SlideShare una empresa de Scribd logo

virus y vacunas

M
migueluptc

Este documento habla sobre virus y vacunas. Explica que los virus son programas dañinos que se replican a sí mismos e interfieren con computadoras. Describe las características de los virus como que son programas, se reproducen, evitan su detección y causan daños. También explica cómo se producen las infecciones a través de medios como disquetes, correo electrónico y la Internet. Por último, da consejos sobre cómo prevenir virus como hacer copias de seguridad y usar contraseñas.

Tecnología
1 de 30
Descargar para leer sin conexión
2012 Virus y vacunas Miguel ángel rincón Saavedra U.P.T.C 13/10/2012 CODIGO 201223658
Contenido  TEMA 1. VIRUS o GENERALIDADES o CARACTERISTICAS o COMOSE PRODUCEN o ESTRATEGIAS DE INFECCIÓN o FORMA Y PREVENCIÓN DE VIRUS. TEMA 2. ANTIRUS ° TIPOS DE ANTIVIRUS °. FORMACIÓN DEL USUARIO ° SISTEMAS OPERATIVOS MÁS ATACADOS. TEMA 3 ENCUESTA HECHA POR KARSPERKY EN EL 2012. BIBLIOGRSAFIA. VYRUS Y VACUNAS Página 2
Virus ordenador debe cargar el virus desde la memoria del Los Virus informáticos ordenador y seguir sus son programas de ordenador instrucciones. Estas que se reproducen a sí mismos instrucciones se conocen e interfieren con el hardware como carga activa del virus. de una computadora o con su La carga activa puede sistema operativo (el software trastornar o modificar básico que controla la archivos de datos, presentar computadora). un determinado mensaje o provocar fallos en el sistema operativo. Generalidades sobre los virus de computadoras La primer aclaración que cabe Los virus están diseñados para es que los virus de reproducirse y evitar su computadoras, son detección. simplemente programas, y Existen otros programas informáticos nocivos como tales, hechos por similares a los virus, pero que programadores. Son no cumplen ambos requisitos programas que debido a sus de reproducirse y eludir su detección. Estos programas características particulares, se dividen en tres categorías: son especiales. Para hacer un Caballos de Troya, bombas virus de computadora, no se lógicas y gusanos. Un caballo requiere capacitación de Troya aparenta ser algo especial, ni una genialidad interesante e inocuo, por significativa, sino ejemplo un juego, pero cuando se ejecuta puede tener conocimientos de lenguajes efectos dañinos. de programación, de algunos Como cualquier otro temas no difundidos para programa informático, un público en general y algunos virus debe ser ejecutado para conocimientos puntuales que funcione: es decir, el sobre el ambiente de VYRUS Y VACUNAS Página 3
programación y arquitectura usuario sepa exactamente las de las computadoras. operaciones que realiza, teniendo control sobre ellas. Los virus, por el contrario, En la vida diaria, más allá de para ocultarse a los ojos del las especificaciones técnicas, usuario, tienen sus propias cuando un programa invade rutinas para conectarse con inadvertidamente el sistema, se los periféricos de la replica sin conocimiento del computadora, lo que les usuario y produce daños, garantiza cierto grado de pérdida de información o inmunidad a los ojos del fallas del sistema. Para el usuario, que no advierte su usuario se comportan como presencia, ya que el sistema tales y funcionalmente lo son operativo no refleja su en realidad. actividad en la computadora. Esto no es una "regla", ya que ciertos virus, especialmente los que operan bajo Windows, Los virus actúan usan rutinas y funciones enmascarados por "debajo" operativas que se conocen del sistema operativo, como como API‟s. Windows, regla general, y para actuar desarrollado con una sobre los periféricos del arquitectura muy particular, sistema, tales como disco debe su gran éxito a las rígido, disqueteras, Zip, CD, rutinas y funciones que pone a hacen uso de sus propias disposición de los rutinas aunque no programadores y por cierto, exclusivamente. Un programa también disponibles para los "normal" por llamarlo así, usa desarrolladores de virus. Una las rutinas del sistema de las bases del poder operativo para acceder al destructivo de este tipo de control de los periféricos programas radica en el uso de del sistema, y eso hace que el funciones de manera VYRUS Y VACUNAS Página 4
"sigilosa", se oculta a los conjunto de instrucciones ojos del usuario común. que ejecuta un ordenador o computadora. Es dañino: Un virus La clave de los virus radica informático siempre causa justamente en que son daños en el sistema que programas. Un virus para ser infecta, pero vale aclarar que activado debe ser ejecutado y el hacer daño no significa que funcionar dentro del sistema vaya a romper algo. El daño al menos una vez. Demás está puede ser implícito cuando lo decir que los virus no que se busca es destruir o "surgen" de las computadoras alterar información o pueden espontáneamente, sino que ser situaciones con efectos ingresan al sistema negativos para la inadvertidamente para el computadora, como consumo usuario, y al ser ejecutados, de memoria principal, tiempo de se activan y actúan con la procesador. computadora huésped. Es auto reproductor: La característica más importante de este tipo de programas es la de crear copias de sí mismos, cosa que ningún otro programa convencional hace. Las características de los Imaginemos que si todos agentes víricos: tuvieran esta capacidad podríamos instalar un procesador de textos y un par de días más tarde tendríamos Son programas de tres de ellos o más. computadora: En informática programa es sinónimo de Es subrepticio: Esto significa Software, es decir el que utilizará varias técnicas VYRUS Y VACUNAS Página 5
para evitar que el usuario se Los virus informáticos se dé cuenta de su presencia. La difunden cuando las instrucciones o código primera medida es tener un ejecutable que hacen tamaño reducido para poder funcionar los programas disimularse a primera vista. pasan de un ordenador a otro. Una vez que un virus está Puede llegar a manipular el activado, puede reproducirse resultado de una petición al copiándose en discos sistema operativo de mostrar flexibles, en el disco duro, en programas informáticos el tamaño del archivo e legítimos o a través de redes incluso todos sus atributos. informáticas. Estas infecciones son mucho más Las acciones de los virus son frecuentes en las diversas, y en su mayoría computadoras que en sistemas profesionales de grandes inofensivas, aunque algunas ordenadores, porque los pueden provocar efectos programas de las molestos y, en ciertos, casos computadoras se intercambian un grave daño sobre la fundamentalmente a través de discos flexibles o de redes información, incluyendo informáticas no reguladas. pérdidas de datos. Hay virus que ni siquiera están diseñados para activarse, por Los virus funcionan, se reproducen y liberan sus lo que sólo ocupan espacio en cargas activas sólo cuando se disco, o en la memoria. Sin ejecutan. Por eso, si un embargo, es recomendable y ordenador está simplemente conectado a una red posible evitarlos. informática infectada o se limita a cargar un programa ¿Cómo se producen las infectado, no se infectará infecciones? necesariamente. Normalmente, un usuario no ejecuta conscientemente un código informático potencialmente nocivo; sin embargo, los virus engañan frecuentemente al sistema operativo de la computadora o al usuario VYRUS Y VACUNAS Página 6
informático para que ejecute electrónico que millones de el programa viral. computadoras han sido afectadas creando pérdidas económicas incalculables. Algunos virus tienen la capacidad de adherirse a programas legítimos. Esta Hay personas que piensan que adhesión puede producirse con tan sólo estar navegando cuando se crea, abre o en la Internet no se van a modifica el programa legítimo. contagiar porque no están Cuando se ejecuta dicho bajando archivos a sus programa, ocurre lo mismo ordenadores, pero la verdad con el virus. Los virus también es que están muy equivocados. pueden residir en las partes Hay algunas páginas en del disco duro o flexible que Internet que utilizan objetos cargan y ejecutan el sistema ActiveX que son archivos operativo cuando se arranca ejecutables que el navegador el ordenador, por lo que de Internet va ejecutar en dichos virus se ejecutan nuestras computadoras, si en automáticamente. En las redes el ActiveX se le codifica algún informáticas, algunos virus se tipo de virus este va a pasar a ocultan en el software que nuestra computadoras con permite al usuario conectarse tan solo estar observando al sistema. esa página. La propagación de los virus Cuando uno está recibiendo informáticos a las correos electrónicos, debe computadoras personales, ser selectivo en los archivos servidores o equipo de que uno baja en nuestras computación se logra computadoras. Es más seguro mediante distintas formas, bajarlos directamente a como por ejemplo: a través de nuestra computadora para disquetes, cintas magnéticas, luego revisarlos con un CD o cualquier otro medio de antivirus antes que entrada de información. El ejecutarlos directamente de método en que más ha donde están. Un virus proliferado la infección con informático puede estar virus es en las redes de oculto en cualquier sitio, comunicación y más tarde la cuando un usuario ejecuta Internet. Es con la Internet y algún archivo con extensión especialmente el correo .exe que es portador de un VYRUS Y VACUNAS Página 7
algún virus todas las de ese modo a información instrucciones son leídas por privada de la computadora, la computadora y procesadas como el archivo de claves, y por ésta hasta que el virus es pueden remotamente alojado en algún punto del desconectar al usuario del disco duro o en la memoria del canal IRC. sistema. Luego ésta va pasando de archivo en archivo infectando todo a su alcance Virus Falsos (Hoax): añadiéndole bytes adicionales a los demás archivos y contaminándolos con el virus. Los archivos que son Un último grupo, que infectados mayormente por decididamente no puede ser los virus son tales cuyas considerado virus. Se trata de extensiones son: .exe, .com, las cadenas de e-mails que .bat, .sys, .pif, .dll y .drv. generalmente anuncian la amenaza de algún virus "peligrosísimo" (que nunca existe, por supuesto) y que por ESTRATEGIAS DE INFECCIÓN temor, o con la intención de USADAS POR LOS VIRUS prevenir a otros, se envían y re-envían incesantemente. Esto produce un estado de pánico sin sentido y genera un molesto tráfico de El código del virus se agrega información innecesaria. al final del archivo a infectar, mod ¿CÓMO SABER SI TENEMOS UN VIRUS? La mejor forma de detectar un virus es, obviamente con un antivirus, pero en ocasiones los antivirus pueden fallar en la detección. Puede ser que no detectemos nada y aún seguir Causa que el "script.ini" con problemas. En esos casos original se sobre escriba con "difíciles", entramos en el "script.ini" maligno. Los terreno delicado y ya es autores de ese script acceden conveniente la presencia de un técnico programador. Muchas VYRUS Y VACUNAS Página 8
veces las fallas atribuidas a realizarlas en el soporte que virus son en realidad fallas de desee, disquetes, unidades de hardware y es muy importante cinta, etc. Mantenga esas copias que la persona que verifique en un lugar diferente del ordenador y protegido de campos el equipo tenga profundos magnéticos, calor, polvo y conocimientos de personas no autorizadas. arquitectura de equipos, software, virus, placas de hardware, conflictos de Copias de programas originales hardware, conflictos de programas entre sí y bugs o fallas conocidas de los programas o por lo menos de No instale los programas desde los programas más los disquetes originales. Haga copia de los discos y utilícelos importantes. Las para realizar las instalaciones. modificaciones del Setup, cambios de configuración de Windows, actualización de drivers, fallas de RAM, No acepte copias de origen dudoso instalaciones abortadas, rutinas de programas con errores y aún oscilaciones en la línea de alimentación del Evite utilizar copias de origen equipo pueden generar dudoso, la mayoría de las infecciones provocadas por errores y algunos de estos virus se deben a discos de origen síntomas. Todos esos desconocido. aspectos deben ser analizados y descartados para llegar a la conclusión que la falla Utilice contraseñas proviene de un virus no detectado o un virus nuevo aún no incluido en las bases de datos de los antivirus más Ponga una clave de acceso a su importantes. computadora para que sólo usted pueda acceder a ella. FORMAS DE PREVENCIÓN Y ELIMINACIÓN DEL VIRUS Copias de seguridad Realice copias de seguridad de sus datos. Éstas pueden VYRUS Y VACUNAS Página 9
agujero anunciado por Peterson. Una nueva variedad de virus había nacido. Los nuevos virus e Internet Para ser infectado por el BubbleBoy, sólo es necesario Hasta la aparición del programa que el usuario reciba un mail Microsoft Outlook, era infectado y tenga instalados imposible adquirir virus mediante Windows 98 y el programa el correo electrónico. Los e- gestor de correo Microsoft mails no podían de ninguna Outlook. La innovación manera infectar una tecnológica implementada por computadora. Solamente si se Microsoft y que permitiría adjuntaba un archivo susceptible mejoras en la gestión del de infección, se bajaba a la correo, resultó una vez más en computadora, y se ejecutaba, agujeros de seguridad que podía ingresar un archivo vulneraron las computadoras de infectado a la máquina. Esta desprevenidos usuarios. paradisíaca condición cambió de pronto con las declaraciones de Padgett Peterson, miembro de Computer Antivirus Research Las mejoras que provienen de los Organization, el cual afirmó la lenguajes de macros de la familia posibilidad de introducir un virus Microsoft facilitan la presencia en el disco duro del usuario de de "huecos" en los sistemas que Windows 98 mediante el correo permiten la creación de técnicas electrónico. Esto fue posible y herramientas aptas para la porque el gestor de correo violación nuestros sistemas. La Microsoft Outlook 97 es capaz gran corriente de creación de de ejecutar programas escritos virus de Word y Excel, conocidos en Visual Basic para Aplicaciones como Macro-Virus, nació como (antes conocido como Visual consecuencia de la introducción Languaje, propiedad de del Lenguaje de Macros Microsoft), algo que no sucedía WordBasic (y su actual sucesor en Windows 95. Esto fue negado Visual Basic para Aplicaciones), por el gigante del software y se en los paquetes de Microsoft intentó ridiculizar a Peterson de Office. Actualmente los diversas maneras a través de Macrovirus representan el 80 % campañas de marketing, pero del total de los virus que como sucede a veces, la verdad circulan por el mundo. no siempre tiene que ser probada. A los pocos meses del anuncio, hizo su aparición un nuevo virus, Hoy en día también existen llamado BubbleBoy, que archivos de páginas Web que infectaba computadoras a través pueden infectar una del e-mail, aprovechándose del VYRUS Y VACUNAS Página 10
computadora. El boom de sistema un programa que permita Internet ha permitido la "abrir la puerta" de la conexión propagación instantánea de virus para permitir el acceso del a todas las fronteras, haciendo intruso o directamente el envío susceptible de ataques a de la información contenida en cualquier usuario conectado. La nuestro disco. En realidad, red mundial de Internet debe ser hackear un sistema Windows es considerada como una red ridículamente fácil. La clave de insegura, susceptible de esparcir todo es la introducción de tal programas creados para programa, que puede enviarse en aprovechar los huecos de un archivo adjunto a un e-mail seguridad de Windows y que que ejecutamos, un disquete que faciliten el "implante" de los recibimos y que contiene un mismos en nuestros sistemas. Los programa con el virus, o quizá un virus pueden ser programados simple e-mail. El concepto de para analizar y enviar nuestra virus debería ser ampliado a información a lugares remotos, y todos aquellos programas que lo que es peor, de manera de alguna manera crean nuevas inadvertida. El protocolo puertas en nuestros sistemas que TCP/IP, desarrollado por los se activan durante la conexión a creadores del concepto de Internet para facilitar el acceso Internet, es la herramienta más del intruso o enviar directamente flexible creada hasta el nuestra información privada a momento; permite la conexión de usuarios en sitios remotos. cualquier computadora con cualquier sistema operativo. Este maravilloso protocolo, que Entre los virus que más fuerte controla la transferencia de la han azotado a la sociedad en los información, al mismo tiempo, últimos dos años se pueden vuelve sumamente vulnerable de mencionar: violación a toda la red. Cualquier computadora conectada a la red, puede ser localizada y accedida Sircam remotamente si se siguen algunos caminos que no analizaremos por Code Red razones de seguridad. Lo cierto Nimda es que cualquier persona con conocimientos de acceso al Magistr hardware por bajo nivel, pueden monitorear una computadora Melissa conectada a Internet. Durante la Klez conexión es el momento en el que el sistema se vuelve vulnerable y LoveLetter puede ser "hackeado". Sólo es necesario introducir en el VYRUS Y VACUNAS Página 11
Los antivirus Comparación por firmas: son vacunas que comparan las firmas En informática los antivirus son de archivos sospechosos para programas cuyo objetivo es saber si están infectados. detectar y/o eliminar virus informáticos. Nacieron durante Comparación de firmas de la década de1980. archivo: son vacunas que comparan las firmas de los Con el transcurso del tiempo, la atributos guardados en tu aparición de sistemas operativos equipo. más avanzados e Internet, ha hecho que los antivirus hayan Por métodos heurísticos: son evolucionado hacia programas vacunas que usan métodos más avanzados que no sólo heurísticos para comparar buscan detectar virus archivos. informáticos, sino bloquearlos, desinfectarlos y prevenir una Invocado por el usuario: son infección de los mismos, y vacunas que se activan actualmente ya son capaces de instantáneamente con el usuario. reconocer otros tipos de Invocado por la actividad del malware, como spyware, sistema: son vacunas que se rootkits, etc. activan instantáneamente por la actividad del sistema operativo. Tipos de vacunas Sólo detección: Son vacunas que sólo actualizan archivos infectados sin embargo no pueden eliminarlos o desinfectarlos. Planificación Detección y desinfección: son vacunas que detectan archivos La planificación consiste en infectados y que pueden tener preparado un plan de desinfectarlos. contingencia en caso de que una emergencia de virus se produzca, Detección y aborto de la acción: así como disponer al personal de son vacunas que detectan la formación adecuada para archivos infectados y detienen reducir al máximo las acciones las acciones que causa el virus que puedan presentar cualquier VYRUS Y VACUNAS Página 12
tipo de riesgo. Cada antivirus 3. Métodos de instalación puede planear la defensa de una rápidos. Para permitir la manera, es decir, un antivirus reinstalación rápida en caso de puede hacer un escaneado contingencia. completo, rápido o de vulnerabilidad según elija el 4. Asegurar licencias. usuario. Determinados softwares imponen métodos de instalación de una Consideraciones de software vez, que dificultan la reinstalación rápida de la red. El software es otro de los Dichos programas no siempre elementos clave en la parte de tienen alternativas pero ha de planificación. Se debería tener en buscarse con el fabricante cuenta la siguiente lista de métodos rápidos de instalación. comprobaciones para tu seguridad: 5. Buscar alternativas más 1. Tener el software seguras. Existe software que es imprescindible para el famoso por la cantidad de funcionamiento de la actividad, agujeros de seguridad que nunca menos pero tampoco más. introduce. Es imprescindible Tener controlado al personal en conocer si se puede encontrar cuanto a la instalación de una alternativa que proporcione software es una medida que va iguales funcionalidades pero implícita. Asimismo tener permitiendo una seguridad extra. controlado el software asegura la calidad de la procedencia del mismo (no debería permitirse software pirata o sin garantías). Consideraciones de la red En todo caso un inventario de Disponer de una visión clara del software proporciona un método funcionamiento de la red permite correcto de asegurar la poner puntos de verificación reinstalación en caso de filtrada y detección ahí donde la desastre. incidencia es más claramente 2. Disponer del software de identificable. Sin perder de vista seguridad adecuado. Cada otros puntos de acción es actividad, forma de trabajo y conveniente: métodos de conexión a Internet 1. Mantener al máximo el número requieren una medida diferente de recursos de red en modo de de aproximación al problema. En sólo lectura. De esta forma se general, las soluciones impide que computadoras domésticas, donde únicamente infectadas los propaguen. hay un equipo expuesto, no son las mismas que las soluciones 2. Centralizar los datos. De empresariales. forma que detectores de virus en VYRUS Y VACUNAS Página 13
modo batch puedan trabajar Sin embargo los filtros de durante la noche. correos con detectores de virus son imprescindibles, ya que de 3. Realizar filtrados de firewall esta forma se asegurará una de red. Eliminar los programas reducción importante de que comparten datos, como decisiones de usuarios no pueden ser los P2P; Mantener entrenados que pueden poner en esta política de forma rigurosa, y riesgo la red. con el consentimiento de la gerencia. Los virus más comunes son los troyanos y gusanos, los cuales 4. Reducir los permisos de los ocultan tu información, creando usuarios al mínimo, de modo que Accesos Directos. sólo permitan el trabajo diario. Firewalls 5. Controlar y monitorizar el acceso a Internet. Para poder Artículo principal: Cortafuegos detectar en fases de (informática). recuperación cómo se ha introducido el virus, y así Filtrar contenidos y puntos de determinar los pasos a seguir. acceso. Eliminar programas que no estén relacionados con la Formación: Del usuario actividad. Tener monitorizado los accesos de los usuarios a la red, Esta es la primera barrera de permite asimismo reducir la protección de la red. instalación de software que no es necesario o que puede generar Antivirus riesgo para la continuidad del Es conveniente disponer de una negocio. Su significado es licencia activa de antivirus. Dicha barrera de fuego y no permite que licencia se empleará para la otra persona no autorizada generación de discos de tenga acceso desde otro equipo recuperación y emergencia. Sin al tuyo. embargo no se recomienda en una red el uso continuo de antivirus. El motivo radica en la cantidad de recursos que dichos programas obtienen del sistema, reduciendo el valor de las inversiones en hardware realizadas. Aunque si los recursos son suficientes, este extra de seguridad puede ser muy útil. Reemplazo de software VYRUS Y VACUNAS Página 14
Los puntos de entrada en la red Empleo de sistemas operativos son generalmente el correo, las más seguros páginas WEB, y la entrada de ficheros desde discos, o de PC que no están en la empresa (portátiles...) Muchas de estas computadoras emplean programas que pueden ser reemplazados por alternativas más seguras. Es conveniente llevar un seguimiento de cómo distribuyen Para servir ficheros no es bancos, y externos el software, conveniente disponer de los valorar su utilidad e instalarlo mismos sistemas operativos que si son realmente imprescindibles. se emplean dentro de las estaciones de trabajo, ya que Centralización y Backup´s toda la red en este caso está expuesta a los mismos retos. Una La centralización de recursos y forma de prevenir problemas es garantizar el backup de los disponer de sistemas operativos datos es otra de las pautas con arquitecturas diferentes, fundamentales en la política de que permitan garantizar la seguridad recomendada. continuidad de negocio. La generación de inventarios de Temas acerca de la seguridad software, centralización del mismo y la capacidad de generar Existen ideas instaladas por instalaciones rápidas parte de las empresas de proporcionan métodos antivirus parte en la cultura adicionales de seguridad. popular que no ayudan a mantener la seguridad de los Es importante tener localizado sistemas de información. donde tenemos localizada la información en la empresa. De Mi sistema no es importante para esta forma podemos realizar las un cracker. Este tema se basa en copias de seguridad de forma la idea de que no introducir adecuada. passwords seguras en una empresa no entraña riesgos pues Control o separación de la ¿Quién va a querer obtener informática móvil, dado que esta información mía? Sin embargo está más expuesta a las dado que los métodos de contingencias de virus. contagio se realizan por medio de programas automáticos, desde unas máquinas a otras, estos no distinguen buenos de malos, interesantes de no interesantes... VYRUS Y VACUNAS Página 15
Por tanto abrir sistemas y dicha aplicación puede permitir dejarlos sin claves es facilitar que el atacante abra una shell y la vida a los virus. por ende ejecutar comandos en el UNIX. Estoy protegido pues no abro archivos que no conozco. Esto Sistemas operativos más es falso, pues existen múltiples atacados formas de contagio, además los programas realizan acciones sin Las plataformas más atacadas la supervisión del usuario por virus informáticos son la poniendo en riesgo los sistemas. línea de sistemas operativos Windows de Microsoft. Respecto Como tengo antivirus estoy a los sistemas derivados de Unix protegido. Únicamente estoy como GNU/Linux, BSD, Solaris, protegido mientras el antivirus Mac OS X, estos han corrido con sepa a lo que se enfrenta y como mayor suerte debido en parte al combatirlo. En general los sistema de permisos. No obstante programas antivirus no son en las plataformas derivadas de capaces de detectar todas las Unix han existido algunos posibles formas de contagio intentos que más que existentes, ni las nuevas que presentarse como amenazas pudieran aparecer conforme las reales no han logrado el grado computadoras aumenten las de daño que causa un virus en capacidades de comunicación. plataformas Windows. Como dispongo de un firewall no me contagio. Esto únicamente proporciona una limitada Plataformas Unix, inmunes a los capacidad de respuesta. Las virus de Windows. formas de infectarse en una red son múltiples. Unas provienen directamente de accesos a mi sistema (de lo que protege un firewall) y otras de conexiones que realizó (de las que no me protege). Emplear usuarios con altos privilegios para realizar conexiones tampoco ayuda. Tengo un servidor web cuyo sistema operativo es un UNIX actualizado a la fecha. Puede que esté protegido contra ataques directamente hacia el núcleo, pero si alguna de las aplicaciones web (PHP, Perl, Cpanel, etc.) está desactualizada, un ataque sobre algún script de VYRUS Y VACUNAS Página 16
ESTUDIOS REALIZADOS POR programación “a la antigua”. El KARSPERKY LAB. enfoque de los creadores de DEMUESTRAN: Duqu suele darse en proyectos legítimos de programación, pero Resumen de las actividades de casi nunca en los de programas los virus informáticos, marzo de maliciosos. Existen más 2012 evidencias de que Duqu (y Stuxnet) es un desarrollo único que sobresale entre otros Global Research & Analysis Team programas maliciosos. (Great), Kaspersky Lab Después de invertir tanto dinero en proyectos como Duqu y Stuxnet, no resulta sencillo DUQU tirarlo todo por la borda. En marzo detectamos un nuevo La investigación sobre el controlador circulando en troyano Duqu ha entrado en su Internet que era prácticamente sexto mes, y en marzo se vieron idéntico a los que se usaron en significativos avances, ya que se los principios de Duqu. Los pudo establecer el lenguaje que anteriores controladores se se usaba en su código crearon el 3 de noviembre de Framework. Este descubrimiento 2010 y el 17 de octubre de 2011, se realizó con la ayuda de la mientras que el nuevo es del 23 comunidad informática de febrero de 2012. Al parecer, internacional, que nos los creadores de Duqu proporcionó cientos de posibles retomaron sus actividades explicaciones e hipótesis. después de cuatro meses de descanso. El Framework de Duqu se escribió en lenguaje C y se El nuevo controlador de Duqu compiló con MSVC 2008 con las tiene las mismas funcionalidades opciones “/O1” y “/Ob1”. Es muy que las anteriores versiones probable que sus creadores conocidas. Aunque los cambios hayan utilizado la extensión en el código son insignificantes, orientada a objetos del lenguaje demuestran que los creadores C, conocido como “OO C”. La han hecho su trabajo de arquitectura dirigida por eventos “corregir errores” para evitar su se desarrolló como parte del detección. Aún no hemos Framework o en la extensión OO detectado el módulo principal de C. El código de comunicación Duqu asociado con este C&C pudo haber provenido de controlador. otro programa malicioso y adaptarse a las características Para conocer en más detalle las de Duqu. Creemos que el código estadísticas de Kaspersky Lab fue desarrollado por sobre las víctimas de Duqu, activa profesionales que prefieren una el siguiente enlace. Este blog VYRUS Y VACUNAS Página 17
también presenta las era el escenario que se modificaciones del troyano que presentaba en septiembre, hemos logrado detectar: El cuando se desmanteló la primera Misterio de Duqu: Parte Diez red zombi Hlux/Kelihos. Se repitió en marzo. Lucha contra la ciberdelincuencia La nueva (tercera) versión del bot, llamada Kelihos.C, llamó Clausura de la segunda red zombi nuestra atención varios días Hlux/Kelihos después del inicio de la operación de drenaje. Al parecer, los Kaspersky Lab, en colaboración dueños de la red temían su con CrowdStrike Intelligence clausura en cualquier momento y Team, Dell SecureWorks y siguieron adelante con su plan B. Honeynet Project, ha logrado Notamos que en Kelihos.C se desmantelar la segunda red modificaron las llaves RSA, tal zombi Hlux/Kelihos. (La nueva como sucedió con Kelihos.B. Las historia de la exitosa clausura de llaves RSA se usaron para una red zombi - Desmantelamiento codificar algunas estructuras de la nueva red zombi en los mensajes (La botnet Hlux/Kelihos). Kelihos/Hlux vuelve con nuevas Los investigadores bautizaron técnicas). esta red zombi con el nombre de Puesto que los dueños de la red Kelihos.B para indicar que se zombi publicaron con prontitud creó con la segunda variante otra actualización del bot, modificada de la red original. algunos investigadores siguen El 21 de marzo, comenzamos a escépticos sobre la efectividad introducir en la red zombi un del método de drenaje para router dedicado de drenaje. neutralizar las redes zombi. Por Nuestro objetivo era que los nuestra parte, creemos que este ordenadores infectados se método resulta efectivo para comunicaran sólo con este complicar la vida de los rufianes router. Durante una semana, más al forzarlos a desviar su de 116.000 de ellos lo hicieron, atención de la distribución de un lo que nos permitió controlar nuevo bot y de la infección de los bots de los dueños de la red nuevos ordenadores. Mientras zombi. las nuevas versiones del bot no implementen cambios Cuando se está implementando significativos en su arquitectura una operación para controlar y en su protocolo de una red zombi, sus dueños suelen comunicación, seguiremos con fortificar sus posiciones este juego del gato y el ratón. publicando una nueva versión del Sin embargo, sólo podremos bot y lanzando una campaña de cantar victoria absoluta contra reclutamiento de nuevos la red zombi cuando se logre ordenadores para su red. Este arrestar a sus dueños. VYRUS Y VACUNAS Página 18
Ataque contra Zeus y sus hosts Arrestan a los responsables de Carberp A mediados de marzo, Microsoft unió fuerzas con la asociación de Las autoridades rusas, junto al pagos online NACHA y FS-ISAC, grupo analítico Group-IB, una ONG que representa los concluyeron su investigación intereses de los miembros de la sobre las actividades delictivas industria de servicios financieros de un grupo que robaba dinero de los EE.UU., para lanzar otro mediante un notable troyano ataque contra los dueños de la bancario, llamado Carberp. red zombi. El ataqué se llamó Según información brindada por “operación b71”. Con el permiso Departamento K de Rusia, una judicial, se capturaron varios unidad especializada en la lucha servidores y centros de control contra la delincuencia de alta de las redes zombi más activas y tecnología, el grupo estaba numerosas basadas en Zeus. compuesto de ocho personas. Clientes de decenas de bancos Microsoft también intentó rusos cayeron víctimas de estos desenmascarar a los implicados ciberdelincuentes que lograron en el desarrollo y distribución robar unos 60 millones de de Zeus y otros troyanos rublos (unos dos millones de similares, como SpyEye y Ice-IX dólares). Afortunadamente, la (este último basado en los investigación resultó en el códigos fuente de Zeus que se arresto de esta banda delictiva. filtraron). En Rusia es muy raro el arresto Microsoft inició acciones de ciberdelincuentes, por lo que legales contra 39 personas la noticia fue muy bien recibida. anónimas implicadas en la Sin embargo, la investigación se creación del código malicioso y centró en un solo grupo que las redes que se basan en él. usaba un código “listo para usar” Esperamos que esta iniciativa de Carberp y recurría a los Microsoft reciba el respaldo servicios de redes asociadas para legal de las autoridades de su distribución. El comunicado EE.UU. y, con el apoyo de la afirma que entre los arrestados comunidad internacional, se se encontraban los dueños de la logre encarcelar a más red y las mulas de dinero que ciderdelincuentes. retiraban los fondos robados de cajeros automáticos. Sin De hecho, estas son sólo embargo, el creador del troyano algunas medidas que pueden y sus redes asociadas siguen en ayudar a neutralizar los libertad. El troyano Carberp troyanos bancarios, ya que según Trojan sigue vendiéndose en estimaciones de Microsoft, el foros especializados (Carberp daño total ocasionado por Zeus, sigue vivo), lo que significa que se SpyEye y Ice-IX ya llega a sigue usando y que lo usarán quinientos millones de dólares. otros grupos. En particular, y VYRUS Y VACUNAS Página 19
hasta la fecha, hemos estado remota, entonces el troyano siguiendo las actividades de Lurk se instalaba en el varias redes zombi Carberp. Lo ordenador infectado. Este que aún no está claro es si troyano roba los datos pertenecen a un solo grupo o a confidenciales del usuario para varios. acceder a los servicios de banca online de varios bancos rusos Ataques a usuarios individuales importantes. Un bot “sin archivo” Este ataque estaba dirigido contra los usuarios rusos. Sin A principios de marzo, los embargo, no podemos descartar expertos de Kaspersky Lab que el mismo exploit y el mismo detectaron un singular ataque bot “sin archivo” vuelvan a que usaba un programa malicioso usarse contra usuarios en otras capaz de operar sin crear partes del mundo: pueden archivos en los sistemas propagarse a través de redes infectados. similares de banners o teasers en Este código malicioso se otros países. propagaba por medio de una red Esta es la primera vez en años „teaser‟ que incluía algunos que nos encontramos con este recursos noticiosos populares inusual tipo de programa en Rusia. Un script JavaScript malicioso “sin archivo”. Estos para uno de los teasers programas no existen como descargados en el sitio incluía un archivos en el disco duro, sino iframe que desviaba al usuario que operan sólo en la memoria hacia un sitio malicioso en el RAM del ordenador infectado, lo dominio .EU y que contenía un que dificulta en gran medida su exploit Java. detección por parte de las A diferencia de los conocidos soluciones antivirus. ataques drive-by, al paso, este Aunque los programas programa malicioso no se maliciosos “sin archivo” sólo descargaba en el disco duro, funcionan hasta que el sistema sino que operaba exclusivamente operativo se reinicie, la en la memoria RAM. Al operar posibilidad de que el usuario como un bot, el programa vuelva a visitar el sitio infectado malicioso enviaba peticiones que suele ser grande. incluían datos sobre historial de navegación tomados de los Los expertos de Kaspersky Lab registros del navegador del suelen enfatizar que el parche usuario y los enviaba al servidor oportuno es el método más de los ciberdelincuentes. Si los confiable para protegerse datos enviados al servidor contra los programas malicioso incluían información maliciosos que explotan que indicaba que el usuario había vulnerabilidades. En este caso, accedido a sistemas de banca recomendamos la instalación de VYRUS Y VACUNAS Página 20
