Está en la página 1de 56

TEMARIO DEFINICION DE MALWARE TIPOS DE MALWARE FORMAS DE INFECCION OBJETIVO DE INFECCION FORMAS DE PREVENCION FORMAS DE DETECCION

MALWARE
Software malicioso o software malintencionado que tiene como objetivo infiltrarse o daar una computadora sin el consentimiento de su propietario

Tipos de malware

Cdigo malicioso cuyo objetivo es procurar el mal funcionamiento de cualquier sistema informtico. El efecto inicial que lo caracteriza es la infeccin y la propagacin a travs de diferentes medios. Podemos resumir y decir que corresponde al modelo DAS y se fundamenta en tres caractersticas: Es daino Es capaz de auto reproducirse Es subrepticio u oculto

VIRUS

VIRUS: Analogas
Virus biolgico Virus informtico Son programas que Agente externo que infectan archivos invaden las clulas para reproducindose una y alterar su informacin otra vez daando la gentica y reproducirse. informacin existente.

CICLO DE VIDA DE UN VIRUS


CREACION REPRODUCCION ACTIVACION DESCUBRIMIENTO ASIMILACION ERRADICACION

TIPOS DE VIRUS

VIRUS: CARACTERISITICAS

LATENCIA TIPO DE RESIDENCIA FORMAS DE INFECCION COMPOSICION


Latencia: Un virus es capaz de permanecer inactivo hasta que un hecho externo hace que el programa se ejecute o que el sector de arranque se ledo. Tipo de residencia: los virus se caracterizaban por ser residentes en memoria, cada vez que arranca el ordenador, el virus hace de las suyas infectando los archivos del disco duro. Menos comunes son los no residentes que no necesitan permanecer en memoria despus de que el programa husped se halla cerrado. Ahora los virus se camuflan para evitar la deteccin y reparaciones.

Formas de infeccin: los primeros virus se infectaban a travs de archivos ejecutadas infectados, que al ser introducidos en la unidad de disco flexible, infectaban la RAM o el sector de arranque, otra va de infeccin era a travs de la descarga de programas o a travs de copias de software no original, infectadas a propsitos. Composicin: en todo virus informtico pueden distinguirse tres mdulos: de reproduccin, de ataque, y modulo de defensa.:

De reproduccin: es el encargado de manejar las rutinas de parasitacin de entidades ejecutables a fin de que el virus pueda ejecutarse subrepticiamente. Modulo de ataque: es de carcter optativo y en caso de ir incorporado es el encargado de manejar las rutinas de dao adicional del virus. Modulo de defensa: tiene la misin de proteger el virus, puede estar presente o no, sus rutinas estn diseadas para evitar todo aquello orientado a la eliminacin del virus y retardar su deteccin.

EN SOFTWARE

VIRUS DAOS

Modificacin de las aplicaciones instaladas hasta el punto de que no puedan ejecutarse o que produzcan continuos errores. Modificacin de los datos. Eliminacin de aplicaciones y/o datos. Agotamiento paulatino del espacio libre existente en el disco. Ralentizacin del sistema. Obtencin fraudulenta de informacin confidencial.

EN HARDWARE

Borrado de la informacin de la BIOS Destruccin del microprocesador por exceso el de temperatura provocada por una falsa informacin del sensor de temperatura. Rotura del disco duro al provocar que las cabezas lectoras lean repetidamente sectores especficos que fuercen su funcionamiento mecnico. Malfuncionamiento de tarjetas comO la de red, sonido y video. Bloqueos del ordenador que provocan continuo reinicios.

ESTRATEGIAS USADAS PARA INFECTAR

Medio de propagacin: constituyen el vehculo a travs del cual se introduce el virus en el sistema disquete u otro medio de almacenamiento removible. software pirata en disquete o cd/dvd redes de ordenadores mensajes de correo electrnico software descargado de internet disco de demostracin y prueba gratuitos. visita de paginas web de temticas dudosa.


Aadidura o empalme: el cdigo del virus se agrega al final del archivo a infectar, modificando las estructuras de arranque del archivo de manera que el control del programa pase por el virus antes de ejecutar el archivo. Esto permite que el virus ejecute sus tareas especificas y luego entregue el control del programa. El resultado es un incremento del tamao del archivo lo que permite su fcil deteccin.


