330 likes | 425 Views
Seminario Redes, Internet y Tecnologías de la Información. Virus Informáticos y Hack en Internet. Virus informáticos.
E N D
SeminarioRedes, Internet y Tecnologías de la Información Virus Informáticos y Hack en Internet
Virus informáticos • Existe cierta controversia sobre la definición de virus informático. Quizás la más aceptada pertenece a Fred B. Cohen, quien en 1984 escribió su tesis doctoral acerca de los virus, definiéndolos como «un programa de ordenador que puede infectar otros programas modificándolos para incluir una copia de sí mismo». • Los virus informáticos tienen básicamente la función de propagarse, replicándose, pero algunos contienen además una carga dañina (payload) con distintos objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil. • El funcionamiento de un virus informático es conceptualmente simple: ejecutando un programa infectado (normalmente por desconocimiento del usuario) el código del virus queda almacenado (residente) en la memoria RAM del ordenador, aun cuando el programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los servicios básicos del sistema operativo, infectando los posteriores ficheros ejecutables que sean abiertos o ejecutados, añadiendo su propio código al del programa infectado y grabándolo en disco, con lo cual el proceso de replicado se completa.
Concepto de Virus Informático • Son los programas creados por especialistas de computación con la finalidad premeditada de alterar el funcionamiento normal del computador,, presentan las siguientes características:· Se reproducen a sí mismos.· Se insertan o afectan los programas ejecutables.· Se cargan a la memoria del computador pudiendo reproducirse y copiarse en diskettes y/o software instalado en el disco duro (infección)· Pueden alterar, destruir o borrar la información contenida en las computadoras.
Tipos de virus Tipos de virus Los virus informáticos se pueden clasificar siguiendo criterios muy diversos. • Residentes • De acción directa • De sobreescritura • De boot • De macro • De enlace o directorio • Encriptados • Polimórficos • Multipartites • De fichero • De compañía • De FAT • Gusanos • Troyanos • Bombas lógicas • Virus falsos
Clasificación • Los virus se pueden clasificar en función de múltiples características y criterios: según su origen, las técnicas que utilizan para infectar, los tipos de ficheros que infectan, los lugares donde se esconden, los daños que causan, el sistema operativo o la plataforma tecnológica que atacan, etc. • Todas estas clasificaciones tienen muchos puntos en común, por lo que un mismo virus puede pertenecer a varias categorías al mismo tiempo. • Por otro lado, continuamente surgen nuevos virus que por su reciente aparición o por sus peculiares características no pueden ser incluidos inicialmente en ninguna categoría, aunque esto no es lo habitual.
Virus residentes • La característica principal de estos virus es que se ocultan en la memoria RAM de forma permanente o residente. De este modo, pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo, infectando todos aquellos ficheros y/o programas que sean ejecutados, abiertos, cerrados, renombrados, copiados, etc. • Estos virus sólo atacan cuando se cumplen ciertas condiciones definidas previamente por su creador (por ejemplo, una fecha y hora determinada). Mientras tanto, permanecen ocultos en una zona de la memoria principal, ocupando un espacio de la misma, hasta que son detectados y eliminados. • Algunos ejemplos de este tipo de virus son: Randex, CMJ, Meve, MrKlunky.
Virus de acción directa • Al contrario que los residentes, estos virus no permanecen en memoria. Por tanto, su objetivo prioritario es reproducirse y actuar en el mismo momento de ser ejecutados. Al cumplirse una determinada condición, se activan y buscan los ficheros ubicados dentro de su mismo directorio para contagiarlos. • Además, también realizan sus acciones en los directorios especificados dentro de la línea PATH (camino o ruta de directorios), dentro del fichero AUTOEXEC.BAT (fichero que siempre se encuentra en el directorio raíz del disco duro). • Los virus de acción directa presentan la ventaja de que los ficheros afectados por ellos pueden ser desinfectados y restaurados completamente.
