CORECI 2006 Tecnological American Center by 917mMF

VIEWS: 12 PAGES: 33

									           CORECI 2006
Tecnological American Center




Virus Informáticos y Hack en Internet
Virus informáticos
Existe cierta controversia sobre la definición de virus informático. Quizás la más
aceptada pertenece a Fred B. Cohen, quien en 1984 escribió su tesis doctoral acerca
de los virus, definiéndolos como «un programa de ordenador que puede infectar otros
programas modificándolos para incluir una copia de sí mismo».
Los virus informáticos tienen básicamente la función de propagarse, replicándose, pero
algunos contienen además una carga dañina (payload) con distintos objetivos, desde
una simple broma hasta realizar daños importantes en los sistemas, o bloquear las
redes informáticas generando tráfico inútil.
El funcionamiento de un virus informático es conceptualmente simple: ejecutando un
programa infectado (normalmente por desconocimiento del usuario) el código del virus
queda almacenado (residente) en la memoria RAM del ordenador, aun cuando el
programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el
control de los servicios básicos del sistema operativo, infectando los posteriores
ficheros ejecutables que sean abiertos o ejecutados, añadiendo su propio código al del
programa infectado y grabándolo en disco, con lo cual el proceso de replicado se
completa.
Concepto de Virus Informático
 Son los programas creados por especialistas de computación con la
 finalidad premeditada de alterar el funcionamiento normal del
 computador,, presentan las siguientes características:
 · Se reproducen a sí mismos.
 · Se insertan o afectan los programas ejecutables.
 · Se cargan a la memoria del computador pudiendo reproducirse y
 copiarse en diskettes y/o software instalado en el disco duro
 (infección)
 · Pueden alterar, destruir o borrar la información contenida en las
 computadoras.
Tipos de virus
Tipos de virus
Los virus informáticos se pueden clasificar siguiendo criterios muy diversos.

1.    Residentes
2.    De acción directa
3.    De sobreescritura
4.    De boot
5.    De macro
6.    De enlace o directorio
7.    Encriptados
8.    Polimórficos
9.    Multipartites
10.   De fichero
11.   De compañía
12.   De FAT
13.   Gusanos
14.   Troyanos
15.   Bombas lógicas
16.   Virus falsos
Clasificación
Los virus se pueden clasificar en función de múltiples
características y criterios: según su origen, las técnicas que
utilizan para infectar, los tipos de ficheros que infectan, los lugares
donde se esconden, los daños que causan, el sistema operativo
o la plataforma tecnológica que atacan, etc.
Todas estas clasificaciones tienen muchos puntos en común, por
lo que un mismo virus puede pertenecer a varias categorías al
mismo tiempo.
Por otro lado, continuamente surgen nuevos virus que por su
reciente aparición o por sus peculiares características no pueden
ser incluidos inicialmente en ninguna categoría, aunque esto no es
lo habitual.
Virus residentes

