Virus InformVirus Informááticotico
CCHSCCHS
A. DÍAZA. DÍAZ
¿Qué es un Virus?¿Qué es un Virus?
Los virus son piezas de código que se insertan por sí Los virus son piezas de código que se insertan por sí mismos en una estación, incluyendo sistemas operativos, mismos en una estación, incluyendo sistemas operativos, para propagarse. No pueden ejecutarse independientemente. para propagarse. No pueden ejecutarse independientemente. Requieren que el programa que lo alberga se ejecute para Requieren que el programa que lo alberga se ejecute para activarse. RFC 1135.activarse. RFC 1135.
Pueden dañar los datos directamente o pueden degradar la Pueden dañar los datos directamente o pueden degradar la performanceperformance del sistema al utilizar sus recursos, los cuales del sistema al utilizar sus recursos, los cuales ya no estarán disponibles a los usuariosya no estarán disponibles a los usuarios
Diferentes tipos de efectos nocivos sobre el sistema Diferentes tipos de efectos nocivos sobre el sistema afectado: eliminación, alteración de información, etc.afectado: eliminación, alteración de información, etc.
Se propagan a través de archivos infectados de una estación Se propagan a través de archivos infectados de una estación a otra por acción del usuario.a otra por acción del usuario.
HistoriaHistoria
Érase una vez el virusÉrase una vez el virus II
1939-1943 John L. Von Neumann, Teoría y 1939-1943 John L. Von Neumann, Teoría y organización de autómatas complejos.organización de autómatas complejos.
1949, Robert Thomas Morris, Douglas 1949, Robert Thomas Morris, Douglas McIlory y Victor Vysottsky, CoreWar.McIlory y Victor Vysottsky, CoreWar.
1972 Virus Creeper Robert T. Morris padre, 1972 Virus Creeper Robert T. Morris padre, IBM360. Antivirus Reeper.IBM360. Antivirus Reeper.
1983 Keneth Thompson, creó UNIX y 1983 Keneth Thompson, creó UNIX y presentó y demostró como crear un virus.presentó y demostró como crear un virus.
1984 Fred Cohen, expuso las pautas para crear 1984 Fred Cohen, expuso las pautas para crear un virus. Primer autor oficial de virus.un virus. Primer autor oficial de virus.
1986 Aparición de virus de sector de arranque.1986 Aparición de virus de sector de arranque. 1987: 12 virus por año.1987: 12 virus por año.
1988 Robert Tappan Morris, hijo de 1988 Robert Tappan Morris, hijo de Robert Thomas Morris, liberó el gusano Robert Thomas Morris, liberó el gusano conocido como Morris Worm.conocido como Morris Worm.
1989 Virus búlgaro DarkAvenger. 1989 Virus búlgaro DarkAvenger. Bulgaria como país productor de virus.Bulgaria como país productor de virus.
1993: más de 3500 virus1993: más de 3500 virus
1995 Macrovirus, virus no ejecutables 1995 Macrovirus, virus no ejecutables Word, Excel, Access, PowerPointWord, Excel, Access, PowerPoint
1999: varias decenas de miles. 1999: varias decenas de miles.
Érase una vez el virusÉrase una vez el virus IIII
Érase una vez el virusÉrase una vez el virus IIIIII
1999 Virus adjuntos y gusanos: Melissa, CIH, 1999 Virus adjuntos y gusanos: Melissa, CIH, etc.etc.
2001 El año de los gusanos: Lion, Ranem, 2001 El año de los gusanos: Lion, Ranem, Code Red, Nimda, etc.Code Red, Nimda, etc.
2002 Gusanos creadores de redes peer-to-peer: 2002 Gusanos creadores de redes peer-to-peer: Apache_Open_SSLApache_Open_SSL
2000: varias centenas de miles. 2000: varias centenas de miles. 2005: 1000 virus diarios.2005: 1000 virus diarios. 2005: 5000 virus diarios en diversos medios2005: 5000 virus diarios en diversos medios
Propiedades de los VirusPropiedades de los Virus
ReplicaciónReplicación Requiere de un programa o documento que lo Requiere de un programa o documento que lo
albergue.albergue. Modificación del código del documento o Modificación del código del documento o
programaprograma Ocultos al usuarioOcultos al usuario Ejecución involuntaria, gracias al usuarioEjecución involuntaria, gracias al usuario Ejecución involuntaria, gracias a Ejecución involuntaria, gracias a
funcionalidades/vulnerabilidades de la aplicación.funcionalidades/vulnerabilidades de la aplicación. Ejecución de acciones hostiles contra el sistemaEjecución de acciones hostiles contra el sistema
Componentes del VirusComponentes del Virus
Medio de PropagaciónMedio de Propagación Medio por el cual se propaga a otros sistemas: Medio por el cual se propaga a otros sistemas:
Correo electrónicoCorreo electrónico Archivos ejecutablesArchivos ejecutables Archivos de OfficeArchivos de Office Scripts, etc.Scripts, etc.
Código hostilCódigo hostil Parte destructiva del programa que contiene todas las Parte destructiva del programa que contiene todas las
instrucciones hostiles contra los sistemas a los que va dirigido.instrucciones hostiles contra los sistemas a los que va dirigido. Contiene rutinas que especifican cuando debe activarse y bajo Contiene rutinas que especifican cuando debe activarse y bajo
que circunstancias.que circunstancias.
Tipos de VirusTipos de Virus
Sector de arranqueSector de arranque Archivo Archivo
Residentes, de acción Residentes, de acción directa, compañía directa, compañía sobre-escritura.sobre-escritura.
MacroMacro MultipartesMultipartes Enlace o DirectorioEnlace o Directorio ScriptsScripts PolimórficosPolimórficos BugwareBugware
TécnicasTécnicas OcultaciónOcultación
Mecanismos de Mecanismos de ocultamiento (Stealth)ocultamiento (Stealth)
AutoencriptaciónAutoencriptación
Protección AntivirusProtección Antivirus AntidebuggersAntidebuggers
Camuflaje: PolimórficosCamuflaje: Polimórficos Evasión: TunnelingEvasión: Tunneling Ayuda: MacrosAyuda: Macros Residentes: TSRResidentes: TSR
Vulnerabilidades Explotadas por Los VirusVulnerabilidades Explotadas por Los Virus
Funcionalidades/bugs de las aplicacionesFuncionalidades/bugs de las aplicaciones Ejecución de programas, scripts, código HTML, código Java/ActiveX, Ejecución de programas, scripts, código HTML, código Java/ActiveX,
macros y archivos ejecutables de manera automática por parte de los macros y archivos ejecutables de manera automática por parte de los navegadores y de los clientes de correo.navegadores y de los clientes de correo.
Ejecución de archivos automáticamente por clientes de mensajería Ejecución de archivos automáticamente por clientes de mensajería instantánea, chat, etc.instantánea, chat, etc.
Transporte y ejecución de archivos infectados entre usuarios o por Transporte y ejecución de archivos infectados entre usuarios o por medio de recursos compartidos en redes.medio de recursos compartidos en redes.
El “Bug” más dañino: El “Bug” más dañino: EL USUARIOEL USUARIO Desactiva el antivirus, no lo actualiza, ejecuta archivos sin percatarse Desactiva el antivirus, no lo actualiza, ejecuta archivos sin percatarse
de su origen, su extensión, etc.de su origen, su extensión, etc. No es cuidadoso respecto a los correos que recibe y lee.No es cuidadoso respecto a los correos que recibe y lee.
Modo de PropagaciónModo de Propagación
Vienen escondidos en aplicaciones y/o programas que Vienen escondidos en aplicaciones y/o programas que se descargan desde Internet de naturaleza dudosa.se descargan desde Internet de naturaleza dudosa.
Como parte de aplicaciones pirateadas.Como parte de aplicaciones pirateadas. Por medio de virus y/o gusanos.Por medio de virus y/o gusanos. Instalados por un CRACKER en una red vulnerada.Instalados por un CRACKER en una red vulnerada. Por medio de applets de Java y ActiveX de Windows.Por medio de applets de Java y ActiveX de Windows. Por usuarios disconformes con su organización.Por usuarios disconformes con su organización.
Puertas de entrada (fuentes de contagio)Puertas de entrada (fuentes de contagio)
Eslabón más débil de la cadena informática: Eslabón más débil de la cadena informática: el el usuariousuario
80´s y mediados de 90´s: Disquettes y CDs80´s y mediados de 90´s: Disquettes y CDs Fin de 90´s y posterior: Fin de 90´s y posterior: InternetInternet
MailMail Acceso a sitios inseguros, aún sin copiar archivosAcceso a sitios inseguros, aún sin copiar archivos P2PP2P - - Peer to peer Peer to peer ((KazaaKazaa)) ChatChat Ingeniería socialIngeniería social
Extensiones de virus y gusanosExtensiones de virus y gusanos
.scr .exe .pif .bat .reg .dll .vbs .scr .lnk.scr .exe .pif .bat .reg .dll .vbs .scr .lnk Archivos compactados (“zipeados”) como .zip .rar .arc pueden Archivos compactados (“zipeados”) como .zip .rar .arc pueden
tener virus en su interiortener virus en su interior Cuidado: Cuidado: pueden tener dobles extensiones (la primera pueden tener dobles extensiones (la primera
“inocente” y la segunda “culpable”):“inocente” y la segunda “culpable”):
LOVE-LETTER-FOR-YOU.TXTLOVE-LETTER-FOR-YOU.TXT.VBS.VBS
Content-Type: application/x-msdownload; name="Glucemias con y sin Content-Type: application/x-msdownload; name="Glucemias con y sin LANTUS.xlsLANTUS.xls.scr.scr““
Siempre hay algo que Siempre hay algo que perderperder
PPéérdidas generadas por los virusrdidas generadas por los virus II
““En EU, los virus son las principales fuentes de perdidas En EU, los virus son las principales fuentes de perdidas financieras con $42,787,767dlls, seguido por el acceso sin financieras con $42,787,767dlls, seguido por el acceso sin autorización a redes con $31,233,100dlls y el robo de información autorización a redes con $31,233,100dlls y el robo de información con $30,933,000dlls. ”con $30,933,000dlls. ”
““El virus Melissa causo 80 millones de dlls en daEl virus Melissa causo 80 millones de dlls en dañños a empresas, os a empresas, ya que fue el primer virus que se propago por e-mail.”ya que fue el primer virus que se propago por e-mail.”
““El virus Love Bug afecto al 80% de las empresas de Australia, y El virus Love Bug afecto al 80% de las empresas de Australia, y aproximadamente la misma cantidad en EU. Inundo las redes aproximadamente la misma cantidad en EU. Inundo las redes empresariales con e-mails.”empresariales con e-mails.”
PPéérdidas generadas por los virusrdidas generadas por los virus IIII
““El virus Bug bear envió El virus Bug bear envió 320,000320,000 e-mails con información personal e-mails con información personal de computadoras infectadas a través de la red. Enviando de computadoras infectadas a través de la red. Enviando información confidencial a personas no autorizadas.”información confidencial a personas no autorizadas.”
““El virus Blaster evitEl virus Blaster evitóó el uso de Windows Update. Negó a usuarios el uso de Windows Update. Negó a usuarios a ese servicio. Infectó a ma ese servicio. Infectó a máás de 500,000 computadoras..”s de 500,000 computadoras..”
““Pérdidas por más de cinco mil millones de dólares en todo el Pérdidas por más de cinco mil millones de dólares en todo el mundo causaron los miles de ataques de "virus" informáticos en mundo causaron los miles de ataques de "virus" informáticos en los últimos años.“los últimos años.“
Los Bichos son cosa seriaLos Bichos son cosa seria
Año Impacto Económico Mundial (Millones de $)2001 13,2002000 17,1001999 12,1001998 6,1001997 3,3001996 1,8001995 500
Año Nombre del Código Impacto Económico en USA Indice de Cyberataque2001 Nimda $0.635 Mil Millones 0.732001 Code Red(s) $2.62 Mil Millones 2.992001 SirCam $1.15 Mil Millones 1.312000 Love Bug $8.75 Mil Millones 10.001999 Melissa $1.10 Mil Millones 1.261999 Explorer $1.02 Mil Millones 1.17
Problemas generadosProblemas generados
Pérdidas financieras por pérdida de informaciónPérdidas financieras por pérdida de información Eliminación o alteración de archivos importantesEliminación o alteración de archivos importantes Pérdidas financieras por anulación de servicios Pérdidas financieras por anulación de servicios
digitalesdigitales Negación de servicios por consumo de ancho de Negación de servicios por consumo de ancho de
banda, gusanosbanda, gusanos Pérdida de eficiencia en la empresaPérdida de eficiencia en la empresa
Los clasicosLos clasicos
Ingenieria socialIngenieria social
Ingeniería socialIngeniería social EEmpleampleadada por los por los crackerscrackers para engañar a los usuarios para engañar a los usuarios..
NNo se o se utilizautiliza ningún ningún softwaresoftware, sólo grandes dosis de ingenio, , sólo grandes dosis de ingenio, sutileza y persuasión para así lograr datos sutileza y persuasión para así lograr datos del usuario y/o del usuario y/o dañar dañar su sistema y propagarse rápidamente.su sistema y propagarse rápidamente.
Emplea como señuelos mensajes o ficheros con explícitas Emplea como señuelos mensajes o ficheros con explícitas referencias eróticasreferencias eróticas..
AludAludee a personajes famosos a personajes famosos
SeSe si sirve de "ganchos" vinculados rve de "ganchos" vinculados generalmente generalmente a relaciones a relaciones amorosasamorosas:: LOVE-LETTER-FOR-YOU.TXTLOVE-LETTER-FOR-YOU.TXT
Correo Correo (Ingeniería Social)(Ingeniería Social)
Fotos de:Fotos de: Anna Kournikova, Anna Kournikova, Pamela Anderson Pamela Anderson Jennifer López, Jennifer López, la esposa desnudala esposa desnuda
Cartas de Amor, Cartas de Amor,
Lista de gasolinerasLista de gasolineras
PostalesPostales
Revisión de documentos Revisión de documentos importantes,importantes,
Chistes, Chistes,
MessagerMessager (Ingeniería Social)(Ingeniería Social)
En este caso la En este caso la ingenieria social ingenieria social tambien se ve tambien se ve reflejada en el reflejada en el corrego electronico corrego electronico instantaneo o instantaneo o messanger.messanger.
Que hay de los Que hay de los archivos que se archivos que se envian…envian…
Y los plugginsY los pluggins
BrowserBrowser (Ingeniería Social)(Ingeniería Social)
Una vez más ingenieria Una vez más ingenieria social tambien se ve social tambien se ve reflejada en este medio. reflejada en este medio.
Cuidado con las paginas Cuidado con las paginas de bancosde bancos httpshttps
También donde das clickTambién donde das click Por si fuera poco con lo Por si fuera poco con lo
que aceptasque aceptas
P2PP2P - - Peer to peerPeer to peer
Kaaza, Bear share, aMule, xMule, FOX ShareKaaza, Bear share, aMule, xMule, FOX Share La tecnica es proporcionar programas, La tecnica es proporcionar programas,
aplicaciones, e inclusive sistemas operativos aplicaciones, e inclusive sistemas operativos completos “GRATIS”.completos “GRATIS”.
La mayoria de ellos poseen virus incrutados La mayoria de ellos poseen virus incrutados para obtener el control de tu equipo.para obtener el control de tu equipo.
CelularCelular (Ingeniería Social)(Ingeniería Social)
Y que esperaban que con esto termionaba…Y que esperaban que con esto termionaba… La Policia Federal Cibernetica, en el 2006 La Policia Federal Cibernetica, en el 2006
descubrio tecnicas de ingenereia socialdescubrio tecnicas de ingenereia social
Los clasicosLos clasicos
Falsa alrmaFalsa alrma
CCH sCCH s 2828
HOAX: Cuando el pánico se propagaHOAX: Cuando el pánico se propaga
Un Hoax es una falsa alarma acerca de la Un Hoax es una falsa alarma acerca de la existencia y propagación de un virus o existencia y propagación de un virus o gusano.gusano.
Tienen una buena intención, pero solo Tienen una buena intención, pero solo propagan falsas noticias.propagan falsas noticias.
El usuario al propagar el Hoax se comporta El usuario al propagar el Hoax se comporta como un virus/gusano y además alarma como un virus/gusano y además alarma innecesariamente a la comunidad.innecesariamente a la comunidad.
Explotan la buena fe de los usuarios.Explotan la buena fe de los usuarios. Ejemplo: Sulfnbk.exeEjemplo: Sulfnbk.exe
Los ClasicosLos Clasicos
TroyanosTroyanos
TroyanosTroyanos
Basado en el concepto del Basado en el concepto del Caballo de Troya que los griegos Caballo de Troya que los griegos utilizaron para destruir esa utilizaron para destruir esa ciudad.ciudad.
Son programas que ejecutan una Son programas que ejecutan una determinada tarea, pero además determinada tarea, pero además incluyen inesperadas incluyen inesperadas (indeseables) funciones. (indeseables) funciones.
Es similar a un virus, excepto Es similar a un virus, excepto que el troyano no se replica.que el troyano no se replica.
Algunos virus instalan Algunos virus instalan programas troyanos durante el programas troyanos durante el proceso de infección.proceso de infección.
SpamSpam
SpamSpam (“ (“Junk mail”Junk mail”))
Mensaje de correo electrónico no solicitado que Mensaje de correo electrónico no solicitado que publicita productos, servicios, sitios publicita productos, servicios, sitios WebWeb, etc. , etc.
Tipos de Tipos de SpamSpam:: comercial, políticos, religiosos, de hostigamiento, propuestas comercial, políticos, religiosos, de hostigamiento, propuestas
de ganancias económicas mediante cartas en cadena (“envía de ganancias económicas mediante cartas en cadena (“envía dinero a la primera persona de la lista, borra el nombre y pon dinero a la primera persona de la lista, borra el nombre y pon el tuyo en su lugar, reenvía este mensaje a otras personas y te el tuyo en su lugar, reenvía este mensaje a otras personas y te sorprenderás de la respuesta“), etc., etc.sorprenderás de la respuesta“), etc., etc.
Remitente falso: simula ser enviado por una persona u Remitente falso: simula ser enviado por una persona u organización. organización. **
SpamSpam (“ (“Junk mail”Junk mail”))
Mensaje de correo electrónico no solicitado que Mensaje de correo electrónico no solicitado que publicita productos, servicios, sitios publicita productos, servicios, sitios WebWeb, etc. , etc.
Tipos de Tipos de SpamSpam:: comercial, políticos, religiosos, de hostigamiento, propuestas comercial, políticos, religiosos, de hostigamiento, propuestas
de ganancias económicas mediante cartas en cadena (“envía de ganancias económicas mediante cartas en cadena (“envía dinero a la primera persona de la lista, borra el nombre y pon dinero a la primera persona de la lista, borra el nombre y pon el tuyo en su lugar, reenvía este mensaje a otras personas y te el tuyo en su lugar, reenvía este mensaje a otras personas y te sorprenderás de la respuesta“), etc., etc.sorprenderás de la respuesta“), etc., etc.
Remitente falso: simula ser enviado por una persona u Remitente falso: simula ser enviado por una persona u organización. organización. **
SpamSpam: lo que NO se debe hacer: lo que NO se debe hacer
Enviar un mensaje solicitando la baja de la "supuesta" lista: al Enviar un mensaje solicitando la baja de la "supuesta" lista: al responder se “blanquea” nuestra dirección.responder se “blanquea” nuestra dirección.
Enviar quejas a direcciones que no estemos seguros de que son Enviar quejas a direcciones que no estemos seguros de que son las que realmente han distribuido el mensaje.las que realmente han distribuido el mensaje.
Tratar con violencia al Tratar con violencia al spammer:spammer: aparte de “blanquear” nuestra aparte de “blanquear” nuestra dirección, lo alienta a continuar.dirección, lo alienta a continuar.
Poner filtros en los programas de correo electrónico para borrar Poner filtros en los programas de correo electrónico para borrar automáticamente el automáticamente el spamspam: : se pierden mensajes que no son se pierden mensajes que no son spam spam (falsos + y -)(falsos + y -) los spammers cambian periodicamente sus textos (Her bal V1agra" and los spammers cambian periodicamente sus textos (Her bal V1agra" and
ways to make "F*A*S*T C*A*S*H”)ways to make "F*A*S*T C*A*S*H”)
Distribuir el mensaje a otras personas o listas.Distribuir el mensaje a otras personas o listas. **
SpamSpam: lo que se debe hacer: lo que se debe hacer Investigar la dirección del emisor o del responsable de la Investigar la dirección del emisor o del responsable de la
máquina o del dominio que ha permitido la difusión de dicho máquina o del dominio que ha permitido la difusión de dicho mensaje.mensaje.
Disponer de dos mensajes tipo en castellano y en inglés, Disponer de dos mensajes tipo en castellano y en inglés, para para utilizarlosutilizarlos en unaen una denuncia o queja. denuncia o queja.
¿¿CCómo localizar las direcciones a las que hay que enviar el ómo localizar las direcciones a las que hay que enviar el mensaje de queja?mensaje de queja?: : identificar los dominios implicados en la identificar los dominios implicados en la distribución dedistribución del mensaje recibido yl mensaje recibido y localizar las direcciones de localizar las direcciones de los responsables que por defecto suelen estar en:los responsables que por defecto suelen estar en: [email protected]@dominio.xx [email protected] [email protected] ((donde xx donde xx corresponde a corresponde a .es, .com, .es, .com, .net, .net, etc.)etc.)
HoaxHoax
Los Los hoaxhoax (mistificación, broma o engaño), son (mistificación, broma o engaño), son mensajes con falsas advertencias de virus, alertas, mensajes con falsas advertencias de virus, alertas, cadenas (incluso solidarias), denuncias, etc., cadenas (incluso solidarias), denuncias, etc., distribuidos por correo electrónico:distribuidos por correo electrónico: Alerta, avise a todos sus conocidos!Alerta, avise a todos sus conocidos! Urgenteeeeee!!! no lo borres, es muy importante !!!Urgenteeeeee!!! no lo borres, es muy importante !!! Salvemos a Brian, de un año de edad, que padece una Salvemos a Brian, de un año de edad, que padece una
enfermedad incurable enfermedad incurable (rara dolencia que le impide crecer, (rara dolencia que le impide crecer, pues desde hace cinco años mantiene la misma edad)pues desde hace cinco años mantiene la misma edad)
Microsoft acaba de enviarme este aviso!Microsoft acaba de enviarme este aviso! Soy Madam Yogurto´ngue, viuda del General.... Soy Madam Yogurto´ngue, viuda del General....
Hay que borrarlos y no hay que reenviarlos ni Hay que borrarlos y no hay que reenviarlos ni responderlos.responderlos.
GusanosGusanos
WormsWorms
Acerca de GusanosAcerca de Gusanos
Un gusano es un programa Un gusano es un programa que puede ejecutarse que puede ejecutarse independientemente, independientemente, consumirá los recursos de la consumirá los recursos de la estación que lo alberga para estación que lo alberga para poder mantenerse y puede poder mantenerse y puede propagar una versión propagar una versión completa y operativa de sí completa y operativa de sí mismo en otras estaciones. mismo en otras estaciones. RFC 1135RFC 1135
Los inicios: El Gusano MorrisLos inicios: El Gusano Morris
El primer gusano conocido apareció el 02 de Noviembre de El primer gusano conocido apareció el 02 de Noviembre de 1988, Robert Tappan Morris Jr. fue quien elaboró una teoría 1988, Robert Tappan Morris Jr. fue quien elaboró una teoría acerca de gusanos… y además la puso en práctica…acerca de gusanos… y además la puso en práctica…
El incidente fue llamado Morris Worm Incident o Internet El incidente fue llamado Morris Worm Incident o Internet WormWorm
Afectó servidores Unix BSD 4.2 y 4.3, y SunOS.Afectó servidores Unix BSD 4.2 y 4.3, y SunOS. Tomó ventaja de vulnerabilidades en los servicios de Unix: Tomó ventaja de vulnerabilidades en los servicios de Unix:
sendmail, fingerd, rsh/exec y de claves débiles de los sendmail, fingerd, rsh/exec y de claves débiles de los servidores afectados (usuario y clave iguales).servidores afectados (usuario y clave iguales).
Se propagó a todos los sistemas que pudoSe propagó a todos los sistemas que pudo
CronologíaCronología
18:0018:00 El gusano es activadoEl gusano es activado20:4920:49 Infecta una VAX 8600 de la Universidad de UtahInfecta una VAX 8600 de la Universidad de Utah21:0921:09 Empieza a atacar a otros sistemasEmpieza a atacar a otros sistemas21:2121:21 La carga promedio de los sistemas alcanza nivel 5 cuandoLa carga promedio de los sistemas alcanza nivel 5 cuando
el nivel usual es 1el nivel usual es 121:4121:41 La carga promedio alcanza 7La carga promedio alcanza 722:0122:01 La carga promedio alcanza 16La carga promedio alcanza 1622:0022:00 Los usuarios no pueden usar los sistemas dónde hay un Los usuarios no pueden usar los sistemas dónde hay un
gran número de infectados.gran número de infectados.22:2022:20 Los administradores “matan” el gusano.Los administradores “matan” el gusano.22:4122:41 Los sistemas son reinfectados y la carga se eleva a 27Los sistemas son reinfectados y la carga se eleva a 2722:4922:49 El administrador reinicia el sistemaEl administrador reinicia el sistema23:2123:21 La re-infección eleva la carga promedio a 37La re-infección eleva la carga promedio a 37
EfectosEfectos
En 90 minutos, el gusano dejó miles de sistemas En 90 minutos, el gusano dejó miles de sistemas anulados.anulados.
6000 estaciones fueron afectadas.6000 estaciones fueron afectadas. No hubo daños físicos, pero las pérdidas oscilaron No hubo daños físicos, pero las pérdidas oscilaron
entre entre $100,000 y $100’000,000$100,000 y $100’000,000 por pérdida de acceso por pérdida de acceso a los sistemas.a los sistemas.
Conclusión: Los bichos son cosa seria.Conclusión: Los bichos son cosa seria.
Los Gusanos tienen EstiloLos Gusanos tienen Estilo
Hacker
Servidor 1
Servidor 2
Servidor 3
Los gusanos tienen estilo Los gusanos tienen estilo ¿Cómo trabaja un Gusano?¿Cómo trabaja un Gusano?
Los gusanos son programas autómatas que se Los gusanos son programas autómatas que se propagan a través de los sistemas que atacan.propagan a través de los sistemas que atacan.
Explotan vulnerabilidades de: sistemas operativos, Explotan vulnerabilidades de: sistemas operativos, aplicaciones, correo electrónico, etc.aplicaciones, correo electrónico, etc.
El código hostil puede simplemente ser hostigante, o El código hostil puede simplemente ser hostigante, o tan peligroso como capturar información del usuario tan peligroso como capturar información del usuario para enviarla a una cuenta en Internet o anular un para enviarla a una cuenta en Internet o anular un sistema totalmente, Keyloggersistema totalmente, Keylogger
Una vez afectado un sistema, tratan de infectar a otros Una vez afectado un sistema, tratan de infectar a otros y luego de ello atacar el sistema residente.y luego de ello atacar el sistema residente.
Para detenerlos, es necesario algo más que un Para detenerlos, es necesario algo más que un firewall.firewall.
Comportamiento típico de Comportamiento típico de un gusano de aplicacionesun gusano de aplicaciones
Escanea servicios vulnerables: IISEscanea servicios vulnerables: IIS Intenta entrar (Explota la vulnerabilidad).Intenta entrar (Explota la vulnerabilidad). Infecta la máquina con código hostil.Infecta la máquina con código hostil. Ejecuta el código hostil: Ejecuta el código hostil:
borrar, borrar, modificar archivos, modificar archivos, robar información, robar información, colocar troyanos, etccolocar troyanos, etc
Trata de infectar a otros sistemasTrata de infectar a otros sistemas Vuelve al paso 1.Vuelve al paso 1.
Comportamiento típico de un gusano de correoComportamiento típico de un gusano de correo
Se envía un e-mail infectado Se envía un e-mail infectado con un archivo anexado a la con un archivo anexado a la lista de contactos del cliente lista de contactos del cliente de correode correo
El contacto recibe el e-mail y El contacto recibe el e-mail y abre el archivo anexadoabre el archivo anexado
Ejecuta/infecta la máquina Ejecuta/infecta la máquina con código hostilcon código hostil
Trata de propagarse a toda la Trata de propagarse a toda la lista de contactos de la lista de contactos de la máquina infectada.máquina infectada.
Ejecuta el código hostil: Ejecuta el código hostil: borrar, modificar, colocar borrar, modificar, colocar troyanos, etc.troyanos, etc.
Vuelve al paso 1.Vuelve al paso 1.
Vulnerabilidades ExplotadasVulnerabilidades Explotadas
Bugs de las aplicaciones:Bugs de las aplicaciones: IIS: Unicode Traversal BugIIS: Unicode Traversal Bug Apache: Open_SSLApache: Open_SSL Windows: NetBIOS, recursos compartidosWindows: NetBIOS, recursos compartidos Linux/Unix: Remote Shell, RPC, lprndLinux/Unix: Remote Shell, RPC, lprnd
Funcionalidades de las aplicaciones: ejecución Funcionalidades de las aplicaciones: ejecución de código Java, ActiveX en navegadoresde código Java, ActiveX en navegadores
Recursos compartidos (NetBIOS)Recursos compartidos (NetBIOS) El usuarioEl usuario
Slapper_Worm_ApacheSlapper_Worm_Apache II
Slapper Worm Apache.Slapper Worm Apache. Gusano que explota vulnerabilidades en aplicación Gusano que explota vulnerabilidades en aplicación
OPEN_SSL.OPEN_SSL. Crea redes Peer-to-Peer con las estaciones infectadas Crea redes Peer-to-Peer con las estaciones infectadas
que son controladas a través de un servicio instalado que son controladas a través de un servicio instalado por medio de el.por medio de el.
Estaciones controladas remotamente: DoS, ataques Estaciones controladas remotamente: DoS, ataques internos, sniffing, etc.internos, sniffing, etc.
Método de propagación similar a gusanos de Método de propagación similar a gusanos de aplicaciones…. peroaplicaciones…. pero
Slapper_Worm_ApacheSlapper_Worm_Apache IIII
El problema con este gusano es que las El problema con este gusano es que las estaciones, a pesar de haber ser limpiadas, estaciones, a pesar de haber ser limpiadas, siguen recibiendo tráfico de comando del resto siguen recibiendo tráfico de comando del resto de las estaciones infectadas.de las estaciones infectadas.
Las estaciones infectadas mantienen grabadas Las estaciones infectadas mantienen grabadas las IPs de las otras estaciones en la red peer-to-las IPs de las otras estaciones en la red peer-to-peer creada.peer creada.
Se deben desinfectar todas las estaciones para Se deben desinfectar todas las estaciones para eliminar la red peer-to-peer.eliminar la red peer-to-peer.
Spywares Spywares ¿Virus, gusanos o troyanos?¿Virus, gusanos o troyanos?
Programas, scripts, applets de Java, etc; que se Programas, scripts, applets de Java, etc; que se instalan y registran las actividades de los usuarios y la instalan y registran las actividades de los usuarios y la envían a sus creadores.envían a sus creadores.
Colectan información de: tráfico, claves, cuentas, etc. Colectan información de: tráfico, claves, cuentas, etc. (tarjetas de crédito tal vez).(tarjetas de crédito tal vez).
Algunos tienen módulos de keylogger que almacenan Algunos tienen módulos de keylogger que almacenan las teclas que son utilizadas por el usuario y la envían las teclas que son utilizadas por el usuario y la envían a Internet.a Internet.
Protección: Ad Aware, BHO Captor, etc. Protección: Ad Aware, BHO Captor, etc. (¡Gratuitos!)(¡Gratuitos!)
Bichos de hoyBichos de hoy
Los programas actuales son híbridos de distintos Los programas actuales son híbridos de distintos programas hostilesprogramas hostiles
Mezcla de gusanos, troyanos, virusMezcla de gusanos, troyanos, virus Los programas actuales se propagan de manera Los programas actuales se propagan de manera
autómata y sin necesidad de la acción del usuario.autómata y sin necesidad de la acción del usuario. Instalan programas de control remoto, troyanosInstalan programas de control remoto, troyanos Ningún tipo de archivo está libre: PDF, JPGNingún tipo de archivo está libre: PDF, JPG
http://www.usatoday.com/life/cyber/tech/2002/06/13/virus-pictures.htmhttp://www.usatoday.com/life/cyber/tech/2002/06/13/virus-pictures.htm
Son la amenaza más hostil y creciente que existeSon la amenaza más hostil y creciente que existe
Acciones PreventivasAcciones Preventivas II A nivel de usuario:A nivel de usuario:
No leer ni ejecutar archivos de dudosa procedencia (spam, No leer ni ejecutar archivos de dudosa procedencia (spam, etc.) hacer uso del sentido común.etc.) hacer uso del sentido común.
No desactivar el antivirus y mantenerlo actualizado.No desactivar el antivirus y mantenerlo actualizado. No bajar ni ejecutar programas u aplicaciones que no hayan No bajar ni ejecutar programas u aplicaciones que no hayan
sido evaluados previamente por el dpto. de IT.sido evaluados previamente por el dpto. de IT. No visitar páginas de contenido dudoso.No visitar páginas de contenido dudoso. Deshabilitar la capacidad de ejecutar macros en MS Office.Deshabilitar la capacidad de ejecutar macros en MS Office. Aplicar todos los parches a sus sistemas operativos (nunca se Aplicar todos los parches a sus sistemas operativos (nunca se
olvide de tener un backup).olvide de tener un backup). Configurar el correo electrónico para enviar y recibir emails Configurar el correo electrónico para enviar y recibir emails
en modo texto.en modo texto. Nunca aceptar archivos que son enviados a través de News, Nunca aceptar archivos que son enviados a través de News,
IRC, e-mails, etc., cuya razón de envío no es clara, etc.IRC, e-mails, etc., cuya razón de envío no es clara, etc.
Ante la duda, no haga nada.Ante la duda, no haga nada. No ejecutar archivos anexados en correos con nombres No ejecutar archivos anexados en correos con nombres
sugestivos: Anna Kournikova, Jennifer López. Recuerde sugestivos: Anna Kournikova, Jennifer López. Recuerde la Ingeniería Social.la Ingeniería Social.
En Windows, activar la opción de visualización de En Windows, activar la opción de visualización de extensión de archivos en el Explorador.extensión de archivos en el Explorador.
Si detecta algo extraño en su estación y no sabe que hacer, Si detecta algo extraño en su estación y no sabe que hacer, desconéctela de la red, no la toque y llame al desconéctela de la red, no la toque y llame al departamento de sistemas.departamento de sistemas.
Utilice firmas digitales para autenticar el origen de Utilice firmas digitales para autenticar el origen de correos.correos.
Nunca propague HOAXes, ya es suficiente con el tráfico Nunca propague HOAXes, ya es suficiente con el tráfico de los virus, gusanos, spam, etcde los virus, gusanos, spam, etc. . ¡NO SEA UN VIRUS!.¡NO SEA UN VIRUS!.
Acciones PreventivasAcciones Preventivas IIII
Desabilitar Macros Desabilitar Macros OfficeOffice
• Ir a ToolsIr a Tools
• Luego MacrosLuego Macros
• Finalmente Security…Finalmente Security…
•Y seleccionar HighY seleccionar High
Acciones PreventivasAcciones Preventivas IIIIII
Visualizar extenciones de archivos
La mayoría de virus, gusanos y troyanos vienen con doble extensión:
AnnaKournikova.jpg.exe
Acciones PreventivasAcciones Preventivas IVIV
A nivel de ServidorA nivel de Servidor:: Correos: Filtrar archivos con extensiones peligrosas: Correos: Filtrar archivos con extensiones peligrosas:
doc, xls, vbs, exe, pif, cpl, ppt, bat, html, htm, mp3, doc, xls, vbs, exe, pif, cpl, ppt, bat, html, htm, mp3, sys, com, shs, ccs, cmd, etc.sys, com, shs, ccs, cmd, etc.
Correos: Deshabilitar la opción de Relay para evitar Correos: Deshabilitar la opción de Relay para evitar ser el transmisor de virus.ser el transmisor de virus.
Aplicar parches, ejecutar check-lists, etc.Aplicar parches, ejecutar check-lists, etc. Mantener un registro de las comunicaciones que Mantener un registro de las comunicaciones que
inician los usuarios con otros y que involucran envío inician los usuarios con otros y que involucran envío
de archivosde archivos..