Virus de sobreescritura • Virus de sobreescritura • Estos virus se caracterizan por destruir la información contenida en los ficheros que infectan. Cuando infectan un fichero, escriben dentro de su contenido, haciendo que queden total o parcialmente inservibles. • También se diferencian porque los ficheros infectados no aumentan de tamaño, a no ser que el virus ocupe más espacio que el propio fichero (esto se debe a que se colocan encima del fichero infectado, en vez de ocultarse dentro del mismo). • La única forma de limpiar un fichero infectado por un virus de sobreescritura es borrarlo, perdiéndose su contenido. • Algunos ejemplos de este tipo de virus son: Way, Trj.Reboot, Trivial.88.D.
Virus de boot o de arranque • Virus de boot o de arranque • Los términos boot o sector de arranque hacen referencia a una sección muy importante de un disco (tanto un disquete como un disco duro respectivamente). En ella se guarda la información esencial sobre las características del disco y se encuentra un programa que permite arrancar el ordenador. • Este tipo de virus no infecta ficheros, sino los discos que los contienen. Actúan infectando en primer lugar el sector de arranque de los disquetes. Cuando un ordenador se pone en marcha con un disquete infectado, el virus de boot infectará a su vez el disco duro. • Los virus de boot no pueden afectar al ordenador mientras no se intente poner en marcha a éste último con un disco infectado. Por tanto, el mejor modo de defenderse contra ellos es proteger los disquetes contra escritura y no arrancar nunca el ordenador con un disquete desconocido en la disquetera. • Algunos ejemplos de este tipo de virus son: Polyboot.B, AntiEXE.
Virus de macro • El objetivo de estos virus es la infección de los ficheros creados usando determinadas aplicaciones que contengan macros: documentos de Word (ficheros con extensión DOC), hojas de cálculo de Excel (ficheros con extensión XLS), bases de datos de Access (ficheros con extensión MDB), presentaciones de PowerPoint (ficheros con extensión PPS), ficheros de Corel Draw, etc. • Las macros son micro-programas asociados a un fichero, que sirven para automatizar complejos conjuntos de operaciones. Al ser programas, las macros pueden ser infectadas. • Cuando se abre un fichero que contenga un virus de este tipo, las macros se cargarán de forma automática, produciéndose la infección. La mayoría de las aplicaciones que utilizan macros cuentan con una protección antivirus y de seguridad específica, pero muchos virus de macro sortean fácilmente dicha protección. • Existe un tipo diferente de virus de macro según la herramienta usada: de Word, de Excel, de Access, de PowerPoint, multiprograma o de archivos RTF. Sin embargo, no todos los programas o herramientas con macros pueden ser afectadas por estos virus. • Estos son algunos ejemplos: Relax, Melissa.A, Bablas, O97M/Y2K0.
Virus de enlace o directorio • Los ficheros se ubican en determinadas direcciones (compuestas básicamente por unidad de disco y directorio), que el sistema operativo conoce para poder localizarlos y trabajar con ellos. • Los virus de enlace o directorio alteran las direcciones que indican donde se almacenan los ficheros. De este modo, al intentar ejecutar un programa (fichero con extensión EXE o COM) infectado por un virus de enlace, lo que se hace en realidad es ejecutar el virus, ya que éste habrá modificado la dirección donde se encontraba originalmente el programa, colocándose en su lugar. • Una vez producida la infección, resulta imposible localizar y trabajar con los ficheros originales
Virus encriptados • Más que un tipo de virus, se trata de una técnica utilizada por algunos de ellos, que a su vez pueden pertenecer a otras clasificaciones. • Estos virus se cifran o encriptan a sí mismos para no ser detectados por los programas antivirus. Para realizar sus actividades, el virus se descifra a sí mismo y, cuando ha finalizado, se vuelve a cifrar. • Estos son algunos ejemplos de este tipo de virus: Elvira, Trile.
