Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 1 Unidad 5 Virus Informáticos y otros Códigos Maliciosos Introducción Cuando un virus ingresa por algún medio a una de las computadoras conectadas a una red y estas no se encuentran debidamente aseguradas contra estos riesgos, esto podría llegar a causar más que un simple dolor de cabeza a los usuarios de las terminales, en algunos casos estos daños pueden llegar a costar inclusive millones de dólares en pérdidas de información. Un informe sobre virus informáticos, elaborado por la NCSA(National Computer Security Association), dio como resultado que los daños causados por los virus en las empresas de los EE.UU. ascienden a 5 y 6 mil millones de dólares en pérdidas durante 1996. Este estudio abarcó 300 empresas importantes de Norteamérica, de las cuales el 98% de las compañías declaró haber tenido infectado su sistema por lo menos una vez con algún virus. El riesgo para la información debido a los virus informáticos es tan grande que se crearon herramientas de protección para este problema, aquí es donde toman un papel importante los antivirus, que aunque no representen un 100% de protección es una excelente solución. Hoy en día las redes locales tomaron un papel importante dentro de las empresas de todo el mundo el traspaso de información a través de las distintas terminales, fue un gran paso en lo que respecta al envió de información en tiempo real, pero aquí la presencia de un virus puede llegar a ser fatal, debido a la gran pérdida de información, en caso de que el virus sea conocido los usuarios, de contar con un buen antivirus, pueden llegar a resolver la infección de cada una de las PCs; de no ser así es útil llamar a personas expertas en estos casos. Si una de las PCs de una red se encuentra infectada con algún virus es casi seguro que las demás también lo estén, ya que dentro de una red la propagación de estos programas no deseados suele ser muy rápida. A continuación detallaremos ejemplos de infecciones de virus informáticos en redes, en caso de que en algún momento le ocurra o para aumentar su conocimiento de estos visitantes inesperados: “Una empresa del área financiera poseía una red de PCs conectada a un mainframe con el que intercambiaba información, un día se advirtió que la red estaba infectada con un virus, entonces se probó con un antivirus conocido que detectó el virus y erradicaron el virus y siguieron trabajando sin problemas durante ese día; al día siguiente de nuevo la red amaneció infectada, procedieron a desinfectarla nuevamente, pero al día siguiente ocurrió lo mismo entonces decidieron llamar a expertos en el tema, luego de realizar ellos la desinfección de las PCs apagaron el sistema y lo encendieron nuevamente y la red nuevamente estaba infectada, entonces comenzaron a sospechar del viejo mainframe al cual estaban conectadas las PCs, pero era imposible que el virus se ejecutara en él, pero al ver el funcionamiento del software del mainframe encontraron que este generaba algo así como una PC virtual dentro de él, esta PC “virtual” era la que nadie se había ocupado de desinfectar y entonces esta infectaba toda Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 2 la red. El hecho de que el virus sea conocido no quiere decir que será tarea fácil desinfectar el sistema este suele ser a veces demasiado complejo.” “Una empresa sufrió la paralización de su sistema de la red que poseía, esto le trajo dos días de paralización y una gran pérdida de dinero, ellos determinaron que este problema se debió a un virus pero la empresa proveedora de su sistema de antivirus de la red sostenía que su producto no podía haber fallado. Como primera medida los expertos en seguridad informática analizaron el funcionamiento del antivirus con el virus en cuestión, este no solo lo detectaba sino que impedía su ejecución, por lo tanto el problema no estaba en el antivirus. Entonces se entrevisto a cada uno de los usuarios de la red, hasta que uno de ellos dio una pista, ante de empezar el horario de trabajo, un empleado del servicio técnico de la empresa necesitaba probar una computadora que debía estar en la oficina de un gerente. Como estaba muy apurado le pidió permiso a un empleado para probarla en su puesto de trabajo en la red, cuando el empleado regreso, el técnico había dejado todo como antes pero el server de la red había sido infectado con el virus que tenía la computadora que se probó y que no tenía sistema antivirus, entonces cada computadora que se conectaba al server se infectaba” El funcionamiento de un virus informático es el de un programa con tres características principales: siempre produce algún tipo de daño, genera copias de sí mismo para tomar control del sistema donde está y poder pasar a otros sistemas y actúa de tal manera que en un usuario convencional no se da cuenta. Como todo programa debe ejecutarse para poder funcionar, de lo contrario sólo permanecerá grabado en el disco rígido pero sin poder realizar ningún daño. Para minimizar el riesgo de infección por virus informático en un sistema de computadoras no sólo se debe contar con un buen antivirus, sino además debe controlarse las vías de acceso por las cuales pueden entrar los virus e instruir al personal para que maneje de manera correcta todo tipo de archivo y medio de almacenamiento digital que llegue desde fuera, sea cual fuere su procedencia, forma y camino de entrada. Y esto sólo puede lograrse desarrollando una estrategia de Seguridad Informática a medida de las necesidades del sistema de computadoras y de la función que cumple. Antivirus El riesgo que representan los virus, para la información manejada por computadoras, es tan grande que se han creado herramientas de protección específicas para este problema, éstas se conocen como Antivirus. Lo que no se debe perder de vista cuando se piensa en programas antivirus es que, como todo programa, es parte de nuestro sistema de computación. Por lo tanto sólo funcionará correctamente si es adecuado y está bien configurado. Un antivirus (como todo programa) es una herramienta para minimizar riesgos y no sólo no será eficaz para el 100 % de los casos, sino que nunca será una protección total y definitiva. Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 3 FUNCIÓN DEL ANTIVIRUS Un antivirus tiene como función detectar, de alguna manera, la presencia o el accionar de un virus informático en una computadora. El hecho de detectar la posible presencia de un virus informático, detener el trabajo y tomar las medidas necesarias, es suficiente para acotar un buen porcentaje de los daños posibles. Adicionalmente, un antivirus puede dar la opción de erradicar un virus informático de una entidad ejecutable infectada. Se debe tener clara la diferencia entre Detectar e Identificar un virus en una computadora. La Detección consiste en la determinación de la presencia de un virus, la Identificación es la identificación de qué virus es. Lo mejor que debe tener un antivirus es su capacidad de detección, pues las capacidades de identificación están expuestas a muchos errores y sólo funcionan con virus conocidos * Identificación: la primera técnica que se popularizó para la detección e identificación de virus informáticos (y que aún se sigue usando) es la técnica de Scanning. Esta técnica consiste en revisar el código de los archivos que contiene la unidad de almacenamiento que se va a revisar (fundamentalmente) en busca de pequeñas porciones de códigos que puedan pertenecer a un virus. Este procedimiento (escaneo) lo realiza el programa antivirus a partir de una base de datos que contiene pequeños trozos de códigos representativos de cada virus conocido,agregando el empleo de determinados algoritmos que agilizan los procesos de búsqueda. El primer punto grave de este sistema radica en que siempre brinda una solución a posteriori, es necesario que un virus informático alcance un grado de dispersión considerable para que sea enviado a los desarrolladores de antivirus. Este proceso puede demorar unos dos o tres meses a partir del momento en que el virus comienza a tener una dispersión considerable, lapso en el cual puede llegar a causar graves daños sin que pueda ser identificado. En definitiva, la técnica de Scanning es altamente ineficiente, pero se sigue utilizando debido a que permite identificar rápidamente la presencia de los virus más conocidos. Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 4 Análisis por parte de productores de virus ANTIVIRUS Base de Datos STRING virus 1 STRING virus 2 STRING virus 3 ARCHIVO GVIRUS 1 STRING V IRUS 1 Identificación de un virus por scanning VIRUS 1 COMPARACION VIRUS 2 IDENTIFICACION VIRUS 3 FIGURA 1: la técnica de scanning consiste en analizar el código del virus, identificar un trozo muy pequeño del mismo que sirva para identificarlo e incorporarlo a la base de datos del antivirus. Cuando el antivirus “escanea” hace un proceso de comparación y cada vez que encuentra ese trozo de virus en un archivo informa que está infectado por ese virus * Detección: debido a las limitaciones de la técnica de scanning, los productores de programas antivirus han desarrollado otros métodos para búsqueda de virus informáticos que no identifican específicamente al virus sino a algunas de sus características generales y comportamientos. Este tipo de método rastrea rutinas de alteración de información que no puedan ser controladas por el usuario, modificación de sectores críticos de las unidades de almacenamiento (master boot record, boot sector, FAT, entre otras), etc. Un ejemplo de este tipo de métodos es el que utiliza algoritmos heurísticos. Esta naturaleza de procedimientos busca, de manera bastante eficiente, instrucciones potencialmente dañinas pertenecientes a un virus informático. Resulta eficaz para la detección de virus conocidos y es una de las soluciones utilizadas por los antivirus para la detección de nuevos virus. El inconveniente que presenta este tipo de algoritmo radica en que puede llegar a sospecharse de muchísimas cosas que no son virus. Esto hace necesario que el usuario que lo utiliza conozca un poco acerca de la estructura del sistema operativo, a fin de poseer herramientas que le faciliten una discriminación de cualquier falsa alarma generada por un método heurístico. Otra forma de detectar la presencia de un virus informático en un sistema consiste en monitorear las actividades de la PC señalando si algún proceso intenta modificar los sectores críticos de los dispositivos de almacenamiento o los archivos ejecutables. Los programas que realizan esta tarea se denominan chequeadores de integridad. Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 5 Técnicas de detección de virus ARCHIVOS EN GENERAL ARCHIVOS ESTRUCTURA FIJA FIGURA 2 : La verificación de integridad se ocupa de que no se produzcan cambios en la estructura de los archivos críticos del sistema (cosa que podría hacer un virus). El análisis heurístico consiste en la búsqueda de instrucciones dañinas en los archivos que puedan pertenecer a un virus MODELO DE UN SISTEMA ANTIVIRUS Para comprender el funcionamiento de un programa antivirus utilizaremos un modelo de análisis. Este modelo contiene todos los módulos que puede tener un antivirus en su estructura, pero no todos los antivirus tienen la totalidad de estos módulos. La estructura de un programa antivirus está compuesta por dos módulos principales: el primero denominado de control y el segundo, de respuesta. A su vez cada módulo está dividido en varias partes. Sistema Antivirus CONTROL RESPUESTA FIGURA 3: Todos los antivirus se pueden analizar bajo este modelo considerando que el módulo de control se encarga de detectar los virus y el de respuesta de ejecutar acciones sobre ellos Módulo de Control: este módulo posee la técnica de verificación de integridad que posibilita el registro de posibles cambios en los archivos ejecutables y las zonas críticas de un ANTIVIRUS Análisis heurístico (búsqueda de rutinas dañinas) Verificación de integridad (impide alteración de los archivos) DETECTAR IDENTIFICAR CONTROLAR INTEGRIDAD ADMINISTRAR RECURSOS EVITAR DAR ALARMA REMOVER Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 6 disco rígido. Se trata, en definitiva, de una herramienta preventiva para mantener y controlar los componentes de información de un disco rígido que no son modificados, a menos que el usuario lo requiera. Otra opción dentro de este módulo es la identificación del virus que incluye diversas técnicas para la detección de virus informáticos. Las formas más comunes de detección son el scanning y los algoritmos, como por ejemplo, los heurísticos. Asimismo, la identificación de código dañino es otra de las herramientas de detección que, en este caso, busca instrucciones peligrosas incluidas en programas, para la integridad de la información del disco rígido. Esto implica descompilar en forma automática los archivos almacenados y ubicar sentencias o grupos de instrucciones peligrosas. Finalmente, el módulo de control también posee una administración de recursos para efectuar un monitoreo de las rutinas a través de las cuales se accede al hardware de la computadora. De esta manera puede limitarse la acción de un programa restringiéndole el uso de estos recursos, como por ejemplo, impedir el acceso a la escritura de zonas críticas del disco rígido o evitar que se le ejecuten funciones de formateo. Módulo de Respuesta: la función alarma se encuentra incluida en todos los programas antivirus y consiste en detener la acción del sistema ante la sospecha de la presencia de un virus informático, e informar la situación a través de un aviso en pantalla. Algunos antivirus ofrecen, una vez detectado el virus, la posibilidad de erradicarlo. Por consiguiente, la función reparar se utiliza como una solución momentánea para mantener la operatividad del sistema, hasta que pueda instrumentarse una solución adecuada. Por otra parte, existen dos técnicas para evitar el contagio de entidades ejecutables: evitar que se contagie todo el programa o prevenir que la infección se expanda más allá de un ámbito fijo. Aunque la primera opción es la más adecuada, plantea grandes problemas de implementación. CARACTERÍSTICAS DE UN BUEN ANTIVIRUS Un buen sistema de antivirus debe estar compuesto por un programa detector de virus - que siempre esté residente en memoria - y un programa que verifique la integridad de los sectores críticos del disco rígido y sus archivos ejecutables. Para implementar esto último, existen productos antivirus que cubren los dos aspectos, o bien pueden combinarse dos productos diferentes configurados de forma tal que no se produzcan conflictos entre ellos. Además debe contar con un sistema de detección que pueda ser utilizado en forma manual para revisar disquetes, medios de almacenamiento en general, archivos que llegan desde otra computadora, etc. Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 7 El antivirus ideal DETECTOR RESIDENTE EN MEMORIA DETECTOR MANUALVERIFICADOR DE INTEGRIDAD NORMAS PARA LA UTILIZACIÓN DE UN PROGRAMA ANTIVIRUS REVISIÓN DE UN SISTEMA: un virus informático es un programa y, como tal, una vez que se ejecuta, ocupa una posición en memoria y comienza a realizar las tareas para las cuales ha sido programado. En el caso de instalarse un antivirus en una computadora infectada por un virus localizado en memoria y controlando el sistema, lo más probable es que el antivirus se infecte y su funcionamiento deje de ser confiable. Por lo tanto, si se sospecha que una computadora puede estar infectada con un virus informático, nunca deben realizarse operaciones de diagnóstico desde el disco rígido. El procedimiento que debería llevarse adelante es arrancar la computadora desde un disquete con sistema operativo y tener la prevención de cerrar su sistema de protección contra escritura. Además, debe contarse con otro disquete protegido contra escritura, que contenga el sistema antivirus o, al menos, su módulo de detección. De esta manera se impide que el virus se active, aunque la computadora esté infectada con un virus de sector de arranque o uno de archivo ejecutable que haya parasitado el COMMAND.COM. Esto permite que al correr el antivirus desde el disquete los resultados sean confiables, ya que no existe la posibilidad de que el virus haya sido activado. REMOCION DE UN VIRUS: el módulo de respuesta de algunos antivirus ofrece la opción de reparar, es decir remover el virus detectado. Este procedimiento no es totalmente seguro ya que sólo funciona si el virus es identificado en forma unívoca y si el sistema de remoción del antivirus es realmente eficaz. Debido a estas inconsistencias de los antivirus, debe considerarse la remoción de un virus, sólo como una salida de emergencia en una situación determinada. El procedimiento