Webquest

Seguridad informática

-El malware:
Se puede decir que el malware (malicius software) es la amenaza mas popular, su objetivo es
acceder a equipos informáticos sin el consentimiento del propietario, algunos tpos de
software son los crackers, los exploits, los keylogger, los phishings..

Cada vez hay más malware en circulacion. Desde hace unos años se empezó a hablar de un
crecimiento de estas amenazas. Y hoy en día no solo se a probado que ha crecidoel número
de estas amenazas como se predijó, sino que también se sabe que sigue en aumento. Y no
solo aumentan los nuevos ejemplares de malware, sino las variantes de ejemplares ya
existentes para intentar burlar las medidas de seguridad de que las compañias de antivirus
colocan.
Ademas se sabe que existen herramientas que permiten a usuarios sin conocimientos
avanzados crear malware, como el caso de un portal de venta de bots ''indetectables''

Fuente:
http://www.inteco.es/studyCategory/Seguridad/Observatorio/Estudios_e_Informes/Bi
blioteca/informe_anual_PANDA
Informe Trimestral PandaLabs 2010 (abril-junio)

-Herramientas de proteccion de equipos informáticos:

-Recomendaciones de seguridad de la navegacion de internet

La mejor opcion para conseguir proteger de una forma correcta los equipos informaticos es
encontrar el equilibrio entre funcionalidad y seguridad.
No es suficiente conocer las amenazas sino que tambien debemos disponer de herramientas
adecuadas para prevenrlos y combatirlos. Alguna de ellas son:

Las contraseñas: la forma mas utilizada de conseguir (robando) información

personal almacenada en los ordenadores o servicios en linea es mediante el robo de
contraseñas. Y la mayoría de las veces la única barrera entre los datos confidenciales
y los atacantes es una contraseña, por lo que hay que tener cuidado al elegir las
contraseñas, ya que si la consiguen adivinar podrían acceder a informacion personal,
a servicios financieros ...

Los certificados web: es un documento digital que garantiza que alguien es

realmente quien dice ser y son especialmente importantes para saber la identidad de
la Administración y las entidades financieras o comerciales, ya que en estas acciones
se dan datos confidenciales y sensibles. Y es una relaccion de confianza
Actualizaciones del software: son actualizaciones de los sistemas o programas que
nos ofrecen los fabricantes y que van realizando para reparar las vulnerabilidades de
los sistemas ante los nuevos malwares y para proporcionar nuevas funcionalidades o
mejora respecto a las versiones anteriores es recomendable que se activen las
actualizaciones automaticas, y con mas razon en los programas o aplicaciones que
mas utilizamos ya que estan mas expuestas a un ataque. Para actualizar el software
tienes que descargar de

Configuraciones seguras: la mayoria de los progaramas disponen de una serie de

opciones de configuración que nos permiten adaptarlos a nuestros gustos y
necesidades. Aunque a veces esto, no es suficiente y necesitamos mayor nivel de
seguridad. En algunos dispositivos de uso común como son las redes Wi-Fi,
dispositivos móviles, navegadores y correo electrónico, es recomendable seguir unas
pautas para elevar la seguridad que traen por defecto.

Recuperación de sistemas: a veces, los sistemas informáticos, se comportan de

manera anómala, pierden rendimiento, o se producen pérdidas de información. En
estos casos, es necesario volver a normalizar el equipo afectado. Algunas de las
recomendaciones en estos casos son la restauración del sistema y el inicio a prueba
de fallos.
Menores protegidos: a través de Internet, tenemos acceso a muy diversos servicios,
a algunos de ellos, los menores no deberían tener acceso. Para esto, es necesario
configurar los programas de acceso a Internet, siguiendo los consejos, relacionados
con la protección de menores y el uso de que hacen estos de Internet, a disposición
de padres, madres y educadores.

Útiles gratuitos: las herramientas se clasifican según tres criterios:

● Funcionalidad: descritos mediante etiquetas.
● Sistema operativo: donde pueden utilizarse.
● Público objetivo: tipo de usuario al que está dirigida.
Ejemplos: ActiveScan 2.0, Ad-Aware Free, LookOut, ...
-Virus

