Virus

De FdIwiki ELP
Saltar a: navegación, buscar

Clasificación

  • Dirigidos: interviene un humano. Ejemplo: troyanos
  • No dirigidos: no interviene un humano. El ataque es automático. Ejemplo: gusano, virus...

Tipos más conocidos

Virus

Definición

Dícese de aquel, o aquellos programas, desarrollados por un programador, o grupo de programadores, que tras ejecutarse en un sistema objetivo consigue alterar el funcionamiento normal del equipo. Existen múltiples tipos de virus y cada uno consigue generar comportamientos distintos. La mayoría tienen la premisa de permanecer ocultos para que el usuario no se percate de su funcionamiento.

Tipos

  • Polimórfico: descifra su carga útil.
  • Silencioso: modifica llamadas al sistema para permanecer oculto.
  • Fagocitador: reescribe el ejecutable infectado con código.
  • Duplicador: crea copias de los ejecutables que infecta.
  • Retrovirus: su objetivo es el antivirus.
  • Otros

Ejemplos

  • Creeper: primer virus de la historia.

Troyanos

Definición

Su principal objetivo es el robo de información, pero pueden llegar hasta a manejar el sistema objetivo a su antojo. La mayoría lo hace através de una puerta trasera con lo que consiguen permanecer ocultos al usuario. La manera de evitar los firewalls y los antivirus es hacer que sea el sistema objetivo el que realiza la conexión a la máquina atacante.

Tipos

  • Backdoors:Le permite al atacante conectarse remotamente al equipo infectado.
  • Keyloggers: Instalan una herramienta para detectar y registrar las pulsasiones del teclado en un sistema.
  • Banker: Tienen como principal objetivo robar datos privados de las cuentas bancarias de los usuarios.
  • Downloader: Tiene como principal función la de descargar otros archivos maliciosos.
  • Pasword steale: Robar información introducida en los formularios en las páginas web.
  • Dialer: Crean conexiones telefónicas en el ordenador del usuario, utilizando las funcionalidades del módem.Causan daños económicos.

Formas de infección

  • Aplicaciones de redes P2P.
  • Webs con contenido ejecutable, como Java, ActiveX...
  • Exploits del SO o aplicaciones.

Ejemplos

Gusanos

Definición

Su principal objetivo es la replicación masiva, pudiendo dejar inoperativo un determinado sistema al llenar el espacio en disco duro y/o sobreescribir ciertas estructuras importantes. Utilizan partes automática del sistema para realizar estas acciones.

Ejemplos

  • Gusano Morris (1988): primer gusano de la historia. Entre otros, afectó a la NASA y a Sun Microsystems. Las pérdidas alcanzaron los $96 millones.

Boot Virus

Definición

Es uno de los precursores del mundo de los virus. Este virus se encarga de infectar la partición de arranque del sistema y cuando ésta es encendida el virus se carga automáticamente.

Adware

Muestra publicidad en el navegador de Internet u otros programas. Algunas veces es considerado como spyware, cuando fuerza al usuario a usar un determinado buscador web ya que podría ser utilizado para monitorear la actividad del usuario. Esto ha provocado críticas de los expertos de seguridad y los defensores de la privacidad. Otros programas adware no realizan este seguimiento de información personal del usuario. Programas conocidos que incluyen Adwares Alexa, MyWebSearch, Ask, Yac, Gator, GoHit, Qone8, Lop, Hotbar, SearchProtect, C2Media, CID, InstallCore, Softonic, OpenCandy, etc…

Spyware

Recopila datos del usuario. Son programas que se instalan en su PC de modo automático o que vienen camuflados en la instalación de programas más respetables. El software espía tiene básicamente dos métodos de acción :

  • Forzar al usuario a ver determinadas cosas / utilizar determinados programas e interfaces.
  • Extraer información de la computadora del usuario.

Sin embargo, a diferencia de los virus, no se intenta replicar en otros ordenadores, por lo que funciona como un parásito. Las consecuencias de una infección de spyware moderada o severa (aparte de las cuestiones de privacidad) generalmente incluyen una pérdida considerable del rendimiento del sistema (hasta un 50 % en casos extremos), y problemas de estabilidad graves.

