Está en la página 1de 10

Proteccin de Equipos Informticos.

Mara Rodrguez 1Bachillerato.


ACT.1
Las herramientas de proteccin de un equipo informtico son las diversas formas
de proteger el equipo frente a posibles amenazas para la seguridad, para evitar
que otras personas accedan a tu ordenador o compartan tus archivos con otros
usuarios.
Se clasifican en:
Firewall. Software o hardware que comprueba la informacin procedente de

Internet o una red y, a continuacin, deniega o permite el paso de sta al


equipo, en funcin de la configuracin del firewall. De este modo, un firewall
puede ayudar a impedir que los hackers y software malintencionado
obtengan acceso a un equipo.
Cmo funciona
Si ejecuta un programa, por ejemplo, de mensajera instantnea o un juego de red
con varios jugadores, que tiene que recibir informacin desde Internet o de una
red, el firewall le pregunta si desea bloquear o desbloquear (permitir) la conexin.
Si elige desbloquearla, se crea una excepcin de modo que el firewall no se
interponga cuando ese programa tenga que recibir informacin en el futuro.
Programas gratuitos: ZoneAlarm Free .

Programas de pago: ClearOS .


Proteccin antivirus. Protegen un equipo frente a amenazas a la seguridad

del equipo. Los virus, los gusanos y los troyanos son programas creados por
hackers que utilizan Internet para infectar equipos vulnerables. Los virus y
los gusanos pueden autorreplicarse de un equipo a otro, mientras que los
troyanos entran en un equipo ocultndose dentro de un programa
aparentemente de confianza, por ejemplo, un protector de pantalla. Los
virus, los gusanos y los troyanos destructivos pueden borrar informacin del
disco duro o deshabilitar completamente el equipo. Otros no causan ningn
dao directo, pero empeoran el rendimiento y la estabilidad del equipo.
Los programas antivirus examinan el correo electrnico y otros archivos en busca
de virus, gusanos y troyanos. Si se detecta alguno, el programa antivirus lo asla o
lo elimina totalmente antes de que pueda daar el equipo y los archivos.
Cada da se identifican nuevos virus, por lo que es importante usar un programa
antivirus que pueda actualizarse de manera automtica. Cuando actualiza el
programa, los virus nuevos se agregan a una lista de virus que se deben

comprobar, lo que ayuda a proteger el equipo de los nuevos ataques.


Programas gratuitos: AVG Antivirus Free 2014
Programas de pago: G Data Totalcare .
Proteccin contra spyware y otros tipos de malware. El software

antispyware puede ayudarle a proteger el equipo contra spyware y otro


software no deseado. El spyware es software que puede mostrar anuncios,
recopilar informacin sobre el usuario o cambiar la configuracin del equipo,
normalmente sin obtener su consentimiento, como debiera. Por ejemplo, el
spyware puede instalar barras de herramientas, vnculos o favoritos no
deseados en el explorador web, cambiar la pgina principal predeterminada
o mostrar anuncios emergentes con frecuencia. Determinados tipos de
spyware no muestran sntomas que se puedan detectar, sino que recopilan
de forma secreta informacin importante como, por ejemplo, los sitios web
que visita o el texto que escribe. La mayor parte del spyware se instala a
travs del software gratuito que pueda descargar, pero en algunos casos una
infeccin con spyware se puede contraer simplemente visitando un sitio web.
Para ayudar a proteger el equipo contra el spyware, use un programa anti
spyware.
Cada da aparece nuevo spyware, por lo que su programa debe actualizarse
regularmente con el fin de detectar y protegerse contra las ltimas amenazas
de spyware.
Programas gratuitos: Malwarebytes AntiMalware

Programas de pago: Spyware Doctor

Actualizar tu explorador automticamente


Muchos exploradores web ofrecen peridicamente actualizaciones importantes
que pueden contribuir a proteger el equipo contra nuevos virus y otras amenazas
para la seguridad. Por lo tanto, asegrese de instalar las actualizaciones para el
explorador siempre que estn disponibles.

