introducción virus y otros bichos - cryptomex.orgcryptomex.org/slidesseguredes/virus.pdf · ¿qué...

VIRUS Y OTROS BICHOS 1

GRUPO SMARTEKH1

VIRUS Y OTROS BICHOSVIRUS Y OTROS BICHOS

GRUPO SMARTEKH2

Introducción Introducción

! Introducción a virus y otros tipos de programas dañinos

! Como han evolucionado, diferentes tipos y riesgos

GRUPO SMARTEKH3

Orden del díaOrden del día

! Antecedentes! Tipos de programas dañinos! Primeros virus y como trabajan! Macro virus y como trabajan! Riesgos actuales! Que nos espera

GRUPO SMARTEKH4

ANTECEDENTESANTECEDENTES

Natas

Nimda

I love you

Miguel Angel

Viernes 13

W Concept

BrainMorrisVon

Nehuman

Jerusalem

GRUPO SMARTEKH5

VocabularioVocabulario! VIRUS: Programa que se replica dentro de otros! CONEJO: Programa que se replica sin control! WORM: Programa que se replica en las redes! TROYANO: Programa que hace cosas diferentes a la

que se supone debe hacer! HOAX:Alerta falsa sobre virus que se distribuye

en cadenas de mensajes de correo electrónico! SPYWARE: Programa que envía por Internet

información del usuario sin consentimiento

GRUPO SMARTEKH6

Problemática de VirusProblemática de Virus


GRUPO SMARTEKH7

None

Unkno

wnOthe

r

99

Una de las Principales Una de las Principales PreocupaciPreocupacióónesnes: : VIRUSVIRUS

SoluciSolucióón: n: AntivirusAntivirus

Preocupaciones de SeguridadPreocupaciones de Seguridad

Perdidas por tipo (USD)

$ 66,708,000$ 55,996,000

$ 29,171,000$ 27,984,740$ 27,148,000

$ 22,554,500$ 10,404,300

$ 8,247,500$ 7,104,000

$ 5,000,000$ 4,028,000

$ 991,200

P uenteo de s eña lesFraude teleco nicac io nesRo bo de s eña lP ene trac io n a l s is temaCaidas de l s is temaRo bo de Lapto pUs o inte rno no auto rizadoSabo ta jeAbus o de us o de la redVirusFraude F inanc ie roRo bo de Info rmac ió n

FUENTE: CSIFBI AÑO 2001

GRUPO SMARTEKH8

! ¿Qué es un virus?Un virus informático se puede definir como un pequeño programa (o código) capaz de autoreproducirse. Sin embargo, algunos virus también incluyen algo que los torna peligrosos: rutinas dañinas, también conocidas como bombas.

! ¿Qué es un troyano?Un programa que ejecuta acciones no

deseadas, no autorizadas, maliciosas, etc. No se autoreproduce. Gralmente utiliza disfraz.

DefinicionesDefiniciones

GRUPO SMARTEKH9

! ¿Qué es un gusano (worm)?Un programa que se autodistribuyeautomáticamente a través de un sistemaespecífico.

! ¿Qué es un hoax (broma)?Alerta falsa sobre virus que se distribuye encadenas de mensajes de correo electrónico.

DefinicionesDefiniciones

GRUPO SMARTEKH10

Tipos de VirusTipos de Virus

• Virus de arranque

• Virus de archivos DOS

• Virus de Windows

• Virus Macro

• Virus de Script

• Códigos maliciosos de Java/ActiveX

J

GRUPO SMARTEKH11

• Troyanos

• Gusanos

• Jokes

• Herramientas de

Hacking (Backdoors)

• Hoax (???)

Otro tipo de Códigos MaliciososOtro tipo de Códigos Maliciosos

GRUPO SMARTEKH12

183 2511,600 2,000

3,500

6,5008,000

13,000

18,000

30,000

0

5,000

10,000

15,000

20,000

25,000

30,000

1990 1991 1992 1993 1994 1995 1996 1997 1998 1999

Boot Viruses Macro Viruses Internet/E-mail Viruses

More than

Source: Trend Micro

Crecimiento en la cantidad de Crecimiento en la cantidad de VirusVirus

En el 2001 más de 12,000 nuevos, acumulado 60,000


GRUPO SMARTEKH13

CCóómo llegan los Virus...mo llegan los Virus...

Source: ICSA 1999 Virus SurveyEn 2001: 80% Mails, Internet, 8% Diskette

GRUPO SMARTEKH14

Problemas de Infecciones de VirusProblemas de Infecciones de Virus

Source: ICSA 1999 Virus Survey

• Pérdida de productividad• Archivos de datos corruptos• PC no disponible para el usuario• Pérdida de información confidencial• Servidor y aplicaciones no disponibles• …..• Pérdida de trabajo...

GRUPO SMARTEKH15

Virus de ArranqueVirus de ArranqueDisketteinfectado

Infecta el disco rígido

Infecta cada

diskette

Boo tRecord

V i r u sBootRecord

V i r u s

GRUPO SMARTEKH16

Virus de ArranqueVirus de Arranque

ROM BIOS Routines

Partition Code Execution

Boot Code Execution

Load DOS Command Interpreter

• Revisa los componentes de hardware y altera interrupciones

• Pone la información del BIOS• Para discos solo (se omite en Floppy)

• Revisa particiones disponibles

• Pasa el control a la particion activa

• Revisa los parametros del disco

• Carga y ejecuta el IO.SYS o IBMBIO.SYS

• Carga y ejecuta el interprete de comandos del DOS

VIRUS

VIRUS• Esta parte es la que infecta el Floppy y Disco duro

• Esta es la parte más común infectada en discos duros

GRUPO SMARTEKH17


• El punto de entrada de este tipo de virus es el arranque con disketteinfectado y los programas instaladores o (Boot Virus Dropper)

• El objetivo de estos virus es el Sector de Arranque (Boot Sector) de un disketteo el Registro Maestro de Arranque (Master Boot Record) del disco rígido.

GRUPO SMARTEKH18


• Memoria convencional (bajo los 640kb)

• Errores de escritura de diskettes

• Sectores malos (Bad Sectors) en el disco

• Errores al iniciar el sistema

0

640 KB VIRUSVIRUSVIRUSVIRUS

Convencional Memoria

Un virus residente en

memoria reduce la memoria

convencional


GRUPO SMARTEKH19


• Rastrear diskettes antes de usarlos

• Habilitar la protección antivirus de la BIOS

• Deshabilitar el arranque de diskettes

En la utilería deSetup del

CMOS Selecciona

BIOS Features

Setup

Activar Virus Protection/Warning

GRUPO SMARTEKH20

Virus de ArranqueVirus de ArranqueObteniendo una copia del BS y TP

GRUPO SMARTEKH21


• Para sistemas DOS• Apagar el sistema• Reiniciar con un disco de arranque libre de virus• Ejecutar el siguiente comando

A:>fdisk /mbr• y luego

A:>sys c:

Cómo limpiar un virus de arranque

Recomendamos consultar con el departamento de soporte

GRUPO SMARTEKH22

PROGRAMA

Virus de DOSVirus de DOS

VIRUS

VIRUS

Salta al virus

Orig. Header

Cuando un programa es infectado, el virus pone en general una copia de el al

final del programa

Y obtendra la información original del header

Entonces la salvara en una parte del código del virus

anexado

Finalmente, modificara la información del header

para que brinque al código del virus cuando este

nuevo programa infectado se ejecute

GRUPO SMARTEKH23


• El punto de entrada de este virus está relacionado con la copia de archivos infectados (Servidor de Archivos, Web, FTP, etc.)

