Introducción VIRUS Y OTROS BICHOS - cryptomex.orgcryptomex.org/SlidesSeguRedes/virus.pdf · ¿Qué...
Transcript of Introducción VIRUS Y OTROS BICHOS - cryptomex.orgcryptomex.org/SlidesSeguRedes/virus.pdf · ¿Qué...
VIRUS Y OTROS BICHOS 1
GRUPO SMARTEKH1
VIRUS Y OTROS BICHOSVIRUS Y OTROS BICHOS
GRUPO SMARTEKH2
Introducción Introducción
! Introducción a virus y otros tipos de programas dañinos
! Como han evolucionado, diferentes tipos y riesgos
GRUPO SMARTEKH3
Orden del díaOrden del día
! Antecedentes! Tipos de programas dañinos! Primeros virus y como trabajan! Macro virus y como trabajan! Riesgos actuales! Que nos espera
GRUPO SMARTEKH4
ANTECEDENTESANTECEDENTES
Natas
Nimda
I love you
Miguel Angel
Viernes 13
W Concept
BrainMorrisVon
Nehuman
Jerusalem
GRUPO SMARTEKH5
VocabularioVocabulario! VIRUS: Programa que se replica dentro de otros! CONEJO: Programa que se replica sin control! WORM: Programa que se replica en las redes! TROYANO: Programa que hace cosas diferentes a la
que se supone debe hacer! HOAX:Alerta falsa sobre virus que se distribuye
en cadenas de mensajes de correo electrónico! SPYWARE: Programa que envía por Internet
información del usuario sin consentimiento
GRUPO SMARTEKH6
Problemática de VirusProblemática de Virus
VIRUS Y OTROS BICHOS 2
GRUPO SMARTEKH7
None
Unkno
wnOthe
r
99
Una de las Principales Una de las Principales PreocupaciPreocupacióónesnes: : VIRUSVIRUS
SoluciSolucióón: n: AntivirusAntivirus
Preocupaciones de SeguridadPreocupaciones de Seguridad
Perdidas por tipo (USD)
$ 66,708,000$ 55,996,000
$ 29,171,000$ 27,984,740$ 27,148,000
$ 22,554,500$ 10,404,300
$ 8,247,500$ 7,104,000
$ 5,000,000$ 4,028,000
$ 991,200
P uenteo de s eña lesFraude teleco nicac io nesRo bo de s eña lP ene trac io n a l s is temaCaidas de l s is temaRo bo de Lapto pUs o inte rno no auto rizadoSabo ta jeAbus o de us o de la redVirusFraude F inanc ie roRo bo de Info rmac ió n
FUENTE: CSIFBI AÑO 2001
GRUPO SMARTEKH8
! ¿Qué es un virus?Un virus informático se puede definir como un pequeño programa (o código) capaz de autoreproducirse. Sin embargo, algunos virus también incluyen algo que los torna peligrosos: rutinas dañinas, también conocidas como bombas.
! ¿Qué es un troyano?Un programa que ejecuta acciones no
deseadas, no autorizadas, maliciosas, etc. No se autoreproduce. Gralmente utiliza disfraz.
DefinicionesDefiniciones
GRUPO SMARTEKH9
! ¿Qué es un gusano (worm)?Un programa que se autodistribuyeautomáticamente a través de un sistemaespecífico.
! ¿Qué es un hoax (broma)?Alerta falsa sobre virus que se distribuye encadenas de mensajes de correo electrónico.
DefinicionesDefiniciones
GRUPO SMARTEKH10
Tipos de VirusTipos de Virus
• Virus de arranque
• Virus de archivos DOS
• Virus de Windows
• Virus Macro
• Virus de Script
• Códigos maliciosos de Java/ActiveX
J
GRUPO SMARTEKH11
• Troyanos
• Gusanos
• Jokes
• Herramientas de
Hacking (Backdoors)
• Hoax (???)
