1. VIRUS Y MALWARE
Definición
Un virus es un pequeño programa capaz instalarse en la computadora de un usuario
sin su conocimiento o permiso. Se dice que es un programa parásito porque ataca a
los archivos o sectores de "booteo" y se replica para continuar su
esparcimiento. Algunos se limitan solamente a replicarse, mientras que otros pueden
producir serios daños a los sistemas. Nunca se puede asumir que un virus es
inofensivo y dejarlo "flotando" en el sistema. Ellos tienen diferentes finalidades.
Algunos sólo 'infectan', otros alteran datos, otros los eliminan, algunos sólo
muestran mensajes. Pero el fin último de todos ellos es el mismo: propagarse.
Clasificación General de los Virus Informáticos
Virus de macros/código fuente. Se adjuntan a los programas fuente de los
usuarios y a las macros utilizadas por: procesadores de palabras (Word,
Works, WordPerfect), hojas de cálculo (Excell, Quattro, Lotus), etcétera.
Virus mutantes. Son los que, al infectar, realizan modificaciones a su código,
para evitar su de detección o eliminación (NATAS o SATÁN, Miguel Angel,
por mencionar algunos).
Gusanos. Son programas que se reproducen y no requieren de un anfitrión,
porque se "arrastran" por todo el sistema sin necesidad de un programa que
los transporte.
Los gusanos se cargan en la memoria y se ubican en una determinada
dirección, luego se copian a otro lugar y se borran del que ocupaban y así
sucesivamente. Borran los programas o la información que encuentran a su
paso por la memoria, causan problemas de operación o pérdida de datos.
Caballos de Troya. Son aquellos que se introducen al sistema bajo una
apariencia totalmente diferente a la de su objetivo final; esto es, que se
presentan como información perdida o "basura", sin ningún sentido. Pero al
cabo de algún tiempo, y de acuerdo con una indicación programada,
"despiertan" y comienzan a ejecutarse y a mostrar sus verdaderas intenciones.
Bombas de tiempo. Son los programas ocultos en la memoria del sistema, en
los discos o en los archivos de programas ejecutables con tipo COM o EXE,
que esperan una fecha o una hora determinada para "explotar". Algunos de
estos virus no son destructivos y solo exhiben mensajes en las pantallas al
momento de la "explosión". Llegado el momento, se activan cuando se ejecuta
el programa que los contiene.
Autorreplicables. Son los virus que realizan las funciones mas parecidas a los
virus biológicos, se auto reproducen e infectan los programas ejecutables que
se encuentran en el disco. Se activan en una fecha u hora programada o cada
2. determinado tiempo, a partir de su última ejecución, o simplemente al
"sentir" que se les trata de detectar. Un ejemplo de estos es el virus llamado
Viernes 13, que se ejecuta en esa fecha y se borra (junto con los programas
infectados), para evitar que lo detecten.
Infector del área de carga inicial. Infectan los disquetes o el disco duro, se
alojan inmediatamente en el área de carga. Toman el control cuando se
enciende la computadora y lo conservan todo el tiempo.
Infectores del sistema. Se introducen en los programas del sistema, por
ejemplo COMMAND.COM y otros que se alojan como residentes en
memoria. Los comandos del sistema operativo, como COPY, DIR o DEL, son
programas que se introducen en la memoria al cargar el sistema operativo y
es así como el virus adquiere el control para infectar todo disco que se
introduzca a la unidad con la finalidad de copiarlo o simplemente para revisar
sus carpetas.
Infectores de programas ejecutables. Estos son los virus más peligrosos,
porque se diseminan fácilmente hacia cualquier programa como hojas de
cálculo, juegos, procesadores de palabras. La infección se realiza al ejecutar el
programa que contiene al virus, que, en ese momento, se sitúa en la memoria
de la computadora y, a partir de entonces, infectará todos los programas cuyo
tipo sea EXE o COM, en el instante de ejecutarlos, para invadirlos mediante
su autocopia.
Ejemplos de virus informáticos
1. El gusano: ILOVEYOU (VBS/Loveletter o Love Bug worm)
Es un virus de tipo gusano, escrito en Visual Basic Script que se propaga a través de
correo electrónico y de IRC (Internet Relay Chat). Miles de usuarios de todo el
mundo, entre los que se incluyen grandes multinacionales e instituciones públicasse han visto infectados por este gusano. Su apariencia en forma de correo es un
mensaje con el tema: “ILOVEYOU” y el fichero adjunto LOVE-LETTER-FORYOU.TXT.vbs aunque la extensión “vbs” (Visual Basic Script) puede quedar oculta en
las configuraciones por defecto de Windows, por lo cual la apariencia del anexo es la
de un simple fichero de texto.