correcto sería borrar los archivos infectados - en el caso de los virus de archivos ejecutables- y copiarlos del backup; si se tratase de virus de sector de arranque, el camino más seguro sería volver a formatear el disco rígido, comenzando con el borrado y nuevo armado de las particiones con el comando FDISK, el formateo con FORMAT, la reinstalación del software y la reposición de los archivos de trabajo desde el backup. REVISA ARCHIVOS COMPACTADOS REVISA MENSAJES DE CORREO ELECTRONICO SIMILARES CARACTERÍSTICAS AL RESIDENTE REVISA ARCHIVOS BAJADOS DE INTERNET Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 8 Por supuesto que si la computadora infectada es muy utilizada o cumple una función muy importante, el costo operativo de tenerla detenida el tiempo necesario para realizar las operaciones pertinentes puede ser muy alto. En estos casos, es posible recurrir a un antivirus para mantener el sistema funcionando hasta que pueda ser detenido para realizar las tareas correctas. En relación con la elección de un antivirus, es fundamental que éste cuente con un soporte técnico local, no sólo para la instalación y puesta en funcionamiento, sino para solucionar cualquier tipo de contingencia ante la aparición de un virus informático. Por otra parte, la problemática de los virus cambia con el tiempo; en consecuencia, un programa antivirus debe tener una estructura lo suficientemente dinámica como para poder incorporar técnicas que resuelvan los nuevos problemas. Por lo tanto, un antivirus adecuado debe ofrecer un buen servicio de actualización a través de nuevas versiones y upgrades. Remoción de un virus FIGURA 5: cuando se remueve un virus con un antivirus se le hace una serie de transformaciones al archivo que no garantiza que vuelva a su estado original, por lo que este procedimiento sólo debe utilizarse en casos de urgencia. Siempre lo más conveniente es reponerlo desde el backup. Pueden no ser iguales Archivo sano Archivo infectado Archivo con virus removido Transformación 1 Infeccion Infección Transformación 2 Remoción Infección Remoción Son iguales Archivo infectado Archivo repuesto del backup Transformación 1 Transformación 2 Archivo sano Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 9 Elección de un Antivirus Un programa antivirus es una parte más de un sistema informático y sólo funcionará eficientemente si está bien elegido, bien instalado y bien utilizado. El primer paso para la selección de toda herramienta es comprobar que sus características técnicas sean las adecuadas para nuestro sistema. El segundo paso, particularmente importante en el caso de los antivirus, es analizar si el soporte técnico que se ofrece es conveniente para las características de la empresa o del usuario. El tema del soporte técnico es particularmente importante. Si se tiene algún problema con un procesador de textos probablemente se pueda solucionar con la sola lectura del manual. Pero si el problema proviene del antivirus no será simple de resolver debido a la complejidad de su funcionamiento, por lo que es necesario contar con alguien especializado que pueda solucionarlo. Compañías desarrolladoras de Antivirus AVAST y AVAST32 AVG BitDefender CSAV Dr. Solomon's AVTK ESafe F-Secure IBM Antivirus InnoculateIT Kaspersky Antivirus (AVP) McAfee VirusScan Norman Virus Control Norton Antivirus QuickHeal Panda Antivirus PcCillin SÍNTOMAS DE UN POSIBLE VIRUS Debido a que los virus informáticos son cada vez más sofisticados, hoy en día es difícil sospechar su presencia a través de síntomas como la pérdida de performance. De todas maneras, la siguiente es una lista de indicios que pueden observarse en una computadora que se sospeche estar infectada por alguno de los virus más convencionales: Operaciones de procesamiento más lentas. Los programas tardan más tiempo en cargarse. Los programas comienzan a acceder por momentos a las disqueteras y/o al disco rígido. Disminución no justificada del espacio disponible en el disco rígido y de la memoria RAM disponible en forma constante o repentina. Aparición de programas residentes en memoria desconocidos. Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 10 2 Barrera Antivirus 1 Barrera PER Antivirus Sophos Antivirus ESTRATEGIAS ANTIVIRUS El modelo de seguridad antivirus que se debe tratar de lograr es uno donde se minimice la posibilidad de entrada de virus al sistema y en caso de que alguno pase esta barrera, el antivirus pueda, al menos, detectarlo. Esta primera barrera que minimiza la posibilidad de entrada de virus al sistema debe estar compuesta por una serie de “normas de conducta”, o más técnicamente “normas y procedimientos” que contribuyan a la minimización de este riesgo informático y sean coherentes con el entorno de manera que no compliquen el ritmo de trabajo normal a niveles aceptables. Por lo tanto, para resolver la problemática de los virus en el entorno de una computadora personal o en el de una terminal de red en un ambiente de trabajo en el cual no existe una estrategia de seguridad a nivel corporativo, debe utilizarse un buen antivirus y cumplir con una serie de normas y procedimientos que tengan por objetivo acotar al máximo posible el peligro de entrada de virus al sistema. En el caso de una estrategia para una computadora individual sólo hará falta desarrollar una lista de normas y procedimientos a cumplir por parte del o los usuarios, pero para resolver el problema en una pequeña empresa habrá que tratarlo de manera similar a si se tratara deuna estrategia de seguridad par una gran empresa. Esto último se debe a que en los ambientes de trabajos corporativos la relación con las computadoras no es tan personal como en el caso del equipo propio y esto hace necesario que las normas y procedimientos sean más detalladas y su cumplimiento más crítico. Entonces comenzaremos ocupándonos de cómo desarrollar una estrategia antivirus para un usuario individual, luego explicaremos los conceptos básicos necesarios de seguridad informática para poder llegar a hacer una estrategia para una pequeña o mediana empresa. Modelo de estrategia antivirus Procedimientos y normas virus virus virus Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 11 Estrategia de seguridad antivirus para un usuario individual GALERIA DE PANTALLAS DE VIRUS Y OTROS CODIGOS MALICIOSOS EN ACCION LLooss aannttiivviirruuss aauuttoommááttiiccooss La tendencia actual de los antivirus es la de funcionar de manera automática y transparente para el usuario, pretendiendo implantar un modelo de seguridad contra virus en el que no sean necesarios normas y procedimientos ni tomar decisiones. Siempre que se esté en presencia de herramientas automáticas se debe recordar una de las leyes fundamentales de la seguridad informática “las herramientas automáticas se equivocan automáticamente”, por lo tanto siempre es necesario tener una serie de normas y procedimientos que acompañen el accionar de la herramienta Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 12 Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 13 Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 14 Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 15 Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 16 Comparativa de infecciones de dos meses entre años Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 17 Información del virus W32/Chet-A Resumen Resumen Descripción Desinfección Perfil Nombre W32/Chet-A Tipo Gusano Alias W32.Chet@mm W32/Chet@MM WORM_CHET.A W32/Anniv911.A-mm Protección Protección disponible desde el 11 de septiembre de 2002 Incluido en el producto desde Octubre 2002 (3.62) Descripción Resumen Descripción Desinfección W32/Chet-A es un gusano de email que se extiende utilizando Microsoft Outlook Express. El gusano se copia en la carpeta System de Windows con el nombre SYNCHOST1.EXE y crea la siguiente entrada en el registro para activarse en el inicio del sistema : HKCR\Software\Microsoft\Windows\CurrentVersion\Run\ICQ1 = "C:\Windows\system\SYNCHOST1.EXE" El gusano llega en un mensaje con las siguientes características: Asunto: All people!! Mensaje: Dear ladies and gentlemen! The given letter does not contain viruses, and is not Spam. We ask you to be in earnest to this letter. As you know America and England have begun bombardment of Iraq, cause of its threat for all the world. It isn't the truth. The real reason is in money