historia de malware

Eduardo Sánchez Piña

Seguridad de computadora Página 1 de 11 Historia del malware

Historia del malware

Nikola Miloševic

inspiratron.org

Resumen

En las tres décadas pasadas casi toda cosa ha cambiado en el campo del malware y análisis de

malware. Del malware creado como pruebas de ciertos concepto y malware de seguridad cree se para la ganancia financiera al malware cree se para sabotear infraestructura. En este trabajo nosotros nos enfocaremos en historia y evolución del malware y describimos la mayor parte de los malwares

importantes.

1. Introducción Malware , corto para software (o malévolo) malicioso, es el software usado o creado por los ataques para desorganizar operación de computadora, información sensitiva de cosecha, o ganar acceso a los sistemas de computadora privados. Puede aparecer en la forma de código, las caligrafías, contenido activo, y otro software. 'Malware es un término general acostumbre a referirse a una variedad de formas del software hostil o intruso. Malware incluye los virus de computadora, ransomware , gusanos, caballos de Troya, rootkits, keyloggers, dialers, spyware, adware, malicioso BHO y otros programas maliciosos; la mayoría de las amenazas de malware activas es normalmente gusanos o troyanos antes que 1 de virus. Historia del malware se puede abrir a varias categorías que representará también timeframe en que eventos de que la categoría sucedió. Así partiremos la historia del malware en 5 categorías. La primera categoría llega temprano la fase del malware. Esto es el tiempo cuando los malwares de primero cobran vida. La segunda fase llega temprano fase de Windows. Describirá malwares de Windows de primero, el primero envía por correo gusanos y macro se arrastran como un gusano. La tercera parte es la evolución de la red se arrastran como un gusano. Estas amenazas se vuelven populares cuando Internet se convierte en la extensión ancha.

Delante la parte es rootkits y ransomwares. Éstos era el más peligroso malware antes de 2010. Entonces venga el malware que era hecho para espionaje virtual y sabotaje. Estos malwares eran creados por las policías secretas de ciertos países. Esta es la última fase de la evolución de malware que estamos enfrentando ahora. En este trabajo describiremos evolución de malware en estas cinco fases. También en este trabajo no describiremos todo el malware, pero el malware justo que era los cambiadores animosos excelentes, y era más famoso por introducidas nuevas cosas en el mundo de malware.

3. Comienzos del malware

Allí estaba cierto malware para otras plataformas antes de 1986., pero en 1986. El primero malware aparecido para PC. Era el virus llamado Brain.A. Brain.A sea sido desarrollado en Pakistán, de dos en dos hermanos - Basit y Amjad. Ellos quisieron comprobar que la PC no es la plataforma segura, así que ellos crearon el virus que eran duplicando usando discos flexibles. Ello infectó calzando el sector de la guía de flojo y calzando el sector de cada disco flexible insertado. Así en cualquier momento los flojos infectados podrían ser insertados en PC, infectaría es guía, así la guía infectaría de nuevo cada disco insertó.



Este virus no hizo ningún daño, y autores sea firmado cifrado, con el teléfono cuenta y dirija 2. Intención de los escritores de malware tempranos fue señalar con el dedo en los problemas, antes que la marca cierto dañe o el daño. Pero más tarde por supuesto el malware llega a ser más y más destructivo. Después del cerebro existían otros virus. Uno del interesante es el virus de omega. Es sido llamado omega debido al signo de omega que estuvo escribiendo en ciertas condiciones en la consola. Ello estuvo infectando calce sector, pero no esté haciendo mucho daño a menos que era el viernes 13th. En ese día la PC no pudo calzar. Michelangelo el virus en el cumpleaños de Miguel Ángel entrado en años 1992 reescriben los primeros 100 sectores de 3 de disco duro. Haciendo este, archive la mesa de distribución podría ser destruida y PC no pudo calzar. De signo en

forma de v es el virus que infecte también calce sector y escriba el símbolo de la victoria en pantalla cada mes. El caminante es el virus próximo que era bastante visual y aparecido en 1992. Ello estuvo animando el caminante caminando de un lado de la pantalla para el otro. El virus de ambulancia era bastante similar a caminante, el automóvil de ambulancia animador manejando de un lado de la pantalla para el otro, pero añade también los efectos sonoros del automóvil de ambulancia. Uno del virus más interesante desde el principio de 1990 " era el virus de casino. El virus de casino copiaría mesa de distribución de archivo a memoria y borra la mesa de distribución de archivo original. Entonces ofrecerá un juego de ranura al usuario. El usuario tuvo que conseguir 3 £ signos si él quiere usar su PC y usuario pueda probar tres veces. Si el usuario comienza de nuevo la máquina la mesa de distribución de archivo habría dejado de ser, y máquina no desearía ser capaz de calzar. Mismo sucedería si el usuario pierde- archive la mesa de distribución podría ser borrada de memoria también. Si el usuario gana el juego, virus copie posterior archivar la mesa de distribución de memoria, y PC pudieran ser usadas normalmente.

