Escolar Documentos
Profissional Documentos
Cultura Documentos
2
Captulo 7
Introduccin
3
Captulo 7
Introduccin
Desconocimiento
+ = Confusin
mala informacin
Virus ?
4
Captulo 7
Introduccin histrica
Dcada de los 60: Programadores de Bell disean un juego
llamado Core War (guerras de ncleo)
1983: Fred Cohen acua el nombre de virus (programas
que se reproducen a si mismos)
1985: Aparecen los primeros troyanos disfrazados de
grficos y juegos
1986: Aparece Brain (Pakistan) y se extiende por todo el
mundo (sector de arranque de discos 5,25)
1987: Stoned (sector de arranque)
1987: Viernes-13 o Jerusalem (primer v.residente)
1988: 2 de Noviembre. Gusano de Internet. Colapso en 3
horas mediante e-mail
199x: Auge de los virus de propagacin por Internet
200x: Spyware y Phishing
5
Captulo 7
Volumen de virus (McAfee, mayo 2007)
6
Captulo 7
Incidencias de virus en Espaa 2005
Nombre Incidencias Peligro Fecha
Netsky.P 74.175.814 (41.7%) Alta 22/03/2004
Netsky.B 23.903.954 (13.4%) Alta 18/02/2004
Netsky.Q 14.552.235 (8.2%) Alta 29/03/2004
Zafi.B 14.289.770 (8%) Alta 11/06/2004
Mydoom 7.252.897(4.1%) Media 27/01/2004
Bagle.AB 6.649.870(3.7%) Alta 29/04/2004
8
Captulo 7
Totales Malware = 114.175 Feb 2005
120000
100000
80000
60000
40000
20000
0
1990 1992 1994 1996 1998 2000 2002 2004
7900 BAT, scripts, HTML, script exploits 8500 BAT, scripts, HTML, script exploits
2500 Drivers de aplicacin, jokes y dialers 3000 Drivers de aplicacin, jokes y dialers
9000
8000
IRC bots
7000
6000
5000
4000
3000
2000
1000
0
2002 2003 2004 2005
Fuente: McAfees VirusScan statistics 11
Captulo 7
Servidores de malware
12
Captulo 7
Panorama actual
Metodologas y acciones adicionales
(AVERT
01/03 10/04) Exploit 100% Remote Access 83%
10% Download 33% DOS 17%
Worm basado
en vulnerabilidades
Metodologa de infeccin
inicial
Fuente: McAfees VirusScan statistics 13
Captulo 7
Impacto en el negocio por amenazas
My Doom
$5.2B
Sasser
$3.5B Costes indirectos
NetSky Perdida de
$2.75B productividad
Bagle
$1.5B Erosion de
Sober marca e imagen
$750M $14B Perdidas
Perdida de
Korgo por las principales.
Amenazas del 2004 confianza del
$400M
cliente.
$18B Total
Principales amenazas 2004
Source: Computer Economics 12/04
14
Captulo 7
Desde la vulnerabilidad a la amenaza
Exposicin de activos crticos
Exposicin a
la amenaza
17
Captulo 7
Definicin y propiedades
Un virus es una secuencia de instrucciones (programa)
De cdigo mquina compilado, o
De cdigo fuente interpretado
Es capaz de
Realizar copias reiteradas de si mismo (propagarse)
Aadir su cdigo al de otros programas (infectar)
Infecta a programas normales a travs de
La ejecucin involuntaria y parasitaria de un programa
previamente infectado
18
Captulo 7
Definicin y propiedades
Intentan controlar el entorno en el que actan para
Poder propagarse
Permanecer oculto al usuario
Por este motivo suelen ser residentes en memoria,
aunque existen tipos de virus que no son residentes
Utilizan tcnicas de ocultacin
Sus especificaciones dificultan el funcionamiento
normal del ordenador al que infectan
Generalmente provocan daos
19
Captulo 7
Definicin y propiedades
Toman el nombre de los virus biolgicos y se
establecen ciertas analogas:
Virus biolgico entra en el cuerpo e infecta las clulas. El
virus informtico entra en el ordenador e infecta los archivos.
Ambos virus se reproducen y se propagan dentro del sistema.
Tambin se propagan a otros sistemas transmitiendo la
infeccin.
Los virus biolgicos son microorganismos y los virus
informticos son micro-programas.
Los primeros programas para eliminar virus se llamaron
vacunas, aunque ahora se llaman antivirus.
20
Captulo 7
Definiciones de programas peligrosos
Virus: Programa difcil de detectar que se replica y
extiende. En determinados momento puede causar
daos importantes
Worm (gusano): programa que se replica y extiende.
No necesita infectar otros programas para extenderse,
normalmente se extiende por la red produciendo
mucho trfico.
Trojans (caballos de Troya): programa que aparenta
ser inofensivo mientras realiza su tarea.
21
Captulo 7
Definiciones de mensajes de correo
Hoaxes (trampas): no son virus, son falsos mensajes
que causan alarma y desconcierto. En algunos casos
pueden engaar al usuario para modificar parmetros
del sistema y tener efectos parecidos a los de un
virus.
Spam: mensajes de correo no solicitado. No suelen
ser dainos sino que causan prdida de tiempo y
sobrecargan la red.
Phishing: tcnica moderna de engaar a los usuarios
para conseguir informacin personal.
22
Captulo 7
Clasificacin
Los virus se pueden clasificar por varios criterios:
Tcnicas utilizadas
Dnde se esconden
Tipo de archivos que infectan
Tipo de daos que causan
Tipo de plataforma que atacan
Mecanismo de propagacin
etc.
23
Captulo 7
Clasificacin
Lo ms extendido es clasificarlos atendiendo
fundamentalmente al lenguaje de programacin
W32 Viruses targetted at all 32-bit versions of Windows (all
versions from Windows 95 on).
VBS Viruses written in Visual Basic Script.
WM, W95, W97M, W2KM: Word macro viruses
AM, A97M, A2KM: Access macro virus
OM, O97M, O2KM: Office macro virus
JS Attacks written in JavaScript.
Worm
Trojan
24
Captulo 7
Clasificacin
TrendMicro
ActiveX Control
Backdoor
Batch File
Boot
DOS
Elf Executable
File Infector
Html
IRC Script
Java Applet
JavaScript
Joke
Macro
Not a Virus
Others
Shell Script
Trojan
VBScript
Visio 5
VXD
Worm
25
Captulo 7
Clasificacin
De cada virus suelen aparecer variantes a los pocos
das (sufijos .A, .B,...)
26
Symantec marzo/2004 Captulo 7
Funcionamiento general
de los virus
27
Captulo 7
Ciclo de vida de un virus
1.- Diseo y
desarrollo
6.- Obsolescencia y
recada 3.- Infecciones
Virus sucesivas-
Mutacin
5.- Descubrimiento y 4.- Activacin
anlisis Pay-Load
28
Captulo 7
Infeccin Inicial
Al abrir un documento
infectado
Al ejecutar un
programa
infectado
RAM
29
Captulo 7
Medios de contagio
Intercambio de programas
Circulacin de disquetes, CDs, Flash USB
Download de ficheros (FTP, HTTP)
Agujeros de seguridad
Otras redes pblicas y correo electrnico
(attachments)
Revistas en o con disquete o CD-ROM
Marketing en disquete o CD-ROM
30
Captulo 7
Propagacin e infecciones sucesivas
Al ejecutar un Acceso a
programa Al abrir o salvar dispositivos de
limpio un documento almacenamiento
limpio externo o carpetas
compartidas
RAM
31
Captulo 7
Tcnicas de ocultacin
Procedimientos que utilizan los virus para no ser
detectados por
Los usuarios
Los programas anti-virus
Hacen uso de ellos cuando se estn propagando
Bsicamente utilizan las siguientes tcnicas
Capturar las llamadas a interrupciones del sistema
operativo
Cifrar su cdigo
Utilizar motores de mutacin para cambiar de
aspecto alterando su estructura de programa en cada
infeccin
Matan el proceso anti-virus
32
Captulo 7
Tcnicas de ocultacin
Stealth: Esconder los signos visibles de un infeccin
que podra delatar la presencia (tamao de ficheros)
Tunneling: Contra antivirus residentes. Obtienen
direcciones de memoria originales de los servicios
para utilizarlos sin ser interferidos.