http://esp.sophos.com/virusinfo/analyses/w32cheta.html#mainContent http://esp.sophos.com/virusinfo/analyses/w32cheta.html http://esp.sophos.com/virusinfo/analyses/w32cheta.html http://esp.sophos.com/virusinfo/articles/glossary.html#w32worm http://esp.sophos.com/virusinfo/analyses/w32cheta.html http://esp.sophos.com/virusinfo/analyses/w32cheta.html Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 18 laundering and also to cover up traces after acts of terrorism September, 11, 2001. Are real proofs of connection between Bush and Al-Qaeda necessary for you? Please! There is a friendly dialogue between Bin Laden and the secretary of a state security of USA in the given photos. In the following photo you'll see, how FBI discusses how to strike over New York to lose people as much as possible. And the document representing the super confidential agreement between CIA and Al-Qaeda is submitted to your attention. All this circus was specially played to powder brains!! You'll find out the truth. Naked truth, instead of TV showed. _________________________________________________________ For your convenience, and to make letter less, all documentary materials (photos and MS Word documents) are located in one EXE file. Open it, and all materials will be installed on your computer. You will receive the freshest and classified documents automatically from our site. It isn't a virus! You can trust us absolutely. We hope, that it will open your eyes on many things occurring in this world. Archivo adjunto: 11september.exe W32/Chet-A también envía un informe vía SMTP en un mensaje con las direcciones de email de todos los equipos infectados. El gusano borra la siguiente clave del registro: HKCR\Software\Microsoft\Windows\CurrentVersion\RunOnce http://esp.sophos.com/images/viruses/chet-a.gif http://esp.sophos.com/images/viruses/chet-a.gif Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 19 Virus, gusanos y otros programas malintencionados, o malware En 2004, Norman emitió 12 alertas sobre programas malignos: W32/Bagle.A W32/MyDoom.A W32/Netsky.B W32/Netsky.D W32/Bagle.U Gusanos W32/Sasser W32/Zafi.B W32/Bagle.AH W32/MyDoom.L W32/Bagle.AI W32/Bagle.AQ W32/Sober.I El año anterior hubo 14 alertas. Guerra entre grupos de autores de virus El primer semestre de 2004 estuvo dominado por una guerra entre distintos grupos de autores de virus. Estos grupos crearon las familias de malware conocidas como Bagle, MyDoom y Netsky. Este malware a menudo contenía mensajes dirigidos a los demás grupos de autores, lo que permitió inferir a muchos observadores que se trataba de una guerra entre al menos dos grupos diferentes. Estos grupos crearon una enorme cantidad de malware nuevo y, naturalmente, esto dio lugar a que los fabricantes de productos antivirus publicasen nuevos archivos de firmas de virus con gran frecuencia. De hecho, la frecuencia llegó a ser tal, que este factor se convirtió en un motivo de estrés para el sector. Finalmente, el responsable de la familia Netsky fue detenido y la guerra disminuyó. Pese a ello, existen nuevas variantes de las familias de gusanos Bagle y MyDoom en constante circulación. Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 20 MyDoom.A probablemente haya sido la peor incidencia de programas malintencionados de 2004. Los gusanos Sasser Este grupo de gusanos se propaga por las redes (y no por el correo electrónico), utilizando un agujero en la seguridad del sistema operativo de Microsoft. Microsoft publicó un parche para este fallo de la seguridad antes de salir la primera versión de Sasser a Internet. La familia de gusanos Sasser se caracteriza por su capacidad de infectar ordenadores vulnerables sin intervención del usuario. El autor de los citados gusanos Netsky también confesó ser autor de los gusanos Sasser. Bots El término "Bots" es una abreviatura de robots, e indica que se trata de programas controlados por alguien. 2004 es el año en que este tipo de malware estalló, con cientos de variantes nuevas. Estos bots se propagan a través de lasconexiones de red, a menudo utilizando fallos de la seguridad, y muchos realizan tareas diferentes, como Ataques de Denegación de servicio (DoS, por sus siglas en inglés) contra los ordenadores Autoactualización Descarga o carga de archivos Arranque de archivos de programa Contagio de otros ordenadores Uno de los motivos por los que estos bots no han recibido demasiada atención de los medios de comunicación es que existen cientos de ellos, y no sólo unos pocos aquí y allí. Programas espía (spyware) y publicitarios (adware) El año pasado surgieron, como gran amenaza, dos nuevos tipos de programas que casi todos los usuarios consideraron más o menos malintencionados: los llamados spyware y adware. Se trata de programas que supervisan, cada uno a su manera, las actividades del usuario con la intención de enviar información confidencial a un “agresor", o de mostrar anuncios especiales dirigidos al usuario. La clasificación de este tipo de programas como malintencionados (y su detección por los programas de antivirus) es motivo de debate permanente ya que a menudo se instalan previa aceptación del usuario (que ha sido llevado a ello de forma engañosa). El consenso general tiende a considerar estos programas como malintencionados. Otras tendencias Entre las demás tendencias observadas en 2004, cabe mencionar brevemente: Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 21 El problema del SPAM, o correo publicitario no deseado, siguió creciendo hasta un punto en que se estima que más de la mitad de todos los mensajes electrónicos enviados por Internet pueden clasificarse como spam. Según parece, existe una tendencia a que los ordenadores infectados por programas malintencionados se utilicen como equipos repetidores de spam para enviar correos no deseados al usuario final. Continuó la tendencia a que los autores de programas malintencionados se centrasen en los fallos de seguridad de los sistemas operativos y otros programas de software. Se capturó y procesó a varios autores de virus a lo largo del año. Continuó el problema de “phishing", juego de palabras en inglés que describe el intento de forzar engañosamente al usuario a introducir información personal, como tarjetas de crédito etc. Esta información puede utilizarse con fines ilícitos, como el robo de identidad. Está previsto que la tendencia continúe en 2005 y 2006 Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 22 Glosario Alarma Aplicación Archivo acompañante Archivo de prueba BIOS Bulo de virus Carta en cadena CMOS Falsa alarma Gusano Gusano bluetooth para Symbian Gusano de archivo por lotes Gusano de macro para Word 97 Gusano de script para mIRC o pIRCH Gusano DOS Gusano en AppleScript Gusano en JavaScript Gusano en Visual Basic Script Gusano espía Gusano para Linux Gusano para Macintosh Gusano para Unix Gusano Win32 Introductor Malentendido Marcador Programa de broma Programa en MapBasic Programa espía Residuo Timo Troyano Troyano de macro para Word 97 Troyano espía Virus Virus basado en ejecutable de PalmOS Virus de archivo ejecutable DOS Virus de archivo ejecutable Linux Virus de archivo ejecutable Win16 Virus de archivo ejecutable Win32 Virus de archivo ejecutable Windows 2000 Virus de archivo ejecutable Windows 95 Virus de archivo ejecutable Windows 98 Virus de archivo ejecutable Windows NT Virus de centro de archivo Virus de compañía Virus de fórmula para Excel Virus de macro para Access 97 Virus de macro para Excel Virus de macro para Excel 97 Virus de macro para Office 97 Virus de macro para PowerPoint 97 Virus de macro para Word Virus de macro para Word 2001 Virus de macro para Word 97 Virus de registro Virus de sector de arranque DOS Virus de sector de arranque maestro Virus en Corel Script Virus en JavaScript Virus en Visual Basic Script Virus para Macintosh Virus para Macromedia Flash Alarma Descripción: Aviso exagerado en exceso sobre un posible peligro. Aplicación Descripción: Aplicación descargada junto con el programa deseado, sin intención por nuestra parte, como programas publicitarios o espía. Duplicado: No se duplica. Nomenclatura: Sophos Anti-Virus notificará estas aplicaciones con el prefijo "App/". Archivo acompañante Descripción: Archivos acompañantes son archivos creados por un virus, troyano o gusano, y detectados por Sophos Anti-Virus. También se incluyen versiones dañadas o corruptas. Duplicado: No se duplica. Nomenclatura: No existe una nomenclatura estándar para este tipo de virus. http://esp.sophos.com/virusinfo/articles/glossary.html#scare http://esp.sophos.com/virusinfo/articles/glossary.html#app http://esp.sophos.com/virusinfo/articles/glossary.html#dropf http://esp.sophos.com/virusinfo/articles/glossary.html#test http://esp.sophos.com/virusinfo/articles/glossary.html#bios http://esp.sophos.com/virusinfo/articles/glossary.html#hoax http://esp.sophos.com/virusinfo/articles/glossary.html#chain http://esp.sophos.com/virusinfo/articles/glossary.html#cmos http://esp.sophos.com/virusinfo/articles/glossary.html#false http://esp.sophos.com/virusinfo/articles/glossary.html#worm http://esp.sophos.com/virusinfo/articles/glossary.html#symb http://esp.sophos.com/virusinfo/articles/glossary.html#bat http://esp.sophos.com/virusinfo/articles/glossary.html#wm97worm http://esp.sophos.com/virusinfo/articles/glossary.html#mirc http://esp.sophos.com/virusinfo/articles/glossary.html#dosworm http://esp.sophos.com/virusinfo/articles/glossary.html#apple http://esp.sophos.com/virusinfo/articles/glossary.html#jsworm http://esp.sophos.com/virusinfo/articles/glossary.html#vbs http://esp.sophos.com/virusinfo/articles/glossary.html#spyware_worm http://esp.sophos.com/virusinfo/articles/glossary.html#linuxworm http://esp.sophos.com/virusinfo/articles/glossary.html#macworm http://esp.sophos.com/virusinfo/articles/glossary.html#unixworm http://esp.sophos.com/virusinfo/articles/glossary.html#w32worm http://esp.sophos.com/virusinfo/articles/glossary.html#drop http://esp.sophos.com/virusinfo/articles/glossary.html#misunderstanding http://esp.sophos.com/virusinfo/articles/glossary.html#dialler http://esp.sophos.com/virusinfo/articles/glossary.html#joke http://esp.sophos.com/virusinfo/articles/glossary.html#mapbasic http://esp.sophos.com/virusinfo/articles/glossary.html#spyware http://esp.sophos.com/virusinfo/articles/glossary.html#junk http://esp.sophos.com/virusinfo/articles/glossary.html#scam http://esp.sophos.com/virusinfo/articles/glossary.html#trojan http://esp.sophos.com/virusinfo/articles/glossary.html#wm97trojan http://esp.sophos.com/virusinfo/articles/glossary.html#spyware_trojan http://esp.sophos.com/virusinfo/articles/glossary.html#virus http://esp.sophos.com/virusinfo/articles/glossary.html#palm http://esp.sophos.com/virusinfo/articles/glossary.html#dosexe http://esp.sophos.com/virusinfo/articles/glossary.html#linux http://esp.sophos.com/virusinfo/articles/glossary.html#w16 http://esp.sophos.com/virusinfo/articles/glossary.html#w32 http://esp.sophos.com/virusinfo/articles/glossary.html#w2k http://esp.sophos.com/virusinfo/articles/glossary.html#w95 http://esp.sophos.com/virusinfo/articles/glossary.html#w98 http://esp.sophos.com/virusinfo/articles/glossary.html#wnt http://esp.sophos.com/virusinfo/articles/glossary.html#mid http://esp.sophos.com/virusinfo/articles/glossary.html#comp http://esp.sophos.com/virusinfo/articles/glossary.html#xf http://esp.sophos.com/virusinfo/articles/glossary.html#am97 http://esp.sophos.com/virusinfo/articles/glossary.html#xm http://esp.sophos.com/virusinfo/articles/glossary.html#xm97 http://esp.sophos.com/virusinfo/articles/glossary.html#of97 http://esp.sophos.com/virusinfo/articles/glossary.html#pm97 http://esp.sophos.com/virusinfo/articles/glossary.html#wmhttp://esp.sophos.com/virusinfo/articles/glossary.html#wm2001 http://esp.sophos.com/virusinfo/articles/glossary.html#wm97 http://esp.sophos.com/virusinfo/articles/glossary.html#reg http://esp.sophos.com/virusinfo/articles/glossary.html#dbs http://esp.sophos.com/virusinfo/articles/glossary.html#mbs http://esp.sophos.com/virusinfo/articles/glossary.html#csc http://esp.sophos.com/virusinfo/articles/glossary.html#js http://esp.sophos.com/virusinfo/articles/glossary.html#vbsvirus http://esp.sophos.com/virusinfo/articles/glossary.html#macexe http://esp.sophos.com/virusinfo/articles/glossary.html#flash Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 23 Archivo de prueba Descripción: Archivo estándar, no vírico, utilizado para probar productos antivirus. Normalmente utilizado por administradores de redes para comprobar que el producto antivirus ha sido distribuido de forma correcta. Sophos ofrece a sus clientes el archivo de prueba EICAR (European Institute for Computer Anti-virus Research). Duplicado: No se duplica. Basic Input Output System (BIOS) Descripción: La BIOS es el primer programa que se ejecuta al encender un ordenador, su presencia y la adecuada configuración son necesarias para el correcto funcionamiento del equipo. Sin este programa, el ordenador no funciona. La BIOS se almacena en un chip especial en la placa base que mantiene los datos necesario incluso cuando el ordenador está apagado. De esta manera, la BIOS estará siempre disponible cuando se encienda el equipo. Nota: En muchos ordenadores, la BIOS se puede actualizar mediante un programa que suministra el fabricante. Existen virus que pueden dañarla, como W95/CIH-10xx, lo que puede impedir el arranque del ordenador. Si el chip de la BIOS no se puede sustituir (en algunos casos está soldada), será necesario cambiar la placa madre del ordenador. Bulo de virus Descripción: Alerta sobre virus inexistentes. Normalmente se trata de avisos extremadamente exagerados y urgen a pasar el mensaje a todas las personas posibles. Carta en cadena Descripción: Se trata de un email en el que se incita al usuario a enviar el mensaje a otra gente. Ejemplos: Ver email de este tipo. CMOS Descripción: La CMOS guarda información fundamental de la configuración del sistema en un chip especial en la placa madre. Este chip, normalmente alimentado por una pila, puede funcionar de manera independiente al resto del ordenador y mantiene el reloj en hora, entre otras cosas, cuando se apaga el sistema. La CMOS también almacena la configuración de los discos duros instalados, si se requiere o no contraseña en el arranque, y qué dispositivo se utilizará para iniciar el sistema (un disquete, el disco duro, un CD-ROM, etc). Si la configuración de la CMOS no es correcta, es posible que su ordenador no funcione correctamente. Algunos virus y troyanos, como Troj/KillCMOS-E, borran o corrompen la información de la CMOS. Recuperar la configuración de la CMOS suele ser bastante sencillo, aunque el proceso variará de un ordenador a otro. Podrá encontrar la información necesaria en el manual de su ordenador o en la Web del fabricante. Nota: Uno de los parámetros almacenados en la CMOS es la secuencia de arranque, donde se determina el orden de las unidades para el inicio del equipo (primero intentar desde la disquetera y después desde el disco duro, etc.). Ya que el arranque accidental desde un disquete infectado puede introducir un virus en su equipo, comoForm, Sophos recomienda cambiar la secuencia de arranque de manera que el equipo se inicie siempre desde el disco duro. Esta y otras medidas de protección se explican en el artículo Consejos prácticos antivirus Falsa alarma Descripción: Notificación de la existencia de un virus en un archivo que en realidad no está infectado. Gusano Descripción: Tipo de virus que no necesita un programa anfitrión, tiene la habilidad de autoduplicarse y a menudo utiliza el email e Internet para extenderse. http://esp.sophos.com/virusinfo/analyses/w95cih.html http://esp.sophos.com/virusinfo/hoaxes/index_chain.html http://esp.sophos.com/virusinfo/analyses/trojkillcmose.html http://esp.sophos.com/virusinfo/analyses/form.html http://esp.sophos.com/virusinfo/articles/safehex.html Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 24 Gusano bluetooth para Symbian Afecta: A dispositivos bluetooth con el sistema operativo Symbian. Duplicado: Infecta dispositivos bluetooth con el sistema operativo Symbian. Nomenclatura: Sophos Anti-Virus notificará estos gusanos con el prefijo "Symb/". Gusano de archivo por lotes Afecta: A ordenadores en red con DOS, Windows 95/98/Me o Windows NT/2000. Duplicado: Este tipo de virus se extiende a través de recursos compartidos en la red donde pueden copiarse. Nomenclatura: Sophos Anti-Virus notificará estos gusanos con el prefijo "Bat/". Gusano de macro para Word 97 Afecta: A Microsoft Word 97 o posterior en cualquier sistema operativo. Lenguaje: Macro en VBA5 o posterior. Duplicado: Utiliza programas de correo como Microsoft Outlook para enviar archivos infectados por email. La mayoría de estos gusanos también se