Insercin: El cdigo del virus se aloja en zonas de cdigo no utilizadas o en segmentos de datos para que el tamao del archivo no varia. Para esto se requieren tcnicas muy avanzada de programacin, por lo que no es muy utilizado este mtodo. Reorientacin: Se introduce el cdigo principal del virus en zonas fsicas del disco duro que quedan marcadas como defectuosas y en los archivos se implantan pequeos trozos de cdigo que llaman al cdigo principal al ejecutarse el archivo.


Polimorfismo: Es el mtodo mas avanzado de contagio y se caracteriza por insertar el cdigo del virus en un archivo ejecutable, el virus compacta aparte de su cdigo y del cdigo del archivo anfitrin, de manera que la suma de ambos sea igual al tamao original del archivo. Al ejecutarse el programa infectado, acta primero el cdigo del virus descompactando en memoria las porciones necesarios. Una variante de esta tcnica permite usar mtodos de encriptacin dinmicos para evitar ser detectados por los antivirus.


Sustitucin: Es le mtodo mas rudimentario y consiste en sustituir el cdigo original del archivo por el del virus. Al ejecutar el archivo, lo nico que se ejecuta es el virus. Para disimular el comportamiento, cada vez que se ejecuta el archivo se produce un mensaje de error que induce a pensar que el problema es del archivo.

TECNICAS DE OCULTAMIENTO
Un virus puede considerarse efectivo, si adems de extenderse lo mas ampliamente, es capaz de permanecer oculto al usuario el mayor tiempo posible; para ello se han desarrollado varias tcnicas de ocultamiento o sigilo.

TECNICAS DE OCULTAMIENTO
Ocultamiento o stealth, que esconde los posibles signos de infeccin del sistema. Los sntomas mas claros de ataque de un virus los encontramos en el cambio de tamao de los ficheros, de la fecha en que se crearon y de sus atributos, y en la disminucin de la memoria disponible.

TECNICAS DE OCULTAMIENTO

La autoencriptacion o self-encryption: Es una tcnica vrica mas extendida. Todos los ingenios destructivos son capaces de encriptarse cada vez que infectan un fichero, ocultando de esta forma cualquier posible indicio que pueda facilitar su bsqueda.

TECNICAS DE OCULTAMIENTO
Polimorfismo: Los mayores avances de las tcnicas de encriptacin se han conseguido a travs del polimorfismo. Gracias a el un virus no solo es capaz de encriptarse sino que adems varia la rutina empleada cada vez que infecta un archivo. De esta forma resulta imposible encontrar coincidencias entre distintos ejemplares del mismo virus y, ante esta tcnica, el tradicional mtodo de bsqueda de cadenas caractersticas se muestra intil.

TECNICAS DE OCULTAMIENTO

Intercepcin de mensajes de error del sistema: Supongamos que un virus va a infectar un archivo de un disco protegido contra escritura; al intentar escribir obtendramos el mensaje error de proteccin contra escritura, por lo que descubriramos el anormal funcionamiento de nuestro equipo. Para evitar ser descubierto, al virus le basta con redireccionar la interrupcin a una rutina propia que evita la salida de estos mensajes consiguiendo as pasar desapercibido.

COMO PREVENIR LA INFE CCION DE UN VIRUS


Instalar un buen antivirus y actualizarlo permanentemente. Informarse sobre la aparicin de nuevos virus No abrir nunca un archivo adjunto de correo electrnico a no se que se este seguro de su contenido. Cada vez que envi un archivo es conveniente poner una nota del tipo te envnio adjunto el archivo.


Realizar copias de seguridad de forma peridicos, sobre todo, de los datos importantes. No reenviar alertas de virus inexistentes (hoax) para no provocar confusin con los verdaderos. Evitar abrir siempre un archivo enviado por un desconocido Deshabilitar la opcin vista previa del cliente del correo. Deshabilitar el envi de mensajes en formato html

ANTIVIRUS
Es importante aclarar que todo antivirus es un programa y que, como todo programa, solo funciona correctamente si es adecuado y esta bien configurado. Adems un antivirus es una herramienta para el usuario y no solo ser eficaz para el 100% de los casos, sino que nunca ser una proteccin total ni definitiva.

Tcnicas empleadas por los ANTIVIRUS

Tcnica SCANNING la primera que se popularizo para la deteccin de virus informativo y que todava se sigue utilizando. Consiste en revisar el cdigo de todos los archivos contenidos en la unidad de almacenamiento en busca de pequeas porciones de cdigo que puedan pertenecer a un virus informtico. Este procedimiento denominado escaneo se realiza a partir de una base de datos que contiene trozos de cdigo (patrones) representativos de cada virus conocido, agregando el empleo de determinados algoritmos que agilizan los procesos de bsqueda.


