TRABAJO DE INVESTIGACIN Qu son los virus? Es un pequeo programa escrito intencionalmente para instalarse en la computadora de un usuario sin el conocimiento o el permiso de este. Decimos que es un programa parsito porque el programa ataca a los archivos o sector es de "booteo" y se replica a s mismo para continuar su esparcimiento. Algunos se limitan solamente a replicarse, mientras que otros pueden producir serios daos que pueden afectar a los sistemas. e ha llegado a un punto tal, que un nuevo virus llamado !"#$%&'()*++. o tambi,n como %&'.pacefiller -puede aparecer el ./ de cada mes, especialmente ./ de 0unio y ./ de Abril1 ataca al 2&3 de la 4% hu,sped y cambiar su configuraci5n de tal forma que se requiere cambiarlo. 6unca se puede asumir que un virus es inofensivo y de7arlo "flotando" en el sistema. 8os virus informticos son, desde hace varios aos, la mayor amena9a para los sistemas informticos y es una de las principales causas de p,rdidas econ5micas en las empresas y usuarios y han sido creados por personas con conocimientos de lengua7es de programaci5n como: %;;, <isual 2asic, Assembler, etc. 8a definici5n ms simple y completa que hay de los virus corresponde al modelo D. A. ., y se fundamenta en tres caractersticas, que se refuer9an y dependen mutuamente. eg=n ella, un virus es un programa que cumple las siguientes pautas: Es daino Es autorreproductor Es subrepticio Tipos de Virus 8os ms de )*.*** virus informticos detectados hasta la fecha, que afectan al menos a un mill5n de ordenadores cada ao. 8os virus se clasifican por el modo en que act=an infectando la computadora: 4rograma: &nfectan archivos e7ecutables tales como .com $ .e+e $ .ovl $ .drv $ .sys $ .bin 2oot: &nfectan los sectores 2oot >ecord, ?aster 2oot, @AA y la Aabla de 4artici5n. ?=ltiples: &nfectan programas y sectores de "booteo". 2ios: Atacan al 2ios para desde all reescribir los discos duros. 'oa+: e distribuyen por e(mail y la =nica forma de eliminarlos es el uso del sentido com=n. Tipos de Virus Informticos segn su destino de infeccin Infectores de archivos ejecutables Afectan archivos de e+tensi5n EBE, %3?, 2AA, C, 4&@, D88, D>< &nfectores directos El programa infectado tiene que estar e7ecutndose para que el virus pueda funcionar -seguir infectando y e7ecutar sus acciones destructivas1 Infectores del sector de arranque (boot) Aanto los discos rgidos como los disquetes contienen un ector de Arranque, el cual contiene informaci5n especfica relativa al formato del disco y los datos almacenados en ,l. Adems, contiene un pequeo programa llamado 2oot 4rogram que se e7ecuta al bootear desde ese disco y que se encarga de buscar y e7ecutar en el disco los archivos del sistema operativo. Este programa es el que muestra el famoso mensa7e de "6on(system DisD or DisD Error" en caso de no encontrar los archivos del sistema operativo. Este es el programa afectado por los virus de sector de arranque. 8a computadora se infecta con un virus de sector de arranque al intentar bootear desde un disquete infectado. En este momento el virus se e7ecuta e infecta el sector de arranque del disco rgido, infectando luego cada disquete utili9ado en el 4%. Es importante destacar que como cada disco posee un sector de arranque, es posible infectar el 4% con un disquete que contenga solo datos. Virus Multi Particin 2a7o este nombre se engloban los virus que utili9an los dos m,todos anteriores. Es decir, pueden simultneamente infectar archivos, sectores boot de arranque y tablas @AA. Infectores residentes en memoria El programa infectado no necesita estar e7ecutndose, el virus se alo7a en la memoria y permanece residente infectando cada nuevo programa e7ecutado y e7ecutando su rutina de destrucci5n Macrovirus on los virus mas populares de la actualidad. 6o se transmiten a trav,s de archivos e7ecutables, sino a trav,s de los documentos de las aplicaciones que poseen alg=n tipo de lengua7e de macros. Entre ellas encontramos todas las pertenecientes al paquete 3ffice -!ord, E+cel, 4oEer 4oint, Access1 y tambi,n el %orel DraE, o Auto%AD. %uando uno de estos archivos infectado es abierto o cerrado, el virus toma el control y se copia a la plantilla base de nuevos documentos, de forma que sean infectados todos los archivos que se abran o creen en el futuro. 8os lengua7es de macros como el <isual 2asic @or Applications son muy poderosos y poseen capacidades como para cambiar la configuraci5n del sistema operativo, borrar archivos, enviar e(mails, etc. De Actives Agents y ava A!!lets En )""F, aparecen los 0ava applets y Actives controls. Estos pequeos programas se graban en el disco rgido del usuario cuando est conectado a &nternet y se e7ecutan cuando la pgina Eeb sobre la que se navega lo requiere, siendo una forma de e7ecutar rutinas sin tener que consumir ancho de banda. 8os virus desarrollados con 0ava applets y Actives controls acceden al disco rgido a trav,s de una cone+i5n EEE de manera que el usuario no los detecta. e pueden programar para que borren o corrompan archivos, controlen la memoria, enven informaci5n a un sitio Eeb, etc. De "#M$ Gn mecanismo de infecci5n ms eficiente que el de los 0ava applets y Actives controls apareci5 a fines de )""H con los virus que incluyen su c5digo en archivos 'A?8. %on solo conectarse a &nternet, cualquier archivo 'A?8 de una pgina Eeb puede contener y e7ecutar un virus. Este tipo de virus se desarrollan en <isual 2asic cript. Atacan a usuarios de !in"H, .*** y de las =ltimas versiones de E+plorer. Esto se debe a que necesitan que el !indoEs cripting 'ost se encuentre activo. 4otencialmente pueden borrar o corromper archivos. %aballos de #roya 8os troyanos son programas que imitan programas =tiles o e7ecutan alg=n tipo de acci5n aparentemente inofensiva, pero que de forma oculta al usuario e7ecutan el c5digo daino. 8os troyanos no cumplen con la funci5n de autorreproducci5n, sino que generalmente son diseados de forma que por su contenido sea el mismo usuario el encargado de reali9ar la tarea de difusi5n del virus. -Ieneralmente son enviados por e(mail1 Tipos de Virus Informticos segn sus acciones y/o modo de activacin &ombas e denominan as a los virus que e7ecutan su acci5n daina como si fuesen una bomba. Esto significa que se activan segundos despu,s de verse el sistema infectado o despu,s de un cierto tiempo -bombas de tiempo1 o al comprobarse cierto tipo de condici5n l5gica del equipo. -bombas l5gicas1. E7emplos de bombas de tiempo son los virus que se activan en una determinada fecha u hora determinada. E7emplos de bombas l5gicas son los virus que se activan cuando al disco rgido solo le queda el )*J sin uso, una secuencia de teclas o comandos, etc. E7emplos de este tipo de programas son virus como <iernes )K o el virus ?iguel Angel %amaleones on una variedad de virus similares a los caballos de Aroya que act=an como otros programas parecidos, en los que el usuario confa, mientras que en realidad estn haciendo alg=n tipo de dao. %uando estn correctamente programados, los camaleones pueden reali9ar todas las funciones de los programas legtimos a los que sustituyen -act=an como programas de demostraci5n de productos, los cuales son simulaciones de programas reales1. Gn softEare camale5n podra, por e7emplo, emular un programa de acceso a sistemas remotos reali9ando todas las acciones que ellos reali9an, pero como tarea adicional -y oculta a los usuarios1 va almacenando en alg=n archivo los diferentes logins y passEord para que posteriormente puedan ser recuperados y utili9ados ilegalmente por el creador del virus camale5n. 'e!roductores 8os reproductores -tambi,n conocidos como cone7os(rabbits1 se reproducen en forma constante una ve9 que son e7ecutados hasta agotar totalmente -con su descendencia1 el espacio de disco o memoria del sistema. 8a =nica funci5n de este tipo de virus es crear clones y lan9arlos a e7ecutar para que ellos hagan lo mismo. El prop5sito es agotar los recursos del sistema, especialmente en un entorno multiusuario interconectado, hasta el punto que el sistema principal no puede continuar con el procesamiento normal. (usanos ()orms) 8os gusanos utili9an las redes de comunicaciones para e+pandirse de sistema en sistema. Es decir, una ve9 que un gusano entra a un sistema e+amina las tablas de ruta, correo u otra informaci5n sobre otros sistemas, a fin de copiarse en todos aquellos sistemas sobre los cuales encontr5 informaci5n. Este m,todo de propagaci5n presenta un crecimiento e+ponencial con lo que puede infectar en muy corto tiempo a una red completa. E+isten bsicamente K m,todos de propagaci5n en los gusanos: ) ( %orreo electr5nico ( El gusano enva una copia de s mismo a todos los usuarios que aparecen en las libretas de direcciones que encuentra en el ordenador d5nde se ha instalado. . ( ?ecanismos basados en >4% ->emote 4rocedure %all1 ( El gusano e7ecuta una copia de s mismo en todos los sistemas que aparecen en la tabla de rutas-rcopy y re+ecute1. K ( ?ecanismos basados en >83I&6 ( El gusano se conecta como usuario en otros sistemas y una ve9 en ellos, se copia y e7ecuta de un sistema a otro. &ac*doors on tambi,n conocidos como herramientas de administraci5n remotas ocultas. on programas que permiten controlar remotamente el 4% infectado. Ieneralmente son distribuidos como troyanos. %uando un virus de estos es e7ecutado, se instala dentro del sistema operativo, al cual monitorea sin ning=n tipo de mensa7e o consulta al usuario. &ncluso no se le v, en la lista de programas activos. 8os 2acDdoors permiten al autor tomar total control del 4% infectado y de esta forma enviar, recibir archivos, borrar o modificarlos, mostrarle mensa7es al usuario, etc.... Ataques de seguridad amosos reali!ados en el "#$% Heartbleed 8as alarmas informticas se activaron el H de abril. E+pertos en seguridad cibern,tica advirtieron que se trataba de uno de los errores de programaci5n -bug, en ingl,s1 ms peligrosos de los =ltimos aos y recomendaron a los usuarios de &nternet cambiar sus contraseas. 'eartbleed es una falla en el sistema que se utili9a para cifrar informaci5n personal que circula en la red que puede incluir datos financieros y m,dicos. El rango de aspectos e+puestos es amplio y difcil de determinar, porque el error del softEare le permite a los atacantes ver parte de la informaci5n que se qued5 en la memoria del servidor. El mecanismo que protege los datos cuando pasan de un punto es conocido como 8$A8 y es muy com=n, por lo cual Ioogle, Cahoo, @acebooD, Aumblr, Ama9on !eb ervices y otras importantes compaas que funcionan con este sistema estuvieron en riesgo. "El )F J de sitios Eeb fueron atacados, lo que equivale a ms de medio mill5n, pero podran ser muchos ms. El problema en este caso es que el fallo puede producirse sin ser detectado, porque quienes mane7an los sitios Eeb qui9s no encontraron evidencia del ataque", le e+plic5 a &&% Mundo 4aul ?utton, de 6etcraft, una empresa que ofrece servicios de seguridad informtica. 4ocos das despu,s de que se supo acerca de la amena9a de 'eartbleed, el organismo impositivo canadiense, %anada >evenue Agency, revel5 que el n=mero de seguro social de "** personas haba sido sustrado de sus sistemas. ?ientras tanto, que ?umsnet, un sitio Eeb britnico para madres, confirm5 que contraseas y mensa7es personales enviados por sus miembros aparecieron en &nternet. Goto fail A mediados de abril, Apple hi9o p=blica una actuali9aci5n de su sistema operativo 3 B, porque descubri5 que sus usuarios podran ser vctimas de hacDers al utili9ar &nternet, en un caso similar al de 'eartbleed. El problema estaba en la cone+i5n que se establece entre el navegador de Apple (afari( y varios sitios Eeb, entre los que se cuentan bancos, Ioogle y @acebooD. 8a gran mayora de los Eebsites cuenta con un sistema de seguridad que protege la informaci5n que circula en la red. 4ero este mecanismo qued5 e+puesto por la falla que afect5 a los propietarios de modelos de i4hone, i4ad, i4od y computadoras de Apple que funcionan con 3 B. "Al saber que e+iste este error, el atacante podra interceptar la comunicaci5n entre los usuarios y los sitios Eeb que visiten, robando sus contraseas y nombres de usuarios. Aambi,n podra volver a cifrar los datos obtenidos y distribuirlos como quisiera. Es lo que se conoce como el ataque del Lhombre en el medioL", le di7o a la publicaci5n especiali9ada MI# #echnology 'evie+ imson IarfinDel, e+perto en seguridad informtica. todos sorprendi5 la urgencia de la publicaci5n de i3 F.*./ e i3 /.)./ cuando est tan cerca la publicaci5n de i3 F.). olo un bug en la gesti5n 8 es lo que apareca descrito, pero cuando se ha sabido ms, se entiende la urgencia del parche. 8a culpa de todo, como e+plica el ingeniero de Ioogle Adam 8angley la tiene un goto fail que se les ha colado de mala manera en el m5dulo de comprobaci5n de los certificados digitales, My c5mo ha sido estoN >esulta que en el m5dulo que comprueba la valide9 de un certificado digital, una larga lista de comprobaciones verifica una a una todas las caractersticas, haciendo que si una de ellas falle se aada el c5digo de error a la variable err y luego se salte a goto fail. in embargo, un goto fail perdido ( correctamente identado pero sin estar dentro de ninguna condici5n, hace que a mitad de las comprobaciones se salte a la 9ona de c5digo fail pero sin que se haya actuali9ado el valor del mensa7e de err, ya que no ha sido provocado ese salto al final del c5digo por ninguna condici5n. %uando se llega al final del c5digo se comprueba si se ha llegado al final porque se han pasado todos los controles de seguridad o porque se ha producido un err, al estar el valor de err sin ning=n c5digo se da por bueno ese certificado. %uando se llega al final del c5digo se comprueba si se ha llegado al final porque se han pasado todos los controles de seguridad o porque se ha producido un err, al estar el valor de err sin ning=n c5digo se da por bueno ese certificado. Este goto en medio de la lista de comprobaciones hace que la lista de verificaciones que se hacen despu,s de ,l no tengan ning=n efecto, ya que con que un certificado digital pase las primeras llegar a la 9ona final del c5digo sin ning=n valor en el c5digo de error, haciendo que se puedan usar certificados falsos en ataques man in the middle. Apple ha confirmado que este fallo no afecta solo a i3 sino tambi,n a 3B por lo que sacar una actuali9aci5n de emergencia para este bug lo antes posible. A=, actuali9a tu iOS ya y en cuanto salga el parche de OSX tambi,n. Zero-day exploit (CV-!"#$-#%%&' 8a seguridad y confiablidad de las diferentes versiones del navegador de ?icrosoft, &nternet E+plorer Oque van desde la / hasta la ))( se pusieron en duda los =ltimos das de abril. Gn error de programaci5n permiti5 que hacDers pudieran tomar control de computadoras que funcionan con el sistema operativo !indoEs B4. 4ara desespero de los usuarios, la falla, cuya e+istencia fue confirmada por la empresa de seguridad informtica ymantec, LcongelabaL la pantalla de quienes recurran a E+http:$$EEE.fireeye.com$blog$uncategori9ed$.