tema: virus

Virus InformVirus Informááticotico

CCHSCCHS

A. DÍAZA. DÍAZ

¿Qué es un Virus?¿Qué es un Virus?

Los virus son piezas de código que se insertan por sí Los virus son piezas de código que se insertan por sí mismos en una estación, incluyendo sistemas operativos, mismos en una estación, incluyendo sistemas operativos, para propagarse. No pueden ejecutarse independientemente. para propagarse. No pueden ejecutarse independientemente. Requieren que el programa que lo alberga se ejecute para Requieren que el programa que lo alberga se ejecute para activarse. RFC 1135.activarse. RFC 1135.

Pueden dañar los datos directamente o pueden degradar la Pueden dañar los datos directamente o pueden degradar la performanceperformance del sistema al utilizar sus recursos, los cuales del sistema al utilizar sus recursos, los cuales ya no estarán disponibles a los usuariosya no estarán disponibles a los usuarios

Diferentes tipos de efectos nocivos sobre el sistema Diferentes tipos de efectos nocivos sobre el sistema afectado: eliminación, alteración de información, etc.afectado: eliminación, alteración de información, etc.

Se propagan a través de archivos infectados de una estación Se propagan a través de archivos infectados de una estación a otra por acción del usuario.a otra por acción del usuario.

HistoriaHistoria

Érase una vez el virusÉrase una vez el virus II

1939-1943 John L. Von Neumann, Teoría y 1939-1943 John L. Von Neumann, Teoría y organización de autómatas complejos.organización de autómatas complejos.

1949, Robert Thomas Morris, Douglas 1949, Robert Thomas Morris, Douglas McIlory y Victor Vysottsky, CoreWar.McIlory y Victor Vysottsky, CoreWar.

1972 Virus Creeper Robert T. Morris padre, 1972 Virus Creeper Robert T. Morris padre, IBM360. Antivirus Reeper.IBM360. Antivirus Reeper.

1983 Keneth Thompson, creó UNIX y 1983 Keneth Thompson, creó UNIX y presentó y demostró como crear un virus.presentó y demostró como crear un virus.

1984 Fred Cohen, expuso las pautas para crear 1984 Fred Cohen, expuso las pautas para crear un virus. Primer autor oficial de virus.un virus. Primer autor oficial de virus.

1986 Aparición de virus de sector de arranque.1986 Aparición de virus de sector de arranque. 1987: 12 virus por año.1987: 12 virus por año.

1988 Robert Tappan Morris, hijo de 1988 Robert Tappan Morris, hijo de Robert Thomas Morris, liberó el gusano Robert Thomas Morris, liberó el gusano conocido como Morris Worm.conocido como Morris Worm.

1989 Virus búlgaro DarkAvenger. 1989 Virus búlgaro DarkAvenger. Bulgaria como país productor de virus.Bulgaria como país productor de virus.

1993: más de 3500 virus1993: más de 3500 virus

1995 Macrovirus, virus no ejecutables 1995 Macrovirus, virus no ejecutables Word, Excel, Access, PowerPointWord, Excel, Access, PowerPoint

1999: varias decenas de miles. 1999: varias decenas de miles.

Érase una vez el virusÉrase una vez el virus IIII

Érase una vez el virusÉrase una vez el virus IIIIII

1999 Virus adjuntos y gusanos: Melissa, CIH, 1999 Virus adjuntos y gusanos: Melissa, CIH, etc.etc.

2001 El año de los gusanos: Lion, Ranem, 2001 El año de los gusanos: Lion, Ranem, Code Red, Nimda, etc.Code Red, Nimda, etc.

2002 Gusanos creadores de redes peer-to-peer: 2002 Gusanos creadores de redes peer-to-peer: Apache_Open_SSLApache_Open_SSL

2000: varias centenas de miles. 2000: varias centenas de miles. 2005: 1000 virus diarios.2005: 1000 virus diarios. 2005: 5000 virus diarios en diversos medios2005: 5000 virus diarios en diversos medios

Propiedades de los VirusPropiedades de los Virus

ReplicaciónReplicación Requiere de un programa o documento que lo Requiere de un programa o documento que lo

albergue.albergue. Modificación del código del documento o Modificación del código del documento o

programaprograma Ocultos al usuarioOcultos al usuario Ejecución involuntaria, gracias al usuarioEjecución involuntaria, gracias al usuario Ejecución involuntaria, gracias a Ejecución involuntaria, gracias a

funcionalidades/vulnerabilidades de la aplicación.funcionalidades/vulnerabilidades de la aplicación. Ejecución de acciones hostiles contra el sistemaEjecución de acciones hostiles contra el sistema

Componentes del VirusComponentes del Virus

Medio de PropagaciónMedio de Propagación Medio por el cual se propaga a otros sistemas: Medio por el cual se propaga a otros sistemas:

Correo electrónicoCorreo electrónico Archivos ejecutablesArchivos ejecutables Archivos de OfficeArchivos de Office Scripts, etc.Scripts, etc.

Código hostilCódigo hostil Parte destructiva del programa que contiene todas las Parte destructiva del programa que contiene todas las

instrucciones hostiles contra los sistemas a los que va dirigido.instrucciones hostiles contra los sistemas a los que va dirigido. Contiene rutinas que especifican cuando debe activarse y bajo Contiene rutinas que especifican cuando debe activarse y bajo

que circunstancias.que circunstancias.

Tipos de VirusTipos de Virus

Sector de arranqueSector de arranque Archivo Archivo

Residentes, de acción Residentes, de acción directa, compañía directa, compañía sobre-escritura.sobre-escritura.

MacroMacro MultipartesMultipartes Enlace o DirectorioEnlace o Directorio ScriptsScripts PolimórficosPolimórficos BugwareBugware

TécnicasTécnicas OcultaciónOcultación

Mecanismos de Mecanismos de ocultamiento (Stealth)ocultamiento (Stealth)

AutoencriptaciónAutoencriptación

Protección AntivirusProtección Antivirus AntidebuggersAntidebuggers

Camuflaje: PolimórficosCamuflaje: Polimórficos Evasión: TunnelingEvasión: Tunneling Ayuda: MacrosAyuda: Macros Residentes: TSRResidentes: TSR

Vulnerabilidades Explotadas por Los VirusVulnerabilidades Explotadas por Los Virus

Funcionalidades/bugs de las aplicacionesFuncionalidades/bugs de las aplicaciones Ejecución de programas, scripts, código HTML, código Java/ActiveX, Ejecución de programas, scripts, código HTML, código Java/ActiveX,

macros y archivos ejecutables de manera automática por parte de los macros y archivos ejecutables de manera automática por parte de los navegadores y de los clientes de correo.navegadores y de los clientes de correo.

Ejecución de archivos automáticamente por clientes de mensajería Ejecución de archivos automáticamente por clientes de mensajería instantánea, chat, etc.instantánea, chat, etc.

Transporte y ejecución de archivos infectados entre usuarios o por Transporte y ejecución de archivos infectados entre usuarios o por medio de recursos compartidos en redes.medio de recursos compartidos en redes.

El “Bug” más dañino: El “Bug” más dañino: EL USUARIOEL USUARIO Desactiva el antivirus, no lo actualiza, ejecuta archivos sin percatarse Desactiva el antivirus, no lo actualiza, ejecuta archivos sin percatarse

de su origen, su extensión, etc.de su origen, su extensión, etc. No es cuidadoso respecto a los correos que recibe y lee.No es cuidadoso respecto a los correos que recibe y lee.

Modo de PropagaciónModo de Propagación

Vienen escondidos en aplicaciones y/o programas que Vienen escondidos en aplicaciones y/o programas que se descargan desde Internet de naturaleza dudosa.se descargan desde Internet de naturaleza dudosa.

Como parte de aplicaciones pirateadas.Como parte de aplicaciones pirateadas. Por medio de virus y/o gusanos.Por medio de virus y/o gusanos. Instalados por un CRACKER en una red vulnerada.Instalados por un CRACKER en una red vulnerada. Por medio de applets de Java y ActiveX de Windows.Por medio de applets de Java y ActiveX de Windows. Por usuarios disconformes con su organización.Por usuarios disconformes con su organización.

Puertas de entrada (fuentes de contagio)Puertas de entrada (fuentes de contagio)

Eslabón más débil de la cadena informática: Eslabón más débil de la cadena informática: el el usuariousuario

80´s y mediados de 90´s: Disquettes y CDs80´s y mediados de 90´s: Disquettes y CDs Fin de 90´s y posterior: Fin de 90´s y posterior: InternetInternet

MailMail Acceso a sitios inseguros, aún sin copiar archivosAcceso a sitios inseguros, aún sin copiar archivos P2PP2P - - Peer to peer Peer to peer ((KazaaKazaa)) ChatChat Ingeniería socialIngeniería social

Extensiones de virus y gusanosExtensiones de virus y gusanos

.scr .exe .pif .bat .reg .dll .vbs .scr .lnk.scr .exe .pif .bat .reg .dll .vbs .scr .lnk Archivos compactados (“zipeados”) como .zip .rar .arc pueden Archivos compactados (“zipeados”) como .zip .rar .arc pueden

tener virus en su interiortener virus en su interior Cuidado: Cuidado: pueden tener dobles extensiones (la primera pueden tener dobles extensiones (la primera

“inocente” y la segunda “culpable”):“inocente” y la segunda “culpable”):

LOVE-LETTER-FOR-YOU.TXTLOVE-LETTER-FOR-YOU.TXT.VBS.VBS

Content-Type: application/x-msdownload; name="Glucemias con y sin Content-Type: application/x-msdownload; name="Glucemias con y sin LANTUS.xlsLANTUS.xls.scr.scr““

Siempre hay algo que Siempre hay algo que perderperder

PPéérdidas generadas por los virusrdidas generadas por los virus II

““En EU, los virus son las principales fuentes de perdidas En EU, los virus son las principales fuentes de perdidas financieras con $42,787,767dlls, seguido por el acceso sin financieras con $42,787,767dlls, seguido por el acceso sin autorización a redes con $31,233,100dlls y el robo de información autorización a redes con $31,233,100dlls y el robo de información con $30,933,000dlls. ”con $30,933,000dlls. ”

““El virus Melissa causo 80 millones de dlls en daEl virus Melissa causo 80 millones de dlls en dañños a empresas, os a empresas, ya que fue el primer virus que se propago por e-mail.”ya que fue el primer virus que se propago por e-mail.”

““El virus Love Bug afecto al 80% de las empresas de Australia, y El virus Love Bug afecto al 80% de las empresas de Australia, y aproximadamente la misma cantidad en EU. Inundo las redes aproximadamente la misma cantidad en EU. Inundo las redes empresariales con e-mails.”empresariales con e-mails.”

PPéérdidas generadas por los virusrdidas generadas por los virus IIII

““El virus Bug bear envió El virus Bug bear envió 320,000320,000 e-mails con información personal e-mails con información personal de computadoras infectadas a través de la red. Enviando de computadoras infectadas a través de la red. Enviando información confidencial a personas no autorizadas.”información confidencial a personas no autorizadas.”

““El virus Blaster evitEl virus Blaster evitóó el uso de Windows Update. Negó a usuarios el uso de Windows Update. Negó a usuarios a ese servicio. Infectó a ma ese servicio. Infectó a máás de 500,000 computadoras..”s de 500,000 computadoras..”

““Pérdidas por más de cinco mil millones de dólares en todo el Pérdidas por más de cinco mil millones de dólares en todo el mundo causaron los miles de ataques de "virus" informáticos en mundo causaron los miles de ataques de "virus" informáticos en los últimos años.“los últimos años.“

Los Bichos son cosa seriaLos Bichos son cosa seria

Año Impacto Económico Mundial (Millones de $)2001 13,2002000 17,1001999 12,1001998 6,1001997 3,3001996 1,8001995 500

Año Nombre del Código Impacto Económico en USA Indice de Cyberataque2001 Nimda $0.635 Mil Millones 0.732001 Code Red(s) $2.62 Mil Millones 2.992001 SirCam $1.15 Mil Millones 1.312000 Love Bug $8.75 Mil Millones 10.001999 Melissa $1.10 Mil Millones 1.261999 Explorer $1.02 Mil Millones 1.17

Problemas generadosProblemas generados

Pérdidas financieras por pérdida de informaciónPérdidas financieras por pérdida de información Eliminación o alteración de archivos importantesEliminación o alteración de archivos importantes Pérdidas financieras por anulación de servicios Pérdidas financieras por anulación de servicios

digitalesdigitales Negación de servicios por consumo de ancho de Negación de servicios por consumo de ancho de

banda, gusanosbanda, gusanos Pérdida de eficiencia en la empresaPérdida de eficiencia en la empresa

Los clasicosLos clasicos

Ingenieria socialIngenieria social

Ingeniería socialIngeniería social EEmpleampleadada por los por los crackerscrackers para engañar a los usuarios para engañar a los usuarios..

NNo se o se utilizautiliza ningún ningún softwaresoftware, sólo grandes dosis de ingenio, , sólo grandes dosis de ingenio, sutileza y persuasión para así lograr datos sutileza y persuasión para así lograr datos del usuario y/o del usuario y/o dañar dañar su sistema y propagarse rápidamente.su sistema y propagarse rápidamente.

Emplea como señuelos mensajes o ficheros con explícitas Emplea como señuelos mensajes o ficheros con explícitas referencias eróticasreferencias eróticas..

AludAludee a personajes famosos a personajes famosos

SeSe si sirve de "ganchos" vinculados rve de "ganchos" vinculados generalmente generalmente a relaciones a relaciones amorosasamorosas:: LOVE-LETTER-FOR-YOU.TXTLOVE-LETTER-FOR-YOU.TXT

Correo Correo (Ingeniería Social)(Ingeniería Social)

Fotos de:Fotos de: Anna Kournikova, Anna Kournikova, Pamela Anderson Pamela Anderson Jennifer López, Jennifer López, la esposa desnudala esposa desnuda

Cartas de Amor, Cartas de Amor,

Lista de gasolinerasLista de gasolineras

PostalesPostales

Revisión de documentos Revisión de documentos importantes,importantes,

Chistes, Chistes,

MessagerMessager (Ingeniería Social)(Ingeniería Social)

En este caso la En este caso la ingenieria social ingenieria social tambien se ve tambien se ve reflejada en el reflejada en el corrego electronico corrego electronico instantaneo o instantaneo o messanger.messanger.

Que hay de los Que hay de los archivos que se archivos que se envian…envian…

Y los plugginsY los pluggins

BrowserBrowser (Ingeniería Social)(Ingeniería Social)

Una vez más ingenieria Una vez más ingenieria social tambien se ve social tambien se ve reflejada en este medio. reflejada en este medio.

Cuidado con las paginas Cuidado con las paginas de bancosde bancos httpshttps

También donde das clickTambién donde das click Por si fuera poco con lo Por si fuera poco con lo

que aceptasque aceptas

P2PP2P - - Peer to peerPeer to peer

Kaaza, Bear share, aMule, xMule, FOX ShareKaaza, Bear share, aMule, xMule, FOX Share La tecnica es proporcionar programas, La tecnica es proporcionar programas,

aplicaciones, e inclusive sistemas operativos aplicaciones, e inclusive sistemas operativos completos “GRATIS”.completos “GRATIS”.

La mayoria de ellos poseen virus incrutados La mayoria de ellos poseen virus incrutados para obtener el control de tu equipo.para obtener el control de tu equipo.

CelularCelular (Ingeniería Social)(Ingeniería Social)

Y que esperaban que con esto termionaba…Y que esperaban que con esto termionaba… La Policia Federal Cibernetica, en el 2006 La Policia Federal Cibernetica, en el 2006

descubrio tecnicas de ingenereia socialdescubrio tecnicas de ingenereia social

Los clasicosLos clasicos

Falsa alrmaFalsa alrma

CCH sCCH s 2828

HOAX: Cuando el pánico se propagaHOAX: Cuando el pánico se propaga

Un Hoax es una falsa alarma acerca de la Un Hoax es una falsa alarma acerca de la existencia y propagación de un virus o existencia y propagación de un virus o gusano.gusano.

Tienen una buena intención, pero solo Tienen una buena intención, pero solo propagan falsas noticias.propagan falsas noticias.

El usuario al propagar el Hoax se comporta El usuario al propagar el Hoax se comporta como un virus/gusano y además alarma como un virus/gusano y además alarma innecesariamente a la comunidad.innecesariamente a la comunidad.

Explotan la buena fe de los usuarios.Explotan la buena fe de los usuarios. Ejemplo: Sulfnbk.exeEjemplo: Sulfnbk.exe

Los ClasicosLos Clasicos

TroyanosTroyanos

TroyanosTroyanos

Basado en el concepto del Basado en el concepto del Caballo de Troya que los griegos Caballo de Troya que los griegos utilizaron para destruir esa utilizaron para destruir esa ciudad.ciudad.

Son programas que ejecutan una Son programas que ejecutan una determinada tarea, pero además determinada tarea, pero además incluyen inesperadas incluyen inesperadas (indeseables) funciones. (indeseables) funciones.

Es similar a un virus, excepto Es similar a un virus, excepto que el troyano no se replica.que el troyano no se replica.

Algunos virus instalan Algunos virus instalan programas troyanos durante el programas troyanos durante el proceso de infección.proceso de infección.

SpamSpam

SpamSpam (“ (“Junk mail”Junk mail”))

Mensaje de correo electrónico no solicitado que Mensaje de correo electrónico no solicitado que publicita productos, servicios, sitios publicita productos, servicios, sitios WebWeb, etc. , etc.

Tipos de Tipos de SpamSpam:: comercial, políticos, religiosos, de hostigamiento, propuestas comercial, políticos, religiosos, de hostigamiento, propuestas

de ganancias económicas mediante cartas en cadena (“envía de ganancias económicas mediante cartas en cadena (“envía dinero a la primera persona de la lista, borra el nombre y pon dinero a la primera persona de la lista, borra el nombre y pon el tuyo en su lugar, reenvía este mensaje a otras personas y te el tuyo en su lugar, reenvía este mensaje a otras personas y te sorprenderás de la respuesta“), etc., etc.sorprenderás de la respuesta“), etc., etc.

Remitente falso: simula ser enviado por una persona u Remitente falso: simula ser enviado por una persona u organización. organización. **

SpamSpam: lo que NO se debe hacer: lo que NO se debe hacer

Enviar un mensaje solicitando la baja de la "supuesta" lista: al Enviar un mensaje solicitando la baja de la "supuesta" lista: al responder se “blanquea” nuestra dirección.responder se “blanquea” nuestra dirección.

Enviar quejas a direcciones que no estemos seguros de que son Enviar quejas a direcciones que no estemos seguros de que son las que realmente han distribuido el mensaje.las que realmente han distribuido el mensaje.

Tratar con violencia al Tratar con violencia al spammer:spammer: aparte de “blanquear” nuestra aparte de “blanquear” nuestra dirección, lo alienta a continuar.dirección, lo alienta a continuar.

Poner filtros en los programas de correo electrónico para borrar Poner filtros en los programas de correo electrónico para borrar automáticamente el automáticamente el spamspam: : se pierden mensajes que no son se pierden mensajes que no son spam spam (falsos + y -)(falsos + y -) los spammers cambian periodicamente sus textos (Her bal V1agra" and los spammers cambian periodicamente sus textos (Her bal V1agra" and

ways to make "F*A*S*T C*A*S*H”)ways to make "F*A*S*T C*A*S*H”)

Distribuir el mensaje a otras personas o listas.Distribuir el mensaje a otras personas o listas. **

SpamSpam: lo que se debe hacer: lo que se debe hacer Investigar la dirección del emisor o del responsable de la Investigar la dirección del emisor o del responsable de la

máquina o del dominio que ha permitido la difusión de dicho máquina o del dominio que ha permitido la difusión de dicho mensaje.mensaje.

Disponer de dos mensajes tipo en castellano y en inglés, Disponer de dos mensajes tipo en castellano y en inglés, para para utilizarlosutilizarlos en unaen una denuncia o queja. denuncia o queja.

¿¿CCómo localizar las direcciones a las que hay que enviar el ómo localizar las direcciones a las que hay que enviar el mensaje de queja?mensaje de queja?: : identificar los dominios implicados en la identificar los dominios implicados en la distribución dedistribución del mensaje recibido yl mensaje recibido y localizar las direcciones de localizar las direcciones de los responsables que por defecto suelen estar en:los responsables que por defecto suelen estar en: [email protected]@dominio.xx [email protected] [email protected] ((donde xx donde xx corresponde a corresponde a .es, .com, .es, .com, .net, .net, etc.)etc.)

HoaxHoax

Los Los hoaxhoax (mistificación, broma o engaño), son (mistificación, broma o engaño), son mensajes con falsas advertencias de virus, alertas, mensajes con falsas advertencias de virus, alertas, cadenas (incluso solidarias), denuncias, etc., cadenas (incluso solidarias), denuncias, etc., distribuidos por correo electrónico:distribuidos por correo electrónico: Alerta, avise a todos sus conocidos!Alerta, avise a todos sus conocidos! Urgenteeeeee!!! no lo borres, es muy importante !!!Urgenteeeeee!!! no lo borres, es muy importante !!! Salvemos a Brian, de un año de edad, que padece una Salvemos a Brian, de un año de edad, que padece una

enfermedad incurable enfermedad incurable (rara dolencia que le impide crecer, (rara dolencia que le impide crecer, pues desde hace cinco años mantiene la misma edad)pues desde hace cinco años mantiene la misma edad)

Microsoft acaba de enviarme este aviso!Microsoft acaba de enviarme este aviso! Soy Madam Yogurto´ngue, viuda del General.... Soy Madam Yogurto´ngue, viuda del General....

Hay que borrarlos y no hay que reenviarlos ni Hay que borrarlos y no hay que reenviarlos ni responderlos.responderlos.

GusanosGusanos

WormsWorms

Acerca de GusanosAcerca de Gusanos

Un gusano es un programa Un gusano es un programa que puede ejecutarse que puede ejecutarse independientemente, independientemente, consumirá los recursos de la consumirá los recursos de la estación que lo alberga para estación que lo alberga para poder mantenerse y puede poder mantenerse y puede propagar una versión propagar una versión completa y operativa de sí completa y operativa de sí mismo en otras estaciones. mismo en otras estaciones. RFC 1135RFC 1135

Los inicios: El Gusano MorrisLos inicios: El Gusano Morris

El primer gusano conocido apareció el 02 de Noviembre de El primer gusano conocido apareció el 02 de Noviembre de 1988, Robert Tappan Morris Jr. fue quien elaboró una teoría 1988, Robert Tappan Morris Jr. fue quien elaboró una teoría acerca de gusanos… y además la puso en práctica…acerca de gusanos… y además la puso en práctica…

El incidente fue llamado Morris Worm Incident o Internet El incidente fue llamado Morris Worm Incident o Internet WormWorm

Afectó servidores Unix BSD 4.2 y 4.3, y SunOS.Afectó servidores Unix BSD 4.2 y 4.3, y SunOS. Tomó ventaja de vulnerabilidades en los servicios de Unix: Tomó ventaja de vulnerabilidades en los servicios de Unix:

sendmail, fingerd, rsh/exec y de claves débiles de los sendmail, fingerd, rsh/exec y de claves débiles de los servidores afectados (usuario y clave iguales).servidores afectados (usuario y clave iguales).

Se propagó a todos los sistemas que pudoSe propagó a todos los sistemas que pudo

CronologíaCronología

18:0018:00 El gusano es activadoEl gusano es activado20:4920:49 Infecta una VAX 8600 de la Universidad de UtahInfecta una VAX 8600 de la Universidad de Utah21:0921:09 Empieza a atacar a otros sistemasEmpieza a atacar a otros sistemas21:2121:21 La carga promedio de los sistemas alcanza nivel 5 cuandoLa carga promedio de los sistemas alcanza nivel 5 cuando

el nivel usual es 1el nivel usual es 121:4121:41 La carga promedio alcanza 7La carga promedio alcanza 722:0122:01 La carga promedio alcanza 16La carga promedio alcanza 1622:0022:00 Los usuarios no pueden usar los sistemas dónde hay un Los usuarios no pueden usar los sistemas dónde hay un

gran número de infectados.gran número de infectados.22:2022:20 Los administradores “matan” el gusano.Los administradores “matan” el gusano.22:4122:41 Los sistemas son reinfectados y la carga se eleva a 27Los sistemas son reinfectados y la carga se eleva a 2722:4922:49 El administrador reinicia el sistemaEl administrador reinicia el sistema23:2123:21 La re-infección eleva la carga promedio a 37La re-infección eleva la carga promedio a 37

EfectosEfectos

En 90 minutos, el gusano dejó miles de sistemas En 90 minutos, el gusano dejó miles de sistemas anulados.anulados.

6000 estaciones fueron afectadas.6000 estaciones fueron afectadas. No hubo daños físicos, pero las pérdidas oscilaron No hubo daños físicos, pero las pérdidas oscilaron

entre entre $100,000 y $100’000,000$100,000 y $100’000,000 por pérdida de acceso por pérdida de acceso a los sistemas.a los sistemas.

Conclusión: Los bichos son cosa seria.Conclusión: Los bichos son cosa seria.

Los Gusanos tienen EstiloLos Gusanos tienen Estilo

Hacker

Servidor 1

Servidor 2

Servidor 3

Los gusanos tienen estilo Los gusanos tienen estilo ¿Cómo trabaja un Gusano?¿Cómo trabaja un Gusano?

Los gusanos son programas autómatas que se Los gusanos son programas autómatas que se propagan a través de los sistemas que atacan.propagan a través de los sistemas que atacan.

Explotan vulnerabilidades de: sistemas operativos, Explotan vulnerabilidades de: sistemas operativos, aplicaciones, correo electrónico, etc.aplicaciones, correo electrónico, etc.

El código hostil puede simplemente ser hostigante, o El código hostil puede simplemente ser hostigante, o tan peligroso como capturar información del usuario tan peligroso como capturar información del usuario para enviarla a una cuenta en Internet o anular un para enviarla a una cuenta en Internet o anular un sistema totalmente, Keyloggersistema totalmente, Keylogger

Una vez afectado un sistema, tratan de infectar a otros Una vez afectado un sistema, tratan de infectar a otros y luego de ello atacar el sistema residente.y luego de ello atacar el sistema residente.

Para detenerlos, es necesario algo más que un Para detenerlos, es necesario algo más que un firewall.firewall.

Comportamiento típico de Comportamiento típico de un gusano de aplicacionesun gusano de aplicaciones

Escanea servicios vulnerables: IISEscanea servicios vulnerables: IIS Intenta entrar (Explota la vulnerabilidad).Intenta entrar (Explota la vulnerabilidad). Infecta la máquina con código hostil.Infecta la máquina con código hostil. Ejecuta el código hostil: Ejecuta el código hostil:

borrar, borrar, modificar archivos, modificar archivos, robar información, robar información, colocar troyanos, etccolocar troyanos, etc

Trata de infectar a otros sistemasTrata de infectar a otros sistemas Vuelve al paso 1.Vuelve al paso 1.

Comportamiento típico de un gusano de correoComportamiento típico de un gusano de correo

Se envía un e-mail infectado Se envía un e-mail infectado con un archivo anexado a la con un archivo anexado a la lista de contactos del cliente lista de contactos del cliente de correode correo

El contacto recibe el e-mail y El contacto recibe el e-mail y abre el archivo anexadoabre el archivo anexado

Ejecuta/infecta la máquina Ejecuta/infecta la máquina con código hostilcon código hostil

Trata de propagarse a toda la Trata de propagarse a toda la lista de contactos de la lista de contactos de la máquina infectada.máquina infectada.

Ejecuta el código hostil: Ejecuta el código hostil: borrar, modificar, colocar borrar, modificar, colocar troyanos, etc.troyanos, etc.

Vuelve al paso 1.Vuelve al paso 1.

Vulnerabilidades ExplotadasVulnerabilidades Explotadas

Bugs de las aplicaciones:Bugs de las aplicaciones: IIS: Unicode Traversal BugIIS: Unicode Traversal Bug Apache: Open_SSLApache: Open_SSL Windows: NetBIOS, recursos compartidosWindows: NetBIOS, recursos compartidos Linux/Unix: Remote Shell, RPC, lprndLinux/Unix: Remote Shell, RPC, lprnd

Funcionalidades de las aplicaciones: ejecución Funcionalidades de las aplicaciones: ejecución de código Java, ActiveX en navegadoresde código Java, ActiveX en navegadores

Recursos compartidos (NetBIOS)Recursos compartidos (NetBIOS) El usuarioEl usuario

Slapper_Worm_ApacheSlapper_Worm_Apache II

Slapper Worm Apache.Slapper Worm Apache. Gusano que explota vulnerabilidades en aplicación Gusano que explota vulnerabilidades en aplicación

OPEN_SSL.OPEN_SSL. Crea redes Peer-to-Peer con las estaciones infectadas Crea redes Peer-to-Peer con las estaciones infectadas

que son controladas a través de un servicio instalado que son controladas a través de un servicio instalado por medio de el.por medio de el.

Estaciones controladas remotamente: DoS, ataques Estaciones controladas remotamente: DoS, ataques internos, sniffing, etc.internos, sniffing, etc.

Método de propagación similar a gusanos de Método de propagación similar a gusanos de aplicaciones…. peroaplicaciones…. pero

Slapper_Worm_ApacheSlapper_Worm_Apache IIII

El problema con este gusano es que las El problema con este gusano es que las estaciones, a pesar de haber ser limpiadas, estaciones, a pesar de haber ser limpiadas, siguen recibiendo tráfico de comando del resto siguen recibiendo tráfico de comando del resto de las estaciones infectadas.de las estaciones infectadas.

Las estaciones infectadas mantienen grabadas Las estaciones infectadas mantienen grabadas las IPs de las otras estaciones en la red peer-to-las IPs de las otras estaciones en la red peer-to-peer creada.peer creada.

Se deben desinfectar todas las estaciones para Se deben desinfectar todas las estaciones para eliminar la red peer-to-peer.eliminar la red peer-to-peer.

Spywares Spywares ¿Virus, gusanos o troyanos?¿Virus, gusanos o troyanos?

Programas, scripts, applets de Java, etc; que se Programas, scripts, applets de Java, etc; que se instalan y registran las actividades de los usuarios y la instalan y registran las actividades de los usuarios y la envían a sus creadores.envían a sus creadores.

Colectan información de: tráfico, claves, cuentas, etc. Colectan información de: tráfico, claves, cuentas, etc. (tarjetas de crédito tal vez).(tarjetas de crédito tal vez).

Algunos tienen módulos de keylogger que almacenan Algunos tienen módulos de keylogger que almacenan las teclas que son utilizadas por el usuario y la envían las teclas que son utilizadas por el usuario y la envían a Internet.a Internet.

Protección: Ad Aware, BHO Captor, etc. Protección: Ad Aware, BHO Captor, etc. (¡Gratuitos!)(¡Gratuitos!)

Bichos de hoyBichos de hoy

Los programas actuales son híbridos de distintos Los programas actuales son híbridos de distintos programas hostilesprogramas hostiles

Mezcla de gusanos, troyanos, virusMezcla de gusanos, troyanos, virus Los programas actuales se propagan de manera Los programas actuales se propagan de manera

autómata y sin necesidad de la acción del usuario.autómata y sin necesidad de la acción del usuario. Instalan programas de control remoto, troyanosInstalan programas de control remoto, troyanos Ningún tipo de archivo está libre: PDF, JPGNingún tipo de archivo está libre: PDF, JPG

http://www.usatoday.com/life/cyber/tech/2002/06/13/virus-pictures.htmhttp://www.usatoday.com/life/cyber/tech/2002/06/13/virus-pictures.htm

Son la amenaza más hostil y creciente que existeSon la amenaza más hostil y creciente que existe

Acciones PreventivasAcciones Preventivas II A nivel de usuario:A nivel de usuario:

No leer ni ejecutar archivos de dudosa procedencia (spam, No leer ni ejecutar archivos de dudosa procedencia (spam, etc.) hacer uso del sentido común.etc.) hacer uso del sentido común.

No desactivar el antivirus y mantenerlo actualizado.No desactivar el antivirus y mantenerlo actualizado. No bajar ni ejecutar programas u aplicaciones que no hayan No bajar ni ejecutar programas u aplicaciones que no hayan

sido evaluados previamente por el dpto. de IT.sido evaluados previamente por el dpto. de IT. No visitar páginas de contenido dudoso.No visitar páginas de contenido dudoso. Deshabilitar la capacidad de ejecutar macros en MS Office.Deshabilitar la capacidad de ejecutar macros en MS Office. Aplicar todos los parches a sus sistemas operativos (nunca se Aplicar todos los parches a sus sistemas operativos (nunca se

olvide de tener un backup).olvide de tener un backup). Configurar el correo electrónico para enviar y recibir emails Configurar el correo electrónico para enviar y recibir emails

en modo texto.en modo texto. Nunca aceptar archivos que son enviados a través de News, Nunca aceptar archivos que son enviados a través de News,

IRC, e-mails, etc., cuya razón de envío no es clara, etc.IRC, e-mails, etc., cuya razón de envío no es clara, etc.

Ante la duda, no haga nada.Ante la duda, no haga nada. No ejecutar archivos anexados en correos con nombres No ejecutar archivos anexados en correos con nombres

sugestivos: Anna Kournikova, Jennifer López. Recuerde sugestivos: Anna Kournikova, Jennifer López. Recuerde la Ingeniería Social.la Ingeniería Social.

En Windows, activar la opción de visualización de En Windows, activar la opción de visualización de extensión de archivos en el Explorador.extensión de archivos en el Explorador.

Si detecta algo extraño en su estación y no sabe que hacer, Si detecta algo extraño en su estación y no sabe que hacer, desconéctela de la red, no la toque y llame al desconéctela de la red, no la toque y llame al departamento de sistemas.departamento de sistemas.

Utilice firmas digitales para autenticar el origen de Utilice firmas digitales para autenticar el origen de correos.correos.

Nunca propague HOAXes, ya es suficiente con el tráfico Nunca propague HOAXes, ya es suficiente con el tráfico de los virus, gusanos, spam, etcde los virus, gusanos, spam, etc. . ¡NO SEA UN VIRUS!.¡NO SEA UN VIRUS!.

Acciones PreventivasAcciones Preventivas IIII

Desabilitar Macros Desabilitar Macros OfficeOffice

• Ir a ToolsIr a Tools

• Luego MacrosLuego Macros

• Finalmente Security…Finalmente Security…

•Y seleccionar HighY seleccionar High

Acciones PreventivasAcciones Preventivas IIIIII

Visualizar extenciones de archivos

La mayoría de virus, gusanos y troyanos vienen con doble extensión:

AnnaKournikova.jpg.exe

Acciones PreventivasAcciones Preventivas IVIV

A nivel de ServidorA nivel de Servidor:: Correos: Filtrar archivos con extensiones peligrosas: Correos: Filtrar archivos con extensiones peligrosas:

doc, xls, vbs, exe, pif, cpl, ppt, bat, html, htm, mp3, doc, xls, vbs, exe, pif, cpl, ppt, bat, html, htm, mp3, sys, com, shs, ccs, cmd, etc.sys, com, shs, ccs, cmd, etc.

Correos: Deshabilitar la opción de Relay para evitar Correos: Deshabilitar la opción de Relay para evitar ser el transmisor de virus.ser el transmisor de virus.

Aplicar parches, ejecutar check-lists, etc.Aplicar parches, ejecutar check-lists, etc. Mantener un registro de las comunicaciones que Mantener un registro de las comunicaciones que

inician los usuarios con otros y que involucran envío inician los usuarios con otros y que involucran envío

de archivosde archivos..

Acciones PreventivasAcciones Preventivas VV

Acciones DetectivescasAcciones Detectivescas

Network IDS Misuse DetectionNetwork IDS Misuse Detection alert tcp any 110 -> any any (msg:"Virus - Possible MyRomeo alert tcp any 110 -> any any (msg:"Virus - Possible MyRomeo

Worm"; content: "I Love You"; sid:726; classtype:misc-activity; Worm"; content: "I Love You"; sid:726; classtype:misc-activity; rev:3;)rev:3;)

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-IIS CodeRed v2 root.exe access"; flags: 80 (msg:"WEB-IIS CodeRed v2 root.exe access"; flags: A+; uricontent:"scripts/root.exe?"; nocase; A+; uricontent:"scripts/root.exe?"; nocase; classtype:web-application-attack; classtype:web-application-attack;

alert tcp any 110 -> any any (msg:"Virus - SnowWhite Trojan alert tcp any 110 -> any any (msg:"Virus - SnowWhite Trojan Incoming"; content:"Suddlently"; sid:720; classtype:misc-Incoming"; content:"Suddlently"; sid:720; classtype:misc-activity; rev:3;)activity; rev:3;)

Virus Detectados con SNORTVirus Detectados con SNORT

Nov 6 11:03:01 192.168.1.1:40202 -> 128.1.1.78:80 SYN ******S* Nov 6 11:03:01 192.168.1.1:40202 -> 128.1.1.78:80 SYN ******S* Nov 6 11:03:04 192.168.1.1:40203 -> 128.1.1.79:80 SYN ******S* Nov 6 11:03:04 192.168.1.1:40203 -> 128.1.1.79:80 SYN ******S* Nov 6 11:03:01 192.168.1.1:40204 -> 128.1.1.80:80 SYN ******S* Nov 6 11:03:01 192.168.1.1:40204 -> 128.1.1.80:80 SYN ******S* Nov 6 11:03:01 192.168.1.1:40205 -> 128.1.1.81:80 SYN ******S* Nov 6 11:03:01 192.168.1.1:40205 -> 128.1.1.81:80 SYN ******S* Nov 6 11:03:04 192.168.1.1:40206 -> 128.1.1.82:80 SYN ******S* Nov 6 11:03:04 192.168.1.1:40206 -> 128.1.1.82:80 SYN ******S* Nov 6 11:03:04 192.168.1.1:40207 -> 128.1.1.83:80 SYN ******S* Nov 6 11:03:04 192.168.1.1:40207 -> 128.1.1.83:80 SYN ******S* Nov 6 11:03:01 192.168.1.1:40208 -> 128.1.1.84:80 SYN ******S* Nov 6 11:03:01 192.168.1.1:40208 -> 128.1.1.84:80 SYN ******S* Nov 6 11:03:04 192.168.1.1:40209 -> 128.1.1.85:80 SYN ******S* Nov 6 11:03:04 192.168.1.1:40209 -> 128.1.1.85:80 SYN ******S* Nov 6 11:03:01 192.168.1.1:40211 -> 128.1.1.87:80 SYN ******S* Nov 6 11:03:01 192.168.1.1:40211 -> 128.1.1.87:80 SYN ******S*

[**] WEB-IIS CodeRed v2 root.exe access [**][**] WEB-IIS CodeRed v2 root.exe access [**]11/06-10:46:19.052795 192.168.1.1:2932 -> 128.1.1.79:8011/06-10:46:19.052795 192.168.1.1:2932 -> 128.1.1.79:80TCP TTL:107 TOS:0x0 ID:22513 IpLen:20 DgmLen:112 DFTCP TTL:107 TOS:0x0 ID:22513 IpLen:20 DgmLen:112 DF***AP*** Seq: 0xE67E6F67 Ack: 0xF5D6EDC Win: 0x25BC TcpLen: 20***AP*** Seq: 0xE67E6F67 Ack: 0xF5D6EDC Win: 0x25BC TcpLen: 2047 45 54 20 2F 73 63 72 69 70 74 73 2F 72 6F 6F GET /scripts/roo47 45 54 20 2F 73 63 72 69 70 74 73 2F 72 6F 6F GET /scripts/roo74 2E 65 78 65 3F 2F 63 2B 64 69 72 20 48 54 54 t.exe?/c+dir HTT74 2E 65 78 65 3F 2F 63 2B 64 69 72 20 48 54 54 t.exe?/c+dir HTT50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 P/1.0..Host: www50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 P/1.0..Host: www0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 ..Connnection: c0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 ..Connnection: c6C 6F 73 65 0D 0A 0D 0A lose....6C 6F 73 65 0D 0A 0D 0A lose....

Acciones CorrectivasAcciones Correctivas

Aislar la computadora Aislar la computadora afectada.afectada.

Efectuar la limpieza desde un Efectuar la limpieza desde un disco con el antivirus.disco con el antivirus.

Eliminar archivos Eliminar archivos sospechosossospechosos

Efectuar la limpieza a nivel Efectuar la limpieza a nivel de registro (Windows)de registro (Windows)

Aplicar los parches que sean Aplicar los parches que sean necesariosnecesarios

Instalar antivirus con firmas Instalar antivirus con firmas actualizadasactualizadas

Reinstalar el sistema Reinstalar el sistema operativo de ser necesario.operativo de ser necesario.

!No entrar en pánico!!No entrar en pánico!

SpywareSpyware y y AdwareAdware SpywareSpyware::

Programas que se instalan habitualmente sin Programas que se instalan habitualmente sin advertir al usuario, monitorean la actividad del advertir al usuario, monitorean la actividad del usuario (“usuario (“Big brotherBig brother”) y envían la información ”) y envían la información a sus creadores.a sus creadores.

AdwareAdware:: Se instalan en forma similar al Se instalan en forma similar al SpywareSpyware..

Permiten visualizar anuncios publicitarios y Permiten visualizar anuncios publicitarios y obtienen datos del usuario.obtienen datos del usuario. **

ConclusionesConclusiones

Sea precavido, usted es la primera línea de defensa.Sea precavido, usted es la primera línea de defensa. Nunca deshabilite el antivirus y manténgalo Nunca deshabilite el antivirus y manténgalo

actualizadoactualizado Aplique los parches a sus sistemas previa copia de Aplique los parches a sus sistemas previa copia de

resguardo de los mismos.resguardo de los mismos. No instale aplicaciones ni ejecute archivos de dudosa No instale aplicaciones ni ejecute archivos de dudosa

procedencia.procedencia. No envíe información de la cual no tenga certeza, No envíe información de la cual no tenga certeza,

evite ser un virus!.evite ser un virus!.

tema: virus

Technology