un parche provisto por Oracle inyectar un DLL malicioso a un que cierra la vulnerabilidad CVE- navegador de Internet. Si el 2011-3544 en Java. Este parche usuario hace una petición en los se puede descargar desde: . motores de búsqueda Google, Yahoo o Bing, el troyano duplica Otro robo de certificados todas las peticiones en el servidor del ciberbandido. El Nos hemos encontrado con más y servidor responde con enlaces más programas maliciosos desde el sistema Search123 que firmados. A mediados de marzo, funciona bajo el sistema pago- volvimos a detectar programas por-click (PPC). Los enlaces se maliciosos con firmas digitales activan sin que el usuario lo válidas (troyanos Mediyes) así sepa; los ciberdelincuentes como numerosos archivos tipo lucran con los falsos clicks. dropper que estaban firmados en varias fechas entre diciembre de 2011 y el 7 de marzo de 2012. En Extensión maliciosa para todos los casos se usó un Chrome certificado entregado por la compañía suiza Conpavi AG. Esta A principios de marzo, los compañía es conocida por su expertos de Kaspersky Lab trabajo con agencias detectaron una extensión gubernamentales suizas, como maliciosa para Google Chrome las municipales y cantonales. que apuntaba a los usuarios de Facebook en Brasil. Sin embargo, Los ciberdelincuentes pueden nada evitaría que los infectar los ordenadores de la ciberdelincuentes lanzaran compañía y robar un certificado ataques similares contra que luego usarán para firmar usuarios en otros países. programas maliciosos. (Hay algunos notorios programas Las extensiones maliciosas se maliciosos ZeuS que realizan esta propagaron en Facebook a función: buscan los certificados través de los enlaces que en el ordenador infectado y, si parecían de aplicaciones los encuentran los envían al legítimas. Estos ataques se ciberdelincuentes). El hecho de valieron de varios temas, como que las autoridades municipales “Cambia el color de tu perfil”, hayan podido estar involucradas “Descubre quién visitó tu perfil”, en este accidente es una noticia y “Aprende a eliminar los virus de de por sí muy mala, pues quién tu perfil de Facebook". Si el sabe a qué datos confidenciales usuario aceptaba instalar una de las oficinas municipales aplicación, se lo dirigía a la tuvieron acceso los piratas tienda online oficial de Google cibernéticos. Chrome, donde la extensión maliciosa para Chrome aparecía Mediyes guarda su propio como “Adobe Flash Player”. controlador en el directorio de unidades del sistema, para luego VYRUS Y VACUNAS Página 21
El usuario corriente no llega a En marzo, Microsoft publicó un entender todos los detalles que parche para reparar una rodean la publicación de vulnerabilidad crítica en aplicaciones en la tienda online Microsoft Terminal Services de Google Chrome. El usuario (también conocido como Remote sólo ve el sitio online oficial de Desktop). Esta vulnerabilidad tan Google y confía que está libre de problemática es del tipo use- riesgos. Sin embargo, cualquier after-free (Referencia no valida a persona puede usar esta tienda un puntero) y se encontraba en el online para su extensión de código que ejecuta en el anillo 0, Chrome; sólo se necesita una es decir, el código que se ejecuta cuenta de Google y la tienda con las autorizaciones del online de Google Chrome ofrece sistema local. una sección especial para las extensiones “caseras”. Luigi Auriemma descubrió esta vulnerabilidad y fue quien creó Después de instalar la extensión un paquete de red que causaba el maliciosa en el ordenador, los colapso de Remote Desktop ciberpiratas lograban acceder a (Dos). Este investigador informó la cuenta de Facebook de la en detalle a Microsoft. No se víctima. En el incidente descrito, sabe qué pasó con esta la extensión descargaba un información, pero sabemos que se script malicioso desde el centro filtró en Internet y llegó, como de comando del un regalo, a los potenciales ciberdelincuentes. Cuando la atacantes sobre cómo explotar víctima entraba a su página de esta vulnerabilidad de Remote Facebook, el script se incrustaba Desktop, en lugar de la en el código HTML de la página. descripción general que suele hacer Microsoft. El objetivo del script era atraer más “Me gusta” para páginas de Inmediatamente apareció mucha Facebook que el ciberbandido gente interesada en encontrar elige. También enviaba un mensaje Exploits apropiados: algunos en nombre de la víctima, incitando querían un exploit que lanzara a sus amigos a descargar la misma ataques, mientras que otros extensión maliciosa. querían verificar la existencia de un exploit y alertar sobre los Google eliminó el programa peligros. Mientras tanto, malicioso tan pronto como se les algunos investigadores de informó al respecto. Sin seguridad informática empezaron embargo, los ciberdelincuentes a prepararse para una epidemia de ya han creado extensiones gusanos de red capaces de similares y las han colocado en explotar esta vulnerabilidad. el mismo lugar: la tienda online de Google Chrome. Y no pasó mucho tiempo antes de que aparecieran los primeros El exploit MS12-020 RDP Exploits, con versiones de VYRUS Y VACUNAS Página 22
códigos maliciosos que ofrecían Comenzaron a aparecer una gran acceso remoto no autorizado a cantidad de exploits, pero PCs con Windows a través de ninguna versión fue capaz de Remote Desktop. ejecutar el código de forma remota. Incluso apareció un sitio Sin embargo, una versión tenía web dedicado, con el elocuente todas las características de una nombre broma: istherdpexploitoutyet.com. Aún no hemos encontrado ningún exploit que pueda ejecutar en modo remoto el código a través de Remote Desktop. La mayoría fracasa en su cometido o resulta en el temido BSOD. Sin embargo, recomendamos a todos los usuarios de Microsoft Windows que verifiquen sus PCs para ver si se están ejecutando El autor de este particular Remote Desktop. Si así fuera, exploit firmaba como el conocido deben instalar de inmediato el hacker de LulzSec, Sabu (sus parche de Microsoft. También camaradas lo acusan de pasar vale la pena considerar si de información sobre otros verdad necesitamos ese servicio miembros del grupo al FBI, lo que en nuestro sistema. condujo a su posterior arresto). Te mantendremos informado si El código está escrito en Python aparece un exploit que pueda y usa un módulo freerdp, como ejecutar el código de forma puede verse en el texto que remota, pero mientras tanto, aparece en la imagen de arriba. puedes verificar si tu servidor es Sin embargo, no se conoce vulnerable a potenciales ningún módulo freerdp para ataques RDP en este sitio: Python. Existe una http://rdpcheck.com. implementación gratuita de código abierto para Remote Amenazas para Mac Desktop Protocol, conocida como FreeRDP En marzo pudimos evidenciar una (http://www.freerdp.com/), pero actividad sin precedentes en sus propios desarrolladores no cuanto a programas maliciosos saben nada sobre ningún soporte para Mac OS. para freerdp en la plataforma El caso más prominente fue Python. probablemente el de distribución Esto resultó ser un fraude, y no de spam a direcciones de fue el único. organizaciones tibetanas. Este spam contenía enlaces al exploit VYRUS Y VACUNAS Página 23
Exploit.Java.CVE-2011-3544.ms, que describimos en nuestro detectado por Alien Vault Labs. informe de septiembre de 2011 Este exploit está diseñado para (Informe sobre Spam: Septiembre instalar programas maliciosos en de 2011). Los programas los ordenadores de los maliciosos que pertenecen a esta usuarios, según el tipo de sistema familia se propagan bajo la operativo con que cuente el cobertura de archivos con ordenador de la víctima. En este extensiones seguras. Durante el caso en particular, se instaló ataque de marzo, los Backdoor.OSX.Lasyr.a en los ciberdelincuentes distribuyeron ordenadores de los usuarios de spam con imágenes eróticas con Mac OS, y extensión .JPG y archivos Trojan.Win32.Inject.djgs en los maliciosos ejecutables de usuarios de Windows (el camuflados como imágenes. troyano estaba firmado por un certificado vencido otorgado Pero había otra “novedad” que por la compañía china “WoSign aguardaba en marzo: los Code Signing Authority”). programas maliciosos de la Curiosamente, los familia Trojan- ciberdelincuentes usaron los Downloader.OSX.Flashfake que mismos servidores para manejar ahora usan Twitter como ambos programas maliciosos servidores de administración. durante los ataques. Para distribuir estos programas maliciosos, los ciberpiratas Este ataque no fue un ejemplo usaron 200.000 blogs aislado de que China usa hackeados que funcionaban bajo programas maliciosos para WordPress. atacar organizaciones tibetanas. Apenas una semana después, Amenazas móviles Kaspersky Lab detectó un Troyano bancario para Android archivo DOC como Exploit.MSWord.CVE-2009- Hace unos 18 meses se descubrió 0563.a en una distribución similar una versión móvil del infame de spam. Este exploit infectaba troyano ZeuS. Se la nombró los ordenadores de los usuarios ZitMo (ZeuS-in-the-Mobile). Este de Mac OS con el programa troyano estaba diseñado para malicioso robar números de Backdoor.OSX.MaControl.a. autentificación para Curiosamente, este programa transacciones desde móviles malicioso recibía comandos para (mTAN) que los bancos envían a ordenadores infectados desde el los móviles de sus clientes a servidor freetibet2012.xicp.net través de SMS. Aunque este tipo localizado en China. de amenaza móvil tuvo algún desarrollo, no fue sino hasta También en marzo se detectó una marzo de 2012 que se detectó un nueva modificación del programa programa malicioso móvil que malicioso Backdoor.OSX.Imuler, podía robar credenciales VYRUS Y VACUNAS Página 24
(nombre de usuario y contraseña) dominio está ahora desactivado). para la autentificación de Además, resulta que el número transacciones bancarias. móvil al que se le envía la información es ruso y pertenece A mediados de marzo, se identificó a un operador de la región. Esto un programa malicioso que indica la posibilidad de que apuntaba no sólo a los mensajes autores rusos de programas SMS con mTANs, sino también a maliciosos estuvieran implicados las credenciales de banca online. en la creación de este programa Kaspersky Lab detectó el en particular. programa como Trojan- SMS.AndroidOS.Stealer.a. Ataques contra corporaciones/gobiernos/orga Al ejecutarse, esta aplicación nizaciones maliciosa muestra una ventana que se presenta como un diálogo Espionaje espacial para la generación de tokens. Para que esta “generación” sea En marzo se detectaron varios posible, se le pide al usuario que ataques maliciosos contra entre la llave requerida para la agencias de investigación autorización inicial en el sistema espacial. de banca online. A continuación, Sobre todo hubo un informe el programa malicioso genera un sobre incidentes de la NASA que falso token (un número resultó muy interesante. Fue el aleatorio) y la información que inspector general de esta ingresa el usuario se envía al agencia quien lo presentó ante la móvil y al servidor remoto del Comisión sobre ciencia, espacio y ciberdelincuentes con los tecnología del Congreso de los números IMEI e IMSI. Además, este EE.UU. programa malicioso puede recibir una cantidad de comandos desde Una auditoría de la NASA reveló el servidor remoto un incidente ocurrido en (generalmente relacionados con noviembre de 2011, cuando unos el robo de mTANs). atacantes (con direcciones IP chinas) lograron el acceso La aparición de este tipo de completo a la red del programa malicioso no fue una Laboratorio de propulsión jet sorpresa, pero hubo algunos (JPL, por sus ingás en inglés). detalles que llamaron nuestra Además, durante 2011, se atención. Todas las muestras detectaron 47 ataques dirigidos conocidas del programa contra la NASA, 13 de los cuales malicioso apuntan a los clientes tuvieron éxito. Entre 2010 y de bancos españoles. Sin 2011, se supo de más de 5.400 embargo, uno de los servidores incidentes de diversa gravedad remotos al que el programa relacionados con acceso no malicioso trata de conectarse autorizado a las redes de la estaba en la zona .ru (este VYRUS Y VACUNAS Página 25
agencia, o con programas Un análisis posterior no reveló maliciosos. ningún uso de la información autorizada robada para acceder Además de estos ataques de a otros sistemas de JAXA y NASA. hackers, la NASA sufre una La fuga de unos 1.000 correos constante pérdida de de la agencia puede considerarse ordenadores portátiles con como una pérdida sin importancia. información confidencial. Desde 2009, se han perdido unos 50, Marzo en cifras incluyendo un incidente en marzo, cuando desapareció una portátil Durante este mes, los con información sobre ordenadores que tienen algoritmos de gestión de la instalados productos de Estación espacial internacional. Kaspersky Lab detectaron: La Agencia japonesa de • y neutralizaron más de 370 exploración aeroespacial (JAXA) millones de programas también publicó los resultados maliciosos; de una investigación sobre un • 200 millones (55% de todas incidente que ocurrió en el las amenazas) de intentos de verano de 2011, que no fue infección originados en la web; detectado sino hasta enero de 2012. • Más de 42 millones de URLs maliciosas. En julio de 2011, un empleado de la JAXA recibió un mensaje de Amenazas en Internet en marzo de correo con un archivo malicioso. 2012 La solución antivirus de su ordenador no estaba Estas estadísticas representan actualizada, lo que posibilitó que veredictos detectados de los el programa maliciosos infectara módulos antivirus y fueron el sistema. Los atacantes proporcionados por los pudieron acceder a toda la usuarios de los productos de información almacenada en el Kaspersky Lab que aceptaron ordenador y pudieron compartir sus datos locales. potencialmente monitorear de forma remota la información que Nuestros cálculos excluyen aparecía en la pantalla. Por aquellos países en los que la cantidad de usuarios de fortuna, según informa la agencia, el ordenador no productos de Kaspersky Lab es contenía ninguna información relativamente reducida (menos de confidencial. Aunque este 10.000). ordenador tenía acceso al monitoreo del trabajo en el camión espacial (H-II Transfer Vehicle (HTV)), los atacantes no pudieron acceder al mismo. VYRUS Y VACUNAS Página 26
Mapa de riesgo de infección al 3 Kazajistán 47.80% 1 navegar en Internet 4 Bielorrusia 47.10% 1 5 Azerbaiyán 46.30% 1 6 Ucrania 43.30% 1 7 Sudán 41.00% Nuevo 8 Uzbequistán 40.30% Costa de 9 39.90% -7 Marfil 10 Bangladesh 39.40% - *Porcentaje de usuarios únicos Los 10 países en los que los en el país con ordenadores con usuarios se enfrentan al mayor productos de Kaspersky Lab riesgo de infección a través de instalados que bloquearon Internet amenazas online. № País %* Cambios 1 Rusia 55.50% 0 Top 10 de zonas de dominios peligrosos 2 Armenia 49.30% 1 3 Kazajistán 47.80% 1 4 Bielorrusia 47.10% 1 5 Azerbaiyán 46.30% 1 6 Ucrania 43.30% 1 7 Sudán 41.00% Nuevo 8 Uzbequistán 40.30% Costa de 9 39.90% -7 Marfil 10 Bangladesh 39.40% - Fuente de ataques web por zona *Porcentaje de usuarios únicos de dominio* en el país con ordenadores con productos de Kaspersky Lab *cantidad de ataques desde instalados que bloquearon recursos web según el dominio amenazas online. detectado por el módulo antivirus web. Los 10 países en los que los usuarios se enfrentan al menor riesgo de infección a través de Internet № País %* Cambios 1 Rusia 55.50% 0 2 Armenia 49.30% 1 VYRUS Y VACUNAS Página 27
Top 10 de países en los que los Trojan- recursos web se infectaron con 5 Downloader.Script. 0.28% -1 programas maliciosos Generic Trojan- 6 Downloader.JS.JSc 0.26% Nuevo ript.ag Trojan- (Distribución mundial de sitios 7 Downloader.JS.JSc 0.19% Nuevo infectados y hosts maliciosos) ript.ai Trojan.JS.Popuppe 8 0.18% 2 r.aw 9 Trojan.JS.Iframe.zy 0.15% Nuevo Trojan- 1 Downloader.JS.JSc 0.14% Nuevo 0 ript.ax *El porcentaje de incidentes únicos detectados por el módulo antivirus web en los ordenadores de los Fuentes de ataques web por país* usuarios. *Para poder determinar la fuente geográfica de un ataque, se compara el nombre del dominio con la dirección IP donde se sitúa el dominio en cuestión, y se determina la localización geográfica de la dirección IP (GEOIP). Top 10 de amenazas en Internet Exploits detectados por el módulo antivirus web en los % del ordenadores de los usuarios por Cambio total aplicación atacada* TOP 10 WAV s en la № de March estadíst *Porcentaje de todos los ataqu ica ataques de exploits bloqueados es* 85.71 provenientes de la web. 1 Malicious URL 0 % Trojan.Script.Iframe 2 4.03% 0 r Trojan.Script.Gener 3 2.74% 1 ic Trojan.Win32.Gene 4 0.30% 1 ric VYRUS Y VACUNAS Página 28
BIBLIOIGRIA BLOGS.PROTEGERSE.COM WWW.TIPOSDE.ORG WWW.MONOGRAFIA.COM KARSPERKYLAB http://www.sitiosargentina.com. ar/webmaster/cursos%20y%20t utoriales/que_es_un_antivirus.ht m WWW.WIKIPEDIA.COM VYRUS Y VACUNAS Página 29
CODIGO 201223658