Virus polimórficos • Son virus que en cada infección que realizan se cifran o encriptan de una forma distinta (utilizando diferentes algoritmos y claves de cifrado). • De esta forma, generan una elevada cantidad de copias de sí mismos e impiden que los antivirus los localicen a través de la búsqueda de cadenas o firmas, por lo que suelen ser los virus más costosos de detectar. • Algunos ejemplos de este tipo de virus son: Elkern, Marburg, Satan Bug, Tuareg.
Virus multipartites • Virus muy avanzados, que pueden realizar múltiples infecciones, combinando diferentes técnicas para ello. Su objetivo es cualquier elemento que pueda ser infectado: archivos, programas, macros, discos, etc. • Se consideran muy peligrosos por su capacidad de combinar muchas técnicas de infección y por los dañinos efectos de sus acciones. • Algunos ejemplos de estos virus son: Ywinz.
Virus de compañía • Son virus de fichero que al mismo tiempo pueden ser residentes o de acción directa. Su nombre deriva de que "acompañan" a otros ficheros existentes en el sistema antes de su llegada, sin modificarlos como hacen los virus de sobreescritura o los residentes. • Para efectuar las infecciones, los virus de compañía pueden esperar ocultos en la memoria hasta que se lleve a cabo la ejecución de algún programa, o actuar directamente haciendo copias de sí mismos. • Algunos ejemplos de este tipo de virus son: Stator, Asimov .1539, Terrax.1069.
Gusanos – Worms (W32/) • Gusanos (Worms) • De un modo estricto, los gusanos no se consideran virus porque no necesitan infectar otros ficheros para reproducirse. A efectos prácticos, son tratados como virus y son detectados y eliminados por los antivirus. • Básicamente, los gusanos se limitan a realizar copias de sí mismos a la máxima velocidad posible, sin tocar ni dañar ningún otro fichero. Sin embargo, se reproducen a tal velocidad que pueden colapsar por saturación las redes en las que se infiltran. • Las infecciones producidas por estos virus casi siempre se realizan a través del correo electrónico, las redes informáticas y los canales de Chat (tipo IRC o ICQ) de Internet. También pueden propagrase dentro de la memoria del ordenador. • Estos son algunos ejemplos de gusanos: PSWBugbear.B, Lovgate.F, Trile.C, Sobig.D, Mapson.
Troyanos o caballos de Troya (trjn/) • Técnicamente, los Troyanos tampoco se consideran virus, ya que no se reproducen infectando otros ficheros. Tampoco se propagan haciendo copias de sí mismo como hacen los gusanos. A efectos prácticos, son tratados como virus y son detectados y eliminados por los antivirus. • El objetivo básico de estos virus es la introducción e instalación de otros programas en el ordenador, para permitir su control remoto desde otros equipos. • Su nombre deriva del parecido en su forma de actuar con los astutos griegos de la mitología: llegan al ordenador como un programa aparentemente inofensivo. Sin embargo, al ejecutarlo instalará en nuestro ordenador un segundo programa, el troyano. • Los efectos de los Troyanos pueden ser muy peligrosos. Al igual que los virus, tienen la capacidad de eliminar ficheros o destruir la información del disco duro. Pero además pueden capturar y reenviar datos confidenciales a una dirección externa o abrir puertos de comunicaciones, permitiendo que un posible intruso controle nuestro ordenador de forma remota. • Estos son algunos ejemplos de Troyanos: IRC.Sx2, Trifor.