El paso grande próximo en la evolución de malware era la introducción del motor (MtE) de mutación. El motor de mutación es sido creado por el intruso búlgaro que se llamaba el vengador oscuro. Era la herramienta que pudo añadir funcionalidad de mutación a virus, así que ellos pueden ser más duros detectado por los antivirus. Básicamente esto era el primero módulo de polimorfismo que pueda tomar cada virus y hacerlo mucho más invisible. Hasta el software contra virus del motor de mutación estuvo encontrando virus en las pc que usan las firmas y cambios de archivo en archivan firmas. Introducción del polimorfismo haga este método ineficaz 5. El laboratorio de creación de virus era la primera herramienta de UI para crear virus. El usuario pudo escoger características del virus y crearlo. Esto hizo creación de virus fácilmente. Hay ciertas desventajas, pero casi todo el mundo usando esta herramienta de GUI pudo crear 6 de virus.

4. malwares de ventanas de primero Cuando Windows es sido puesto en circulación estuvo interesando para muchos usuarios después que da a la interfaz de usuario poderosa. Esa simplicidad del uso atrajo muchos usuarios. Toda cosa que tiene muchos usuarios al computar el mundo pronto se vuelven interesantes también para creadores de ataques y malware. WinVir era el primero virus de Microsoft Windows. Era también no haciendo mucho dañe, es la característica principal era que estuvo duplicando, y que era el primero virus que ha habilidad para infectar PE de ventanas (ejecutable portátil) archivos. WinVir estuvo haciendo los cambios pequeños a los archivos infectados. Cuando el archivo infectado es sido ejecutado, WinVir estuvo buscando otros archivo PE y esté infectando les. Mientras que WinVir estuvo infectando otro archivan original ejecute estaba enrollado de vuelta a es de estado original. Para decir que ello simple WinVir se estaba borrando.



Monkey era el virus que era que infecta el dueño calza el registro de los discos duros y flojos. El mono estuvo moviendo el primero bloque de registro de bota maestro a tercero e insertando lo es el código propio en el primero bloque. Cuando la computadora infectada era calzada con botas que ello estuvo corriendo normalmente, a menos que era calzado con botas del flojo. En este caso " caiga enfermo especificación de guía " mensaje es sido impresor. One-half o el bombardero eslovaco era un interesando y pueda ser el virus bastante destructivo. Ello infectó domine la bota registra, EXE y archivo COM, pero no infecte archivan ese en palabras contenidas de nombre como SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV o CHKDSK. Estos archivos no eran infectados porque podrían pertenecer para cierto software de antivirus, así el virus puede ser atrapar en auto-algoritmos de comprobación. Ello estuvo cripta están usando la función de XOR con cierta llave conoció al virus. Pero si el usuario prueba para acceder cierto cripta archive, archivo es sido decodificado y usuario no podría notar algo. El problema con este virus era, ese si ello es sido aclarado impropiamente, cripta archivos no pudieron recuperarse nunca más 7. El virus estuvo mostrando envié como mensaje cada 4th, 8th, 10th, 14th, 18th, 20th, 24th, 28 y 30 todos los meses bajo las circunstancias particulares: Los días son una mitad. Apriete cada llave para continuar… Concepto (WM.Concept) era el primero virus de macro y es sido detectado en 1995. Era escrito en el idioma de macro de Microsoft Word, y se estaba extendiendo dividiendo documentos. Trabajó en las computadoras de PC y en las computadoras de Macintosh en computadora sea sido instalado Microsoft Word. Cuando documento contagió de concepto estaba abierto en cierta PC, el virus copiaría es la plantilla maliciosa sobre plantilla de dueño, pueda ser infectado 8. Laroux(X97M/Laroux) era el primero virus de macro de Microsoft Excel. Era escrito en básico visual para aplicación (VBA), el idioma de macro para los documentos de

oficina que se base en básico visual. Trabajó en Excel 5.x y Excel 7.x. Ello también pudo ser correr sobre Windows 3.x, Windows 95 y Windows NT. No estuvo haciendo cada daño, está duplicando. Boza era el primero virus que era escrito específicamente para Windows 95. Estuvo infectando los archivo EXE portátiles - archivan que esté usando Windows 95 y Windows NT. Pero ello no estuvo atacando Windows NT. Hasta ahora, no existía ningún virus detectó que era escrito particularmente para Windows NT. Virus es sido detectado el 1996 de enero. Tiene los orígenes australianos, pero es sido detectado en todo el mundo. Cuando archivo contagió de Boza pueda ser corrido, infectaría otros archivos en ese directorio. Uno a tres archivos podría ser infectado en cada corrida. Después de esto Boza correría el programa original. El virus no podría ser activo en memoria nunca más.