duplican de la misma forma que losvirus de macro para Word 97. Nomenclatura: Sophos Anti-Virus notificará estos virus con el prefijo "WM97/". Otras compañías antivirus utilizan diferentes prefijos como "W97M". Gusano de script para mIRC o pIRCH Afecta: A equipos que ejecutan programas IRC. Lenguaje: IRC Script. Duplicado: Estos archivos ejecutables modifican el archivo SCRIPT.INI para que el programa IRC distribuya copias del código maligno. Nomenclatura: Sophos Anti-Virus notificará estos gusanos con el prefijo "mIRC/" o "pIRC/". Gusano DOS Afecta: A archivos ejecutables DOS. Duplicado: Sobrescribe archivos ejecutables DOS. Nomenclatura: Sophos Anti-Virus no notifica estos virus con ningún prefijo especial. Gusano en AppleScript Descripción: AppleScript es el lenguaje predeterminado para los archivos de ejecución por lotes en Mac OS. Así, la mayoría de las aplicaciones instaladas en un Macintosh se puede ejecutar con AppleScript. Un gusano en AppleScript es un script (guión) que se aprovecha de la funcionalidad de AppleScript para propagarse a otros equipos (por email, red, etc.). Nomenclatura: Sophos Anti-Virus notificará estos gusanos con el prefijo "AplS/". Gusano en JavaScript Afecta: A archivos en JavaScript, archivos HTML con scripts, Microsoft Outlook e Internet Explorer. Lenguaje: JavaScript Duplicado: Utiliza IRC, Outlook o el sistema de red de Windows para enviarse a otros usuarios o extenderse por la red. Nomenclatura: Sophos Anti-Virus notificará estos gusanos con el prefijo "JS/". Gusano en Visual Basic Script Afecta: A archivos en Visual Basic, archivos HTML con scripts, Microsoft Outlook e Internet Explorer. Lenguaje: Visual Basic Script. Duplicado: Utiliza IRC o Outlook para enviar mensajes infectados. Nomenclatura: Sophos Anti-Virus notificará estos gusanos con el prefijo "VBS/". http://esp.sophos.com/virusinfo/articles/glossary.html#wm97 http://esp.sophos.com/virusinfo/articles/glossary.html#wm97 Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 25 Gusano espía Afecta: A ordenadores en red con sistemas operativos Windows 95/98/Me y Windows NT/2000/XP/2003. Descripción: Gusano espía es un término utilizado para describir programas malintencionados que pueden extenderse por sí mismos y que pueden enviar información del sistema infectado al atacante sin el conocimiento del usuario. Duplicado: Los gusanos espía se extienden utilizando las funciones API en redes Windows, por email o aprovechando vulnerabilidades en el sistema operativo o programa. Se duplican delmismo modo que los gusanos Win32 y se comportan como los programas espía. Nomenclatura: Sophos Anti-Virus notificará estos programas con el prefijo "W32/". Gusano para Linux Afecta: A ordenadores en red con Linux. Duplicado: Los gusanos para Linux se aprovechan de agujeros en la seguridad de redes para obtener acceso no autorizado a equipos con Linux. Una vez dentro, buscarán de forma exhaustiva equipos a los que infectar por lo que a menudo se detecta su presencia por el notable incremento en el tráfico de la red. Se pueden extender muy rápidamente entre ordenadores con conexión permanente a Internet. Sophos Anti-Virus notificará estos gusanos con el prefijo "Linux/". Otras compañías antivirus utilizan diferentes prefijos como "Unix". Gusano para Macintosh Afecta: A ordenadores Power Macintosh. Duplicado: Aprovecha la función de reproducción automática de QuickTime para infectar cualquier disquete que se utilice. Sophos Anti-Virus notificará estos gusanos con el prefijo "Mac/". Gusano para Unix Afecta: A ordenadores en red con Unix. Duplicado: Estos gusano se aprovechan de un fallo de seguridad en redes denominado "buffer overflow" (rebasado de memoria intermedia) que permite el acceso no autorizado a equipos con Unix. Una vez dentro, buscarán de forma exhaustiva equipos a los que infectar. Se pueden extender muy rápidamente entre ordenadores con conexión permanente a Internet. Nomenclatura: Sophos Anti-Virus notificará estos gusanos con el prefijo "Unix/". Gusano Win32 Afecta: A ordenadores en red con Windows 95/98/Me y Windows NT/2000. Duplicado: Se extienden utilizando las funciones API en redes Windows, MAPI o programas de email como Microsoft Outlook. Pueden crear sus propios mensajes con el gusano adjunto o infiltrarse en cualquier correo saliente. Normalmente el gusano incitará al usuario a abrir el archivo adjunto con el uso de un poco de psicología (mira esto que es muy importante..., ya verás que fotos..., etc.). Nomenclatura: Sophos Anti-Virus notificará estos gusanos con el prefijo "W32/". Otras compañías antivirus utilizan diferentes prefijos como "Win32". Introductor Descripción: Archivo diseñado para introducir un virus, gusano o troyano en el sistema. Puede ser de diferente tipo del archivo que introduce. Nomenclatura: No existe una nomenclatura estándar para este tipo de virus. Malentendido Descripción: Problema erróneamente atribuido a un virus informático. http://esp.sophos.com/virusinfo/articles/glossary.html#worm http://esp.sophos.com/virusinfo/articles/glossary.html#spyware http://esp.sophos.com/virusinfo/articles/glossary.html#w32worm http://esp.sophos.com/virusinfo/articles/glossary.html#spyware Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 26 Marcador Descripción: Un marcador es un programa que trata de establecer una conexión telefónica a redes a través, normalmente, de un número de tarifa especial con el que acceder a material pornográfico. Duplicado: Estos programas no se duplican. Nomenclatura: Sophos Anti-Virus notificará estos programas con el prefijo Dial/. Programa de broma Descripción: Programa informático diseñado para confundirse con un virus. Los programas de broma no se duplican, pueden borrarse sin problema y no dañan el sistema. Su intención es causar alarma y malgastar tiempo y recursos. Duplicado: Estos programas no se duplican. Nomenclatura: Sophos Anti-Virus notificará estos programas con el prefijo "Joke/". Programa en MapBasic Afecta: MapInfo. Lenguaje: MapBasic. Duplicado: Infecta la aplicación MapInfo para infectar otros archivos MapInfo Map. Sophos Anti-Virus notificará estos gusanos con el prefijo "MPB/". Programa espía Descripción: El término programa espía se utiliza para describir una amplia gama de aplicaciones que envían información del sistema a terceros sin el conocimiento del usuario. Troyanos espía y gusanos espía son troyanos y gusanos Win32 que se comportan además como un programa espía. Residuo Descripción: Archivo que ya no funciona como un virus por diferentes razones. Sophos Anti-Virus detecta estos archivos para que los pueda eliminar. Nomenclatura: Sophos Anti-Virus notificará estos archivos con el prefijo "Junk/". Timo Descripción: Negocio fraudulento o chanchullo. Ejemplos: Ver ejemplos de este tipo. Troyano Descripción: Programa informático aparentemente legítimo que ha sido diseñado para afectar y dañar la actividad del ordenador. Los troyanos se utilizan a menudo con virus. Un troyano de puerta trasera es un programa que permite el acceso remoto no autorizado al equipo infectado. Duplicado: No se duplican. Nomenclatura: Sophos Anti-Virus notificará estos virus con el con el prefijo "Troj/". Troyano de macro para Word 97 Afecta: A Microsoft Word 97 o posterior en cualquier sistema operativo. Lenguaje: Macro en VBA5 o posterior. Descripción: Los troyanos de macro para Word 97 son documentos que, al abrirlos, pueden realizar diferentes acciones dañinas como borrar archivos o comprometer la seguridad del sistema. Duplicado: No se duplican. Nomenclatura: Sophos Anti-Virus notificará estos virus con el prefijo "WM97/". Otras compañías antivirus utilizan diferentes prefijos como "W97M". Troyano espía Descripción: Un troyano espía es un programa aparentemente legítimo que ha sido diseñado para afectar y dañar la actividad del ordenador enviando información del sistema al atacante sin el http://esp.sophos.com/virusinfo/articles/glossary.html#spyware_trojan http://esp.sophos.com/virusinfo/articles/glossary.html#spyware_worm http://esp.sophos.com/virusinfo/articles/glossary.html#spyware_worm http://esp.sophos.com/virusinfo/hoaxes/index_scam.html http://esp.sophos.com/virusinfo/articles/trojan http://esp.sophos.com/virusinfo/articles/glossary.html#spyware Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 27 conocimiento del usuario. Duplicado: No se duplica. Nomenclatura: Sophos Anti-Virus notificará estos programas con el prefijo "Troj/". Virus Descripción: Programa informático que se duplica. A menudo, virus afectan al sistema o dañan datos. Un virus requiere un programa anfitrión y no infectará el equipo hasta que no sea ejecutado. Algunos virus se copian a través de redes o se envían por email. El término 'virus' se utiliza a menudo para referirse tanto a virus como a gusanos. Virus basado en ejecutable de PalmOS Afecta: A archivos de recursos Palm (PRC) en PalmOS. Duplicado: Infecta otros archivos de recursos de Palm. Nomenclatura: Sophos Anti-Virus notificará estos virus con el prefijo "Palm/". Virus de archivo ejecutable DOS Afecta: A archivos ejecutables DOS/Windows. Duplicado: Infecta otros archivos ejecutables. Algunos virus se cargan en memoria e infectan otros programas cuando se ejecutan. Otros buscan de forma activa los archivos a infectar. Nomenclatura: No existe una nomenclatura estándar para este tipo de virus. Virus de archivo ejecutable Linux Afecta: A archivos Linux ELF (Executable and Linkable Format). Duplicado: Infecta otros archivos ejecutables de diferentes maneras. Nomenclatura: Sophos Anti-Virus notificará estos virus con el prefijo "Linux/". Virus de archivo ejecutable Win16 Afecta: A archivos ejecutables de Microsoft Windows 3.0 y 3.1 Duplicado: Infecta otros archivos ejecutables de diferentes maneras. Nomenclatura: Sophos Anti-Virus notificará estos virus con el prefijo "Win/". Virus de archivo ejecutable Win32 Afecta: A archivos ejecutables de Microsoft Windows 95/98/Me, NT y 2000. Duplicado: Infecta otros archivos ejecutables de diferentes maneras. Algunos virus comoW32/ExploreZip también utiliza Outlook para enviar archivos infectados por email. Nomenclatura: Sophos Anti-Virusnotificará estos virus con el prefijo "W32/" (antes se utilizaba "Win32"). Virus de archivo ejecutable Windows 2000 Afecta: A archivos ejecutables de Windows 2000. Duplicado: Infecta otros archivos ejecutables. Algunos virus se cargan en memoria e infectan otros programas cuando se ejecutan. Otros buscan de forma activa los archivos a infectar. Nomenclatura: Sophos Anti-Virus notificará estos virus con el prefijo "W2K/". Virus de archivo ejecutable Windows 95 Afecta: A archivos ejecutables de Windows 95/98/Me. Duplicado: Infecta otros archivos ejecutables. Algunos virus se cargan en memoria e infectan otros programas cuando se ejecutan. Otros buscan de forma activa los archivos a infectar. Algunos virus como W95/Babylonia también envía archivos infectados por email. Nomenclatura: Sophos Anti-Virus notificará estos virus con el prefijo "W95/" (antes se utilizaba "Win95"). http://esp.sophos.com/virusinfo/analyses/explorezip.html http://esp.sophos.com/virusinfo/analyses/w95babylonia.html Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 28 Virus de archivo ejecutable Windows 98 Afecta: A archivos ejecutables de Windows 98. Duplicado: Infecta otros archivos ejecutables. Algunos virus se cargan en memoria e infectan otros programas cuando se ejecutan. Otros buscan de forma activa los archivos a infectar. Nomenclatura: Sophos Anti-Virus notificará estos virus con el prefijo "W98/" (antes se utilizaba "Win98"). Virus de archivo ejecutable Windows NT Afecta: A archivos ejecutables de Windows NT y 2000. Duplicado: Infecta otros archivos ejecutables de diferentes maneras. Nomenclatura: Sophos Anti-Virus notificará estos virus con el prefijo "WNT/" (antes se utilizaba "WinNT"). Virus de centro de archivo Afecta: A cualquier tipo de archivo. Descripción: Se denomina así a los virus que infectan archivos por el centro, en vez del habitual punto de entrada. Algunos virus quedarán englobados en este grupo si son detectados de diferente manera en la puerta de entrada de email y en la estación de trabajo. Nomenclatura: Sophos Anti-Virus notificará estos virus con el prefijo "Mid/". Virus de compañía Afecta: A cualquier sistema operativo. Duplicado: Los virus de compañía toman su nombre de archivos ejecutables legítimos para confundir al usuario y propiciar su ejecución. Por ejemplo, si un virus de compañía quiere utilizar el nombre del programa GAME.EXE, podría cambiar el nombre de este a GAME.EX y copiar el virus con el nombre GAME.EXE. En otras ocasiones, el virus se copiaría con el nombre GAME.COM sabiendo que si el usuario escribe sólo 'GAME' desde la línea de comandos el sistema ejecutará GAME.COM antes que el propio GAME.EXE. Nomenclatura: No existe una nomenclatura estándar para este tipo de virus. Virus de fórmula para Excel Afecta: A Microsoft Excel 5 o posterior en cualquier sistema operativo. Lenguaje: Fórmula de Excel. Duplicado: Al abrir un documento infectado, la fórmula se copiará en el directorio XLStart, desde donde se cargará de forma automática cuando se abra cualquier otro documento. Nomenclatura: Sophos Anti-Virus notificará estos virus con el prefijo "XF/" o "XF97/". Virus de macro para Access 97 Afecta: A Microsoft Access 97 o posterior en cualquier sistema operativo. Lenguaje: Macro VBA. Duplicado: Infecta otras bases de datos de Access al abrir una infectada. Nomenclatura: Sophos Anti-Virus notificará estos virus con el prefijo "AM97/". Otras compañías antivirus utilizan diferentes prefijos como "A97M" o "AM". Virus de macro para Excel Afecta: A Microsoft Excel 5 o posterior en cualquier sistema operativo. Lenguaje: Macro en VBA3. Duplicado: Al abrir un documento infectado, la macro se copiará en el directorio XLStart, desde donde se cargará de forma automática cuando se abra cualquier otro documento. Nomenclatura: Sophos Anti-Virus notificará estos virus con el prefijo "XM/" (antes se utilizaba "Excel"). Virus de macro para Excel 97 Afecta: A Microsoft Excel 97 o posterior en cualquier sistema operativo. Lenguaje: Macro en VBA5 o posterior. Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 29 Duplicado: Al abrir un documento infectado, la macro se copiará en el directorio XLStart, desde donde se cargará de forma automática cuando se abra cualquier otro documento. Algunos virus, como XM97/Papa, también utilizan programas de correo electrónico como Outlook para enviar archivos infectados a las direcciones de email en el libro de direcciones del usuario. Nomenclatura: Sophos Anti-Virus notificará estos virus con el prefijo "XM97/". Otras compañías antivirus utilizan diferentes prefijos como "X97M". Virus de macro para Office 97 Afecta: A Microsoft Office 97 o posterior en cualquier sistema operativo. Lenguaje: Macro en VBA5 o posterior. Duplicado: Infecta dos o más componentes de la suit Office. Los más comunes son Word y Excel, aunque también pueden infectar archivos de PowerPoint y Project. Nomenclatura: Sophos Anti-Virus notificará estos virus con el prefijo "OF97/". Virus de macro para PowerPoint 97 Afecta: A Microsoft PowerPoint 97 o posterior en cualquier sistema operativo. Lenguaje: Macro en VBA5 o posterior. Duplicado: Al abrir un documento infectado, el virus se activará e infectará otros archivos de PowerPoint o la plantilla predeterminada (Blank Presentation.pot). Cualquier nueva presentación creada a partir de esta plantilla estará infectada. Nomenclatura: Sophos Anti-Virus notificará estos virus con el prefijo "PM97/". Otras compañías antivirus utilizan diferentes prefijos como "PP97M". Virus de macro para Word Afecta: A cualquier versión de Microsoft Word en cualquier sistema operativo. Lenguaje: Macro en Word Basic (utilizado en Word 6 y 95). Duplicado: Al abrir un documento infectado, las macros se copiarán en el archivo de la plantilla predeterminada (NORMAL.DOT), que se cargará de forma automática al abrir otros documentos. Nomenclatura: Sophos Anti-Virus notificará estos virus con el prefijo "WM/" (antes se utilizaba "Winword"). Virus de macro para Word 2001 Afecta: A Microsoft Word 2001 en ordenadores Apple. Lenguaje: Macro en VBA6 o posterior. Duplicado: Algunos de estos virus copian las macros en el archivo de la plantilla predeterminada (NORMAL.DOT), que se cargará de forma automática al abrir otros documentos. La mayoría de estos virus son versiones mejoradas de virus de macro para Word97 ya existentes. Casi ninguna de las cargas dañinas funcionan porque son específicas de equipos compatibles Intel. Nomenclatura: Sophos Anti-Virus notificará estos virus con el prefijo "WM97/". Otras compañías antivirus utilizan diferentes prefijos como "W97M". Virus de macro para Word 97 Afecta: A Microsoft