Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ttulo:
Tema:
Virus Informticos
Caballos de Troya
Gusanos
Equipo #2
Dayana Caldern Sotolongo
NDICE
CONTENI DO
Objetivos
Captulo I. Virus Informticos
1.1. Qu es un virus?
1.2. Surgimiento y evolucin de los Virus
1.3. Tipos de virus ms frecuentes
1.4. Cmo atacan los virus a las PCs?
Captulo II. Propagacin de los Virus
2.1. Daos ocasionados por los virus
2.2. Tipos de Antivirus
2.3. Estado actual, nacional e internacional de los Virus
2.4. Virus en el futuro
Captulo III. Caballos de Troya
3.1. Qu son los Caballos de Troya?
3.2. Daos ocasionados por los Caballos de Troya
3.3. Propagacin de los Caballos de Troya
3.4. Antivirus para los Caballos de Troya
Captulo IV. Gusanos
4.1. Qu son los gusanos?
4.2. Daos ocasionados por los gusanos
4.3. Gusanos y la Ingeniera Social
4.3.1. Asunto y Cuerpo
4.3.2. Anexo
4.3.3. Remitente
4.3.4. Algo ms
4.4. Propagacin de los Gusanos
4.5. Principales Antivirus de los Gusanos
Captulo V. Novedades de los virus
5.1. Netsky, el virus del ao
5.2. Famosos infectados en la red
Anexos
Conclusiones
Glosario
Bibliografa
PAGINA
2
3
3
4
8
9
11
11
12
13
15
19
19
21
25
27
30
30
30
31
32
33
33
34
35
38
40
40
41
42
43
44
45
OBJETIVOS
En el desarrollo del Trabajo, se traz como objetivo fundamental, mediante la bsqueda de
informacin en diferent es fuentes, recopilar mltiples criterios dados por expertos en el tema
sobre LOS V IRUS INFORMA TICOS, CABALLOS DE TROYA y GUSANOS INFORMA TICOS, y
con esto dar repuestas a diferentes interrogantes que pueden surgir.
As como mostrar el estado actual de los virus y programas malignos en nuestro pas e
internacionalmente, con cifras reportadas hasta la actualidad, aprecindos e adems una
resea sobre su primera aparicin y evolucin.
Tambin se enfatiza en su definicin, propagacin, daos que ocasionan, mtodos pata
prevenirlos y principales antivirus para su erradic acin.
Aspiramos que este trabajo quede c omo material de c onsulta para todos aquellos interesados
en adent rarse en el mundo de los virus informticos , y ayude a fomentar en las personas la
necesidad de tomar todas las medidas de proteccin para evitar ser daados por estos
molestos pero interesantes int rusos.
1.1-Qu es un virus?
Es necesario definir y conocer al enemigo, a menudo se suele utilizar el trmino virus para
designar diferentes tipos de c omportamientos malicios os que se transmiten por Internet. Todos
los das surgen nuevos virus, que pueden llegar a propagarse en los ordenadores de todo el
mundo en cuestin de segundos, o pueden quedar en un intento fracasado de protagonismo
por parte de sus creadores. En cualquier caso se trata de una amenaza de la que ningn
ordenador esta libre. [ALF04]
Un virus es un programa o secuencia de instrucciones que un ordenador es capaz de
interpretar y ejecutar. Con relacin a este concepto el Ingeniero Edgar Guadis Salazar aade
que es aplicable para cualquier programa maligno. Aunque todo virus ha de ser programado y
realizado por expertos informticos, argumenta tambin el Ingeniero que: No nec esariament e,
en INTE RNET hay herramientas que permiten generar virus de una manera sumamente
sencilla, solo pulsando unos botones, como haces al calcular algo con la calculadora [GAB00,
GUADIS*]
Incluso cualquiera que vea el cdigo fuente de un P.M escrito en lenguaje Visual Basic Script
puede hacer una variacin sencilla y generar una variante, sin tener grandes conocimientos del
lenguaje, es casi nemotc nico y puedes encontrar ayuda fcil en INTE RNE T. En esta red hay
muchos cdigos fuentes de virus, el t rabajo mayor lo pasa el creador original, el resto
realmente tiene que hacer muy poco para generar una variante. Su misin principal es
introducirse, lo ms discretamente posible en un sistema informtico y permanecer en un
estado de latencia hasta que se cumple la condicin necesaria para activarse. [GAB00]
Las posibles vas de transmisin de los virus son: los discos, el cable de una red y el cable
telefnico. Normalmente encontramos en estas caractersticas especiales y comunes en todos
ellos: son muy pequeos, casi nunca incluyen el nombre del aut or, ni el registro, ni la fecha. Se
reproducen a si mismos y controlan y cambian otros programas. Al problema no se le tomo
importancia hasta que llego a compaas grandes y de gobierno ent onces se le busco solucin
al problema. [VIL04]
Decimos que es un programa parsito porque el programa ataca a los archivos o sector es de
"booteo" y se replica a s mismo para continuar su esparcimiento. [ MAN97 ]
Existen ciertas analogas ent re los virus biolgicos y los informticos: mientras los primeros son
agentes externos que invaden clulas para alterar su informacin gentica y reproducirs e, los
segundos son programas-rutinas, en un sentido ms estricto, capaces de infectar archivos de
computadoras, reproducindose una y otra vez cuando se accede a dichos archivos, daando
la informacin existente en la memoria o alguno de los dispositivos de almac enamiento del
ordenador. [ MAN97 ]
Tienen diferent es finalidades: Algunos slo 'infectan', otros alteran datos, otros los eliminan,
algunos slo muestran mensajes. Pero el fin ltimo de todos ellos es el mismo:
PROPAGARS E. [ MAN97 ]
Es importante destacar que el potencial de dao de un virus informtico no depende de
su complejidad sino del entorno donde acta . Marcelo Manson
En cuanto a este criterio, plant ea el compaero Guadis: Hay que tener mucho cuidado con las
definiciones. Un virus es solo un tipo particular de programa maligno, pero todos tiene que
hablar de una manera u otra de la replica o infeccin, pues por eso se llaman virus [GUADIS*]
La definicin ms simple y completa que hay de los virus corresponde al modelo D. A. S., y se
fundamenta en tres caractersticas, que se refuerzan y dependen mutuamente. Segn ella, un
virus es un programa que cumple las siguientes paut as: [ MAN97 ]
Es daino
Es autor reproductor
Es subrepticio
El hecho de que la definicin imponga que los virus son programas no admite ningn tipo de
observacin; est extremadamente claro que son programas, realizados por personas. Adems
de ser programas tienen el fin ineludible de causar dao en cualquiera de sus formas. [MAN97]
Edgar Guadis Salazar: Ingeniero Informtico, Especialista del Instituto de Seguridad Informtica
(SEGURMATICA), ubicado en el Municipio Centro Habana. Ciudad de la Habana. Cuba
Licenciado Marcelo Manson: Extrado de un artculo publicado en 1997 en Monografas.Com
que mas tarde evoluciono en el Brain, virus que infectan los antiguos discos de 5,25 pulgadas.
Este virus sobrescriba el sector de arranque y desplazaba el sector de arranque original a otra
posicin del disco. Aunque el virus apenas provoc aba daos llamaba la atencin su capacidad
de ocultacin ya que era el primer programa que utilizaba la tcnica invisible haciendo que el
disco tuviera una apariencia normal. Por esta razn, el virus no fue descubiert o has un ao
despus, en 1987. [VIL04]
-1989 aparece el primer antivirus heurstico, y los primeros virus con nuevas tcnicas de
ocultamiento. En 1989 apareci el primer antivirus heurstico, capaz de detectar, no slo los
virus que ya eran conocidos, sino aquellos virus que surgieran en el futuro y que reprodujesen
patrones sospechosos. La heurstica monitoriza la actividad del ordenador hasta el momento en
que encuentra algo que puede ser identificado con un virus. Frente a esta innovacin surgieron
virus con nuevas formas de ocultacin, como el full stealth y surgieron nuevas tcnicas para
acelerar la velocidad de las infecciones. Esto se logr haciendo que los virus atacas en los
archivos que fueran abiertos y no slo aquellos que se ejecutaban. Un ejemplo de esta poca
son Antictne, alias Telefnica, el primer virus espaol que se extendi por todo el mundo,
4096, alias FRODO, el primer virus en usar el efecto tunneling, una tcnica utilizada
posteriormente por los propios antivirus para sistemas anti-stealt h. En el mbito tcnico, fue
todo un fenmeno entre los expert os en virus. [@3]
1990 Virus de infeccin rpida provenientes de Bulgaria: el virus Dark Avenger.
En 1990 apareci gran cantidad de virus provenientes de B ulgaria. El mximo representante de
esa nueva ola fue Dark Avenger, uno de los ms famosos autores de virus, que int rodujo los
conceptos de inf eccin rpida (el virus se oculta en la memoria e infecta, no slo los archivos
ejecutados, sino tambin los ledos, extendiendo la infeccin a gran velocidad), y dao sutil (por
ejemplo, el virus 1800 sobreescriba ocasionalment e un sector del disco inutilizando la
informacin, algo que el us uario no es capaz de detectar fcilmente hasta algn tiempo
despus). Adems, Dark A venger utilizaba las BBS para infectar los programas antivirus
shareware facilitando la rpida extensin de sus virus. [@2]
Ver Anexos1
Este virus se destaca por su complejidad. Utiliza el formato SHS (S hell Scrap) de empaquetado
con el objetivo de engaar al usuario ya que Windows, por defecto, no muestra su extensin
real. Adems, para dificultar su estudio y deteccin por parte de los antivirus, el cdigo
malicioso est encriptado. [@ 4]
Se reenva por correo electrnico en clientes de Outlook, a todos los contactos que
encuentra en la libreta de direcciones del usuario cuyo ordenador ha infectado, siempre y
cuando el nmero de contactos sea menor que 101. Si la cifra es mayor, escoge,
aleatoriamente, 100 direcciones y se enva en un correo -e que tiene las caractersticas
anteriormente mencionadas. Utiliza una tcnica de ocult acin para engaar al usuario y
proceder a la infeccin del ordenador. En concret o, y aunque el fichero adjunto que enva tiene
la extensin "SHS" se aprovecha de que, por defecto, no se muestre al usuario dicha
extensin. Por el contrario, el fichero aparecer como "TXT", junto con el icono que acompaa
a los autnticos archivos con esa extensin. Para no levantar sospechas, si no es ejecutado
desde el directorio de inicio, muestra un texto de bromas que es, en definitiva, lo que espera
encontrar el usuario cuando abre el fichero adjunto. [@4]
Este virus presenta las siguientes caractersticas:
Asunto: "Fw" y uno de los siguientes tres textos: "Life Stages", "Funny" o "Jokes; o "text"
Cuerpo del mensaje (en texto plano o en formato HTML):" The male and female stages of life"
o "Bye."
Un fichero adjunto denominado: "LIFE_S TAGES. TXT.S HS"
A partir del 2001 se puede ver un termino que engloba c ualquier programa, doc umento o
mensaje y es el denominado malware , un ejemplo son los virus: Gusanos, Troyanos, el Spam,
Dialers, las Hacking Tools, los Jokes y los Hoaxes. Son susceptibles de causar perjuicios a los
usuarios de los sistemas informticos-, se adapta a los avanc es tecnolgicos con el objetivo de
difundirse mas rpidamente. Un ejemplo de esto fue la aparicin en este mismo ao del virus
Nimba un ejemplo claro de esta adaptacin. [@4]
En las redes informticas, algunos virus se ocultan en el soft ware que permite al usuario
conectarse al sistema.
Los virus pueden llegar a "camuflarse" y esconderse para evit ar la deteccin y reparacin .
Como lo hacen:
a. El virus re-orient a la lectura del disco para evitar ser detectado;
b. Los datos sobre el tamao del directorio infectado son modificados en la FA T, para
evitar que se descubran bytes extra que aporta el virus;
c. encriptamiento: el virus se en cripta en smbolos sin sentido para no s er detectado,
pero para destruir o replicarse DEBE desencriptarse siendo ent onces detectable;
d. polimorfismo: mutan cambiando segmentos del cdigo para parecer distintos en cada
"nueva generacin", lo que los hace muy difciles de detectar y destruir;
e. Gatillables: se relaciona con un event o que puede ser el cambio de fecha, una
determinada combinacin de tecleo; un macro o la apertura de un programa asociado
al virus (Troyanos).
Los virus se transportan a travs de programas tomados de BBS (Bulletin Boards) o copias
de software no original, infectadas a propsito o accidentalmente. Tambin cualquier
archivo que contenga "ejecut ables" o "macros" puede ser portador de un virus: downloads
de programas de lugares inseguros; e-mail c on "attachments", archivos de MS-Word y MSExcel con macros. Inclusive y a existen virus que se distribuyen con MS -Power Point. Los
archivos de datos, texto o Html NO PUEDEN contener virus, aunque pueden ser daados
por estos.
Los virus de sectores de "booteo" se instalan en esos sectores y desde all van saltando a
los sectores equivalentes de cada uno de los drivers de la P C. Pueden daar el sector o
sobreescribirlo. Lamentablemente obligan al formateo del disco del drive infectado.
Incluyendo discos de 3.5" y todos los tipos de Zip de Iomega, Sony y 3M.
En cambio los virus de programa, se manifiestan cuando la aplicacin infectada es
ejecutada, el virus se activa y se carga en la memoria, infectando a cualquier programa que
se ejecute a continuacin. Puede solaparse infecciones de diversos virus que pueden ser
destructivos o permanecer inactivos por largos periodos de tiempo.
El disco duro se queda sin espacio o reporta falta de espacio sin que esto sea
necesariamente as.
Si se corre el CHKDSK no muestra "655360 bytes available".
En Windows aparece "32 bit error".
La luz del disco duro en la CP U continua parpadeando aunque no se este trabajando ni
haya protectores de pantalla activados. (Se debe tomar este snt oma con mucho cuidado,
porque no siempre es as ).
No se puede "bootear" desde el Drive A, ni siquiera con los discos de rescate.
Aparecen archivos de la nada o con nombres y extensiones extraas.
Suena "clicks" en el teclado (este sonido es particularment e aterrador para quien no
esta advertido).
Los caracteres de texto se caen literalmente a la parte inf erior de la pantalla
(especialmente en DOS).
En la pantalla del monitor pueden aparecen mensajes abs urdos tales como "Tengo
hambre. Introduce un Big Mac en el Drive A".
En el monitor aparece una pant alla con un fondo de cielo celeste, unas nubes blanc as
difuminadas, una vent ana de vidrios repartidos de colores y una leyenda en negro que dice
Windows 98 (No puedo evitarlo, es mas fuert e que yo...!!) [S GT]
10
Daos moderados.
Cuando un virus formatea el disco rgido, mezcla los componentes de la FAT (File
Allocation Table, Tabla de Ubicacin de Archivos), o sobreescribe el disco rgido. En
este caso, sabremos inmediatamente qu es lo que est sucediendo, y podremos
reinstalar el sistema operativo y utilizar el ltimo backup. Esto quizs nos lleve una
hora.
d. Daos mayores.
Algunos virus, dada su lenta velocidad de infeccin y su alta capacidad de pasar
desapercibidos, pueden lograr que ni an restaurando un backup volvamos al ltimo
estado de los datos. Un ejemplo de esto es el virus DARK AVENGER, que infecta
archivos y acumula la cantidad de infecciones que realiz. Cuando este contador llega
a 16, elige un sector del disco al azar y en l escribe la frase: " Eddie lives
somewhere in time" (Eddie vive en algn lugar del tiempo).
Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el da
en que detectemos la presencia del virus y queramos restaurar el ltimo backup
notaremos que tambin l contiene sectores con la frase, y tambin los backups
anteriores a ese.
Puede que lleguemos a encont rar un backup limpio, pero ser tan viejo que muy
probablemente hayamos perdido una gran cantidad de archivos que fueron creados
con posterioridad a ese backup.
e. Daos severos.
Los daos severos son hechos cuando un virus realiza cambios mnimos, graduales y
progresivos. No sabemos cundo los datos son correctos o han cambiado, pues no hay
pistas obvias como en el caso del DARK AV ENGER (es decir, no podemos buscar la
frase Eddie lives ...).
11
f.
Daos ilimitados.
Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen
la clave del administrador del sistema y la pasan a un tercero. Cabe aclarar que estos
no son virus sino troyanos. En el caso de CHEEBA, crea un nuevo usuario con los
privilegios mximos, fijando el nombre del usuario y la clave. El dao es entonc es
realizado por la terc era persona, quien ingresar al sistema y hara lo que quisiera.