Algoritmos heursticos, es un mtodo que busca de manera bastante eficiente, cdigos de instrucciones potencialmente pertenecientes a un virus informtico. Resulta eficaz para la deteccin de virus conocidos y es una de las soluciones utilizadas por los antivirus para la deteccin de nuevos virus. El inconveniente que presenta este tipo de algoritmo radica en que puede llegar a sospecharse de muchsimas cosas que no son virus. Pe. F-prot, norton antivirus y Dr. Solomns Toolkit


Monitorizar actividades del pc Sealando si algn proceso intenta modificar los sectores crticos de los dispositivos de almacenamiento o los archivos ejecutable. Los programas que realizan esta tarea se denominan chequeadores de integridad.


Sobre la base de estas consideraciones podemos consignar que un buen sistema de antivirus debe3 estar compuesto por un programa detector de virus (residente de forma permanente en memoria) y un programa que verifique la integridad de los sectores criticos del disco y sus archivos ejecutables.

OPCIONES ANTIVIRUS ON-LINE


Ejecutar herramientas de escaneo on-line cada vez que se tenga la sospecha de alguna posible infeccin, estos suelen detectar infecciones pero no curar los virus encontrados. Escaneo on-line de synmatec Esccaneo on-line mcAfee Escaneo on-line Trend Micro

Instalar antivirus gratuitos


Antivir Personal Edition: este antivirus incorpora las ultimas tcnicas de bsquedas y ,es capaz de detectar troyanos y gusanos. La proteccin permanente en tiempo real se realiza con AntivirGuard. AVG Professional Edition, tras descargarse e instalarse lo primero que hay que hacer es una actualizacin de la base de datos del producto. Una vez instalado y actualizado se puede pasar el tipo de escaneo que se desee, a elegir entre unidades o reas determinadas. Incorpora una herramienta de vigilancia entiempo AVG real AVG Resident Shield.

TROYANOS
S e trata de un tipo de cdigo malicioso que se caracteriza por tratarse de un programa camuflado dentro de otro cuyo objetivo es conseguir que un usuario de un ordenador lo ejecutara pensando que en realidad esta ejecutando un programa licito. Principal diferencia con los virus es que estos no son capaces de auto reproducirse o sea no pueden crear copias de si mismo para infectar otros ordenadores, depende exclusivamente del usuario victima para conseguir sus objetivos.


Es el mas empleado a la hora de espiar y obtener sin permiso informacin delicada o discrecional y el inters del atacante podra incluir pero no estar limitado a-.
Informacin de tarjetas de crdito. Dato de cuentas, contraseas de correo, contraseas de servicios web, etc. Documentos confidenciales. Direcciones de correo electrnicos, detalle de contacto de clientes. Diseos o fotografas confidenciales. Utilizacin de su equipo para propsitos ilegales como: hacking, scan, flood o infiltrarse en otros equipos de la red o de internet.

Captar pulsaciones del teclado del ordenador de la victima, de esta forma puede obtener claves, contraseas, numero de tarjetas de crditos, etc. Espiar la ejecucin de las aplicaciones que ejecutan en el escritorio del ordenador victima: obteniendo as lectura de los correos, conversaciones mantenida con el programa de mensajera instantnea, paginas web visitadas, video conferencias establecidas, etc. Acceder y leer el contenido de los archivos logs que almacenan las conversaciones mantenidas Visualizar el historial de las paginas visitadas y mis documentos.

OBJETIVOS

Sntomas de una infeccin provocada por un TROYANO


Unidad que se abre y cierra. La pantalla se invierte o al revs. El fondo del escritorio cambia por si solo. Pagina de inicio del navegador pagina extraa. Los botones del ratn se invierten solos. El volumen del sonido cambia solo. Los programas se ejecutan solos. Mensajes extraos de advertencia. El ordenador se apaga de forma aleatoria. El teclado deja de funciones inesperadamente. La secuencia de teclas Ctrl +Alt + Del deja de funcionar. Usuarios conectados

Tipos de TROYANOS
Troyanos de control remotos: es el mas conocido y se caracteriza porque proporcionan al atacante un control total del equipo de la victima. Troyanos que envan datos: el propsito es enviar al atacante datos con informacin como contraseas o informacin confidencial como detalle de tarjetas de crditos, direcciones etc. Troyanos destructivos: se comportan como un virus ya que su objetivo es tan atpico como el de destruir y eliminar archivos.