Los virus informáticos son un tipo de malware cuya finalidad es la de propagarse de

un equipo a otro y para afectar en el funcionamiento del equipo. Un virus puede
dañar o eliminar datos del equipo, usar el programa de correo electrónico para
propagarse a otros equipos o incluso borrar todo el contenido del disco duro, ya que
tienen muchos objetivos.
Los virus son capaces de propagarse junto con datos adjuntos incluidos en mensajes
de correo electrónico o de mensajería instantánea. Por lo que es recomendable no
abrir nunca los datos adjuntos de correo electrónico si no es una fuente fiable.
También se suelen “esconder” en contenido multimedia o en descargas.
Algunos ejemplos de virus son:
● I love you: es un gusano informático que se propaga a través de IRC y del
correo electrónico (mensaje con el tema “I love you”)
Tiene una peligrosidad mínima y no tiene capacidad para ejecutarse
automáticamente en cada reinicio del sistema.Mecanismo de difusión MM:
Se envía masivamente mediante mensajes de correo electrónico,
habitualmente a todas las direcciones capturadas en el sistema infectado.
Cuando un equipo se infecta por este virus, elimina los archivos de
extensiones JS, .JSE, .CSS, .WSH, .SCT y .HTA, y crea otros con el mismo
nombre y extensión ,VBS en el que introduce su código y crea varias entradas
en el registro de configuración de Windows, eliminando toda la información
contenida en los archivos originales.
En resumen, la finalidad del gusano es enviarse a todas las direccines del
libro de direcciones de Outlook, entonces realiza su efecto destructivo.
Medidas de prevención:
● Zone H: es un troyano que afecta a Windows descargando archivos
maliciosos, que a su vez descargan otros archivos maliciosos.
No se propaga por sí mismo. Su peligrosidad es media y puede llegar a
provocar un daño de grado medio y se ejecuta automáticamente en cada
reinicio del sistema.
Cuando se ejecuta, crea el fichero "%UserProfile%\Application
Data\lsass.exe"
Después, se comunica con los siguientes servidores remotos: http://66.96.240.
[XXXX] http://65.55.11.[XXXX] .
De los que descarga ficheros maliciosos que ejecuta y guarda con los
siguientes nombres: %Windir%\Ozepaa.exe, %System%\sshnas21.dll,
%UserProfile%\Application Data\fliekh.exe, %UserProfile
%\ApplicationData\ssinq.exe, %UserProfile%\Application
Data\qghumeaylnlfdxfircvs85.exe
● Crea una entradas en el registro de Windows para que los ficheros anteriores
se ejecuten de nuevo en cada reinicio del sistema, que descargan los
siguientes archivos maliciosos: http://video-[XXXX].net/install.67.exe
http://video-[XXXX].net/install.87.exe, http://video-
[XXXX].net/install.4.exe, http://video-[XXXX].net/install.48767.exe :
Medidas de prevención
● Sasser B: es un gusano que se propaga usando la vulnerabilidad, en el
proceso LSASS (Local Security Authority Subsystem), de equipos Windows
2000/XP. Uno de los posibles síntomas de infección es el aviso de reinicio del
equipo en un minuto y el tráfico en los puertos TPC 445, 5554 y 9996.
Tanto su peligrosidad como su difusión y su dispersibilidad son de un grado
alto, mientras que el daño es de grado medio.No se ejecuta automáticamente
en cada reinicio del sistema, aunque sí tiene capacidad de autopropagación.
Cuando Sasser. B se ejecuta se copia a sí mismo en el directorio de
instalación de Windows con el nombre c:\windows\avserve2.exe. Y crea los
siguientes archivos, donde # sería un número de 5 dígitos
c:\windows\system32\#_up.exe --> c:\windows\system32\15643_up.exe
El gusano añade el valor indicado a la clave del registro de Windows para
ejecutarse automáticamente cada vez que es reiniciado el sistema.
Escanea direcciones IP seleccionados al azar buscando sistemas vulnerables,
lo que provoca un desbordamiento de búfer en LSASS.EXE que hace que este
programa falle y requiera el reinicio de Windows.
Utiliza diferentes exploits dependiendo de la versión del sistema operativo
que detecta.
Si el ataque tiene éxito, a través de ese intérprete de comandos, se instruye al
equipo remoto a descargar y ejecutar el gusano creando, ejecutando en el
equipo infectado una rutina llamada CMD.FTP , que descarga y ejecuta el
gusano provocando la infección.
La finalidad de este gusano es permitir la descarga del gusano en otros
sistemas para infectarlos.
Medidadas de prevención
● Blaster: virus que se aprovecha de la vulnerabilidad de los sistemas Windows
NT, 2000, XP y 2003. También se propaga usando el puerto TCP 135. Los
efectos destructivos, consisten en lanzar ataques de denegación de servicios
con el web de microsoft, provocando la inestabilidad en el sistema infectado.
Tiene una peligrosidad, un daño y una dispersibilidad de grado alto, además
de una difusión de grado medio, con capacidad de autopropagación. Su tipo
de código es WORM y su mecanismo principales de difusión es:
VULN (Se difunde aprovechando alguna vulnerabilidad, típicamente de
servicios de red.)
Medidas de prevención
● Otros: el gusano escanea las subredes IP de clase C y para incrementar el
cuarto octeto, barre el rango de direcciones. Si se encuentra con alguna
vulnerabilidad que no haya sido infectada en estas direcciones IP, envía los
datos con el fin de provocar el desbordamiento del búfer. Lo que permitirá al
gusano atacar una shell remota, a la que le envían los comandos
correspondientes para que el sistema descargue el fichero msblast.exe en el
directorio de sistema de Windows.
 -Comparativa de los virus

VIRUS Peligrosidad Difusión Daño Dispersibilidad Tipo de Plataformas Capacida de

malware afectadas resistencia
permanente
Zone H 3-Media Baja Medio Baja Troyano Multi (W32 Sí*
y W64)
Blaster 4-Alta Media Alto Alta Gusano Windows No
vista, XP,
Server
2008/2003/
2000, NT
Sasser-B 4-alta alta medio alta Gusano Windows No
2000,
Vista, XP,
NT, Server
2003/2008
I love 1-mínima nula nulo nula Gusano No
you

*Se ejecuta automáticamente en cada reinicio del sistema

Troyano: programa que parece beneficioso o útil pero resulta ser malicioso en algún
momento. No se propaga por si mismo.
Gusano: Programa que se replica copiándose entero (sin infectar otros ficheros) en la
máquina infectada, y a través de redes de ordenadores.

-Informe
Después de haber analizado las diferentes características de estos virus,
hemos llegado a la conclusión de que el gusano I love you sería el malware
que menos consecuencias negativas causaría a nuestro sistema, ya que tanto
el daño, como la dispersabilidad y la difusión son nulas, dando lugar a una
peligrosidad mínima, el mayor problema es su propagación, principalmente a
través del e-mail. Después de este, el troyano Zone-H, cuya difusión y
dispersibilidad son bajas y con un daño medio, tiene una peligrosidad media,
aunque se ejecuta automáticamente en cada reinicio del sistema. En la
clasificación, no está del todo claro que malware conlleva más consecuencias
negativas al infectar nuestro sistema, el Sasser-B o el Blaster, ya que el Sasser
tiene una capacidad de difusión más alta, pero el Blaster causa mayor daño,
teniendo los dos una dispersibilidad y peligrosidad alta.. En la información
almacenada, podría tener peores consecuencias el Blaster, ya que es que
mayor daño causa.
http://angelayalba.glogster.com/glog-7295-5365/
Virus Stuxnet
A pesar de que su difusión, propagación, daño y, por tanto, peligrosidad son bajas,
Stuxnet es un gusano que ha tenido mucha importancia ya que incluye componentes
de puerta trasera y rootkit, lo que le permite ocultar al gusano y así dificultar su
detección.

La peculiaridad de este malware, está en que se propaga a través de los dispositivos

extraibles que se conecten al equipo, pero no utilizando el mecanismo tradicional de
autoarranque, sino aprovechando una vulnerabilidad Oday que afecta a todas las
plataformas de Windows. Los atacantes pueden controlar remotamente el equipo tan
solo con que el usuario visualice un dispositivo extraible que contenga un archivo
.lnk manipulado (está es la extensión de los accesos directos y la vulnerabilidad
Oday se basa en la interpretación que hace el sistema de éstos), aunque la función
“Reproducción Automática” esté deshabilitada. Los accesos directos manipulados
también se distribuyen a través de redes compartidas y recursos remotos con
WebDAV y, al igual que se copian al equipo desde los discos extraibles, lo hacen a
los discos extraibles que se conectan a un ordenador infectado.

Además, el gusano crea vaios mutex, asegurándose de que sólo haya una copia de sí
mismo ejecutándose en cada momento.

Stuxnet fue creado para afectar principalmente a los sistemas SCADA de Siemens,
con el objetivo de recopilar información, y además utiliza firmas digitales de ciertas
empresas, como Realtek, con el objetivo de hacerse pasar por archivos legítimos.

Una vez que infecta un equipo, puede llevar acabo las siguientes acciones:

● Finalizar procesos.

● Ejecutar consultas SQL.

● Conectarse con servidores web.

● Descargar y ejecutar ficheros.

● Enviar información confidencial.

Sí, ha sido un salto en el desarrollo de los virus porque hasta éste, ningún virus había
sido capaz de ejecutarse sólo con conectar un dispositivo extraible y sin tener
activada la función “Reproducción Automática”. Y sólo con eso, es capaz de obtener
información confidencial y pasa a ser un equipo controlado remotamente por el
atacante.