El documento describe los virus informáticos, su historia, tipos, técnicas, vulnerabilidades explotadas y modos de propagación. Explica que los virus son código que se inserta en sistemas para replicarse y propagarse, pudiendo dañar datos o degradar el rendimiento. Relata brevemente hitos en la historia de los virus e incluye términos como gusanos, troyanos y hoaxes.

1. Virus Inform á tico CCHS A. DÍAZ

2. ¿Qué es un Virus? Los virus son piezas de código que se insertan por sí mismos en una estación, incluyendo sistemas operativos, para propagarse. No pueden ejecutarse independientemente. Requieren que el programa que lo alberga se ejecute para activarse. RFC 1135. Pueden dañar los datos directamente o pueden degradar la performance del sistema al utilizar sus recursos, los cuales ya no estarán disponibles a los usuarios Diferentes tipos de efectos nocivos sobre el sistema afectado: eliminación, alteración de información, etc. Se propagan a través de archivos infectados de una estación a otra por acción del usuario.

3. Historia

4. Érase una vez el virus I 1939-1943 John L. Von Neumann, Teoría y organización de autómatas complejos. 1949, Robert Thomas Morris, Douglas McIlory y Victor Vysottsky, CoreWar. 1972 Virus Creeper Robert T. Morris padre, IBM360. Antivirus Reeper. 1983 Keneth Thompson, creó UNIX y presentó y demostró como crear un virus. 1984 Fred Cohen, expuso las pautas para crear un virus. Primer autor oficial de virus. 1986 Aparición de virus de sector de arranque. 1987: 12 virus por año.

5. Érase una vez el virus II 1988 Robert Tappan Morris, hijo de Robert Thomas Morris, liberó el gusano conocido como Morris Worm. 1989 Virus búlgaro DarkAvenger. Bulgaria como país productor de virus. 1993: más de 3500 virus 1995 Macrovirus, virus no ejecutables Word, Excel, Access, PowerPoint 1999: varias decenas de miles.

6. Érase una vez el virus III 1999 Virus adjuntos y gusanos: Melissa, CIH, etc. 2001 El año de los gusanos: Lion, Ranem, Code Red, Nimda, etc. 2002 Gusanos creadores de redes peer-to-peer: Apache_Open_SSL 2000: varias centenas de miles. 2005: 1000 virus diarios. 2005: 5000 virus diarios en diversos medios

7. Propiedades de los Virus Replicación Requiere de un programa o documento que lo albergue. Modificación del código del documento o programa Ocultos al usuario Ejecución involuntaria, gracias al usuario Ejecución involuntaria, gracias a funcionalidades/vulnerabilidades de la aplicación. Ejecución de acciones hostiles contra el sistema

8. Componentes del Virus Medio de Propagación Medio por el cual se propaga a otros sistemas: Correo electrónico Archivos ejecutables Archivos de Office Scripts, etc. Código hostil Parte destructiva del programa que contiene todas las instrucciones hostiles contra los sistemas a los que va dirigido. Contiene rutinas que especifican cuando debe activarse y bajo que circunstancias.

9. Tipos de Virus Sector de arranque Archivo Residentes, de acción directa, compañía sobre-escritura. Macro Multipartes Enlace o Directorio Scripts Polimórficos Bugware

10. Técnicas Ocultación Mecanismos de ocultamiento (Stealth) Autoencriptación Protección Antivirus Antidebuggers Camuflaje: Polimórficos Evasión: Tunneling Ayuda: Macros Residentes: TSR

11. Vulnerabilidades Explotadas por Los Virus Funcionalidades/bugs de las aplicaciones Ejecución de programas, scripts, código HTML, código Java/ActiveX, macros y archivos ejecutables de manera automática por parte de los navegadores y de los clientes de correo. Ejecución de archivos automáticamente por clientes de mensajería instantánea, chat, etc. Transporte y ejecución de archivos infectados entre usuarios o por medio de recursos compartidos en redes. El “Bug” más dañino: EL USUARIO Desactiva el antivirus, no lo actualiza, ejecuta archivos sin percatarse de su origen, su extensión, etc. No es cuidadoso respecto a los correos que recibe y lee.

12. Modo de Propagación Vienen escondidos en aplicaciones y/o programas que se descargan desde Internet de naturaleza dudosa. Como parte de aplicaciones pirateadas. Por medio de virus y/o gusanos. Instalados por un CRACKER en una red vulnerada. Por medio de applets de Java y ActiveX de Windows. Por usuarios disconformes con su organización.

13. Puertas de entrada (fuentes de contagio) Eslabón más débil de la cadena informática: el usuario 80´s y mediados de 90´s: Disquettes y CDs Fin de 90´s y posterior: Internet Mail Acceso a sitios inseguros, aún sin copiar archivos P2P - Peer to peer ( Kazaa ) Chat Ingeniería social

14. Extensiones de virus y gusanos .scr .exe .pif .bat .reg .dll .vbs .scr .lnk Archivos compactados (“zipeados”) como .zip .rar .arc pueden tener virus en su interior Cuidado: pueden tener dobles extensiones (la primera “inocente” y la segunda “culpable”): LOVE-LETTER-FOR-YOU.TXT .VBS Content-Type: application/x-msdownload; name="Glucemias con y sin LANTUS.xls .scr “

15. Siempre hay algo que perder

16. P é rdidas generadas por los virus I “ En EU, los virus son las principales fuentes de perdidas financieras con $42,787,767dlls, seguido por el acceso sin autorización a redes con $31,233,100dlls y el robo de información con $30,933,000dlls. ” “ El virus Melissa causo 80 millones de dlls en da ñ os a empresas, ya que fue el primer virus que se propago por e-mail.” “ El virus Love Bug afecto al 80% de las empresas de Australia, y aproximadamente la misma cantidad en EU. Inundo las redes empresariales con e-mails.”

17. P é rdidas generadas por los virus II “ El virus Bug bear envió 320,000 e-mails con información personal de computadoras infectadas a través de la red. Enviando información confidencial a personas no autorizadas.” “ El virus Blaster evit ó el uso de Windows Update. Negó a usuarios a ese servicio. Infectó a m á s de 500,000 computadoras..” “ Pérdidas por más de cinco mil millones de dólares en todo el mundo causaron los miles de ataques de "virus" informáticos en los últimos años.“

18. Los Bichos son cosa seria

19. Problemas generados Pérdidas financieras por pérdida de información Eliminación o alteración de archivos importantes Pérdidas financieras por anulación de servicios digitales Negación de servicios por consumo de ancho de banda, gusanos Pérdida de eficiencia en la empresa

20. Los clasicos Ingenieria social

21. Ingeniería social E mplea da por los crackers para engañar a los usuarios . N o se utiliza ningún software , sólo grandes dosis de ingenio, sutileza y persuasión para así lograr datos del usuario y/o dañar su sistema y propagarse rápidamente. Emplea como señuelos mensajes o ficheros con explícitas referencias eróticas . Alud e a personajes famosos Se si rve de "ganchos" vinculados generalmente a relaciones amorosas : LOVE-LETTER-FOR-YOU.TXT

22. Correo (Ingeniería Social) Fotos de: Anna Kournikova, Pamela Anderson Jennifer López, la esposa desnuda Cartas de Amor, Lista de gasolineras Postales Revisión de documentos importantes, Chistes,

23. Messager (Ingeniería Social) En este caso la ingenieria social tambien se ve reflejada en el corrego electronico instantaneo o messanger. Que hay de los archivos que se envian… Y los pluggins

24. Browser (Ingeniería Social) Una vez más ingenieria social tambien se ve reflejada en este medio. Cuidado con las paginas de bancos https También donde das click Por si fuera poco con lo que aceptas

25. P2P - Peer to peer Kaaza, Bear share, aMule, xMule, FOX Share La tecnica es proporcionar programas, aplicaciones, e inclusive sistemas operativos completos “GRATIS”. La mayoria de ellos poseen virus incrutados para obtener el control de tu equipo.

26. Celular (Ingeniería Social) Y que esperaban que con esto termionaba… La Policia Federal Cibernetica, en el 2006 descubrio tecnicas de ingenereia social

27. Los clasicos Falsa alrma

28. HOAX: Cuando el pánico se propaga Un Hoax es una falsa alarma acerca de la existencia y propagación de un virus o gusano. Tienen una buena intención, pero solo propagan falsas noticias. El usuario al propagar el Hoax se comporta como un virus/gusano y además alarma innecesariamente a la comunidad. Explotan la buena fe de los usuarios. Ejemplo: Sulfnbk.exe

29. Los Clasicos Troyanos

30. Troyanos Basado en el concepto del Caballo de Troya que los griegos utilizaron para destruir esa ciudad. Son programas que ejecutan una determinada tarea, pero además incluyen inesperadas (indeseables) funciones. Es similar a un virus, excepto que el troyano no se replica. Algunos virus instalan programas troyanos durante el proceso de infección.

31. Spam

32. Spam (“ Junk mail” ) Mensaje de correo electrónico no solicitado que publicita productos, servicios, sitios Web , etc. Tipos de Spam : comercial, políticos, religiosos, de hostigamiento, propuestas de ganancias económicas mediante cartas en cadena (“envía dinero a la primera persona de la lista, borra el nombre y pon el tuyo en su lugar, reenvía este mensaje a otras personas y te sorprenderás de la respuesta“), etc., etc. Remitente falso: simula ser enviado por una persona u organización. *

33. Spam (“ Junk mail” ) Mensaje de correo electrónico no solicitado que publicita productos, servicios, sitios Web , etc. Tipos de Spam : comercial, políticos, religiosos, de hostigamiento, propuestas de ganancias económicas mediante cartas en cadena (“envía dinero a la primera persona de la lista, borra el nombre y pon el tuyo en su lugar, reenvía este mensaje a otras personas y te sorprenderás de la respuesta“), etc., etc. Remitente falso: simula ser enviado por una persona u organización. *

34. Spam : lo que NO se debe hacer Enviar un mensaje solicitando la baja de la "supuesta" lista: al responder se “blanquea” nuestra dirección. Enviar quejas a direcciones que no estemos seguros de que son las que realmente han distribuido el mensaje. Tratar con violencia al spammer: aparte de “blanquear” nuestra dirección, lo alienta a continuar. Poner filtros en los programas de correo electrónico para borrar automáticamente el spam : se pierden mensajes que no son spam (falsos + y -) los spammers cambian periodicamente sus textos (Her bal V1agra" and ways to make "F*A*S*T C*A*S*H”) Distribuir el mensaje a otras personas o listas. *

35. Spam : lo que se debe hacer Investigar la dirección del emisor o del responsable de la máquina o del dominio que ha permitido la difusión de dicho mensaje. Disponer de dos mensajes tipo en castellano y en inglés, para utilizarlos en una denuncia o queja. ¿ C ómo localizar las direcciones a las que hay que enviar el mensaje de queja? : identificar los dominios implicados en la distribución de l mensaje recibido y localizar las direcciones de los responsables que por defecto suelen estar en: [email_address] abuse@dominio.xx ( donde xx corresponde a .es, .com, .net, etc.)

36. Hoax Los hoax (mistificación, broma o engaño), son mensajes con falsas advertencias de virus, alertas, cadenas (incluso solidarias), denuncias, etc., distribuidos por correo electrónico: Alerta, avise a todos sus conocidos! Urgenteeeeee!!! no lo borres, es muy importante !!! Salvemos a Brian, de un año de edad, que padece una enfermedad incurable (rara dolencia que le impide crecer, pues desde hace cinco años mantiene la misma edad) Microsoft acaba de enviarme este aviso! Soy Madam Yogurto´ngue, viuda del General.... Hay que borrarlos y no hay que reenviarlos ni responderlos.

37. Gusanos Worms

38. Acerca de Gusanos Un gusano es un programa que puede ejecutarse independientemente, consumirá los recursos de la estación que lo alberga para poder mantenerse y puede propagar una versión completa y operativa de sí mismo en otras estaciones. RFC 1135

39. Los inicios: El Gusano Morris El primer gusano conocido apareció el 02 de Noviembre de 1988, Robert Tappan Morris Jr. fue quien elaboró una teoría acerca de gusanos… y además la puso en práctica… El incidente fue llamado Morris Worm Incident o Internet Worm Afectó servidores Unix BSD 4.2 y 4.3, y SunOS. Tomó ventaja de vulnerabilidades en los servicios de Unix: sendmail, fingerd, rsh/exec y de claves débiles de los servidores afectados (usuario y clave iguales). Se propagó a todos los sistemas que pudo

40. Cronología 18:00 El gusano es activado 20:49 Infecta una VAX 8600 de la Universidad de Utah 21:09 Empieza a atacar a otros sistemas 21:21 La carga promedio de los sistemas alcanza nivel 5 cuando el nivel usual es 1 21:41 La carga promedio alcanza 7 22:01 La carga promedio alcanza 16 22:00 Los usuarios no pueden usar los sistemas dónde hay un gran número de infectados. 22:20 Los administradores “matan” el gusano. 22:41 Los sistemas son reinfectados y la carga se eleva a 27 22:49 El administrador reinicia el sistema 23:21 La re-infección eleva la carga promedio a 37

41. Efectos En 90 minutos, el gusano dejó miles de sistemas anulados. 6000 estaciones fueron afectadas. No hubo daños físicos, pero las pérdidas oscilaron entre $100,000 y $100’000,000 por pérdida de acceso a los sistemas. Conclusión: Los bichos son cosa seria.

42. Los Gusanos tienen Estilo Hacker Servidor 1 Servidor 2 Servidor 3

43. Los gusanos tienen estilo ¿Cómo trabaja un Gusano? Los gusanos son programas autómatas que se propagan a través de los sistemas que atacan. Explotan vulnerabilidades de: sistemas operativos, aplicaciones, correo electrónico, etc. El código hostil puede simplemente ser hostigante, o tan peligroso como capturar información del usuario para enviarla a una cuenta en Internet o anular un sistema totalmente, Keylogger Una vez afectado un sistema, tratan de infectar a otros y luego de ello atacar el sistema residente. Para detenerlos, es necesario algo más que un firewall.

44. Comportamiento típico de un gusano de aplicaciones Escanea servicios vulnerables: IIS Intenta entrar (Explota la vulnerabilidad). Infecta la máquina con código hostil. Ejecuta el código hostil: borrar, modificar archivos, robar información, colocar troyanos, etc Trata de infectar a otros sistemas Vuelve al paso 1.

45. Comportamiento típico de un gusano de correo Se envía un e-mail infectado con un archivo anexado a la lista de contactos del cliente de correo El contacto recibe el e-mail y abre el archivo anexado Ejecuta/infecta la máquina con código hostil Trata de propagarse a toda la lista de contactos de la máquina infectada. Ejecuta el código hostil: borrar, modificar, colocar troyanos, etc. Vuelve al paso 1.

46. Vulnerabilidades Explotadas Bugs de las aplicaciones: IIS: Unicode Traversal Bug Apache: Open_SSL Windows: NetBIOS, recursos compartidos Linux/Unix: Remote Shell, RPC, lprnd Funcionalidades de las aplicaciones: ejecución de código Java, ActiveX en navegadores Recursos compartidos (NetBIOS) El usuario

47. Slapper_Worm_Apache I Slapper Worm Apache. Gusano que explota vulnerabilidades en aplicación OPEN_SSL. Crea redes Peer-to-Peer con las estaciones infectadas que son controladas a través de un servicio instalado por medio de el. Estaciones controladas remotamente: DoS, ataques internos, sniffing, etc. Método de propagación similar a gusanos de aplicaciones…. pero

48. Slapper_Worm_Apache II El problema con este gusano es que las estaciones, a pesar de haber ser limpiadas, siguen recibiendo tráfico de comando del resto de las estaciones infectadas. Las estaciones infectadas mantienen grabadas las IPs de las otras estaciones en la red peer-to-peer creada. Se deben desinfectar todas las estaciones para eliminar la red peer-to-peer.

49. Spywares ¿Virus, gusanos o troyanos? Programas, scripts, applets de Java, etc; que se instalan y registran las actividades de los usuarios y la envían a sus creadores. Colectan información de: tráfico, claves, cuentas, etc. (tarjetas de crédito tal vez). Algunos tienen módulos de keylogger que almacenan las teclas que son utilizadas por el usuario y la envían a Internet. Protección: Ad Aware, BHO Captor, etc. (¡Gratuitos!)

50. Bichos de hoy Los programas actuales son híbridos de distintos programas hostiles Mezcla de gusanos, troyanos, virus Los programas actuales se propagan de manera autómata y sin necesidad de la acción del usuario. Instalan programas de control remoto, troyanos Ningún tipo de archivo está libre: PDF, JPG http://www.usatoday.com/life/cyber/tech/2002/06/13/virus-pictures.htm Son la amenaza más hostil y creciente que existe

51. Acciones Preventivas I A nivel de usuario: No leer ni ejecutar archivos de dudosa procedencia (spam, etc.) hacer uso del sentido común. No desactivar el antivirus y mantenerlo actualizado. No bajar ni ejecutar programas u aplicaciones que no hayan sido evaluados previamente por el dpto. de IT. No visitar páginas de contenido dudoso. Deshabilitar la capacidad de ejecutar macros en MS Office. Aplicar todos los parches a sus sistemas operativos (nunca se olvide de tener un backup). Configurar el correo electrónico para enviar y recibir emails en modo texto. Nunca aceptar archivos que son enviados a través de News, IRC, e-mails, etc., cuya razón de envío no es clara, etc.