Ventana de mensaje de virus de Boza

Boza estuvo tendiendo bastante lento, sino también el algoritmo que esparce era rápidamente bastante que no pudo detectarse por el usuario. Boza tenido ningunas rutinas destructivas, pero ello tiene uno el error que causó que bajo ciertas circunstancias infecte archivos pudieron ascender a varios megabytes. Esto era de problema en máquinas que los discos duros son sólo pocos diez en los megabytes grande. El virus ha activación rutinas que mostraron ventana de mensaje en cada 31 de cualquier mes. Los mensajes eran: "el sabor de la fama sólo conseguía más sabrosa!" y "de la escuela vieja al nuevo". Marburg (Win95/Marburg) es el virus que empezó a circular en Agosto de 1998.,



cuando ello ha infectado el CD maestro de la PC de MGM/EA juegue por dinero llame Wargames. MGM de editor en 12 de Agosto de 1998. Las apologías sueltas a usuarios: De: " K.Egan (MGM)" [email protected] asunto: fecha de MGM WarGames Statement: Tome por esposa, 12 Aug 1998 18:03:39-0700 MGM Interactivo recientemente aprendido que su PC de WarGames juegue por dinero embarcado con el Win32/virus Marburg.a contenido en el programa electrónico de registro. La compañía está trabajando tan rápida como que ello puede para resolver el problema… MGM Interactivo es comprometido para dar los productos de calidad superiores a consumidores. Esta es una circunstancia desafortunada y nosotros nos disculpamos por sinceramente cada conveniencia esto haya causado le. … Si tenga todas las preguntas o si desea recibir un disco de reemplazo, por favor avise MGM interactivo. Mismo virus estaba en CD que cubrió el juego en que se usa la ofensiva con concentración de jugadores en un área determinada de revista de PC austríaco en Agosto de 1998. Maburg es el virus polimorfo que infectó Win32 y SCR (preservador de pantalla) archiva y codifique es el código con la capa variable polimorfa de la codificación. El motor polimorfo del virus era bastante avanzado después que estuvo codificando el virus con 8, 16 y 32 mordieron llaves y varios métodos diferentes. El virus estuvo usando el polimorfismo lento, lo que significa que lo estuvo cambiando es el decryptor lentamente. Maburg estuvo borrando la base de datos de integridad de varios programadores de antivirus. También estuvo evitando infectar los archivos que eran perteneciendo al software de antivirus y no estuvo infectando los archivos que contienen v en el nombre. Esto es sido hecho para impedir la comprobación de auto del software de antivirus. Maburg era los 3 meses activados después de la infección si el archivo infectado era derretido a misma hora como la hora de la infección mostrar el icono de error de MS

Windows estandar (el blanco cruce en el círculo rojo) por todo el buró 9.

Maburg Happy99 sea primer envía por correo virus. Ello se estaba extendiendo tan la atadura del correo electrónico como ejecutable y sea sido detectado en 1998. A esa hora los correos electrónicos no deseados se filtran apenas existido, y esté permitiendo enviando de ejecutables. Si el usuario hace clic sobre y corre la atadura, le mostraría pantalla con los fuegos artificiales, sino también el virus duplicaría atadura y envía correo para todo los contactos de usuario. La melisa era el virus que combinó técnicas del virus de macro y virus de correo. Ello estuvo viniendo con anexo el archivo Word de MS infectado. Si el archivo era abierto ello duplicaría a documento casual escogido del disco duro del usuario y lo envía a todos los contactos. Esto era bastante problemático debido al escape de información. También el virus estuvo a veces añadiendo citas de los simpsones a los documentos infectados 3. LoveLetter era uno de virus de ingeniería más social exitoso. Estuvo usando locales del amor, atrayendo usuario para abrir atadura. El archivo Attachment correría el virus. El virus estuvo reescribiendo ciertos archivos bastante importantes en el sistema de víctima. Usar locales de virus de amor condenado millones para abrir la atadura, lo que causó el daño financiero de 5,5 mil millones de dólares sobre el mundo. Anakurnikova era el virus similar que era enviando archivo ejecutable, y condenando las víctimas que existe las fotos eróticas de Ana Kurnikova, el jugador de tenis erótico. Muchos son sido convencidos abrir archivo, y aun cuando compañías de antivirus hicieron detección y entramado de



correr atadura maliciosa, muchos pregunten el apoyo de compañías, cómo pueden ver los cines.

