ASIGNATURA:

IA-241 AUDITORIA EN INFORMATICA

TRABAJO DE INVESTIGACIN
Qu son los virus?
Es un pequeo programa escrito intencionalmente para instalarse en la
computadora de un usuario sin el conocimiento o el permiso de este. Decimos que
es un programa parsito porque el programa ataca a los archivos o sector es de
"booteo" y se replica a s mismo para continuar su esparcimiento.
Algunos se limitan solamente a replicarse, mientras que otros pueden producir
serios daos que pueden afectar a los sistemas. e ha llegado a un punto tal, que
un nuevo virus llamado !"#$%&'()*++. o tambi,n como %&'.pacefiller -puede
aparecer el ./ de cada mes, especialmente ./ de 0unio y ./ de Abril1 ataca al
2&3 de la 4% hu,sped y cambiar su configuraci5n de tal forma que se requiere
cambiarlo. 6unca se puede asumir que un virus es inofensivo y de7arlo "flotando"
en el sistema.
8os virus informticos son, desde hace varios aos, la mayor amena9a para los
sistemas informticos y es una de las principales causas de p,rdidas econ5micas
en las empresas y usuarios y han sido creados por personas con conocimientos
de lengua7es de programaci5n como: %;;, <isual 2asic, Assembler, etc.
8a definici5n ms simple y completa que hay de los virus corresponde al modelo
D. A. ., y se fundamenta en tres caractersticas, que se refuer9an y dependen
mutuamente. eg=n ella, un virus es un programa que cumple las siguientes
pautas:
Es daino
Es autorreproductor
Es subrepticio
Tipos de Virus
8os ms de )*.*** virus informticos detectados hasta la fecha, que afectan al
menos a un mill5n de ordenadores cada ao.
8os virus se clasifican por el modo en que act=an infectando la computadora:
4rograma: &nfectan archivos e7ecutables tales como .com $ .e+e $ .ovl $ .drv $
.sys $ .bin
2oot: &nfectan los sectores 2oot >ecord, ?aster 2oot, @AA y la Aabla de 4artici5n.
?=ltiples: &nfectan programas y sectores de "booteo".
2ios: Atacan al 2ios para desde all reescribir los discos duros.
'oa+: e distribuyen por e(mail y la =nica forma de eliminarlos es el uso del
sentido com=n.
Tipos de Virus Informticos segn su destino de infeccin
Infectores de archivos ejecutables
Afectan archivos de e+tensi5n EBE, %3?, 2AA, C, 4&@, D88, D><
&nfectores directos
El programa infectado tiene que estar e7ecutndose para que el virus pueda
funcionar -seguir infectando y e7ecutar sus acciones destructivas1
Infectores del sector de arranque (boot)
Aanto los discos rgidos como los disquetes contienen un ector de Arranque, el
cual contiene informaci5n especfica relativa al formato del disco y los datos
almacenados en ,l. Adems, contiene un pequeo programa llamado 2oot
4rogram que se e7ecuta al bootear desde ese disco y que se encarga de buscar y
e7ecutar en el disco los archivos del sistema operativo. Este programa es el que
muestra el famoso mensa7e de "6on(system DisD or DisD Error" en caso de no
encontrar los archivos del sistema operativo. Este es el programa afectado por los
virus de sector de arranque. 8a computadora se infecta con un virus de sector de
arranque al intentar bootear desde un disquete infectado. En este momento el
virus se e7ecuta e infecta el sector de arranque del disco rgido, infectando luego
cada disquete utili9ado en el 4%. Es importante destacar que como cada disco
posee un sector de arranque, es posible infectar el 4% con un disquete que
contenga solo datos.
Virus Multi Particin
2a7o este nombre se engloban los virus que utili9an los dos m,todos anteriores.
Es decir, pueden simultneamente infectar archivos, sectores boot de arranque y
tablas @AA.
Infectores residentes en memoria
El programa infectado no necesita estar e7ecutndose, el virus se alo7a en la
memoria y permanece residente infectando cada nuevo programa e7ecutado y
e7ecutando su rutina de destrucci5n
Macrovirus
on los virus mas populares de la actualidad. 6o se transmiten a trav,s de
archivos e7ecutables, sino a trav,s de los documentos de las aplicaciones que
poseen alg=n tipo de lengua7e de macros. Entre ellas encontramos todas las
pertenecientes al paquete 3ffice -!ord, E+cel, 4oEer 4oint, Access1 y tambi,n el
%orel DraE, o Auto%AD.
%uando uno de estos archivos infectado es abierto o cerrado, el virus toma el
control y se copia a la plantilla base de nuevos documentos, de forma que sean
infectados todos los archivos que se abran o creen en el futuro.
8os lengua7es de macros como el <isual 2asic @or Applications son muy
poderosos y poseen capacidades como para cambiar la configuraci5n del sistema
operativo, borrar archivos, enviar e(mails, etc.
De Actives Agents y ava A!!lets
En )""F, aparecen los 0ava applets y Actives controls. Estos pequeos programas
se graban en el disco rgido del usuario cuando est conectado a &nternet y se
e7ecutan cuando la pgina Eeb sobre la que se navega lo requiere, siendo una
forma de e7ecutar rutinas sin tener que consumir ancho de banda. 8os virus
desarrollados con 0ava applets y Actives controls acceden al disco rgido a trav,s
de una cone+i5n EEE de manera que el usuario no los detecta. e pueden
programar para que borren o corrompan archivos, controlen la memoria, enven
informaci5n a un sitio Eeb, etc.
De "#M$
Gn mecanismo de infecci5n ms eficiente que el de los 0ava applets y Actives
controls apareci5 a fines de )""H con los virus que incluyen su c5digo en archivos
'A?8. %on solo conectarse a &nternet, cualquier archivo 'A?8 de una pgina Eeb
puede contener y e7ecutar un virus. Este tipo de virus se desarrollan en <isual
2asic cript. Atacan a usuarios de !in"H, .*** y de las =ltimas versiones de
E+plorer. Esto se debe a que necesitan que el !indoEs cripting 'ost se
encuentre activo. 4otencialmente pueden borrar o corromper archivos.
%aballos de #roya
8os troyanos son programas que imitan programas =tiles o e7ecutan alg=n tipo de
acci5n aparentemente inofensiva, pero que de forma oculta al usuario e7ecutan el
c5digo daino.
8os troyanos no cumplen con la funci5n de autorreproducci5n, sino que
generalmente son diseados de forma que por su contenido sea el mismo usuario
el encargado de reali9ar la tarea de difusi5n del virus. -Ieneralmente son
enviados por e(mail1
Tipos de Virus Informticos segn sus acciones y/o modo de
activacin
&ombas
e denominan as a los virus que e7ecutan su acci5n daina como si fuesen una
bomba. Esto significa que se activan segundos despu,s de verse el sistema
infectado o despu,s de un cierto tiempo -bombas de tiempo1 o al comprobarse
cierto tipo de condici5n l5gica del equipo. -bombas l5gicas1. E7emplos de bombas
de tiempo son los virus que se activan en una determinada fecha u hora
determinada. E7emplos de bombas l5gicas son los virus que se activan cuando al
disco rgido solo le queda el )*J sin uso, una secuencia de teclas o comandos,
etc. E7emplos de este tipo de programas son virus como <iernes )K o el virus
?iguel Angel
%amaleones
on una variedad de virus similares a los caballos de Aroya que act=an como otros
programas parecidos, en los que el usuario confa, mientras que en realidad estn
haciendo alg=n tipo de dao. %uando estn correctamente programados, los
camaleones pueden reali9ar todas las funciones de los programas legtimos a los
que sustituyen -act=an como programas de demostraci5n de productos, los cuales
son simulaciones de programas reales1.
Gn softEare camale5n podra, por e7emplo, emular un programa de acceso a
sistemas remotos reali9ando todas las acciones que ellos reali9an, pero como
tarea adicional -y oculta a los usuarios1 va almacenando en alg=n archivo los
diferentes logins y passEord para que posteriormente puedan ser recuperados y
utili9ados ilegalmente por el creador del virus camale5n.
'e!roductores
8os reproductores -tambi,n conocidos como cone7os(rabbits1 se reproducen en
forma constante una ve9 que son e7ecutados hasta agotar totalmente -con su
descendencia1 el espacio de disco o memoria del sistema.
