Virus

De FdIwiki ELP
Revisión a fecha de 01:29 9 feb 2018; Rubengarciamateos (Discusión | contribuciones)

(dif) ← Revisión anterior | Revisión actual (dif) | Revisión siguiente → (dif)
Saltar a: navegación, buscar

Clasificación

  • Dirigidos: interviene un humano. Ejemplo: troyanos
  • No dirigidos: no interviene un humano. El ataque es automático. Ejemplo: gusano, virus...

Definición

Dícese de aquel, o aquellos programas, desarrollados por un programador, o grupo de programadores, que tras ejecutarse en un sistema objetivo consigue alterar el funcionamiento normal del equipo. Existen múltiples tipos de virus y cada uno consigue generar comportamientos distintos. La mayoría tienen la premisa de permanecer ocultos para que el usuario no se percate de su funcionamiento.

Tipos

  • Polimórfico: descifra su carga útil.
  • Silencioso: modifica llamadas al sistema para permanecer oculto.
  • Fagocitador: reescribe el ejecutable infectado con código.
  • Duplicador: crea copias de los ejecutables que infecta.
  • Retrovirus: su objetivo es el antivirus.
  • Otros

Ejemplos

  • Creeper: primer virus de la historia.

Top 10 virus de los últimos años

10. Carta de amor/ I LOVE YOU (2000)

En el año 2000, millones de personas cometieron el error de abrir lo que parecía ser un correo electrónico de un admirador secreto. Llevaba por título simplemente “I Love You”, pero en vez de ser una confesión amorosa, realmente era un “gusano”, que después de sobrescribir las imágenes de los usuarios se mandaba por correo electrónico a 50 contactos de la agenda Windows del usuario. En tan sólo unas horas se convirtió en una infección global.

9. Code Red (2001)

Comparado al malware moderno Code Red parece no ser tan peligroso, sin embargo en el 2001 sorprendió a expertos de seguridad en línea al utilizar una falla en el Servidor de Información de Microsoft, logrando bajar y cambiar algunos sitios web. El más memorable quizá fue el sitio de la Casa Blanca: whitehouse.gov y obligó también a otros sitios gubernamentales a bajar sus páginas momentáneamente.

8. Slammer (2003)

En enero del 2003, Slammer probó que tan dañino podía ser un gusano para los servicios públicos y privados. El gusano liberaba una avalancha de paquetes de red, y la cantidad de datos que transmitía a través del internet causó que varios servidores suspendieran actividades casi inmediatamente. Entre las víctimas del gusano se encontraron Bank of America, el servicio de emergencias estadounidense 911 y una planta nuclear en Ohio.

7. Fizzer (2003)

Los gusanos que se habían visto hasta el año 2004 eran principalmente para crear un poco de caos, Fizzer, iba tras el dinero. Muchos desestimaron al gusano ya que no se movía con la rapidez de Code Red, pero lo que lo hacía más peligroso es que era un gusano creado para obtener ganancias –una vez en tu correo electrónico enviaba correos no solo para propagarse, si no para enviar spam de porno y pastillas.

6. My Doom (2004)

En el 2004 logró infectar alrededor de un millón de máquinas lanzando una negación masiva del servicio de ataque, al hacer esto abruma a su objetivo al enviarle información de diversos sistemas. El gusano se propagaba por correo electrónico y lo hizo con una rapidez jamás antes vista.

5. PoisonIvy (2005)

Es la pesadilla de todo sistema de seguridad ya que permite que el virus controle la computadora que ha infectado. PoisonIvy pertenece al grupo de malware conocido como “un troyano remoto”, ya que le permite al creador del virus tener acceso completo a las máquinas que infectado usando una especie de puerta trasera, al grado que permite grabar y manipular información del equipo. Inicialmente se le consideró una herramienta de hackers principiantes, el virus ha llegado a afectar a muchas compañías de occidente.

4. Zeus (2007)

Actualmente es el malware más usado para obtener, de manera ilegal, información personal. Se puede comprar por un precio de 50 centavos de dólar en el mercado del crimen virtual y permite robar contraseñas y archivos. La información personal robada puede ser utilizada para hacer compras en línea o crear cuentas bancarias a nombre de una identidad comprometida.

3. agent.btz (2008)

Este malware fue el responsable de la creación de un nuevo departamento militar en Estados Unidos, el Cyber Command. El virus se propaga a través de memorias infectadas que instalan un malware que roba información. Cuando se encontró agent.btz en computadoras del Pentágono, sospecharon que era el trabajo de espías extranjeros.

2. Virus Conficker (2009)

En el 2009 este nuevo virus afectó a millones de máquinas con Windows en todo el mundo. Logró crear una especia de ejército global que robaba todo tipo de información. Debido a que era realmente difícil de parar se creó un grupo de expertos dedicados específicamente a detenerlo, el virus se llegó a conocer como el “súper bicho”, o “super gusano”. Lo que ha dejado a los expertos realmente perplejos es que nadie sabe para qué es exactamente, la información robada jamás se utilizó.

1. Stuxnet (2009-2010)

Este virus fue el primero en ser creado para causar daño en el mundo real y no sólo en el mundo virtual. El malware tenía como objetivo principal dañar sistemas industriales –se cree que el virus fue responsable de causar daños al equipo que procesaba uranio en una planta de Natanz en Irán-. Basándose en información de la Agencia Internacional de Energía Atómica, los expertos creen que el virus fue responsable de causar que muchas centrifugues que procesaban uranio en Irán giraran hasta perder el control y se auto-destruyeran. El virus no se descubrió hasta el 2010 pero sospechan que infectó computadoras desde el 2009.

Troyanos

Definición

Su principal objetivo es el robo de información, pero pueden llegar hasta a manejar el sistema objetivo a su antojo. La mayoría lo hace através de una puerta trasera con lo que consiguen permanecer ocultos al usuario. La manera de evitar los firewalls y los antivirus es hacer que sea el sistema objetivo el que realiza la conexión a la máquina atacante.

Tipos

  • Backdoors:Le permite al atacante conectarse remotamente al equipo infectado.
  • Keyloggers: Instalan una herramienta para detectar y registrar las pulsasiones del teclado en un sistema.
  • Banker: Tienen como principal objetivo robar datos privados de las cuentas bancarias de los usuarios.
  • Downloader: Tiene como principal función la de descargar otros archivos maliciosos.
  • Pasword steale: Robar información introducida en los formularios en las páginas web.
  • Dialer: Crean conexiones telefónicas en el ordenador del usuario, utilizando las funcionalidades del módem.Causan daños económicos.

Formas de infección

  • Aplicaciones de redes P2P.
  • Webs con contenido ejecutable, como Java, ActiveX...
  • Exploits del SO o aplicaciones.

Ejemplos

Gusanos

Definición

Su principal objetivo es la replicación masiva, pudiendo dejar inoperativo un determinado sistema al llenar el espacio en disco duro y/o sobreescribir ciertas estructuras importantes. Utilizan partes automática del sistema para realizar estas acciones.

Ejemplos

  • Gusano Morris (1988): primer gusano de la historia. Entre otros, afectó a la NASA y a Sun Microsystems. Las pérdidas alcanzaron los $96 millones.

Boot Virus

Definición

Es uno de los precursores del mundo de los virus. Este virus se encarga de infectar la partición de arranque del sistema y cuando ésta es encendida el virus se carga automáticamente.

Adware

Muestra publicidad en el navegador de Internet u otros programas. Algunas veces es considerado como spyware, cuando fuerza al usuario a usar un determinado buscador web ya que podría ser utilizado para monitorear la actividad del usuario. Esto ha provocado críticas de los expertos de seguridad y los defensores de la privacidad. Otros programas adware no realizan este seguimiento de información personal del usuario. Programas conocidos que incluyen Adwares Alexa, MyWebSearch, Ask, Yac, Gator, GoHit, Qone8, Lop, Hotbar, SearchProtect, C2Media, CID, InstallCore, Softonic, OpenCandy, etc…

Spyware

Recopila datos del usuario. Son programas que se instalan en su PC de modo automático o que vienen camuflados en la instalación de programas más respetables. El software espía tiene básicamente dos métodos de acción :

  • Forzar al usuario a ver determinadas cosas / utilizar determinados programas e interfaces.
  • Extraer información de la computadora del usuario.

Sin embargo, a diferencia de los virus, no se intenta replicar en otros ordenadores, por lo que funciona como un parásito. Las consecuencias de una infección de spyware moderada o severa (aparte de las cuestiones de privacidad) generalmente incluyen una pérdida considerable del rendimiento del sistema (hasta un 50 % en casos extremos), y problemas de estabilidad graves.

Hoax

Un hoax (en español: bulo) es un correo electrónico distribuido en formato de cadena, cuyo objetivo es hacer creer a los lectores, que algo falso es real. A diferencia de otras amenazas, como el phishing o el scam; los hoax no poseen fines lucrativos, por lo menos como fin principal.

Hijacker

Los hijackers son los encargados de secuestras las funciones de nuestro navegador web (browser) modificando la página de inicio y búsqueda por alguna de su red de afiliados maliciosos, entre otros ajustes que bloquea para impedir sean vueltos a restaurar por parte del usuario. Generalmente suelen ser parte de los Adwares y Troyanos.