Hoax

Un hoax (en español: bulo) es un correo electrónico distribuido en formato de cadena, cuyo objetivo es hacer creer a los lectores, que algo falso es real. A diferencia de otras amenazas, como el phishing o el scam; los hoax no poseen fines lucrativos, por lo menos como fin principal.

Hijacker

Los hijackers son los encargados de secuestras las funciones de nuestro navegador web (browser) modificando la página de inicio y búsqueda por alguna de su red de afiliados maliciosos, entre otros ajustes que bloquea para impedir sean vueltos a restaurar por parte del usuario. Generalmente suelen ser parte de los Adwares y Troyanos.

Rogue(Fakeav)

Definición

Se le denomina Rogue Software (o también Rogue Rogueware, FakeAVs, Badware, Scareware) a los “Falsos programas de seguridad” que no son realmente lo que dicen ser, sino que todo lo contrario. Bajo la promesa de solucionar falsas infecciones, cuando el usuario instala estos programas, su sistema es infectado.

Estos falsos Antivirus y Antispyware están diseñados para mostrar un resultado predeterminado (siempre de infección) y no hacen ningún tipo de escaneo real en el sistema al igual que no eliminaran ninguna infección que podamos tener.

Simplemente nos van a mostrar una pantalla con varias infecciones a la vez que nos recomienda comprar su “versión completa” para poder eliminar esas supuestas infecciones.

Como es que llegan a nuestros equipos

  • Al descargar algún falsos codecs o falso plugin que se nos ofrece como necesario al intentar ver un video en Internet (por lo general videos del tipo erótico/pornográfico)
  • Al visitar algunos sitios directamente fraudulentos o que su código web ha sido comprometido para descargarnos uno de estos Rogue Antivirus sin nuestro consentimiento.
  • A través de alguno de los miles de Virus del tipo Troyano que están afiliados a estos y al infectarnos con uno de estos nos empezara a generar algunos de los síntomas que listamos más abajo.

Quienes están detrás de los Rogue

Organizaciones de Cibercriminales que cuentan con muy buenos recursos y afiliaciones en su mismo mercado undergorund, lo que les dan la capacidad de conseguir varios nombres de dominios, servidores webs, así también como diseñar tanto las paginas webs como las interfaces de sus programas visualmente muy profesionales

Rootkits

Rootkit es un conjunto de herramientas usadas frecuentemente por los intrusos informáticos o crackers que consiguen acceder ilícitamente a un sistema informático. Estas herramientas sirven para esconder los procesos y archivos que permiten al intruso mantener el acceso al sistema, a menudo con fines maliciosos. Hay rootkits para una amplia variedad de sistemas operativos, como Linux, Solaris o Microsoft Windows. Por ejemplo, el rootkit puede esconder una aplicación que lance una consola cada vez que el atacante se conecte al sistema a través de un determinado puerto. Los rootkits del kernel o núcleo pueden contener funcionalidades similares. Un backdoor puede permitir también que los procesos lanzados por un usuario sin privilegios de administrador ejecuten algunas funcionalidades reservadas únicamente al superusuario. Todo tipo de herramientas útiles para obtener información de forma ilícita pueden ser ocultadas mediante rootkits

Cuales son sus objetivos

Tratan de encubrir a otros procesos que están llevando a cabo acciones maliciosas en el sistema. Por ejemplo, si en el sistema hay una puerta trasera para llevar a cabo tareas de espionaje, el rootkit ocultará los puertos abiertos que delaten la comunicación; o si hay un sistema para enviar spam, ocultará la actividad del sistema de correo. Los rootkits, al estar diseñados para pasar desapercibidos, no pueden ser detectados. Si un usuario intenta analizar el sistema para ver qué procesos están ejecutándose, el rootkit mostrará información falsa, mostrando todos los procesos excepto él mismo y los que está ocultando. O si se intenta ver un listado de los ficheros de un sistema, el rootkit hará que se muestre esa información pero ocultando la existencia del propio fichero del rootkit y de los procesos que esconde. Cuando el antivirus hagan una llamada al sistema operativo para comprobar qué ficheros hay, o cuando intente averiguar qué procesos están en ejecución, el rootkit falseará los datos y el antivirus no podrá recibir la información correcta para llevar a cabo la desinfección del sistema.