Los daos ocasionados por los programas malignos son evaluados a travs de las
implicaciones econmicas que representan la prdida parcial o total de los recursos y horas
hombre-mquina invertidos tanto durante el proceso de diseo, puesta a punto e implantacin
de las aplicaciones y sus datos, como las que se derivan de los gastos en que se incurran
durante el proceso de recuperacin de un sistema infectado. Los gastos en el proceso de
recuperacin dependen de los daos ocasionados por el programa maligno tanto en su fase de
infeccin como en la de activacin, as como del nivel de organizacin en la salva de la
informacin que tenga el usuario. Adems, existen algunos que son difciles de detectar y que
de una forma muy solapada alt eran la informacin almacenada en los discos. [SGT]
12
desconocidos. Incluye informacin sobre muchos de los virus que detecta y permite
establecer una contrasea para aumentar as la seguridad.
La lista de virus conocidos puede ser actualizada peridicamente (sin cargo) a travs
de servicios en lnea como Internet, Amrica On Line, Compuserve, The Microsoft
Network o el BBS propio de Symantec, entre otros.
Virusscan.
Este antivirus de McAfee Associates es uno de los ms famosos. Trabaja por el
sistema de scanning descrito anteriormente, y es el mejor en su estilo.
Para escanear, hace uso de dos tcnicas propias: CMS (Code Matrix Scanning,
Escaneo de Matriz de Cdigo) y CTS (Code Trace Scanning, Escaneo de Seguimiento
de Cdigo).
Una de las principales ventajas de este antivirus es que la actualizacin de los archivos
de bases de datos de strings es muy fcil de realizar, lo cual, sumado a su condicin de
programa shareware, lo pone al alcanc e de c ualquier usuario. Es bastante flexible en
cuanto a la configuracin de cmo detectar, reportar y eliminar virus.
13
mensajes que enva la victima afectada, de forma que esta no nota nada raro y quien recibe el
mensaje t ampoc o se da cuenta que esta siendo infestado. Los adjuntos que puede infestar son
los compactados (.zip y .rar) y las power point. (Este es el nico virus hasta el momento capaz
de infestar las presentaciones de power point). La gran efectividad de este virus consiste en
que los mensajes no despiertan sos pechas pues son mensajes reales enviados de fuent es
conocidas y confiables y adems los adjuntos son ficheros reales que al abrirlos se ejecutan sin
levantar sospechas y sin que la victima se de cuenta que esta activando el virus. (Adems de
que c asi todo el mundo cree que las presentaciones de power point son algo inofensivo.). El
virus como tal se llama "Libert ad" pues antes de comenzar a borrar toda la informaci n del
disco duro muestra un cartel que clama por la libertad de expresin en Cuba. No obstant e las
casas antivirus lo llaman Worm. 32_Libertad. El virus cuando se activa se instala como un
servicio con el nombre de s vchost.exe de forma que la nica manera de saber si se esta o no
infestado con el mismo es ver si este servicio esta ejecutndose. La empresa de seguridad
informtica de Cuba ya ha creado una herramienta de desinfeccin automtica que puede ser
descargada desde su pgina oficial pero tambin ha dado copias de la misma a CNN por lo que
puede ser solicitada tambin a correo@CNNenEspanol.com. [V santivirus]
14
Esto es debido a varios factores negativos entre los que se destacan la publicacin de cdigos
fuentes de virus en libros , revistas y en la Web , al desarrollo de Generadores y a las Bases
de Datos de Intercambio de Virus (Vx).
El intercambio de informacin y cdigos fuentes entre los creadores de Programas malignos
est proliferando debido fundamentalmente a la existencia de sitios destinados, en redes de
alcance global como INTE RNE T a la carga y descarga de colecciones completas , as como el
intercambio de herramientas y tcnicas para desarrollar cdigos maliciosos ms eficientes. El
anlisis de la situacin internacional demuestra que son un problema de la informtica actual y
que se requiere estudiar el problema, para poder combatirlos tcnica y organizadamente.
2.4-Virus en el futuro.
En los sistemas modernos hay demasiados tipos de archivos ejecut ables, programas que
pueden acceder a los component es del computador. Tambin es muy complicado que un
sistema no tenga problemas, incluyendo agujeros de seguridad. Por todo ello, creo que los
virus seguirn existiendo aunque el ent orno contemple la seguridad basada en certificados
digitales. .... Es posible desarrollar un entorno completamente prot egido por la comprobacin
de firmas digitales, pero los usuarios no lo usarn!, porque un entorno de este tipo no es lo
suficientemente amigable... demasiadas limitaciones, demasiados avisos, demasiadas
preguntas. Eugene Kaspersky. [Moreno]
La inmensa mayora de las infecciones vric as actualment e se deben a infecciones por gusanos
(programas que se transmiten a travs de las redes e Internet) y troyanos (los cuales suelen
ejecutar acciones ocultas e indeseables) realizadas en su mayora de las veces a travs del
correo electrnico. Estos virus se activan mediante la ejec ucin de adjuntos en el correo
electrnico o simplemente mediante la lectura de correos recibidos con cdigo malicioso dentro
de HTML. [Moreno]
Existe la posibilidad que en el futuro aparezcan nuevos virus similares al Nimda o al Klez, los
cuales podrn tomar ventaja de las vulnerabilidades existentes o de las que lleguen a
presentarse. La educacin y la conciencia basada en estrategias adecuadas de seguridad es la
nica forma de prevenir los posibles daos. Un posible colapso de la Int ernet (debido a una
saturacin del trfico, a causa de los virus) no tiene tanto sustento a priori, pues sus lmites
antes que ser tecnolgicos tienden a ser ms bien culturales y ante una situacin de esta
naturaleza todava se tienen elementos para prevenirla. [Moreno]
Hoy en da, dado lo sofisticado que son estos programas, uno solo de ellos tiene la
caracterstica que no le piden nada a sus antecesores, constituyendo de esta manera, la
principal causa de los estragos producidos. El gusano Nimda (que lleg como troyano y
destruye el sistema como un virus) y el Klez nos abren t odo un abanico de posibilidades y
sorpresas inesperadas que ponen a tambalear nuestros esquemas clsicos de proteccin.
[Moreno]
Virus, Troyanos, y gusanos han existido desde los inicios de los sistemas operativos actuales y
de Internet. La contienda virus - antivirus ya tiene sus dos dcadas y nada nos indica que
vaya a terminar. No se puede descartar, por ejemplo, que en un futuro cercano los virus
atacarn telfonos celulares programables y se propagarn cuando encuentren algn vnculo
abierto ent re dos aparatos. La principal va de contagio, tal como hoy ocurre con las
computadoras, ser el correo electrnico, que ya est disponible en el mundo de la telefona
mvil. [Moreno]
Remarcando esto, los virus del futuro no slo harn blanco en computadoras y servidores sino
que sern diseados para atacar telfonos celulares inteligentes y asistentes digitales
personales. Estos cdigos maliciosos se prev (esto es solamente un escenario o conjetura
muy al estilo de Julio Verne) que incluso podran llegar a grabar conversaciones y enviarlas va
correo electrnico a otros usuarios sin el consentimiento del dueo del aparato, suprimir o
alterar estados financieros almacenados en los celulares, o incluso cambiar los nmeros
15
2.
3.
4.
5.
Lo anterior nos lleva a pensar (sin mucho temor a equivocarnos) que el futuro de los anti virus
est fundament alment e en el desarrollo slido de la heurstica, y en la integracin de stos
hacia una estructura ms slida de s oft ware que contemple a antivirus, cortafuegos, detectores
de intrus os y autenticacin como un solo producto. [Moreno]
16
En el fut uro, todo el mundo tendr 15 minutos de fama, con estas palabras del pintor
norteamericano Andy Warhol comienza un estudio de Nic holas C. Weaver de la universidad de
Berkeley titulado Warhol worms: The Potential for V ery Fast Internet Plagues, que podr
encontrar en [www.cs.berkeley.edu/~nwea ver/warhol.html].
En este estudio se describe, de forma hipottica, como podran ser los gusanos de siguiente
generacin, a los que denomina Warhol y Flash. Unos virus capaces de infectar t odos los
ordenadores vulnerables de Internet en menos de 15 minutos.
El estudio demuestra que las tcnicas que utilizan los gus anos actuales para propagarse son
extremadamente ineficientes. En cambio, segn este estudio, los gusanos Warhol utilizaran
tcnicas altamente optimizadas para buscar ordenadores vulnerables: hitlist scanning (lista de
servidores vulnerables elaborada previamente) para la propagacin inicial y permutation
scanning (tcnic a que intenta encontrar todos los ordenadores vulnerables en el menor tiempo
posible) para cons eguir propagarse de forma auto -coordinada y completa. El principal problema
de este tipo de gusanos es que causara el dao mximo antes de que fuese posible la
respuesta humana. Para cuando los laboratorios de las casas antivirus fuesen capaces de
desarrollar, probar y poner a disposicin de los usuarios la solucin, el virus ya habra
terminado su trabajo.