Word 97 o posterior en cualquier sistema operativo. Lenguaje: Macro en VBA5 o posterior. Duplicado: Algunos de estos virus copian las macros en el archivo de la plantilla predeterminada (NORMAL.DOT), que se cargará de forma automática al abrir otros documentos. Pero esto no funciona con Microsoft Office 97 SR1 o posterior. La mayoría de los virus recientes copian las macros en otro archivo y modifican la plantilla predeterminada para que las importe cuando se abra algún documento. Nomenclatura: Sophos Anti-Virus notificará estos virus con el prefijo "WM97/". Otras compañías antivirus utilizan diferentes prefijos como "W97M". http://esp.sophos.com/virusinfo/analyses/xm97papa.html Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 30 Virus de registro Afecta: A equipos con Windows 95/98/Me y Windows NT/2000/XP. Descripción: Los virus de registro modifican el contenido del archivo de registro del sistema. Duplicado: Se extiendemediante diferentes mecanismos. Nomenclatura: Sophos Anti-Virus notificará estos virus con el prefijo "REG/". Virus de sector de arranque DOS Afecta: Al sector de arranque DOS del disco duro y al sector de arranque en disquetes. Estos virus pueden infectar cualquier ordenador compatible Intel configurado para arrancar desde la disquetera. Equipos con sistemas operativos como Windows NT pueden quedar infectados pero es probable que el virus no pueda propagarse. Lenguaje: Ensamblador Intel 80x86. Duplicado: Se carga en memoria cuando se inicia el equipo infectado e infectará cualquier disquete que se utilice. Un ordenador queda infectado cuando arranca desde uno de estos disquetes infectados. Nomenclatura: No existe una nomenclatura estándar para este tipo de virus. Virus de sector de arranque maestro Afecta: Al sector de arranque maestro del disco duro y al sector de arranque en disquetes. Estos virus pueden infectar cualquier ordenador compatible Intel configurado para arrancar desde la disquetera. Equipos con sistemas operativos como Windows NT pueden quedar infectados pero es probable que el virus no pueda propagarse. Lenguaje: Ensamblador Intel 80x86. Duplicado: Se carga en memoria cuando se inicia el equipo infectado e infectará cualquier disquete que se utilice. Un ordenador queda infectado cuando arranca desde uno de estos disquetes infectados. Bastará con cambiar la secuencia de arranque (almacenada en la CMOS) para que el equipo no se inicie desde la disquetera y así nunca podrá quedar infectado por este tipo de virus. Nomenclatura: No existe una nomenclatura estándar para este tipo de virus. Virus en Corel Script Afecta: A archivos en Corel Script ejecutados en cualquier sistema operativo. Lenguaje: Macro en Corel Script. Duplicado: Al ejecutar una macro infectada se infectarán otros archivos en Corel Script. Nomenclatura: Sophos Anti-Virus notificará estos virus con el prefijo "CSC/". Virus en JavaScript Afecta: A archivos en JavaScript, archivos HTML con scripts, Microsoft Outlook e Internet Explorer. Lenguaje: JavaScript Duplicado: Se copia dentro de archivos. Nomenclatura: Sophos Anti-Virus notificará estos virus con el prefijo "JS/". Virus en Visual Basic Script Afecta: A archivos en Visual Basic, archivos HTML con scripts, Microsoft Outlook e Internet Explorer. Lenguaje: Visual Basic Script. Duplicado: Infecta otros archivos ejecutables de diferentes maneras. Algunos virus como VBS/Dismissed-B utilizan Outlook para enviarse por email. Nomenclatura: Sophos Anti-Virus notificará estos virus con el prefijo "VBS/". Virus para Macintosh Afecta: A equipos Macintosh. Duplicado: Infecta otros archivos Macintosh de diferentes maneras. Nomenclatura: Sophos Anti-Virus notificará estos virus con el prefijo "Mac/". http://esp.sophos.com/virusinfo/analyses/vbsdismissedb.html Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 31 Virus para Macromedia Flash Afecta: A archivos de Macromedia Flash asociados al reproductor Flash 5. Duplicado: Normalmente el virus se copia en el script al principio del archivo Flash. Protección antivirus en una red corporativa En una red informática, el malware puede ingresar por distintas vías: * Correo Electrónico * Internet * Aplicaciones de Mensajería Instantánea (MSN, Yahoo!, etc) * Recursos Compartidos * Explotación de Vulnerabilidades * Discos Flexibles * Discos Ópticos * Otros medios de comunicación habilitados (IRC, P2P, etc) Aunque algunos de estos métodos de reproducción que utiliza el malware pueden ser controlados mediante aplicaciones a nivel de servidores o software de políticas de seguridad, no es posible controlarlas todas de esta manera. Por ello, es imperativo que contar con un producto antivirus capaz de detectar todo tipo de malware en cada estación de trabajo y servidor de archivos de la red. Un antivirus debe poseer varios módulos y características para poder proteger en forma completa las estaciones de trabajo de la red. Si la protección no es completa en todo sentido, un solo equipo infectado en la red puede hacer que gran parte del resto de las computadoras también se vean afectadas. El componente primordial que un antivirus debe tener para proteger una estación de trabajo o servidor de archivos es un monitor residente o explorador por acceso. Estos módulos antivirus se mantienen como un proceso activo desde que el sistema operativo se inicia y monitorean todos los archivos que son accedidos por el usuario o por otros programas activos, y los analiza por la presencia de virus. Este monitor residente es una de las partes esenciales del antivirus y como debe estar en ejecución en todo momento, es importante que no consuma demasiados recursos del sistema. El otro módulo de alta importancia de un antivirus es el explorador bajo demanda o scanner, el cual es capaz de explorar todos los archivos y la memoria de la estación de trabajo y detectar la presencia de virus para su posterior desinfección y/o eliminación. El antivirus debe ser capaz de ejecutar tareas programadas desatendidas para que el scanner pueda revisar los equipos en forma completa periódicamente, algo imperativo cuando se trata de servidores de archivos. Ya que la principal entrada de los virus informáticos es el correo electrónico y/o la Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 32 Internet misma, los antivirus deben ser capaces de contar con un módulo específico para estos medios de comunicación que permita detectar virus antes de que sean descargados en la computadora. Si tenemos en cuenta que hay una gran diversidad de navegadores de Internet y clientes de correo electrónico, la protección que brinda este módulo antivirus debe ser independiente de los programas instalados en la computadora. En una red corporativa, no solo es importante la protección individual de cada equipo, sino su administración y actualización centralizada. Dado que los antivirus necesitan descargar periódicamente nuevas firmas de virus y/o componentes, para no sobrecargar el acceso a Internet de cada equipo de la red, es importante contar con uno o varios servidores locales de actualización que descarguen lo que el antivirus necesita y lo distribuyan a través de los clientes de la red. A su vez, contar con una administración centralizada y remota, que permita conocer el estado de cada antivirus de la red desde una sola consola es una herramienta muy útil para los administradores de sistemas de una empresa. Además, estas herramientas les permiten ejecutar tareas del antivirus en forma remota en una estación de trabajo en particular o en grupos de ellas, así como cambiar las configuraciones, obtener reportes, y realizar instalaciones o desinstalaciones remotas de los clientes antivirus, sólo nombrando algunas de las tareas que una buena herramienta de administración centralizada antivirus debe tener. Contando con un antivirus que cumpla con lo antes mencionado, en cada estación de trabajo y servidores de archivos, así como con buen software que permita administrarlos y actualizarlos fácilmente, una red corporativa podrá mantenerse protegida de la gran mayoría de las vías de entrada de los virus y el malware, y así velar porque uno de los activos más importantes de la empresa, la información, se mantenga segura e inalterable, además de no desperdiciar recursos de la compañía por el mal funcionamiento de los equipos o la pérdida de la información. Seguridad Informática Ing. Ricardo Corbella - Ing. José Zakhour 33
Compartir