*)P$*P$neE(9ero(day( e+ploit(targeting(internet(e+plorer(versions("(through())(identified(in(targeted( attacDs.htmlplorer para navegar en &nternet. El sitio de estadsticas de tecnologa en internet, ,etMar*et -hare, calcula que ms del #* J del mercado mundial de navegadores emplea E+plorer. 4or otro lado, algunos especialistas estiman que alrededor de K* J de computadoras de escritorio utili9an !indoEs B4, lo que convierte a sus propietarios en potenciales vctimas. %ambiar de navegador fue una de las principales opciones para disminuir el riesgo en el momento, recomendada incluso por el gobierno estadounidense. %on respecto al sistema operativo, una actuali9aci5n podra ayudar. &os detalles e+ploit aprovecha una vulnerabilidad de uso despu,s de liberaci5n previamente desconocido, y utili9a una conocida t,cnica de e+plotaci5n de @lash para lograr acceso a la memoria arbitraria y A8> derivaci5n de !indoEs Ly protecciones DE4. '(plotacin ) *reparacin de la pila e+ploit pgina se carga un archivo !@ de @lash para manipular la disposici5n mont5n con la t,cnica habitual feng shui mont5n . Asigna los ob7etos vectoriales en @lash para rociar la memoria y la direcci5n de la cubierta . / 01012...3 A continuaci5n, se asigna un ob7eto vectorial que contiene un ob7eto flash3media3-ound ()4 que ms tarde corrompe a girar el control de su cadena de >34. ) acceso a la memoria ar+itraria El archivo !@ llama de nuevo a 0avascript en &nternet E+plorer para activar el fallo de &E y sobrescribir el campo de longitud de un vector ob7eto @lash en la heapspray. El archivo !@ recorre la heapspray para encontrar el ob7eto vector corrompido, y lo utili9a para modificar de nuevo la longitud de otro ob7eto vectorial. Este otro ob7eto vector daado se utili9a entonces para la memoria accede posterior, que luego utili9a para eludir A8> y DE4. ) ,eneracin de -.* -untime %on el control de la memoria llena, el e+ploit buscar 5+ProtectVirtualMemory4 y un pivote pila -c5digo de operaci5n * Q "P *+%K1 de 6AD88. Aambi,n busca -et#hread%onte6t en DernelK., que se utili9a para borrar los registros de depuraci5n. Esta t,cnica, puede ser un intento de eludir las protecciones que utili9an los puntos de interrupci5n de hardEare, como la mitigaci5n de la EA@ de E?EA. %on las direcciones de las A4&s y adminculo antes mencionados, el archivo !@ construye una cadena de >34, y antepone a su >%P descifrado shellcode. A continuaci5n, reempla9a el vftable de un ob7eto de sonido con uno falso que apunta a la carga =til >34 reci,n creado. %uando el ob7eto de sonido intenta llamar a su vftable, en ve9 gira el control a la cadena de >34 del atacante. +i+liograf/a ?anson, ?.. -.**)1. Estudio sobre <irus &nformticos. septiembre .F, .*)P, de &lustrados itio Eeb: http:$$EEE.ilustrados.com$tema$K)/$Estudio(sobre(<irus( &nformaticos.html in,dito. -desconocido1. %36%E4A3 DE <&>G &6@3>?RA&%3. septiembre .F. .*)P, de seguridadpc.net itio Eeb: http:$$EEE.seguridadpc.net$introdSantiv.htm desconocido. -desconocido1. %lasificacion de virus informaticos . septiembre .F, .*)P, de desconocido itio Eeb: http:$$spi).nisu.org$recop$al*)$salva$clasific.html desconocido. -.*)P1. 83 A>E 4E3>E AAATGE &6@3>?RA&%3 DE8 .*)P. septiembre .F, .*)P, de semana itio Eeb: http:$$EEE.semana.com$tecnologia$novedades$articulo$los(peores(ataques( informaticos(de(.*)P$K")KF/(K in,dito. -.*)P1. %>36&%A DE G6 'A%UE>V G6 WI3A3 @A&8X 4>3<3%A E8 %A3 8$A8 E6 &3 C 3B. setiembre .F, .*)P, de @actor noticia itio Eeb: http:$$factornoticia.com$.*)P$*.$.P$cronicas(de(un(hacDer(un(goto(fail(provoca(el( caos(ssltls(en(ios(y(os+$ %hen, B., %aselden, D., Y cott, ?.. -.*)P1. 6eE Zero(Day E+ploit targeting &nternet E+plorer <ersions " through )) &dentified in Aargeted AttacDs. septiembre .F, .*)P, de @ireEye itio Eeb: