Código Malicioso.

Walter Fernando Reyes Peña.

Seguridad Computacional

Instituto IACC

17-03-2019
 Desarrollo

INSTRUCCIONES: Mediante una rápida investigación en internet, elija dos códigos maliciosos
actuales que utilicen como base de funcionamiento la ingeniería social. Describa cómo afecta su
accionar a la seguridad computacional, sus principales características, su forma de actuar y los
potenciales daños que causan a los datos dentro de una red corporativa.

A continuación, escoja aquellas medidas de protección que estime necesarias, para minimizar sus
efectos, evitar su penetración y/o realizar su eliminación.
 Desarrollo

Dentro de la historia de éstos tipos de virus y generando una introducción al tema, podemos decir
que, la ingeniería social describe una serie de tácticas utilizadas por ciberdelincuentes o más bien
creadores de virus / gusanos, los virus / gusanos en sí mismos y otros que desean obtener acceso
a un sistema con la ayuda del usuario. En el ámbito de los programas de autorreplicación como la
autopropagación. La ingeniería social se aplica principalmente a aquellos gusanos y
macros(Pseudocódigos) que se propagan y transmiten a través del correo electrónico, mensajes
instantáneos, intercambio de archivos de persona apersona, otros métodos de difusión que
requieren la autorización del usuario.

Más comúnmente, la ingeniería social explota las emociones de las personas y su deseo de
ayudar a otros. Zhelatin, que fue el creador del poderoso Botnet Storm, mantenía muchas líneas
de contenido en asuntos de correos electrónicos que se referían a titulares de periódicos
sensacionalistas o populares. Algunas variantes como Beagle, acusan al destinatario de ser un
spammer y los amenazan con acciones legales, dejando los detalles del contenido de éstos, en un
archivo adjunto. Otros gusanos han utilizado amenazas de instituciones financieras, cobradores
de cuentas y sitios de subastas.

El amor y el sexo han sido herramientas comunes de manipulación a lo largo de la historia, por
lo que los virus y gusanos lo han utilizado reiteradas veces como programas de difusión de
correo electrónico se hicieron populares. Melissa comenzó como una lista de sitios de
pornografía y un foro de adultos. Chick y Kournikova prometen fotos de jóvenes celebridades. El
gusano Kazaa (P2P ó peer-to-peer) y Roron se copian a sí mismo como nombres de archivos
que llevan al usuario a creer que obtendrá imágenes de mujeres desnudas o personas que tienen
relaciones sexuales. Loveletter (Carta de amor) llega como una carta de amor de alguien en su
libreta de direcciones.
Algunos programas que mantienen características de autoreproducirse o copiarse usan ingeniería
social extremadamente simple. Netsky utilizó tácticas de ingeniería social mínimas y fue
extremadamente exitoso. Collo prácticamente dice "echa un vistazo a este programa". Mylife usa
un texto de correo electrónico ligeramente divertido.
En fin, las formas comunes de propagación están todas a razón del uso de la vulnerabilidad
social de las personas y que descuidan por sus caprichos y obsesiones la seguridad de sus
computadoras.
Los tipos populares de ataques de ingeniería social incluyen:

Hostigamiento: Esto es cuando un atacante deja un dispositivo físico infectado con malware,
como una unidad USB (Pendrive, Discos Portables), en un lugar donde seguramente se
encontrará. El buscador luego recoge el dispositivo y lo carga en su computadora, sin querer,
instalando el malware.

Phishing: Es cuando una parte maliciosa envía un correo electrónico fraudulento, disfrazado de
un correo electrónico legítimo, que a menudo pretende ser de una fuente confiable. El mensaje
pretende engañar al destinatario para que comparta información personal o financiera o haga clic
en un enlace que instala malware.

Spear phishing: Es como el phishing pero está diseñado para un individuo u organización
específica.

Vishing: Igualmente se le conoce como phishing de voz, y es el uso de la ingeniería social por
teléfono para recopilar información personal y financiera del objetivo.