Auto-cifrado: Se cifran cada vez que infectan un
fichero, luego cambian totalmente de aspecto
Polimorfismo: Se cifran cada vez con un modo de
cifrado diferente. Son muy sofisticados
Armouring: Tcnicas para evitar ser examinados
(acorazados)
33
Captulo 7
Sntomas de infeccin
Anomalas en el dispositivo de video/ratn
Aumento de la carga de CPU
Aumento del trfico de red
Accesos inesperados a dispositivos de
almacenamiento
Reduccin significativa de la memoria y espacio en
disco
Desaparecen inesperadamente ficheros de datos y
programas
Variaciones en la configuracin del equipo
Mensajes de error no usuales
Errores al leer, ejecutar o copiar ficheros 34
Captulo 7
Resumen
1.- Un virus es un programa, en cdigo mquina compilado, o en
cdigo fuente interpretado que
Realiza copias reiteradas de si mismo (se propaga)
Aade su cdigo al de otros programas (infecta)
36
Captulo 7
Tipos de virus
ndice
Virus de fichero ejecutable
Virus de macro
Virus de sector de arranque
Virus de Internet
Tcnica de phishing
37
Captulo 7
Tipos de virus
En funcin de las intenciones del virus
Benignos
Malignos
Origen de la infeccin
E-mail
www.virus.com
RAM
40
Captulo 7
Virus de fichero ejecutable (3)
Es capaz de modificar la estructura de un fichero
ejecutable
Utiliza el fichero ejecutable como portador
Consigue as poder ejecutarse de forma desapercibida
y parasitaria
41
Captulo 7
Virus de fichero ejecutable (4)
Tcnicas bsicas de infeccin
Virus
Virus Salto
FILE.EXE
Fichero Fichero Fichero FILE.COM Virus
Fichero
Ejecutable Ejecutable Ejecutable Ejecutable Fichero Fichero
Portador Portador Portador Portador Ejecutable Ejecutable
Portador Portador
1 2.A 2.B 3
Virus Virus 4 5
Virus
43
Captulo 7
Virus de macro (1)
LOS VIRUS DE MACRO INFECTAN DOCUMENTOS
Se difunden ms rpidamente, por cada programa bajado de
Internet, se bajan 245 documentos.
Aparecen como consecuencia de malos diseos de los lenguajes
de macros
Hoy en da no son muy populares
www.virus.com
www.virus.com
1 programa
245 documentos
44
Captulo 7
Virus de macro (2)
Los documentos (datos) son cada vez mas complejos.
Dentro de un documento se pueden insertar objetos (imgenes,
animaciones, msica, otros documentos, etc.) y una clase de
objetos que se pueden almacenar son programas escritos en
VisualBasic (VBA).
OLE es una metodologa desarrollada por Microsoft para poder
manejar objetos y dentro de OLE existe el formato de archivo
Compound File para almacenar objetos dentro de un
documento. 40
Evolucin del cargable por quincena
Quincena
Documento con
30
C arg ab le
20
10
objetos
0
Food Gas Motel
Jan 12 17 10
Feb 17 11 21
Mar 22 29 14
Apr 14 10 17
May 12 17 10
Jun 19 15 20
Chart Title
46
Captulo 7
Virus de macro (4)
Virus de MS-Word
47
Captulo 7
Virus de macro (5)
Virus de MS-Word: Infeccin inicial
Un virus de macro se ejecuta al abrir el documento (AutoOpen).
Graba todas las macros en el NORMAL.DOT. Este archivo
contiene las macros comunes a todos los documentos.
Desde la plantilla NORMAL.DOT pasan las macros a cualquier
documento que se abra.
NORMAL.DOT
NORMAL.DOT INFECTADO
48
Captulo 7
Virus de macro (6)
Virus de MS-Word: Propagacin
Desde la plantilla NORMAL.DOT pasan las macros a cualquier
documento que se abra.
Al salvar el documento se guardar con el virus..
NORMAL.DOT
INFECTADO
49
Captulo 7
Virus de sector de arranque (1)
Afectan a sectores reservados al
sistema operativo
Sector de arranque de discos duros
y disquetes
Tabla de particin de discos duros
50
Captulo 7
Virus de sector de arranque (2)
Caractersticas
Suelen sustituir el sector que infectan por una versin propia pero
conservan el sector sustituido para
Poder arrancar
Utilizarlo en tcnicas de ocultamiento
Es comn que su tamao sea 512 bytes o mltiplos de este
tamao
Pueden extenderse a muchos diskettes antes de ser detectados,
porque slo se cargan al arrancar desde diskette
Hoy en da son poco utilizados porque el proceso de propagacin
es demasiado lento para que sean efectivos
51
Captulo 7
Virus de sector de arranque (3)
Infeccin inicial
Al encender un ordenador con un disquete infectado
en la disquetera
Por el proceso de arranque de un PC el sector de arranque
del disquete se carga y ejecuta en memoria RAM.
Ello permite al virus acceder a memoria RAM y ejecutarse
Infecta entonces el sector de arranque del disco duro
RAM
52
Captulo 7
Virus de sector de arranque (4)
Propagacin
Al realizar alguna operacin de E/S sobre un disquete
Si el disquette est protegido contra escritura no se
puede propagar
RAM
53
Captulo 7
Virus de sector de arranque (5)
Resumen
Afectan a sectores reservados al sistema operativo
Sector de arranque de discos duros y disquetes
Tabla de particin de discos duros
Slo se produce la infeccin al arrancar el ordenador con un
disquete infectado (o mediante algunos virus de programa
concretos)
Utilizan el proceso de arranque de un PC para acceder a
memoria
La mayora de las BIOS actuales permiten definir la secuencia de
arranque, para utilizar slo el disco duro principal
La mayora de las BIOS incorporan proteccin contra estos virus
evitando acceder a los sectores de arranque y tablas de particin
54
Captulo 7
Virus de sector de arranque (6)
Auto-arranque de CDs
Es la forma moderna ya que los CDs han sustituido a los
diskettes.
Resulta incluso ms peligroso porque se activan en
cualquier momento (autorun) con slo insertar el CD y sin
necesidad de reiniciar el ordenador.
En un experimento realizado por Training Camp (UK)
Se repartieron CDs en el metro.
El CD contena un troyano que smplemente enviaba una
confirmacin de instalacin.
Se recibieron seales de bancos, compaas de seguros, etc.
55
Captulo 7
Virus de Internet (1)
Cada vez se utilizan menos diskettes para transferir
informacin y hay una clara tendencia a utilizar
Internet.
57
Captulo 7
Virus de Internet (3)
Efectos que producen
58
Captulo 7
Virus de Internet (4)
Mdulos que pueden incorporar
59
Captulo 7
Tcnica de phishing (1)
60
Captulo 7
phishing (2)
Formulario del
engao PayPal
61
Captulo 7
Referencias sobre phishing
Federal Trade Commission, "How Not to Get Hooked by a
'Phishing' Scam",
http://www.ftc.gov/bcp/conline/pubs/alerts/phishingalrt.htm
62
Captulo 7
Proteccin contra virus
63
Captulo 7
Proteccin contra virus
Consejos de buena conducta
Mtodos preventivos/correctivos: antivirus
Productos comerciales
Pruebas de deteccin
Proteccin perimetral
64
Captulo 7
Consejos de buena conducta
Imponer medidas y polticas de seguridad corporativas.
Campaas de informacin a los usuarios
No ejecutar programas que lleguen en correo electrnico
(aunque sean de personas conocidas)
Instalar los parches de seguridad de los programas.
Mantener siempre activo antivirus en servidores y estaciones
Actualizacin constante del antivirus
Utilizar siempre software fiable
Controlar discos de procedencia ajena
No utilizar el disco duro como nico lugar de almacenamiento
Cuidado con los porttiles
Analizar todo el ordenador peridicamente
Escanear todo el trfico de entrada/salida
65
Captulo 7
Mtodos preventivos/correctivos:
antivirus (1)
Los paquetes antivirus utilizan diferentes
tcnicas de deteccin
Bsqueda de cadenas que identifican virus
Bsqueda deductiva, determinan si un fichero est
infectado o no, observando varios parmetros
Bsqueda heurstica, desensamblando el virus y
buscando secuencias de instrucciones de virus
(nivel de precisin aceptable para virus conocidos y
desconocidos)
Otras tcnicas: Investigacin. Pone a prueba el
virus residente y todava no detectados
66
Captulo 7
Mtodos preventivos/correctivos:
antivirus (2)
Ventajas de las tcnicas avanzadas de
deteccin
Permite detectar virus que implementa tcnicas de
ocultacin
Permite detectar virus nuevos sin necesidad de
actualizacin
Son eficaces para detectar variantes de virus
existentes*
68
Captulo 7
Productos comerciales (2)
Fabricantes de Antivirus
Network Associates (McAfee) VirusScan
(http://www.mcafee.com)
TrendMicro OfficeScan (http://www.trendmicro.com)
Symantec Norton Antivirus (http://www.symantec.com)
Panda Software Panda Antivirus
(http://www.pandasoftware.com)
NOD32 (http://www.nod32.com)
Kaspersky (http://www.kaspersky.com)
Sophos (http://www.sophos.com)
72
Captulo 7
Ejemplos de virus (1/9)
Anna Kournikova. Fichero disimulado con .JPG
Reenvio por email
Love Letter: Gusano que se extendi muy rpido
bloqueando muchos servidores de correo
Melissa: Macro de MS-Word con gusano
SirCam: Te mando este archivo para que me des tu
punto de vista Con doble extensin
Ramen: Para Linux
CodeRed: Gusato para IIS (Internet Information Services)
73
Captulo 7
Ejemplos de virus (2/9)
Worm_Klez: (17/abr/2002, muchas variantes)
Explota vulnerabilidades de Outlook
Reenvo por correo electrnico con remites falsos. Obtiene
direcciones de las carpetas de correos.