Otro tipo de Códigos MaliciososOtro tipo de Códigos Maliciosos
GRUPO SMARTEKH12
183 2511,600 2,000
3,500
6,5008,000
13,000
18,000
30,000
0
5,000
10,000
15,000
20,000
25,000
30,000
1990 1991 1992 1993 1994 1995 1996 1997 1998 1999
Boot Viruses Macro Viruses Internet/E-mail Viruses
More than
Source: Trend Micro
Crecimiento en la cantidad de Crecimiento en la cantidad de VirusVirus
En el 2001 más de 12,000 nuevos, acumulado 60,000
VIRUS Y OTROS BICHOS 3
GRUPO SMARTEKH13
CCóómo llegan los Virus...mo llegan los Virus...
Source: ICSA 1999 Virus SurveyEn 2001: 80% Mails, Internet, 8% Diskette
GRUPO SMARTEKH14
Problemas de Infecciones de VirusProblemas de Infecciones de Virus
Source: ICSA 1999 Virus Survey
• Pérdida de productividad• Archivos de datos corruptos• PC no disponible para el usuario• Pérdida de información confidencial• Servidor y aplicaciones no disponibles• …..• Pérdida de trabajo...
GRUPO SMARTEKH15
Virus de ArranqueVirus de ArranqueDisketteinfectado
Infecta el disco rígido
Infecta cada
diskette
Boo tRecord
V i r u sBootRecord
V i r u s
GRUPO SMARTEKH16
Virus de ArranqueVirus de Arranque
ROM BIOS Routines
Partition Code Execution
Boot Code Execution
Load DOS Command Interpreter
• Revisa los componentes de hardware y altera interrupciones
• Pone la información del BIOS• Para discos solo (se omite en Floppy)
• Revisa particiones disponibles
• Pasa el control a la particion activa
• Revisa los parametros del disco
• Carga y ejecuta el IO.SYS o IBMBIO.SYS
• Carga y ejecuta el interprete de comandos del DOS
VIRUS
VIRUS• Esta parte es la que infecta el Floppy y Disco duro
• Esta es la parte más común infectada en discos duros
GRUPO SMARTEKH17
Virus de ArranqueVirus de Arranque
• El punto de entrada de este tipo de virus es el arranque con disketteinfectado y los programas instaladores o (Boot Virus Dropper)
• El objetivo de estos virus es el Sector de Arranque (Boot Sector) de un disketteo el Registro Maestro de Arranque (Master Boot Record) del disco rígido.
GRUPO SMARTEKH18
Virus de ArranqueVirus de Arranque
• Memoria convencional (bajo los 640kb)
• Errores de escritura de diskettes
• Sectores malos (Bad Sectors) en el disco
• Errores al iniciar el sistema
0
640 KB VIRUSVIRUSVIRUSVIRUS
Convencional Memoria
Un virus residente en
memoria reduce la memoria
convencional
VIRUS Y OTROS BICHOS 4
GRUPO SMARTEKH19
Virus de ArranqueVirus de Arranque
• Rastrear diskettes antes de usarlos
• Habilitar la protección antivirus de la BIOS
• Deshabilitar el arranque de diskettes
En la utilería deSetup del
CMOS Selecciona
BIOS Features
Setup
Activar Virus Protection/Warning
GRUPO SMARTEKH20
Virus de ArranqueVirus de ArranqueObteniendo una copia del BS y TP
GRUPO SMARTEKH21
Virus de ArranqueVirus de Arranque
• Para sistemas DOS• Apagar el sistema• Reiniciar con un disco de arranque libre de virus• Ejecutar el siguiente comando
A:>fdisk /mbr• y luego
A:>sys c:
Cómo limpiar un virus de arranque
Recomendamos consultar con el departamento de soporte
GRUPO SMARTEKH22
PROGRAMA
Virus de DOSVirus de DOS
VIRUS
VIRUS
Salta al virus
Orig. Header
Cuando un programa es infectado, el virus pone en general una copia de el al
final del programa
Y obtendra la información original del header
Entonces la salvara en una parte del código del virus
anexado
Finalmente, modificara la información del header
para que brinque al código del virus cuando este
nuevo programa infectado se ejecute
GRUPO SMARTEKH23
Virus de DOSVirus de DOS
• El punto de entrada de este virus está relacionado con la copia de archivos infectados (Servidor de Archivos, Web, FTP, etc.)
