II.

DEFINICION DE VIRUS

Seguridad de Sistemas - 2da Semana

31/05/2013

Qu son los Virus Informticos?

Los virus son programas informticos que se introducen en nuestra computadora de forma muy diversas, con la finalidad de producir efectos no deseados y nocivos. Cada vez que un virus entra en nuestra computadora diremos que se ha producido una infeccin.
2

Seguridad de Sistemas - 2da Semana

31/05/2013

 Virus infeccioso: microrganismos capaces de penetrar en el ser humano y destruir o alterar el contenido gentico celular provocando cuadros patolgicos especficos. Virus informtico: programas que pueden autoreproducirse, "transmitirse" de una computadora a otra, y desencadenar daos a la informacin contenida en ella (software) e incluso al mismo equipo (hardware).
Seguridad de Sistemas - 2da Semana 3 31/05/2013

 Serie de instrucciones que ordenan a las computadoras qu hacer, con rdenes especficas para modificar a otro programa. Son archivos ocultos o que se escriben sobre otros programas. Diseados para activarse al realizarse ciertas funciones, o en determinada fecha, o mediante mecanismos ms complejos Se transmiten al introducir informacin a la computadora copiando de diskettes, que contengan al virus, o mediante cualquier otro sistema de copiado de archivos (discos duros, compactos, Zips, modems, comunicacin por cable, etc). Archivos adjuntos que viajan por e-mail.
Seguridad de Sistemas - 2da Semana 4 31/05/2013

 "Un programa que puede infectar a otros programas modificndolos para incluir una versin de si mismo Fred Cohen. 1983

Seguridad de Sistemas - 2da Semana

31/05/2013

Los virus tienen la misma edad que las computadoras. Ya en 1949 John Von Neumann, describi programas que se reproducen a s mismos en su libro "Teora y Organizacin de Autmatas Complicados". Es hasta mucho despus que se les comienza a llamar como virus. La caracterstica de auto-reproduccin y mutacin de estos programas, que las hace parecidas a las de los virus biolgicos, parece ser el origen del nombre con que hoy los conocemos. Se reconoce como antecedente de los virus actuales, un juego creado por programadores de la empresa AT&T, que desarrollaron la primera versin del sistema operativo Unix en los aos 60. Para entretenerse, y como parte de sus investigaciones, desarrollaron un juego llamado "Core Wars", que tena la capacidad de reproducirse cada vez que se ejecutaba. Este programa tena instrucciones destinadas a destruir la memoria del rival o impedir su correcto funcionamiento. Al mismo tiempo, desarrollaron un programa llamado "Reeper", que destrua las copias hechas por Core Wars. Un antivirus o antibitico, como hoy se los conoce. Conscientes de lo peligroso del juego, decidieron mantenerlo en secreto, y no hablar ms del tema. No se sabe si esta decisin fue por iniciativa propia, o por rdenes superiores.
Seguridad Informtica - 2da Semana 6 31/05/2013

HISTORIA

1 Virus
El primer virus que atac a una mquina IBM Serie360 (y reconocido como tal), fue llamado Creeper, creado en 1972 por Robert Thomas Morris.

Seguridad de Sistemas - 2da Semana

31/05/2013

Evolucin
1949: Se da el primer indicio de definicion de virus por John Von Neumann 1959: En los laboratorios AT&T Bell, se inventa el juego "Guerra Nuclear.