52. Ante la duda, no haga nada. No ejecutar archivos anexados en correos con nombres sugestivos: Anna Kournikova, Jennifer López. Recuerde la Ingeniería Social. En Windows, activar la opción de visualización de extensión de archivos en el Explorador. Si detecta algo extraño en su estación y no sabe que hacer, desconéctela de la red, no la toque y llame al departamento de sistemas. Utilice firmas digitales para autenticar el origen de correos. Nunca propague HOAXes, ya es suficiente con el tráfico de los virus, gusanos, spam, etc . ¡NO SEA UN VIRUS!. Acciones Preventivas II

53. Acciones Preventivas III Desabilitar Macros Office Ir a Tools Luego Macros Finalmente Security… Y seleccionar High

54. Acciones Preventivas IV Visualizar extenciones de archivos La mayoría de virus, gusanos y troyanos vienen con doble extensión: AnnaKournikova.jpg.exe

55. A nivel de Servidor : Correos: Filtrar archivos con extensiones peligrosas: doc, xls, vbs, exe, pif, cpl, ppt, bat, html, htm, mp3, sys, com, shs, ccs, cmd, etc. Correos: Deshabilitar la opción de Relay para evitar ser el transmisor de virus. Aplicar parches, ejecutar check-lists, etc. Mantener un registro de las comunicaciones que inician los usuarios con otros y que involucran envío de archivos . Acciones Preventivas V

56. Acciones Detectivescas Network IDS Misuse Detection alert tcp any 110 -> any any (msg:"Virus - Possible MyRomeo Worm"; content: "I Love You"; sid:726; classtype:misc-activity; rev:3;) alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-IIS CodeRed v2 root.exe access"; flags: A+; uricontent:"scripts/root.exe?"; nocase; classtype:web-application-attack; alert tcp any 110 -> any any (msg:"Virus - SnowWhite Trojan Incoming"; content:"Suddlently"; sid:720; classtype:misc-activity; rev:3;)

57. Virus Detectados con SNORT Nov 6 11:03:01 192.168.1.1:40202 -> 128.1.1.78:80 SYN ******S* Nov 6 11:03:04 192.168.1.1:40203 -> 128.1.1.79:80 SYN ******S* Nov 6 11:03:01 192.168.1.1:40204 -> 128.1.1.80:80 SYN ******S* Nov 6 11:03:01 192.168.1.1:40205 -> 128.1.1.81:80 SYN ******S* Nov 6 11:03:04 192.168.1.1:40206 -> 128.1.1.82:80 SYN ******S* Nov 6 11:03:04 192.168.1.1:40207 -> 128.1.1.83:80 SYN ******S* Nov 6 11:03:01 192.168.1.1:40208 -> 128.1.1.84:80 SYN ******S* Nov 6 11:03:04 192.168.1.1:40209 -> 128.1.1.85:80 SYN ******S* Nov 6 11:03:01 192.168.1.1:40211 -> 128.1.1.87:80 SYN ******S* [**] WEB-IIS CodeRed v2 root.exe access [**] 11/06-10:46:19.052795 192.168.1.1:2932 -> 128.1.1.79:80 TCP TTL:107 TOS:0x0 ID:22513 IpLen:20 DgmLen:112 DF ***AP*** Seq: 0xE67E6F67 Ack: 0xF5D6EDC Win: 0x25BC TcpLen: 20 47 45 54 20 2F 73 63 72 69 70 74 73 2F 72 6F 6F GET /scripts/roo 74 2E 65 78 65 3F 2F 63 2B 64 69 72 20 48 54 54 t.exe?/c+dir HTT 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 P/1.0..Host: www 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 ..Connnection: c 6C 6F 73 65 0D 0A 0D 0A lose....

58. Acciones Correctivas Aislar la computadora afectada. Efectuar la limpieza desde un disco con el antivirus. Eliminar archivos sospechosos Efectuar la limpieza a nivel de registro (Windows) Aplicar los parches que sean necesarios Instalar antivirus con firmas actualizadas Reinstalar el sistema operativo de ser necesario. !No entrar en pánico!

59. Spyware y Adware Spyware : Programas que se instalan habitualmente sin advertir al usuario, monitorean la actividad del usuario (“ Big brother ”) y envían la información a sus creadores. Adware : Se instalan en forma similar al Spyware . Permiten visualizar anuncios publicitarios y obtienen datos del usuario. *

61. Conclusiones Sea precavido, usted es la primera línea de defensa. Nunca deshabilite el antivirus y manténgalo actualizado Aplique los parches a sus sistemas previa copia de resguardo de los mismos. No instale aplicaciones ni ejecute archivos de dudosa procedencia. No envíe información de la cual no tenga certeza, evite ser un virus!.