Utiliza subjects variables. Difcil de interceptar en servidores.
Se propaga tambin por archivos ejecutables conservando el
tamao original del ejecutable (algoritmos de compresin).
Intenta parar los antivirus.
74
Captulo 7
Ejemplos de virus (3/9)
Sobig (10/ene/2003)
Programa ejecutable
Reenvo por correo electrnico con servidor SMTP propio.
Obtiene direcciones de las carpetas de correos, bases de
datos etc.
Se propaga tambin por la red local copindose a carpetas
compartidas
75
Captulo 7
Ejemplos de virus (4/9)
Yaha (24/dic/2002)
Programa ejecutable
Reenvo por correo electrnico con servidor SMTP propio.
Obtiene direcciones de muchas fuentes:
Windows Address Book (WAB)
Yahoo Messenger
MSN and .NET messenger Services
archivos con extensin HT
Utiliza remites, subjects, textos de correo y nombre de
attachment (.exe .scr) aleatorios
Intenta parar los antivirus
Tiene varias fechas de activacin
76
Captulo 7
Ejemplos de virus (5/9)
SQL Slammer (25/ene/2003, 5:30 AM UTC)
Internet worm contra Microsoft SQL server
En pocas horas 700.000 servidores web afectados
American Express network
13000 cajeros automticos de Bank of America
Trfico telefnico en Finlandia
Coste estimado a la economa mundial: 1.000 millones de
dlares. (Costes de productividad y oportunidad de negocio).
El parche estaba disponible desde julio/2002
77
Captulo 7
Ejemplos de virus (6/9)
78
Captulo 7
Ejemplos de virus (7/9)
Expansin lenta
24/mar/2005,
SPYW_DASHBAR
Entra por Internet Explorer sin
accin del usuario.
Instala un toolbar de bsqueda
79
Captulo 7
Ejemplos de virus (8/9)
Virus en la lista de alerta del Ministerio CyT
31/ene/2004, worm Sober.C
Fallo de configuracin de la lista de correo de alertas del Centro
de Alerta Temprana Antivirus.
Centro dependiente del Ministerio de Ciencia yTecnologa a
travs de la Secretara de Estado de Telecomunicaciones y para
la Sociedad de la Informacin.
Estn reforzando la seguridad e incluirn firma electrnica en los
mensajes.
80
Captulo 7
Ejemplos de virus (9/9)
Sumitomo Mitsui Bank
2005, programa keylogger
Se detectan transferencias sospechas
Intento de robo de $423.000.000
Se descubre un programa keylogger instalado en el ordenador de
uno de los empleados del banco.
81
Captulo 7
Ejemplos de virus (10/10)
videologgers (de keyloggers)
2006, troyano que captura video
Es una evolucin de los keyloggers
Capturan la pantalla del ordenador en la zona del ratn (para
ocupar menos espacio)
Evitan los teclados virtuales.
Ejemplo del Banco do Brasil
82
Captulo 7
http://www.hispasec.com/laboratorio/troyano_video.htm
Resumen
83
Captulo 7
Consejos Prcticos sobre e-mail
Utilizar los protocolos seguros para descargar el
correo: POPs, IMAPs. (Esto evita que nos roben el
login y password)
Desconfiar del remite de los correos
Desconfiar de los correos que piden ser reenviados,
y de los que contienen archivos adjuntos (ejemplo:
"me, nude")
Desconfiar de los avisos de virus
No publicar la direccin de correo electrnico en web
No enviar mensajes con copia a mucha gente, por
ejemplo por cambio de direccin de correo (esto
propaga las direcciones de correo y todos quedan
expuestos a los virus)
84
Captulo 7
Consejos Prcticos
Advertencias de tipo general
Hacer backup regularmente
Bajar archivos de sitios fiables y verificarlos con antivirus o en
www.virustotal.com
Bajar plug-ins o Extensions slo de las fuentes originales
Desconfiar de archivos en CDs, Flash drives, diskettes
Utilizar protocolos seguros siempre que se escriban claves
Nunca dar ninguna clave a un banco (ni por telfono, ni por
correo, ni por web).
Manejar ms de una clave.
Ej. No utilizar la misma clave para el mvil que para la tarjeta de
crdito.
Cuidado con los ordenadores prestados o cybercafs
(stealthsurfer.biz).
85
Captulo 7
Consejos Prcticos
86
Captulo 7