Seguridad de Sistemas - 2da Semana

31/05/2013

Evolucin
1970: El Creeper es difundido por la red ARPANET 1974: El virus Rabbit haca una copia de si mismo lo que causava el bloqueo del sistema 1980: La red ARPANET es infectada por un "gusano" y queda 72 horas fuera de servicio

Seguridad de Sistemas - 2da Semana

31/05/2013

Evolucin
1984: El Dr. Fred Cohen incluy las pautas para el desarrollo de virus informticos. 1987: Se da el primer caso de contagio masivo de computadoras

Seguridad de Sistemas - 2da Semana

10

31/05/2013

Evolucin
A mediados de 1995 se reportaron en diversas ciudades del mundo la aparicin de una nueva familia de virus que no solamente infectaban documentos, sino que a su vez, sin ser archivos ejecutables podan autocopiarse infectando a otros documentos. Fueron llamados macro virus, slo infectaban a los archivos de MS-Word.
Seguridad de Sistemas - 2da Semana 11 31/05/2013

Evolucin
A principios de 1999 se empezaron a propagar masivamente en Internet los virus anexados a mensajes de correo 2002 surge el primer virus diseado para atacar archivos Shockwave Flash de Macromedia y aparece winux, primer virus para ejecutables tanto de Windows como de Linux.
Seguridad de Sistemas - 2da Semana 12 31/05/2013

Evolucin
A partir de ahora podemos considerar que todos los virus son propagados por internet, llegando algunos de ellos como el I Love You a causar grandes daos y llegando incluso a afectar el pentgono.

Seguridad de Sistemas - 2da Semana

13

31/05/2013

1987:12 virus 1989: mas de 100

1993: ms de 3500 virus 1999: varias decenas de miles

350 nuevos virus mensuales.
Seguridad Informtica - 2da Semana 14 31/05/2013

Qu infecta un Virus Informticos? (1)

Su principal objetivo es la informacin contenida en las computadoras. Esta informacin puede tratarse tanto de trabajos realizados (documentos) como de programas instalados en la computadora. Cuando se abre o ejecuta un archivo infectado por un virus, este ultimo se activa y comienza sus operaciones. En otras ocasiones estos esperan que se cumpla una determinada condicin o que llegue una determinada fecha para activarse.
Seguridad Informtica - 2da Semana 15 31/05/2013

Qu infecta un Virus Informticos? (2)

Las propias unidades de disco (donde se almacenan los archivos. pueden ser otro de los objetivos de un virus. En ellas, los virus afectarn a su sistema de arranque (el cual permite que una computadora se encienda, detecte que existe un disco y, en consecuencia, que se pueda trabajar con l) y organizacin (sistema mediante el cual se controla la informacin que contiene, como se accede a ella, etc...).
Seguridad Informtica - 2da Semana 16 31/05/2013

Qu infecta un Virus Informticos? (3)

Tienen diferentes finalidades: algunos slo infectan, otros alteran datos, otros los eliminan y algunos slo muestran mensajes. Pero el fin ltimo de todos ellos es el mismo: PROPAGARSE. Es importante destacar que el potencial de dao de un virus informtico no depende de su complejidad sino del entorno donde acta. Un virus es un programa que cumple las siguientes pautas: Es muy pequeo. Ejecutable o potencialmente ejecutable. Se reproduce a s mismo. Toma el control o modifica otros programas. Convierte otros objetos ejecutables en clnicos vricos, etc.).
Seguridad Informtica - 2da Semana 17 31/05/2013

Funcionamiento de los Virus

Los virus informticos estn hechos en Assembler. Las instrucciones compiladas por Assembler trabajan directamente sobre el hardware, esto significa que no es necesario ningn software intermedio segn el esquema de capas entre usuario y hardware- para correr un programa en Assembler (opuesto a la necesidad de Visual Basic de que Windows 9x lo secunde). No solo vamos a poder realizar las cosas tpicas de un lenguaje de alto nivel, sino que tambin vamos a tener control de cmo se hacen. Para dar una idea de lo poderoso que puede ser este lenguaje, el sistema operativo Unix est programado en C y las rutinas que necesitan tener mayor profundidad para el control del hardware estn hechas en Assembler. Por ejemplo: los drivers que se encargan de manejar los dispositivos y algunas rutinas referidas al control de procesos en memoria.
Seguridad Informtica - 2da Semana 18 31/05/2013

Ejemplo de Virus Informticos?

El gusano Disstrack, conocido como Shamoon, causa graves problemas a los PCs ya que sobrescribe gran cantidad de archivos inutilizndolos de forma irreversible, as como tambin modifica el registro maestro de arranque (MBR). El virus puede entrar en los equipos a travs de unidades de red compartidas, correo electrnico o aplicaciones P2P. El virus puede atacar a archivos de todo tipo y en cualquier ubicacin: Mis Documentos, Mis imgenes, Descargas, Msica, Vdeos, archivos de Escritorio Cabe destacar adems que el Inteco ha detectado en Lbano otro virus. En este caso hablamos de Gauss, que fue un proyecto elaborado entre los aos 2011 y 2012 para recopilar informacin y enviarla a determinados servidores. Gauss tiene como objetivo interceptar comunicaciones de bancos libaneses como Fransabank, Byblos o el Banco de Beirut. Es por esto que los pases ms afectados por el virus Gauss son Lbano, Israel y Palestina.
Seguridad Informtica - 2da Semana 19 31/05/2013

Tipos de Virus (1)

VIRUS RESIDENTES Son aquellos que se colocan o ubican, automticamente en zonas determinadas de la memoria RAM de la computadora. Desde ah esperan la ejecucin o manipulacin (apertura, cierre, copiado, etc.) de algn archivo, para infectarlo. Inclusive se pueden ejecutar con el simple hecho de prender la computadora.

Seguridad Informtica - 2da Semana

20

31/05/2013

Tipos de Virus (2)

VIRUS DE ACCION DIRECTA Se caracterizan por realizar automticamente copias de si mismos dentro de una misma computadora infectada, en diferentes ubicaciones (directorio o carpetas de esa computadora). El objetivo primordial de los mismos es reproducirse y multiplicarse.

Seguridad Informtica - 2da Semana

21

31/05/2013

Tipos de Virus (3)

VIRUS DE SOBREESCRITURA Cuando infectan un archivo, la informacin que este contiene, no es respetada. Es decir, el contenido del archivo infectado se pierde total o parcialmente.

Seguridad Informtica - 2da Semana

22

31/05/2013

Tipos de Virus (4)

VIRUS DE ARRANQUE O BOOT
Todos los discos (disquetes, discos duros, memorias USB, etc.) tienen una seccin muy importante , denominada sector de arranque. En ella se almacena la informacin acerca de las caractersticas del disco, adems de poder albergar un programa con el que es posible arrancar la computadora, mediante la utilizacin de este disco. Este tipo de virus no tiene como objetivo la infeccin de archivos, sino de las unidades de discos que contienen archivos.
Seguridad Informtica - 2da Semana 23 31/05/2013

Tipos de Virus (5)

VIRUS DE MACRO
Este tipo de virus no infectan cualquier tipo de archivo, sino los que se han creado con determinados programas como por ejemplo documentos de Microsoft Word, bases de datos de Microsoft Acess, hojas de clculo de Microsoft Excel, presentaciones con Microsoft Powerpoint, etc.. Cada uno de estos tipos de archivos puede tener adicionalmente unos pequeos programas, denominados macros. Una macro no es ms que un microprograma que el usuario asocia e incluye en el archivo que ha creado.
Seguridad Informtica - 2da Semana 24 31/05/2013

VIRUS DE ENLACE O DE DIRECTORIO Cuando se trabaja con un archivo, el sistema operativo debe conocer dnde se encuentra ste. Esto es fcil teniendo en cuenta la existencia de carpetas o directorios y porque adems, a cada uno de los archivos se le asigna una direccin concreta. Esto permite localizarlos y acceder a ellos de forma rpida, cuando sea necesario. Los virus de este tipo se encargan de modificar estas direcciones, de tal forma que la computadora es incapaz de localizarlos, ya que no se encuentran en el lugar que el virus indica que estn. Por lo tanto, tras producirse la infeccin, no se tendr acceso a ellos.

Tipos de Virus (6)

Seguridad Informtica - 2da Semana

25

31/05/2013

VIRUS TROYANO Un troyano es similar a un virus, es un programa que busca propagarse y sobre todo a travs de aplicaciones de Internet como el EMAIL, ICQ y CHAT. La diferencia bsica de los troyanos con los virus es que los troyanos estn hechos para permitirles a otras personas tener acceso al contenido de la PC infectada Son muy peligrosos, porque pueden capturar y reenviar datos confidenciales a una direccin externa

Tipos de Virus (7)

Seguridad Informtica - 2da Semana

26

31/05/2013

Tipos de Virus (7)

VIRUS GUSANO
Un gusano de internet es aquel virus que se permite a travs de la red reproducirse y de esta forma destacarse por su gran expansin. Actualmente la gran mayora de virus que se encuentran en Internet son stos.

Seguridad Informtica - 2da Semana

27

31/05/2013

Sintomas de Infeccin
En directorios y archivos En la ejecucin de aplicaciones En el funcionamiento del sistema

Seguridad Informtica - 2da Semana

28

31/05/2013

Clases de Virus
Caballos de Troya Camaleones Virus polimorfos o mutantes Virus lentos Retro-virus o Virus antivirus Virus multipartitos Virus voraces Conejo

Seguridad Informtica - 2da Semana

29

31/05/2013

Ciclo de Vida de un Virus

CREACIN GESTACIN REPRODUCCIN ACTIVACIN DESCUBRIMIENTO ASIMILACIN ERRADICACIN
30 31/05/2013

Seguridad Informtica - 2da Semana

Estadstica de Porcentaje de Infecciones

Seguridad Informtica - 2da Semana

31

31/05/2013

Blaster
Tipo: Gusano de Internet / Caballo de Troya Descubierto: Agosto 2003 Difusin: No emplea el correo electrnico Explota la vulnerabilidad DCOM/RPC, se produce un desbordamiento de bfer. Boletn de Seguridad MS03-026 de Microsoft Parche existente desde 16/07/2003. La mquina comprometida descarga una copia del gusano va TFTP que se guarda como MSBLAST.EXE o PENIS32.EXE. El 16/08/2003 lanza ataque DoS contra WINDOWSUPDATE.COM, enva a travs del puerto TCP 80 un paquete cada 20 milisegundos. Sntomas: Importante incremento del trfico en puertos TCP 135/4444 y UDP 69. Constante reinicio del PC.
32 31/05/2013

Seguridad de Sistemas - 2da Semana

Sobig.F
Tipo: Gusano de Internet Descubierto: 19 Agosto 2003 Difusin: Correo electrnico y unidades de red compartidas Falsea la direccin del remitente (from) Spoofing. Se autocopia en el Sistema como WINPPR32.EXE. Utiliza su propio motor SMTP para enviar e-mails a las direcciones de correo almacenadas en el equipo atacado. Enva paquetes UDP al puerto 8998 de servidores remotos que sirve para descargar otros componentes del gusano (backdoor). Abre los puertos 995 al 999 para recibir rdenes. Sntomas: e-mail en ingls con Asunto y Adjunto reconocibles.
Seguridad de Sistemas - 2da Semana 33 31/05/2013

Mydoom
Tipo: Gusano de Internet y Caballo de Troya Descubierto: Enero 2004 Difusin: Ejecucin archivo adjunto a e-mail
Se propaga rpidamente por e-mail y la red de intercambio KaZaa. Falsea la direccin del remitente (from) Spoofing. Localiza direcciones de correo almacenadas en el equipo atacado a las cuales reenviarse y usuarios Kazaa. Abre una puerta trasera por los puertos TCP/3127 al 3198 por los que descarga un ejecutable. Acta como servidor Proxy TCP que permite controlar remotamente los recursos de red. Lanza ataques de denegacin de servicio (DoS) a la web www.sco.com, desde el 1 al 12 de febrero de 2004, enviando peticiones cada 1024 milisegundos.

Sntomas: Cuando se ejecuta abre el Notepad y muestra texto basura.

Seguridad de Sistemas - 2da Semana 34

31/05/2013

Bagle
Tipo: Gusano de Internet Descubierto: Enero/Abril 2004 (mltiples variantes) Difusin: Ejecucin archivo adjunto a e-mail Falsea la direccin del remitente (from) Spoofing. Intenta acceder a varias direcciones de Internet para auto-actualizarse e intenta descargar otro troyano: Troj/Mitglieder. Caractersticas de troyano, abre los puertos 6777 / 4751 / 8866 permite al atacante ejecutar remotamente cdigo arbitrario. Sntomas: Abre la calculadora de Windows/ grabadora de sonido / juego de corazones.
Seguridad de Sistemas - 2da Semana 35 31/05/2013

Netsky
Tipo: Gusano de Internet Descubierto: Febrero/Abril 2004 (mltiples variantes) Difusin: Correo electrnico Localiza direcciones de correo almacenadas en el equipo atacado a las cuales reenviarse. Ms de 30 variantes conocidas. Aprovecha vulnerabilidad de Internet Explorer que permite la ejecucin automtica de archivos de correo electrnico. Se activa con slo visualizar el mensaje. Borra entradas de otros gusanos como Mydoom y Bagle.
Seguridad de Sistemas - 2da Semana 36 31/05/2013

Sasser
Tipo: Gusano de Internet Descubierto: Mayo 2004 Difusin: No emplea el correo electrnico Primer gusano que explota la vulnerabilidad LSASS (Local Security Authority Subsystem). Boletn de Seguridad MS04011 de Microsoft

Afecta bsicamente a Windows XP/2000. El gusano explora pseudos IPs aleatorias en el puerto 445 enviando el exploit que puede permitir el control remoto de su PC por el puerto 9996 Abre un servidor de FTP en un PC remoto que escucha en el puerto 5554, enva y se ejecuta en la mquina remota. Sntomas: Provoca el reinicio del sistema en Windows XP/2000. Aparece pantalla Apagar Sistema.
Seguridad de Sistemas - 2da Semana 37 31/05/2013

Nuevos Tipos de Amenazas

Virus de Macro:

Infectan archivos de datos. MS Office-Word, Excel, PowerPoint y Access. Fciles de crear.

Gusanos de e-mail:

Infectan cuando los usuarios abren los correos y los archivos adjuntos. Utilizan tcnicas de Ingeniera Social.
Super Gusanos (Gusanos de 3 Generacin):

Muy sofisticados, atacan vulnerabilidades sin participacin del usuario, identifican nuevas vctimas automticamente, Incorporan troyanos. Utilizan mltiples vectores de ataque.
Seguridad de Sistemas - 2da Semana 38 31/05/2013

Velocidad de Propagacin
Code Red 12 horas Klez 2-5 horas Slamer 10 minutos
Fuente: ICSA Labs

Blaster 27 segundos
(Prueba F-Secure Corporation en PC desprotegido)

Seguridad de Sistemas - 2da Semana

39

31/05/2013

Mtodos de Distribucin de Virus

Fuentes de la Infeccin, 1996 - 2003

Disquete Adjuntos E-mail

Descargas Internet Otros Internet

Fuente: ICSA Labs Virus Pevalence Survey 2003

Seguridad de Sistemas - 2da Semana 40 31/05/2013

Tipo de Ataques Electrnicos

Detectados en el ltimo Ao
Robo de Portatil

Robo de Handheld

Robo Otros Dispositivos

Infeccin virus, gusano, troyano

Intercepcin comunicaciones (voz/datos)

Degradacin del Rendimiendo de Red debido a Escaneo Agresivo

Ataque Denegacin Servicio

Fuente: 2004 Australian Computer Crime and Security Survey

41 31/05/2013

Seguridad de Sistemas - 2da Semana

Evolucin de los Virus segn las Tecnologas

Tipo Cdigo Malicioso
Virus Boot/Archivo Macro Virus Gusanos de e-mail Super Gusanos poca

Medio Difusin
Disquetes

Tiempo Produccin Epidemia Semanas

Tiempo Epidemia Mundial Meses

1990/1995

1995/2000

Internet/CDs Correo Electrnico TCP/IP

Das

1-2 Meses

1999

Horas

Das

2001

Minutos

1-2 Horas

Seguridad de Sistemas - 2da Semana

42

31/05/2013

Amenazas del Pasado

e-mail

Internet

Amenaza = Virus/disquete
Seguridad de Sistemas - 2da Semana 43

Amenaza = Virus/e-mail
31/05/2013

Amenazas Mixtas
Blended Threats

virus spam phishing hacking

MALWARE
(cdigos malignos)

Internet

Amenaza = Virus/e-mail + Spam + Phishing +Hacking

e-mail Security
Seguridad de Sistemas - 2da Semana 44 31/05/2013

Efectos de los Virus

Prdida Productividad
PC no disponible Archivos Corruptos Prdida Acceso Datos Prdida Datos Prdida Usuario Interferencia, lockup System Crash Aplicaciones Inseguras Problemas Lectura Archivos Problemas Grabacin Archivos Problemas Impresin Amenaza Prdida Trabajo

Fuente: ICSA Labs Virus Pevalence Survey 2003

Seguridad de Sistemas - 2da Semana 45 31/05/2013

Nuevo Escenario...Escenario de Hoy

Ms de 100 vulnerabilidades por mes Internet de banda ancha conexiones 24x7 Epidemias en menos de 1 hora Dependencia de PC + Correo Electrnico + Web Proliferacin de equipos mviles
Laptops PDAs Telfono 3 Generacin

Usuarios Quinta Columna

Seguridad de Sistemas - 2da Semana 46 31/05/2013

Mquinas Comprometidas (Zombies)

Origen del 50% del spam
Vandalismo Valor Econmico Funciones:
Enviar correos masivos (spam) Actuar como proxy para ocultar el ruteo de los mensajes Robar la identidad del dueo para traspasar listas negras Lanzar ataques DoS para tirar sitios web Atacar a sitios web anti-spam Hosting temporal de sitios web de spam Conseguir listas de e-mails para uso de spam
47 31/05/2013

Seguridad de Sistemas - 2da Semana

Virus de Hoy
Busca envos masivos Motores propios de difusin Aprovechan vulnerabilidades del S.O., firewalls, programas de correo, navegadores, etc... Amenazan la privacidad Secuestran equipos Organizan redes clandestinas de miles y miles de equipos comprometidos Lanzan ataques de Denegacin de Servicio (DoS) Velocidad propagacin infinitamente superior Utilizan tcnicas de spoofing Introducen backdoors (puertas traseras) Anonimato Impunidad Warspamming
Seguridad de Sistemas - 2da Semana 48 31/05/2013

Otras Amenazas
Keyloggers o registradores de teclas Ingenieria social es la prctica de obtener informacin confidencial a travs de la manipulacin. Los ingenieros sociales aprovechan la tendencia natural de la gente a confiar en su palabra

Seguridad de Sistemas - 2da Semana

49

31/05/2013

Otras amenazas
'Spam' es la palabra que se utiliza para calificar el correo no solicitado enviado por Internet. Los programas anti-spam utilizan tcnicas, tales como enviar mensajes al postmaster del dominio del que procede el spam o borrar directamente los mensajes sospechosos de nuestro servidor de correo para evitar descargarlos.
Seguridad de Sistemas - 2da Semana 50 31/05/2013

Le Agradezco su

atencin

Seguridad de Sistemas - 2da Semana

51

31/05/2013