Explotación de Vulnerabilidades

La mayoría de los virus atacan a Sistemas Operativos através de vulnerabilidades existentes pero desconocidas dentro de su código o vulnerabilidades de Sistemas no actualizados a la última versión. El objetivo mayoritario de los virus es el Sistema Operativo de Microsoft, Windows, ya que es uno de los más extendidos en el mundo, mientras que Linux, además de ser un Sistema Operativo más robusto y mejor implementado, cuenta con una cantidad de virus bastante inferior.

En la actualidad no se tiene en cuenta que los virus puedan afectar a dispositivos portátiles. Este error está muy extendido y permite que, en cuanto a los dispositivos portables, Android cuente con el dudoso ranking de ser el Sistema Operativo más vulnerado. Además, con la importancia del uso de los Smartphones a día de hoy, se están convirtiendo en los principales objetivos de los hackers, desbancando poco a poco al ordenador.

Ramsomware

Definición

Ransomware es un software que impide o limita los usuarios accedan a su sistema. Obliga a sus víctimas a pagar el rescate a través de ciertos métodos de pago en línea con el fin de permitir recuperar el acceso a sus sistemas, o para obtener sus datos de nuevo. Algunos ransomware encriptan archivos propiedad de la víctima.

Los precios varían de rescate, que van desde $ 24 USD a más de 600 $ USD, o su bitcoin equivalente. Es importante señalar, sin embargo, que el pago por el rescate no garantiza que los usuarios pueden llegar a acceder al sistema infectado.

Los usuarios pueden encontrar esta amenaza a través de una variedad de medios.

Ransomware se puede descargar por usuarios involuntarios al visitar sitios web maliciosos o comprometidos. El procedimiento principal de infección del ransomware se produce a través de archivos adjuntos de correo electrónico. Una vez ejecutado en el sistema, un ransomware puede bloquear la pantalla del ordenador o cifrar archivos predeterminados con una contraseña. En el primer escenario, un ransomware muestra una imagen de pantalla completa o notificación, lo que impide a las víctimas el uso de su sistema. Esto también muestra las instrucciones sobre cómo los usuarios pueden pagar por el rescate. El segundo tipo de ransomware cifra archivos como documentos, hojas de cálculo y otros archivos importantes.

Tipos

  • Ransomware de MBR
  • Ransomware de SMS
  • Cifrado de ficheros
  • Ramsomware de Navegadores
  • Otros

Ejemplos

  • Browlock Criptolocker
  • Cryptowall
  • Virus de la policía/Ukash
  • CTB-Locker
  • Android Slimplocker
  • Winlocker

Amenaza Persistente Avanzada

Conocida también por APT (advanced persitent threat).

Definición

Es un conjunto de procesos informáticos, dirigidos normalmente por un ser humano para penetrar la seguridad informática de una entidad especifica, diseñado a medida para cada caso, lo que hace especialmente difícil su detección.

El sistema preferido para entrar en sus victimas suele ser la ingeniería social, fruto de un estudio de su objetivo durante tiempos prolongados.

Este tipo de amenazas fija generalmente sus objetivos en grandes organizaciones o negocios, movidos por motivos económicos o políticos.

Estos APT requieren cobertura durante mucho tiempo, y además involucran sofisticadas técnicas de software malicioso para explotar el mayor numero de vulnerabilidades de un sistema. Generalmente son usadas por grandes organizaciones criminales, servicios secretos, etc...

El objetivo de estos ataques es colocar código malicioso en varios PCs para tareas especificas, y para no ser detectados, buscando el robo de información.

Defensa y Mecanismos de Protección

Las maneras de defenderse pueden ser bastante extensas, pero sea cual sea el objetivo del ataque, existen dos componentes principales a utilizar:

Antivirus: Programa que monitorea los servicios y las acciones que realiza el sistema, permitiendo detectar comportamientos anómalos. Existen también para dispositivos portables.

Firewall: Componente que permite bloquear el acceso ilícito al equipo, permitiendo al mismo tiempo comunicaciones autorizadas. Una de sus funciones más básicas consiste en el filtrado de paquetes, estudiando o no el contexto de los mismos, pero también puede tener más funciones y ser más completo.