• Su objetivo principal son otros archivos ejecutables (*.COM & *.EXE)
GRUPO SMARTEKH24
Virus de DOSVirus de DOS
• Incrementan el tamaño del archivo infectado (Stealth)
• Disminuyen la cantidad de memoria disponible (Stealth)
• Perjudican directamente el rendimiento de los sistemas
VIRUS Y OTROS BICHOS 5
GRUPO SMARTEKH25
Virus de DOSVirus de DOSCómo combatir un virus residente en memoria
• Iniciar el sistema desde un medio libre de virus
• Comparar la cantidad de memoria disponible antes y ahora.
• Comparar los tamaños de los archivos ejecutables con sus copias originales.
Enviar copias de los archivos al laboratorio de virus
Funcionamiento
Formato DOT
Texto
Macros(Virus)
Documento1.DOC
11 Plantilla Global
NORMAL.DOT
Info
Macros(Virus)
Formato DOC
Texto
Documento2.DOC
Macros(Virus)
Formato DOT22
AutoOpen
33
AutoOpen
Virus Macro Virus Macro -- MS WordMS Word
GRUPO SMARTEKH27
Virus Macro Virus Macro -- MS ExcelMS Excel
XLStart DirectoryStartupFiles
EXCEL Sheet
Excel Macros
EXCEL Sheet
Excel Macros
Cuando se abre un archivo infectado,
éste crea un archivo nuevo en la carpeta
\Microsoft Office\Office\XLStart
Cada vez que se abre Excel, el virus
está disponible para infectar los
demás archivos que se utilicen
GRUPO SMARTEKH28
Virus MacroVirus Macro
Archivo Normal Archivo Infectado
GRUPO SMARTEKH29
Virus MacroVirus Macro
Archivo Normal Archivo Infectado
Más de una
entrada
GRUPO SMARTEKH30
Virus MacroVirus Macro
Archivo normal Archivo infectado
VIRUS Y OTROS BICHOS 6
GRUPO SMARTEKH31
Virus MacroVirus Macro
Archivo Normal Archivo Infectado GRUPO SMARTEKH32
Virus MacroVirus Macro
Archivo Normal Archivo Infectado
Un archivo infectado va ha
mostrar que tiene una
carpeta de MACROS
GRUPO SMARTEKH33
Virus MacroVirus Macro• Habilitar la protección contra macros
• Seleccionar “No abrir con macros”
In Office 95 & 97
InOffice 2000
GRUPO SMARTEKH34
Virus MacroVirus Macro
• Los archivos infectados crecerán en tamaño
• La aplicación puede llegar a preguntar si se guardan los cambios aunque no se modifique el archivo
• Solamente las plantillas pueden contener macros
GRUPO SMARTEKH35
MelissaMelissa Macro VirusMacro VirusNombre del virus: W97M_Melissa
MS Outlook / MS Exchange...
Antes de la infección Luego de la infección
Virus Macro Virus Macro -- Ej. Ej. MelissaMelissa
VIRUS Y OTROS BICHOS 7
GRUPO SMARTEKH37
! Descubierto el 26 de Marzo de 1999 en USA.! No abrir el documento adjunto si el mensaje contiene:
• Subject : “Important Message from {user name}”• Message Body : Here is the document you asked for …• don’t show anyone else ;-)”
! Se trata de un virus VBA5, por lo cual es compatible con Word97 y Word2000.
! El virus deshabilitará el mensaje de alerta de macros de Word97 y Word2000.
! El virus se enviará automáticamente a 50 direcciones de e-mail usando MS Outlook / MS Exchange.
! No incluye rutina de daño.
Virus Macro Virus Macro -- Ej. Ej. MelissaMelissa
GRUPO SMARTEKH38
GRUPO SMARTEKH39
Sección delVirus
Virus de Archivo Ejecutable - WIN32
Programa
Adjunta el Código del
Virus
El Virus modificaEl Header
la TablaHeader &Tabla
ARCHIVO INFECTADO
GRUPO SMARTEKH40
Virus de WindowsVirus de Windows
Sección delVirus
Programa
Anexa el código del Virus
El Virus modificaEl Header Y la Tabla
Header &Tabla
ARCHIVO INFECTADO
El virus CIH particiona el códigoY esto dificulta se reparación
GRUPO SMARTEKH41
Virus de WindowsVirus de Windows• El punto de entrada de este virus estárelacionado con la copia de archivos infectados (Servidor de Archivos, Web, FTP, etc.)
• El objetivo principal son archivos ejecutables (*.EXE), librerías (*.DLL), residentes (*.VXD), Componentes OCX (*.OCX), protectores de pantalla (*.SCR), etc.
GRUPO SMARTEKH42
Virus de WindowsVirus de Windows
• Entradas no comunes en el TaskManager o Administrador de Tareas
• Pérdida en el rendimiento del sistema
• Incremento en el tamaño de los archivos ejecutables
VIRUS Y OTROS BICHOS 8
GRUPO SMARTEKH43
Virus de WindowsVirus de WindowsVerificar la Registry por posibles virus residentes
•\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
•\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
•\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
•\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
Revisar en estas ubicaciones si
existen entradas inusuales
GRUPO SMARTEKH44
Bubbleboy ScriptBubbleboy Script VirusVirus
GRUPO SMARTEKH45
Virus de Virus de ScriptScript
Un mensaje o una página webtienen un script
malicioso
Estos códigos maliciosos utilizan las características de Scripting Host
de los navegadores y clientes de correo electrónico.
Esto les permite distribuirse automáticamente a otros usuarios o páginas web
GRUPO SMARTEKH46
Virus de Virus de ScriptScript
El código malicioso se aloja en la sección scriptdel archivo HTML
GRUPO SMARTEKH47
Virus de Virus de ScriptScriptVirus de Script en mensajes de correo
Luego de recibir un mensaje que contiene un script, el siguiente mensaje aparecerá:
GRUPO SMARTEKH48
Seleccionando Yes se ejecuta el script, que podría contener código malicioso. Seleccionando No apareceráel siguiente mensaje:
Virus de Virus de ScriptScript
VIRUS Y OTROS BICHOS 9
GRUPO SMARTEKH49
Now you can see that the mail has some script in it because of this script icon
GRUPO SMARTEKH50
Script VirusesScript Viruses
Now you can verify the contents of the saved HTM file if it has some malicious codes or not
GRUPO SMARTEKH51
Java/Java/ActiveXActiveX -- CCóódigos Maliciososdigos Maliciosos
GRUPO SMARTEKH52
Virus JavaVirus JavaDos tipos de códigos maliciosos de Java
• Java Applet
• 99% de los casos
• Generalmente ejecutan rutinas molestas
• Aplicaciones Java
• Capaces de ejecutar rutinas similares a la de cualquier programa ejecutable
• Infecta otros archivos del tipo *.class
GRUPO SMARTEKH53
Virus JavaVirus Java
• Configurar la seguridad de los navegadores a nivel máximo ofrece una buena protección contra este tipo de amenazas.
Tools->Internet Options -> Security Tab
InterScan AppletTrap
GRUPO SMARTEKH54
Troyanos, gusanos, Troyanos, gusanos, SpywareSpyware y y backdoorsbackdoors
VIRUS Y OTROS BICHOS 10
GRUPO SMARTEKH55
Troyanos, gusanos, Troyanos, gusanos, SpywareSpyware y y backdoorsbackdoors
Un gusano es un programa que puede distribuirse automáticamente a otros sistemas
Workstation
Windows NT Server
GRUPO SMARTEKH56
Happy99 TrojanHappy99 Trojan
GRUPO SMARTEKH57
ExplorezipExplorezip WormWorm
GRUPO SMARTEKH58
! Se envía automáticamente por e-mail utilizando la libreta de direcciones de Outlook.
! Responde los mensajes de entrada.
! Utiliza el icono de WinZIP.
! Vacía archivos.c, .cpp, .h, .asm, .doc, .xls, .ppt, etc. en unidades de la C: a la Z:.
! Se instala en forma remota en otras PCs de la red.
Gusanos (Gusanos (WormWorm) ) -- ExploreZIPExploreZIP
GRUPO SMARTEKH59
Net Hack Tools son normalmente programas
enviados por los hackers o descargados desde Internet
Troyanos, gusanos, Troyanos, gusanos, SpywareSpyware y y backdoorsbackdoors
Hacker
Utiliza algunas características de las redes y sistemas para ejecutar funciones remotas
sobre las PCs de la víctimas.
InternetInternet
Estos programas pueden accesar información del usuario y enviarla a los
hackers
Puede abrir puertos para que el hacker logre tener acceso al sistema del usuarios afectado
GRUPO SMARTEKH60
Herramientas de Herramientas de HackingHacking -- Ej. NETBUSEj. NETBUS
VIRUS Y OTROS BICHOS 11
GRUPO SMARTEKH61
JokesJokes
GRUPO SMARTEKH62
HoaxHoaxUn virus hoax se puede definir como una falsa alarma sobre un virus informático que se distribuye en cadena de mensajes por correo electrónico. Estas cadenas involucran cada vez más y más usuarios ya que el mensaje sugiere al receptor reenviar la información a todas las direcciones de correo posibles. Entre los virus hoax más comunes en nuestro país, podemos destacar los siguientes: MATRIX, HAMMER, ZZ331, CELLSAVER, PHANTOM MENACE, WOBBLER, Up-Grade Internet2, Bugglst.zip,Buddylst.zip, It Takes Guts to Say 'Jesus, WIN AHOLIDAY,Open: very cool, Hacky Birthday!, JOIN THE CREW, etc
GRUPO SMARTEKH63
SpywareSpywareSpyware son programas que envían información del uso que se hace de la computadora, p.e. Pagina visitadas, software instalado, mediante Internet, normalmente con fines “comerciales”, al hacerse sin consentimiento del usuario se considera un delito.Para removerse se usa software especializado.Algunos Spyware conocidos son:DownloadAccel Advertising-based "free" download acceleration utilizing home-grown ad server technology.
Flyswat IE and Windows integrating info system. No privacy statement.
freeNsafe Ad supported, free, content filtering ISP. Claimed system required an uninstall password. (Which didn't work.)
Naviant Unbelievably frightening claims! <shudder>
Net Perceptions Company extolls the virtues of knowing the habits and preferences of everyone onlineand offline.
GRUPO SMARTEKH64
IngenierIngenieríía Sociala Social
La ingeniería social el una forma de hacer que la acción que deseo sea ejecutada por un usuario, se emplea en espionaje, para introducir un código malicioso y otras acciones.Por ejemplo I LOVE YOU, LAS FOTOS DE MI FIESTA...., TE ENVIO FOTOS DE UNA TENISTA, TE ENVIO ESTE DOCUMENTO PARA QUE.....
GRUPO SMARTEKH65
Un nombre de virus asignado por Trend Micro consiste en cuatro partes diferentes:
{PREFIJO}-NOMBRE_DEL_VIRUS-{INFIJO}-{SUFIJO}
El campo NOMBRE_DEL_VIRUS es requerido para todos los virus. Por el contrario los campos {PREFIJO}, {INFIJO} y {SUFIJO} son opcionales. A continuación se detallan cada uno de ellos.
{ PREFIJO}El prefijo determina el tipo de archivo que infecta el virus o la plataforma en la cual este puede funcionar. Los virus que infectan archivosejecutables de DOS no llevan prefijos. Trend Micro utiliza los siguientes prefijos:
•WM_ Para virus macro de Word 95 (WordBasic). Por ej. WM_CONCEPT
•W97M_ Para virus macro de Word 97 (VBA5). Por ej. W97M_CONCEPT
•XM_ Para virus macro de Excel 95 (VBA3). Por ej. XM_LAROUX
•X97M_ Para virus macro de Excel 97 (VBA5). Por ej. X97M_LAROUX
•AM_ Para virus macro de Access 2.0 y Access 95. Por ej. AM_AccessCross
•A97M_ Para virus macro de Access 97. Por ej. A97M_AccessiV
Entendiendo los nombres de Trend MicroEntendiendo los nombres de Trend Micro
GRUPO SMARTEKH66
•JAVA_ Para virus Java. Por ej. JAVA_NoisyBear
•ATVX_ Para virus ActiveX. Por ej. ACTX_Exploder
•JOKE_ Para programas de bromas. Este tipo de archivos son programas de DOS o Windows, que no causan daño y no infectan ningún otro archivo. Solo despliegan mensajes particulares. Por ej. JOKE_WOW
•TROJ_ Para programas troyanos. Los troyanos son programas de DOS o Windows que no infectan ningún otro archivo, pero ejecutarán rutinas maliciosas. Algunas de ellas pueden atentar con la seguridad de los sistemas y manipular la información del usuario. Por ej. TROJ_BOSERVER
•PE_ Para virus que infectan archivos ejecutables del tipo PE. Por ej. PE_BOZA
•NE_ Para virus que infectan archivos ejecutables del tipo NE. Por ej. NE_TENTACLE
•HTML_ Para virus que infectan archivos HTML. Por ej. HTML_Prepend
•VBS_ Para virus que infectan utilizando VB script. Por ej. VBS_Happy
Entendiendo los nombres de Trend MicroEntendiendo los nombres de Trend Micro
VIRUS Y OTROS BICHOS 12
GRUPO SMARTEKH67
Algunas estadAlgunas estadíísticas sobre virussticas sobre virus! El 95% de la infecciones de virus son provocadas por
virus conocidos.! La mayoría de los productos están certificados para
detectar el 100% de los virus más populares.! Más del 90% de las empresas han implementado un
sistema antivirus. Sin embargo...
010203040506070
Compu
ter
virus
es
9899
GRUPO SMARTEKH68
ProblemProblemááticatica actual actual –– Feb. 2002Feb. 200227/FEB/2002 21 al 27/FEB/2002
27/ENE/2002 AL 27/FEB/2002
GRUPO SMARTEKH69
ProblemProblemáática actualtica actualejemplo NIMDAejemplo NIMDA
Descripción:Este es un WORM de rápida distribución en una forma original. Llega como un archivo adjunto, README.EXE, usualmente sin ASUNTO ni CONTENIDO, No requiere que el usuario abra el archivo, usa una vulnerabilidad de Internet Explorer para ejecutarse automáticamente. El WORM contiene un contenido registrado del tipo audio/x-wav, así cuando se abre el mail la aplicación asociada con archivos de audio es abierta, normalmente Windows Media Player. El archivo ejecutable no puede ser visto por Microsoft Outlook.La rutina de envío se ejecuta cada 10 días, a veces 11, para esto guarda una entrada en el REGISTRY, que es:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MapMail, CacheCuándo el WORM se ejecuta revisa si ya pasaron los 10 días, si es así ejecuta la rutina de propagación y regresa el contador para iniciar nuevamente el ciclo. Para enviar copias de si mismo recupera la lista de email usando API o MAPI de Messaging y también de documentos HTML y HTM referenciados por la siguiente entrada del REGISTRY:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folder, CacheLas direcciones son almacenadas en una lista y pasadas al motor SMTP que tiene el virus para el envió.
GRUPO SMARTEKH70
ProblemProblemáática actualtica actual1)1)1)1) InfecciInfecciInfecciInfeccióóóón de archivos.n de archivos.n de archivos.n de archivos.
NIMDA localiza archivos EXE en la maquina local y los infecta poNIMDA localiza archivos EXE en la maquina local y los infecta poNIMDA localiza archivos EXE en la maquina local y los infecta poNIMDA localiza archivos EXE en la maquina local y los infecta poniendo dentro de ellos su cniendo dentro de ellos su cniendo dentro de ellos su cniendo dentro de ellos su cóóóódigo digo digo digo como un recurso, entonces el virus se propaga mediante el interccomo un recurso, entonces el virus se propaga mediante el interccomo un recurso, entonces el virus se propaga mediante el interccomo un recurso, entonces el virus se propaga mediante el intercambio de programas.ambio de programas.ambio de programas.ambio de programas.
2)2)2)2) EnvEnvEnvEnv íííío masivo poro masivo poro masivo poro masivo por mailmailmailmail....NIMDA localiza las direcciones deNIMDA localiza las direcciones deNIMDA localiza las direcciones deNIMDA localiza las direcciones de emailemailemailemail mediante el API o MAPI y buscando archivos HTML para mediante el API o MAPI y buscando archivos HTML para mediante el API o MAPI y buscando archivos HTML para mediante el API o MAPI y buscando archivos HTML para infectar minfectar minfectar minfectar máááás. Entonces se envs. Entonces se envs. Entonces se envs. Entonces se env íííía a cada direccia a cada direccia a cada direccia a cada direccióóóón den den den de mailmailmailmail, estos contienen el README.EXE, el cual , estos contienen el README.EXE, el cual , estos contienen el README.EXE, el cual , estos contienen el README.EXE, el cual se ejecuta automse ejecuta automse ejecuta automse ejecuta automááááticamente en los sistemas que no estticamente en los sistemas que no estticamente en los sistemas que no estticamente en los sistemas que no estéééén actualizados en las vulnerabilidades.n actualizados en las vulnerabilidades.n actualizados en las vulnerabilidades.n actualizados en las vulnerabilidades.
3)3)3)3) WORM de Web.WORM de Web.WORM de Web.WORM de Web.NIMDA busca en Internet y localiza sitios servidores WWW, al encNIMDA busca en Internet y localiza sitios servidores WWW, al encNIMDA busca en Internet y localiza sitios servidores WWW, al encNIMDA busca en Internet y localiza sitios servidores WWW, al encontrarlo trata de infectar usando ontrarlo trata de infectar usando ontrarlo trata de infectar usando ontrarlo trata de infectar usando vulnerabilidades. Si lo logra modifica vulnerabilidades. Si lo logra modifica vulnerabilidades. Si lo logra modifica vulnerabilidades. Si lo logra modifica aleatoriamentealeatoriamentealeatoriamentealeatoriamente paginas Web. Como resultado de esta accipaginas Web. Como resultado de esta accipaginas Web. Como resultado de esta accipaginas Web. Como resultado de esta accióóóón n n n quienes quienes quienes quienes accesenaccesenaccesenaccesen este sitio sereste sitio sereste sitio sereste sitio seráááán infectados.n infectados.n infectados.n infectados.
4)4)4)4) PropagaciPropagaciPropagaciPropagacióóóón por la Red.n por la Red.n por la Red.n por la Red.El WORM busca archivos compartidos en la red local, tanto en el El WORM busca archivos compartidos en la red local, tanto en el El WORM busca archivos compartidos en la red local, tanto en el El WORM busca archivos compartidos en la red local, tanto en el servidos como en las maquinas de servidos como en las maquinas de servidos como en las maquinas de servidos como en las maquinas de los clientes. Una vez encontrados va a poner un archivo oculto Rlos clientes. Una vez encontrados va a poner un archivo oculto Rlos clientes. Una vez encontrados va a poner un archivo oculto Rlos clientes. Una vez encontrados va a poner un archivo oculto RECHED20.DLL en cualquier ECHED20.DLL en cualquier ECHED20.DLL en cualquier ECHED20.DLL en cualquier directorio que tenga archivos DOC y EML. Cuando el usuario abra directorio que tenga archivos DOC y EML. Cuando el usuario abra directorio que tenga archivos DOC y EML. Cuando el usuario abra directorio que tenga archivos DOC y EML. Cuando el usuario abra un archivo DOC y EML desde un archivo DOC y EML desde un archivo DOC y EML desde un archivo DOC y EML desde estos directorios, Word, estos directorios, Word, estos directorios, Word, estos directorios, Word, WordpadWordpadWordpadWordpad o Outlook ejecutara RECHED20.DLL provocando la infeccio Outlook ejecutara RECHED20.DLL provocando la infeccio Outlook ejecutara RECHED20.DLL provocando la infeccio Outlook ejecutara RECHED20.DLL provocando la infeccióóóón de la n de la n de la n de la PC. El WORM infectara archivos remotos si se ejecuta en el ServePC. El WORM infectara archivos remotos si se ejecuta en el ServePC. El WORM infectara archivos remotos si se ejecuta en el ServePC. El WORM infectara archivos remotos si se ejecuta en el Server.r.r.r.
GRUPO SMARTEKH71
ProblemProblemááticatica actualactual
GRUPO SMARTEKH72
VBS_LOVELETTERVBS_LOVELETTER
VIRUS Y OTROS BICHOS 13
GRUPO SMARTEKH73
VBS_LOVELETTER VBS_LOVELETTER -- EjemploEjemplo
Utilizan servicios Utilizan servicios de Internet de Internet parapara distribuirsedistribuirse. . GRUPO SMARTEKH
74
! Rutina de distribución (Velocidad):– E-mail: Se distribuye en forma automática como archivo
adjunto a todos los destinatarios de la libreta de direcciones de MS Outlook.
– Chat: Se distribuye en forma automática a todos los usuarios de la misma sala de chat (mIRC).
! Rutina de activación (Daño):– Busca y sobreescribe determinados archivos tanto en
unidades locales como remotas. Las extensiones de los archivos dañados son:
– .vbs, .vbe, .js, .jse, .css, .wsh, .sct, .hta, .jpg, .jpeg, .mp3 y .mp2
VBS_LOVELETTER VBS_LOVELETTER --CaracterCaracteríísticassticas
GRUPO SMARTEKH75
ProblemProblemáática actual de Virustica actual de Virus! ¿Cuál es el problema actual?
– Era un problema relacionado con virus y troyanos…
– luego llegaron los gusanos... – y los programas agentes de hackers...– y los scripts VB, Java y ActiveX...– y los hoax y el spam de e-mail.
El problema no es sólo de virus, también es de contenido y vunerabilidades.
GRUPO SMARTEKH76
! ¿Qué es el Contenido?– Era texto… – Luego Rich Text y gráficos…– Luego Rich Text y gráficos con archivos
adjuntos…– Luego Rich Text y gráficos con archivos
adjuntos que se leen con editores HTML…– Texto más adjuntos que se leen con
editores HTML y con la posibilidad de ejecutar código móvil.
ProblemProblemáática actual de Virustica actual de Virus
GRUPO SMARTEKH77
! ¿Qué es el Contenido Activo? (Active Content)– Programas que se ejecutan automáticamente
cuando:– Se abre un mensaje de correo electrónico.– Se visita una página Web.– Se lee un documento.
– El Contenido Activo es la nueva amenaza de seguridad que se transmite por Internet.
ProblemProblemáática actual de Virustica actual de Virus
GRUPO SMARTEKH78
! ¿Qué son las vulnerabilidades? Al desarrollarse los sistemas operativos y
además software es común encontrar fallas de programación, algunas causan resultados inesperados (ventanas azules, trabadas del sistema, etc), otras causan que se puedan hacer acciones no deseadas y permitir que el sistema sea VUNERABLE
ProblemProblemáática actual de Virustica actual de Virus
VIRUS Y OTROS BICHOS 14
GRUPO SMARTEKH79
! ¿Dónde está la solución?– Los sistemas de seguridad de acceso
tradicionales no resolverán el problema.– Los sistemas antivirus tradicionales tampoco.– Se necesita una solución de un proveedor que
comprenda que las amenazas de virus están relacionadas con la distribución de contenido malicioso por Internet.
! Tendencia de los virus: CIH, Melissa, Marker, ExploreZIP, Babylonia, BubbleBoy, 911, LoveLetter, Timofonica => (ispVirus)...
ProblemProblemáática actual de Virustica actual de Virus
GRUPO SMARTEKH80
SoluciSolucióónn• La solución es proveer herramientas de protección ante
ambas amenazas:– Contenido Activo: Virus, troyanos, gusanos, scripts de
VB, códigos maliciosos, etc.– Contenido Pasivo: Spam, información confidencial,
archivos extensos, zod, etc.• Integrarse a la estructura de seguridad del cliente.
(Partners: Lotus, HP, MS, SUN, CheckPoint, etc.)• Ofrecer herramientas efectivas de administración
GRUPO SMARTEKH81
Puntos de entrada de virusPuntos de entrada de virus
InternetInternet
File Server
Client
Mail Server
1. Intercambio de diskettes.
3. Mensajes de correo electrónico.2. Conexiones a servidores LAN.
4. Archivos que se bajan de Internet.
Floppy Disk
Firewall
GRUPO SMARTEKH82
¿¿ququéé nos espera?nos espera?