Pretexting: Es cuando una parte miente a otra para obtener acceso a datos privilegiados. Por
ejemplo, una estafa comúnmente vista, donde podría involucrar a un atacante que pretende
necesitar datos personales o financieros para confirmar la identidad del destinatario.

Scareware: Éste implica engañar a la víctima para que piense que su computadora está infectada
con malware o ha descargado inadvertidamente contenido ilegal. El atacante luego ofrece a la
víctima una solución que solucionará el problema falso; en realidad, la víctima simplemente es
engañada para que descargue e instale el malware del atacante.
Water-holing: Un ataque de un pozo de agua es cuando el atacante intenta comprometer a un
grupo específico de personas infectando sitios web que se sabe que visitan y confían para obtener
acceso a la red.
Diversion theft(Robo por desviación de datos): En este tipo de ataques, los ingenieros sociales
engañan a una empresa con envíos o mensajería para que se dirija al lugar de recogida o entrega
incorrecto(generalmente transferencia bancaria o datos relevantes del afectado), interceptando la
transacción.

Quid pro quo(algo por algo ): proveniente del Latín que significa “quid en lugar de quo”. Un
ataque quid pro quo es uno en el que el ingeniero social pretende proporcionar algo a cambio de
la información o asistencia del objetivo. Por ejemplo, un pirata informático llama a una selección
de números aleatorios dentro de una organización y finge que está llamando desde el soporte
técnico. Finalmente, el pirata informático encontrará a alguien con un problema de tecnología
legítimo a quien luego fingirá ayudar. A través de esto, el pirata informático puede tener el tipo
de destino en los comandos para lanzar malware o puede recopilar información de contraseña.

Honey trap(Trampa de Miel): un ataque en el que el ingeniero social pretende ser una persona
atractiva para interactuar con una persona en línea, simular una relación en línea y recopilar
información sensible a través de esa relación.

Tailgating(Negación): Un "Pirata Informático o Ciberdelincuente" se produce cuando el

delincuente cibernético, entra en un edificio seguro siguiendo a alguien con una tarjeta de acceso
autorizada. Este ataque presupone que la persona con acceso legítimo al edificio es lo
suficientemente cortés como para mantener la puerta abierta para la persona que está detrás de él,
suponiendo que se le permita estar allí.

Rogue(Pícaro): El software de seguridad Rogue es un tipo de malware que engaña a los

objetivos para pagar la eliminación falsa de malware, que se traduce en una estafa, tal como el
Ransomware Virus.
Es probable que existan más formas en que la ingeniería social ataque, pero la investigación del
suscrito, solo llevó a la indagación de las presentes formas de atacar y las características de
ataques.

Zhelatin, Nuwar o Peacomm, los otros nombres de la “Tormenta Gusano”:

Zhelatin es una familia muy numerosa de tipo gusanos botnet. Junto con Nuwar se convirtieron
en parte de lo que se conoció como la red de bots "Storm Worm". Dentro de las hazañas que
generó éste tipo de código malicioso, es el temor a una devastadora tormenta de invierno que
azotó a Europa solo un día antes de que el gusano comenzara a propagarse. Estableció registros
en varias áreas y, como se pensaba que una red tenía más potencia informática que la
supercomputadora más potente.

Su propagación es por correo electrónico que transmite mediante un contacto de nuestra libreta
de direcciones que se encuentra infectado, ¿En qué momento?, se realiza cuando se ejecuta el
archivo adjunto, se copia a sí mismo como el nombre de archivo alsys.exe en el directorio del
sistema. Agrega ese archivo como un valor a la máquina local y al usuario actual ejecuta las
claves de registro, asegurando que el gusano se inicie con el sistema (MS Windows). Además
éste crea un archivo de nombre aleatorio en el directorio actual, que se detecta como un troyano.
Zhelatin recopila las direcciones de correo electrónico que se encuentran en todos los archivos
del sistema y se envía un correo electrónico utilizando el servidor SMTP del destinatario.

¿Cómo ataca?
El gusano bloquea el Firewall de Windows / Conexión compartida a Internet al agregar el valor
"Inicio = 4" a las claves de registro que controlan el Firewall de Windows. También desactiva
varios productos antivirus, antispy y firewall. También se copia a sí mismo en una carpeta con
archivos .exe y .scr como un archivo oculto con un nombre generado aleatoriamente. Zhelatin
infectará estos archivos y los modificará para que el gusano se ejecute primero.

¿Cómo afecta a las empresas o corporaciones?

El propósito principal del gusano Zhelatin es entregar spam. Por lo que las empresas pueden
verse vulneradas por éste medio, lo cual son parte de un circulo de reproducción del código
malicioso la cual el objetivo general es enviar mensajes de spam a sus contactos. El spam
lamentablemente no se puede rastrear, ya que el spam enviado por el spammer se transmite a
través de la computadora comprometida. También se sabe que Zhelatin y sus variantes tienen
información de phishing, tema que ya hemos tratado anteriormente.

I Love You, la temida “Carta de amor”:

El virus “I LOVEYOU llega” como en una nota de correo electrónico "TE AMO" en el asunto y
contiene un archivo adjunto que cuando se abre, hace que el mensaje se reenvíe a todos en la
libreta de direcciones de la libreta de direcciones Microsoft Outlook y además, la pérdida de
cada JPEG, MP3 y algunos otros archivos en el disco duro del destinatario. Debido a que
Microsoft Outlook se instala ampliamente como el gestor de correo electrónico en redes
corporativas, el virus puede propagarse rápidamente de usuario a usuario dentro de una
corporación.

¿Cómo ataca?
El archivo adjunto en el virus ILOVEYOU es un programa VBScript que, cuando se abre (por
ejemplo, al hacer doble clic en él con el mouse al correo infectado), encuentra la libreta de
direcciones de Outlook del usuario infectado y se reenvía la nota a todos los que están en ella.
Luego sobrescribe (y por lo tanto destruye) todos los archivos de los siguientes tipos de archivos:
JPEG, MP3, VPOS, JS, JSE, CSS, WSH, SCT y HTA. Es lamentable que, para aquellos
usuarios que no mantengan una copia de respaldo, habrán perdido estos archivos. El virus
también restablece la página de inicio de Internet Explorer del destinatario, de una manera que
puede causar más problemas, se reinicia ciertas configuraciones del registro de Windows, y
también actúa a través de Internet Relay Chat (Internet Relay Chat).

¿Cómo afecta a las empresas o corporaciones?

Uno de los primeros pasos que las empresas utilizaron para evitar el virus famoso virus, fue
eliminar las notas con ILOVEYOU en la línea de asunto. Sin embargo, los piratas informáticos
rápidamente introdujeron variaciones de imitación con líneas de asunto que identifican de forma
diversa "JOKE" y "Mother's Day!" como el contenido, pero que contiene el mismo o similar
código de VBScript.
Se recomienda a las empresas y los usuarios obtener o actualizar los Antivirus, a fin de que
pueda ayudar a detectar el virus y eliminarlo para los usuarios cuyos sistemas se hayan infectado.

Conclusiones.

Siempre se recomienda a los usuarios(De las empresas como usuarios finales) que nunca abran
un archivo adjunto de correo electrónico sin examinarlo con un software antivirus o saber
exactamente quién lo envió y qué es, ya que los efectos de muchos de éstos virus, siempre
conlleva a la perdida de la información importante, dejar la máquina (Computadora) vulnerable a
los resortes de éste tipo de códigos, generan problemas a nuestra red y a los datos.
 Bibliografía

 Seguridad Computacional 2019 (Semana Nro. 8)

 https://www.latercera.com/noticia/conoce-la-lista-de-los-10-virus-informaticos-mas-

peligrosos-de-la-historia/