Gusanos Al final de 1980 accidente era la primera PC creada se arrastra como un gusano. En 1988. Robert Tappan Moris, que era el estudiante de MIT a esa hora escribió un programa que será caza mayor cambie el evento en la historia de malware. Como parte de su Mauricio de proyecto quiera contar las computadoras unidas a Internet. Así escribió el programa pequeño que duplica de una computadora conectada para otro y cuente. Sino Mauricio hizo un insecto, el gusano estuvo visitando también computadoras que ha visitado ya antes. En realidad el gusano estuvo duplicando de la computadora infectada a todas otras computadoras conectadas todo el tiempo. Esto generó una gran cantidad de tráfico de red e Internet casi aplastada de esa vez. Debido a esta equivocación Mauricio sea sido arrestado y condenado por Computer Fraud y el acto de abuso de 1986 10. Esto estaba también primero caso que alguien es sido condenado por esta ley. A esa hora computadoras tienen puertos abiertos y conexiones y réplicas se pueda hacer sin uso de proezas. A principios de Internet nadie realmente pensado sobre la seguridad de Internet. Este hecho fácil para Mauricio para hacer su gusano. Pero los mecanismos de seguridad posteriores son sido puestos en práctica y los gusanos posteriores tuvieron que usar proezas para ganar acceso a la computadora en la red. Internet libran de gusanos trabaje en la vía que ellos tienen algoritmo de exploración que examina red. En la mayoría lo embale prueban público o ambas direcciones de IP públicas y privadas. La dirección de IP se desasigna, o ello se puede asignar al dispositivo que no pudo ser atacado (plataforma mala) o remendó y proteja computadora. En estos casos arrastre como un gusano no pueda ir al ataque. Pero si la computadora en la dirección de IP esté corriendo en el derecho des parchado la plataforma, gusano usaría proeza para ganar acceso a esa computadora. Después de que

añadiría cierta carga útil, que pudo apretar el gatillo en algún tiempo o haga ciertas cosas malas a sistema. Entonces ello de nuevo empieza examinando red y trate de propagarse de esa computadora. El color rojo de código es primera Internet libre de gusanos que venga después que se arrastra como un gusano Mauricio y que no necesite ninguna interacción de usuario. También codifique rojo es primer gusano intencionalmente escrito (el gusano de Mauricio era malicioso accidentalmente). El color rojo de código estuvo tendiendo entrado en años 2000., y extensión sobre el mundo en la pareja de horas. Ello estuvo ocultando con buen resultado de defender los mecanismos y tuvieron varias capacidades que eran disparadas en los ciclos. Estuvo atacando IIS (servicio de información de Internet) los servidores Web. Los primeros 19 días que se extiende sólo sobre la red usando la vulnerabilidad en IIS. De día 20 hacen día 27 lo dar de almorzar a la denegación de servicio van al ataque en la pareja de sitios Web (por ejemplo. Whitehouse). Últimos 3-4 días del mes que sólo descansaría. Nimda es sido hallado el 18 de septiembre 2001… Nimda rápidamente se extiende sobre el mundo como Internet se arrastra como un gusano. Si las letras de Nimda conmuten la posición que ello es AdmiN. Nimda era bastante similar a codifique rojo por examinando la red y propagándome, pero tiene las características adicionales. Examinar algoritmo de Nimda estuvo examinando todo el IP dirigen mientras que codifique rojo esté examinando el rango de IP público justo. Debido a esta característica Nimda pudo ir las redes privadas de infectar adicionales 3. Nimda también ha habilidad para cambiar <hospedar> sitio Web, así que ellos ofrecerían la descarga de los archivos infectados. Por este camino tender de Nimda era aún rápido y más peligroso, porque con Nimda de interacción de usuario pueda superar cortafuegos y extensión de esa computadora privada hospedan. Pudo extenderse a Windows 95, 98, me, NT 4 y Windows 2000. Nimda ha uno errores debido a que era bajo ciertas circunstancias aplastando y no pueda extender más.