ACT.2
- I love you:
Creado por Storm, el cual busca de nuevos ordenadores para sus huestes.
El virus apareci en un principio en forma de mensaje de correo con el asunto "ILOVEYOU" y
un archivo adjunto con el nombre "LOVE-LETTER-FOR-YOU.TXT.vbs", que al ser abierto,
infectaba el ordenador y se autoenviaba a las direcciones de correo que el usuario tuviera en
su agenda de direcciones. El virus afecta a ordenadores con Windows que tengan activado el
Windows Scripting Host (WSH) y acta alterando los archivos del PC con extensiones .vbs,
.vbe, js, jse, css, wsh, sct, hta, jpg, jpeg, mp3 y mp2; adems, el virus se autoenva a todas

las direcciones que aparecen en la agenda de Microsoft Outlook con el fin de propagarse por
la red.
Aquello que nos har bajar el cdigo para que nos infectemos no parece que vayan a ser driveby exploits, sino que tan slo espera que la gente ejecute el programa. Tambin utiliza nginx*
para tanto mostrar la pgina de 'Love You..' como para servir el binario iloveyou.exe.
* [ nginx, es un servidor HTTP que tiene funciones de proxy muy utilizado no slo en Rusia,
sino en muchos sites importantes en Internet (un 4%), pero que adems, es tambin muy
utilizado en numerosos casos de malware]

- Blaster:
Tambin conocido por nombres como: W32/Lovsan.worm, W32.Blaster.Worm,
WORM_MSBLAST.A, Win32.Poza o WORM_MSBLAST.H.
Proceso de infeccin:
El gusano crea un mutex llamado BILLY para comprobar que se encuentra

activo. Blaster verifica que la versin de Winsock del sistema sea 1.00, 1.01
2.02, y que haya una conexin vlida a Internet; en caso de que no haya
conexin, entra en un bucle que realiza dicha comprobacin cada 20
segundos.
Blaster genera direcciones IP aleatorias de forma sucesiva, empezando por
la red donde se encuentra el ordenador donde se est ejecutando, y
pasando despus a la siguiente red de clase B (redes con mscara de
subred 255.255.0.0).
Blaster intenta aprovechar en la mquina remota, identificada mediante la
anterior direccin IP, la vulnerabilidad conocida como Desbordamiento de
bffer en interfaz RPC.
Si lo consigue, Blaster lanza una sesin remota y obliga al ordenador
atacado a realizar una conexin desde el puerto TCP 4444 de la mquina
atacada al puerto UDP 69 de la mquina atacante.
Cuando se establece dicha conexin, el ordenador atacado descarga a
travs de TFTP una copia del gusano. Para ello, el propio gusano incorpora
un servidor TFTP.
Una vez finalizada la descarga, procede a la ejecucin remota del archivo
enviado, lo cual provoca que el gusano pueda tambin propagarse desde el
equipo atacado.

Mtodo de Propagacin
Se propaga atacando direcciones IP generadas aleatoriamente. Estas direcciones

IP pertenecen tanto a la red en la que se encuentra el ordenador atacado, como a


redes de clase B (cuya mscara de subred es 255.255.0.0).
Intenta aprovechar en dichas direcciones IP la vulnerabilidad conocida como

Desbordamiento de bffer en interfaz RPC. En caso de conseguirlo, descarga en el


ordenador atacado una copia de s mismo, para lo cual incorpora su propio
servidor TFTP.
Tamao del virus
Blaster est escrito en lenguaje Ensamblador. Este gusano tiene un tamao de

6176 Bytes cuando est comprimido mediante UPX, y de 11296 Bytes una vez
descomprimido.

- BadUSB: Esta vulnerabilidad utiliza un chip de control que tienen todos los
dispositivos USB y que, a su vez contiene un firmware que indica, entre otros
datos, de qu tipo de dispositivo se trata. Cuando conectamos un USB a nuestro
ordenador se realiza un proceso de inicializacin que contiene varios pasos. En
estos pasos, el dispositivo se identifica con su clase (una o varias) y se cargan los
drivers necesarios para su correcto funcionamiento.
Un dispositivo USB puede registrarse y desregistrarse tantas veces como quiera
en un sistema, e incluso cambiar de clase.
El problema descubierto por los investigadores ha sido que, analizando un
firmware filtrado de uno de los mayores fabricantes de chips de control para
dispositivos USB y aplicndole ingeniera inversa y heurstica consiguieron
modificar el firmware para aadirle funcionalidades adicionales. Se centraron en
pendrives pero la misma metodologa sera aplicable, en teora, a otros dispositivos
como discos duros externos, teclados o webcams.
Entre las funcionalidades adicionales que se podran incorporar encontramos la de
cargar un exploit en el ordenador de la vctima, comprometiendo su seguridad e
infectando el ordenador. Esto se podra producir en cualquier sistema operativo, si
bien con ciertas restricciones en algunos. Por ejemplo, en un sistema GNU/Linux
estndar, el malware cargado contara con permisos limitados y necesitara hacer
una escalada de privilegios a root para conseguir propagar esta amenaza a todos
los dispositivos USB que estn conectados y sean vulnerables. Algo ms difcil
pero no inalcanzable.
Otra de las caractersticas maliciosas que han destacado los investigadores es la
posibilidad de hacer que se realice un ataque desde un pendrive modificado que
sea capaz de alterar el trfico de red sin que el usuario se d cuenta. Mostraron
cmo podra hacerse pasar por un adaptador de red ethernet en el sistema objetivo
que responda a peticiones DHCP realizadas desde el sistema pero sin asignar una
puerta de enlace.
Esto se traduce en que si estamos conectados a una red Wi-Fi e introducimos un
USB modificado en nuestro sistema, seguiremos navegando sin problema; pero las
peticiones DNS que realicemos a la hora de acceder a una web, por ejemplo,
sern gestionadas por el servidor cargado desde el pendrive, lo que permite
ataques de redireccin de trfico que nos pueden llevar a sitios maliciosos que
aparentan ser legtimos.

ACT.3
Virus residentes
Se ocultan en la memoria RAM de forma permanente o residente. De este modo,
pueden controlar e interceptar todas las operaciones llevadas a cabo por el
sistema operativo, infectando todos aquellos ficheros y/o programas que sean
ejecutados, abiertos, cerrados, renombrados, copiados, etc.

Slo atacan cuando se cumplen ciertas condiciones definidas previamente por su


creador (por ejemplo, una fecha y hora determinada). Mientras tanto, permanecen
ocultos en una zona de la memoria principal, ocupando un espacio de la misma,
hasta que son detectados y eliminados.
Ejemplos: Randex, CMJ, Meve, MrKlunky.
Virus de accin directa
Al contrario que los residentes, estos virus no permanecen en memoria. Su
objetivo prioritario es reproducirse y actuar en el mismo momento de ser
ejecutados. Al cumplirse una determinada condicin, se activan y buscan los
ficheros ubicados dentro de su mismo directorio para contagiarlos.
Adems, tambin realizan sus acciones en los directorios especificados dentro de
la lnea PATH (camino o ruta de directorios), dentro del fichero AUTOEXEC.BAT
(fichero que siempre se encuentra en el directorio raz del disco duro).
Presentan la ventaja de que los ficheros afectados por ellos pueden ser
desinfectados y restaurados completamente.
Virus de sobreescritura
Se caracterizan por destruir la informacin contenida en los ficheros que infectan.
Cuando infectan un fichero, escriben dentro de su contenido, haciendo que queden
total o parcialmente inservibles.
Tambin se diferencian porque los ficheros infectados no aumentan de tamao, a
no ser que el virus ocupe ms espacio que el propio fichero (esto se debe a que se
colocan encima del fichero infectado, en vez de ocultarse dentro del mismo).
La nica forma de limpiar un fichero infectado por un virus de sobreescritura es
borrarlo, perdindose su contenido.
Ejemplos: Way, Trj.Reboot, Trivial.88.D.
Virus de boot o de arranque
'Boot' o 'sector de arranque' hacen referencia a una seccin muy importante de un
disco (tanto un disquete como un disco duro respectivamente). En ella se guarda la
informacin esencial sobre las caractersticas del disco y se encuentra un
programa que permite arrancar el ordenador.
Este tipo de virus no infecta ficheros, sino los discos que los contienen. Actan
infectando en primer lugar el sector de arranque de los disquetes. Cuando un
ordenador se pone en marcha con un disquete infectado, el virus de boot infectar
a su vez el disco duro.
No pueden afectar al ordenador mientras no se intente poner en marcha a ste
ltimo con un disco infectado. Por tanto, el mejor modo de defenderse contra ellos
es proteger los disquetes contra escritura y no arrancar nunca el ordenador con un
disquete desconocido en la disquetera.
Ejemplos: Polyboot.B, AntiEXE.

Virus de macro
El objetivo de estos virus es la infeccin de los ficheros creados usando
determinadas aplicaciones que contengan macros*: documentos de Word (ficheros
con extensin DOC), hojas de clculo de Excel (ficheros con extensin XLS),
bases de datos de Access (ficheros con extensin MDB), presentaciones de
PowerPoint (ficheros con extensin PPS), ficheros de Corel Draw, etc.
*Macros: micro-programas asociados a un fichero, que sirven para automatizar
complejos conjuntos de operaciones. Al ser programas, las macros pueden ser
infectadas.
Cuando se abre un fichero que contenga un virus de este tipo, las macros se
cargarn de forma automtica, producindose la infeccin. La mayora de las
aplicaciones que utilizan macros cuentan con una proteccin antivirus y de
seguridad especfica, pero muchos virus de macro sortean fcilmente dicha
proteccin.
Existe un tipo diferente de virus de macro segn la herramienta usada: de Word, de
Excel, de Access, de PowerPoint, multiprograma o de archivos RTF. Sin embargo,
no todos los programas o herramientas con macros pueden ser afectadas por
estos virus.
Ejemplos: Relax, Melissa.A, Bablas, O97M/Y2K.
Virus de enlace o directorio
Los ficheros se ubican en determinadas direcciones (compuestas bsicamente por
unidad de disco y directorio), que el sistema operativo conoce para poder
localizarlos y trabajar con ellos.
Los virus de enlace o directorio alteran las direcciones que indican donde se
almacenan los ficheros. De este modo, al intentar ejecutar un programa (fichero
con extensin EXE o COM) infectado por un virus de enlace, lo que se hace en
realidad es ejecutar el virus, ya que ste habr modificado la direccin donde se
encontraba originalmente el programa, colocndose en su lugar.
Una vez producida la infeccin, resulta imposible localizar y trabajar con los
ficheros originales.
Virus encriptados
Se trata de una tcnica utilizada por algunos virus, que a su vez pueden pertenecer
a otras clasificaciones.
Estos virus se cifran o encriptan a s mismos para no ser detectados por los
programas antivirus. Para realizar sus actividades, el virus se descifra a s mismo y,
cuando ha finalizado, se vuelve a cifrar.
Ejemplos: Elvira, Trile.
Virus polimrficos
Virus que en cada infeccin que realizan se cifran o encriptan de una forma distinta
(utilizando diferentes algoritmos y claves de cifrado).

Generan una elevada cantidad de copias de s mismos e impiden que los antivirus
los localicen a travs de la bsqueda de cadenas o firmas, por lo que suelen ser
los virus ms costosos de detectar.
Ejemplos: Elkern, Marburg, Satan Bug, Tuareg.
Virus multipartites
Virus muy avanzados, que pueden realizar mltiples infecciones, combinando
diferentes tcnicas para ello. Su objetivo es cualquier elemento que pueda ser
infectado: archivos, programas, macros, discos, etc.
Se consideran muy peligrosos por su capacidad de combinar muchas tcnicas de
infeccin y por los dainos efectos de sus acciones.
Ejemplo: Ywinz.
Virus de fichero
Infectan programas o ficheros ejecutables (ficheros con extensiones EXE y COM ).
Al ejecutarse el programa infectado, el virus se activa, produciendo diferentes
efectos.
La mayora de los virus existentes son de este tipo.
Virus de compaa
Son virus de fichero que al mismo tiempo pueden ser residentes o de accin
directa. "Acompaan" a otros ficheros existentes en el sistema antes de su llegada,
sin modificarlos como hacen los virus de sobreescritura o los residentes.
Para efectuar las infecciones, los virus de compaa pueden esperar ocultos en la
memoria hasta que se lleve a cabo la ejecucin de algn programa, o actuar
directamente haciendo copias de s mismos.
Ejemplos: Stator, Asimov.1539, Terrax.1069.
Virus de FAT
La Tabla de Asignacin de Ficheros o FAT es la seccin de un disco utilizada para
enlazar la informacin contenida en ste. Se trata de un elemento fundamental en
el sistema.
Los virus que atacan a este elemento son especialmente peligrosos, ya que
impedirn el acceso a ciertas partes del disco, donde se almacenan los ficheros
crticos para el normal funcionamiento del ordenador. Los daos causados a la FAT
se traducirn en prdidas de la informacin contenida en ficheros individuales y en
directorios completos.
Gusanos (Worms)
De un modo estricto, no se consideran virus porque no necesitan infectar otros
ficheros para reproducirse. A efectos prcticos, son tratados como virus y son
detectados y eliminados por los antivirus.

Se limitan a realizar copias de s mismos a la mxima velocidad posible, sin tocar


ni daar ningn otro fichero. Sin embargo, se reproducen a tal velocidad que
pueden colapsar por saturacin las redes en las que se infiltran.
Las infecciones producidas por estos virus casi siempre se realizan a travs del
correo electrnico, las redes informticas y los canales de Chat (tipo IRC o ICQ) de
Internet. Tambin pueden propagrase dentro de la memoria del ordenador.
Ejemplos: PSWBugbear.B, Lovgate.F, Trile.C, Sobig.D, Mapson.

Troyanos o caballos de Troya


Tampoco se consideran virus, ya que no se reproducen infectando otros ficheros.
Tampoco se propagan haciendo copias de s mismo como hacen los gusanos. A
efectos prcticos, son tratados como virus y son detectados y eliminados por los
antivirus.
El objetivo bsico de estos virus es la introduccin e instalacin de otros
programas en el ordenador, para permitir su control remoto desde otros equipos.
Llegan al ordenador como un programa aparentemente inofensivo. Sin embargo, al
ejecutarlo instalar en nuestro ordenador un segundo programa, el troyano.
Los efectos de los Troyanos pueden ser muy peligrosos. Al igual que los virus,
tienen la capacidad de eliminar ficheros o destruir la informacin del disco duro.
Pero adems pueden capturar y reenviar datos confidenciales a una direccin
externa o abrir puertos de comunicaciones, permitiendo que un posible intruso
controle nuestro ordenador de forma remota.
Ejemplos: IRC.Sx2, Trifor.

Bombas lgicas
Tampoco se consideran estrictamente virus, ya que no se reproducen. Ni siquiera
son programas independientes, sino un segmento camuflado dentro de otro
programa.
Tienen por objetivo destruir los datos de un ordenador o causar otros daos de
consideracin en l cuando se cumplen ciertas condiciones. Mientras este hecho
no ocurre, nadie se percata de la presencia de la bomba lgica. Su accin puede
llegar a ser tremendamente destructiva.

