los virus salvo que no necesitan
infectar otros archivos para reproducirse. Se limitan a guardar en el sistema
copias de sí mismos pudiendo llegar a colapsar por saturación los sistemas en los
que se infiltran.
2
3. NUEVO VIRUS
• Detectado mediante:
• Heurística
• Chequeos de Integridad
• Daño concreto
• Antivirus:
• En el mismo día
• Máximo 3-4 días
• Reducir Daños
• Reconstruir Boot
• Desinfectar Archivos
3
V006-1-04
4. DAÑOS
• Pérdida Horas de Trabajo
• Departamento Sistemas
• Usuario/s Implicado/s
• Borrar Información (Backups)
• Anonimato Infección
• Aislar máquinas
4
V007-1-04
5. ANTIVIRUS
• Tecnología Reactiva basada en Firmas
• Actualización Mensual/Trimestral
• Solución a Nuevos Virus 48/72 horas
• Heurística
• Reparación Genérica de Boot
• Chequeos de Integridad
5
6. BLASTER
• Tipo: Gusano de Internet / Caballo de Troya
• Descubierto: Agosto 2003
• Difusión: No emplea el correo electrónico
• Explota la vulnerabilidad DCOM/RPC, se produce un
desbordamiento de búfer. Boletín de Seguridad MS03-026 de Microsoft
• Parche existente desde 16/07/2003.
• La máquina comprometida descarga una copia del gusano vía TFTP
que se guarda como MSBLAST.EXE o PENIS32.EXE.
• El 16/08/2003 lanza ataque DoS contra “WINDOWSUPDATE.COM”,
envía a través del puerto TCP 80 un paquete cada 20 milisegundos.
• Síntomas: Importante incremento del tráfico en puertos TCP
135/4444 y UDP 69. Constante reinicio del PC.
6
7. SOBIG.F
• Tipo: Gusano de Internet
• Descubierto: 19 Agosto 2003
• Difusión: Correo electrónico y unidades de red compartidas
• Falsea la dirección del remitente (from) Spoofing.
• Se autocopia en el Sistema como WINPPR32.EXE.
• Utiliza su propio motor SMTP para enviar e-mails a las direcciones
de correo almacenadas en el equipo atacado.
• Envía paquetes UDP al puerto 8998 de servidores remotos que sirve
para descargar otros componentes del gusano (backdoor).
• Abre los puertos 995 al 999 para recibir órdenes.
• Síntomas: e-mail en inglés con Asunto y Adjunto reconocibles.
7
8. MYDOOM
• Tipo: Gusano de Internet y Caballo de Troya
• Descubierto: Enero 2004
• Difusión: Ejecución archivo adjunto a e-mail
• Se propaga rápidamente por e-mail y la red de intercambio KaZaa.
• Falsea la dirección del remitente (from) Spoofing.
• Localiza direcciones de correo almacenadas en el equipo atacado a las cuales reenviarse y
usuarios Kazaa.
• Abre una puerta trasera por los puertos TCP/3127 al 3198 por los que descarga un
ejecutable.
• Actúa como servidor Proxy TCP que permite controlar remotamente los recursos de red.
• Lanza ataques de denegación de servicio (DoS) a la web www.sco.com, desde el 1 al 12 de
febrero de 2004, enviando peticiones cada 1024 milisegundos.
• Síntomas: Cuando se ejecuta abre el Notepad y muestra texto basura.
8
9. BAGLE
• Tipo: Gusano de Internet
• Descubierto: Enero/Abril 2004 (múltiples variantes)
• Difusión: Ejecución archivo adjunto a e-mail
• Falsea la dirección del remitente (from) Spoofing.
• Intenta acceder a varias direcciones de Internet para auto-
actualizarse e intenta descargar otro troyano: Troj/Mitglieder.
• Características de troyano, abre los puertos 6777 / 4751 / 8866
permite al atacante ejecutar remotamente código arbitrario.
• Síntomas: Abre la calculadora de Windows/ grabadora de sonido /
juego de corazones.
9
10. NETSKY
• Tipo: Gusano de Internet
• Descubierto: Febrero/Abril 2004 (múltiples variantes)
• Difusión: Correo electrónico
• Localiza direcciones de correo almacenadas en el equipo atacado a las cuales
reenviarse.
• Más de 30 variantes conocidas.
• Aprovecha vulnerabilidad de Internet Explorer que permite la ejecución
automática de archivos de correo electrónico.
• Se activa con sólo visualizar el mensaje.
• Borra entradas de otros gusanos como Mydoom y Bagle.
10
11. SASSER
• Tipo: Gusano de Internet
• Descubierto: Mayo 2004
• Difusión: No emplea el correo electrónico
• Primer gusano que explota la vulnerabilidad LSASS (Local Security
Authority Subsystem). Boletín de Seguridad MS04-011 de Microsoft
• Afecta básicamente a Windows XP/2000.
• El gusano explora pseudos IPs aleatorias en el puerto 445 enviando el
exploit que puede permitir el control remoto de su PC por el puerto
9996
• Abre un servidor de FTP en un PC remoto que escucha en el puerto
5554, envía y se ejecuta en la máquina remota.
• Síntomas: Provoca el reinicio del sistema en Windows XP/2000. Aparece
pantalla “Apagar Sistema”.
11
12. NUEVOS TIPOS DE AMENAZAS
• Virus de Macro:
• Infectan archivos de datos. MS Office-Word, Excel, PowerPoint y Access.
• Fáciles de crear.
• Gusanos de e-mail:
• Infectan cuando los usuarios abren los correos y los archivos adjuntos.
• Utilizan técnicas de Ingeniería Social.
• Super Gusanos (Gusanos de 3ª Generación):
• Muy sofisticados, atacan vulnerabilidades sin participación del usuario,
identifican nuevas víctimas automáticamente,
• Incorporan troyanos.
• Utilizan múltiples vectores de ataque.
12
V104-1-04
13. VELOCIDAD DE PROPAGACIÓN
• Code Red 12 horas
• Klez 2-5 horas
• Slamer 10 minutos
Fuente: ICSA Labs
• Blaster 27 segundos
(Prueba F-Secure Corporation en PC desprotegido)
13
14. VIRUS DE AYER – VIRUS DE HOY:
EVOLUCIÓN DE LOS VIRUS SEGÚN LAS TECNOLOGÍAS
Tipo Código
Malicioso
Época
Medio
Difusión
Tiempo
Producción
Epidemia
Tiempo
Epidemia
Mundial
Virus
Boot/Archivo
1990/1995 Disquetes Semanas Meses
Macro Virus 1995/2000 Internet/CDs Días 1-2 Meses
Gusanos de
e-mail
1999
Correo
Electrónico
Horas Días
Super
Gusanos
2001 TCP/IP Minutos 1-2 Horas
14
15. VIRUS DE HOY
• Busca envíos masivos
• Motores propios de difusión
• Aprovechan vulnerabilidades del S.O., firewalls, programas de correo,
navegadores, etc...
• Amenazan la privacidad
• “Secuestran” equipos
• Organizan redes clandestinas de miles y miles de equipos
comprometidos
• Lanzan ataques de Denegación de Servicio (DoS)
• Velocidad propagación infinitamente superior
• Utilizan técnicas de spoofing
• Introducen backdoors (puertas traseras)
• Anonimato Impunidad
• Warspamming
15