Recomendados

Los virus informáticos
Los virus informáticosLos virus informáticos
Los virus informáticos
luistorres234enciso
 
Manual Virus Y Antivirus
Manual Virus Y AntivirusManual Virus Y Antivirus
Manual Virus Y Antivirus
cindy20
 
Trabajo virus y antivirus
Trabajo virus y antivirusTrabajo virus y antivirus
Trabajo virus y antivirus
WILMER HAMILTON MERCADO GRANADOS
 
Virus
VirusVirus
Virus
Sebastian Torres
 
Virus y vacunas informaticas
Virus y vacunas informaticasVirus y vacunas informaticas
Virus y vacunas informaticas
JAIME ESPITIA
 
Virus y vacunas informaticas
Virus y vacunas informaticasVirus y vacunas informaticas
Virus y vacunas informaticas
Henry Saba Suarez
 
Los Virus
Los VirusLos Virus
Los Virus
Tavo Perez Daza
 
Virus informat nelson rojas
Virus informat nelson rojasVirus informat nelson rojas
Virus informat nelson rojas
nelrojasdue
 

Recomendados

Los virus informáticos
Los virus informáticosLos virus informáticos
Los virus informáticos
luistorres234enciso
 
Manual Virus Y Antivirus
Manual Virus Y AntivirusManual Virus Y Antivirus
Manual Virus Y Antivirus
cindy20
 
Trabajo virus y antivirus
Trabajo virus y antivirusTrabajo virus y antivirus
Trabajo virus y antivirus
WILMER HAMILTON MERCADO GRANADOS
 
Virus
VirusVirus
Virus
Sebastian Torres
 
Virus y vacunas informaticas
Virus y vacunas informaticasVirus y vacunas informaticas
Virus y vacunas informaticas
JAIME ESPITIA
 
Virus y vacunas informaticas
Virus y vacunas informaticasVirus y vacunas informaticas
Virus y vacunas informaticas
Henry Saba Suarez
 
Los Virus
Los VirusLos Virus
Los Virus
Tavo Perez Daza
 
Virus informat nelson rojas
Virus informat nelson rojasVirus informat nelson rojas
Virus informat nelson rojas
nelrojasdue
 
asdfghjkl
asdfghjklasdfghjkl
asdfghjkl
j0ck0
 
VIRUS INFORMÁTICOS
VIRUS INFORMÁTICOSVIRUS INFORMÁTICOS
VIRUS INFORMÁTICOS
adrianis90012012
 
Tic virus
Tic virusTic virus
Tic virus
Alison Cifuentes
 
Virus Informaticos
Virus InformaticosVirus Informaticos
Virus Informaticos
alexander314
 
VIRUS Y ANTIVIRUS
VIRUS Y ANTIVIRUSVIRUS Y ANTIVIRUS
VIRUS Y ANTIVIRUS
rocaurpa
 
Triptico
TripticoTriptico
Triptico
Franko Uchiha
 
Virus informáticos
Virus informáticosVirus informáticos
Virus informáticos
cristianvera
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticas
YMARTE
 
Virus y antivirus
Virus y antivirusVirus y antivirus
Virus y antivirus
Mayerly Alcocer
 
Virus y vacunas informáticas
Virus y vacunas informáticas Virus y vacunas informáticas
Virus y vacunas informáticas
YMARTE
 
Diapositivas virus y vacunas informaticos
Diapositivas virus y vacunas informaticosDiapositivas virus y vacunas informaticos
Diapositivas virus y vacunas informaticos
charly2014r
 
Virus y antivirus
Virus y antivirusVirus y antivirus
Virus y antivirus
Alexandra Barreto
 
Cartilla Virtual
Cartilla VirtualCartilla Virtual
Cartilla Virtual
universidad del Quindio
 
Virus y vacunas informaticas
Virus y vacunas informaticasVirus y vacunas informaticas
Virus y vacunas informaticas
Elizabeth Rojas Mora
 
Virus microsoft office power point
Virus microsoft office power pointVirus microsoft office power point
Virus microsoft office power point
dianamarcela33jl
 
Trabajo aura y gisella
Trabajo aura y gisellaTrabajo aura y gisella
Trabajo aura y gisella
gissellajoiro
 
Los virus informáticos
Los virus informáticosLos virus informáticos
Los virus informáticos
davids2015
 
Los virus
Los virusLos virus
Los virus
yurrego1712
 
Los virus
Los virusLos virus
Los virus
yurrego1712
 
Los virus
Los virusLos virus
Los virus
yurrego1712
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticos
mauriciolobosioux
 
Los virus y antivirus
Los virus y antivirusLos virus y antivirus
Los virus y antivirus
stefita_love
 

Más contenido relacionado

La actualidad más candente

asdfghjkl
asdfghjklasdfghjkl
asdfghjkl
j0ck0
 
VIRUS INFORMÁTICOS
VIRUS INFORMÁTICOSVIRUS INFORMÁTICOS
VIRUS INFORMÁTICOS
adrianis90012012
 
Tic virus
Tic virusTic virus
Tic virus
Alison Cifuentes
 
Virus Informaticos
Virus InformaticosVirus Informaticos
Virus Informaticos
alexander314
 
VIRUS Y ANTIVIRUS
VIRUS Y ANTIVIRUSVIRUS Y ANTIVIRUS
VIRUS Y ANTIVIRUS
rocaurpa
 
Triptico
TripticoTriptico
Triptico
Franko Uchiha
 
Virus informáticos
Virus informáticosVirus informáticos
Virus informáticos
cristianvera
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticas
YMARTE
 
Virus y antivirus
Virus y antivirusVirus y antivirus
Virus y antivirus
Mayerly Alcocer
 
Virus y vacunas informáticas
Virus y vacunas informáticas Virus y vacunas informáticas
Virus y vacunas informáticas
YMARTE
 
Diapositivas virus y vacunas informaticos
Diapositivas virus y vacunas informaticosDiapositivas virus y vacunas informaticos
Diapositivas virus y vacunas informaticos
charly2014r
 
Virus y antivirus
Virus y antivirusVirus y antivirus
Virus y antivirus
Alexandra Barreto
 
Cartilla Virtual
Cartilla VirtualCartilla Virtual
Cartilla Virtual
universidad del Quindio
 
Virus y vacunas informaticas
Virus y vacunas informaticasVirus y vacunas informaticas
Virus y vacunas informaticas
Elizabeth Rojas Mora
 
Virus microsoft office power point
Virus microsoft office power pointVirus microsoft office power point
Virus microsoft office power point
dianamarcela33jl
 
Trabajo aura y gisella
Trabajo aura y gisellaTrabajo aura y gisella
Trabajo aura y gisella
gissellajoiro
 

La actualidad más candente (16)

asdfghjkl
asdfghjklasdfghjkl
asdfghjkl
 
VIRUS INFORMÁTICOS
VIRUS INFORMÁTICOSVIRUS INFORMÁTICOS
VIRUS INFORMÁTICOS
 
Tic virus
Tic virusTic virus
Tic virus
 
Virus Informaticos
Virus InformaticosVirus Informaticos
Virus Informaticos
 
VIRUS Y ANTIVIRUS
VIRUS Y ANTIVIRUSVIRUS Y ANTIVIRUS
VIRUS Y ANTIVIRUS
 
Triptico
TripticoTriptico
Triptico
 
Virus informáticos
Virus informáticosVirus informáticos
Virus informáticos
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticas
 
Virus y antivirus
Virus y antivirusVirus y antivirus
Virus y antivirus
 
Virus y vacunas informáticas
Virus y vacunas informáticas Virus y vacunas informáticas
Virus y vacunas informáticas
 
Diapositivas virus y vacunas informaticos
Diapositivas virus y vacunas informaticosDiapositivas virus y vacunas informaticos
Diapositivas virus y vacunas informaticos
 
Virus y antivirus
Virus y antivirusVirus y antivirus
Virus y antivirus
 
Cartilla Virtual
Cartilla VirtualCartilla Virtual
Cartilla Virtual
 
Virus y vacunas informaticas
Virus y vacunas informaticasVirus y vacunas informaticas
Virus y vacunas informaticas
 
Virus microsoft office power point
Virus microsoft office power pointVirus microsoft office power point
Virus microsoft office power point
 
Trabajo aura y gisella
Trabajo aura y gisellaTrabajo aura y gisella
Trabajo aura y gisella
 

Similar a virus y vacunas

Los virus informáticos
Los virus informáticosLos virus informáticos
Los virus informáticos
davids2015
 
Los virus
Los virusLos virus
Los virus
yurrego1712
 
Los virus
Los virusLos virus
Los virus
yurrego1712
 
Los virus
Los virusLos virus
Los virus
yurrego1712
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticos
mauriciolobosioux
 
Los virus y antivirus
Los virus y antivirusLos virus y antivirus
Los virus y antivirus
stefita_love
 
Virus y anti virus
Virus y anti virusVirus y anti virus
Virus y anti virus
Andres Valencia
 
virus y antivirus
virus y antivirusvirus y antivirus
virus y antivirus
eltitino
 
Triptico
TripticoTriptico
Triptico
Franko Uchiha
 
Diapositivas virus
Diapositivas virusDiapositivas virus
Diapositivas virus
edithmarielaaguilar
 
Los Virus Informaticos
Los Virus InformaticosLos Virus Informaticos
Los Virus Informaticos
Jeniffer Lisbeth
 
Virus y vacunas informaticas
Virus y vacunas informaticasVirus y vacunas informaticas
Virus y vacunas informaticas
luisdazamedina
 
Virus 2,5
Virus 2,5Virus 2,5
Virus 2,5
maicoljimenezleon
 
Virus 2,5
Virus 2,5Virus 2,5
Virus 2,5
juandavidrodrigues
 
Estevan 2
Estevan 2Estevan 2
Estevan 2
estevan1
 
Virus y vacunas informaticas
Virus y vacunas informaticasVirus y vacunas informaticas
Virus y vacunas informaticas
jennyal21
 
Qué es un virus informático
Qué es un virus informáticoQué es un virus informático
Qué es un virus informático
vinicio sanchez
 
Daniela vasquez taller de sistemas importante¡
Daniela vasquez taller de sistemas importante¡Daniela vasquez taller de sistemas importante¡
Daniela vasquez taller de sistemas importante¡
kevin cardenas
 
Daniela vasquez taller de sistemas importante¡
Daniela vasquez taller de sistemas importante¡Daniela vasquez taller de sistemas importante¡
Daniela vasquez taller de sistemas importante¡
kevin cardenas
 
Qué es un virus informático
Qué es un virus informáticoQué es un virus informático
Qué es un virus informático
bryandamian11
 

Similar a virus y vacunas (20)

Los virus informáticos
Los virus informáticosLos virus informáticos
Los virus informáticos
 
Los virus
Los virusLos virus
Los virus
 
Los virus
Los virusLos virus
Los virus
 
Los virus
Los virusLos virus
Los virus
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticos
 
Los virus y antivirus
Los virus y antivirusLos virus y antivirus
Los virus y antivirus
 
Virus y anti virus
Virus y anti virusVirus y anti virus
Virus y anti virus
 
virus y antivirus
virus y antivirusvirus y antivirus
virus y antivirus
 
Triptico
TripticoTriptico
Triptico
 
Diapositivas virus
Diapositivas virusDiapositivas virus
Diapositivas virus
 
Los Virus Informaticos
Los Virus InformaticosLos Virus Informaticos
Los Virus Informaticos
 
Virus y vacunas informaticas
Virus y vacunas informaticasVirus y vacunas informaticas
Virus y vacunas informaticas
 
Virus 2,5
Virus 2,5Virus 2,5
Virus 2,5
 
Virus 2,5
Virus 2,5Virus 2,5
Virus 2,5
 
Estevan 2
Estevan 2Estevan 2
Estevan 2
 
Virus y vacunas informaticas
Virus y vacunas informaticasVirus y vacunas informaticas
Virus y vacunas informaticas
 
Qué es un virus informático
Qué es un virus informáticoQué es un virus informático
Qué es un virus informático
 
Daniela vasquez taller de sistemas importante¡
Daniela vasquez taller de sistemas importante¡Daniela vasquez taller de sistemas importante¡
Daniela vasquez taller de sistemas importante¡
 
Daniela vasquez taller de sistemas importante¡
Daniela vasquez taller de sistemas importante¡Daniela vasquez taller de sistemas importante¡
Daniela vasquez taller de sistemas importante¡
 
Qué es un virus informático
Qué es un virus informáticoQué es un virus informático
Qué es un virus informático
 

Último

INFORMATICA Y TECNOLOGIA
INFORMATICA Y TECNOLOGIAINFORMATICA Y TECNOLOGIA
INFORMATICA Y TECNOLOGIA
renzocruz180310
 
trabajo práctico kuikikiikkidfsmdklfskdnfklsdnfknsdk
trabajo práctico kuikikiikkidfsmdklfskdnfklsdnfknsdktrabajo práctico kuikikiikkidfsmdklfskdnfklsdnfknsdk
trabajo práctico kuikikiikkidfsmdklfskdnfklsdnfknsdk
KukiiSanchez
 
Slideshare: definiciòn, registrarse, presentaciones, ventajas y desventajas
Slideshare: definiciòn, registrarse, presentaciones, ventajas y desventajasSlideshare: definiciòn, registrarse, presentaciones, ventajas y desventajas
Slideshare: definiciòn, registrarse, presentaciones, ventajas y desventajas
AdrianaRengifo14
 
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIAMONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
leia ereni
 
Manual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputoManual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputo
doctorsoluciones34
 
El uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptxEl uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptx
jgvanessa23
 
El uso de las TIC's en la vida cotidiana
El uso de las TIC's en la vida cotidianaEl uso de las TIC's en la vida cotidiana
El uso de las TIC's en la vida cotidiana
231458066
 
La Inteligencia Artificial en la actualidad.docx
La Inteligencia Artificial en la actualidad.docxLa Inteligencia Artificial en la actualidad.docx
La Inteligencia Artificial en la actualidad.docx
luiscohailatenazoa0
 
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANOREVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
gisellearanguren1
 
CURSO CAMARAS DE SEGURIDAD 2023 FINAL .pdf
CURSO CAMARAS DE SEGURIDAD 2023 FINAL .pdfCURSO CAMARAS DE SEGURIDAD 2023 FINAL .pdf
CURSO CAMARAS DE SEGURIDAD 2023 FINAL .pdf
LagsSolucSoporteTecn
 
Presentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre bloggerPresentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre blogger
larapalaciosmonzon28
 
TIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololoTIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololo
KukiiSanchez
 
Second Life, informe de actividad del maestro Tapia
Second Life, informe de actividad del maestro TapiaSecond Life, informe de actividad del maestro Tapia
Second Life, informe de actividad del maestro Tapia
al050121024
 
UML_clase_02_UML_casos_de_uso_05 EN DIAGRAMA
UML_clase_02_UML_casos_de_uso_05 EN DIAGRAMAUML_clase_02_UML_casos_de_uso_05 EN DIAGRAMA
UML_clase_02_UML_casos_de_uso_05 EN DIAGRAMA
martinezluis17
 
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdfPresentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
giampierdiaz5
 
Manual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputosManual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputos
cbtechchihuahua
 
625204013-64-Camino-a-----La-Lectura.pdf
625204013-64-Camino-a-----La-Lectura.pdf625204013-64-Camino-a-----La-Lectura.pdf
625204013-64-Camino-a-----La-Lectura.pdf
yuberpalma
 
El uso de las TIC por Cecilia Pozos S..pptx
El uso de las TIC por Cecilia Pozos S..pptxEl uso de las TIC por Cecilia Pozos S..pptx
El uso de las TIC por Cecilia Pozos S..pptx
cecypozos703
 
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
AMADO SALVADOR
 
Uso de las Tics en la vida cotidiana.pptx
Uso de las Tics en la vida cotidiana.pptxUso de las Tics en la vida cotidiana.pptx
Uso de las Tics en la vida cotidiana.pptx
231485414
 

Último (20)

INFORMATICA Y TECNOLOGIA
INFORMATICA Y TECNOLOGIAINFORMATICA Y TECNOLOGIA
INFORMATICA Y TECNOLOGIA
 
trabajo práctico kuikikiikkidfsmdklfskdnfklsdnfknsdk
trabajo práctico kuikikiikkidfsmdklfskdnfklsdnfknsdktrabajo práctico kuikikiikkidfsmdklfskdnfklsdnfknsdk
trabajo práctico kuikikiikkidfsmdklfskdnfklsdnfknsdk
 
Slideshare: definiciòn, registrarse, presentaciones, ventajas y desventajas
Slideshare: definiciòn, registrarse, presentaciones, ventajas y desventajasSlideshare: definiciòn, registrarse, presentaciones, ventajas y desventajas
Slideshare: definiciòn, registrarse, presentaciones, ventajas y desventajas
 
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIAMONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
 
Manual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputoManual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputo
 
El uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptxEl uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptx
 
El uso de las TIC's en la vida cotidiana
El uso de las TIC's en la vida cotidianaEl uso de las TIC's en la vida cotidiana
El uso de las TIC's en la vida cotidiana
 
La Inteligencia Artificial en la actualidad.docx
La Inteligencia Artificial en la actualidad.docxLa Inteligencia Artificial en la actualidad.docx
La Inteligencia Artificial en la actualidad.docx
 
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANOREVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
 
CURSO CAMARAS DE SEGURIDAD 2023 FINAL .pdf
CURSO CAMARAS DE SEGURIDAD 2023 FINAL .pdfCURSO CAMARAS DE SEGURIDAD 2023 FINAL .pdf
CURSO CAMARAS DE SEGURIDAD 2023 FINAL .pdf
 
Presentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre bloggerPresentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre blogger
 
TIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololoTIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololo
 
Second Life, informe de actividad del maestro Tapia
Second Life, informe de actividad del maestro TapiaSecond Life, informe de actividad del maestro Tapia
Second Life, informe de actividad del maestro Tapia
 
UML_clase_02_UML_casos_de_uso_05 EN DIAGRAMA
UML_clase_02_UML_casos_de_uso_05 EN DIAGRAMAUML_clase_02_UML_casos_de_uso_05 EN DIAGRAMA
UML_clase_02_UML_casos_de_uso_05 EN DIAGRAMA
 
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdfPresentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
 
Manual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputosManual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputos
 
625204013-64-Camino-a-----La-Lectura.pdf
625204013-64-Camino-a-----La-Lectura.pdf625204013-64-Camino-a-----La-Lectura.pdf
625204013-64-Camino-a-----La-Lectura.pdf
 
El uso de las TIC por Cecilia Pozos S..pptx
El uso de las TIC por Cecilia Pozos S..pptxEl uso de las TIC por Cecilia Pozos S..pptx
El uso de las TIC por Cecilia Pozos S..pptx
 
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
 
Uso de las Tics en la vida cotidiana.pptx
Uso de las Tics en la vida cotidiana.pptxUso de las Tics en la vida cotidiana.pptx
Uso de las Tics en la vida cotidiana.pptx
 

virus y vacunas

  • 1. 2012 Virus y vacunas Miguel ángel rincón Saavedra U.P.T.C 13/10/2012 CODIGO 201223658
  • 2. Contenido  TEMA 1. VIRUS o GENERALIDADES o CARACTERISTICAS o COMOSE PRODUCEN o ESTRATEGIAS DE INFECCIÓN o FORMA Y PREVENCIÓN DE VIRUS. TEMA 2. ANTIRUS ° TIPOS DE ANTIVIRUS °. FORMACIÓN DEL USUARIO ° SISTEMAS OPERATIVOS MÁS ATACADOS. TEMA 3 ENCUESTA HECHA POR KARSPERKY EN EL 2012. BIBLIOGRSAFIA. VYRUS Y VACUNAS Página 2
  • 3. Virus ordenador debe cargar el virus desde la memoria del Los Virus informáticos ordenador y seguir sus son programas de ordenador instrucciones. Estas que se reproducen a sí mismos instrucciones se conocen e interfieren con el hardware como carga activa del virus. de una computadora o con su La carga activa puede sistema operativo (el software trastornar o modificar básico que controla la archivos de datos, presentar computadora). un determinado mensaje o provocar fallos en el sistema operativo. Generalidades sobre los virus de computadoras La primer aclaración que cabe Los virus están diseñados para es que los virus de reproducirse y evitar su computadoras, son detección. simplemente programas, y Existen otros programas informáticos nocivos como tales, hechos por similares a los virus, pero que programadores. Son no cumplen ambos requisitos programas que debido a sus de reproducirse y eludir su detección. Estos programas características particulares, se dividen en tres categorías: son especiales. Para hacer un Caballos de Troya, bombas virus de computadora, no se lógicas y gusanos. Un caballo requiere capacitación de Troya aparenta ser algo especial, ni una genialidad interesante e inocuo, por significativa, sino ejemplo un juego, pero cuando se ejecuta puede tener conocimientos de lenguajes efectos dañinos. de programación, de algunos Como cualquier otro temas no difundidos para programa informático, un público en general y algunos virus debe ser ejecutado para conocimientos puntuales que funcione: es decir, el sobre el ambiente de VYRUS Y VACUNAS Página 3
  • 4. programación y arquitectura usuario sepa exactamente las de las computadoras. operaciones que realiza, teniendo control sobre ellas. Los virus, por el contrario, En la vida diaria, más allá de para ocultarse a los ojos del las especificaciones técnicas, usuario, tienen sus propias cuando un programa invade rutinas para conectarse con inadvertidamente el sistema, se los periféricos de la replica sin conocimiento del computadora, lo que les usuario y produce daños, garantiza cierto grado de pérdida de información o inmunidad a los ojos del fallas del sistema. Para el usuario, que no advierte su usuario se comportan como presencia, ya que el sistema tales y funcionalmente lo son operativo no refleja su en realidad. actividad en la computadora. Esto no es una "regla", ya que ciertos virus, especialmente los que operan bajo Windows, Los virus actúan usan rutinas y funciones enmascarados por "debajo" operativas que se conocen del sistema operativo, como como API‟s. Windows, regla general, y para actuar desarrollado con una sobre los periféricos del arquitectura muy particular, sistema, tales como disco debe su gran éxito a las rígido, disqueteras, Zip, CD, rutinas y funciones que pone a hacen uso de sus propias disposición de los rutinas aunque no programadores y por cierto, exclusivamente. Un programa también disponibles para los "normal" por llamarlo así, usa desarrolladores de virus. Una las rutinas del sistema de las bases del poder operativo para acceder al destructivo de este tipo de control de los periféricos programas radica en el uso de del sistema, y eso hace que el funciones de manera VYRUS Y VACUNAS Página 4
  • 5. "sigilosa", se oculta a los conjunto de instrucciones ojos del usuario común. que ejecuta un ordenador o computadora. Es dañino: Un virus La clave de los virus radica informático siempre causa justamente en que son daños en el sistema que programas. Un virus para ser infecta, pero vale aclarar que activado debe ser ejecutado y el hacer daño no significa que funcionar dentro del sistema vaya a romper algo. El daño al menos una vez. Demás está puede ser implícito cuando lo decir que los virus no que se busca es destruir o "surgen" de las computadoras alterar información o pueden espontáneamente, sino que ser situaciones con efectos ingresan al sistema negativos para la inadvertidamente para el computadora, como consumo usuario, y al ser ejecutados, de memoria principal, tiempo de se activan y actúan con la procesador. computadora huésped. Es auto reproductor: La característica más importante de este tipo de programas es la de crear copias de sí mismos, cosa que ningún otro programa convencional hace. Las características de los Imaginemos que si todos agentes víricos: tuvieran esta capacidad podríamos instalar un procesador de textos y un par de días más tarde tendríamos Son programas de tres de ellos o más. computadora: En informática programa es sinónimo de Es subrepticio: Esto significa Software, es decir el que utilizará varias técnicas VYRUS Y VACUNAS Página 5
  • 6. para evitar que el usuario se Los virus informáticos se dé cuenta de su presencia. La difunden cuando las instrucciones o código primera medida es tener un ejecutable que hacen tamaño reducido para poder funcionar los programas disimularse a primera vista. pasan de un ordenador a otro. Una vez que un virus está Puede llegar a manipular el activado, puede reproducirse resultado de una petición al copiándose en discos sistema operativo de mostrar flexibles, en el disco duro, en programas informáticos el tamaño del archivo e legítimos o a través de redes incluso todos sus atributos. informáticas. Estas infecciones son mucho más Las acciones de los virus son frecuentes en las diversas, y en su mayoría computadoras que en sistemas profesionales de grandes inofensivas, aunque algunas ordenadores, porque los pueden provocar efectos programas de las molestos y, en ciertos, casos computadoras se intercambian un grave daño sobre la fundamentalmente a través de discos flexibles o de redes información, incluyendo informáticas no reguladas. pérdidas de datos. Hay virus que ni siquiera están diseñados para activarse, por Los virus funcionan, se reproducen y liberan sus lo que sólo ocupan espacio en cargas activas sólo cuando se disco, o en la memoria. Sin ejecutan. Por eso, si un embargo, es recomendable y ordenador está simplemente conectado a una red posible evitarlos. informática infectada o se limita a cargar un programa ¿Cómo se producen las infectado, no se infectará infecciones? necesariamente. Normalmente, un usuario no ejecuta conscientemente un código informático potencialmente nocivo; sin embargo, los virus engañan frecuentemente al sistema operativo de la computadora o al usuario VYRUS Y VACUNAS Página 6
  • 7. informático para que ejecute electrónico que millones de el programa viral. computadoras han sido afectadas creando pérdidas económicas incalculables. Algunos virus tienen la capacidad de adherirse a programas legítimos. Esta Hay personas que piensan que adhesión puede producirse con tan sólo estar navegando cuando se crea, abre o en la Internet no se van a modifica el programa legítimo. contagiar porque no están Cuando se ejecuta dicho bajando archivos a sus programa, ocurre lo mismo ordenadores, pero la verdad con el virus. Los virus también es que están muy equivocados. pueden residir en las partes Hay algunas páginas en del disco duro o flexible que Internet que utilizan objetos cargan y ejecutan el sistema ActiveX que son archivos operativo cuando se arranca ejecutables que el navegador el ordenador, por lo que de Internet va ejecutar en dichos virus se ejecutan nuestras computadoras, si en automáticamente. En las redes el ActiveX se le codifica algún informáticas, algunos virus se tipo de virus este va a pasar a ocultan en el software que nuestra computadoras con permite al usuario conectarse tan solo estar observando al sistema. esa página. La propagación de los virus Cuando uno está recibiendo informáticos a las correos electrónicos, debe computadoras personales, ser selectivo en los archivos servidores o equipo de que uno baja en nuestras computación se logra computadoras. Es más seguro mediante distintas formas, bajarlos directamente a como por ejemplo: a través de nuestra computadora para disquetes, cintas magnéticas, luego revisarlos con un CD o cualquier otro medio de antivirus antes que entrada de información. El ejecutarlos directamente de método en que más ha donde están. Un virus proliferado la infección con informático puede estar virus es en las redes de oculto en cualquier sitio, comunicación y más tarde la cuando un usuario ejecuta Internet. Es con la Internet y algún archivo con extensión especialmente el correo .exe que es portador de un VYRUS Y VACUNAS Página 7
  • 8. algún virus todas las de ese modo a información instrucciones son leídas por privada de la computadora, la computadora y procesadas como el archivo de claves, y por ésta hasta que el virus es pueden remotamente alojado en algún punto del desconectar al usuario del disco duro o en la memoria del canal IRC. sistema. Luego ésta va pasando de archivo en archivo infectando todo a su alcance Virus Falsos (Hoax): añadiéndole bytes adicionales a los demás archivos y contaminándolos con el virus. Los archivos que son Un último grupo, que infectados mayormente por decididamente no puede ser los virus son tales cuyas considerado virus. Se trata de extensiones son: .exe, .com, las cadenas de e-mails que .bat, .sys, .pif, .dll y .drv. generalmente anuncian la amenaza de algún virus "peligrosísimo" (que nunca existe, por supuesto) y que por ESTRATEGIAS DE INFECCIÓN temor, o con la intención de USADAS POR LOS VIRUS prevenir a otros, se envían y re-envían incesantemente. Esto produce un estado de pánico sin sentido y genera un molesto tráfico de El código del virus se agrega información innecesaria. al final del archivo a infectar, mod ¿CÓMO SABER SI TENEMOS UN VIRUS? La mejor forma de detectar un virus es, obviamente con un antivirus, pero en ocasiones los antivirus pueden fallar en la detección. Puede ser que no detectemos nada y aún seguir Causa que el "script.ini" con problemas. En esos casos original se sobre escriba con "difíciles", entramos en el "script.ini" maligno. Los terreno delicado y ya es autores de ese script acceden conveniente la presencia de un técnico programador. Muchas VYRUS Y VACUNAS Página 8
  • 9. veces las fallas atribuidas a realizarlas en el soporte que virus son en realidad fallas de desee, disquetes, unidades de hardware y es muy importante cinta, etc. Mantenga esas copias que la persona que verifique en un lugar diferente del ordenador y protegido de campos el equipo tenga profundos magnéticos, calor, polvo y conocimientos de personas no autorizadas. arquitectura de equipos, software, virus, placas de hardware, conflictos de Copias de programas originales hardware, conflictos de programas entre sí y bugs o fallas conocidas de los programas o por lo menos de No instale los programas desde los programas más los disquetes originales. Haga copia de los discos y utilícelos importantes. Las para realizar las instalaciones. modificaciones del Setup, cambios de configuración de Windows, actualización de drivers, fallas de RAM, No acepte copias de origen dudoso instalaciones abortadas, rutinas de programas con errores y aún oscilaciones en la línea de alimentación del Evite utilizar copias de origen equipo pueden generar dudoso, la mayoría de las infecciones provocadas por errores y algunos de estos virus se deben a discos de origen síntomas. Todos esos desconocido. aspectos deben ser analizados y descartados para llegar a la conclusión que la falla Utilice contraseñas proviene de un virus no detectado o un virus nuevo aún no incluido en las bases de datos de los antivirus más Ponga una clave de acceso a su importantes. computadora para que sólo usted pueda acceder a ella. FORMAS DE PREVENCIÓN Y ELIMINACIÓN DEL VIRUS Copias de seguridad Realice copias de seguridad de sus datos. Éstas pueden VYRUS Y VACUNAS Página 9
  • 10. agujero anunciado por Peterson. Una nueva variedad de virus había nacido. Los nuevos virus e Internet Para ser infectado por el BubbleBoy, sólo es necesario Hasta la aparición del programa que el usuario reciba un mail Microsoft Outlook, era infectado y tenga instalados imposible adquirir virus mediante Windows 98 y el programa el correo electrónico. Los e- gestor de correo Microsoft mails no podían de ninguna Outlook. La innovación manera infectar una tecnológica implementada por computadora. Solamente si se Microsoft y que permitiría adjuntaba un archivo susceptible mejoras en la gestión del de infección, se bajaba a la correo, resultó una vez más en computadora, y se ejecutaba, agujeros de seguridad que podía ingresar un archivo vulneraron las computadoras de infectado a la máquina. Esta desprevenidos usuarios. paradisíaca condición cambió de pronto con las declaraciones de Padgett Peterson, miembro de Computer Antivirus Research Las mejoras que provienen de los Organization, el cual afirmó la lenguajes de macros de la familia posibilidad de introducir un virus Microsoft facilitan la presencia en el disco duro del usuario de de "huecos" en los sistemas que Windows 98 mediante el correo permiten la creación de técnicas electrónico. Esto fue posible y herramientas aptas para la porque el gestor de correo violación nuestros sistemas. La Microsoft Outlook 97 es capaz gran corriente de creación de de ejecutar programas escritos virus de Word y Excel, conocidos en Visual Basic para Aplicaciones como Macro-Virus, nació como (antes conocido como Visual consecuencia de la introducción Languaje, propiedad de del Lenguaje de Macros Microsoft), algo que no sucedía WordBasic (y su actual sucesor en Windows 95. Esto fue negado Visual Basic para Aplicaciones), por el gigante del software y se en los paquetes de Microsoft intentó ridiculizar a Peterson de Office. Actualmente los diversas maneras a través de Macrovirus representan el 80 % campañas de marketing, pero del total de los virus que como sucede a veces, la verdad circulan por el mundo. no siempre tiene que ser probada. A los pocos meses del anuncio, hizo su aparición un nuevo virus, Hoy en día también existen llamado BubbleBoy, que archivos de páginas Web que infectaba computadoras a través pueden infectar una del e-mail, aprovechándose del VYRUS Y VACUNAS Página 10
  • 11. computadora. El boom de sistema un programa que permita Internet ha permitido la "abrir la puerta" de la conexión propagación instantánea de virus para permitir el acceso del a todas las fronteras, haciendo intruso o directamente el envío susceptible de ataques a de la información contenida en cualquier usuario conectado. La nuestro disco. En realidad, red mundial de Internet debe ser hackear un sistema Windows es considerada como una red ridículamente fácil. La clave de insegura, susceptible de esparcir todo es la introducción de tal programas creados para programa, que puede enviarse en aprovechar los huecos de un archivo adjunto a un e-mail seguridad de Windows y que que ejecutamos, un disquete que faciliten el "implante" de los recibimos y que contiene un mismos en nuestros sistemas. Los programa con el virus, o quizá un virus pueden ser programados simple e-mail. El concepto de para analizar y enviar nuestra virus debería ser ampliado a información a lugares remotos, y todos aquellos programas que lo que es peor, de manera de alguna manera crean nuevas inadvertida. El protocolo puertas en nuestros sistemas que TCP/IP, desarrollado por los se activan durante la conexión a creadores del concepto de Internet para facilitar el acceso Internet, es la herramienta más del intruso o enviar directamente flexible creada hasta el nuestra información privada a momento; permite la conexión de usuarios en sitios remotos. cualquier computadora con cualquier sistema operativo. Este maravilloso protocolo, que Entre los virus que más fuerte controla la transferencia de la han azotado a la sociedad en los información, al mismo tiempo, últimos dos años se pueden vuelve sumamente vulnerable de mencionar: violación a toda la red. Cualquier computadora conectada a la red, puede ser localizada y accedida Sircam remotamente si se siguen algunos caminos que no analizaremos por Code Red razones de seguridad. Lo cierto Nimda es que cualquier persona con conocimientos de acceso al Magistr hardware por bajo nivel, pueden monitorear una computadora Melissa conectada a Internet. Durante la Klez conexión es el momento en el que el sistema se vuelve vulnerable y LoveLetter puede ser "hackeado". Sólo es necesario introducir en el VYRUS Y VACUNAS Página 11
  • 12. Los antivirus Comparación por firmas: son vacunas que comparan las firmas En informática los antivirus son de archivos sospechosos para programas cuyo objetivo es saber si están infectados. detectar y/o eliminar virus informáticos. Nacieron durante Comparación de firmas de la década de1980. archivo: son vacunas que comparan las firmas de los Con el transcurso del tiempo, la atributos guardados en tu aparición de sistemas operativos equipo. más avanzados e Internet, ha hecho que los antivirus hayan Por métodos heurísticos: son evolucionado hacia programas vacunas que usan métodos más avanzados que no sólo heurísticos para comparar buscan detectar virus archivos. informáticos, sino bloquearlos, desinfectarlos y prevenir una Invocado por el usuario: son infección de los mismos, y vacunas que se activan actualmente ya son capaces de instantáneamente con el usuario. reconocer otros tipos de Invocado por la actividad del malware, como spyware, sistema: son vacunas que se rootkits, etc. activan instantáneamente por la actividad del sistema operativo. Tipos de vacunas Sólo detección: Son vacunas que sólo actualizan archivos infectados sin embargo no pueden eliminarlos o desinfectarlos. Planificación Detección y desinfección: son vacunas que detectan archivos La planificación consiste en infectados y que pueden tener preparado un plan de desinfectarlos. contingencia en caso de que una emergencia de virus se produzca, Detección y aborto de la acción: así como disponer al personal de son vacunas que detectan la formación adecuada para archivos infectados y detienen reducir al máximo las acciones las acciones que causa el virus que puedan presentar cualquier VYRUS Y VACUNAS Página 12