• Su objetivo principal son otros archivos ejecutables (*.COM & *.EXE)

GRUPO SMARTEKH24


• Incrementan el tamaño del archivo infectado (Stealth)

• Disminuyen la cantidad de memoria disponible (Stealth)

• Perjudican directamente el rendimiento de los sistemas


GRUPO SMARTEKH25

Virus de DOSVirus de DOSCómo combatir un virus residente en memoria

• Iniciar el sistema desde un medio libre de virus

• Comparar la cantidad de memoria disponible antes y ahora.

• Comparar los tamaños de los archivos ejecutables con sus copias originales.

Enviar copias de los archivos al laboratorio de virus

Funcionamiento

Formato DOT

Texto

Macros(Virus)

Documento1.DOC

11 Plantilla Global

NORMAL.DOT

Info

Macros(Virus)

Formato DOC

Texto

Documento2.DOC

Macros(Virus)

Formato DOT22

AutoOpen

33

AutoOpen

Virus Macro Virus Macro -- MS WordMS Word

GRUPO SMARTEKH27

Virus Macro Virus Macro -- MS ExcelMS Excel

XLStart DirectoryStartupFiles

EXCEL Sheet

Excel Macros

EXCEL Sheet

Excel Macros

Cuando se abre un archivo infectado,

éste crea un archivo nuevo en la carpeta

\Microsoft Office\Office\XLStart

Cada vez que se abre Excel, el virus

está disponible para infectar los

demás archivos que se utilicen

GRUPO SMARTEKH28

Virus MacroVirus Macro

Archivo Normal Archivo Infectado

GRUPO SMARTEKH29



Más de una

entrada

GRUPO SMARTEKH30


Archivo normal Archivo infectado


GRUPO SMARTEKH31


Archivo Normal Archivo Infectado GRUPO SMARTEKH32



Un archivo infectado va ha

mostrar que tiene una

carpeta de MACROS

GRUPO SMARTEKH33

Virus MacroVirus Macro• Habilitar la protección contra macros

• Seleccionar “No abrir con macros”

In Office 95 & 97

InOffice 2000

GRUPO SMARTEKH34


• Los archivos infectados crecerán en tamaño

• La aplicación puede llegar a preguntar si se guardan los cambios aunque no se modifique el archivo

• Solamente las plantillas pueden contener macros

GRUPO SMARTEKH35

MelissaMelissa Macro VirusMacro VirusNombre del virus: W97M_Melissa

MS Outlook / MS Exchange...

Antes de la infección Luego de la infección

Virus Macro Virus Macro -- Ej. Ej. MelissaMelissa


GRUPO SMARTEKH37

! Descubierto el 26 de Marzo de 1999 en USA.! No abrir el documento adjunto si el mensaje contiene:

• Subject : “Important Message from {user name}”• Message Body : Here is the document you asked for …• don’t show anyone else ;-)”

! Se trata de un virus VBA5, por lo cual es compatible con Word97 y Word2000.

! El virus deshabilitará el mensaje de alerta de macros de Word97 y Word2000.

! El virus se enviará automáticamente a 50 direcciones de e-mail usando MS Outlook / MS Exchange.

! No incluye rutina de daño.

Virus Macro Virus Macro -- Ej. Ej. MelissaMelissa

GRUPO SMARTEKH38

GRUPO SMARTEKH39

Sección delVirus

Virus de Archivo Ejecutable - WIN32

Programa

Adjunta el Código del

Virus

El Virus modificaEl Header

la TablaHeader &Tabla

ARCHIVO INFECTADO

GRUPO SMARTEKH40

Virus de WindowsVirus de Windows

Sección delVirus

Programa

Anexa el código del Virus

El Virus modificaEl Header Y la Tabla

Header &Tabla

ARCHIVO INFECTADO

El virus CIH particiona el códigoY esto dificulta se reparación

GRUPO SMARTEKH41

Virus de WindowsVirus de Windows• El punto de entrada de este virus estárelacionado con la copia de archivos infectados (Servidor de Archivos, Web, FTP, etc.)

• El objetivo principal son archivos ejecutables (*.EXE), librerías (*.DLL), residentes (*.VXD), Componentes OCX (*.OCX), protectores de pantalla (*.SCR), etc.