Otros tipos de virus o engaños • Bombas lógicas • Tampoco se consideran estrictamente virus, ya que no se reproducen. Ni siquiera son programas independientes, sino un segmento camuflado dentro de otro programa. • Tienen por objetivo destruir los datos de un ordenador o causar otros daños de consideración en él cuando se cumplen ciertas condiciones. Mientras este hecho no ocurre, nadie se percata de la presencia de la bomba lógica. Su acción puede llegar a ser tremendamente destructiva • Virus falsos • Al margen de las divisiones anteriores, existen ciertos tipos de mensajes o programas que en ciertos casos son confundidos con virus, pero que no son virus en ningún sentido. • El principal componente de este grupo son los hoaxes o bulos. Los hoaxes no son virus, sino mensajes de correo electrónico engañosos, que se difunden masivamente por Internet sembrando la alarma sobre supuestas infecciones víricas y amenazas contra los usuarios. • Los hoaxes tratan de ganarse la confianza de los usuarios aportando datos que parecen ciertos y proponiendo una serie de acciones a realizar para librarse de la supuesta infección. • Si se recibe un hoax, no hay que hacer caso de sus advertencias e instrucciones: lo más aconsejable es borrarlo sin prestarle la más mínima atención y no reenviarlo a otras personas.
Nuevos Riesgos en Internet • Entre varios de los nuevos riesgos que encontramos en la actualidad en Internet se encuentran los siguientes: • El Spyware • El malware • Dialers • Ransonware • backdoors • El Spam • El Phishing • Los cookies • El Adware
Spyware • Los programas espía, también conocidos como spyware, son aplicaciones informáticas que recopilan información personal del usuario sin su consentimiento, como por ejemplo software presente en el ordenador, hábitos de uso de Internet, páginas visitadas, etc. Posteriormente, transmiten esta información a terceros, tales como empresas de publicidad u otras compañías interesadas en dichos datos, con la consiguiente violación de la privacidad. • Los programas espía llegan al ordenador a través de distintas vías: mediante un troyano, que los instala sin consentimiento del usuario; cuando se visita una página Web que incluye determinados controles ActiveX o código que explota una determinada vulnerabilidad. • Generalmente, el spyware se instala en el ordenador sin conocimiento del usuario, o aportando información confusa que no advierte claramente de las acciones que realizará, de forma que el usuario no es consciente de qué términos acepta. • Además de las acciones descritas, el spyware tiene una serie de efectos colaterales: consume recursos del sistema, ralentiza el funcionamiento del ordenador, causa fallos en el sistema, etc.
Ransonware El Ransonware es una de las mas modernas técnicas de delito informático, consiste en el rapto o captura de datos confidenciales para luego pedir un rescate por ellos usando plataforma de Internet. El usuario navega por una pagina Web insegura que contiene troyanos que descargan Ransonware camuflados en aplicaciones aparentemente beneficiosas o útiles al usuario, cuando se pulsa en un enlace a una de estas supuestas aplicaciones, se descarga un programa (Ransonware) que tiene como objetivo de comprimir todo el contenido de la carpeta “mis documentos” y luego de esto crea una segunda carpeta donde encierra toda la carpeta anteriormente comprimida para protegerla bajo contraseña, una vez conseguido esto el usuario recibe una nota de restace, donde se le solicita dinero o comprar en una tienda en linea a cambio de la contraseña, es decir es un programa que se encarga de secuestrar datos confidenciales de las Pcs a las cuales se introduce para luego pedir rescate por ellos. Se calcula que el indice de ataques producidos por este tipo de fuentes aun es bastante poco, pero según se va analizando su efectividad quizas la tasa vaya en aumento por el desconocimiento de su tecnica y metodos de infeccion.
Adware Originalmente, el adware es un modo de licencia de programas, en la cual se ofrece una aplicación de forma gratuita o más barata, con el único coste de visualizar una serie de mensajes publicitarios durante su uso. El usuario tiene la posibilidad de adquirir una versión registrada de dicha aplicación, en la que no están incluidos los anuncios. • Sin embargo, con el paso del tiempo, este concepto de adware ha evolucionado. • Actualmente, los programas adware son los que muestran publicidad en ventanas emergentes, o a través de banners, sin que el usuario los haya instalado ni pertenezcan a una aplicación útil. • Algunos adware recogen información personal del usuario, como por ejemplo páginas visitadas, tiempo de estancia en las mismas, enlaces en los que se pulsa, etc., y la envían a terceros, sin conocimiento ni consentimiento del usuario.
Cookie Las cookies son pequeños archivos de texto que el navegador almacena en el ordenador del usuario, cuando se visitan páginas Web. • Las cookies almacenan información que se utiliza con varios fines: • Para personalizar la página Web y su navegación para cada usuario. • Para recoger información demográfica sobre cuántos usuarios visitan la página y su tiempo de estancia en ella. • Para realizar un seguimiento de qué banners se muestran al usuario, y durante cuánto tiempo. • Estos usos no tienen un carácter malicioso, al menos en principio. Sin embargo, es necesario tener en cuenta que toda información personal que se introduzca en una página Web se puede almacenar en una cookie, incluyendo el número de la tarjeta de crédito. • Además, las cookies también se pueden utilizar para formar un perfil del usuario, con información que éste no controla, y que después puede ser enviada a terceros, con la consiguiente amenaza para la privacidad.
¿Cómo se si tengo un programa espía y como me protejo contra ellos? Es difícil adivinar a simple vista si un ordenador está siendo víctima de alguna de estas amenazas. La certeza sólo se consigue usando un buen paquete integrado de seguridad correctamente actualizado. • Sin embargo, hay ciertos síntomas que delatan la posible presencia de programas espía o adware (aunque también pueden deberse a otros problemas ajenos a los mismos): • La aparición, sin motivo aparente, de ventanas emergentes, banners publicitarios o nuevas barras de herramientas en el navegador que el usuario no ha añadido. • El cambio repentino en la página de inicio del navegador de Internet. • El bloqueo inesperado del navegador de Internet. • La lentitud no habitual con la que repentinamente funciona un ordenador, sin ninguna causa aparente, puede deberse a varios motivos: muchos programas trabajando al mismo tiempo o problemas de red, pero también a un programa espía o adware. • El ordenador se bloquea (se queda colgado) en momentos de carga excesiva, pero también puede bloquearse por el malfuncionamiento de una programa espía o adware. Esto es especialmente claro cuando se están realizando operaciones sencillas que no suponen demasiado trabajo para el ordenador.
Para mantenerse protegido frente a los programas espía, adware y dialers, tenga en cuenta los siguientes consejos: • Aumente el nivel de seguridad de su navegador para no permitir la ejecución automática de scripts y de código ActiveX. • Tenga especial cuidado con los programas que descarga desde Internet: • Mantenga las aplicaciones instaladas en su ordenador siempre actualizadas, instalando los parches de seguridad desarrollados al efecto por sus fabricantes. • Instale una buena solución antimalware en su ordenador que detecte no sólo virus, sino también otras amenazas como programas espía, adware o dialers. • Mantenga su solución antimalware actualizada. Si su solución admite las actualizaciones automáticas, configúrelas para que funcionen siempre así. • Tenga activada la protección permanente de su programa antimalware en todo momento.
Spam • El spam es el correo electrónico no solicitado, normalmente con contenido publicitario, que se envía de forma masiva. • Un SPAM es cualquier mensaje, destinado a una audiencia en general (o sea, un comunicado de masas) que se envía a la gente por e-mail sin que lo soliciten. Es el equivalente de los anuncios impresos que le llegan a uno a la casa. Generalmente el SPAM se trabaja con listas de direcciones "robadas" (o sea, de direcciones que sacan de la gente que envía mensajes por USENET u otras áreas publicas de discusión), por lo cual representa una violación de la privacidad del usuario
Algunas de las características más comunes que presentan este tipo de mensajes de correo electrónico son: • La dirección que aparece como remitente del mensaje no resulta conocida para el usuario, y es habitual que esté falseada. • El mensaje no suele tener dirección Reply. • Presentan un asunto llamativo. • El contenido es publicitario: anuncios de sitios Web, fórmulas para ganar dinero fácilmente, productos milagro, ofertas inmobiliarias, o simplemente listados de productos en venta en promoción. • La mayor parte del spam está escrito en inglés y se origina en Estados Unidos o Asia, pero empieza a ser común el spam en español. • El spam es un fenómeno que va en aumento día a día, y representa un elevado porcentaje del tráfico de correo electrónico total. • Además, a medida que surgen nuevas soluciones y tecnologías más efectivas para luchar contra el spam, los spammers (usuarios maliciosos que se dedican profesionalmente a enviar spam) se vuelven a su vez más sofisticados, y modifican sus técnicas con objeto de evitar las contramedidas desplegadas por los usuarios.
Phishing • El phishing consiste en el envío de correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello, suelen incluir un enlace que, al ser pulsado, lleva a páginas Web falsificadas. De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que, en realidad, va a parar a manos del estafador. • Existe un amplio abanico de software y aplicaciones de toda índole que quedan clasificados dentro de la categoría de robo de información personal o financiera, algunas de ellas realmente complejas, como el uso de una ventana Javascript flotante sobre la barra de direcciones del navegador con el fin de confundir al usuario. A nivel de la plataforma de Internet se utiliza este mismo método para capturar datos confidenciales a nivel de correo electrónico, como claves de acceso para luego ser vendidas en la Web al mejor postor o ser utilizados a beneficio del intruso capturador de dichos datos, también es conocido que existen personas que venden sus servicios a cambio de realizar trabajos con Phishing.
Algunas de las características más comunes que presentan este tipo de mensajes de correo electrónico son: • Uso de nombres de compañías ya existentes. • Utilizar el nombre de un empleado real de una empresa como remitente del correo falso • Direcciones Web con la apariencia correcta. • Factor miedo.
Cómo puedo reconocer un mensaje de phishing? • Distinguir un mensaje de phishing de otro legítimo puede no resultar fácil para un usuario que haya recibido un correo de tales características, especialmente cuando es efectivamente cliente de la entidad financiera de la que supuestamente proviene el mensaje. • El campo De: del mensaje muestra una dirección de la compañía en cuestión. No obstante, es sencillo para el estafador modificar la dirección de origen que se muestra en cualquier cliente de correo. • El mensaje de correo electrónico presenta logotipos o imágenes que han sido recogidas del sitio Web real al que el mensaje fraudulento hace referencia. • El enlace que se muestra parece apuntar al sitio Web original de la compañía, pero en realidad lleva a una página Web fraudulenta, en la que se solicitarán datos de usuarios, contraseñas, etc. • Normalmente estos mensajes de correo electrónico presentan errores gramaticales o palabras cambiadas, que no son usuales en las comunicaciones de la entidad por la que se están intentando hacer pasar.
En este ejemplo, el propio correo incluye un formulario en lugar de ofrecer un enlace a una página falsa. Si el usuario introduce sus datos y envía el formulario, estos son finalmente recogidos en un servidor ubicado en Taiwán.
¿Cómo puedo protegerme del phishing? • Verifique la fuente de la información. No conteste automáticamente a ningún correo que solicite información personal o financiera. • Escriba usted mismo la dirección en su navegador de Internet. En lugar de hacer clic en el hipervínculo proporcionado en el correo electrónico, escriba la dirección web (URL) directamente en el navegador o utilice un marcador que haya creado con anterioridad. • Refuerce su seguridad. • Compruebe que la página Web en la que ha entrado es una dirección segura : ha de empezar con https:// y un pequeño candado cerrado debe aparecer en la barra de estado de nuestro navegador. • Haga doble clic sobre dicho candado para tener acceso al certificado digital que confirma que la Web se corresponde con la que está visitando. • Revise periódicamente sus cuentas. Los extractos mensuales son especialmente útiles para detectar transferencias o transacciones irregulares, tanto operaciones que no haya realizado y se vean reflejadas en el extracto, como operaciones realizadas online y que no aparezcan en el extracto.
SeminarioRedes, Internet y Tecnologías de la Información gracias