Troyanos de ataque de Denegacin de Servicios: este tipo de troyano permiten al atacante iniciar un ataque de denegacin de servicios si hay suficientes victimas. WinTrinoo Troyanos proxy: se caracteriza porque son capaces de convertir el equipo de la victima en un servidor proxy, ponindolo a disposicin de todo el mundo o solo para el atacante. Troyanos ftp: se caracteriza por intentar introducirse por el puerto 21 y permiten al atacante conectar a su equipo va ftp. Deshabilitadores de software de seguridad: se trata de troyanos especiales, diseados para saltarse o eliminar herramientas de proteccin como software antivirus, cortafuegos, etc. Bugbear y Goner

LOS KEYLOGGERS
Suelen ser partes muy importantes de los troyanos del tipo 2 troyanos que envan datos. La funciones del keylogger es registrar todas las pulsaciones del teclado en un archivo del sistema para luego proceder a su lectura. El keylogger no constituye una amenaza si es usado para el fin para el cual fue creado, pero cuando se une al troyano o BACKDOOR es cuando la amenaza se percibe como tal. La simbiosis, el keylogger se encarga de registrar las pulsaciones y el troyano de enviar los datos al atacante.


Un keylogger no es un virus ni tampoco un troyano: tiene una funcin muy especifica que consiste en grabar todo tipo de pulsaciones del teclado e incluso algunos recogen tambin los clics del ratn, las paginas visitadas en internet y las conversaciones tanto entrantes como salientes que tienen lugar en una sesin del chat. En teora es inofensivo para cualquier ordenador. II LOGGER ARDAMAX KEYLOGGER TINY KEYLOGGER

Precauciones para evitar la infeccin por parte de un troyano


Configurar el sistema para que muestre todas las extensiones Rechazar todo archivo con doble extensin Rechazar los virus que presenten extensin cuando no son generalmente mostradas. Tener un antivirus y/o anti troyanos monitorizando nuestra pc. Los antitroyanos son bastantes mas efectivos pero suelen no detectar los troyanos mas recientes si no se actualizan. Realizar escaneos espordicos a todo el sistema con antivirus y/antitroyanos

Utilizar monitores de sistema y registros. Utilizar siempre un cortafuegos para detectar intentos de comunicacin de un posible troyano con el dueo del mismo. Se suelen utilizar varios mtodos para mantener ocultos los troyanos a los ojos de sus victimas, por ejemplo aplicar al troyano los atributos +h +r +s para ocultarlos. Existen versiones de windows 98 que tienen problemas para reconocer al carcter asccii alt+255 Tener cuidado con la aparicin de archivos y/o carpetas con nombre elegibles o extraos .

Cura de troyanos
Se puede ver en el administrador de tareas ( activamos crtl + alt+ supr), seleccionamos la pestaa procesos, Supongamos que detectamos uno con el nombre IoSDT.EXE que corresponde aun troyano 1.- abrimos cualquier carpeta de windows 2.- vamos a opciones de carpetas, seleccionamos ver, marcamos la opciones mostrar todos los archivos y carpetas ocultos, desmarcamos ocultar archivos protegidos del sistema operativo. Reiniciamos el sistema a modo prueba de fallos (f8) Abrimos el directorio donde esta instalado el troyano, localizamos todas las carpetas y archivos que lleven el prefijo IOSDT y los borramos, vaciamos la papelera. Reiniciamos windows en modo normal, deshacemos los cambios de la vista de carpeta. Si todo sali bien podemos comprobar que el troyano ha desaparecido de nuestro sistema.

Uso de troyanos especficos


The Cleaner Profesional Capaz de detectar y proteger de troyanos, gusanos, keyloggers y spyware Se puede obtener buenos Antitroyanos en la pagina de Softonic.

Es un tipo de virus cuya caracteristica principal consiste en la capacidad de poder reenviarse a si mismo, (diferencia entre virus), utilizando el ordenador de cualquier usuario para infectar otros ordenadores va internet. Son programas completos que pueden funcionar por si solos, y que por lo tanto no necesitan afectar el cdigo de otros programas para replicarse. El objetivo es reproducirse y alcanzar el mximo de distribucin entre los equipos de red, tienden a replicarse en la medida de saturar los recursos de los ordenadores, provocando un ataque por denegacin de servicios (DoS) que acaba produciendo una inevitable cada del sistema. Su presencia y permanencia se basa normalmente en errores o debilidades de los protocolos de red o de los programas incluidos en los sistemas operativos que los utilizan.