 La característica principal de estos virus es que se ocultan en la memoria
 RAM de forma permanente o residente. De este modo, pueden controlar e
 interceptar todas las operaciones llevadas a cabo por el sistema operativo,
 infectando todos aquellos ficheros y/o programas que sean ejecutados,
 abiertos, cerrados, renombrados, copiados, etc.
 Estos virus sólo atacan cuando se cumplen ciertas condiciones definidas
 previamente por su creador (por ejemplo, una fecha y hora determinada).
 Mientras tanto, permanecen ocultos en una zona de la memoria principal,
 ocupando un espacio de la misma, hasta que son detectados y eliminados.
 Algunos ejemplos de este tipo de virus son: Randex, CMJ, Meve,
 MrKlunky.
Virus de acción directa
 Al contrario que los residentes, estos virus no permanecen en
 memoria. Por tanto, su objetivo prioritario es reproducirse y actuar
 en el mismo momento de ser ejecutados. Al cumplirse una
 determinada condición, se activan y buscan los ficheros ubicados
 dentro de su mismo directorio para contagiarlos.
 Además, también realizan sus acciones en los directorios
 especificados dentro de la línea PATH (camino o ruta de directorios),
 dentro del fichero AUTOEXEC.BAT (fichero que siempre se encuentra
 en el directorio raíz del disco duro).
 Los virus de acción directa presentan la ventaja de que los ficheros
 afectados por ellos pueden ser desinfectados y restaurados
 completamente.
Virus de sobreescritura
  Virus de sobreescritura
  Estos virus se caracterizan por destruir la información contenida
  en los ficheros que infectan. Cuando infectan un fichero, escriben
  dentro de su contenido, haciendo que queden total o parcialmente
  inservibles.
  También se diferencian porque los ficheros infectados no aumentan
  de tamaño, a no ser que el virus ocupe más espacio que el propio
  fichero (esto se debe a que se colocan encima del fichero infectado,
  en vez de ocultarse dentro del mismo).
  La única forma de limpiar un fichero infectado por un virus de
  sobreescritura es borrarlo, perdiéndose su contenido.
  Algunos ejemplos de este tipo de virus son: Way, Trj.Reboot,
  Trivial.88.D.
Virus de boot o de arranque
 Virus de boot o de arranque
 Los términos boot o sector de arranque hacen referencia a una sección muy
 importante de un disco (tanto un disquete como un disco duro
 respectivamente). En ella se guarda la información esencial sobre las
 características del disco y se encuentra un programa que permite arrancar el
 ordenador.
 Este tipo de virus no infecta ficheros, sino los discos que los contienen.
 Actúan infectando en primer lugar el sector de arranque de los disquetes.
 Cuando un ordenador se pone en marcha con un disquete infectado, el virus de
 boot infectará a su vez el disco duro.
 Los virus de boot no pueden afectar al ordenador mientras no se intente poner
 en marcha a éste último con un disco infectado. Por tanto, el mejor modo de
 defenderse contra ellos es proteger los disquetes contra escritura y no arrancar
 nunca el ordenador con un disquete desconocido en la disquetera.
 Algunos ejemplos de este tipo de virus son: Polyboot.B, AntiEXE.
Virus de macro
El objetivo de estos virus es la infección de los ficheros creados usando
determinadas aplicaciones que contengan macros: documentos de Word (ficheros
con extensión DOC), hojas de cálculo de Excel (ficheros con extensión XLS), bases
de datos de Access (ficheros con extensión MDB), presentaciones de PowerPoint
(ficheros con extensión PPS), ficheros de Corel Draw, etc.
Las macros son micro-programas asociados a un fichero, que sirven para automatizar
complejos conjuntos de operaciones. Al ser programas, las macros pueden ser
infectadas.
Cuando se abre un fichero que contenga un virus de este tipo, las macros se cargarán
de forma automática, produciéndose la infección. La mayoría de las aplicaciones que
utilizan macros cuentan con una protección antivirus y de seguridad específica, pero
muchos virus de macro sortean fácilmente dicha protección.
Existe un tipo diferente de virus de macro según la herramienta usada: de Word,
de Excel, de Access, de PowerPoint, multiprograma o de archivos RTF. Sin embargo,
no todos los programas o herramientas con macros pueden ser afectadas por estos
virus.
Estos son algunos ejemplos: Relax, Melissa.A, Bablas, O97M/Y2K0.
Virus de enlace o directorio
Los ficheros se ubican en determinadas direcciones (compuestas
básicamente por unidad de disco y directorio), que el sistema operativo
conoce para poder localizarlos y trabajar con ellos.
Los virus de enlace o directorio alteran las direcciones que indican
donde se almacenan los ficheros. De este modo, al intentar ejecutar
un programa (fichero con extensión EXE o COM) infectado por un virus
de enlace, lo que se hace en realidad es ejecutar el virus, ya que éste
habrá modificado la dirección donde se encontraba originalmente el
programa, colocándose en su lugar.
Una vez producida la infección, resulta imposible localizar y trabajar con
los ficheros originales
Virus encriptados

Más que un tipo de virus, se trata de una técnica utilizada por
algunos de ellos, que a su vez pueden pertenecer a otras
clasificaciones.
Estos virus se cifran o encriptan a sí mismos para no ser
detectados por los programas antivirus. Para realizar sus
actividades, el virus se descifra a sí mismo y, cuando ha
finalizado, se vuelve a cifrar.
Estos son algunos ejemplos de este tipo de virus: Elvira, Trile.
Virus polimórficos

Son virus que en cada infección que realizan se cifran o
encriptan de una forma distinta (utilizando diferentes
algoritmos y claves de cifrado).
De esta forma, generan una elevada cantidad de copias de sí
mismos e impiden que los antivirus los localicen a través de la
búsqueda de cadenas o firmas, por lo que suelen ser los virus
más costosos de detectar.
Algunos ejemplos de este tipo de virus son: Elkern, Marburg,
Satan Bug, Tuareg.
Virus multipartites
Virus muy avanzados, que pueden realizar múltiples
infecciones, combinando diferentes técnicas para
ello. Su objetivo es cualquier elemento que pueda ser
infectado: archivos, programas, macros, discos, etc.
Se consideran muy peligrosos por su capacidad de
combinar muchas técnicas de infección y por los
dañinos efectos de sus acciones.
Algunos ejemplos de estos virus son: Ywinz.
Virus de compañía

Son virus de fichero que al mismo tiempo pueden ser
residentes o de acción directa. Su nombre deriva de que
"acompañan" a otros ficheros existentes en el sistema
antes de su llegada, sin modificarlos como hacen los virus
de sobreescritura o los residentes.
Para efectuar las infecciones, los virus de compañía pueden
esperar ocultos en la memoria hasta que se lleve a cabo la
ejecución de algún programa, o actuar directamente
haciendo copias de sí mismos.
Algunos ejemplos de este tipo de virus son: Stator, Asimov
.1539, Terrax.1069.
Gusanos – Worms
   (W32/)
Gusanos (Worms)
De un modo estricto, los gusanos no se consideran virus porque no necesitan
infectar otros ficheros para reproducirse. A efectos prácticos, son tratados
como virus y son detectados y eliminados por los antivirus.
Básicamente, los gusanos se limitan a realizar copias de sí mismos a la
máxima velocidad posible, sin tocar ni dañar ningún otro fichero. Sin embargo,
se reproducen a tal velocidad que pueden colapsar por saturación las redes en
las que se infiltran.
Las infecciones producidas por estos virus casi siempre se realizan a través del
correo electrónico, las redes informáticas y los canales de Chat (tipo IRC o ICQ)
de Internet. También pueden propagrase dentro de la memoria del ordenador.
Estos son algunos ejemplos de gusanos: PSWBugbear.B, Lovgate.F, Trile.C,
Sobig.D, Mapson.
Troyanos o caballos de Troya
         (trjn/)
 Técnicamente, los Troyanos tampoco se consideran virus, ya que no se reproducen
 infectando otros ficheros. Tampoco se propagan haciendo copias de sí mismo como
 hacen los gusanos. A efectos prácticos, son tratados como virus y son detectados y
 eliminados por los antivirus.
 El objetivo básico de estos virus es la introducción e instalación de otros
 programas en el ordenador, para permitir su control remoto desde otros equipos.
 Su nombre deriva del parecido en su forma de actuar con los astutos griegos de la
 mitología: llegan al ordenador como un programa aparentemente inofensivo. Sin
 embargo, al ejecutarlo instalará en nuestro ordenador un segundo programa, el
 troyano.
 Los efectos de los Troyanos pueden ser muy peligrosos. Al igual que los virus, tienen
 la capacidad de eliminar ficheros o destruir la información del disco duro. Pero además
 pueden capturar y reenviar datos confidenciales a una dirección externa o abrir
 puertos de comunicaciones, permitiendo que un posible intruso controle nuestro
 ordenador de forma remota.
 Estos son algunos ejemplos de Troyanos: IRC.Sx2, Trifor.
Otros tipos de virus o engaños
 Bombas lógicas
 Tampoco se consideran estrictamente virus, ya que no se reproducen. Ni
 siquiera son programas independientes, sino un segmento camuflado dentro
 de otro programa.
 Tienen por objetivo destruir los datos de un ordenador o causar otros
 daños de consideración en él cuando se cumplen ciertas condiciones.
 Mientras este hecho no ocurre, nadie se percata de la presencia de la bomba
 lógica. Su acción puede llegar a ser tremendamente destructiva
 Virus falsos
 Al margen de las divisiones anteriores, existen ciertos tipos de mensajes o
 programas que en ciertos casos son confundidos con virus, pero que no son
 virus en ningún sentido.
 El principal componente de este grupo son los hoaxes o bulos. Los hoaxes
 no son virus, sino mensajes de correo electrónico engañosos, que se
 difunden masivamente por Internet sembrando la alarma sobre supuestas
 infecciones víricas y amenazas contra los usuarios.
 Los hoaxes tratan de ganarse la confianza de los usuarios aportando datos
 que parecen ciertos y proponiendo una serie de acciones a realizar para
 librarse de la supuesta infección.
 Si se recibe un hoax, no hay que hacer caso de sus advertencias e
 instrucciones: lo más aconsejable es borrarlo sin prestarle la más mínima
 atención y no reenviarlo a otras personas.
Nuevos Riesgos en Internet
Entre varios de los nuevos riesgos que
encontramos en la actualidad en Internet se
encuentran los siguientes:
El Spyware
El malware
Dialers
Ransonware
backdoors
El Spam
El Phishing
Los cookies
El Adware
Spyware
Los programas espía, también conocidos como spyware, son
aplicaciones informáticas que recopilan información personal del
usuario sin su consentimiento, como por ejemplo software presente
en el ordenador, hábitos de uso de Internet, páginas visitadas, etc.
Posteriormente, transmiten esta información a terceros, tales como
empresas de publicidad u otras compañías interesadas en dichos
datos, con la consiguiente violación de la privacidad.
Los programas espía llegan al ordenador a través de distintas vías:
mediante un troyano, que los instala sin consentimiento del usuario;
cuando se visita una página Web que incluye determinados controles
ActiveX o código que explota una determinada vulnerabilidad.
Generalmente, el spyware se instala en el ordenador sin
conocimiento del usuario, o aportando información confusa que no
advierte claramente de las acciones que realizará, de forma que el
usuario no es consciente de qué términos acepta.
Además de las acciones descritas, el spyware tiene una serie de
efectos colaterales: consume recursos del sistema, ralentiza el
funcionamiento del ordenador, causa fallos en el sistema, etc.
 Ransonware
El Ransonware es una de las mas modernas técnicas de delito informático,
consiste en el rapto o captura de datos confidenciales para luego pedir un
rescate por ellos usando plataforma de Internet.
El usuario navega por una pagina Web insegura que contiene troyanos que
descargan Ransonware camuflados en aplicaciones aparentemente
beneficiosas o útiles al usuario, cuando se pulsa en un enlace a una de estas
supuestas aplicaciones, se descarga un programa (Ransonware) que tiene
como objetivo de comprimir todo el contenido de la carpeta “mis
documentos” y luego de esto crea una segunda carpeta donde encierra toda
la carpeta anteriormente comprimida para protegerla bajo contraseña, una
vez conseguido esto el usuario recibe una nota de restace, donde se le
solicita dinero o comprar en una tienda en linea a cambio de la contraseña,
es decir es un programa que se encarga de secuestrar datos confidenciales
de las Pcs a las cuales se introduce para luego pedir rescate por ellos. Se
calcula que el indice de ataques producidos por este tipo de fuentes aun es
bastante poco, pero según se va analizando su efectividad quizas la tasa
vaya en aumento por el desconocimiento de su tecnica y metodos de
infeccion.
  Adware
Originalmente, el adware es un modo de licencia de programas, en la
   cual se ofrece una aplicación de forma gratuita o más barata, con el
   único coste de visualizar una serie de mensajes publicitarios durante
   su uso. El usuario tiene la posibilidad de adquirir una versión registrada
   de dicha aplicación, en la que no están incluidos los anuncios.
   Sin embargo, con el paso del tiempo, este concepto de adware ha
   evolucionado.
   Actualmente, los programas adware son los que muestran publicidad
   en ventanas emergentes, o a través de banners, sin que el usuario
   los haya instalado ni pertenezcan a una aplicación útil.
   Algunos adware recogen información personal del usuario, como
   por ejemplo páginas visitadas, tiempo de estancia en las mismas,
   enlaces en los que se pulsa, etc., y la envían a terceros, sin
   conocimiento ni consentimiento del usuario.
Cookie
Las cookies son pequeños archivos de texto que el navegador
  almacena en el ordenador del usuario, cuando se visitan páginas
  Web.
  Las cookies almacenan información que se utiliza con varios
  fines:
      Para personalizar la página Web y su navegación para cada usuario.
      Para recoger información demográfica sobre cuántos usuarios visitan la
       página y su tiempo de estancia en ella.
      Para realizar un seguimiento de qué banners se muestran al usuario, y
       durante cuánto tiempo.
  Estos usos no tienen un carácter malicioso, al menos en principio. Sin
  embargo, es necesario tener en cuenta que toda información personal
  que se introduzca en una página Web se puede almacenar en una
  cookie, incluyendo el número de la tarjeta de crédito.
  Además, las cookies también se pueden utilizar para formar un
  perfil del usuario, con información que éste no controla, y que
  después puede ser enviada a terceros, con la consiguiente amenaza
  para la privacidad.
¿Cómo se si tengo un programa espía y como me protejo
contra ellos?
Es difícil adivinar a simple vista si un ordenador está siendo víctima de alguna de estas
   amenazas. La certeza sólo se consigue usando un buen paquete integrado de seguridad
   correctamente actualizado.
   Sin embargo, hay ciertos síntomas que delatan la posible presencia de programas
   espía o adware (aunque también pueden deberse a otros problemas ajenos a los
   mismos):
      La aparición, sin motivo aparente, de ventanas emergentes, banners publicitarios
         o nuevas barras de herramientas en el navegador que el usuario no ha añadido.
      El cambio repentino en la página de inicio del navegador de Internet.
      El bloqueo inesperado del navegador de Internet.
      La lentitud no habitual con la que repentinamente funciona un ordenador, sin
         ninguna causa aparente, puede deberse a varios motivos: muchos programas
         trabajando al mismo tiempo o problemas de red, pero también a un programa espía
         o adware.
      El ordenador se bloquea (se queda colgado) en momentos de carga excesiva, pero
         también puede bloquearse por el malfuncionamiento de una programa espía o
         adware. Esto es especialmente claro cuando se están realizando operaciones
         sencillas que no suponen demasiado trabajo para el ordenador.
Para mantenerse protegido frente a los
programas espía, adware y dialers, tenga en
cuenta los siguientes consejos:

  Aumente el nivel de seguridad de su navegador para no permitir la ejecución
  automática de scripts y de código ActiveX.
  Tenga especial cuidado con los programas que descarga desde Internet:
  Mantenga las aplicaciones instaladas en su ordenador siempre
  actualizadas, instalando los parches de seguridad desarrollados al efecto por
  sus fabricantes.
  Instale una buena solución antimalware en su ordenador que detecte no
  sólo virus, sino también otras amenazas como programas espía, adware o
  dialers.
  Mantenga su solución antimalware actualizada. Si su solución admite las
  actualizaciones automáticas, configúrelas para que funcionen siempre así.
  Tenga activada la protección permanente de su programa antimalware en
  todo momento.
Spam

El spam es el correo electrónico no solicitado, normalmente
con contenido publicitario, que se envía de forma masiva.

Un SPAM es cualquier mensaje, destinado a una audiencia en
general (o sea, un comunicado de masas) que se envía a la
gente por e-mail sin que lo soliciten. Es el equivalente de los
anuncios impresos que le llegan a uno a la casa. Generalmente
el SPAM se trabaja con listas de direcciones "robadas" (o sea, de
direcciones que sacan de la gente que envía mensajes por
USENET u otras áreas publicas de discusión), por lo cual
representa una violación de la privacidad del usuario
Algunas de las características más comunes que
presentan este tipo de mensajes de correo
electrónico son:

       La dirección que aparece como remitente del mensaje no resulta conocida para el
        usuario, y es habitual que esté falseada.
       El mensaje no suele tener dirección Reply.
       Presentan un asunto llamativo.
       El contenido es publicitario: anuncios de sitios Web, fórmulas para ganar dinero
        fácilmente, productos milagro, ofertas inmobiliarias, o simplemente listados de
        productos en venta en promoción.
       La mayor parte del spam está escrito en inglés y se origina en Estados Unidos o
        Asia, pero empieza a ser común el spam en español.

   El spam es un fenómeno que va en aumento día a día, y representa un elevado
   porcentaje del tráfico de correo electrónico total.
   Además, a medida que surgen nuevas soluciones y tecnologías más efectivas para
   luchar contra el spam, los spammers (usuarios maliciosos que se dedican
   profesionalmente a enviar spam) se vuelven a su vez más sofisticados, y modifican sus
   técnicas con objeto de evitar las contramedidas desplegadas por los usuarios.
Phishing
El phishing consiste en el envío de correos electrónicos que,
aparentando provenir de fuentes fiables (por ejemplo, entidades
bancarias), intentan obtener datos confidenciales del usuario. Para
ello, suelen incluir un enlace que, al ser pulsado, lleva a páginas Web
falsificadas. De esta manera, el usuario, creyendo estar en un sitio de
toda confianza, introduce la información solicitada que, en realidad, va a
parar a manos del estafador.
Existe un amplio abanico de software y aplicaciones de toda índole que
quedan clasificados dentro de la categoría de robo de información
personal o financiera, algunas de ellas realmente complejas, como el
uso de una ventana Javascript flotante sobre la barra de direcciones del
navegador con el fin de confundir al usuario. A nivel de la plataforma de
Internet se utiliza este mismo método para capturar datos confidenciales
a nivel de correo electrónico, como claves de acceso para luego ser
vendidas en la Web al mejor postor o ser utilizados a beneficio del
intruso capturador de dichos datos, también es conocido que existen
personas que venden sus servicios a cambio de realizar trabajos con
Phishing.
Algunas de las características más comunes
que presentan este tipo de mensajes de
correo electrónico son:


Uso de nombres de compañías ya existentes.
Utilizar el nombre de un empleado real de una
empresa como remitente del correo falso
Direcciones Web con la apariencia correcta.
Factor miedo.
Cómo puedo reconocer un mensaje
de phishing?
  Distinguir un mensaje de phishing de otro legítimo puede no resultar fácil para
  un usuario que haya recibido un correo de tales características, especialmente cuando
  es efectivamente cliente de la entidad financiera de la que supuestamente proviene el
  mensaje.
  El campo De: del mensaje muestra una dirección de la compañía en cuestión. No
  obstante, es sencillo para el estafador modificar la dirección de origen que se
  muestra en cualquier cliente de correo.
  El mensaje de correo electrónico presenta logotipos o imágenes que han sido
  recogidas del sitio Web real al que el mensaje fraudulento hace referencia.
  El enlace que se muestra parece apuntar al sitio Web original de la compañía,
  pero en realidad lleva a una página Web fraudulenta, en la que se solicitarán datos de
  usuarios, contraseñas, etc.
  Normalmente estos mensajes de correo electrónico presentan errores gramaticales
  o palabras cambiadas, que no son usuales en las comunicaciones de la entidad por
  la que se están intentando hacer pasar.
En este ejemplo, el propio correo incluye un formulario en lugar de ofrecer un enlace a
una página falsa. Si el usuario introduce sus datos y envía el formulario, estos son
finalmente recogidos en un servidor ubicado en Taiwán.
¿Cómo puedo protegerme del phishing?

Verifique la fuente de la información. No conteste automáticamente a ningún
correo que solicite información personal o financiera.
Escriba usted mismo la dirección en su navegador de Internet. En lugar de
hacer clic en el hipervínculo proporcionado en el correo electrónico, escriba la
dirección web (URL) directamente en el navegador o utilice un marcador que haya
creado con anterioridad.
Refuerce su seguridad.
Compruebe que la página Web en la que ha entrado es una dirección segura :
ha de empezar con https:// y un pequeño candado cerrado debe aparecer en la
barra de estado de nuestro navegador.
Haga doble clic sobre dicho candado para tener acceso al certificado digital
que confirma que la Web se corresponde con la que está visitando.
Revise periódicamente sus cuentas. Los extractos mensuales son especialmente
útiles para detectar transferencias o transacciones irregulares, tanto operaciones
que no haya realizado y se vean reflejadas en el extracto, como operaciones
realizadas online y que no aparezcan en el extracto.
gracias
                 CORECI 2006
     Tecnological American Center
                  Edicion Julio Cornejo-TAC-Peru

								
To top