2. Mydoom
3. Nueva variante de MIMAIL que se propaga masivamente a través del correo
electrónico y la red P2P KaZaa desde las últimas horas del 26 de Enero de 2004.
Este virus utiliza asuntos, textos y nombres de adjuntos variables en los correos en
los que se envía, por lo que no es posible identificarlo o filtrarlo fácilmente, y utiliza
como icono el de un fichero de texto plano para aparentar inocuidad.
Tiene capacidades de puerta trasera que podrían permitir a un usario remoto
controlar el ordenador infectado, dependiendo de la configuración de la red y del
sistema.
3. El gusano
Se trata de un virus con una capacidad de propagación muy elevada. Esto lo consigue
porque hace uso de una vulnerabilidad de los sistemas Windows NT, 2000 XP y 2003
(que son los únicos afectados) conocida como ”Desbordamiento de búfer en RPC
DCOM “.
Se trata de una vulnerabilidad para la que hay parche desde Junio de 2003, todos los
usuarios que no hayan actualizado su sistema desde esa fecha deberían hacerlo
inmediatamente. Por otra parte se propaga usando el puerto TCP 135, que no debería
estar accesible en sistemas conectados a Internet con un cortafuegos correctamente
configurado.
Los efectos destructivos consisten en lanzar ataques de denegación de servicio con el
web de Microsoft “windows update” y quizás provocar inestabilidad en el sistema
infectado.
4. El gusano: Melissa
El virus es conocido como W97M_Melissa o Macro.Word97.Melissa. Nos puede
llegar en un archivo adjunto a un mensaje electrónico, enviado por alguien conocido
(como el Happy99). Dicho mensaje, incluye en asunto (en inglés): “Important
message from…” (Mensaje importante de…) y en el cuerpo del mensaje: “Here is that
document you asked for … don’t show anyone else ;-)“, donde se indica que dicho
documento fue solicitado por usted (y que no se lo muestre a nadie más).
Este virus infecta a MS Word y éste a todos los archivos que se abren, cambia ciertas
configuraciones para facilitar la infección, se auto-envía por correo, como un
mensaje proveniente del usuario a las primera 50 buzones de la libreta de
direcciones de su correo.
5. . El gusano: Nimda
4. Gusano troyano que emplea tres métodos de propagación diferentes: a través del
correo electrónico, carpetas de red compartidas o servidores que tengan instalado IIS
(empleando el “exploit” Web Directory Traversal). Descarga en el directorio
C:WindowsTemp un fichero (meXXXX.tmp.exe, un correo en el formato EML) que
contiene el fichero que será enviado adjunto por el gusano.
Malware
Malware es el acrónimo, en inglés, de las palabras "malicious" y "software", es decir
software malicioso. Dentro de este grupo se encuentran los virus clásicos (los que ya
se conocen desde hace años) y otras nuevas amenazas, que surgieron y
evolucionaron, desde el nacimiento de las amenazas informáticas. Como malware, se
encuentran diferentes tipos de amenazas, cada una con características particulares.
Incluso existe malware que combina diferentes características de cada amenaza. Se
puede considerar como malware todo programa con algún fin dañino.
Clasificación del Malware:
Adware (contracción de ADvertisement - anuncio - y software) es un programa
malicioso, que se instala en la computadora sin que el usuario lo note, cuya función
es descargar y/o mostrar anuncios publicitarios en la pantalla
de la víctima.
Cuando un adware infecta un sistema, el usuario comienza a
ver anuncios publicitarios de forma inesperada en pantalla. Por
lo general, estos se ven como ventanas emergentes del
navegador del sistema operativo (pop-ups). Los anuncios pueden aparecer incluso, si
el usuario no está navegando por Internet.
El adware no produce una modificación explícita que dañe el sistema operativo, sino
que sus consecuencias afectan al usuario. En primer término, porque es una molestia
para la víctima que el sistema abra automáticamente ventanas sin ningún tipo de
5. orden explícita. Por otro lado, el adware disminuye el rendimiento del equipo e
Internet, ya que utiliza, y por ende consume, procesador, memoria y ancho de
banda.
Botnets
Un malware del tipo bot es aquel que está diseñado para armar botnets. Constituyen
una de las principales amenazas en la actualidad. Este tipo,
apareció de forma masiva a partir del año 2004, aumentando año
a año sus tasas de aparición.
Una botnet es una red de equipos infectados por códigos
maliciosos, que son controlados por un atacante, disponiendo de sus recursos para
que trabajen de forma conjunta y distribuida. Cuando una computadora ha sido
afectado por un malware de este tipo, se dice que es un equipo es un robot o zombi.