GUSANOS WORM

Mtodo de propagacin
Es a travs de programas clientes de correo electrnico como Outlook y tambin a travs de clientes de chat como IRC o ICQ. Llegan incluidos en un archivo adjunto a un mail, cuando el usuario ejecuta dicho archivo el gusano se enva a los contactos que se encuentran almacenados en la libreta de direcciones o de clientes de correo. Stinger herramienta puntual que realiza un escaneo y elimina la infeccin. I love You - Mydoom

SPAM
Se conoce a la practica de enviar indiscriminadamente . mensaje de correo electrnico no solicitados por el receptor. Los dos males mas evidente que ocasionan son la saturacin de servidores de correo y la congestin de las lneas de comunicacin.

Mtodos empleados para conseguir direcciones

Criban mensajes de Usenet (uno de los mayores servidores de internet) Rastrean la Red durante horas al da Roban direcciones de listas de distribucin. Compran direcciones de correo en las bases de datos de los servicios en lnea de Internet.


La originalidad esta en intentar interesar/embaucar al destinatario para que conteste sus envos, utilizando estrategias: Pedir informacin a la victima para cancelar la cuenta que nunca suscribi. Obligar a la victima a visitar su pagina para borrarse. Obligar a responder engandola para anule una suscripcin que nunca realizo. Dando una apariencia legal al mensaje.

Beneficiados y perjudicados
Los spammeros son los autnticos beneficiarios ya que seguramente cobran por mensajes contestados. Perjudicados: el usuario que lo recibe, el servidor al que pertenece la empresa o persona que lo enva. La empresa o persona que lo enva, todos los usuarios de internet.

Como actuar frente al Spam


No responder jams a un mensaje de correo no solicitado. Jams responder a un mensaje de spam con insultos y cosas por el estilo. Quejarse al postmaster de la persona que realiza el spam. Configurar filtros o reglas de mensajes en nuestro cliente de correo para no recibir mas mensajes procedente de una direccin determinada. No dejar nuestra direccin de correo en cualquier formulario o foro de internet. Cambiar de direccin de correo habitual si esta recibiendo demasiado correo basura.

Phishing
Es una forma de Spam especialmente perniciosa, no solo satura de basura los buzones de correo sino que pone en peligro la integridad de la informacin sensible del usuario. Junto al spyware es una de las tcnicas mas empleadas por los ciberdelincuentes para apropiarse de informacin confidencial a travs de internet.

Como protegernos del phishing


Tener sentido comn y procurar no introducir nuestro datos personales mas relevantes en la primera pagina que los solicite. No responder a solicitudes de informacin personal a travs del correo electrnico. Introducir la direccin URL en la barra de direcciones de nuestros sitios web. Asegurarse de que el sitio web utiliza cifrado, en la barra de estado con un candado amarillo.

HOAX
Son el equivalente informtico de las viejas cadenas de la suerte que se reciba por correo postal y que auguraban calamidades si las interrumpa y que prometan recompensas espirituales o materiales si se enviaba las cinco o diez cargas iguales a tantos conocidos.

objetivos
Conseguir direcciones de mail. Colapsar los servicios de correo. Alimentar el ego del autor.

consejos
No tener miedo ni ser supersticioso. Jams reenviar un hoax Utilizar el sentido comn y no creer en ninguna historia. Borrarlos de la bandeja de entrada lo antes posible. Utilizar los campos CCO y BCC ya que todas las direcciones que se incluyan en estos campos no sern vistas las personas que reciben el mensaje.

SPYWARE
Es un software instalado en el ordenador, generalmente sin el conocimiento del usuario, cuya funcin consiste en obtener informacin de nuestros hbitos de navegacin para mas tarde enviarla por internet a un servidor que recopilara y comenzara a enviarnos publicidad y mensajes no deseados. El spyware es legal ya que las empresas dedicadas a la programacin de este tipo de software estn obligadas a que la instalacin de sus productos a travs de otras aplicaciones, generalmente freeware, vaya acompaada de una informacin adicional de su presencia.

Consejos para prevenir SPYWARE


Utilizar navegador alternativo a Internet Explorer, ya que este es objeto de la mayora de los ataques debido a sus vulnerabilidades. Ser prudentes al descargar aplicaciones gratuitas. Los vnculos contenidos en ventanas emergentes son una fuente inagotable de spyware, cerrarlas haciendo clic en X o con alt + f4. Responder siempre no a preguntas no deseadas. No pinchas sobre enlaces incrustados en correos electrnicos que ofrecen software antispyware. Procurar que el navegador tenga a opcin de bloquear las ventanas emergentes y cookies.