El ruido sibilante es el gusano de correo de 2003. Esto no era el gusano de Internet, pero lo describiremos aquí, debido al timeframe cuando es sido encontrado. El ruido sibilante era el primero malware que los propósitos solo fueron generar entrada y dinero. Ello entró infecte atadura, y esté volviendo la máquina infectada en el remitente de correos electrónicos no deseados. En este período cambie la estructura de los escritores de malware. Antes de vello, el malware es sido escrito por entusiastas que quiera hacer una prueba de algo o para sacar a luz. De la parte principal de vello enfoque se en los escritores de malware esté ganando beneficio. Después del vello muchos malware venga que envíe correos electrónicos no deseados o ese chantajeó usuarios de computadoras. También los escritores de malware no eran principalmente de los países desarrollados guste que ello estaba en 1980 " y 1990". Fuentes principales del malware vinieron en 2000 " por las personas de países de Tercer Mundo, principalmente Rusia, China, Pakistán, India etc. Slammer es sido encontrado en 2003 septiembre de 13th., y traído ciertas nuevas cosas. Era Internet libre de gusanos que use la vulnerabilidad en OpenSSL y es uno de primeros malwares que atacó máquinas de Linux y servidores de Apache. Ello ha un también clandestino, así ataque pudo usar infecte elabore, cargue para ello ciertas herramientas adicionales o malwares. Clandestino esté creando cuenca de UDP con el ataque. En realidad ello estuvo escuchando en puerto de UDP 2002 para la conexión de ataque. Entrados en años 2003 y 2004 sea sido hallada la mayor parte de la 3 Internet destructiva libran de gusanos que haya introducido la consideración en la seguridad de sistemas reales (fábricas, central de energía, aeropuertos y otros sistemas de transportación) y el sabotaje virtual. Slammer era el gusano de Internet que era extendiéndose en 2003. Usar vulnerabilidad en servidor de SQL de Microsoft y motor de datos de Microsoft 2000. Cada aplicación que usó algunos de estos dos servicios era objetivo potencial y punto de entrada para

Slammer. Algunas de aplicaciones eso Slammer acostumbrado a ganar acceso al sistema era:

Microsoft Biztalk Server

Microsoft Office XP Developer Edition

Microsoft Project

Servidor de Microsoft SharePoint Portal

Microsoft Visio 2000

Microsoft Visual FoxPro

Microsoft Visual Studio.NET

Microsoft.NET Framework SDK

Compaq Insight Manager

El Cristal relata empresa

Dell OpenManage

monitor de HP Openview Internet service

McAfee centralizó Admin de virus McAfee Epolicy Orchestrator

Tienda la millonésima parte de una unidad específica daña servidor de limpieza

Websense Reporter

Veritas Backup Exec

WebBoard Conferencing Server 11

Slammer se estaba extendiendo como un proceso de memoria. Nunca escribió algo en el disco duro. Así cuando la PC podría ser comenzada de nuevo, infección desaparecería. Pero desde la PC estaba unido para otras pc, de donde consiguió infección, o donde ello duplicó infección para, pronto infección estaría de vuelta. Slammer estuvo creando tráfico de red excelente, tantos paquetes llegan a ser perdido. Por este camino causó el daño excelente - por ejemplo la red de ATM del banco de la América fue descendente, 911 servicio en Seattle fue descendente para la pareja de días, sistemas de control de vuelo en la pareja de aeropuertos se infectaban y cierto vuelo era retardado. También allí estaba un problema en la central de energía nuclear en Ohio. Blaster sea sido detectado en Agosto de 2003. Ello usó parachoques desborde la vulnerabilidad en DCOM RPC (distribuya el



componente objeta modele la llamada de procedimiento remoto. El ráfaga estuvo acostumbrado a crear SYN desborde se para sitio Web windowsupdate.com, pero después que no tuvo razón sitio Web, realidad uno era windowsupdate.microsoft.com, no causó mucho daño a Microsoft. Pero después que creó trafique que ello haga disminuya la velocidad e inhabilitan varios sistemas quiera airee los planos de Canadá eran terratenientes, EE.UU. Entrenan CSX de compañía parado etc. Sasser en el 2004 parachoques usado desborde se en la autoridad de seguridad local Subsistema Servicio (LSAS). Se extiende sobre la red y era bastante a menudo estrellando LSAS atienda, que cause comience de nuevo en un minuto. Cuando Microsoft suelto remienda era bastante grande para descargar e instalado en el tiempo menor que cronometra el malware necesitar aplastar servicio de LSAS. Esto causó una gran cantidad de frustración para los usuarios, así pronto nuevo modelo de las actualizaciones automáticas es sido desarrollado. La réplica insolente causó Railcop se entrena para hacer alto en Australia, el problema de línea aérea de delta y las demoras en vuelos británicos de aerolíneas, el departamento de gobierno de Hong Kong de la energía es sido infectado, dos hospitales en Suecia sea sido infectado y no pudo los scanneres derretidos, comisión de UE es sido infectada, el aeropuerto de Heathrow tuvo problemas con este malware , así como RU Coastguard y varios bancos cerraron sus oficinas para la pareja de días debido a la infección interna.

5. Rootkits and ransomware RootKits es las herramientas de malware que modifican software de sistema operativo existente de modo que un ataque pueda mantener acceso a y la piel en una máquina. RootKits puede operar a las dos niveles diferentes, en dependencia de que el software que reemplazan o alteran en el sistema de objetivo. Pudieron alterar ejecutables o bibliotecas binarias existentes en el sistema. En otros términos, un RootKit pudo alterar los programan muy que los usuarios y

administradores corren (por ejemplo les, cd, p u otros programas). Llamaremos tal modo de usuario de herramientas RootKits porque ellos manipulan estos elementos de sistema operativo de usuario a nivel. Alternativa, un RootKit pudo ir a traer la vena yugular, o en nuestro caso, el centro de mesa del sistema operativo, el propio núcleo. Llamaremos que el tipo de RootKit un modo de núcleo RootKit 3. RootKit de primero alguna vez hizo sea sido hecho por diversión de SONY, y tenga el impacto bastante malo en la reputación de SONY. SONY BMG RootKit nazca entrado en años 2005, como la idea de SONY para proteger los derechos de autor de sus publicaciones. Ellos tienen idea para detectar e inhabilitar albardilla de sus publicaciones usando este RootKit a otros medios. Sony BMG RootKit fue parte de 52 publicaciones de Sony entre ellos álbumes por avión de Ricky y Kelly Minogue. Cuando el CD era insertado en jugador de CD normal o |discman| nada sucedería. Pero cuando el CD era insertado en PC, RootKit podría ser instalado, oculte se y todos los archivos comenzando con $sys$. También ello controlaría cómo usuario accede música. Si el usuario prueba para copiar RootKit impida que ello. Funcionalidad para ocultar todos los archivos comenzando con $sys$ usado otros escritores de malware para ocultar sus archivos en el sistema llamando los archivo malware con empezar $sys$. Cuando RootKit es sido detectado, existía el escándalo excelente porque Tomás Hesse, el director de ventas globales en Sony BMG haga declaración en que diga " mayoría, yo pienso, aún no sepa lo que un rootkit es, así porque deben interesarse por lo?". Esta causó reacción pública pesada y haya mal los impactos en la imagen de SONY. Esto se muestra también como el ejemplo bueno de las relaciones públicas malas. Existía también un traje legal que el epílogo era que SONY ofreció clientes reintegre y libremente las descargas de música del sitio Web. StormWorm era el gusano de correo que vino 7 años después de LoveLetter, y mismo como la ingeniería usada social de LoveLetter para extenderse. Ello usó tenga miedo y el



horror en lugar de amor, como LoveLetter hizo. StormWorm empieza extenderse usando correo con dominado " 230 completamente como la tempestad golpea la Europa". También existía otras manifestaciones como cronometre las llaves, así algunos de los sujetos de StromWorm eran:

Un asesino a 11, es libre a 21 y mate

de nuevo!

El arroz de Condoleezza de Secretario de Estado de EE.UU.

Ha pateado alemán canciller Angela Merkel

Genocidio de musulmanes británico

Los números entre 13 y 19 desnudos van al ataque el director doméstico.

230 completamente como la tempestad golpea Europa.

Asunto: Su texto

El mahometano radical bebiendo la sangre de s de enemigos.

El proyectil chino/ruso lance se el satélite / aeronave abajo ruso/chino

Saddam Husain sano y salvo!

Saddam Hussein alive!

Líder venezolano: "Permítanos el comienzo de guerra".

Fidel Castro muerto.

Si supe

FBI vs Facebook

Las máquinas infectadas estuvieron creando una red de botnet. Pero, desde la mayor parte de las redes de botnet está controlado por un servidor central, esto no era envolver en StormWorm, que esté haciendo guste más red par a par, así predominante bulto pudo cambiar de anfitrión a anfitrión. StormWorm estuvo instalando también RootKit que se acostumbraba a ocultar. Las variantes posteriores, empezando alrededor de julio de 2007, cargado el componente de rootkit remendando los conductores de Windows existentes tal como tcpip.sys y cdrom.sys con un trozo del código que carga el módulo de conductor de rootkit sin requerirlo para tener una entrada en la lista de conductor de Windows. Mebroot de 2008 traiga un nueva cosa que

cambió el juego- la víctima se pudo infectar sólo por Internet de acuaplano del visor. Ello usó proeza en el visor para ganar acceso a sistema, y uno de los primeros sitios Web acostumbró a extender este malware era el sitio Web oficial de Monica Belluci. Cuando Mebroot ganaron acceso a PC de víctimas que instalaría el rootkit que pudo ocultarle de los detectores de RootKit, que se convierten en la parte de muchas soluciones de antivirus. Mebroot estuvieron divisando lo que la víctima estuvo tecleando y estuvo enviando estos datos para ir al ataque. También este malware era bastante bueno depuró, así que nunca causa casi choques del sistema. Aún si ello causó estalle, pudo reunir y enviar rastros para atacar así puede depurar y fijar el problema. Haciendo este era el más avanzado malware a esa hora. Conficer es uno de los misterios máximos en la historia de malware. La intención del creador de malware no era encontrada. Usó vulnerabilidad en ventanas y las contraseñas débiles extraordinarias para extenderse. Instalaría clandestino, rootkit y cree un bulto de botnet en infectar máquina. Ha infectado casi el 10 millones del anfitrión. El misterio excelente es que ello tuvo la red de botnet muy compleja que se usaba para cualquier ataque. El ransomware interesante es el malware que hubo cripta víctima el disco duro, la base de buró cambiado con mensaje y exija que USD 120 para la llave de des criptografía. La cosa interesante era que los ataques estuvieron dando las llaves ausentes si se pagaban. Por tenderlo use vulnerabilidad de visor e infecte archivo PDF con la caligrafía que descargan e instale este malware. Cambiaría base para buró y lugar en el archivo how-to-decrypt.txt para buró en que era este texto:

Atención!!! Todos sus archivos individuales

(fotografía, documentos,

textos, bases de datos,

certificados, archivos de kwm,

el video) hayan sido codificados

por una cifra muy fuerte

RSA-1024. Los archivos

originales son borrados. Puede



verificar esto solo - sólo

busque archivos en todas las

carpetas.

No existe ninguna posibilidad

para decodificar estos archivos

sin una cosa especial decodifica

el programa! nadie puede

ayudarle - aún no trate de

encontrar otro método o decir

alguno. También después de los

días de n todo codifique los

archivos se borrará

completamente y tendrá ninguna

oportunidad para conseguirlo

atrás.

Podemos ayudar para resolver

esta tarea para $120 por la vía

del giro bancario (SWIFT/IBAN de

giro bancario). Y recuerde:

todas las palabras dañinas o

malas a nuestro lado serán una

razón para el ignorando su

mensaje y nada se hará.

Para detalles usted tiene que

enviar su solicitud en este

correo electrónico (acompañe el

mensaje un serial completo

teclea mostrado abajo en este "

cómo…' archivo en el buró):

dirección de correo electrónico.

Los archivos que eran criptas en disco tuvieron extensiones: .jpg, .jpeg, .psd, .CDR,.dwg, .máximo,.mov, .m2v, .3gp,.doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar, .cierre,.mdb, .mp3 ,.c,.p12 ,.pfx, .kwm, .pwm, .txt, .pdf, .avi, .flv, . lnk, .bmp, .1cd, .md, .mdf, .dbf, .mdb, .odt, .vob, .ifo, .mpeg, .mpg, .doc, .docx, .|xls| , y.xlsx.. 6. Sabotaje virtual y espionaje Entrado en años 2010., un paso grande en la evolución de malware sucedió. Malware no es visto tal como el hilo para los negocios, las finanzas o archivos personales. Agencias secretas y de fuerzas policiales militares de varios países consiguieron envueltas en la creación de malware. Malware es ahora visto similar como cualquiera otra arma. el

gobierno de los EE.UU. declaró ese cualquier ejército de los EE.UU. permanece enderece se para responder a ataque cibernético con el ataque físico. Dejar caer bombas y los ataques cibernéticos que usan el malware es visto como las cosas iguales. También, el malware llega a ser capaz de la acción casi mismo dañe como bombardee, pero sin riesgo las vidas humanas. El mejor ejemplo para eso es el malware llamado Stuxnet, que era hallado en verano 2010.

Stuxnet sea un primer malware excelente llamado, proporcionado en junio de 2010., pero cuando era encontrado es comprendido que ello estuvo tendiendo no descubierto para sobre un año. Cuando Stuxnet lo es sido detectado haya hecho ya lo que era fabricado para. Ello es creer que Stuxnet era creado destruir o al menos disminuya la velocidad el programa nuclear iranio. Stuxnet físicamente las turbinas saboteados para el enriquecimiento de uranio por cambiar las frecuencias de rotación. Esto es sido hecho en la vía que era no vista antes. Stuxnet se estaba extendiendo arriba el palo de USB, donde el auto apagado corre o auto juega opción no desearía ayudar. Si el palo de USB era insertado en la PC infectada que podría ser infectado y si infecte USB era insertado en PC, la PC podría ser infectada. Ningún contra virus sea capaz de detectarlo. Stuxnet usó rootkit para ocultarse en la máquina infectada y ello haragán de otro modo pero duplicando para otro inserte USB está hincado. Para ganar el control sobre la PC que usó 5 proezas de que 4 eran el día cuando Stuxnet era proezas primero detectadas de 0 días. Ello activa que ello es las rutinas por si acaso lo PC es sido anexa al controlador de paso 7 de Siemens particular, y la PC puede ser usada para la programación del controlador. Aún en ese caso no desearía hacer algo, si el controlador no es anexo al sistema industrial particular. En ese caso ello cambiaría frecuencias del sistema de rotación, y también herramientas para respuesta automática, así que ello les buscaría como el sistema trabaja correctamente. El certificado contenido válido de Stuxnet, y cuando es sido puesto en lista negra en un día del período



cambió su certificado. Ello tiene muerte la fecha instiga contra 2012 junio de 24th., cuando todos los casos de Stuxnet se matarían. Ello es creer que este malware es sido creado por las policías secretas de ee.uu. e Israel. Ninguno de estos países confuta o confirma este 12. DoQu es el malware que ha asimilado codifique basado en como Stuxnet. Ello es creer que Stuxnet y DoQu tienen mismo origen y mismos autores. Stuxnet y DoQu de operación están también en la correlación en muchas fuentes. DoQu usado mismo explotan como Stuxnet, pero ello tiene diferente propósito. Ello tiene proponga para recoger la información sobre las víctimas, en otros términos su propósito sea ser espía infecte PCs. DoQu era escrito en los lenguajes de programación más altos, que es inusual para malware, porque la mayor parte del malware está escrito o en ensamblador, la c o finalmente en la c++, o en algunos de lenguajes de caligrafía como pitón o Lua. DoQu eran escritos en el objeto la c orientado, y ello es creer que es ser sido compilado usando estudio de Microsoft visual 2008. La llama es el más complejo malware que ha sido visto. Es sido encontrado en 2012. y la mayor parte de las computadoras son sido infectadas en cercano y Medio Oriente. Es también crea que sea sido creado por Israel y policías secretas de los EE.UU. y militar. Esto es el malware del módulo, que puede ser controlado por el ataque y él puede añadir nuevos módulos remotamente. Con todos sus módulos que ello puede ser 20MB grande. La llama pudo extenderse sobre el puerto de USB o por la red. Ello usó capacidad de rootkit para ocultarse en el sistema infectado. Ello tiene capacidad para registrar audio, video, llamadas de skype, actividad de red, para robar archivos de disco duro y envía para ir al ataque. En las compañías de antivirus de momento en que recoja la muestra de la llama para análisis, llama es sido destruido remotamente por el ataque que envía la matanza manda, que destruyeron todos los casos del malware de llama. La llama es escrita en Lua y c++, y como Stuxnet y DoQu que ello tiene válido robado

certificado.

7. Conclusión Ello ha pasado más de 25 años desde el primero malware para la PC salga. Malware evolucionó, pero algunos de los principios permanecieron el mismo. Primer malware Brain.A extienda se sobre discos flexibles, Stuxnet - uno del malware más complejo - extensión sobre el USB maneja. Propósitos y móviles para la creación de malware cambiaron de exibitionism, sobre venganza y beneficio a espionaje y sabotaje. El beneficio es el motivador todavía excelente para la creación de malware, y ello continuará estar en el futuro. Militar propone tales como espionaje y sabotaje era probado como el éxito para los creadores de malware. Podemos esperar más del malware militar y la contienda armada cibernética en futuro, desde entonces es bastante seguro para ataques y pueda causar mismo daño como los ataques militares con todo su poder de fuego. Ello se tiene que ver cómo compañías de antivirus negociarían con este tipo de los ataques con los recursos casi ilimitados para la creación de malware en un campo y mejore queriendo creadores de malware en el otro campo. Todavía podríamos ver algún otro propósito de la creación de malware en el futuro en cierto evento cambiante del juego tal era Stuxnet cuando estamos hablando del uso militar del malware.

8. Los trabajos citaron

[1] Wikipedia, Malware, Internet: http://en.wikipedia.org/wiki/Malware, 03.02.2013. [2] Brain: Buscar el primero virus de PC, Mikko Hypponnen, FSecure, 2011. [3] Malware: Combatiendo código malicioso, Skoudis, Lenny Zeltser de ed, vestíbulo de aprendiz PTR, 2003 [4] Wikipedia, gusano de tempestad, Internet: http://en.wikipedia.org/wiki/Storm_Worm, 10.02.2013. [5] Virus Wikia, la oscuridad el motor de mutación de Avanger, http://virus.wikia.com/wiki/Dark_Vengador_Mutación_Engine, 17.02.2013.



Documentación de laboratorio de creación de 6 Virus, Internet, http://www.textfiles.com/virus/DOCUMENTATION/vcl.txt [7] un_mitad, |enciclopedia| de amenaza de ESET, Internet http://go.eset.com/us/threatcenter/encyclopedia/threats/onehalf/ [8] Concept.A, descripción de amenaza de FSecure, Internet, http://www.fsecure.com/v-descs/concept.shtml [9] Maburg, FSecure Threat descripotion, Interner, http://www.f-secure.com/vdescs/marburg.shtml [10] Dressler, J. (2007). “el v de EE.UU. Mauricio". Casos y materiales en la ley criminal. El st Pablo, MN: Thomson/oeste [11] Slammer, descripción de amenaza de FSecure, Internet, http://www.f-secure.com/vdescs/mssqlm.shtml [12] Stuxnet dossier, Simantec, http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

historia de malware

Documents