Cuando un sistema se infecta con un malware de este tipo, en primer término se
realiza una comunicación al Centro de Comando y Control (C&C) de la red botnet, el
lugar dónde el administrador de la red puede controlar los equipos zombis. Con este
paso consumado, el atacante ya posee administración del sistema infectado desde su
C&C (uno o más servidores dedicados a tal fin). Desde allí, el atacante podrá enviar
órdenes a los equipos zombis haciendo uso de los recursos de estos.
Rogue
Rogue es un software que, simulando ser una aplicación anti-malware (o de
seguridad), realiza justamente los efectos contrarios a estas:
instalar malware. Por lo general, son ataques que muestran en la
pantalla del usuario advertencias llamativas respecto a la
existencia de infecciones en el equipo del usuario. La persona, es
invitada a descargar una solución o, en algunos casos, a pagar
por ella. Los objetivos, según el caso, varían desde instalar
malware adicional en el equipo para obtener información confidencial o,
directamente, la obtención de dinero a través del ataque.
En cualquiera de los casos, es un ataque complementado por una alta utilización de
Ingeniería Social, utilizando mensajes fuertes y exagerando las consecuencias de la
6. supuesta amenaza. Vocabulario informal, palabras escritas en mayúscula,
descripción detallada de las consecuencias, e invitaciones a adquirir un producto,
son algunas de las principales características de esta amenaza.
Troyanos
El nombre de esta amenaza proviene de la leyenda del caballo de Troya, ya que el
objetivo es el de engañar al usuario. Son archivos que simulan ser
normales e indefensos, como pueden ser juegos o programas, de
forma tal de "tentar" al usuario a ejecutar el archivo. De esta forma,
logran instalarse en los sistemas. Una vez ejecutados, parecen
realizar tareas inofensivas pero paralelamente realizan otras tareas
ocultas en el ordenador.
Al igual que los gusanos, no siempre son malignos o dañinos. Sin embargo, a
diferencia de los gusanos y los virus, estos no pueden replicarse por sí mismos.
Los troyanos pueden ser utilizados para muchos propósitos, entre los que se
encuentran, por ejemplo:
Acceso remoto (o Puertas Traseras): permiten que el atacante pueda conectarse
remotamente al equipo infectado.
Registro de tipeo y robo de contraseñas.
Robo de información del sistema.
Spam
Se denomina spam al correo electrónico no solicitado enviado masivamente por
parte de un tercero. En español, también es identificado como
correo no deseado o correo basura.
Es utilizado, por lo general, para envío de publicidad, aunque
7. también se lo emplea para la propagación de códigos maliciosos. Además de los
riesgos que representa el spam para el envío de contenidos dañinos, y de la molestia
que causa al usuario recibir publicidad no deseada; también existen efectos
colaterales de su existencia, como la pérdida de productividad que genera en el
personal la lectura de correo, y el consumo de recursos (ancho de banda,
procesamiento, etc.) que generan este tipo de correos.
Spyware
Los spyware o (programas espías) son aplicaciones que recopilan información del
usuario, sin el consentimiento de este. El uso más común de estos
aplicativos es la obtención de información respecto a los accesos
del usuario a Internet y el posterior envío de la información
recabada a entes externos.
Al igual que el adware, no es una amenaza que dañe al ordenador, sino que afecta el
rendimiento de este y, en este caso, atenta contra la privacidad de los usuarios. Sin
embargo, en algunos casos se producen pequeñas alteraciones en la configuración
del sistema, especialmente en las configuraciones de Internet o en la página de
inicio.
Puede instalarse combinado con otras amenazas (gusanos, troyanos) o
automáticamente. Esto ocurre mientras el usuario navega por ciertas páginas web
que aprovechan vulnerabilidades del navegador o del sistema operativo, que
permiten al spyware instalarse en el sistema sin el consentimiento del usuario.
Rootkit
Rootkit es una o más herramientas diseñadas para mantener en forma encubierta el
control de una computadora. Estas pueden ser programas, archivos, procesos,
puertos y cualquier componente lógico que permita al atacante
mantener el acceso y el control del sistema.
El rootkit no es un software maligno en sí mismo, sino que
permite ocultar las acciones malignas que se desarrollen en el ordenador, tanto a
8. través de un atacante como así también ocultando otros códigos maliciosos que
estén trabajando en el sistema, como gusanos o troyanos. Otras amenazas
incorporan y se fusionan con técnicas de rootkit para disminuir la probabilidad de
ser detectados.
Los rootkits por lo general, se encargan de ocultar los procesos del sistema que sean
malignos. También intentan deshabilitar cualquier tipo de software de seguridad.
Las actividades ocultadas no son siempre explícitamente maliciosas. Muchos rootkits
ocultan inicios de sesión, información de procesos o registros.