  • 13. tipo de riesgo. Cada antivirus 3. Métodos de instalación puede planear la defensa de una rápidos. Para permitir la manera, es decir, un antivirus reinstalación rápida en caso de puede hacer un escaneado contingencia. completo, rápido o de vulnerabilidad según elija el 4. Asegurar licencias. usuario. Determinados softwares imponen métodos de instalación de una Consideraciones de software vez, que dificultan la reinstalación rápida de la red. El software es otro de los Dichos programas no siempre elementos clave en la parte de tienen alternativas pero ha de planificación. Se debería tener en buscarse con el fabricante cuenta la siguiente lista de métodos rápidos de instalación. comprobaciones para tu seguridad: 5. Buscar alternativas más 1. Tener el software seguras. Existe software que es imprescindible para el famoso por la cantidad de funcionamiento de la actividad, agujeros de seguridad que nunca menos pero tampoco más. introduce. Es imprescindible Tener controlado al personal en conocer si se puede encontrar cuanto a la instalación de una alternativa que proporcione software es una medida que va iguales funcionalidades pero implícita. Asimismo tener permitiendo una seguridad extra. controlado el software asegura la calidad de la procedencia del mismo (no debería permitirse software pirata o sin garantías). Consideraciones de la red En todo caso un inventario de Disponer de una visión clara del software proporciona un método funcionamiento de la red permite correcto de asegurar la poner puntos de verificación reinstalación en caso de filtrada y detección ahí donde la desastre. incidencia es más claramente 2. Disponer del software de identificable. Sin perder de vista seguridad adecuado. Cada otros puntos de acción es actividad, forma de trabajo y conveniente: métodos de conexión a Internet 1. Mantener al máximo el número requieren una medida diferente de recursos de red en modo de de aproximación al problema. En sólo lectura. De esta forma se general, las soluciones impide que computadoras domésticas, donde únicamente infectadas los propaguen. hay un equipo expuesto, no son las mismas que las soluciones 2. Centralizar los datos. De empresariales. forma que detectores de virus en VYRUS Y VACUNAS Página 13
  • 14. modo batch puedan trabajar Sin embargo los filtros de durante la noche. correos con detectores de virus son imprescindibles, ya que de 3. Realizar filtrados de firewall esta forma se asegurará una de red. Eliminar los programas reducción importante de que comparten datos, como decisiones de usuarios no pueden ser los P2P; Mantener entrenados que pueden poner en esta política de forma rigurosa, y riesgo la red. con el consentimiento de la gerencia. Los virus más comunes son los troyanos y gusanos, los cuales 4. Reducir los permisos de los ocultan tu información, creando usuarios al mínimo, de modo que Accesos Directos. sólo permitan el trabajo diario. Firewalls 5. Controlar y monitorizar el acceso a Internet. Para poder Artículo principal: Cortafuegos detectar en fases de (informática). recuperación cómo se ha introducido el virus, y así Filtrar contenidos y puntos de determinar los pasos a seguir. acceso. Eliminar programas que no estén relacionados con la Formación: Del usuario actividad. Tener monitorizado los accesos de los usuarios a la red, Esta es la primera barrera de permite asimismo reducir la protección de la red. instalación de software que no es necesario o que puede generar Antivirus riesgo para la continuidad del Es conveniente disponer de una negocio. Su significado es licencia activa de antivirus. Dicha barrera de fuego y no permite que licencia se empleará para la otra persona no autorizada generación de discos de tenga acceso desde otro equipo recuperación y emergencia. Sin al tuyo. embargo no se recomienda en una red el uso continuo de antivirus. El motivo radica en la cantidad de recursos que dichos programas obtienen del sistema, reduciendo el valor de las inversiones en hardware realizadas. Aunque si los recursos son suficientes, este extra de seguridad puede ser muy útil. Reemplazo de software VYRUS Y VACUNAS Página 14
  • 15. Los puntos de entrada en la red Empleo de sistemas operativos son generalmente el correo, las más seguros páginas WEB, y la entrada de ficheros desde discos, o de PC que no están en la empresa (portátiles...) Muchas de estas computadoras emplean programas que pueden ser reemplazados por alternativas más seguras. Es conveniente llevar un seguimiento de cómo distribuyen Para servir ficheros no es bancos, y externos el software, conveniente disponer de los valorar su utilidad e instalarlo mismos sistemas operativos que si son realmente imprescindibles. se emplean dentro de las estaciones de trabajo, ya que Centralización y Backup´s toda la red en este caso está expuesta a los mismos retos. Una La centralización de recursos y forma de prevenir problemas es garantizar el backup de los disponer de sistemas operativos datos es otra de las pautas con arquitecturas diferentes, fundamentales en la política de que permitan garantizar la seguridad recomendada. continuidad de negocio. La generación de inventarios de Temas acerca de la seguridad software, centralización del mismo y la capacidad de generar Existen ideas instaladas por instalaciones rápidas parte de las empresas de proporcionan métodos antivirus parte en la cultura adicionales de seguridad. popular que no ayudan a mantener la seguridad de los Es importante tener localizado sistemas de información. donde tenemos localizada la información en la empresa. De Mi sistema no es importante para esta forma podemos realizar las un cracker. Este tema se basa en copias de seguridad de forma la idea de que no introducir adecuada. passwords seguras en una empresa no entraña riesgos pues Control o separación de la ¿Quién va a querer obtener informática móvil, dado que esta información mía? Sin embargo está más expuesta a las dado que los métodos de contingencias de virus. contagio se realizan por medio de programas automáticos, desde unas máquinas a otras, estos no distinguen buenos de malos, interesantes de no interesantes... VYRUS Y VACUNAS Página 15
  • 16. Por tanto abrir sistemas y dicha aplicación puede permitir dejarlos sin claves es facilitar que el atacante abra una shell y la vida a los virus. por ende ejecutar comandos en el UNIX. Estoy protegido pues no abro archivos que no conozco. Esto Sistemas operativos más es falso, pues existen múltiples atacados formas de contagio, además los programas realizan acciones sin Las plataformas más atacadas la supervisión del usuario por virus informáticos son la poniendo en riesgo los sistemas. línea de sistemas operativos Windows de Microsoft. Respecto Como tengo antivirus estoy a los sistemas derivados de Unix protegido. Únicamente estoy como GNU/Linux, BSD, Solaris, protegido mientras el antivirus Mac OS X, estos han corrido con sepa a lo que se enfrenta y como mayor suerte debido en parte al combatirlo. En general los sistema de permisos. No obstante programas antivirus no son en las plataformas derivadas de capaces de detectar todas las Unix han existido algunos posibles formas de contagio intentos que más que existentes, ni las nuevas que presentarse como amenazas pudieran aparecer conforme las reales no han logrado el grado computadoras aumenten las de daño que causa un virus en capacidades de comunicación. plataformas Windows. Como dispongo de un firewall no me contagio. Esto únicamente proporciona una limitada Plataformas Unix, inmunes a los capacidad de respuesta. Las virus de Windows. formas de infectarse en una red son múltiples. Unas provienen directamente de accesos a mi sistema (de lo que protege un firewall) y otras de conexiones que realizó (de las que no me protege). Emplear usuarios con altos privilegios para realizar conexiones tampoco ayuda. Tengo un servidor web cuyo sistema operativo es un UNIX actualizado a la fecha. Puede que esté protegido contra ataques directamente hacia el núcleo, pero si alguna de las aplicaciones web (PHP, Perl, Cpanel, etc.) está desactualizada, un ataque sobre algún script de VYRUS Y VACUNAS Página 16
  • 17. ESTUDIOS REALIZADOS POR programación “a la antigua”. El KARSPERKY LAB. enfoque de los creadores de DEMUESTRAN: Duqu suele darse en proyectos legítimos de programación, pero Resumen de las actividades de casi nunca en los de programas los virus informáticos, marzo de maliciosos. Existen más 2012 evidencias de que Duqu (y Stuxnet) es un desarrollo único que sobresale entre otros Global Research & Analysis Team programas maliciosos. (Great), Kaspersky Lab Después de invertir tanto dinero en proyectos como Duqu y Stuxnet, no resulta sencillo DUQU tirarlo todo por la borda. En marzo detectamos un nuevo La investigación sobre el controlador circulando en troyano Duqu ha entrado en su Internet que era prácticamente sexto mes, y en marzo se vieron idéntico a los que se usaron en significativos avances, ya que se los principios de Duqu. Los pudo establecer el lenguaje que anteriores controladores se se usaba en su código crearon el 3 de noviembre de Framework. Este descubrimiento 2010 y el 17 de octubre de 2011, se realizó con la ayuda de la mientras que el nuevo es del 23 comunidad informática de febrero de 2012. Al parecer, internacional, que nos los creadores de Duqu proporcionó cientos de posibles retomaron sus actividades explicaciones e hipótesis. después de cuatro meses de descanso. El Framework de Duqu se escribió en lenguaje C y se El nuevo controlador de Duqu compiló con MSVC 2008 con las tiene las mismas funcionalidades opciones “/O1” y “/Ob1”. Es muy que las anteriores versiones probable que sus creadores conocidas. Aunque los cambios hayan utilizado la extensión en el código son insignificantes, orientada a objetos del lenguaje demuestran que los creadores C, conocido como “OO C”. La han hecho su trabajo de arquitectura dirigida por eventos “corregir errores” para evitar su se desarrolló como parte del detección. Aún no hemos Framework o en la extensión OO detectado el módulo principal de C. El código de comunicación Duqu asociado con este C&C pudo haber provenido de controlador. otro programa malicioso y adaptarse a las características Para conocer en más detalle las de Duqu. Creemos que el código estadísticas de Kaspersky Lab fue desarrollado por sobre las víctimas de Duqu, activa profesionales que prefieren una el siguiente enlace. Este blog VYRUS Y VACUNAS Página 17
  • 18. también presenta las era el escenario que se modificaciones del troyano que presentaba en septiembre, hemos logrado detectar: El cuando se desmanteló la primera Misterio de Duqu: Parte Diez red zombi Hlux/Kelihos. Se repitió en marzo. Lucha contra la ciberdelincuencia La nueva (tercera) versión del bot, llamada Kelihos.C, llamó Clausura de la segunda red zombi nuestra atención varios días Hlux/Kelihos después del inicio de la operación de drenaje. Al parecer, los Kaspersky Lab, en colaboración dueños de la red temían su con CrowdStrike Intelligence clausura en cualquier momento y Team, Dell SecureWorks y siguieron adelante con su plan B. Honeynet Project, ha logrado Notamos que en Kelihos.C se desmantelar la segunda red modificaron las llaves RSA, tal zombi Hlux/Kelihos. (La nueva como sucedió con Kelihos.B. Las historia de la exitosa clausura de llaves RSA se usaron para una red zombi - Desmantelamiento codificar algunas estructuras de la nueva red zombi en los mensajes (La botnet Hlux/Kelihos). Kelihos/Hlux vuelve con nuevas Los investigadores bautizaron técnicas). esta red zombi con el nombre de Puesto que los dueños de la red Kelihos.B para indicar que se zombi publicaron con prontitud creó con la segunda variante otra actualización del bot, modificada de la red original. algunos investigadores siguen El 21 de marzo, comenzamos a escépticos sobre la efectividad introducir en la red zombi un del método de drenaje para router dedicado de drenaje. neutralizar las redes zombi. Por Nuestro objetivo era que los nuestra parte, creemos que este ordenadores infectados se método resulta efectivo para comunicaran sólo con este complicar la vida de los rufianes router. Durante una semana, más al forzarlos a desviar su de 116.000 de ellos lo hicieron, atención de la distribución de un lo que nos permitió controlar nuevo bot y de la infección de los bots de los dueños de la red nuevos ordenadores. Mientras zombi. las nuevas versiones del bot no implementen cambios Cuando se está implementando significativos en su arquitectura una operación para controlar y en su protocolo de una red zombi, sus dueños suelen comunicación, seguiremos con fortificar sus posiciones este juego del gato y el ratón. publicando una nueva versión del Sin embargo, sólo podremos bot y lanzando una campaña de cantar victoria absoluta contra reclutamiento de nuevos la red zombi cuando se logre ordenadores para su red. Este arrestar a sus dueños. VYRUS Y VACUNAS Página 18
  • 19. Ataque contra Zeus y sus hosts Arrestan a los responsables de Carberp A mediados de marzo, Microsoft unió fuerzas con la asociación de Las autoridades rusas, junto al pagos online NACHA y FS-ISAC, grupo analítico Group-IB, una ONG que representa los concluyeron su investigación intereses de los miembros de la sobre las actividades delictivas industria de servicios financieros de un grupo que robaba dinero de los EE.UU., para lanzar otro mediante un notable troyano ataque contra los dueños de la bancario, llamado Carberp. red zombi. El ataqué se llamó Según información brindada por “operación b71”. Con el permiso Departamento K de Rusia, una judicial, se capturaron varios unidad especializada en la lucha servidores y centros de control contra la delincuencia de alta de las redes zombi más activas y tecnología, el grupo estaba numerosas basadas en Zeus. compuesto de ocho personas. Clientes de decenas de bancos Microsoft también intentó rusos cayeron víctimas de estos desenmascarar a los implicados ciberdelincuentes que lograron en el desarrollo y distribución robar unos 60 millones de de Zeus y otros troyanos rublos (unos dos millones de similares, como SpyEye y Ice-IX dólares). Afortunadamente, la (este último basado en los investigación resultó en el códigos fuente de Zeus que se arresto de esta banda delictiva. filtraron). En Rusia es muy raro el arresto Microsoft inició acciones de ciberdelincuentes, por lo que legales contra 39 personas la noticia fue muy bien recibida. anónimas implicadas en la Sin embargo, la investigación se creación del código malicioso y centró en un solo grupo que las redes que se basan en él. usaba un código “listo para usar” Esperamos que esta iniciativa de Carberp y recurría a los Microsoft reciba el respaldo servicios de redes asociadas para legal de las autoridades de su distribución. El comunicado EE.UU. y, con el apoyo de la afirma que entre los arrestados comunidad internacional, se se encontraban los dueños de la logre encarcelar a más red y las mulas de dinero que ciderdelincuentes. retiraban los fondos robados de cajeros automáticos. Sin De hecho, estas son sólo embargo, el creador del troyano algunas medidas que pueden y sus redes asociadas siguen en ayudar a neutralizar los libertad. El troyano Carberp troyanos bancarios, ya que según Trojan sigue vendiéndose en estimaciones de Microsoft, el foros especializados (Carberp daño total ocasionado por Zeus, sigue vivo), lo que significa que se SpyEye y Ice-IX ya llega a sigue usando y que lo usarán quinientos millones de dólares. otros grupos. En particular, y VYRUS Y VACUNAS Página 19
  • 20. hasta la fecha, hemos estado remota, entonces el troyano siguiendo las actividades de Lurk se instalaba en el varias redes zombi Carberp. Lo ordenador infectado. Este que aún no está claro es si troyano roba los datos pertenecen a un solo grupo o a confidenciales del usuario para varios. acceder a los servicios de banca online de varios bancos rusos Ataques a usuarios individuales importantes. Un bot “sin archivo” Este ataque estaba dirigido contra los usuarios rusos. Sin A principios de marzo, los embargo, no podemos descartar expertos de Kaspersky Lab que el mismo exploit y el mismo detectaron un singular ataque bot “sin archivo” vuelvan a que usaba un programa malicioso usarse contra usuarios en otras capaz de operar sin crear partes del mundo: pueden archivos en los sistemas propagarse a través de redes infectados. similares de banners o teasers en Este código malicioso se otros países. propagaba por medio de una red Esta es la primera vez en años „teaser‟ que incluía algunos que nos encontramos con este recursos noticiosos populares inusual tipo de programa en Rusia. Un script JavaScript malicioso “sin archivo”. Estos para uno de los teasers programas no existen como descargados en el sitio incluía un archivos en el disco duro, sino iframe que desviaba al usuario que operan sólo en la memoria hacia un sitio malicioso en el RAM del ordenador infectado, lo dominio .EU y que contenía un que dificulta en gran medida su exploit Java. detección por parte de las A diferencia de los conocidos soluciones antivirus. ataques drive-by, al paso, este Aunque los programas programa malicioso no se maliciosos “sin archivo” sólo descargaba en el disco duro, funcionan hasta que el sistema sino que operaba exclusivamente operativo se reinicie, la en la memoria RAM. Al operar posibilidad de que el usuario como un bot, el programa vuelva a visitar el sitio infectado malicioso enviaba peticiones que suele ser grande. incluían datos sobre historial de navegación tomados de los Los expertos de Kaspersky Lab registros del navegador del suelen enfatizar que el parche usuario y los enviaba al servidor oportuno es el método más de los ciberdelincuentes. Si los confiable para protegerse datos enviados al servidor contra los programas malicioso incluían información maliciosos que explotan que indicaba que el usuario había vulnerabilidades. En este caso, accedido a sistemas de banca recomendamos la instalación de VYRUS Y VACUNAS Página 20