A pesar de que afortunadamente en la actualidad los gus anos todava no emplean este tipo de
tcnicas para propagars e, en Enero de 2003 el virus SQLSlammer infect 100.000 ordenadores
vulnerables en menos de media hora, y la mayor parte de ellos en los 15 primeros mi nut os. El
SQLSlammer no es propiamente un gusano de tipo Warhol, pues no utiliza las tcnicas
descritas en el estudio, pero an as, consigui demostrar que es posible crear un virus que se
propague a todos los ordenadores vulnerables en un tiempo tan cort o que no es viable la
respuesta humana.
Se puede concluir que el futuro de la seguridad informtica necesita un nuevo enfoque. Las
amenazas son cada vez mayores y ms rpidas, obligando a que las empresas antivirus
redoblen esfuerzos y reaccionen cada vez ms rpidamente para evitar las epidemias. Las
actuales soluciones de seguridad son extremadamente eficientes combatiendo amenaz as
conocidas, pero la exigencia es cada vez mayor y el hecho de que las actuales soluciones de
seguridad sean inherentemente reactivas, supone una prdida de tiempo que ahora puede ser
vital. Es necesario ser tambin proactivos y adelantarse al problema.
La proactividad en la seguridad informtica se debe bas ar en combatir las nuevas amenaz as
que acechan a los sistemas sin necesidad de conoc er previamente cules son. Los
comport amientos de los cdigos maliciosos deben poder preverse, pero para ello no es
suficiente la tecnologa actual, es nec esario analizar directamente el protocolo TCP/ IP,
descubrir intentos de desbordamientos de buffer, inyecciones de cdigo, cubrir nuevos vectores
de propagacin, etc...
17
18
Con el advenimiento de Internet, los Caballos de Troya en forma de mensajes con contenidos
tiles o divertidos destruyen la informacin del disco del receptor aprovechando agujeros de
seguridad del sistema. El caso ms conocido fue el I Love You. [Prieto03]
Un tipo de Caballos de Troya beneficiosos son aquellos que, aprovechando la inexperiencia e
inconsciencia del usuario que ejecuta alegremente programas no solicitados, presentan en
pantalla mensajes simulando el borrado de datos para, finalmente, burlarse del usuario por su
estupidez y recomendarle que en futuro sea ms cuidadoso con los programas que ejecuta en
su ordenador. Su fuerza didctica est fuera de toda duda. [Prieto03]
Un pariente muy cercano de los caballos de Troya son los camaleones, con los que a vec es
son confundidos. [Prieto03]
Hay mucha controversia sobre lo que es un troyano. Mucha gente confunde virus con troyanos,
y ni mucho menos se parecen. En realidad no tienen nada en comn. El virus es destructivo
(salvo raras excepciones), acta de forma premedit ada y su accin es siempre la misma en
todos los ordenadores que infecta. En cambio el troyano no se comporta as . [Mandrake]
Podemos afirmar que un troyano no es ni benigno ni maligno. Sencillamente no est
programado para destruir nada en el ordenador infectado. No podemos hablar entonces de una
amenaza en el propio software. En el caso del t royano la malevolencia viene de la persona que
lo utiliza. [Mandrake]
El nombre troyano proviene de la Guerra de Troya, que fue un instrumento de guerra usado por
los griegos para acceder a la ciudad de Troya. Segn cuenta la historia, "al pasar diez aos de
la guerra troyana, los griegos todava no podan entrar en la ciudad de Troya porque las
paredes de la ciudad la hacan impenetrable. As, desarrollaron un caballo gigante de madera
en el que un puado de griegos armados se escondieron mientras el resto de los griegos
abordaron los barcos y zarparon dejando atrs el caballo como regalo de Victoria. Luego de la
gran celebracin de los troyanos, en la cual se emborracharon, los griegos que estaban dentro
del caballo salieron, mataron a todos los centinelas que estaban en las puertas de la ciudad y
abrieron las puertas para que entrara un carnicero ejrcito griego". [Mandrake]
ejecutan funciones desconocidas al usuario y casi seguramente no des eadas por el mismo.
o
autorizadas dentro del mismo, probablemente como consecuencia del at aque de un virus.
Estas instrucciones ejecutan funciones desconocidas al usuario y casi seguramente no
deseadas por el mismo. [Mandrake]
19
Cualquier programa que aparentemente haga una funcin des eable y necesaria pero
que no la cumpla y/o contenga instrucciones no autorizadas en el mismo, las cuales ejecutan
funciones desconocidas para el usuario. Cualquier programa que contenga otro subprograma
con instrucciones no deseadas o virus. Cualquier programa que permita operaciones de
monitoreo y/o control remoto del computador sin conocimiento del usuario. Este tipo de
programas son llamados tambin "Backdoor" lo que se traduce a Puerta Trasera. [Mandrake]
Los troyanos funcionan mejor en computadores sin muchas restricciones para los usuarios, ya
que en ambientes restringidos no pueden hacer mucho dao; sin embargo, en los ambient es
de servidor, que son muy restringidos pero hay troyanos que han sido muy dainos.
[Mandrake]
A diferencia de los virus, los caballos de Troya o troyanos estn diseados para obtener
informacin privilegiada del ordenador donde son ejecutados. As pues existen troyanos que
nicamente consiguen contraseas, otros que graban secuencias metidas en el teclado, otros
que abren puert as traseras al ordenador, etc. [Bustamante]
Bueno pues un troyano es un programa simple que facilita el control remoto de un ordenador,
se les incluye dentro de la denominacin "malware" y realmente no son ms que aplicaciones
de gestin rem ota, que al ser totalmente grat uitos, al contrario que otros, estn muy difundidos
y suelen utilizarse para el acceso a otros ordenadores sin el permis o de sus dueos a travs de
la red. [Duiops]
La primera punt ualizacin que me gustara hacer es que a esos programas que hacen
exactamente lo mismo pero son comerciales no se los considera como peligrosos mientras que
los dems son considerados como herramientas de hacker y los eliminan los antivirus.
[Duiops]
La segunda es que aunque permitan manejar otros o rdenadores es necesario que estos tengan
un pequeo servidor ejecutndose en ellos, para ello cuentan con un pequeo instalador que
se encarga de modificar el registro de Windows para que los ejecute cada vez que se arranca
Windows. [Duiops]
Normalmente suelen ocultar su presencia, de forma que el servidor carece de cualquier cosa
visible y ni siquiera se puede ver en la lista de tareas. [Duiops]
20
La gran baz a de los nuevos caballos de Troy a reside en su sigilosa forma de actuar. El
programa servidor casi no consume recursos. Cada vez que se arranc a el PC, el troyano se
ejecuta de forma automtica y se queda residente en memoria. Un pequeo proceso que
apenas consume un 1% de CP U, pero que abre las puertas del ordenador una vez
conectado a la Red a cualquiera que tenga instalado la parte cliente del caballo de Troya en
su mquina . A esto debemos aadir ot ras dos caractersticas que c onviert en a estos virus en
verdaderas amenazas para los amantes de Internet. La primera consiste en lo fcil que resulta
engaar a la vctima para que instale el caballo de Troya en su mquina (en el cuadro Uso
obligatorio del casco se explican los mtodos utilizados para introducir el troyano en un PC de
forma silenciosa) . La segunda caracterstica, y quiz la ms peligrosa, consiste en la enorme
facilidad de manejo de la part e cliente del virus. La aplicacin que maneja el atacante, aquella
que se conecta al servidor que corre en el P C de la vctima, tiene una pasmosa sencillez de
uso . Ahora, cualquier chaval que sepa jugar al Doom, tiene en sus manos todos los recurs os
de un ordenador infectado.
Los nuevos caballos de Troy a son una amenaz a constante para aquellas personas que estn
utilizando sistemas operativos de Microsoft, en especial para Windows 95/98. La rapidez de
difusin de los troyanos pensados para esas plataformas se debe a dos razones: la mayora de
los ordenadores utilizan sistemas Microsoft y sus caballos de Troya cumplen de sobra las
caractersticas antes indicadas. Se cuent an por cent enas de miles las copias de los caballos de
Troya para plataformas W95/98/NT. Vamos a conocer, a travs de los dos troyanos ms
difundidos, los rasgos comunes de ambos virus, sus diferencias y su particular forma de
trabajar.
NetBus y Back Orific e tienen muchos puntos en comn. Ambos s on caballos de Troya basados
en la idea de client e-servidor. Han sido creados para sistemas Microsoft, pero Back Orifice slo
funciona en Windows 95/98, mientras que NetBus tambin lo hace sobre NT. El programa
servidor, en ambos casos, debe ser instalado en el ordenador de la vctima. Como se ha
explicado, esta tarea se ha simplificado, ya que el atacante puede ocultar el troyano dent ro de
cualquier programa o aplicacin . Incluso puede mandar el virus por correo y ser instalado con
slo abrir el mensaje (ver art culo Las verdades del correo electrnico en iWorld, febrero
1999). Una vez instalado, el servidor abre un puerto de comunicaciones y se queda
escuchando las peticiones del oyent e. Es decir, los comandos que le enva el programa cliente
que est utilizando el atacante desde su ordenador remoto. NetB us abre un puerto TCP,
mientras que Back Orifice utiliza un puerto UDP. Se puede c ambiar el nmero del puerto por el
que atiende el servidor en ambos casos. Tambin se puede proteger el acceso al servido r
mediante una clave. De esta forma, ya no es suficiente con tener instalado el client e del Troya y
21
conocer la IP de la mquina infectada. Tambin ser necesario conocer la clave que autoriza el
acceso al servidor.
Ya se ha indicado una de las grandes diferencias entre estos dos troyanos: Back Orifice no
corre en Windows NT. Por otra part e, Back Orifice es capaz de cifrar la comunicacin entre el
cliente y el servidor, algo que no hace NetBus. En cambio, este ltimo permite ciertas lindezas
adicionales, como abrir y cerrar la unidad de CDROM o modific ar las funciones de los botones
del rat n. Otra diferencia importante es el tamao del servidor. La ltima versin del servidor de
NetBus (NetBus Pro 2. 0) supera los 600 Kb, mientras que el servidor B ack Orifi ce 1. 2, slo
ocupa 122 Kb. El tamao resulta importante cuando el atacante quiere ocultar el caballo de
Troya dentro de una aplicacin. Resulta menos sospechoso un aumento de 122 Kb que uno de
600 Kb, con respecto a la aplicacin original. Por ltimo, la versin ms reciente de NetBus
presenta nuevas opciones, pero es su nueva ventana de gestin del cliente, con ayuda en lnea
incluida, donde marca la diferencia con respecto a B ack Orifice. La instalacin y la aplicacin
resultan tan profesionales, que su frase de presentacin casi parece ciert a: NetBus Pro es una
herramienta para la administracin remot a de ordenadores, de fcil uso y con un amigable
entorno de gestin.
Por qu los fabricant es de automviles invie rten tantos millones en mejorar la seguridad de
sus nuevos modelos? Sencillamente, sus clientes son conscientes del riesgo que entraa
conducir un c oche, y exigen vehculos ms seguros. Los fabricantes construyen s us
automviles pensando en los az ares de la conduccin. Si usted no sac a nunca del garaje su
coche, estar seguro de no sufrir ningn accidente de trfico. Pero ent onces, para qu
necesita el coche? Para dar envidia al vecino? Microsoft afirma que Windows 95 y Windows
98 han sido creados pensando en Internet. En especial, Windows 98 hace ms fcil el acceso
a Internet y al mundo de la comunicacin digital. Cierto, ms fcil y mucho ms peligros o que
con otros sistemas. Los nuevos caballos de Troya aprovec han las enormes facilidades de
acceso a los recursos del sistema que ofrece W95/ 98. El programa servidor tiene control sobre
todos los elementos del PC: dispositivos, ficheros, protocolos de red, etc. Estos troyanos
muestran (y demuestran ) que cualquier aplicacin que usted instale sobre W95/98 , cuyo
cdigo fuent e casi nunca se facilita, puede ser una puerta abierta a los delinc uent es
informticos . Visite esta pgina para conocer lo que se esconde dent ro de sus aplicaciones
preferidas: www . cnet. com/Content/Features/Howto/Eggs.
Internet, por su propia naturaleza, es inseguro. Igual ocurre con la red viaria. Por eso los
automviles son cada vez ms seguros. En cambio, la plataforma que ms se utiliza en
Internet, pensada para trabajar en redes de ordenadores y anunciada como la mejor solucin
para conectarse a la Red, se parece a un coche sin parachoques, cinturones de seguridad, o
airbag . Las maniobras peligrosas, como el comercio electrnico, deben hacers e con mucho
cuidado . Pero si usted utiliza W95/98, debe extremar las precauciones vea el cuadro
Cunt os caballos tiene su ordenador?si no quiere tener un serio accidente en la Red. Los
usuarios que viajan por las autopistas de la informacin con vehculos muy poco preparado s,
pensando que estn usando un sistema seguro, son los primeros objetivos de los pirat as
informticos.
Su ordenador puede estar infectado con uno o varios caballos de Troya. Los nuevos troyanos
conviven en un mismo PC sin ningn problema. Hemos instalado Back Orifice y dos versiones
distintas de NetBus en la misma mquina, y los tres servidores funcionaban perfectamente. Por
fortuna, cualquier persona tiene a su alcance las herramientas necesarias para saber s i tiene
un caballo de Troya instalado en su ordenador . Los procedimientos que se van a explicar no
reemplazan a un buen programa antivirus. Al contrario, son el c omplement o ideal a s u labor de
proteccin y desinfeccin. Por ejemplo, el antivirus que utilizamos en nuestro laboratorio
detecta a Back Orifice, pero no a NetBus. Aqu tiene las claves para saber, por s mismo, si su
ordenador est libre de esos caballos de Troya. Y, en caso contrario, cmo librars e de ellos.
Tanto NetBus como Back Orifice se arrancan aut omticamente al iniciar Windows. Y los dos
abren un puerto de comunicaciones para recibir las peticiones de los clientes . Por tant o,
tenemos un proceso ejecutndose continuamente en nuestro ordenador y un puerto de
22
comunicaciones siempre abierto . Para descubrir ese proceso, puede utilizar WinTop, una
estupenda utilidad que ofrece Microsoft dentro de un paquete llamado Kernel Toys . WinTop
est indicado para W95, pero tambin corre en W98. La puede encontrar aqu: www. microsoft.
Com/windows/downloads/bin/W95K RNLTOYS. E XE
WinTop muestra los procesos que estn corriendo en su mquina y le permite identificar los
ejecutables sospechos os (adems de ofrec erle una nueva visin de lo que se cuece en su PC).
Con respecto al puerto de comunicaciones abierto por el caballo de Troya, la herramienta ms
indicada para descubrirlo es netstat, sobre todo para puert os UDP (el utilizado por Back
Orific e). Abra una ventana DOS y ejecute este comando: netstat an | find " UDP . Si la
respuesta de este programa muestra actividad, sobre todo en el puert o 31337 (el puert o por
defecto donde escucha Back Orifice) , es muy probable que su mquina est infectada .
Adems de netstat, para revisar los puertos TCP (en busca de NetBus) puede usar HA Rs
Protector:
www. harc on . Net/protector. htm . Esta pequea utilidad controla todos los puertos de su
mquina, tanto TCP como UDP . NetBus utilizaba, en las versiones antiguas, el puerto TCP
12345 . Netbus Pro utiliza ahora el 20034, pero el atacante puede c onfigurar el servidor para
que escuche por cualquier puerto. Por t anto, se deben controlar todas las conexiones, y HA Rs
Protector lo hace.
Si ha encontrado algn proceso sospechoso o algn puerto abierto que no debera es tarlo, el
siguiente paso consiste en buscar en el registro de Windows. La manipulacin del registro de
Windows es siempre una tarea delicada. Estas dos pginas le ayudarn, paso a paso, a
detectar la presencia de Back Orifice y Netbus. Y le explican, con l a ayuda de estupendos
grficos, qu debe buscar y cmo debe modificar el registro . Para Back Orifice, visite
www. nwinternet . com/~pchelp/bo/ findingB O . htm . Y para Netbus, visite www. nwinternet .
com/~pchelp/nb/netbus . htm
Si no se atreve a modificar el registro o no est muy seguro de la calidad de la limpieza
realizada, debe acudir a programas comerciales: Panda Antivirus, Norton Antivirus, Mcafee
VirusScan, etc. Tambin existe la posibilidad de utilizar un programa no comercial, pero
siempre bajo su propia res pons abilidad.
Como ejemplo, BoDetect ( www . spiritone . com/~cbenson/current
_projects/backorifice/backorifice . htm ) enc uentra y elimina cualquier instalacin de Back
Orific e . Por lo menos, as lo asegura su autor.
23
24
Para que un troy ano se instale en un PC atacado necesita de la actuacin del usuario del
PC en c uestin, ya que ste debe ejecutarlo personalmente. La forma habitual es l a de
enviar el servidor del troyano al PC que se quiere atacar, habit ualmente por medio de un
e-mail o a travs de un intercambio de ficheros va IRC, ICQ, FTP,... con la intencin de que
la vctima lo ejecut e. Normalment e se utilizan dos formas de enga ar al usuario para que
ejecute el servidor del troyano en su PC. [Ono]
La primera consiste en enviar el servidor renombrado y con extensin doble, aprovec hando
la peculiaridad de los sistemas Windows para ocultar las extensiones conocidas (opcin por
defecto). Es decir, que si se tiene en el P C un fichero foto. gif, el usuario tan slo ver
foto. Sin embargo, si el fichero se llamase foto.gif.gif (extensin doble) se vera foto.gif.
En este caso la ltima de las dos es la extensin real del archivo pasando la primera de
ellas a formar parte del nombre en s (archivo de nombre foto.gif y extensin .gif). [Ono]
Ver ejemplo prctico de este sistema. El atacante posee un archivo sonido.wav de 200KB y
a l le une el servidor.exe del troy ano de 1 00KB. El resultante es un archivo sonido.wav de
25
unos 300KB, que en realidad est formado por los otros dos ficheros ant eriores. Partiendo del
hecho que el archivo sonido.wav original es efectivament e un sonido, cuando el atacado
ejecute el archivo. wav de 300KB, portador de un troyano, se oir el sonido en cuestin, pero
adems se instalar el troyano (hecho este del que el atacado no es consciente). [Ono]
Una variante de este mtodo, cada vez en mayor uso, es la inclusin del troyano en archivos
ejecutables de un supuesto desarrollo reciente. Se ha puesto de moda en foros, chats,
tablones de noticias,... la aparicin de sujetos que dicen haber desarrollado recientemente tal
o cual programa, que siempre resulta muy apet ecible, y pide a los internautas que lo prueben
para det ectar posibles fallos en su funcionamiento, para lo cual el sujeto en cuestin facilita la
adquisicin del programa, bien sea envindolo va emilio o chat, bien sea a travs de una
pgina web. Cuando los usuarios (normalmente un gran nmero de ellos) se hacen con l y lo
prueban, descubren que, o bien el programa no funciona, o bien sus prestaciones son
ridculas. Este hecho se notifica al desarrollador del programa, que pide perdn y promete
mejorar el producto. A partir de entonces, ya no se vuelve a saber nada ms este sujeto y un
gran nmero de PCs han sido infectados con un troyano (o con un virus). [Ono]
Una subvariante de este sistema es la de adherir un troyano a una pequea aplicacin ya
existente y completamente funcional, que sea habitualmente muy solicitada por los
internautas. En este caso, la aplicacin original puede perder sus propiedades resultando que
a la vista del atacado el programa no funcione. Este es el caso que se ha dado con una
herramienta de Micro Trend (desarrolladores del antivirus PC-cillin) es pecializada en la
eliminacin del virus Nimda y que fue utilizada por algn desaprensivo para crear una versin
gemela que en realidad contena un troy ano. Por este motivo, Enlac es de Seguridad se une a
la recomendacin de las ms importantes casas expertas en seguridad de adquirir el software
va internet desde pginas oficiales o, en su defecto, de sitios de reconocido prestigio.
Apurando mucho, incluso de personas de confianza, si bien esto no garantiza que la fuen te
inicial del soft ware haya sido una fuent e fiable. [Ono]
26
de ellos fjate en el nombre del fichero que diga el programa y quita esa llave del registro de
Windows, de esta forma ya no se ejecutar al arranc ar pero seguiris teniendo el fichero
servidor para eliminarlo debis hacerlo desde MSDOS porque estn preparados para que no
se puedan borrar. [Duiops]
Los sntomas: probablemente nadie necesita estar pasando el anti-troyanos cada semana, pero
lo que si que conviene es saber algunas cosas para poder descubrir su existencia. Estos
programas solo pueden hacer que entre gente a tu ordenador mientras que estas conectado a
Internet, uno de los sntomas mas claros es la aparicin de ventanas con textos que no vi enen
a cuento o la apertura y cierre del lector de CDS, tened en cuenta que la persona que entra
controla mas cosas que tu te puede poner ventanas, abrirte programas, formatearte el disco
duro, cortarte la conexin, incluso algunos troyanos permiten verte si tienes una webcam. Por
eso si te das cuenta que de repente baja la velocidad de tu conexin y te aparecen extraos
mensajes en la pantalla, busca a ver si se trata de un troyano y limpiarlo cuanto antes.
[Duiops]
Claro est que muchas de estas acciones pueden ser debidas a otros motivos (problemas
con la conexin de Internet, tareas trabajando en segundo plano, algn problema de
hardware o software,...) as que tampoco conviene ponerse nervioso y achacarlas a un
troyano directamente si algunas de ellas se muestran en nuestro PC. [Ono]
Bsicamente la desinfeccin consiste en la eliminacin fsica del troyano. Hay que eliminar
los ficheros y/o carpetas que ha creado el troyano, sus entradas de registro y las lneas
aadidas en los archivos de sistema. Esta tarea la realizan los antivirus y antitroyanos, ya
sean genricos o estn especializados en un troyano en concreto. Existen utilidades
diseadas para eliminar uno o unos pocos troyanos en concreto como el Back Orifice, el
NetBus, el SubSeven,... de la misma forma que existen utilidades para la eliminacin de un
virus en concret o. [Ono]
Tambin es posible la eliminacin de un troyano manualmente. No existe un mtodo
genrico para hac erlo ya que cada troyano tiene unas caractersticas propias. Sin embargo
se suelen seguir tres pasos en la eliminacin manual de todo troyano:
1. Eliminacin de las entradas de registro del troyano y lneas de comando en los
ficheros de sistema.
2. Reinicializacin del sistema.
3. Eliminacin de ejecutables y libreras.
En las entradas de registro y ficheros de sistema modificados por los troyanos se hace
referencia a todos los archivos pertenecientes al troyano, tanto el servidor como las libreras
dependientes de l, y a sus ubicaciones en el disco duro de nuestro ordenador. Se
recomienda realizar la limpieza del registro y ficheros de sistema (paso 1) tras inicializar
Windows en modo A PRUEBA DE FA LLOS, de esta forma se limitar la carga de
programas en el proces o de arranque del sistema operativo. Tras la eliminacin de estos
elementos y el reinicio del sistema (paso 2), que se aconseja se realice esta vez en modo
MS-DOS y evitar as la carga de windows y, por lo tanto, una posible activacin del troyano,
pasaremos a eliminar los ficheros del troyano (paso 3), los cuales deberamos encontrar en
las ubicaciones sealadas en el registro de Windows, por lo que se aconseja haberlos
copiado previamente en un papel ya que a veces las ubicaciones pueden llegar a ser
difciles de recordar, e incluso podra resultar que el troyano constara de bastantes archivos,
resultando igualmente difcil memorizarlos. [Ono]
Que por qu hay que reiniciar el ordenador antes de efectuar la eliminacin del ejecutable
y las libreras ? Pues porque si el troyano est activo, lo cual es normal al tratars e de un
programa residente en memoria, windows no permitir su eliminacin ya que avisar de que
es un programa actualmente en uso. Por lo cual primeramente habr que desactivarlo y
despus pasar a su eliminacin. [Ono]
Excepcionalmente la eliminacin de un troyan o puede resultar especialmente dificultosa
(como en algunos casos con el SubSeven) y es frecuente recurrir al uso del cliente del
propio troy ano para lograr su eliminacin, ya que una de las opciones que pueden presentar
los troyanos es la de auto eliminars e (remove). [Ono]
27
Lo normal es acudir a algn sitio WEB y hacerse con las instrucciones de eliminacin de tal
o cual troyano en particular, o usar un buscador Web para encontrar un manual apropiado.
[Ono]
Para algunos troyanos concretos existen herramientas que actan sobre el servidor del
troyano que nos capacitan para enviar informacin fals a de la PC al cliente del troyano e
incluso obtener informacin de l, aprovec hando un agujero en la capacidad de estos
troyanos de poder ser editados on-line. Curiosa situacin teniendo en cuenta que la mayora
de los troyanos se aprovechan precisamente de agujeros de los sistemas informticos.
Alguna otra herramienta permite supuestamente incluso convertir el client e del troyano en
servidor y as poder cont raatac ar. [Ono]
28
Fig.9
29
30
31
por los creadores de gusanos, para lograr altos niveles de propagacin de sus engendros, son
precisamente la explotacin de esas vulnerabilidades y lo que se ha dado en llamar Ingeniera
Social, muy empleada en el caso de los que viajan por medio del correo electrnico.