GRUPO SMARTEKH42

Virus de WindowsVirus de Windows

• Entradas no comunes en el TaskManager o Administrador de Tareas

• Pérdida en el rendimiento del sistema

• Incremento en el tamaño de los archivos ejecutables


GRUPO SMARTEKH43

Virus de WindowsVirus de WindowsVerificar la Registry por posibles virus residentes

•\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

•\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

•\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

•\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

Revisar en estas ubicaciones si

existen entradas inusuales

GRUPO SMARTEKH44

Bubbleboy ScriptBubbleboy Script VirusVirus

GRUPO SMARTEKH45

Virus de Virus de ScriptScript

Un mensaje o una página webtienen un script

malicioso

Estos códigos maliciosos utilizan las características de Scripting Host

de los navegadores y clientes de correo electrónico.

Esto les permite distribuirse automáticamente a otros usuarios o páginas web

GRUPO SMARTEKH46


El código malicioso se aloja en la sección scriptdel archivo HTML

GRUPO SMARTEKH47

Virus de Virus de ScriptScriptVirus de Script en mensajes de correo

Luego de recibir un mensaje que contiene un script, el siguiente mensaje aparecerá:

GRUPO SMARTEKH48

Seleccionando Yes se ejecuta el script, que podría contener código malicioso. Seleccionando No apareceráel siguiente mensaje:



GRUPO SMARTEKH49

Now you can see that the mail has some script in it because of this script icon

GRUPO SMARTEKH50

Script VirusesScript Viruses

Now you can verify the contents of the saved HTM file if it has some malicious codes or not

GRUPO SMARTEKH51

Java/Java/ActiveXActiveX -- CCóódigos Maliciososdigos Maliciosos

GRUPO SMARTEKH52

Virus JavaVirus JavaDos tipos de códigos maliciosos de Java

• Java Applet

• 99% de los casos

• Generalmente ejecutan rutinas molestas

• Aplicaciones Java

• Capaces de ejecutar rutinas similares a la de cualquier programa ejecutable

• Infecta otros archivos del tipo *.class

GRUPO SMARTEKH53

Virus JavaVirus Java

• Configurar la seguridad de los navegadores a nivel máximo ofrece una buena protección contra este tipo de amenazas.

Tools->Internet Options -> Security Tab

InterScan AppletTrap

GRUPO SMARTEKH54

Troyanos, gusanos, Troyanos, gusanos, SpywareSpyware y y backdoorsbackdoors


GRUPO SMARTEKH55


Un gusano es un programa que puede distribuirse automáticamente a otros sistemas

Workstation

Windows NT Server

GRUPO SMARTEKH56

Happy99 TrojanHappy99 Trojan

GRUPO SMARTEKH57

ExplorezipExplorezip WormWorm

GRUPO SMARTEKH58

! Se envía automáticamente por e-mail utilizando la libreta de direcciones de Outlook.

! Responde los mensajes de entrada.

! Utiliza el icono de WinZIP.

! Vacía archivos.c, .cpp, .h, .asm, .doc, .xls, .ppt, etc. en unidades de la C: a la Z:.

! Se instala en forma remota en otras PCs de la red.

Gusanos (Gusanos (WormWorm) ) -- ExploreZIPExploreZIP

GRUPO SMARTEKH59

Net Hack Tools son normalmente programas

enviados por los hackers o descargados desde Internet


Hacker

Utiliza algunas características de las redes y sistemas para ejecutar funciones remotas

sobre las PCs de la víctimas.

InternetInternet

Estos programas pueden accesar información del usuario y enviarla a los

hackers

Puede abrir puertos para que el hacker logre tener acceso al sistema del usuarios afectado

GRUPO SMARTEKH60

Herramientas de Herramientas de HackingHacking -- Ej. NETBUSEj. NETBUS


GRUPO SMARTEKH61

JokesJokes

GRUPO SMARTEKH62

HoaxHoaxUn virus hoax se puede definir como una falsa alarma sobre un virus informático que se distribuye en cadena de mensajes por correo electrónico. Estas cadenas involucran cada vez más y más usuarios ya que el mensaje sugiere al receptor reenviar la información a todas las direcciones de correo posibles. Entre los virus hoax más comunes en nuestro país, podemos destacar los siguientes: MATRIX, HAMMER, ZZ331, CELLSAVER, PHANTOM MENACE, WOBBLER, Up-Grade Internet2, Bugglst.zip,Buddylst.zip, It Takes Guts to Say 'Jesus, WIN AHOLIDAY,Open: very cool, Hacky Birthday!, JOIN THE CREW, etc

GRUPO SMARTEKH63

SpywareSpywareSpyware son programas que envían información del uso que se hace de la computadora, p.e. Pagina visitadas, software instalado, mediante Internet, normalmente con fines “comerciales”, al hacerse sin consentimiento del usuario se considera un delito.Para removerse se usa software especializado.Algunos Spyware conocidos son:DownloadAccel Advertising-based "free" download acceleration utilizing home-grown ad server technology.

Flyswat IE and Windows integrating info system. No privacy statement.

freeNsafe Ad supported, free, content filtering ISP. Claimed system required an uninstall password. (Which didn't work.)

Naviant Unbelievably frightening claims! <shudder>

Net Perceptions Company extolls the virtues of knowing the habits and preferences of everyone onlineand offline.

GRUPO SMARTEKH64

IngenierIngenieríía Sociala Social

La ingeniería social el una forma de hacer que la acción que deseo sea ejecutada por un usuario, se emplea en espionaje, para introducir un código malicioso y otras acciones.Por ejemplo I LOVE YOU, LAS FOTOS DE MI FIESTA...., TE ENVIO FOTOS DE UNA TENISTA, TE ENVIO ESTE DOCUMENTO PARA QUE.....

GRUPO SMARTEKH65

Un nombre de virus asignado por Trend Micro consiste en cuatro partes diferentes:

{PREFIJO}-NOMBRE_DEL_VIRUS-{INFIJO}-{SUFIJO}

El campo NOMBRE_DEL_VIRUS es requerido para todos los virus. Por el contrario los campos {PREFIJO}, {INFIJO} y {SUFIJO} son opcionales. A continuación se detallan cada uno de ellos.

{ PREFIJO}El prefijo determina el tipo de archivo que infecta el virus o la plataforma en la cual este puede funcionar. Los virus que infectan archivosejecutables de DOS no llevan prefijos. Trend Micro utiliza los siguientes prefijos:

•WM_ Para virus macro de Word 95 (WordBasic). Por ej. WM_CONCEPT

•W97M_ Para virus macro de Word 97 (VBA5). Por ej. W97M_CONCEPT

•XM_ Para virus macro de Excel 95 (VBA3). Por ej. XM_LAROUX

•X97M_ Para virus macro de Excel 97 (VBA5). Por ej. X97M_LAROUX

•AM_ Para virus macro de Access 2.0 y Access 95. Por ej. AM_AccessCross

•A97M_ Para virus macro de Access 97. Por ej. A97M_AccessiV

Entendiendo los nombres de Trend MicroEntendiendo los nombres de Trend Micro

GRUPO SMARTEKH66

•JAVA_ Para virus Java. Por ej. JAVA_NoisyBear

•ATVX_ Para virus ActiveX. Por ej. ACTX_Exploder

•JOKE_ Para programas de bromas. Este tipo de archivos son programas de DOS o Windows, que no causan daño y no infectan ningún otro archivo. Solo despliegan mensajes particulares. Por ej. JOKE_WOW

•TROJ_ Para programas troyanos. Los troyanos son programas de DOS o Windows que no infectan ningún otro archivo, pero ejecutarán rutinas maliciosas. Algunas de ellas pueden atentar con la seguridad de los sistemas y manipular la información del usuario. Por ej. TROJ_BOSERVER