Acciones PreventivasAcciones Preventivas VV
Acciones DetectivescasAcciones Detectivescas
Network IDS Misuse DetectionNetwork IDS Misuse Detection alert tcp any 110 -> any any (msg:"Virus - Possible MyRomeo alert tcp any 110 -> any any (msg:"Virus - Possible MyRomeo
Worm"; content: "I Love You"; sid:726; classtype:misc-activity; Worm"; content: "I Love You"; sid:726; classtype:misc-activity; rev:3;)rev:3;)
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-IIS CodeRed v2 root.exe access"; flags: 80 (msg:"WEB-IIS CodeRed v2 root.exe access"; flags: A+; uricontent:"scripts/root.exe?"; nocase; A+; uricontent:"scripts/root.exe?"; nocase; classtype:web-application-attack; classtype:web-application-attack;
alert tcp any 110 -> any any (msg:"Virus - SnowWhite Trojan alert tcp any 110 -> any any (msg:"Virus - SnowWhite Trojan Incoming"; content:"Suddlently"; sid:720; classtype:misc-Incoming"; content:"Suddlently"; sid:720; classtype:misc-activity; rev:3;)activity; rev:3;)
Virus Detectados con SNORTVirus Detectados con SNORT
Nov 6 11:03:01 192.168.1.1:40202 -> 128.1.1.78:80 SYN ******S* Nov 6 11:03:01 192.168.1.1:40202 -> 128.1.1.78:80 SYN ******S* Nov 6 11:03:04 192.168.1.1:40203 -> 128.1.1.79:80 SYN ******S* Nov 6 11:03:04 192.168.1.1:40203 -> 128.1.1.79:80 SYN ******S* Nov 6 11:03:01 192.168.1.1:40204 -> 128.1.1.80:80 SYN ******S* Nov 6 11:03:01 192.168.1.1:40204 -> 128.1.1.80:80 SYN ******S* Nov 6 11:03:01 192.168.1.1:40205 -> 128.1.1.81:80 SYN ******S* Nov 6 11:03:01 192.168.1.1:40205 -> 128.1.1.81:80 SYN ******S* Nov 6 11:03:04 192.168.1.1:40206 -> 128.1.1.82:80 SYN ******S* Nov 6 11:03:04 192.168.1.1:40206 -> 128.1.1.82:80 SYN ******S* Nov 6 11:03:04 192.168.1.1:40207 -> 128.1.1.83:80 SYN ******S* Nov 6 11:03:04 192.168.1.1:40207 -> 128.1.1.83:80 SYN ******S* Nov 6 11:03:01 192.168.1.1:40208 -> 128.1.1.84:80 SYN ******S* Nov 6 11:03:01 192.168.1.1:40208 -> 128.1.1.84:80 SYN ******S* Nov 6 11:03:04 192.168.1.1:40209 -> 128.1.1.85:80 SYN ******S* Nov 6 11:03:04 192.168.1.1:40209 -> 128.1.1.85:80 SYN ******S* Nov 6 11:03:01 192.168.1.1:40211 -> 128.1.1.87:80 SYN ******S* Nov 6 11:03:01 192.168.1.1:40211 -> 128.1.1.87:80 SYN ******S*
[**] WEB-IIS CodeRed v2 root.exe access [**][**] WEB-IIS CodeRed v2 root.exe access [**]11/06-10:46:19.052795 192.168.1.1:2932 -> 128.1.1.79:8011/06-10:46:19.052795 192.168.1.1:2932 -> 128.1.1.79:80TCP TTL:107 TOS:0x0 ID:22513 IpLen:20 DgmLen:112 DFTCP TTL:107 TOS:0x0 ID:22513 IpLen:20 DgmLen:112 DF***AP*** Seq: 0xE67E6F67 Ack: 0xF5D6EDC Win: 0x25BC TcpLen: 20***AP*** Seq: 0xE67E6F67 Ack: 0xF5D6EDC Win: 0x25BC TcpLen: 2047 45 54 20 2F 73 63 72 69 70 74 73 2F 72 6F 6F GET /scripts/roo47 45 54 20 2F 73 63 72 69 70 74 73 2F 72 6F 6F GET /scripts/roo74 2E 65 78 65 3F 2F 63 2B 64 69 72 20 48 54 54 t.exe?/c+dir HTT74 2E 65 78 65 3F 2F 63 2B 64 69 72 20 48 54 54 t.exe?/c+dir HTT50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 P/1.0..Host: www50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 P/1.0..Host: www0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 ..Connnection: c0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 ..Connnection: c6C 6F 73 65 0D 0A 0D 0A lose....6C 6F 73 65 0D 0A 0D 0A lose....
Acciones CorrectivasAcciones Correctivas
Aislar la computadora Aislar la computadora afectada.afectada.
Efectuar la limpieza desde un Efectuar la limpieza desde un disco con el antivirus.disco con el antivirus.
Eliminar archivos Eliminar archivos sospechosossospechosos
Efectuar la limpieza a nivel Efectuar la limpieza a nivel de registro (Windows)de registro (Windows)
Aplicar los parches que sean Aplicar los parches que sean necesariosnecesarios
Instalar antivirus con firmas Instalar antivirus con firmas actualizadasactualizadas
Reinstalar el sistema Reinstalar el sistema operativo de ser necesario.operativo de ser necesario.
!No entrar en pánico!!No entrar en pánico!
SpywareSpyware y y AdwareAdware SpywareSpyware::
Programas que se instalan habitualmente sin Programas que se instalan habitualmente sin advertir al usuario, monitorean la actividad del advertir al usuario, monitorean la actividad del usuario (“usuario (“Big brotherBig brother”) y envían la información ”) y envían la información a sus creadores.a sus creadores.
AdwareAdware:: Se instalan en forma similar al Se instalan en forma similar al SpywareSpyware..
Permiten visualizar anuncios publicitarios y Permiten visualizar anuncios publicitarios y obtienen datos del usuario.obtienen datos del usuario. **
ConclusionesConclusiones
Sea precavido, usted es la primera línea de defensa.Sea precavido, usted es la primera línea de defensa. Nunca deshabilite el antivirus y manténgalo Nunca deshabilite el antivirus y manténgalo
actualizadoactualizado Aplique los parches a sus sistemas previa copia de Aplique los parches a sus sistemas previa copia de
resguardo de los mismos.resguardo de los mismos. No instale aplicaciones ni ejecute archivos de dudosa No instale aplicaciones ni ejecute archivos de dudosa
procedencia.procedencia. No envíe información de la cual no tenga certeza, No envíe información de la cual no tenga certeza,
evite ser un virus!.evite ser un virus!.
Top Related