Rogue(Fakeav)

Definición

Se le denomina Rogue Software (o también Rogue Rogueware, FakeAVs, Badware, Scareware) a los “Falsos programas de seguridad” que no son realmente lo que dicen ser, sino que todo lo contrario. Bajo la promesa de solucionar falsas infecciones, cuando el usuario instala estos programas, su sistema es infectado.

Estos falsos Antivirus y Antispyware están diseñados para mostrar un resultado predeterminado (siempre de infección) y no hacen ningún tipo de escaneo real en el sistema al igual que no eliminaran ninguna infección que podamos tener.

Simplemente nos van a mostrar una pantalla con varias infecciones a la vez que nos recomienda comprar su “versión completa” para poder eliminar esas supuestas infecciones.

Como es que llegan a nuestros equipos

  • Al descargar algún falsos codecs o falso plugin que se nos ofrece como necesario al intentar ver un video en Internet (por lo general videos del tipo erótico/pornográfico)
  • Al visitar algunos sitios directamente fraudulentos o que su código web ha sido comprometido para descargarnos uno de estos Rogue Antivirus sin nuestro consentimiento.
  • A través de alguno de los miles de Virus del tipo Troyano que están afiliados a estos y al infectarnos con uno de estos nos empezara a generar algunos de los síntomas que listamos más abajo.

Quienes están detrás de los Rogue

Organizaciones de Cibercriminales que cuentan con muy buenos recursos y afiliaciones en su mismo mercado undergorund, lo que les dan la capacidad de conseguir varios nombres de dominios, servidores webs, así también como diseñar tanto las paginas webs como las interfaces de sus programas visualmente muy profesionales

Rootkits

Rootkit es un conjunto de herramientas usadas frecuentemente por los intrusos informáticos o crackers que consiguen acceder ilícitamente a un sistema informático. Estas herramientas sirven para esconder los procesos y archivos que permiten al intruso mantener el acceso al sistema, a menudo con fines maliciosos. Hay rootkits para una amplia variedad de sistemas operativos, como Linux, Solaris o Microsoft Windows. Por ejemplo, el rootkit puede esconder una aplicación que lance una consola cada vez que el atacante se conecte al sistema a través de un determinado puerto. Los rootkits del kernel o núcleo pueden contener funcionalidades similares. Un backdoor puede permitir también que los procesos lanzados por un usuario sin privilegios de administrador ejecuten algunas funcionalidades reservadas únicamente al superusuario. Todo tipo de herramientas útiles para obtener información de forma ilícita pueden ser ocultadas mediante rootkits

Cuales son sus objetivos

Tratan de encubrir a otros procesos que están llevando a cabo acciones maliciosas en el sistema. Por ejemplo, si en el sistema hay una puerta trasera para llevar a cabo tareas de espionaje, el rootkit ocultará los puertos abiertos que delaten la comunicación; o si hay un sistema para enviar spam, ocultará la actividad del sistema de correo. Los rootkits, al estar diseñados para pasar desapercibidos, no pueden ser detectados. Si un usuario intenta analizar el sistema para ver qué procesos están ejecutándose, el rootkit mostrará información falsa, mostrando todos los procesos excepto él mismo y los que está ocultando. O si se intenta ver un listado de los ficheros de un sistema, el rootkit hará que se muestre esa información pero ocultando la existencia del propio fichero del rootkit y de los procesos que esconde. Cuando el antivirus hagan una llamada al sistema operativo para comprobar qué ficheros hay, o cuando intente averiguar qué procesos están en ejecución, el rootkit falseará los datos y el antivirus no podrá recibir la información correcta para llevar a cabo la desinfección del sistema.


Explotación de Vulnerabilidades

La mayoría de los virus atacan a Sistemas Operativos através de vulnerabilidades existentes pero desconocidas dentro de su código o vulnerabilidades de Sistemas no actualizados a la última versión. El objetivo mayoritario de los virus es el Sistema Operativo de Microsoft, Windows, ya que es uno de los más extendidos en el mundo, mientras que Linux, además de ser un Sistema Operativo más robusto y mejor implementado, cuenta con una cantidad de virus bastante inferior.

En la actualidad no se tiene en cuenta que los virus puedan afectar a dispositivos portátiles. Este error está muy extendido y permite que, en cuanto a los dispositivos portables, Android cuente con el dudoso ranking de ser el Sistema Operativo más vulnerado. Además, con la importancia del uso de los Smartphones a día de hoy, se están convirtiendo en los principales objetivos de los hackers, desbancando poco a poco al ordenador.

Ramsomware

Definición

Ransomware es un software que impide o limita los usuarios accedan a su sistema. Obliga a sus víctimas a pagar el rescate a través de ciertos métodos de pago en línea con el fin de permitir recuperar el acceso a sus sistemas, o para obtener sus datos de nuevo. Algunos ransomware encriptan archivos propiedad de la víctima.

Los precios varían de rescate, que van desde $ 24 USD a más de 600 $ USD, o su bitcoin equivalente. Es importante señalar, sin embargo, que el pago por el rescate no garantiza que los usuarios pueden llegar a acceder al sistema infectado.

Los usuarios pueden encontrar esta amenaza a través de una variedad de medios.

Ransomware se puede descargar por usuarios involuntarios al visitar sitios web maliciosos o comprometidos. El procedimiento principal de infección del ransomware se produce a través de archivos adjuntos de correo electrónico. Una vez ejecutado en el sistema, un ransomware puede bloquear la pantalla del ordenador o cifrar archivos predeterminados con una contraseña. En el primer escenario, un ransomware muestra una imagen de pantalla completa o notificación, lo que impide a las víctimas el uso de su sistema. Esto también muestra las instrucciones sobre cómo los usuarios pueden pagar por el rescate. El segundo tipo de ransomware cifra archivos como documentos, hojas de cálculo y otros archivos importantes.

Tipos

  • Ransomware de MBR
  • Ransomware de SMS
  • Cifrado de ficheros
  • Ramsomware de Navegadores
  • Otros

Ejemplos

  • Browlock Criptolocker
  • Cryptowall
  • Virus de la policía/Ukash
  • CTB-Locker
  • Android Slimplocker
  • Winlocker

Amenaza Persistente Avanzada

Conocida también por APT (advanced persitent threat).

Definición

Es un conjunto de procesos informáticos, dirigidos normalmente por un ser humano para penetrar la seguridad informática de una entidad especifica, diseñado a medida para cada caso, lo que hace especialmente difícil su detección.

El sistema preferido para entrar en sus victimas suele ser la ingeniería social, fruto de un estudio de su objetivo durante tiempos prolongados.

Este tipo de amenazas fija generalmente sus objetivos en grandes organizaciones o negocios, movidos por motivos económicos o políticos.

Estos APT requieren cobertura durante mucho tiempo, y además involucran sofisticadas técnicas de software malicioso para explotar el mayor numero de vulnerabilidades de un sistema. Generalmente son usadas por grandes organizaciones criminales, servicios secretos, etc...

El objetivo de estos ataques es colocar código malicioso en varios PCs para tareas especificas, y para no ser detectados, buscando el robo de información.

Defensa y Mecanismos de Protección

Las maneras de defenderse pueden ser bastante extensas, pero sea cual sea el objetivo del ataque, existen dos componentes principales a utilizar:

Antivirus: Programa que monitorea los servicios y las acciones que realiza el sistema, permitiendo detectar comportamientos anómalos. Existen también para dispositivos portables.

Firewall: Componente que permite bloquear el acceso ilícito al equipo, permitiendo al mismo tiempo comunicaciones autorizadas. Una de sus funciones más básicas consiste en el filtrado de paquetes, estudiando o no el contexto de los mismos, pero también puede tener más funciones y ser más completo.


Ataque WannaCry

El 12 de mayo de 2017, se produjo un ataque a escala global que afectó a más de 150 países e infectó ("cibersecuestró") a unos 230.000 ordenadores. Mediante el virus bautizado como WannaCry, también conocido como WanaCrypt0r 2.0, de tipo ransomware que afectó a empresas tales como Telefónica, Gas Natural o Iberdrola, entre otras de España, así como al servicio de salud británico según confirmó el CNI. El virus atacaba ordenadores que utilizaban Windows pero que no estaban actualizados debidamente. A pesar de ello, al día siguiente de conocerse la vulnerabilidad que se podía utilizar para atacar estos sistemas (EternalBlue), Microsoft empezó a distribuir actualizaciones de seguridad pero sólo para versiones posteriores a Windows Vista. WannaCry, cifraba todos los archivos del ordenador y mostraba un mensaje en pantalla que pedía 300 dólares en bitcoins a cambio de descifrar los archivos.

No fue hasta que un experto de Reino Unido, que estudiaba el virus, cuando se percató de que el virus funcionaba de tal forma que él mismo intentaba conectarse a un dominio no registrado: si no se podía conectar, cifraba el equipo; si se conectaba, se detenía. Una vez que registró el dominio cesó el ataque, lo que impidió que se siguiera expandiendo.

De momento no se sabe con claridad el origen del ataque pero recientemente Estados Unidos ha culpado a Corea del Norte y les ha señalado como la fuente del virus.