Malware

UNIDAD 2 1. PRESENTACIN
Se conoce como malware (del ingls malicious software, tambin llamado badware, software malicioso o software malintencionado) a todos aquellos programas que tienen por objetivo infiltrarse en el sistema y realizar cualquier tipo de accin malintencionada o destructiva, sin el consentimiento del usuario. La expresin virus informtico es ms utilizada en el lenguaje cotidiano y a menudo en los medios de comunicacin para describir todos los tipos de malware. La evolucin del malware ha sufrido un cambio a lo largo de los ltimos aos. Ha pasado de ser un software creado a ttulo individual o de un pequeo grupo (con fines egocntricos o de satisfaccin personal, reivindicativos, dainos, ...) a ser producido por mafias organizadas (ciberdelincuencia) cuyo principal fin es el lucro econmico. Este nuevo tipo de software esta cada vez ms perfeccionado y es ms abundante en la red, razn por la cual es ms peligroso. El principal problema para combatir este tipo de ciberdelincuencia reside en que las personas u organizaciones que lo desarrollan operan desde otros pases, complicando cualquier tipo de denuncia, ms si cabe, en los casos en que la legislacin de estos pases no contemple acciones penales contra estos delitos. En la pgina del Centro de Seguridad TIC de la Comunitat Valenciana, CSIRT-CV, se han publicado una serie de enlaces a Vdeos de distinto malware en accin.

2. OBJETIVoS DE ApRENDIZAJE
El objetivo de este apartado del curso es el conocer y reconocer los diferentes tipos de programas maliciosos que se pueden encontrar, para poder prevenir su aparicin o si ya es tarde, proceder a su desinfeccin. A continuacin se exponen los distintos tipos de malware empleados en la actualidad y una serie de consejos para prevenirlos. En el apartado 4 se dan una serie de consejos para mantener el equipo ms protegido.

Malware. Unidad 2.

pgina 1

Malware

3. TIpoS DE MALWARE
Dentro de los distintos tipos de malware que puedan existir queremos destacar principalmente los ms utilizados, para poder entender cmo funcionan y tomar las medidas preventivas que nos permitan evitar que un software malicioso pueda infectar nuestra mquina. 1. Virus El virus informtico es el tipo de malware ms conocido. Se reproduce infectando a otros ficheros e intentando que esos ficheros sean visualizados en otra mquina para que tambin sea infectada. Los virus pueden ser desde bromas a programas destructivos que daen el ordenador de forma irreparable. Pese a que existen un gran nmero de tipos de virus, princi-palmente se pueden clasificar en tres tipos: Aquellos que se encargan de daar el arranque de una mquina impidiendo que sta pueda iniciarse correctamente. Su objetivo es puramente destructivo. Aquellos que residen en la memoria de la mquina y son capaces de funcionar en segundo plano sin que el usuario se aperciba. Por ltimo, y no por ello menos peligrosos, los virus de macros o scripts, que suelen aprovechar la capacidad de ejecutar cdigo fuente (de distintos lenguajes de programacin) de algunos de los visores de documentos ms utilizados: XLS (Excel), DOC (Word), PPS (PowerPoint), PDF (Acrobat Reader), etc, para infectar el equipo. En la actualidad, la principal fuente de peligro se produce cuando los virus estn embebidos en ficheros facilitados por personas conocidas, ya sea por correo electrnico, pendrive (llave USB) o cualquier otro medio de transmisin de datos entre usuarios. Normalmente se realiza sin mala intencin, porque el usuario es desconocedor del malware que anexa. Por ejemplo, un compaero puede enviarnos un correo electrnico con un documento malicioso, todo esto sin saber que est infectando al resto de usuarios. El envo de correos cadena, que suelen ser de humor o curiosidades que se envan mediante ficheros adjuntos de PowerPoint, supo-nen un peligro potencial ya que algunos de estos ficheros estn infectados con algn tipo de malware y la propagacin de los mismos nicamente depende del usuario. Gusanos Un gusano (tambin llamados IWorm por su apocope en ingls, I de Internet, Worm de gusa-no) es un malware que tiene la propiedad de replicarse a s mismo. Los gusanos utilizan las partes automticas de un sistema operativo que generalmente son invisibles al usuario. Son una evolucin de los virus y uno de los ms extendidos en la actualidad, con detalles tcnicos que los diferencian de estos ltimos. Su objetivo es infectar un ordenador y extenderse a otras mquinas de forma activa. Los gusanos, a diferencia de los tradicionales virus, se propagan por la red atacando distintas vulnerabilidades conocidas o utilizando ingeniera social para engaar al usuario.

