Este documento describe cómo identificar malware en una computadora, incluyendo mal desempeño, memoria baja, problemas de conexión a Internet, archivos corruptos y cambios inesperados. Explica varios tipos de malware como gusanos, spyware, rootkits y puertas traseras que permiten acceso no autorizado a un sistema.
1. COMO PROTEGER LA COMPUTADORA CLIENTE:
“COMO IDENTIFICAR UN MALWARE”
ADELAIDA FRANCO BAUTISTA
ING. INFORMATICA
UNIDAD 1:
SEMESTRE: 5°
DOCENTE: LIZBET HERNANDEZ OLAN
2. • Mal desempeño del sistema
• Niveles inusualmente bajos de memorias disponibles.
• Mal desempeño mientras se esta conectando a internet.
• Índices disminuidos de respuestas.
• Tiempo mas largo de encendido.
• Ocasiones en la que su buscador se cierra inesperadamente o deja de responder.
• Cambios en la pagina predeterminada o paginas predeterminada de busca de su
explorador.
• Ventanas emergentes de anuncios inesperados.
• Adición de barras de herramientas inesperadas en su explorador.
• Ocasiones en las que programas inesperados se inician automáticamente.
• Inestabilidad para iniciar un programa
3. •Anomalías en los componentes de Windows u otros programas.
•Programas o archivos faltantes.
•Mensaje o proyecciones inusuales en su monitor.
•Sonidos o músicas inusuales reproducidos en momentos aleatorios
•Creación y/o instalación de programas o archivos desconocidos.
•Aparición de complementos desconocidos en el explorador.
•Archivos corruptos. (virus o gusano)
•Cambios inesperados en los tamaños de los archivos. (gusano)
11. Un rootkit permite un acceso de privilegio continuo a una computadora
pero que mantiene su presencia activamente oculta al control de los
administradores al corromper el funcionamiento normal del sistema
operativo o de otras aplicaciones.
FUNCIONAMIENTO DE ROOTKIT
12. un atacante instala un rootkit en una computadora después de
primero haber obtenido un acceso al nivel raíz, ya sea por haberse
aprovechado de una vulnerabilidad conocida o por haber obtenido
una contraseña.
ACCESO DE ROOTKIT
13. DETECCION DE ROOTKIT
La detección del rootkit es dificultosa pues es capaz de corromper al programa que
debería detectarlo. La eliminación del rootkit puede ser complicada o prácticamente
imposible, especialmente en los casos en que el rootkit reside en el núcleo; siendo a veces la
reinstalación del sistema operativo el único método posible que hay para solucionar el problema.
15. .
.
.
Es un programa
que le da a
alguien control
remoto no
autorizado de un
sistema o inicia
una tarea no
autorizada
Algunas puertas
traseras son
instaladas por
virus u otro tipo
de malware
Otras puertas traseras son
creadas por programas en
aplicaciones comerciales o
con una aplicación
personalizada hecha por
una organización
16. Caracteristicas del black door
Son invisibles por el usuario
Se ejecutan en modo silencioso al iniciar el sistema
Pueden tener acceso total a las funciones del host-victima
Difícil de eliminarlos del sistema ya que se instalan en carpetas de sistema, registros o
cualquier dirección
Usan un programa blinde para configurar y disfrazar al servidor para que la victima no lo
detecte fácilmente.
17. Existen 2 tipos de backdoor:
Conexión directa: cuando el cliente (atacante) se conecta al servidor(victima)que esta
previamente instalado.
Backdoor creador año
Netcat hobbit 1996
Netbus Carl-fredrik Neikter 1997
Back orifice Sir Dystic 1998
Sub7 Mob Man 1999
18. Conexión inversa: el servidor (victima) sonde se encuentra previamente instalado, se conecta al
cliente (atacante)
Backdoor creador año
Bitfrost KSV 2004
Backdoor Princeali 2005
Poison lvy Shapeless 2007
Sub7 MobMan 2009
20. Pharming es una modalidad de fraude cibernético que consiste
en el re direccionamiento mal intencionado de un sitio web de
confianza a un sitio web malicioso.
Este tipo de Fraudes afecta principalmente a instituciones
bancarias, debido a que este tipo de fraudes esta diseñado
para robo de datos.
21. El pharming es una modalidad de ataque utilizada por los atacantes, que consiste en suplantar al
Sistema de Resolución de Nombres de Dominio (DNS, Domain Name System) con el propósito de
conducirte a una página Web falsa. El atacante logra hacer esto al alterar el proceso de traducción
entre la URL de una página y su dirección IP.
22. Comúnmente el atacante realiza el re direccionamiento a las páginas web
falsas a través de código malicioso. De esta forma, cuando se introduce un
determinado nombre de dominio que haya sido cambiado, por ejemplo
http://www.seguridad.unam.mx, en tu explorador de Internet, accederá a
la página Web que el atacante haya especificado para ese nombre de
dominio. .). La entrada del código malicioso en tu sistema puede
producirse a través de distintos métodos, siendo la más común a través
de un correo electrónico, aunque puede realizarse también a través de
descargas por Internet o a través de unidades de almacenamiento
removibles como una memoria USB.
23. Anti-Pharming es el término usado para referirse a las técnicas utilizadas para combatir el pharming.
Algunos de los métodos tradicionales para combatir el pharming son la utilización de software
especializado, la protección DNS y el uso de addons para los exploradores web, como por
ejemplo toolbars.
El software especializado suele utilizarse en los servidores de grandes compañías para proteger a sus
usuarios y empleados de posibles ataques de pharming y phishing, mientras que el uso de addons en
los exploradores web permite a los usuarios domésticos protegerse de esta técnica.
La protección DNS permite evitar que los propios servidores DNS sean vulnerados para realizar
ataques pharming. Los filtros anti-spam normalmente no protegen a los usuarios contra esta técnica.