Escolar Documentos
Profissional Documentos
Cultura Documentos
I LOVE YOU
Es la nueva acometida de la famosa botnet Storm en busca de nuevos ordenadores para
sus huestes, y pertenece a la categora de gusano. Est escrito en Visual Basic Script que
se propaga a travs de correo electrnico y de IRC (Internet Relay Chat). Consiste en
un correo enviado con el tema I Love You, y en el contenido del mensaje
aparece un enlace: 'Pages from My Heart http://x.x.x.x'. (Al ver esto nos damos cuenta
de que la palabra from debera estar escrita con mayscula).
Si nos conectamos a la pgina que se almacena en uno de los ordenadores que forma
parte de Storm, un ordenador totalmente normal cuyo dueo seguramente no sabr lo
que est ocurriendo, obtenemos la siguiente pgina:
Your download should start automatically in a few seconds. If not, click here to
start the download.
Que nos har bajar el cdigo para que nos infectemos.
En este caso, el virus solo espera a que la gente ejecute el programa.
Utiliza nginx para tanto mostrar la pgina de 'Love You..' como para servir el binario
iloveyou.exe. Nginx e un servidor de HTTP que tiene funciones de proxy muy utilizado
en muchos sites importantes de Internet, pero que adems, es tambin muy utilizado
en numerosos casos de malware.
Al infectar el equipo intentar autoenviarse a todo lo que est en las agendas de
OutLook.
Su procedencia es Manila y su creador se hace llamar Spyder.
BLASTER
Es el virus ms famoso de la historia, entre otras cosas, porque caus el gran apagn
ocurrido en agosto del 2003.
Est escrito en lenguaje Ensamblador. Este gusano tiene un tamao de 6176 Bytes
cuando est comprimido mediante UPX, y de 11296 Bytes una vez descomprimido.
Blaster crea el archivo MSBLAST.EXE en el directorio de sistema de Windows, que es
una copia de s mismo, y mediante una entrada de texto en el Registro de Windows
consigue que el virus se ejecute cada vez que se inicia el equipo.
Se propaga atacando direcciones IP generadas aleatoriamente, que pertenecen tanto a
la red en la que se encuentra el ordenador atacado, como a redes de clase B. Intenta
aprovechar en dichas direcciones IP la vulnerabilidad conocida como Desbordamiento
de bffer en interfaz RPC. En caso de conseguirlo, descarga en el ordenador atacado
una copia de s mismo, para lo cual incorpora su propio servidor TFTP.
Los efectos de este virus son mltiples: Realiza ataques de denegacin de servicio (DoS)
contra el sitio web windowsupdate.com durante los das 15 a 31 de cada mes, y
durante todos los das de los meses de septiembre a diciembre de cualquier ao; puede
llegar a provocar el bloqueo y reinicio del ordenador atacado, debido a errores de
codificacin de gusano; provoca un aumento del trfico de red por los puertos TCP
135 y 4444, y UPD 69.
BadUSB
Es un virus que infecta a travs de los USB. Ya se haban utilizado los USB para
programar programas maliciosos almacenados entre los archivos que contienen, pero
este nuevo virus ha encontrado otra forma, casi invisible, de saltarse las protecciones
que normalmente se instalan para evitar este tipo de infecciones.
Esta novedad consiste en que es posible introducir malware en el propio firmware del
lpiz USB, y no en la propia memoria flash de la misma junto al resto de datos como
5. VIRUS STUXNET.
Se le ha considerado un gusano pues aprovecha ciertas vulnerabilidades para propagarse e
infectar distintas mquinas; pero tambin cuenta con caractersticas de rootkit, ya que es
capaz de modificar el comportamiento de distintos sistemas de control y se oculta para no
ser detectado.
La principal va de infeccin es a travs de llaves USB. Otras vas de infeccin son a travs
de recursos de red compartidos, en los que la mquina tiene permisos de escritura.
A la hora de la instalacin, Stuxnet crea una serie de ficheros que son visibles con Windows
Explorer, dos servicios de visibles y sendas claves de registro. Por otro lado, una vez que se
infecta la mquina, los ficheros .tmp y .lnk de las llaves USB quedan ocultos a Windows
Explorer.
Una vez dentro del sistema, su funcin es robar informacin y enviarla a su creados. Esta
informacin incluye: informacin de la versin de Windows, nombre del host, nombre del
grupo de trabajo, un flag indicativo de si el software de WinCC esta o no instalado y
direcciones IP de todas las interfaces de red. As mismo, el creador puede acceder a
informacin de manera remota: lectura, escritura o borrado de un fichero, creacin de un
proceso, inyeccin de una dll en el proceso Isass.exe (que se encarga del funcionamiento de
los protocolos de seguridad que maneja Windows), carga de alguna dll adicional, inyeccin
de cdigo en otro proceso y actualizacin de los datos de configuracin del gusano.
A da de hoy, las principales casas antivirus cuentan con las firmas necesarias para detectar
Stuxnet. As mismo, las vulnerabilidades que aprovechaban los gusanos se han ido
solucionando con los aos mediante diferentes parches. Si bien es cierto que muchos
sistemas de control en la actualidad no cuentan con un adecuado programa de gestin de
parches o de un sistema antivirus, no lo es menos que a da de hoy no se han reportado
incidentes de relevancia en infraestructuras crticas, por lo que se refuerza la teora de que
se trata de un ataque dirigido.
Este virus ha sido muy importante pues ha sido el primer gusano que afecta a los sistemas
de control.
Supone un salto cualitativo en el desarrollo de virus, pues da pie a crear ms virus que
ataquen de alguna manera los sistemas de control y, de esta manera, se haran vulnerables
muchas partes e informaciones de los ordenadores.