Virus falsos
Al margen de las divisiones anteriores, existen ciertos tipos de mensajes o
programas que en ciertos casos son confundidos con virus, pero que no son virus
en ningn sentido.
El principal componente de este grupo son los hoaxes o bulos. Los hoaxes no son
virus, sino mensajes de correo electrnico engaosos, que se difunden

masivamente por Internet sembrando la alarma sobre supuestas infecciones


vricas y amenazas contra los usuarios.
Los hoaxes tratan de ganarse la confianza de los usuarios aportando datos que
parecen ciertos y proponiendo una serie de acciones a realizar para librarse de la
supuesta infeccin.
Si se recibe un hoax, no hay que hacer caso de sus advertencias e instrucciones:
lo ms aconsejable es borrarlo sin prestarle la ms mnima atencin y no reenviarlo
a otras personas.

ACT.4
http://mararodriguezzz.edu.glogster.com/tic/

ACT.5
Caractersticas bsicas:
Stuxnet es el primer rootkit conocido para sistemas de control, y en concreto para el sistema
SCADA de Siemens WinCC. Es detectado por primera vez el 17 de junio de 2010 por la
empresa antivirus bielorusa VirusBlokAda. Se le consider un gusano ya que aprovecha
ciertas vulnerabilidades para propagarse e infectar distintas mquinas. Ms tarde, Symantec
anuncia que tambin cuenta con propiedades de rootkit (el primero orientado a los sistemas de
control), ya que es capaz de modificar el comportamiento normal de distintos componentes del
sistema de control y oculta su presencia para no ser detectado.
Variantes bsicas de Stuxnet,
La primera Stuxnet.A/B, que viene firmada con un certificado legtimo de RealTek. Ha sido la
variante ms extendida y ms estudiada.
La segunda en cambio viene firmada por un certificado de JMicron, tambin legtimo.
Los certificados hacen que sea posible su instalacin de forma transparente para el usuario en
ordenadores Windows Vista y Windows 7.
Daos que provoca
Una vez infecta la mquina, Stuxnet contacta con su C&C y enva, de forma cifrada,
informacin bsica sobre el host comprometido. Esta informacin incluye:
Informacin de la versin de Windows
Nombre del host
Nombre del grupo de trabajo
Un flag indicativo de si el software de WinCC est o no instalado
Direcciones IP de todas las interfaces de red
Por lo visto, el C&C puede responder bien enviando la orden de ejecutar una
llamada a un procedimiento en el host comprometido o descargando una nueva
DLL para que Stuxnet la cargue. Las funciones a las que se puede acceder
remotamente son:
Lectura de un fichero
Escritura en un fichero
Borrado de un fichero

Creacin de un proceso
Inyeccin de una dll en el proceso Isass.exe (proceso que se encarga del
funcionamiento de los protocolos de seguridad que maneja Windows)
Carga de alguna dll adicional
Inyeccin de cdigo en otro proceso
Actualizar los datos de configuracin del gusano
Importancia
En el estudio revelado por Richard Langer en su web puede verse que se trata de
un ataque bien dirigido, para el que se ha precisado informacin del propio proceso
que controlan los PLCs. De hecho el pas con ms infecciones es Irn, popular en
la actualidad por sus investigaciones en la energa nuclear. Este gusano requiere
amplios conocimientos de distintas disciplinas: robo de certificados, conocimiento
del SCADA WinCC de Siemens, las vulnerabilidades 0-day, etc. Parece por tanto
un ataque largamente planificado, y por alguien o algo con bastantes recursos.
Opinin
Me parece un salto importante para el desarrollo de los virus, ya que se est
usando para fines ms importantes que el resto de virus comunes, incluso es
posible que estn siendo utilizados por los servicios de inteligencia de algn pas
enemigo, como Estados Unidos.