Malware. Unidad 2.

pgina 2

Malware
Los equipos que disponen de una poltica de contraseas adecuada, las actualizaciones de seguridad ms recientes, software antivirus o de seguridad y recursos compartidos seguros, estn protegidos frente a la infeccin de este gusano

Los equipos compartidos con contraseas poco seguras pueden ser infectados por el gusano

Los dispositivos extraibles como discos duros externos o unidades USB pueden verse infectados por este gusano

Los equipos con recursos compartidos no protegidos pueden quedar infectados por el gusano

El gusano puede infectar los equipos que no disponen de las ltimas actualizaciones de seguridad

Worm: win32/Conflsker intenta conectarse en repetidas ocasiones a los equipos de la red, buscando los sistemas que no cuentes con las ltimas actualizaciones de seguridad o tengan recursos compartidos no protegidos, medios extraibles o contraseas poco seguras

No precisan alterar programas, sino que modifican parmetros del sistema para ejecutarse al inicio. Los gusanos casi siempre causan problemas en la red (ralentizndola), mientras que los virus siempre infectan o corrompen los archivos de la mquina que atacan. Muchos de estos gusanos, una vez infectado el sistema, intentan descargar malware adicional que les permita infectar un mayor nmero de sistemas. Entre los gusanos ms conocidos podemos destacar Conficker, Sasser o Nimda, los cuales han aprovechado distintas vulnerabilidades para infectar el mayor nmero de mquinas posibles en las que no se hayan aplicado los parches pertinentes. Una buena prctica para evitar ser contami-nados por dichos gusanos es aplicar las actualizaciones de seguridad en el momento en que son publicadas y reiniciar la mquina en caso de que dichas actualizaciones lo requieran, puesto que muchas de stas no se aplican si no se reinicia el sistema una vez instalado el parche.
Malware. Unidad 2. pgina 3

Malware

A su vez, es necesario tener cuidado sobre qu cosas y de quin o de dnde se descargan y disponer de herramientas confiables para la desinfeccin de malware, as como herramientas de prevencin generales, como firewall, antivirus y control del trfico de la red (IDS/IPS). Troyanos Se denomina troyano al software que se enmascara con una falsa identidad ejecutando una tarea til o conocida para el usuario, pero realizando a la vez actividades maliciosas en el sistema contaminado sin que el usuario sea consciente de las mismas. Los troyanos no propagan la infeccin a otros sistemas por si mismos y necesitan recibir instrucciones de un individuo para realizar su propsito. El trmino viene de la historia del Caballo de Troya en la mitologa griega. Por tanto, el troyano es un malware que intenta hacer creer al usuario que se trata de un soft-ware lcito, para que ste lo ejecute en su mquina. Un caso tpico de instalacin de un troyano es aquel en el que se inicia la instalacin de algn programa descargado de una pgina web o desde un programa P2P y que parece que no funciona, porque no ocurre nada. Posiblemente, ese software sea un troyano. Dentro del gran nmero de troyanos existentes, fue muy conocido el que afect al Banco de Amrica. Este troyano modificaba la web que visualizaba el navegador, aadiendo un nuevo campo a un formulario de acceso web; si en la pgina se solicitaba el nmero de tarjeta, usuario y contrasea, al ejecutar el troyano ste aada un campo donde se solicitaba el pin de la tarjeta, de esta forma el atacante obtena todos los datos necesarios para producir un fraude. Otros ejemplos conocidos de troyanos son Sub7, Downloader.GK, Mhtredir, Briss, StartPage, etc. Es muy recomendable tener siempre un antivirus instalado en el equipo y a ser posible tambin un firewall.

Spyware Los Spywares o Programa espa, son aplicaciones que se dedican a recopilar informacin del sistema en el que se encuentran instaladas (husmean la informacin que est en nuestro equipo) para luego enviarla a travs de Internet, generalmente a alguna empresa de publicidad; en algunos casos lo hacen para obtener direcciones de e-mail. Los programas espa pueden ser instalados en un ordenador mediante un virus, un troyano que se distribuye por correo electrnico, como el programa Magic Lantern desarrollado por o bien puede estar oculto en la instalacin de el un FBI, programa aparentemente inocuo. La instalacin de estos programas se enmascaran tras confusas autorizaciones al instalar programas de terceros, por lo que rara vez el usuario es consciente de ello. Normalmente trabajan y contaminan sistemas como lo hacen los Caballos de Troya. Normalmente suelen instalarse al acceder a pginas de banners publicitarios de contenido ertico, viajes, regalos o compras de artculos a un precio muy inferior al establecido en el mercado.
Malware. Unidad 2. pgina 4

Malware

Las recomendaciones para evitar este tipo de malware son las habituales: no instalar nada de sitios no confiables y emplear herramientas de desinfeccin y proteccin adecuadas. Phising El phishing (del ingls fishing pescando) no es en s un malware puro, aunque hay que citarlo como elemento software que causa un dao ejecutando acciones sin que el usuario las perciba; podemos obtener ms informacin de phishing en el captulo dedicado a Delitos Tecnolgicos. El objetivo de un phishing es intentar suplantar la identidad de una organizacin (tpicamente un banco) para hacer creer al usuario que realmente est accediendo o enviando informacin a esa organizacin. Suele llegar en forma de correo informativo donde se provoca o urge al usuario a realizar cierta accin ,que implica la introduccin de datos personales o bancarios, indicndole algn perjuicio en el caso de no atender la peticin. Al pinchar sobre el enlace se accede a una web que no es la autntica, sino una copia idntica de la web original, de forma que no se aprecia la diferencia entre la original y la falsificada. De esta forma los atacantes ob-tienen la informacin necesaria para acceder posteriormente con las credenciales del usuario y robar dinero de su cuenta (en el caso del banco) o utilizar sus cuentas de servicios por Internet.

Recuerde que su banco, proveedor de correo electrnico o cualquier otra empresa jamas le pedir introducir ese tipo de informacin que pueda comprometer su seguridad; por tanto siempre que reciba un correo de este tipo elimnelo e informe a la empresa afectada o a centros que se encargan de este tipo de ataques como CSIRT-CV. Es importante destacar que las direcciones origen de los correos se pueden falsificar, y por tanto, aunque el remitente sea correcto no indica que realmente el correo haya sido enviado por la empresa legtima de dicha cuenta de correo. En la imagen adjunta se detalla el caso de un phishing a la Agencia Tributaria. En este correo se informaba de un error de la Agencia en la ltima declaracin y que el afectado deba introducir sus datos bancarios o de tarjeta de crdito para que se le reembolsase el importe restante.
Malware. Unidad 2. pgina 5

Malware

Rogue Software El rogue software es un malware que aparenta ser una herramienta de desinfeccin (como un antivirus), pero que realmente no es ms que un troyano que engaa al usuario hacindole pensar que primero tiene una infeccin y a continuacin que este antivirus falso desinfecta la mquina; realmente, el rogue software no realiza ninguna accin beneficiosa para el usuario y es un malware tan perjudicial -o ms- como un troyano o un virus. Estas aplicaciones maliciosas tienen un gran auge y estn generando una gran cantidad de dinero. Hay que tener en cuenta que el benefici para la organizacin que ha creado dicho malware es doble, por un lado cobra por una falsa herramienta de desinfeccin y por otro instala malware para obtener informacin confidencial, pudiendo de esta forma obtener todas las contraseas y datos que introduzca el usuario. Normalmente este software se anuncia puntualmente incluyendo publicidad en pginas Web para hacer caer al cliente en que realmente es un software legtimo y correcto. Adems, se modifican opciones de los buscadores ms importantes para que, al buscar el nombre del malware acompaado de palabras clave (por ejemplo antivirus), salga este falso antivirus como el primero en la bsqueda. Por ello es importante comprobar que se instala software reconocido, que no es nuevo en el sector y que lo descargamos de una web confiable.

En la seccin de herramientas de usuario se pueden encontrar varias herramientas reconocidas. En la siguiente imagen se muestra un ejemplo de lo mencionado anteriormente: la herramienta realmente aparenta ser un antivirus legtimo, donde se han detectado dos ficheros con malware. Primero solicitar registrar el antivirus efectuando el pago correspondiente, puesto que si no, no permite desinfectar la mquina, y en segundo lugar registrar las contraseas del sistema. Pueden consultarse listas de falsos antivirus, spyware, anti-troyanos, etc que permiten compro-bar si la herramienta ainstalar es realmente una herramienta legtima o una falsa herramienta.

Malware. Unidad 2.

pgina 6

Malware

Spam El correo spam son correos publicitarios enviados de forma masiva a miles de usuarios, los cuales no han autorizado la llegada de dicha publicidad. Un correo publicitario legtimo debe tener en su asunto alguna palabra donde se indique claramente que se trata de un correo de publicidad, y en el mismo mail se debe informar de cmo darse de baja de la lista de distribucin. La recepcin de spam, tan habitual hoy en da, puede evitarse mediante filtros y listas negras bien en el servidor de correo, bien en el propio cliente (Outlook, Thunderbird...). En el captulo de Correo Electrnico se detallan en mayor profundidad aspectos destacables de este tipo de correos. Rootkits y backdoors Cuando un atacante consigue obtener el acceso a una mquina vulnerable, este intenta instalar una serie de aplicaciones que le permitan tomar el control de la mquina, aunque el dueo legtimo del sistema aplique las actualizaciones pertinentes para evitar dicha vulnerabilidad. Estas herramientas tambin pueden ser instaladas mediante troyanos. Los rootkits son una una serie de aplicaciones que, o bien se encuentran ocultas, o bien reemplazan aplicaciones reales. Cuando se solicita la ejecucin de una aplicacin legtima, el rootkit acta como si realmente fuera la aplicacin pero mediante una serie de opciones o comandos manipulados, estas aplicaciones realizan acciones no legtimas que han sido diseadas por el atacante. Los backdoors o puertas traseras son un tipo de rootkit que permiten a un atacante acceder de forma remota a la mquina y administrarla sin el consentimiento del dueo de la equipo. Para evitar este tipo de malware, se deben aplicar herramientas preventivas de comprobacin de integridad de los datos, as como herramientas activas que buscan en nuestro disco duro rootkits conocidos. Es conveniente emplear algn tipo de firewall para controlar las peticiones que circulan desde y hacia Internet. Adware El adware es un malware que, mas que daar la mquina y obtener informacin confidencial, tiene como objetivo generar publicidad en el equipo de la vctima mediante mltiples ventanas sin que el usuario tenga ningn control sobre estas. Se suele instalar al acceder a webs de contenido sexual, software pirata o publicidad etc. Se reconoce fcilmente ya que, cuando se navega por Internet aparece un gran nmero de ventanas publicitarias (pop-ups) en el sistema infectado. Las recomendaciones para evitar este malware de forma preventiva es que nunca se instale ni se acepte ningn tipo de complemento (plug-in) cuando se navegue por pginas web de dudosa reputacin o no confiables.

Malware. Unidad 2.

pgina 7

Malware

De forma preventiva, se recomienda emplear herramientas de desinfeccin de adware o antivirus de propsito general, o herramientas de navegacin se-gura, como las que se pueden encontrar en la pgina de herramientas de usuario.

Bots Un bot (robot informtico) es una sistema que se hace pasar por una persona e intenta engaar al usuario. Tiene una serie de parmetros para responder al usuario siguiendo unos patrones preestablecidos, simulando una conversacin. Conocidos son los bots de aplicaciones de mensajera instantnea (por ejemplo Microsoft Messenger) que comienzan una conversacin aparentemente real, aunque son frases establecidas para interactuar con el usuario cuando hay una respuesta y trata de que este acceda a travs de un enlace publicitario o intentando que se descargue malware. El origen puede ser alguno de nuestros contactos si resulta estar infectado. La mejor solucin contra este malware es no pinchar en enlaces no solicitados. Claramente se distinguen ya que no responde como realmente lo hara la persona que supuestamente est escribiendo, por tanto, si alguien inicia una conversacin y manda un enlace, es mejor preguntar por el enlace o el fichero al interlocutor ya que los bots no suelen tener una respuesta correcta para preguntas humanas. El mejor consejo para evitar posibles engaos por parte de un bot es usar el sentido comn y no interactuar con usuarios desconocidos a travs de mensajera instantnea. Hoax Los hoax son correos electrnicos cuyo contenido es falso -aunque el remitente sea legtimo- y son enviados de forma masiva por parte de usuarios que consideran como cierto dicho contenido, generando as ruido en la red y en el buzn de quien lo recibe, y facilitando la captacin de direcciones de correo electrnico por parte de un tercero malintencionado que, posteriormente, las utilizar para atacar a dichos usuarios. Aunque se trata de un malware especial que no realiza un dao directo sobre el equipo del usuario, s que se considera nocivo por los motivos expuestos con anterioridad.

Malware. Unidad 2.

pgina 8

Malware

Ejemplos tpicos de hoax son las cadenas de correo electrnico que proporcionan datos falsos sobre atentados, campaas benficas de grandes empresas a cambio de un simple correo electrnico o nios con enfermedades gravsimas que buscan apoyo; obviamente, se trata de datos falsos o rumores que, aprovechando la buena fe de los usuarios, se propagan por la red a travs del correo electrnico y permiten a un atacante planificar un dao ms directo contra los usuarios. Por supuesto, debemos desconfiar de cualquier informacin de este tipo que llegue a nuestro correo -incluso si proviene de personas conocidas- y notificar a estas personas que estn enviando un hoax, un falso rumor en la red. Keyloggers Son programas espas, que toman el control de los equipos, para espiar y robar informacin, monitoriza el sistema, registrando las pulsaciones del teclado, para robar las claves, tanto de pginas financieras y correos electrnicos como cualquier informacin introducida por teclado, en el equipo utilizado para saber lo que la vctima ha realizado como conversaciones que la misma tuvo, saber donde ha entrado, qu ha ejecutado, qu ha movido, etc.

4. HERRAMIENTAS DE pREVENCIN
Una vez explicados los distintos tipos de malware existentes vamos a realizar un breve resumen de las herramientas mas destacadas para prevencin y desinfeccin del malware visto con anterio-ridad. Es importante destacar que no se aconseja emplear distintas herramientas para un mismo propsito ya que esto suele producir ms problemas que beneficios. Incluso en casos como los Antivirus puede dar lugar a que estos no funcionen correctamente, por tanto se aconseja instalar una nica herramienta para cada tipo de malware y no emplear varias para una misma amenaza Actualizacin del software Es muy importante tener habilitada las actualizaciones de software y hacerlo siempre que se informe de que existe una nueva versin. Si se solicita reiniciar el sistema, debe hacerse lo antes posible, puesto que muchos parches solo se aplican si se reinicia la el equipo. En entornos Windows, desde el Panel de Control, debe seleccionarse la opcin de actualizaciones automticas y aplicarlas siempre que se requiera. En entornos Linux aplicar las actualizaciones dependiendo de la distribucin (emerge, apt-get, port, etc).

Malware. Unidad 2.

pgina 9

Malware

No resulta solo importante actualizar el sistema operativo, sino que tambin se deben actualizar el resto de programas, sobre todo el navegador web y sus complementos puesto que si no estn actualizados pueden ser un punto de infeccin al visitar pginas web maliciosas. Existen actualizadores que revisan los programas instalados en nuestro equipo recomendando su ac-tualizacin con enlaces a las pginas de descarga originales. Se pueden encontrar herramientas de este tipo aqu. Activar un firewall o cortafuegos Se recomienda emplear en todos los equipos un firewall o cortafuegos con un doble objetivo: evitar que nuestro equipo sea plenamente accesible desde internet (para un malware o una persona que nos trate de atacar) y evitar tambin que un malware que nos ha contaminado pueda abrir puertos no controlados, accesibles desde Internet, al explotar alguna vulnerabilidad de nuestro sistema. Dentro de las distintas alternativas existentes, en cuanto a cortafuegos se refiere, se recomienda emplear el propio firewall de Windows o ZoneAlarm en entornos Windows o Firestarter (iptables) en entornos Linux. Activar protecciones anti buffer overflow En los nuevos sistemas operativos existen un gran nmero de protecciones que evitan que el software malintencionado intente explotar las vulnerabilidades en los programas y aplicaciones del sistema mediante protecciones de buffer overflow. En entornos Windows se accede desde: Panel de Control > Sistema > Opciones Avanzadas > Rendimiento ( configuracin ) > Opciones de rendimiento ( Prev. De ejecucin de datos > Activar Dep. > Aceptar (requiere reinicio). En entornos Linux con ncleo 2.6 o superior se debe especificar una variable con valor 1 de la siguiente forma: echo 1 > /proc/sys/kernel/randomize_va_space.

Herramientas Anti Malware genrico Dentro de la distintas versiones disponibles se recomienda el uso de cualquiera de las siguientes herramientas: Malwarebytes Anti-Malware (tambin se emplea para anti-spywire), ComboFix, IniRem by InfoSpyware. Especfico para USB est disponible la herramienta Panda USB Vaccine. Herramientas Anti Spyware Existe un gran nmero de herramientas para evitar el spywire. Destacan las siguientes: Ad-Aware Free Anti-Malware, Spybot - Search & Destroy, SpywareBlaster y Windows Defender. Existe tambin la herramienta Hijackthis que suele ser de las mejores herramientas en la actualidad pero que requieren un nivel de conocimiento de informtica medio-alto.
Malware. Unidad 2. pgina 10

Malware

Herramientas anti-Rootkits Entre las mltiples herramientas disponibles, se pueden destacar: Sophos Anti-Rootkit, Panda Anti-Rootkit, F-Secure BlackLight Rootkit Eliminator y Rootkit Revealer de SysInternals(MS). Para entornos Linux se recomienda emplear adicionalmente herramientas de integridad de datos como Tripwire o Aide as como herramientas de deteccin como rkhunter. Antivirus Es tal vez la herramienta mas empleada para la defensa del malware puesto que, adems de eliminar virus, suelen incluir defensa contra todo tipo de malware actual. Es muy importante actualizar las bases de datos del antivirus diariamente y si el antivirus lo permite, seleccionar la casilla de actualizacin automtica. Existen una gran cantidad de antivirus gratuitos y de pago en el mercado , de los que destacamos los siguientes: Nod32 Antivirus System , Panda Antivirus Pro , Kaspersky Antivirus , Norton AntiVirus , Avira AntiVir Personal, AVG Anti-Virus Free Edition , Avast Home Antivirus Free Edi-tion. Un listado incluyendo antivirus gratuitos, se puede encontrar en http://www.csirtcv.gva. es/es/paginas/utilidades.html#antivirus. Adicionalmente, existen antivirus online que no requieren instalar software en el equipo para que ste sea analizado; una recopilacin excelente de estos antivirus podemos encontrarla en http://www.csirtcv.gva.es/es/paginas/utilidades.html#herramientas_en_linea.

5. ENLACES DE INTERS
Para ms informacin se recomienda consultar los siguientes enlaces: Listado de herramientas adicionales Foro con mucha informacin de malware Actualidad Microsoft Windows En la pgina de herramientas de usuario de CSIRT-CV podis encontrar enlaces a muchos de ellos. Recordad que cualquier duda sobre este tema se puede consultar en la Web CSIRT-CV o travs de las redes sociales en las que estn presentes, facebook/csirtcv o twitter (@csirtcv).

Malware. Unidad 2.

pgina 11