•PE_ Para virus que infectan archivos ejecutables del tipo PE. Por ej. PE_BOZA

•NE_ Para virus que infectan archivos ejecutables del tipo NE. Por ej. NE_TENTACLE

•HTML_ Para virus que infectan archivos HTML. Por ej. HTML_Prepend

•VBS_ Para virus que infectan utilizando VB script. Por ej. VBS_Happy

Entendiendo los nombres de Trend MicroEntendiendo los nombres de Trend Micro


GRUPO SMARTEKH67

Algunas estadAlgunas estadíísticas sobre virussticas sobre virus! El 95% de la infecciones de virus son provocadas por

virus conocidos.! La mayoría de los productos están certificados para

detectar el 100% de los virus más populares.! Más del 90% de las empresas han implementado un

sistema antivirus. Sin embargo...

010203040506070

Compu

ter

virus

es

9899

GRUPO SMARTEKH68

ProblemProblemááticatica actual actual –– Feb. 2002Feb. 200227/FEB/2002 21 al 27/FEB/2002

27/ENE/2002 AL 27/FEB/2002

GRUPO SMARTEKH69

ProblemProblemáática actualtica actualejemplo NIMDAejemplo NIMDA

Descripción:Este es un WORM de rápida distribución en una forma original. Llega como un archivo adjunto, README.EXE, usualmente sin ASUNTO ni CONTENIDO, No requiere que el usuario abra el archivo, usa una vulnerabilidad de Internet Explorer para ejecutarse automáticamente. El WORM contiene un contenido registrado del tipo audio/x-wav, así cuando se abre el mail la aplicación asociada con archivos de audio es abierta, normalmente Windows Media Player. El archivo ejecutable no puede ser visto por Microsoft Outlook.La rutina de envío se ejecuta cada 10 días, a veces 11, para esto guarda una entrada en el REGISTRY, que es:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MapMail, CacheCuándo el WORM se ejecuta revisa si ya pasaron los 10 días, si es así ejecuta la rutina de propagación y regresa el contador para iniciar nuevamente el ciclo. Para enviar copias de si mismo recupera la lista de email usando API o MAPI de Messaging y también de documentos HTML y HTM referenciados por la siguiente entrada del REGISTRY:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folder, CacheLas direcciones son almacenadas en una lista y pasadas al motor SMTP que tiene el virus para el envió.

GRUPO SMARTEKH70

ProblemProblemáática actualtica actual1)1)1)1) InfecciInfecciInfecciInfeccióóóón de archivos.n de archivos.n de archivos.n de archivos.

NIMDA localiza archivos EXE en la maquina local y los infecta poNIMDA localiza archivos EXE en la maquina local y los infecta poNIMDA localiza archivos EXE en la maquina local y los infecta poNIMDA localiza archivos EXE en la maquina local y los infecta poniendo dentro de ellos su cniendo dentro de ellos su cniendo dentro de ellos su cniendo dentro de ellos su cóóóódigo digo digo digo como un recurso, entonces el virus se propaga mediante el interccomo un recurso, entonces el virus se propaga mediante el interccomo un recurso, entonces el virus se propaga mediante el interccomo un recurso, entonces el virus se propaga mediante el intercambio de programas.ambio de programas.ambio de programas.ambio de programas.

2)2)2)2) EnvEnvEnvEnv íííío masivo poro masivo poro masivo poro masivo por mailmailmailmail....NIMDA localiza las direcciones deNIMDA localiza las direcciones deNIMDA localiza las direcciones deNIMDA localiza las direcciones de emailemailemailemail mediante el API o MAPI y buscando archivos HTML para mediante el API o MAPI y buscando archivos HTML para mediante el API o MAPI y buscando archivos HTML para mediante el API o MAPI y buscando archivos HTML para infectar minfectar minfectar minfectar máááás. Entonces se envs. Entonces se envs. Entonces se envs. Entonces se env íííía a cada direccia a cada direccia a cada direccia a cada direccióóóón den den den de mailmailmailmail, estos contienen el README.EXE, el cual , estos contienen el README.EXE, el cual , estos contienen el README.EXE, el cual , estos contienen el README.EXE, el cual se ejecuta automse ejecuta automse ejecuta automse ejecuta automááááticamente en los sistemas que no estticamente en los sistemas que no estticamente en los sistemas que no estticamente en los sistemas que no estéééén actualizados en las vulnerabilidades.n actualizados en las vulnerabilidades.n actualizados en las vulnerabilidades.n actualizados en las vulnerabilidades.

3)3)3)3) WORM de Web.WORM de Web.WORM de Web.WORM de Web.NIMDA busca en Internet y localiza sitios servidores WWW, al encNIMDA busca en Internet y localiza sitios servidores WWW, al encNIMDA busca en Internet y localiza sitios servidores WWW, al encNIMDA busca en Internet y localiza sitios servidores WWW, al encontrarlo trata de infectar usando ontrarlo trata de infectar usando ontrarlo trata de infectar usando ontrarlo trata de infectar usando vulnerabilidades. Si lo logra modifica vulnerabilidades. Si lo logra modifica vulnerabilidades. Si lo logra modifica vulnerabilidades. Si lo logra modifica aleatoriamentealeatoriamentealeatoriamentealeatoriamente paginas Web. Como resultado de esta accipaginas Web. Como resultado de esta accipaginas Web. Como resultado de esta accipaginas Web. Como resultado de esta accióóóón n n n quienes quienes quienes quienes accesenaccesenaccesenaccesen este sitio sereste sitio sereste sitio sereste sitio seráááán infectados.n infectados.n infectados.n infectados.

4)4)4)4) PropagaciPropagaciPropagaciPropagacióóóón por la Red.n por la Red.n por la Red.n por la Red.El WORM busca archivos compartidos en la red local, tanto en el El WORM busca archivos compartidos en la red local, tanto en el El WORM busca archivos compartidos en la red local, tanto en el El WORM busca archivos compartidos en la red local, tanto en el servidos como en las maquinas de servidos como en las maquinas de servidos como en las maquinas de servidos como en las maquinas de los clientes. Una vez encontrados va a poner un archivo oculto Rlos clientes. Una vez encontrados va a poner un archivo oculto Rlos clientes. Una vez encontrados va a poner un archivo oculto Rlos clientes. Una vez encontrados va a poner un archivo oculto RECHED20.DLL en cualquier ECHED20.DLL en cualquier ECHED20.DLL en cualquier ECHED20.DLL en cualquier directorio que tenga archivos DOC y EML. Cuando el usuario abra directorio que tenga archivos DOC y EML. Cuando el usuario abra directorio que tenga archivos DOC y EML. Cuando el usuario abra directorio que tenga archivos DOC y EML. Cuando el usuario abra un archivo DOC y EML desde un archivo DOC y EML desde un archivo DOC y EML desde un archivo DOC y EML desde estos directorios, Word, estos directorios, Word, estos directorios, Word, estos directorios, Word, WordpadWordpadWordpadWordpad o Outlook ejecutara RECHED20.DLL provocando la infeccio Outlook ejecutara RECHED20.DLL provocando la infeccio Outlook ejecutara RECHED20.DLL provocando la infeccio Outlook ejecutara RECHED20.DLL provocando la infeccióóóón de la n de la n de la n de la PC. El WORM infectara archivos remotos si se ejecuta en el ServePC. El WORM infectara archivos remotos si se ejecuta en el ServePC. El WORM infectara archivos remotos si se ejecuta en el ServePC. El WORM infectara archivos remotos si se ejecuta en el Server.r.r.r.