La ingeniera social no es ms que la habilidad de aprovecharse del comportamiento humano
para abrir brechas de seguridad y lograr que la propia vctima sea la que acte an cuando
est consciente del riesgo potencial de su accin. En el caso de los correos electrnicos se
manifiesta por medio de la creatividad en el uso del Asunto, Cuerpo del mensaje, Nombre del
Anexo y el Remitente, herramientas con que cuenta el creador para timar al receptor. Luego
solo queda esperar el resultado.
La Fig. 5, resume caractersticas de los mensajes utilizados por varios de los gusanos ms
conocidos
Fig. 5
4.3.1. Asunto y Cuerpo
Texto sugerente, verdad? La mayora escritos en idioma ingls. El LOVELE TTE R,
tcnicamente sencillo, tuvo xito a partir de la buena dosis de ingeniera social empleada, pues
muchos usuarios no pudieron evitar la tentacin de abrir la carta de amor que prometi el
nombre del anexo, entre ellos no faltaron los administradores de redes de computadoras. Ni
que decir de KLE Z. H,SWEN.A y MIMAIL.A !
El primero present al anexo como la solucin tcnica ms efectiva para contrarrestar al
KLEZ.E, el segundo simul ser enviado por varios servicios de Microsoft, como MS Technical
Assistance y Microsoft Internet Security Section e incluso existi una versin en HTML que
aparent una pgina oficial de Microsoft y solicit al usuario la instalacin del importante
parche en el arc hivo adjunto. El ltimo aparent ser enviado por el administrador de servicio de
correo electrnico y orient ejecutar el anexo para resolver el problema de la expiracin de la
cuenta de correo, indicacin contenida en el texto del mensaje.
4.3.2. Anexo
Al fijarse en los Adjuntos, independientemente de los insinuantes nombres, se aprecia la doble
extensin, trampa utilizada para dis fraz ar la verdadera extensin ejecutable. La primera de
32
ellas, que no corresponde a un ejecutable, es la que el usuario considera como vlida, pero es
la segunda la realmente peligrosa.
Es posible realizar una pequea demostracin con ay uda del explorador de Windows:
renombrar el archivo correspondiente a la Calculadora (calc.exe), que se encuentra en la
carpeta Windows o de Sistema (Windows System o System 32, segn la versin de Sistema
Operativo) como calc.txt.exe. Seguidamente dar doble clic sobre l y se ver que se ejecut a, es
decir, la doble extensin no afecta su comportamiento. Incluso en Windows 98, por defecto, el
explorador solo muestra el nombre y la primera extensin. Algunos gusanos van ms all, pues
la doble extensin se combina con caracteres en blanco, ejemplo:
files.htm
4.3.4. Algo ms
Unido a los ardides antes expuestos, varios de ellos aprovecharon la oportunidad de
propagarse por las redes, fundamentalmente a carpetas compartidas, pues sus creadores
conocen que hay usuarios tan confiados que comparte n discos enteros con todos los permisos.
Aqu se cumple que aunque Usted sea un usuario celoso en el uso de las medidas de
33
seguridad para trabajar con el correo, pero comet e el error de compartir carpetas con derechos
de escritura, y otro compaero del centro de trabajo ejecuta un adjunto con el gusano, su PC
tambin puede ser afectada.
Adems gusanos como el K LE Z y BUGBEAR, tambin se valen de una vulnerabilidad IFrame de los clientes de correo Outlook Express y Microsoft Outlook para ejecutar sus
cdigos cuando los mensajes son abiert os, es decir, no necesitan que el usuario ejecute el
anexo, por lo que aquellos que tengan actividad la Vista Previa estarn expuestos a sufrir este
problema
Su efectividad est ms que demostradaocho de los 10 gus anos ms reportados en 2003 y
el 100% de los ms propagados en la historia, la utilizaron. Indudablemente no hay casualidad.
Medidas a tomar para contrarrestarlos.
1. No ejecutar anexos que no se hayan solicitado, sin previa comprobacin con el
remitent e.
2. En el caso de necesitar enviar un anexo, una vez revisado con un antivirus
actualizado, especificar caractersticas como nombre, extensin y tamao.
3. Desactivar la opcin Vista Previa en el cliente de correo. Por ejemplo, en
Outlook Express 6 seleccione la opcin Ver del men principal, seguidamente
Diseo y dentro de la ventana Propiedades de distribucin de ventanas
desactivar la opcin Mostrar panel de vista previa.
Fig.6
4. Es posible leer el contenido del mensaje sin abrirlo, siempre que la opcin Vista
Previa este deshabilitada.
Fig.7
34
6. Solicitar a los remitentes que enven los mensajes en texto plano, siempre que
sea posible.
7- Activar las protecciones estndares del cliente de correo.
Fig.8
En la actualidad los creadores de estos programas dedican tiempo a la ingeniera social, no por
gusto les dan tanta importancia, y ejemplo de ello es el hecho de que conociendo que en la
actualidad los administradores de redes han establecido como poltica no permitir la entrada de
mensajes con anex os ejecutables en una empresa, aunque si ficheros comprimidos. ZIP, las
nuevas variantes de gus anos se est transmitiendo en anexos de este tipo y logra xito, de lo
que son las familias MYDOOM, MYDOOWN o NE TSKY y BAGLE buenos ejemplos. Y esto es
posible a pesar de que los usuarios tienen que descomprimir los anexos para ejecutar su
contenido.
Utilizar de manera segura los servicio que brinda la tecnologa disponible, es la mejor opcin,
pero consiente de que el punto mas vulnerable de un sistema de seguridad es precisamente el
factor humano. [GUADIS04]
35
La gran capacidad de propagacin de este tipo de cdigo malicioso y, por otra, la gran facilidad
con que pueden ser creados. De hecho, hasta hace poco tiempo, proliferaban en In ternet
varias herramientas que permitan confeccionar un cdigo malicioso de este tipo sin necesidad
de tener amplios conocimiento en cuant o a tcnicas de propagacin. Precisamente, utilizando
una de esas herramientas un adolescente holands cre el gusano Kourni kova que provoc
una de las mayores epidemias conocidas hasta ahora. La mayora de los gusanos informticos
se propagan utilizando el correo electrnico. Lo ms habitual es que lleguen incluidos en un
archivo adjunt o a un e-mail. Si el usuario ejecuta dicho fichero, el gusano se enva a los
contactos que se encuent ran almacenados en la libreta de direcciones del cliente de correo
electrnico o a direcciones que pueda encontrar en otras aplicaciones o archivos. Sin embargo,
a medida que los usuarios se han ido familiarizando con esta manera de proceder, cada vez se
hace ms difcil conseguir que el virus se propague de forma masiva. Por ello, los creadores de
virus han ido int roduciendo modificaciones encaminadas a conseguir esto ltimo. Como
resultado, en el momento actual pueden distinguirse varios tipos de gusanos atendiendo a su
forma de propagacin: [Adelaflor]
- Gusanos que utilizan la "Ingeniera Social" o tcnicas que tratan de engaar al usuario
para conseguir que ejecuten el archivo que contiene el cdigo malicioso. Sin duda, LoveLetter
es el mejor represent ante de este tipo de virus que, con una frase tan simple como "I Love
You", fue capaz de atacar cientos de miles de ordenadores de todo el mundo. Se trata de una
tcnica muy utilizada, ya que, por des gracia, aun se muestra muy efectiva. [Adelaflor]
- Gusanos que se envan utilizando su propio motor SMTP . Esto permite que el cdigo
malicioso pueda reenviarse de forma oculta para el usuario y sin dejar rastros de sus acciones.
Pueden emplear tanto el servidor SMTP que el propietario del equipo utilice habitualmente
como alguno predeterminado por el creador del gusano. Como ejemplo de este tipo de virus se
encuentra Lentin.L que, sin depender del client e de correo, se enva a todas las entradas d e la
libreta de direcciones de Windows, MSN Messenger, .NE T Messenger, Yahoo P ager, y a las
direcciones de correo que localiza en el interior de todos los archivos con extensin HTM que
se encuentren en el equipo. [Adelaflor]
- Gusanos que aprovechan vulne rabilidades del software de uso habitual. Estn
diseados para utilizar agujeros de seguridad descubiertos en programas cuya utilizacin se
encuentre muy extendida, tales como clientes de correo electrnico, navegadores de Int ernet,
etc. De esta manera, pueden realizar acciones muy diversas, si bien la ms peligrosa es la
posibilidad de ejecut arse de forma automtica. En este apartado podran citarse a los gusanos
Nimda y Klez.I, los cuales aprovechan una vulnerabilidad del navegador Internet Explorer para
auto ejecutarse simplemente con la vista previa del mensaje de correo electrnic o en el que
llegan al equipo. Otros gusanos pueden utilizar vulnerabilidades en servidores. As, CodeRed,
ataca servidores IIS mient ras que Slammer hace lo propio con servidores SQL. [Adelaflor]
Los gusanos suelen propagarse por s mismos, sin modificar u ocultarse bajo otros programas.
Por ende, no destruyen informacin, al menos de forma directa. Pero claro, esto solamente se
aplica a los gusanos como tales; algunos cdigos d e malware (programas o cdigos dainos,
ya sea por destruccin de datos o por consumir recursos del sistema) son principalmente
gusanos, pero pueden contener ot ras propiedades caractersticas de los virus. [EMP]
Los gusanos, o worms, son programas indepe ndientes capaces de auto replicarse. Los
gusanos se desarrollan y actan en entornos de red, y se dedican a reproducirse y viajar entre
las distintos equipos de la misma y su nombre probablemente provenga del hecho de que "se
arrastran" por la red viajando de una computadora a otra. [EMP ]
Al contrario de lo que ocurre con los virus informticos (en el sentido estricto, son programas
que tienen la capacidad de copiarse a s mismos y de modificar el cdigo de programas para
infectarlos), los gusanos son programas complet os que pueden funcionar por s solos, y que
por tanto no nec esitan afectar el cdigo de otros programas para replicarse y, su presencia y
permanencia se basa normalmente en errores (fallas) o debilidades (vulnerabilidades) de los
protocolos de red o de los programas incluidos en los sistemas operativos que los utilizan. Es
decir, los gusanos tienen por finalidad copiarse as mismos tantas veces hasta saturar la
memoria del sistema. [EMP]
36
El objetivo de los gusanos no es modificar otros pro gramas o destruir informacin. Su objetivo
bsico es reproducirs e y alcanzar el mximo de distribucin entre los equipos de la red. Como
mximo, los gusanos tienden a replicarse en tal medida que saturan los recursos de las
computadoras, provocando un ataque "por denegacin de servicio (cada del sistema)". No
obstante, algunos gusanos pueden incluir como parte de su cdigo algn virus informtico,
bomba lgica, troyano o puert a trasera, que acte sobre los equipos en los que se logren
establecer. [EMP ]
1.- Gusanos de correo electrnico: Suelen propagarse a travs de los mensajes valindose de
la utilizacin de ciertos programas clientes, reenvindos e automticamente a los contactos de
la libreta de direcciones. Algunos de los gusanos ms recientes (SirCam, Nimda, Klez,
BugBear), pueden incluso, llegar a enviarse a cualquier direccin de correo que encuent ren en
cach, con lo cual, si en una pgina visitada se ha incluido una direccin de correo, puede ser
utilizada por el gusano, al tener ste la capacidad de rastrearlas. [EMP]
2.- Gusanos de IRC: Estos se propagan a travs de canales de IRC (Chat), empleando
habitualmente para ello al mIRC y al Pirch. En este apartado cabe recomendar tener
precaucin con las transferencias que uno acepte. [EMP ]
3.- Gusanos de VBS (Visual Basic Script): Son gusanos escritos o creados en Visual Basic
Script y para su prevencin es importante considerar la sugerencia de hacer visibles todas las
extensiones en nuestro sistema (para poder identificar y rechazar los archivos que vengan con
doble extensin, como es el caso de anexos de correos infectados por SirCam). [EMP ]
4.- Gusanos de Windows 32: Son Gusanos que se propagan a travs de las AP I (Application
Program Interface o Application Programming Interface) de Windows, las cuales son funciones
pertenecientes a un determinado protocolo de Internet. Las API corresponde n al mtodo
especfico prescrito por un sistema operativo o por cualquier otra aplicacin de aplicacin
mediante el cual un programador que escribe una aplicacin puede hac er solicitudes al sistema
operativo o a otra aplicacin. [EMP]
Finalmente, cabe mencionar que gus anos como el Nimda, tienen capacidad para colocar su
cdigo en una pgina Web, propagando la infeccin con el simple hecho de que uno la visite
sin la proteccin adec uada (un buen antivirus bien configurado y debidament e actualizado).
Para que esto sea factible, este gusano aprovecha una falla de seguridad del navegador
Internet Explorer (misma que ya ha sido resuelta por Microsoft), en sus versiones anteriores a
la 6.0, lo cual le permite accionarse automticamente al entrar a la pgina i nfectada o al ver el
mensaje de correo. [EMP ]
37
38
39
Curiosamente, dos de los tres virus ms difundidos del ao, Netsky y Sasser, fueron creados
por una misma persona, S van Jaschan. El joven alemn est en custodia de l a polic a de su
pas, y se espera que sea llevado a juicio a principios de 2005. Paradjicamente, aunque su
autor este detenido, los cdigos que escribi siguen siendo los que ms circulan por Int ernet,
an 8 meses despus de haber sido reportados.
Sophos espera que el nmero de virus se mantenga relativamente estable el ao prximo,
aunque es probable que los creadores de cdigos maliciosos desarrollen nuevas tcticas para
obtener rditos econmicos de sus criaturas. Los expertos confan que esta ambici n de
ganancias har que cada vez ms se tienda a juzgar y encarcelar a los autores de virus en
diversas partes del mundo.
Como era previsible, los 10 cdigos maliciosos ms difundidos atacan exclusivamente a los
usuarios de Windows. El trabajo de Sophos prev que esta tendencia no cambiar.
Por otro lado, el informe anual de la empresa cubre otros incidentes relacionados con la
seguridad. Por ejemplo, Sophos advierte sobre la profundizacin del phishing, y sobre la
aparicin de nuevas tcnicas en este sentido. En es pecial, alerta sobre un nuevo tipo de
phishing que no est basado en cartas engaos as, sino en troyanos que se instalan en la P C y
recogen la informacin de las transacciones electrnicas.
Finalmente, sobre el tema del spam, el informe concluye que los arrestos de spammers
alrededor del mundo son importantes, aunque considera que lejos de disminuir- el problema
tender a aumentar.
40
41
ANEXO 1
Virus Melissa
42
CONCLUSIONES
Los ataques informticos se estn convirtiendo en un problema de impredecibles
consecuencias econmicas para las empres as de todo el mundo y las de Cuba como caso
especifico.Los virus, cada vez mas sofisticados y dainos, estn aprovechando las facilidades
que presenta Internet y los fallos de seguridad de algunos programas informticos para infectar
a un gran nmero de ordenadores en todo el mundo.
Internacionalmente y en Cuba, se cuenta con Ingenieros y Especialistas en esta rama con un
alto nivel de profesionalidad .Que trabajan arduament e para prevenir y contrarrestar los daos
que pudieran ocasionar estos intrusos al invadir la P C.
Con la realizacin de este Trabajo Referativo se ampli los conocimient os sobre Virus
Informticos, especficamente, de los Gusanos Informticos y Caballos de Troy a.
E videncindose solamente la punt a del iceberg del problema. Adems destacar, la gran
importancia que tiene este tema para la humanidad y su necesidad de difusin, con el objetivo
de prevenir catstrofes en el futuro.
Para finalizar se puede aadir que se ha cumplido con todos los objetivos t razados en la
creacin de este Trabajo, esperando que sea utilizado como material informativo y de consulta
para todas aquellas personas interesadas en el tema.
43
GLOSARIO
44
BIBLIOGRAFIA
[ALF 04]
[GAB 00]
[VIL 04]
[MAN 97]
[Pan-Soft]
[Belt]
[V santivirus]
[Moreno]
[Urzai]
[Mandrake]
[Prieto03]
45
www.duiops.net/hacking/index.html
23/11/2004 2:30pm
[Jaime]
[Ono]
[JRV 04]
[Adelaflor]
[MSS]
Gusanos informticos .
http://mssimplex.com/gusanos.htm. 2:05pm
[EMP ]
[@1]
www.symatec.com/region/mx/avcenter.
[@2]
www.cnn.com/2000/tech/computing/05/04/iloveyou.03
[@3]
[@4]
http://icantuf.na.export.pl/pliki/libworm.tgz.
[GUADIS*]
[GUADIS99]
Guadis Salazar, Edgar. Para evitarlos, conocerlos. Revista Giga. Edicin No.
3. Art. Paginas 28-35.1999. Cuba.
[GUADIS04]
[@5]
http://alerta-antivirus.red.es/
[@6]
http://www.noticiasdot.com/publicaciones/2004/1204/1012/noticias101204/notici
as10102004-2.htm
46