  • 21. un parche provisto por Oracle inyectar un DLL malicioso a un que cierra la vulnerabilidad CVE- navegador de Internet. Si el 2011-3544 en Java. Este parche usuario hace una petición en los se puede descargar desde: . motores de búsqueda Google, Yahoo o Bing, el troyano duplica Otro robo de certificados todas las peticiones en el servidor del ciberbandido. El Nos hemos encontrado con más y servidor responde con enlaces más programas maliciosos desde el sistema Search123 que firmados. A mediados de marzo, funciona bajo el sistema pago- volvimos a detectar programas por-click (PPC). Los enlaces se maliciosos con firmas digitales activan sin que el usuario lo válidas (troyanos Mediyes) así sepa; los ciberdelincuentes como numerosos archivos tipo lucran con los falsos clicks. dropper que estaban firmados en varias fechas entre diciembre de 2011 y el 7 de marzo de 2012. En Extensión maliciosa para todos los casos se usó un Chrome certificado entregado por la compañía suiza Conpavi AG. Esta A principios de marzo, los compañía es conocida por su expertos de Kaspersky Lab trabajo con agencias detectaron una extensión gubernamentales suizas, como maliciosa para Google Chrome las municipales y cantonales. que apuntaba a los usuarios de Facebook en Brasil. Sin embargo, Los ciberdelincuentes pueden nada evitaría que los infectar los ordenadores de la ciberdelincuentes lanzaran compañía y robar un certificado ataques similares contra que luego usarán para firmar usuarios en otros países. programas maliciosos. (Hay algunos notorios programas Las extensiones maliciosas se maliciosos ZeuS que realizan esta propagaron en Facebook a función: buscan los certificados través de los enlaces que en el ordenador infectado y, si parecían de aplicaciones los encuentran los envían al legítimas. Estos ataques se ciberdelincuentes). El hecho de valieron de varios temas, como que las autoridades municipales “Cambia el color de tu perfil”, hayan podido estar involucradas “Descubre quién visitó tu perfil”, en este accidente es una noticia y “Aprende a eliminar los virus de de por sí muy mala, pues quién tu perfil de Facebook". Si el sabe a qué datos confidenciales usuario aceptaba instalar una de las oficinas municipales aplicación, se lo dirigía a la tuvieron acceso los piratas tienda online oficial de Google cibernéticos. Chrome, donde la extensión maliciosa para Chrome aparecía Mediyes guarda su propio como “Adobe Flash Player”. controlador en el directorio de unidades del sistema, para luego VYRUS Y VACUNAS Página 21
  • 22. El usuario corriente no llega a En marzo, Microsoft publicó un entender todos los detalles que parche para reparar una rodean la publicación de vulnerabilidad crítica en aplicaciones en la tienda online Microsoft Terminal Services de Google Chrome. El usuario (también conocido como Remote sólo ve el sitio online oficial de Desktop). Esta vulnerabilidad tan Google y confía que está libre de problemática es del tipo use- riesgos. Sin embargo, cualquier after-free (Referencia no valida a persona puede usar esta tienda un puntero) y se encontraba en el online para su extensión de código que ejecuta en el anillo 0, Chrome; sólo se necesita una es decir, el código que se ejecuta cuenta de Google y la tienda con las autorizaciones del online de Google Chrome ofrece sistema local. una sección especial para las extensiones “caseras”. Luigi Auriemma descubrió esta vulnerabilidad y fue quien creó Después de instalar la extensión un paquete de red que causaba el maliciosa en el ordenador, los colapso de Remote Desktop ciberpiratas lograban acceder a (Dos). Este investigador informó la cuenta de Facebook de la en detalle a Microsoft. No se víctima. En el incidente descrito, sabe qué pasó con esta la extensión descargaba un información, pero sabemos que se script malicioso desde el centro filtró en Internet y llegó, como de comando del un regalo, a los potenciales ciberdelincuentes. Cuando la atacantes sobre cómo explotar víctima entraba a su página de esta vulnerabilidad de Remote Facebook, el script se incrustaba Desktop, en lugar de la en el código HTML de la página. descripción general que suele hacer Microsoft. El objetivo del script era atraer más “Me gusta” para páginas de Inmediatamente apareció mucha Facebook que el ciberbandido gente interesada en encontrar elige. También enviaba un mensaje Exploits apropiados: algunos en nombre de la víctima, incitando querían un exploit que lanzara a sus amigos a descargar la misma ataques, mientras que otros extensión maliciosa. querían verificar la existencia de un exploit y alertar sobre los Google eliminó el programa peligros. Mientras tanto, malicioso tan pronto como se les algunos investigadores de informó al respecto. Sin seguridad informática empezaron embargo, los ciberdelincuentes a prepararse para una epidemia de ya han creado extensiones gusanos de red capaces de similares y las han colocado en explotar esta vulnerabilidad. el mismo lugar: la tienda online de Google Chrome. Y no pasó mucho tiempo antes de que aparecieran los primeros El exploit MS12-020 RDP Exploits, con versiones de VYRUS Y VACUNAS Página 22
  • 23. códigos maliciosos que ofrecían Comenzaron a aparecer una gran acceso remoto no autorizado a cantidad de exploits, pero PCs con Windows a través de ninguna versión fue capaz de Remote Desktop. ejecutar el código de forma remota. Incluso apareció un sitio Sin embargo, una versión tenía web dedicado, con el elocuente todas las características de una nombre broma: istherdpexploitoutyet.com. Aún no hemos encontrado ningún exploit que pueda ejecutar en modo remoto el código a través de Remote Desktop. La mayoría fracasa en su cometido o resulta en el temido BSOD. Sin embargo, recomendamos a todos los usuarios de Microsoft Windows que verifiquen sus PCs para ver si se están ejecutando El autor de este particular Remote Desktop. Si así fuera, exploit firmaba como el conocido deben instalar de inmediato el hacker de LulzSec, Sabu (sus parche de Microsoft. También camaradas lo acusan de pasar vale la pena considerar si de información sobre otros verdad necesitamos ese servicio miembros del grupo al FBI, lo que en nuestro sistema. condujo a su posterior arresto). Te mantendremos informado si El código está escrito en Python aparece un exploit que pueda y usa un módulo freerdp, como ejecutar el código de forma puede verse en el texto que remota, pero mientras tanto, aparece en la imagen de arriba. puedes verificar si tu servidor es Sin embargo, no se conoce vulnerable a potenciales ningún módulo freerdp para ataques RDP en este sitio: Python. Existe una http://rdpcheck.com. implementación gratuita de código abierto para Remote Amenazas para Mac Desktop Protocol, conocida como FreeRDP En marzo pudimos evidenciar una (http://www.freerdp.com/), pero actividad sin precedentes en sus propios desarrolladores no cuanto a programas maliciosos saben nada sobre ningún soporte para Mac OS. para freerdp en la plataforma El caso más prominente fue Python. probablemente el de distribución Esto resultó ser un fraude, y no de spam a direcciones de fue el único. organizaciones tibetanas. Este spam contenía enlaces al exploit VYRUS Y VACUNAS Página 23
  • 24. Exploit.Java.CVE-2011-3544.ms, que describimos en nuestro detectado por Alien Vault Labs. informe de septiembre de 2011 Este exploit está diseñado para (Informe sobre Spam: Septiembre instalar programas maliciosos en de 2011). Los programas los ordenadores de los maliciosos que pertenecen a esta usuarios, según el tipo de sistema familia se propagan bajo la operativo con que cuente el cobertura de archivos con ordenador de la víctima. En este extensiones seguras. Durante el caso en particular, se instaló ataque de marzo, los Backdoor.OSX.Lasyr.a en los ciberdelincuentes distribuyeron ordenadores de los usuarios de spam con imágenes eróticas con Mac OS, y extensión .JPG y archivos Trojan.Win32.Inject.djgs en los maliciosos ejecutables de usuarios de Windows (el camuflados como imágenes. troyano estaba firmado por un certificado vencido otorgado Pero había otra “novedad” que por la compañía china “WoSign aguardaba en marzo: los Code Signing Authority”). programas maliciosos de la Curiosamente, los familia Trojan- ciberdelincuentes usaron los Downloader.OSX.Flashfake que mismos servidores para manejar ahora usan Twitter como ambos programas maliciosos servidores de administración. durante los ataques. Para distribuir estos programas maliciosos, los ciberpiratas Este ataque no fue un ejemplo usaron 200.000 blogs aislado de que China usa hackeados que funcionaban bajo programas maliciosos para WordPress. atacar organizaciones tibetanas. Apenas una semana después, Amenazas móviles Kaspersky Lab detectó un Troyano bancario para Android archivo DOC como Exploit.MSWord.CVE-2009- Hace unos 18 meses se descubrió 0563.a en una distribución similar una versión móvil del infame de spam. Este exploit infectaba troyano ZeuS. Se la nombró los ordenadores de los usuarios ZitMo (ZeuS-in-the-Mobile). Este de Mac OS con el programa troyano estaba diseñado para malicioso robar números de Backdoor.OSX.MaControl.a. autentificación para Curiosamente, este programa transacciones desde móviles malicioso recibía comandos para (mTAN) que los bancos envían a ordenadores infectados desde el los móviles de sus clientes a servidor freetibet2012.xicp.net través de SMS. Aunque este tipo localizado en China. de amenaza móvil tuvo algún desarrollo, no fue sino hasta También en marzo se detectó una marzo de 2012 que se detectó un nueva modificación del programa programa malicioso móvil que malicioso Backdoor.OSX.Imuler, podía robar credenciales VYRUS Y VACUNAS Página 24
  • 25. (nombre de usuario y contraseña) dominio está ahora desactivado). para la autentificación de Además, resulta que el número transacciones bancarias. móvil al que se le envía la información es ruso y pertenece A mediados de marzo, se identificó a un operador de la región. Esto un programa malicioso que indica la posibilidad de que apuntaba no sólo a los mensajes autores rusos de programas SMS con mTANs, sino también a maliciosos estuvieran implicados las credenciales de banca online. en la creación de este programa Kaspersky Lab detectó el en particular. programa como Trojan- SMS.AndroidOS.Stealer.a. Ataques contra corporaciones/gobiernos/orga Al ejecutarse, esta aplicación nizaciones maliciosa muestra una ventana que se presenta como un diálogo Espionaje espacial para la generación de tokens. Para que esta “generación” sea En marzo se detectaron varios posible, se le pide al usuario que ataques maliciosos contra entre la llave requerida para la agencias de investigación autorización inicial en el sistema espacial. de banca online. A continuación, Sobre todo hubo un informe el programa malicioso genera un sobre incidentes de la NASA que falso token (un número resultó muy interesante. Fue el aleatorio) y la información que inspector general de esta ingresa el usuario se envía al agencia quien lo presentó ante la móvil y al servidor remoto del Comisión sobre ciencia, espacio y ciberdelincuentes con los tecnología del Congreso de los números IMEI e IMSI. Además, este EE.UU. programa malicioso puede recibir una cantidad de comandos desde Una auditoría de la NASA reveló el servidor remoto un incidente ocurrido en (generalmente relacionados con noviembre de 2011, cuando unos el robo de mTANs). atacantes (con direcciones IP chinas) lograron el acceso La aparición de este tipo de completo a la red del programa malicioso no fue una Laboratorio de propulsión jet sorpresa, pero hubo algunos (JPL, por sus ingás en inglés). detalles que llamaron nuestra Además, durante 2011, se atención. Todas las muestras detectaron 47 ataques dirigidos conocidas del programa contra la NASA, 13 de los cuales malicioso apuntan a los clientes tuvieron éxito. Entre 2010 y de bancos españoles. Sin 2011, se supo de más de 5.400 embargo, uno de los servidores incidentes de diversa gravedad remotos al que el programa relacionados con acceso no malicioso trata de conectarse autorizado a las redes de la estaba en la zona .ru (este VYRUS Y VACUNAS Página 25
  • 26. agencia, o con programas Un análisis posterior no reveló maliciosos. ningún uso de la información autorizada robada para acceder Además de estos ataques de a otros sistemas de JAXA y NASA. hackers, la NASA sufre una La fuga de unos 1.000 correos constante pérdida de de la agencia puede considerarse ordenadores portátiles con como una pérdida sin importancia. información confidencial. Desde 2009, se han perdido unos 50, Marzo en cifras incluyendo un incidente en marzo, cuando desapareció una portátil Durante este mes, los con información sobre ordenadores que tienen algoritmos de gestión de la instalados productos de Estación espacial internacional. Kaspersky Lab detectaron: La Agencia japonesa de • y neutralizaron más de 370 exploración aeroespacial (JAXA) millones de programas también publicó los resultados maliciosos; de una investigación sobre un • 200 millones (55% de todas incidente que ocurrió en el las amenazas) de intentos de verano de 2011, que no fue infección originados en la web; detectado sino hasta enero de 2012. • Más de 42 millones de URLs maliciosas. En julio de 2011, un empleado de la JAXA recibió un mensaje de Amenazas en Internet en marzo de correo con un archivo malicioso. 2012 La solución antivirus de su ordenador no estaba Estas estadísticas representan actualizada, lo que posibilitó que veredictos detectados de los el programa maliciosos infectara módulos antivirus y fueron el sistema. Los atacantes proporcionados por los pudieron acceder a toda la usuarios de los productos de información almacenada en el Kaspersky Lab que aceptaron ordenador y pudieron compartir sus datos locales. potencialmente monitorear de forma remota la información que Nuestros cálculos excluyen aparecía en la pantalla. Por aquellos países en los que la cantidad de usuarios de fortuna, según informa la agencia, el ordenador no productos de Kaspersky Lab es contenía ninguna información relativamente reducida (menos de confidencial. Aunque este 10.000). ordenador tenía acceso al monitoreo del trabajo en el camión espacial (H-II Transfer Vehicle (HTV)), los atacantes no pudieron acceder al mismo. VYRUS Y VACUNAS Página 26
  • 27. Mapa de riesgo de infección al 3 Kazajistán 47.80% 1 navegar en Internet 4 Bielorrusia 47.10% 1 5 Azerbaiyán 46.30% 1 6 Ucrania 43.30% 1 7 Sudán 41.00% Nuevo 8 Uzbequistán 40.30% Costa de 9 39.90% -7 Marfil 10 Bangladesh 39.40% - *Porcentaje de usuarios únicos Los 10 países en los que los en el país con ordenadores con usuarios se enfrentan al mayor productos de Kaspersky Lab riesgo de infección a través de instalados que bloquearon Internet amenazas online. № País %* Cambios 1 Rusia 55.50% 0 Top 10 de zonas de dominios peligrosos 2 Armenia 49.30% 1 3 Kazajistán 47.80% 1 4 Bielorrusia 47.10% 1 5 Azerbaiyán 46.30% 1 6 Ucrania 43.30% 1 7 Sudán 41.00% Nuevo 8 Uzbequistán 40.30% Costa de 9 39.90% -7 Marfil 10 Bangladesh 39.40% - Fuente de ataques web por zona *Porcentaje de usuarios únicos de dominio* en el país con ordenadores con productos de Kaspersky Lab *cantidad de ataques desde instalados que bloquearon recursos web según el dominio amenazas online. detectado por el módulo antivirus web. Los 10 países en los que los usuarios se enfrentan al menor riesgo de infección a través de Internet № País %* Cambios 1 Rusia 55.50% 0 2 Armenia 49.30% 1 VYRUS Y VACUNAS Página 27
  • 28. Top 10 de países en los que los Trojan- recursos web se infectaron con 5 Downloader.Script. 0.28% -1 programas maliciosos Generic Trojan- 6 Downloader.JS.JSc 0.26% Nuevo ript.ag Trojan- (Distribución mundial de sitios 7 Downloader.JS.JSc 0.19% Nuevo infectados y hosts maliciosos) ript.ai Trojan.JS.Popuppe 8 0.18% 2 r.aw 9 Trojan.JS.Iframe.zy 0.15% Nuevo Trojan- 1 Downloader.JS.JSc 0.14% Nuevo 0 ript.ax *El porcentaje de incidentes únicos detectados por el módulo antivirus web en los ordenadores de los Fuentes de ataques web por país* usuarios. *Para poder determinar la fuente geográfica de un ataque, se compara el nombre del dominio con la dirección IP donde se sitúa el dominio en cuestión, y se determina la localización geográfica de la dirección IP (GEOIP). Top 10 de amenazas en Internet Exploits detectados por el módulo antivirus web en los % del ordenadores de los usuarios por Cambio total aplicación atacada* TOP 10 WAV s en la № de March estadíst *Porcentaje de todos los ataqu ica ataques de exploits bloqueados es* 85.71 provenientes de la web. 1 Malicious URL 0 % Trojan.Script.Iframe 2 4.03% 0 r Trojan.Script.Gener 3 2.74% 1 ic Trojan.Win32.Gene 4 0.30% 1 ric VYRUS Y VACUNAS Página 28