GRUPO SMARTEKH71

ProblemProblemááticatica actualactual

GRUPO SMARTEKH72

VBS_LOVELETTERVBS_LOVELETTER


GRUPO SMARTEKH73

VBS_LOVELETTER VBS_LOVELETTER -- EjemploEjemplo

Utilizan servicios Utilizan servicios de Internet de Internet parapara distribuirsedistribuirse. . GRUPO SMARTEKH

74

! Rutina de distribución (Velocidad):– E-mail: Se distribuye en forma automática como archivo

adjunto a todos los destinatarios de la libreta de direcciones de MS Outlook.

– Chat: Se distribuye en forma automática a todos los usuarios de la misma sala de chat (mIRC).

! Rutina de activación (Daño):– Busca y sobreescribe determinados archivos tanto en

unidades locales como remotas. Las extensiones de los archivos dañados son:

– .vbs, .vbe, .js, .jse, .css, .wsh, .sct, .hta, .jpg, .jpeg, .mp3 y .mp2

VBS_LOVELETTER VBS_LOVELETTER --CaracterCaracteríísticassticas

GRUPO SMARTEKH75

ProblemProblemáática actual de Virustica actual de Virus! ¿Cuál es el problema actual?

– Era un problema relacionado con virus y troyanos…

– luego llegaron los gusanos... – y los programas agentes de hackers...– y los scripts VB, Java y ActiveX...– y los hoax y el spam de e-mail.

El problema no es sólo de virus, también es de contenido y vunerabilidades.

GRUPO SMARTEKH76

! ¿Qué es el Contenido?– Era texto… – Luego Rich Text y gráficos…– Luego Rich Text y gráficos con archivos

adjuntos…– Luego Rich Text y gráficos con archivos

adjuntos que se leen con editores HTML…– Texto más adjuntos que se leen con

editores HTML y con la posibilidad de ejecutar código móvil.

ProblemProblemáática actual de Virustica actual de Virus

GRUPO SMARTEKH77

! ¿Qué es el Contenido Activo? (Active Content)– Programas que se ejecutan automáticamente

cuando:– Se abre un mensaje de correo electrónico.– Se visita una página Web.– Se lee un documento.

– El Contenido Activo es la nueva amenaza de seguridad que se transmite por Internet.


GRUPO SMARTEKH78

! ¿Qué son las vulnerabilidades? Al desarrollarse los sistemas operativos y

además software es común encontrar fallas de programación, algunas causan resultados inesperados (ventanas azules, trabadas del sistema, etc), otras causan que se puedan hacer acciones no deseadas y permitir que el sistema sea VUNERABLE



GRUPO SMARTEKH79

! ¿Dónde está la solución?– Los sistemas de seguridad de acceso

tradicionales no resolverán el problema.– Los sistemas antivirus tradicionales tampoco.– Se necesita una solución de un proveedor que

comprenda que las amenazas de virus están relacionadas con la distribución de contenido malicioso por Internet.

! Tendencia de los virus: CIH, Melissa, Marker, ExploreZIP, Babylonia, BubbleBoy, 911, LoveLetter, Timofonica => (ispVirus)...


GRUPO SMARTEKH80

SoluciSolucióónn• La solución es proveer herramientas de protección ante

ambas amenazas:– Contenido Activo: Virus, troyanos, gusanos, scripts de

VB, códigos maliciosos, etc.– Contenido Pasivo: Spam, información confidencial,

archivos extensos, zod, etc.• Integrarse a la estructura de seguridad del cliente.

(Partners: Lotus, HP, MS, SUN, CheckPoint, etc.)• Ofrecer herramientas efectivas de administración

GRUPO SMARTEKH81

Puntos de entrada de virusPuntos de entrada de virus

InternetInternet

File Server

Client

Mail Server

1. Intercambio de diskettes.

3. Mensajes de correo electrónico.2. Conexiones a servidores LAN.

4. Archivos que se bajan de Internet.

Floppy Disk

Firewall

GRUPO SMARTEKH82

¿¿ququéé nos espera?nos espera?

introducción virus y otros bichos - cryptomex.orgcryptomex.org/slidesseguredes/virus.pdf · ¿qué...

Documents