1. HERRAMIENTAS DE PROTECCIN DE SISTEMAS INFORMTICOS.

Control del software instalado

Tener instalado en la mquina nicamente el software necesario reduce riesgos. As mismo
tener controlado el software asegura la calidad de la procedencia del mismo (el software
obtenido de forma ilegal o sin garantas aumenta los riesgos). En todo caso un inventario
de software proporciona un mtodo correcto de asegurar la reinstalacin en caso de
desastre. El software con mtodos de instalacin rpidos facilita tambin la reinstalacin
en caso de contingencia.
Control de la red
Los puntos de entrada en la red son generalmente el correo, las pginas web y la entrada
de ficheros desde discos, o de ordenadores ajenos, como porttiles.
Mantener al mximo el nmero de recursos de red solo en modo lectura, impide que
ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los
permisos de los usuarios al mnimo.
Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan
trabajar durante el tiempo inactivo de las mquinas.
Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperacin,
cmo se ha introducido el virus.
Proteccin fsica de acceso a las redes
Independientemente de las medidas que se adopten para proteger a los equipos de una red
de rea local y el software que reside en ellos, se deben tomar medidas que impidan que
usuarios no autorizados puedan acceder. Las medidas habituales dependen del medio
fsico a proteger.
A continuacin se enumeran algunos de los mtodos, sin entrar al tema de la proteccin de
la red frente a ataques o intentos de intrusin desde redes externas, tales como Internet.
Redes cableadas
Las rosetas de conexin de los edificios deben estar protegidas y vigiladas. Una medida
bsica es evitar tener puntos de red conectados a los switches. Aun as siempre puede ser
sustituido un equipo por otro no autorizado con lo que hacen falta medidas adicionales:
norma de acceso 802.1x, listas de control de acceso por MAC addresses, servidores de
DHCP por asignacin reservada, etc.
Redes inalmbricas
En este caso el control fsico se hace ms difcil, si bien se pueden tomar medidas de
contencin de la emisin electromagntica para circunscribirla a aquellos lugares que
consideremos apropiados y seguros. Adems se consideran medidas de calidad el uso del
cifrado ( WPA, WPA v.2, uso de certificados digitales, etc.), contraseas compartidas y,
tambin en este caso, los filtros de direcciones MAC, son varias de las medidas habituales
que cuando se aplican conjuntamente aumentan la seguridad de forma considerable frente
al uso de un nico mtodo.
Sanitizacin
Proceso lgico y/o fsico mediante el cual se elimina informacin considerada sensible o
confidencial de un medio ya sea fsico o magntico, ya sea con el objeto de desclasificarlo,
reutilizar el medio o destruir el medio en el cual se encuentra.

2. CARACTERSTICAS TCNICAS, DEFINICIN, CLASIFICACIN Y CONSECUENCIAS

EN LOS EQUIPOS INFORMTICOS DE LOS SIGUIENTES VIRUS:

I LOVE YOU
Es la nueva acometida de la famosa botnet Storm en busca de nuevos ordenadores para
sus huestes, y pertenece a la categora de gusano. Est escrito en Visual Basic Script que
se propaga a travs de correo electrnico y de IRC (Internet Relay Chat). Consiste en
un correo enviado con el tema I Love You, y en el contenido del mensaje
aparece un enlace: 'Pages from My Heart http://x.x.x.x'. (Al ver esto nos damos cuenta
de que la palabra from debera estar escrita con mayscula).
Si nos conectamos a la pgina que se almacena en uno de los ordenadores que forma
parte de Storm, un ordenador totalmente normal cuyo dueo seguramente no sabr lo
que est ocurriendo, obtenemos la siguiente pgina:
Your download should start automatically in a few seconds. If not, click here to
start the download.
Que nos har bajar el cdigo para que nos infectemos.
En este caso, el virus solo espera a que la gente ejecute el programa.
Utiliza nginx para tanto mostrar la pgina de 'Love You..' como para servir el binario
iloveyou.exe. Nginx e un servidor de HTTP que tiene funciones de proxy muy utilizado
en muchos sites importantes de Internet, pero que adems, es tambin muy utilizado
en numerosos casos de malware.
Al infectar el equipo intentar autoenviarse a todo lo que est en las agendas de
OutLook.
Su procedencia es Manila y su creador se hace llamar Spyder.

BLASTER
Es el virus ms famoso de la historia, entre otras cosas, porque caus el gran apagn
ocurrido en agosto del 2003.
Est escrito en lenguaje Ensamblador. Este gusano tiene un tamao de 6176 Bytes
cuando est comprimido mediante UPX, y de 11296 Bytes una vez descomprimido.
Blaster crea el archivo MSBLAST.EXE en el directorio de sistema de Windows, que es
una copia de s mismo, y mediante una entrada de texto en el Registro de Windows
consigue que el virus se ejecute cada vez que se inicia el equipo.
Se propaga atacando direcciones IP generadas aleatoriamente, que pertenecen tanto a
la red en la que se encuentra el ordenador atacado, como a redes de clase B. Intenta
aprovechar en dichas direcciones IP la vulnerabilidad conocida como Desbordamiento
de bffer en interfaz RPC. En caso de conseguirlo, descarga en el ordenador atacado
una copia de s mismo, para lo cual incorpora su propio servidor TFTP.
Los efectos de este virus son mltiples: Realiza ataques de denegacin de servicio (DoS)
contra el sitio web windowsupdate.com durante los das 15 a 31 de cada mes, y
durante todos los das de los meses de septiembre a diciembre de cualquier ao; puede
llegar a provocar el bloqueo y reinicio del ordenador atacado, debido a errores de
codificacin de gusano; provoca un aumento del trfico de red por los puertos TCP
135 y 4444, y UPD 69.

BadUSB
Es un virus que infecta a travs de los USB. Ya se haban utilizado los USB para
programar programas maliciosos almacenados entre los archivos que contienen, pero
este nuevo virus ha encontrado otra forma, casi invisible, de saltarse las protecciones
que normalmente se instalan para evitar este tipo de infecciones.
Esta novedad consiste en que es posible introducir malware en el propio firmware del
lpiz USB, y no en la propia memoria flash de la misma junto al resto de datos como

ocurra hasta ahora.

Por ahora este problema no tiene una solucin sencilla, ya que, en la actualidad, es casi
imposible saber si el firmware de un dispositivo ha sido alterado desde fuera. No hay
un sistema de firma de seguridad que aparezca cada vez que se edita el cdigo ni
tampoco otros cdigos con los que comparar para ver si se han hecho cambios.

3. COMPARATIVA DE TIPOS DE VIRUS.

Virus residentes: Se ocultan en la memoria RAM de forma permanente o residente.

De este modo, pueden controlar e interceptar todas las operaciones llevadas a cabo
por el sistema operativo, infectando todos aquellos ficheros y/o programas que sean
ejecutados, abiertos, renombrados, etc. Solo atacan cuando se cumplen ciertas
condiciones definidas previamente por su creador; mientras tanto, permanecejn
ocultos en una zona de la memoria principal.
Virus de accin directa: Al no encontrarse un la memoria, su objetivo prioritario es
reproducirse y actuar en el mismo momento de ser ejecutados. Al cumplirse una
determinada condicin, se activan y buscan los ficheros ubicados dentro de su
mismo directorio para contagiarlos. Ventaja: los ficheros afectados pueden ser
desinfectados y restaurados completamente.
Virus de sobreescritura: Se caracterizan por destruir la informacin contenida en los
ficheros que infectan. Cuando infectan un fichero, escriben en su contenido,
haciendo que queden total o parcialmente inservibles. La nica manera de limpiar
un fichero infectado por un virus de sobreecritura es borrarlo perdiendo su
contenido.
Virus de boot: El boot es una seccin del un disco donde se guarda la informacin
esencial sobre las caractersticas del disco y se encuentra un programa que permite
arrancar el ordenador. No infecta ficheros, sino los discos que los contienen. Actan
infectando en primer lugar el sector de arranque de los disquetes. Cuando un
ordenador se pone en marcha con un disquete infectado, el virus de boot infectar a
su vez el disco duro. El mejor modo de defenderse contra ellos es proteger los
disquetes contra escritura y no arrancar nunca el ordenador con un disquete
desconocido en la disquetera.
Virus de macro: Su objetivo es la infeccin de los ficheros creados usando
determinadas aplicaciones que contengan macros: documentos de Word (.DOC),
hojas de clculo de Excel (.XLS), bases de datos de Access (.MDB), etc. Las macros
son micro-programas asociados a un fichero, que sirven para automatizar complejos
conjuntos de operaciones. Al ser programas, pueden ser infectadas. Cuando se abre
un fichero que contenga un virus de este tipo, las macros se cargarn de forma
automtica, producindose la infeccin.
Virus de enlace o directorio: Los ficheros se ubican en determinadas direcciones,
que el sistema operativo conoce para poder localizarlos y trabajar con ellos. Estos
virus alteran las direcciones que indican donde se almacenan los ficheros. De este
modo, al intentar ejecutar un programa (fichero con extensin EXE o COM)
infectado por un virus de enlace, lo que se hace en realidad es ejecutar el virus, ya
que ste habr modificado la direccin donde se encontraba originalmente el
programa, colocndose en su lugar. Una vez producida la infeccin, resulta
imposible localizar y trabajar con los ficheros originales.
Virus encriptados: Se trata de una tcnica utilizada por algunos virus, que a su vez
pueden pertenecer a otras clasificaciones. Estos se cifran o encriptan a s mismos
para no ser detectados por los programas antivirus. Para realizar sus actividades, el

virus se descifra a s mismo y, cuando ha finalizado, se vuelve a cifrar.

Virus polimrficos: En cada infeccin que realizan se cifran o encriptan de una
forma distinta, generando una elevada cantidad de copias de s mismos e impiden
que los antivirus los localicen a travs de la bsqueda de cadenas o firmas, por lo
que suelen ser los virus ms costosos de detectar.
Virus multipartites: Son virus muy avanzados, que pueden realizar mltiples
infecciones, combinando diferentes tcnicas para ello. Su objetivo es cualquier
elemento que pueda ser infectado: archivos, programas, macros, discos, etc. Se
consideran muy peligrosos por su capacidad de combinar muchas tcnicas de
infeccin y por los dainos efectos de sus acciones.
Virus de fichero: Infectan programas o ficheros ejecutables (ficheros con
extensiones EXE y COM ). Al ejecutarse el programa infectado, el virus se activa,
produciendo diferentes efectos. La mayora de los virus existentes son de este tipo.
Virus de compaa: Son virus de fichero que al mismo tiempo pueden ser residentes
o de accin directa. Su nombre deriva de que "acompaan" a otros ficheros
existentes en el sistema antes de su llegada, sin modificarlos como hacen los virus
de sobreescritura o los residentes. Para efectuar las infecciones, pueden esperar
ocultos en la memoria hasta que se lleve a cabo la ejecucin de algn programa, o
actuar directamente haciendo copias de s mismos.
Virus de FAT: La Tabla de Asignacin de Ficheros es la seccin de un disco utilizada
para enlazar la informacin contenida en ste. Se trata de un elemento fundamental
en el sistema. Los virus que atacan a este elemento son especialmente peligrosos, ya
que impedirn el acceso a ciertas partes del disco, donde se almacenan los ficheros
crticos para el normal funcionamiento del ordenador. Los daos causados a la FAT
se traducirn en prdidas de la informacin contenida en ficheros individuales y en
directorios completos.
Gusanos: De un modo estricto, los gusanos no se consideran virus porque no
necesitan infectar otros ficheros para reproducirse. A efectos prcticos, son tratados
como virus y son detectados y eliminados por los antivirus. Bsicamente, se limitan
a realizar copias de s mismos a la mxima velocidad posible, sin tocar ni daar
ningn otro fichero. Sin embargo, se reproducen a tal velocidad que pueden
colapsar por saturacin las redes en las que se infiltran. Las infecciones producidas
por estos virus casi siempre se realizan a travs del correo electrnico, las redes
informticas y los canales de Chat de Internet. Tambin pueden propagarse dentro
de la memoria del ordenador.
Troyanos: Tcnicamente, estos tampoco se consideran virus, ya que no se
reproducen infectando otros ficheros. Tampoco se propagan haciendo copias de s
mismo como hacen los gusanos. A efectos prcticos, son tratados como virus y son
detectados y eliminados por los antivirus. Su objetivo bsico es la introduccin e
instalacin de otros programas en el ordenador, para permitir su control remoto
desde otros equipos. Llegan al ordenador como un programa aparentemente
inofensivo. Sin embargo, al ejecutarlo instalar en nuestro ordenador un segundo
programa, el troyano. Sus efectos pueden ser muy peligrosos. Al igual que los virus,
tienen la capacidad de eliminar ficheros o destruir la informacin del disco duro.
Pero adems pueden capturar y reenviar datos confidenciales a una direccin
externa o abrir puertos de comunicaciones, permitiendo que un posible intruso
controle nuestro ordenador de forma remota.
Bombas lgicas: Tampoco se consideran estrictamente virus, ya que no se
reproducen. Ni siquiera son programas independientes, sino un segmento
camuflado dentro de otro programa. Tienen por objetivo destruir los datos de un
ordenador o causar otros daos de consideracin en l cuando se cumplen ciertas
condiciones. Mientras este hecho no ocurre, nadie se percata de la presencia de la

bomba lgica. Su accin puede llegar a ser tremendamente destructiva.

Keylogger: Tras ser ejecutados, normalmente quedan escondidos en el sistema
operativo, de manera que la vctima no tiene manera de saber que est siendo
monitorizada. Actualmente los keyloggers son desarrollados para medios ilcitos,
como por ejemplo robo de contraseas bancarias.
Hijackers: Son programas o scripts que "secuestran" navegadores de Internet,
principalmente el Internet Explorer.

4. PROGRAMAS GRATUITOS RECOMENDADOS PARA PROTEGER EL EQUIPO

(COLLAGE).

5. VIRUS STUXNET.
Se le ha considerado un gusano pues aprovecha ciertas vulnerabilidades para propagarse e
infectar distintas mquinas; pero tambin cuenta con caractersticas de rootkit, ya que es
capaz de modificar el comportamiento de distintos sistemas de control y se oculta para no
ser detectado.
La principal va de infeccin es a travs de llaves USB. Otras vas de infeccin son a travs
de recursos de red compartidos, en los que la mquina tiene permisos de escritura.
A la hora de la instalacin, Stuxnet crea una serie de ficheros que son visibles con Windows
Explorer, dos servicios de visibles y sendas claves de registro. Por otro lado, una vez que se
infecta la mquina, los ficheros .tmp y .lnk de las llaves USB quedan ocultos a Windows
Explorer.
Una vez dentro del sistema, su funcin es robar informacin y enviarla a su creados. Esta
informacin incluye: informacin de la versin de Windows, nombre del host, nombre del
grupo de trabajo, un flag indicativo de si el software de WinCC esta o no instalado y
direcciones IP de todas las interfaces de red. As mismo, el creador puede acceder a
informacin de manera remota: lectura, escritura o borrado de un fichero, creacin de un
proceso, inyeccin de una dll en el proceso Isass.exe (que se encarga del funcionamiento de
los protocolos de seguridad que maneja Windows), carga de alguna dll adicional, inyeccin
de cdigo en otro proceso y actualizacin de los datos de configuracin del gusano.
A da de hoy, las principales casas antivirus cuentan con las firmas necesarias para detectar
Stuxnet. As mismo, las vulnerabilidades que aprovechaban los gusanos se han ido
solucionando con los aos mediante diferentes parches. Si bien es cierto que muchos
sistemas de control en la actualidad no cuentan con un adecuado programa de gestin de
parches o de un sistema antivirus, no lo es menos que a da de hoy no se han reportado
incidentes de relevancia en infraestructuras crticas, por lo que se refuerza la teora de que
se trata de un ataque dirigido.
Este virus ha sido muy importante pues ha sido el primer gusano que afecta a los sistemas
de control.
Supone un salto cualitativo en el desarrollo de virus, pues da pie a crear ms virus que
ataquen de alguna manera los sistemas de control y, de esta manera, se haran vulnerables
muchas partes e informaciones de los ordenadores.