8a =nica funci5n de este tipo de virus es crear clones y lan9arlos a e7ecutar para
que ellos hagan lo mismo. El prop5sito es agotar los recursos del sistema,
especialmente en un entorno multiusuario interconectado, hasta el punto que el
sistema principal no puede continuar con el procesamiento normal.
(usanos ()orms)
8os gusanos utili9an las redes de comunicaciones para e+pandirse de sistema en
sistema. Es decir, una ve9 que un gusano entra a un sistema e+amina las tablas
de ruta, correo u otra informaci5n sobre otros sistemas, a fin de copiarse en todos
aquellos sistemas sobre los cuales encontr5 informaci5n. Este m,todo de
propagaci5n presenta un crecimiento e+ponencial con lo que puede infectar en
muy corto tiempo a una red completa.
E+isten bsicamente K m,todos de propagaci5n en los gusanos:
) ( %orreo electr5nico ( El gusano enva una copia de s mismo a todos los
usuarios que aparecen en las libretas de direcciones que encuentra en el
ordenador d5nde se ha instalado.
. ( ?ecanismos basados en >4% ->emote 4rocedure %all1 ( El gusano e7ecuta
una copia de s mismo en todos los sistemas que aparecen en la tabla de
rutas-rcopy y re+ecute1.
K ( ?ecanismos basados en >83I&6 ( El gusano se conecta como usuario en
otros sistemas y una ve9 en ellos, se copia y e7ecuta de un sistema a otro.
&ac*doors
on tambi,n conocidos como herramientas de administraci5n remotas ocultas.
on programas que permiten controlar remotamente el 4% infectado.
Ieneralmente son distribuidos como troyanos.
%uando un virus de estos es e7ecutado, se instala dentro del sistema operativo, al
cual monitorea sin ning=n tipo de mensa7e o consulta al usuario. &ncluso no se le
v, en la lista de programas activos. 8os 2acDdoors permiten al autor tomar total
control del 4% infectado y de esta forma enviar, recibir archivos, borrar o
modificarlos, mostrarle mensa7es al usuario, etc....
Ataques de seguridad amosos reali!ados en el "#$%
Heartbleed
8as alarmas informticas se activaron el H de abril. E+pertos en seguridad
cibern,tica advirtieron que se trataba de uno de los errores de programaci5n -bug,
en ingl,s1 ms peligrosos de los =ltimos aos y recomendaron a los usuarios de
&nternet cambiar sus contraseas.
'eartbleed es una falla en el sistema que se utili9a para cifrar informaci5n
personal que circula en la red que puede incluir datos financieros y m,dicos. El
rango de aspectos e+puestos es amplio y difcil de determinar, porque el error del
softEare le permite a los atacantes ver parte de la informaci5n que se qued5 en la
memoria del servidor.
El mecanismo que protege los datos cuando pasan de un punto es conocido como
8$A8 y es muy com=n, por lo cual Ioogle, Cahoo, @acebooD, Aumblr, Ama9on
!eb ervices y otras importantes compaas que funcionan con este sistema
estuvieron en riesgo.
"El )F J de sitios Eeb fueron atacados, lo que equivale a ms de medio mill5n,
pero podran ser muchos ms. El problema en este caso es que el fallo puede
producirse sin ser detectado, porque quienes mane7an los sitios Eeb qui9s no
encontraron evidencia del ataque", le e+plic5 a &&% Mundo 4aul ?utton, de
6etcraft, una empresa que ofrece servicios de seguridad informtica.
4ocos das despu,s de que se supo acerca de la amena9a de 'eartbleed, el
organismo impositivo canadiense, %anada >evenue Agency, revel5 que el n=mero
de seguro social de "** personas haba sido sustrado de sus sistemas.
?ientras tanto, que ?umsnet, un sitio Eeb britnico para madres, confirm5 que
contraseas y mensa7es personales enviados por sus miembros aparecieron en
&nternet.
Goto fail
A mediados de abril, Apple hi9o p=blica una actuali9aci5n de su sistema operativo
3 B, porque descubri5 que sus usuarios podran ser vctimas de hacDers al
utili9ar &nternet, en un caso similar al de 'eartbleed.
El problema estaba en la cone+i5n que se establece entre el navegador de Apple
(afari( y varios sitios Eeb, entre los que se cuentan bancos, Ioogle y @acebooD.
