Cdigo Malicioso (Seguridad en Redes) Unidad IV

QUE ES UN VIRUS? Son programas que se ejecutan sin que el usuario quiera, y que han sido creados por personas. Se propagan por s solos, aprovechando algn fallo o caracterstica del sistema. Cuando se da alguna circunstancia especfica, se activa su potencial destructor. Al principio se propagaban a travs de diskettes o CDs, eran rudimentarios y su potencial de propagacin era pequeo o mediano. Actualmente se propagan sobre todo a travs de Internet (e-mail, messenger, algunas pginas web) y su potencial de propagacin es grande. DEFINICIN: Un virus informtico es un programa (cdigo) que se replica, aadiendo una copia de s mismo a otro(s) programa(s). Los virus informticos son particularmente dainos porque pasan desapercibidos hasta que los usuarios sufren las consecuencias, que pueden ir desde anuncios inocuos hasta la prdida total del sistema. CARACTERSTICAS: Sus principales caractersticas son: Auto-reproduccin: Es la capacidad que tiene el programa de replicarse (hacer copias de s mismo), sin intervencin o consentimiento del usuario. Infeccin: Es la capacidad que tiene el cdigo de alojarse en otros programas, diferentes al portador original. PROPSITOS: Afectar el software: Sus instrucciones agregan nuevos archivos al sistema o manipulan el contenido de los archivos existentes, eliminndolo parcial o totalmente. Afectar el hardware: Sus instrucciones manipulan los componentes fsicos. Su principal objetivo son los dispositivos de almacenamiento secundario y pueden sobrecalentar las unidades, disminuir la vida til del medio, destruir la estructura lgica para recuperacin de archivos (FAT o NTFS) y otras consecuencias. DAOS EN EL HARDWARE: Los virus informticos no pueden causar un dao directo sobre el hardware. No existen instrucciones que derritan la unidad de disco rgido o que estallen un monitor. Un virus puede hacer ejecutar operaciones que reduzcan la vida til de los dispositivos. Por ejemplo: hacer que la placa de sonido enve seales de frecuencias variadas con un volumen muy alto para averiar los parlantes. Hacer que la impresora desplace el cabezal de un lado a otro o que lo golpee contra uno de los lados, hacer que las unidades de almacenamiento muevan a gran velocidad las cabezas de para que se desgasten.

Docente: L.I. Carlos E. Chvez Ochoa

Cdigo Malicioso (Seguridad en Redes) Unidad IV

Todo este tipo de cosas son posibles aunque muy poco probables y por lo general los virus prefieren atacar los archivos y no meterse con la parte fsica. ESTRUCTURA DE UN VIRUS: Un virus est conformado por tres partes: a) Mecanismo de Reproduccin: Infeccin que genera copias del virus adheridas en archivos ejecutables o en el sector de arranque de discos. b) Detonante (Trigger): Esta parte del virus se encarga de comprobar si se cumplen las situaciones previstas por el programador, puede ser una fecha concreta, una accin por parte del usuario, etc. c) Carga (Payload): La accin que realiza el virus, son el o los efectos nocivos o hasta irreparables, que ocasionan cualquier especie viral a los sistemas de los equipos que infectan. El virus intentar sobrevivir el mximo tiempo posible e infectar al mayor nmero de archivos y/o equipos de cmputo. CLASIFICACIN: La inmensa cantidad de virus existentes, convierten su clasificacin en un proceso complejo y polmico, para clasificarlos se consideran los siguientes aspectos: sus diferentes propsitos, sus variados comportamientos y sus diversas consecuencias. A continuacin se presentan las categoras que agrupan a la mayora de los virus conocidos. Sin embargo, es importante considerar que la aparicin diaria de virus cada vez ms sofisticados, puede llevar al surgimiento de nuevas categoras en cualquier momento. Virus genrico o de archivo: Se aloja como un parsito dentro de un archivo ejecutable y se replica en otros programas durante la ejecucin. Los genricos acechan al sistema esperando que se satisfaga alguna condicin (fecha del sistema o nmero de archivos en un disco). Cuando esta condicin catalizadora se presenta, el virus inicia su rutina de destruccin. Virus mutante: En general se comporta igual que el virus genrico, pero en lugar de replicarse exactamente, genera copias modificadas de s mismo. Virus recombinables: Se unen, intercambian sus cdigos y crean nuevos virus. Virus Bounty Hunter (caza-recompensas): Estn diseados para atacar un producto antivirus particular. Virus especficos para redes: Coleccionan contraseas de acceso a la red, para luego reproducirse y dispersar sus rutinas destructivas en todos los computadores conectados. Virus de sector de arranque: Se alojan en la seccin del disco cuyas instrucciones se cargan en memoria al inicializar el sistema. El virus alcanza la memoria antes que otros programas sean cargados e infecta cada nuevo disquete que se coloque en la unidad.

Docente: L.I. Carlos E. Chvez Ochoa

Cdigo Malicioso (Seguridad en Redes) Unidad IV

Virus de macro: Se disean para infectar las macros que acompaan a una aplicacin especfica. Una macro es un conjunto de instrucciones que ejecutan una tarea particular, activada por alguna aplicacin especfica como MS Word o MS Excel. Son virus muy fciles de programar y se dispersan rpidamente a travs de anexos a email, copia de archivos usando disquetes, etc. Virus de Internet: Se alojan en el cdigo subyacente de las pginas web. Cuando el usuario accede a esos sitios en Internet, el virus se descarga y ejecuta en su sistema, pudiendo modificar o destruir la informacin almacenada. Son de rpida y fcil dispersin, puesto que se alojan y viajan en un medio de acceso multitudinario: Internet. Residentes en memoria: (Tambin llamados TSR por Terminate and Stay Resident (Terminar y permanecer residente en la memoria) se cargan en la RAM de la computadora para infectar los archivos ejecutables abiertos por el usuario. Los virus no residentes, una vez ejecutados, infectan programas que se encuentran en el disco duro. TROYANOS: Suelen ser los ms peligrosos, ya que no hay muchas maneras de eliminarlos. Funcionan de modo similar al caballo de Troya; ayudan al atacante a entrar al sistema infectado, hacindose pasar como contenido genuino (salvapantallas, juegos, msica). En ocasiones descargan otros virus para agravar la condicin del equipo. Se llaman troyanos porque se camuflan bajo la apariencia de algo interesante. Pueden permitir que el creador acceda a nuestra PC para encontrar datos confidenciales (cuentas bancarias, contraseas, etc.) o para que nuestra PC haga lo que el creador quiera. Se propagan a travs de Internet. Hay que tener las mismas precauciones que con los virus, y alguna ms. Los antivirus habitualmente detectan tambin los troyanos, porque son un tipo de virus. Muchos troyanos incluyen keyloggers, que anotan todas las teclas que pulsamos y se las envan a su creador. Han evolucionado hacia el crimen organizado: Incluso hay troyanos capaces de enviar a su creador copias de nuestra pantalla cuando con el ratn pinchamos los nmeros de la clave bancaria.

Docente: L.I. Carlos E. Chvez Ochoa

Cdigo Malicioso (Seguridad en Redes) Unidad IV

GUSANOS O WORMS: Se registran para correr cuando inicia el sistema operativo ocupando la memoria y volviendo lenta a la PC, pero no se adhieren a otros archivos ejecutables. Utilizan medios masivos como el correo electrnico para esparcirse de manera global. Empez como una cadena de e-mails que hablaba sobre la tormenta Kyrill que asol Europa hace algunos aos. A veces cambia el tema del mensaje, hablando sobre algn tema del da. Trata de ser un tema interesante para el usuario, para que accese y busque ms informacin. El gusano convierte a la PC en un zombie al servicio de los creadores. Queda latente a la espera de rdenes, y hasta la fecha no se tiene noticia de que haya sido activado. Las PCs infectados actualizan constantemente el gusano, mejorndolo para evitar ser detectado. Su potencial es devastador: Puede servir para poner fuera de servicio computadoras gubernamentales, de grandes empresas, etc. mediante ataques conjuntos desde todos los zombies. Sus creadores atacan incluso a compaas de seguridad que estudian el gusano para luchar contra l. COMO PROTEGERSE DE LOS GUSANOS Y TROYANOS: Mismas precauciones que con los virus: actualizaciones, usuario no administrador, cuidado con mensajes inesperados, etc. Tener un corta fuegos (firewall) que limite el acceso desde fuera a nuestro sistema. A partir de Windows XP, se incluye uno. En MacOSX tambin, y Linux incluye varios que podemos instalar. Mejor si puede limitar el acceso desde el sistema hacia el exterior. Fijarnos bien cuando un programa solicita acceso a Internet. No contestar que sin conocer que es.. Sospechar si notamos el equipo cada vez ms lento. Una vez que estamos infectados, incluso un firewall puede ser intil. JOKES: No son realmente virus, sino programas con distintas funciones, pero todas con un fin de diversin, nunca de destruccin, aunque pueden llegar a ser muy molestos. HOAXES: Son mensajes con una informacin falsa; normalmente son difundidos mediante el correo electrnico, a veces con fin de crear confusin entre la gente que recibe este tipo de mensajes o con un fin an peor en el que quieren perjudicar a alguien o atacar a la computadora mediante ingeniera social.

Docente: L.I. Carlos E. Chvez Ochoa

Cdigo Malicioso (Seguridad en Redes) Unidad IV

BOMBA LGICA: Definicin: Programa informtico que no se reproduce por s solo y se instala en una computadora y permanece oculto hasta cumplirse una o ms condiciones preprogramadas para ejecutar una accin. Efectos. Puede borrar la informacin del disco duro, mostrar un mensaje, reproducir una cancin, enviar un correo electrnico. Prevencin. No aceptar software no original, pues el pirateo es una de las principales fuentes de contagio de un virus. Contar con copia de resguardo del sistema operativo, para recuperacin. Contar con sistema antivirus actualizado SPYWARE: Se llama spyware al software que de manera oculta recoge datos sobre nuestros hbitos de navegacin y los enva a empresas dudosas. A veces sirve para mostrar publicidad que no queremos, de manera molesta. Se instala sin nuestra voluntad, aadido en algn programa o servicio gratuito interesante. Por lo general, suele ralentizar la computadora y no es fcil de eliminar, teniendo un comportamiento cercano al de los virus. PHISING: Phishing es la capacidad de duplicar una pgina web para hacer creer al visitante que se encuentra en la pgina original en lugar de la copiada. Normalmente se utiliza con fines delictivos duplicando pginas web de bancos conocidos y enviando indiscriminadamente correos para que se acceda a esta pgina a actualizar los datos de acceso al banco. El procedimiento consiste en aprovechar el Cross-Site Scripting (XSS), para modificar el contenido de la Web que el usuario visualiza en su navegador. El phishing es la pesca de datos confidenciales con la finalidad de obtener acceso a banca electrnica, etc. Suele presentarse como un e-mail que aparentemente nos enva una entidad bancaria, en el que nos dice que por razones de seguridad debemos dar clic en un enlace para verificar nuestros datos. Al entrar en la pgina, que es muy parecida a la pgina verdadera del banco, se nos pide el usuario, la contrasea o datos importantes. Cuando metemos esos datos, o bien nos da un error y nos da las gracias, o bien nos redirige a la pgina verdadera del banco, hacindonos creer que todo ha ido bien.

Docente: L.I. Carlos E. Chvez Ochoa

Cdigo Malicioso (Seguridad en Redes) Unidad IV

En realidad, nuestros datos han sido incorporados a una base de datos que el delincuente puede consultar cuando quiera. Puede as entrar en nuestra banca electrnica y realizar transacciones. Juegan con la ingeniera social (engaar al usuario haciendo que confe). Imitan las pginas web legtimas. Camuflan enlaces pareciendo que son un enlace a la pgina verdadera. A veces utilizan pharming, pero esto requiere una infeccin previa. Pueden tener certificados falsos, que normalmente el navegador reconoce como no vlidos. No slo se utilizan en bancos: ejemplo, pginas web para ver quin te tiene bloqueado en el Messenger. COMO PROTEGERSE DEL PHISISNG: No hacer caso de e-mails en los que nos pidan datos personales (contraseas, datos personales, etc.). Las entidades bancarias nunca piden estos datos por email ni por telfono. Nunca debemos revelar a nadie por ningn motivo nuestras contraseas. Acostumbrarse a teclear la direccin de la pgina web a mano. No dar clic en enlaces ni en favoritos. Al realizar cargos en cuenta, la pgina debe solicitar una validacin adicional. Algunos bancos solicitan un PIN, y otros proveen tarjetas de firma. Evitar el uso de equipos pblicos o de uso compartido. No guardar las contraseas en el navegador. Al acabar, cerrar la sesin, no dejar el navegador con la pgina abierta. Tener alguna herramienta antiphising (por ejemplo, OpenDNS). Tambin Internet Explorer 7 o superior, o la barra de Google incorpora un filtro antiphising. CORREO BASURA: El correo basura es todo e-mail que llega a nuestra computadora sin que nosotros lo hayamos solicitado y sin que demos permiso para ello al remitente. Actualmente, supone entre el 70% y el 90% del e-mail que se recibe en cualquier direccin e-mail. Se recolectan direcciones e-mail mediante programas que escanean foros, pginas web, etc. Tambin obtienen el e-mail cuando nos registramos en algn portal, o nos piden datos para descargar un programa. Hay listas enormes de e-mails a los que se va enviando correo basura de manera automtica. A veces, utilizan para ello PCs cuyos dueos no son conscientes de que estn siendo utilizados como mulas. Adems del correo meramente publicitario, el correo basura puede ser vehculo de estafas. Las cadenas tambin son correo basura. Son correos que enva la gente de forma encadenada. A veces son leyendas urbanas, otras veces son presentaciones PowerPoint.

Docente: L.I. Carlos E. Chvez Ochoa

Cdigo Malicioso (Seguridad en Redes) Unidad IV

COMO PROTEGERSE DE LOS VIRUS: Instalar un antivirus. Es un programa que identifica los ficheros que se crean o abren en el sistema, para ver si tienen potencial daino. El mtodo ms efectivo es utilizar firmas de virus. Esto requiere que el antivirus se actualice a travs de Internet constantemente. Hay otros mtodos menos efectivos pero necesarios (los virus siempre van por delante) como los heursticos, que analizan el fichero para ver si lo que contiene se puede parecer a un virus. La mayora de antivirus son de pago, aunque hay unos cuantos gratuitos para uso personal. Los antivirus no son infalibles. Crear un usuario no administrador para el uso habitual (navegar, etc.). El antivirus ha de monitorizar nuestras acciones. Debe permitir escanear los ficheros que entran por primera vez en nuestro sistema. Desconfiar de correos extraos que no esperamos recibir, que nos invitan a leer documentos, que nos hacen dar clic en enlaces, etc. Cuidado con los ficheros que nos pasan por Messenger. Cuidado con el software pirata. Los cracks o versiones piratas pueden esconder un virus. Tener un sistema operativo legal (Windows, Linux, MacOSX, etc.), que nos asegure las actualizaciones de seguridad. Un sistema no actualizado tiene cada vez ms puertas abiertas a programas maliciosos. QUE DEBE HACER UN ADMINISTRADOR CUANDO LA INFECCION AFECTA UNA RED: Cuanto mayor es la red corporativa, mayor es el riesgo de infeccin, especialmente si se trata de una red con conexin a Internet y con contacto con clientes y usuarios. Las consecuencias de la infeccin de un virus en un entorno corporativo pueden ser desastrosas, ya que obligan a desconectar y paralizar un gran nmero de servicios ocasionando grandes prdidas para la empresa. El problema es mucho ms grave y complejo si la infeccin ocurre en una red local que en una mquina aislada, debido a que la conexin entre las computadoras, y la facilidad con que se comparte la informacin entre ellos, posibilita que los virus se reproduzcan en estos entornos con una gran facilidad. El administrador debe mantenerse alerta ante las seales que indican la posible infeccin y la presencia de un virus en estado de "latencia". Por ello, debe de estar atento ante cualquier actividad sospechosa que pueda presentarse, como; el aumento del tamao de los ficheros, una fecha inusual o una hora imposible.

Docente: L.I. Carlos E. Chvez Ochoa

Cdigo Malicioso (Seguridad en Redes) Unidad IV

Igualmente, en una red corporativa con distintas configuraciones, entornos, versiones de sistemas operativos, etc., el comportamiento de aplicaciones de diferente forma, la aparicin de mensajes de error en determinados entornos, etc. tambin puede alertar sobre la presencia de un virus. Ante el primer sntoma, la medida ms eficaz que puede (y debe) tomar el administrador consiste en aislar el equipo infectado de otros equipos de la red, es decir, desconectar todos los equipos sospechosos de estar infectados. PREVENCIN PRIMARIA: Utilizar un programa antivirus actualizado en forma semanal, residente en memoria (centinela), configurado para analizar archivos comprimidos, emails y texto plano, Analizar semanalmente todo el equipo Configurar un segundo programa antivirus En conexiones continuas o prolongadas, utilizar un firewall Desactivar la vista previa del correo electrnico Demarcar la opcin "Ocultar extensiones para los tipos de archivos conocidos" o similar. Marcar la opcin "Mostrar todos los archivos y carpetas ocultos Recomendaciones en archivos adjuntos: Tradicional: nunca abrir archivos adjuntos que enva un desconocido. Actual: no abrir archivos adjuntos que no hayan sido anunciados y, ante la duda, consultar con el remitente. De cualquier manera, no abrir adjuntos sin antes analizarlos por lo menos con dos antivirus (a veces lo que uno no detecta, lo hace el otro) y verificar la existencia de doble extensin. Estar atentos a Alertas de sitios serios; instalar parches de seguridad. SIGNOS Y SINTOMAS: En directorios y archivos: La cantidad de espacio disponible es cada vez menor. Aumento de tamao de archivos Algunos archivos desaparecen del disco (borrados). El directorio muestra archivos desconocidos por el usuario. Los archivos son sustituidos por caracteres ilegibles. Alteracin en la indicacin de la hora de un archivo. En la ejecucin de aplicaciones: Los programas tardan mas tiempo en cargarse o no son operativos. Algunas aplicaciones trabajan mas lentamente que lo normal. Al abrir un archivo aparecen errores que antes no existan. Al solicitar la apertura de un archivo aparecen en el men drivers que no estn instalados. Incluso el mejor software antivirus puede fallar a la hora de detectar un virus. Docente: L.I. Carlos E. Chvez Ochoa 8

Cdigo Malicioso (Seguridad en Redes) Unidad IV

Funcionamiento del sistema: Rendimiento del sistema reducido. La cantidad de memoria disponible cambia o disminuye continuamente. Arranque incompleto del sistema o fallo en el arranque. Escrituras inesperadas en una unidad. El disco trabaja ms de lo necesario. No se puede acceder al disco duro. Mensajes de error extraos o no estndar. Actividad de pantalla no estndar (animaciones, etc.). Sectores errneos en disquetes y en discos duros. Cualquier operacin extraa que su computadora no realizaba antes y que de un momento a otro comienza a ejecutar. Otros errores no justificados (ej. en la FAT, o NTFS direccionador de archivos). FACTORES QUE HACEN A UN SISTEMA MAS VULNERABLE: Homogeneidad: Cuando todas las computadoras en una red funcionan con el mismo sistema operativo, si pueden corromper ese SO, podrn afectar cualquier computadora que lo corra. Defectos: La mayora de los sistemas contienen errores que se pueden aprovechar por el malware, mientras no se ponga el parche correspondiente. Cdigo sin confirmar: Un cdigo en un diskette, en CD-ROM o USB, se puede ejecutar por la irresponsabilidad o ignorancia del usuario. Sobre-privilegios del usuario: Algunos sistemas permiten que todos los usuarios modifiquen sus estructuras internas. Sobre-privilegios del cdigo: La mayora de los sistemas operativos permiten que el cdigo sea ejecutado por un usuario con todos los derechos.

Docente: L.I. Carlos E. Chvez Ochoa