8a gran mayora de los Eebsites cuenta con un sistema de seguridad que protege
la informaci5n que circula en la red.
4ero este mecanismo qued5 e+puesto por la falla que afect5 a los propietarios de
modelos de i4hone, i4ad, i4od y computadoras de Apple que funcionan con 3 B.
"Al saber que e+iste este error, el atacante podra interceptar la comunicaci5n
entre los usuarios y los sitios Eeb que visiten, robando sus contraseas y nombres
de usuarios. Aambi,n podra volver a cifrar los datos obtenidos y distribuirlos como
quisiera. Es lo que se conoce como el ataque del Lhombre en el medioL", le di7o a la
publicaci5n especiali9ada MI# #echnology 'evie+ imson IarfinDel, e+perto en
seguridad informtica.
todos sorprendi5 la urgencia de la publicaci5n de i3 F.*./ e i3 /.)./ cuando
est tan cerca la publicaci5n de i3 F.). olo un bug en la gesti5n 8 es lo que
apareca descrito, pero cuando se ha sabido ms, se entiende la urgencia del
parche. 8a culpa de todo, como e+plica el ingeniero de Ioogle Adam 8angley la
tiene un goto fail que se les ha colado de mala manera en el m5dulo de
comprobaci5n de los certificados digitales, My c5mo ha sido estoN >esulta que en
el m5dulo que comprueba la valide9 de un certificado digital, una larga lista de
comprobaciones verifica una a una todas las caractersticas, haciendo que si una
de ellas falle se aada el c5digo de error a la variable err y luego se salte a goto
fail.
in embargo, un goto fail perdido ( correctamente identado pero sin estar dentro
de ninguna condici5n, hace que a mitad de las comprobaciones se salte a la 9ona
de c5digo fail pero sin que se haya actuali9ado el valor del mensa7e de err, ya que
no ha sido provocado ese salto al final del c5digo por ninguna condici5n.
%uando se llega al final del c5digo se comprueba si se ha llegado al final porque
se han pasado todos los controles de seguridad o porque se ha producido un err,
al estar el valor de err sin ning=n c5digo se da por bueno ese certificado.
%uando se llega al final del c5digo se comprueba si se ha llegado al final porque
se han pasado todos los controles de seguridad o porque se ha producido un err,
al estar el valor de err sin ning=n c5digo se da por bueno ese certificado.
Este goto en medio de la lista de comprobaciones hace que la lista de
verificaciones que se hacen despu,s de ,l no tengan ning=n efecto, ya que con
que un certificado digital pase las primeras llegar a la 9ona final del c5digo sin
ning=n valor en el c5digo de error, haciendo que se puedan usar certificados falsos
en ataques man in the middle. Apple ha confirmado que este fallo no afecta solo
a i3 sino tambi,n a 3B por lo que sacar una actuali9aci5n de emergencia
para este bug lo antes posible. A=, actuali9a tu iOS ya y en cuanto salga el parche
de OSX tambi,n.
Zero-day exploit (CV-!"#$-#%%&'
8a seguridad y confiablidad de las diferentes versiones del navegador de
?icrosoft, &nternet E+plorer Oque van desde la / hasta la ))( se pusieron en duda
los =ltimos das de abril.
Gn error de programaci5n permiti5 que hacDers pudieran tomar control de
computadoras que funcionan con el sistema operativo !indoEs B4.
4ara desespero de los usuarios, la falla, cuya e+istencia fue confirmada por la
empresa de seguridad informtica ymantec, LcongelabaL la pantalla de quienes
recurran a E+http:$$EEE.fireeye.com$blog$uncategori9ed$.*)P$*P$neE(9ero(day(
e+ploit(targeting(internet(e+plorer(versions("(through())(identified(in(targeted(
attacDs.htmlplorer para navegar en &nternet.
El sitio de estadsticas de tecnologa en internet, ,etMar*et -hare, calcula que
ms del #* J del mercado mundial de navegadores emplea E+plorer.
4or otro lado, algunos especialistas estiman que alrededor de K* J de
computadoras de escritorio utili9an !indoEs B4, lo que convierte a sus
propietarios en potenciales vctimas.
%ambiar de navegador fue una de las principales opciones para disminuir el riesgo
en el momento, recomendada incluso por el gobierno estadounidense. %on
respecto al sistema operativo, una actuali9aci5n podra ayudar.
&os detalles
e+ploit aprovecha una vulnerabilidad de uso despu,s de liberaci5n previamente
desconocido, y utili9a una conocida t,cnica de e+plotaci5n de @lash para lograr
acceso a la memoria arbitraria y A8> derivaci5n de !indoEs Ly protecciones
DE4.
'(plotacin
) *reparacin de la pila
e+ploit pgina se carga un archivo !@ de @lash para manipular la disposici5n
mont5n con la t,cnica habitual feng shui mont5n . Asigna los ob7etos vectoriales en
@lash para rociar la memoria y la direcci5n de la cubierta . / 01012...3 A
continuaci5n, se asigna un ob7eto vectorial que contiene un ob7eto
flash3media3-ound ()4 que ms tarde corrompe a girar el control de su cadena de
>34.
) acceso a la memoria ar+itraria
El archivo !@ llama de nuevo a 0avascript en &nternet E+plorer para activar el
fallo de &E y sobrescribir el campo de longitud de un vector ob7eto @lash en la
heapspray. El archivo !@ recorre la heapspray para encontrar el ob7eto vector
corrompido, y lo utili9a para modificar de nuevo la longitud de otro ob7eto vectorial.
Este otro ob7eto vector daado se utili9a entonces para la memoria accede
posterior, que luego utili9a para eludir A8> y DE4.
) ,eneracin de -.* -untime
%on el control de la memoria llena, el e+ploit buscar 5+ProtectVirtualMemory4 y un
pivote pila -c5digo de operaci5n * Q "P *+%K1 de 6AD88. Aambi,n busca
-et#hread%onte6t en DernelK., que se utili9a para borrar los registros de
depuraci5n. Esta t,cnica, puede ser un intento de eludir las protecciones que
utili9an los puntos de interrupci5n de hardEare, como la mitigaci5n de la EA@ de
E?EA.
%on las direcciones de las A4&s y adminculo antes mencionados, el archivo !@
construye una cadena de >34, y antepone a su >%P descifrado shellcode. A
continuaci5n, reempla9a el vftable de un ob7eto de sonido con uno falso que
apunta a la carga =til >34 reci,n creado. %uando el ob7eto de sonido intenta
llamar a su vftable, en ve9 gira el control a la cadena de >34 del atacante.
+i+liograf/a
?anson, ?.. -.**)1. Estudio sobre <irus &nformticos. septiembre .F, .*)P, de
&lustrados itio Eeb: http:$$EEE.ilustrados.com$tema$K)/$Estudio(sobre(<irus(
&nformaticos.html
in,dito. -desconocido1. %36%E4A3 DE <&>G &6@3>?RA&%3. septiembre .F.
.*)P, de seguridadpc.net itio Eeb: http:$$EEE.seguridadpc.net$introdSantiv.htm
desconocido. -desconocido1. %lasificacion de virus informaticos . septiembre .F,
.*)P, de desconocido itio Eeb: http:$$spi).nisu.org$recop$al*)$salva$clasific.html
desconocido. -.*)P1. 83 A>E 4E3>E AAATGE &6@3>?RA&%3 DE8 .*)P.
septiembre .F, .*)P, de semana itio Eeb:
http:$$EEE.semana.com$tecnologia$novedades$articulo$los(peores(ataques(
informaticos(de(.*)P$K")KF/(K
in,dito. -.*)P1. %>36&%A DE G6 'A%UE>V G6 WI3A3 @A&8X 4>3<3%A E8
%A3 8$A8 E6 &3 C 3B. setiembre .F, .*)P, de @actor noticia itio Eeb:
http:$$factornoticia.com$.*)P$*.$.P$cronicas(de(un(hacDer(un(goto(fail(provoca(el(
caos(ssltls(en(ios(y(os+$
%hen, B., %aselden, D., Y cott, ?.. -.*)P1. 6eE Zero(Day E+ploit targeting
&nternet E+plorer <ersions " through )) &dentified in Aargeted AttacDs. septiembre
.F, .*)P, de @ireEye itio Eeb: