Download Infectadores de Sistema
Document related concepts
no text concepts found
Transcript
Seguridad frente a Virus 1 ISAT: Infrestructura de Aplicaciones Telemáticas Índice 2 Introducción Virus para PC: Funcionamiento y Características Política de Seguridad frente a Virus Varios Más información ISAT: Infrestructura de Aplicaciones Telemáticas Introducción 3 ISAT: Infrestructura de Aplicaciones Telemáticas Definición (I) Un virus es un programa que se añade a otros programas (o sobreescriben o reemplazan) para replicarse a sí mismo (con posibles evoluciones) sin el conocimiento del usuario Algunas variaciones: – No se replican pero realizan acciones no deseadas (Virus Troyano, Caballo de Troya o Trojan Horse) – No están unidos a programas de un ordenador, se replican por la red (Gusano o Worm) – No tienen por qué realizar acciones maliciosas (aunque por lo menos consumen recursos) 4 ISAT: Infrestructura de Aplicaciones Telemáticas Definición (y II) 5 Un antivirus es un programa diseñado para – detectar los virus que pretenden infectar un sistema – localizar la existencia de virus en un sistema infectado – opcionalmente, eliminar automáticamente los virus localizados e intentar recuperar la información alterada por ellos ISAT: Infrestructura de Aplicaciones Telemáticas Aspectos negativos de los virus 6 Se pueden reproducir con más rapidez que con la que se pueden detener Pueden ser mortales. Por ejemplo un virus que detiene el sistema esperando que se pulse una tecla en un sistema de soporte vital en un hospital Son incontrolados: los autores de los virus no pueden detener su distribución ISAT: Infrestructura de Aplicaciones Telemáticas Colectivos de Riesgo Los virus se pueden dar en cualquier ordenador de propósito general Hay varias razones para que predominen en PCs con DOS: – – – – Hay muchos más usuarios de este tipo de sistemas Existe costumbre de intercambio de software No tienen control de acceso a memoria Los que tienen el conocimiento necesario de otros sistemas normalmente se dedican a labores más constructivas – Es más fácil atacar a un sistema más avanzado a través de los agujeros de seguridad que mediante virus 7 ISAT: Infrestructura de Aplicaciones Telemáticas Implicaciones legales (I) 8 Algunos aspectos motivados por virus que pueden ser ilegales: – Acceso no autorizado – Modificación no autorizada – Pérdida de datos – Peligro para la seguridad pública – Apología (dar información sobre la escritura de virus, etc) – Denegación de servicio ISAT: Infrestructura de Aplicaciones Telemáticas Implicaciones legales (y II) Las leyes varían de un lugar a otro, pero si el virus atraviesa las fronteras (muy probable) y existen tratados de extradición puede traer consecuencias legales Los casos más graves se dan si se infectan sistemas de la administración pública Para más información: http://www.web2000.com/ribas&rodriguez/LEYES.HTM 9 ISAT: Infrestructura de Aplicaciones Telemáticas Virus para UNIX 10 ISAT: Infrestructura de Aplicaciones Telemáticas Virus para UNIX 11 Casi no hay virus que no sean experimentales. El más famoso fue el Internet Worm (gusano) de Morris en Noviembre de 1988 Se pueden transmitir cuando un usuario ejecuta los programas de otro (trabajo en grupo, supervisión de un jefe, etc). Muy peligroso si el ejecutante tiene muchos privilegios en el sistema Se suelen utilizar comprobadores de integridad (pero los cambios normalmente no se deben a virus) Los infectadores de sistema pueden atacar el registro de arranque maestro (MBR) de PCs con UNIX ISAT: Infrestructura de Aplicaciones Telemáticas Virus para PC Funcionamiento y Características 12 ISAT: Infrestructura de Aplicaciones Telemáticas Tipos: Infectadores de Ficheros Infectan ejecutables e incluso fuentes Dos tipos: – De acción directa. Infectan cada vez que se ejecuta el programa infectado. Ejemplo: Vienna – Residentes. Infectan quedándose residentes. Ejemplo: Jerusalem Funcionamiento: – Normalmente se unen a aplicaciones ejecutables – También pueden estar en algunos ficheros de datos como macros – Es menos usual en ficheros batch, postscript y fuente 13 ISAT: Infrestructura de Aplicaciones Telemáticas Tipos: Infectadores de Sistema (Boot-Record) Se encuentran en ciertas áreas del sistema en discos Suelen ser residentes Funcionamiento: – Alteran el sector de arranque de los discos – Ejecutan su propio código (que normalmente infecta el sector de arranque del disco duro) y luego continúa el proceso de arranque 14 Ejemplos: Brain, Stoned, Empire, Azusa y Michelangelo ISAT: Infrestructura de Aplicaciones Telemáticas Tipos: Virus de Macro 15 Se reproducen a través de ficheros de datos (documentos) que contienen macros (instrucciones ejecutables para realizar tareas repetitivas) Los más conocidos son los de MS Word, Excel y Ami Pro (en distintas plataformas y S.O.) Gran parte de su peligrosidad se basa en que es normal el intercambio de documentos de texto y hay antivirus que no examinan los ficheros “.DOC” Una protección consiste en no abrir el documento con Word, sino con un visor que no ejecute macros, sobre todo los documentos de la red ISAT: Infrestructura de Aplicaciones Telemáticas Otros Tipos Multi-Parte (mezcla de ficheros y sistema) De Cluster (modifican las tablas de directorio) – No modifican propiamente a los programas – El virus es cargado y ejecutado antes que el programa – Ejemplo: Dir-II De Kernel (usan determinadas características del kernel del sistema operativo) – Ejemplo: 3APA3A (también es multi-parte) 16 ISAT: Infrestructura de Aplicaciones Telemáticas Activación (I) Se denomina activación de un virus a la ejecución de su código Un PC se infecta con un virus de sistema si es (re-) arrancado (normalmente por accidente) con un disquete infectado en la disquetera (los disquetes formateados tienen código en el sector de arranque) – Los virus de sistema son los más comunes y normalmente no se reproducen por la red – Se suelen reproducir a través de disquetes de procedencia muy diversa (de demostración, de vendedores, de mantenimiento, etc) 17 ISAT: Infrestructura de Aplicaciones Telemáticas Activación (y II) Un infectador de ficheros contamina a otros ficheros cuando se ejecuta el programa contaminado – Pueden reproducirse a través de la red – Su procedencia puede ser la misma que los infectadores de sistema y también servidores de FTP y BBSs 18 Los virus Multi-Parte infectan los sectores de arranque y los ficheros ISAT: Infrestructura de Aplicaciones Telemáticas Características Funcionales Cualquiera que sea el sistema que un virus infecte y el tipo a que pertenezca, puede participar de una o varias características que dificulten su detección o lo hagan más virulento. Así, existen virus: polimórficos, furtivos, de cavidad, de túnel, bombas ANSI. de infección rápida, lenta o infrecuente, etc… 19 ISAT: Infrestructura de Aplicaciones Telemáticas Características ... Furtivos o sigilosos (Stealth ) – Mientras se están ejecutando ocultan las modificaciones – Se detectan porque mientras se ejecutan están en memoria – Ejemplos: Brain, Number of the Beast y Frodo Polimórficos o mutantes – Producen versiones modificadas de sí mismos – Son difíciles de detectar con los buscadores de cadenas simples 20 ISAT: Infrestructura de Aplicaciones Telemáticas Características ... Infectadores Rápidos – Cuando están activos infectan a los programas que se ejecutan e incluso a los ficheros que simplemente se abren – Muy peligrosos si se ejecuta un buscador o comprobador de integridad estando el virus en memoria – Ejemplos: Dark Avenger y Frodo Infectadores Lentos – Sólo infectan ficheros cuando son modificados o creados – Difíciles de detectar cuando se confía en los comprobadores de integridad – Ejemplo: Darth Vader 21 ISAT: Infrestructura de Aplicaciones Telemáticas Características ... Infectadores ocasionales (sparse) – Infectan sólo algunas veces (por ejemplo cada diez ejecuciones) – Intentan minimizar la probabilidad de ser detectados Acompañantes (companion) – Se ejecutan en lugar del programa original y luego ejecutan éste. – Una forma de hacerlo es con un fichero “.COM” con el mismo nombre que el original “.EXE” – Los comprobadores de integridad no lo detectan 22 ISAT: Infrestructura de Aplicaciones Telemáticas Características ... Blindados – Usan trucos especiales para evitar su detección y la comprensión de su funcionamiento – Ejemplo: Whale De Cavidad – Sobreescriben parte no usada del programa original, para no incrementar la longitud del mismo – Ejemplo: Lehigh De Túnel – Llaman directamente a las interrupciones de DOS y de BIOS – No son detectados por los “controladores de actividad” o monitores 23 ISAT: Infrestructura de Aplicaciones Telemáticas Características ... Instaladores (droppers) – Llevan escondido el virus para instalarlo – Son Caballos de Troya cuya carga es el virus – Si sólo instalan el virus en memoria se llaman inyectores Bombas ANSI – Son secuencias de caracteres que reprograman el teclado en computadores con controlador de consola ANSI – Una posible reprogramación es convertir la tecla ENTER en “format c:ENTER” – No son demasiado peligrosos – Hay controladores ANSI mejorados que no permiten la reprogramación del teclado 24 ISAT: Infrestructura de Aplicaciones Telemáticas Política de Seguridad frente a Virus 25 ISAT: Infrestructura de Aplicaciones Telemáticas Contenido Prevención Detección Corrección 26 ISAT: Infrestructura de Aplicaciones Telemáticas Prevención 27 Tareas previas – Preparar disquetes de arranque limpios – Configurar adecuadamente la CMOS – Realizar copias de seguridad frecuentes Prevención de contagio por disquetes ISAT: Infrestructura de Aplicaciones Telemáticas Disquetes de arranque limpios (I) 28 Tener preparados varios disquetes de arranque “limpios” Se deben preparar (FORMAT A: /S o SYS A:) en un sistema no infectado – No se puede estar seguro al 100%, pero se puede confiar en un buen antivirus buscador. Se debe ser un poco paranoico y tener especial cuidado en la preparación – Se deben proteger contra escritura inmediatamente ISAT: Infrestructura de Aplicaciones Telemáticas Disquetes de arranque limpios (II) 29 Se deben usar para arrancar en frío el ordenador antes de usar el antivirus (arrancar para cada antivirus) Se deben tener al menos dos versiones distintas para actualizar en dos saltos ISAT: Infrestructura de Aplicaciones Telemáticas Disquetes de arranque limpios (y III) Deben contener todo lo necesario para no ejecutar nada del disco duro y que el sistema sea usable (drivers, configuración, etc): – – – – 30 Utilidades necesarias para Instalar el S.O. en el disco duro Software de diagnóstico y reparación de urgencia Herramientas antivirus En DOS: FDISK, CHKDSK y/o SCANDISK, FORMAT, SYS, MEM, UNFORMAT, UNDELETE, MSD (de la misma versión que el sistema) ISAT: Infrestructura de Aplicaciones Telemáticas Configurar adecuadamente la CMOS 31 Proteger contra escritura el sector de partición (MBR) y el sector de arranque del disco duro (puede dar falsa alarma al actualizar el S.O.) Cambiar el orden de arranque de A: C: a C: A: Comprobar que algún virus no haya configurado la CMOS para que parezca que no hay disquetera (lo hacen para arrancar desde disco duro y luego simular que arranca desde disquete) ISAT: Infrestructura de Aplicaciones Telemáticas Realizar copias de seguridad o backup (I) 32 Algunas consideraciones previas: – ¿Qué usuarios dependen de los ficheros del sistema? – ¿Cuánto tiempo puede estar el usuario más importante sin poder acceder a estos ficheros? – ¿Qué proporción (y cantidad) de ficheros son fijos frente a los que cambian?, ¿Todos los cambios deben ser copiados? – ¿Qué tipo de información se guarda en los ficheros que cambian normalmente? ISAT: Infrestructura de Aplicaciones Telemáticas Realizar copias de seguridad o backup (II) 33 Separar las copias de – datos (incluyendo ficheros de configuración) – ejecutables Realizar copias de los ejecutables después de instalarlos, asegurándose antes que no estén infectados No realizar copias de ejecutables en medios que contengan copias anteriores en utilización ISAT: Infrestructura de Aplicaciones Telemáticas Realizar copias de seguridad o backup (y III) 34 Realizar distintos conjuntos de copias: – a largo plazo – a corto plazo Tener todo el software necesario (que no esté infectado) para recuperar las copias de seguridad, que funcione incluso si el disco duro queda totalmente vacío ISAT: Infrestructura de Aplicaciones Telemáticas Prevenir el contagio mediante disquetes 35 Proteger contra escritura (y comprobar que el hardware funciona) Comprobar con buscadores TODOS los disquetes, sea cual se su procedencia (incluso los precintados) Algunas posibles políticas a seguir, que pueden requerir el modificar los drivers: – No permitir el acceso a ejecutables en disquetes – Usar un formato no estándar – No permitir el uso de disquetes no desinfectados (el antivirus les pondría una marca especial) – Utilizar PCs sin disquetera ISAT: Infrestructura de Aplicaciones Telemáticas Contenido Prevención Detección Corrección 36 ISAT: Infrestructura de Aplicaciones Telemáticas Detección 37 Normas básicas – Cómo detectar un virus – Actuaciones tras la detección Herramientas antivirus – Clasificación – Uso de la herramientas antivirus – Elección de un paquete antivirus ISAT: Infrestructura de Aplicaciones Telemáticas Cómo detectar los virus 38 Los virus intentan reproducirse antes de realizar acciones destructivas (para poder infectar más sistemas) Algunos posibles síntomas son: – Cambios en tamaño y contenido de ficheros – Cambios en vectores de interrupción – Cambios en sector de arranque – Actividad de disco prolongada – En arranque de Windows mensajes de “32 bit Disk Access cannot be used” ISAT: Infrestructura de Aplicaciones Telemáticas Actuaciones tras la detección (I) 39 Mantener la calma: normalmente el virus no causará más daño, pero una acción irresponsable sí podría hacerlo Comprobar que no es una falsa alarma (falso positivo). Usar las últimas versiones de distintos paquetes antivirus NO reformatear el disco duro: normalmente no es necesario y probablemente no destruirá el virus Avisar inmediatamente al responsable del parque informático ISAT: Infrestructura de Aplicaciones Telemáticas Actuaciones tras la detección (y II) Pautas generales a seguir: – No seguir trabajando en el sistema infectado – Comprobar si otros sistemas del entorno están infectados (si no es posible comprobarlo suponer que sí lo están) – No intercambiar disquetes – Cerrar las sesiones de red de los sistemas infectados (ponerse en contacto con el administrador de red) – Si se es responsable del parque de equipos, informar a todos los usuarios del riesgo. – Comprobar TODOS los disquetes y TODOS los backups 40 ISAT: Infrestructura de Aplicaciones Telemáticas Tipos de antivirus (I) 41 Buscadores (scanners): – Convencionales: programas que buscan patrones de virus conocidos (cadenas de búsqueda) – TSR: son residentes que buscan mientras otros programas se ejecutan – VxD: se ejecutan bajo Windows o Win 95 de forma concurrente – Heurísticos: buscan código sospechoso que pueda descubrir a un virus desconocido ISAT: Infrestructura de Aplicaciones Telemáticas Tipos de antivirus (y II) 42 Monitores de actividad: – Son residentes que controlan el comportamiento de otros programas Comprobadores de integridad: – Mantienen una base de datos con las características de los programas ejecutables – Algunos utilizan algoritmos de encriptado para evitar que los virus los engañen ISAT: Infrestructura de Aplicaciones Telemáticas Utilización puntual de un antivirus 43 Usar un buscador: – En TODOS los programas y disquetes nuevos (protegerlos antes contra escritura) – Cuando un comprobador de integridad indica una diferencia – Cuando un monitor da una señal de alarma – Cuando se obtenga una nueva versión del buscador u otro buscador distinto ISAT: Infrestructura de Aplicaciones Telemáticas Utilización permanente de un antivirus (I) 44 Cargar en el arranque antivirus residente de tipo buscador o monitor Si no es demasiado lento, ejecutar un buscador y un comprobador de integridad al arrancar Los compresores de disco (y también las herramientas de encriptado) normalmente dificultan la labor de los virus (aunque algunos virus simples corrompen los discos) ISAT: Infrestructura de Aplicaciones Telemáticas Utilización permanente de un antivirus (y II) 45 Los sistemas de protección de escritura por software ayudan, pero no son totalmente seguros y no se debe confiar en ellos Lo mejor sería tener todos los ejecutables en un disco y protegerlo contra escritura por hardware ISAT: Infrestructura de Aplicaciones Telemáticas Elección de un antivirus Usar un antivirus de confianza, bien instalado y actualizado – Tener copia de la documentación – Apropiado al entorno de trabajo (p. ej. Windows) – Puede ser de shareware. Es aconsejable pagar o registrarse ya que: » Anima al autor a mejoralo » Permite pedir soporte técnico en caso de crisis 46 ISAT: Infrestructura de Aplicaciones Telemáticas Algunos paquetes antivirus 47 AVP - AntiViral Toolkit Pro AVTK - Dr. Solomon's AntiVirus ToolKit CPAV - Central Point AntiVirus The Doctor Disinfectant (Mac) DSAVTK - Dr. Solomon's AntiVirus ToolKit F-Prot FindViru(s) - DSAVTK scanner ISAT: Infrestructura de Aplicaciones Telemáticas Gatekeeper (Mac) Invircible MSAV - MicroSoft AntiVirus NAV - Norton AntiVirus SCAN - ViruScan (de McAfee) Sweep - Scanner by Sophos TBAV - Thunderbyte AntiVirus VET Contenido Prevención Detección Corrección 48 ISAT: Infrestructura de Aplicaciones Telemáticas Corrección 49 Desinfección de ficheros Desinfección de sistema Solicitud de ayuda al grupo alt.comp.virus ISAT: Infrestructura de Aplicaciones Telemáticas Desinfección de ficheros Arrancar desde un disquete limpio Restaurar los ficheros infectados a partir de una buena copia de seguridad Si no se tiene una buena copia de seguridad usar un programa para desinfectar. Puede dar problemas: – Algunos virus contienen errores – La información original puede que haya sido sobreescrita y sea irrecuperable – A veces no es posible detectar la pérdida de información (aleatoria) ni indicar al usuario qué objetos están corrompidos 50 Se deben desinfectar TODOS los disquetes ISAT: Infrestructura de Aplicaciones Telemáticas Desinfección de sistema (I) 51 Arrancar desde un disquete limpio Si el virus es un infectador de sistema, se podría usar temporalmente el ordenador arrancando de disquete limpio Usar una herramienta antivirus. Puede dar problemas si el sistema hubiera sido infectado por varios virus ISAT: Infrestructura de Aplicaciones Telemáticas Desinfección de sistema (II) 52 Un método (con cierto peligro) para eliminarlo sería: – Arrancar de disquete limpio – Comprobar que la configuración de la memoria es normal (MEM). Comprobar que las particiones son las normales (FDISK) – Intentar ver el contenido de todos los discos duros (DIR) – Si las comprobaciones anteriores no son satisfactorias no seguir adelante, se podría perder información crítica ISAT: Infrestructura de Aplicaciones Telemáticas Desinfección de sistema (y III) 53 Reemplazar el código del registro de arranque maestro (MBR) con FDISK /MBR. Esta operación hace que este método sea peligroso y se pueda perder información (algunos virus encriptan el disco duro y guardan la clave en el MBR) Reemplazar el sector de arranque de DOS con SYS C: (o lo que sea adecuado para la primera partición y con la misma versión del S.O.). Si se usa compresión de disco se debe hacer en el volumen en que se instaló (normalmente H: o I:) ISAT: Infrestructura de Aplicaciones Telemáticas Referencias y Glosario 54 ISAT: Infrestructura de Aplicaciones Telemáticas Referencias Información enlzada en http://trajano.us.es/isat/ – Grupos de News: comp.virus y alt.comp.virus – Listas de distribución: ftp://corsa.ucr.edu/pub/virus-l/virus-l.README 55 – Software antivirus Libros: – "Robert Slade's Guide to Computer Viruses", Robert Slade, Springer-Verlag, 1994 – "A Short Course on Computer Viruses", 2nd edition, Dr. Fred B.Cohen, Wiley, 1994 ISAT: Infrestructura de Aplicaciones Telemáticas Glosario (I) 56 AV - AntiVirus. BSI - Boot Sector Infector (= BSV - Boot Sector Virus). Infectador del sector de arranque BIOS - Basic Input Output System. Sistema básico de entrada y salida CMOS - Memoria usada para guardar información sobre la configuración hardware DBR - DOS Boot Record. Registro de arranque de DOS DBS - DOS Boot Sector. Sector de arranque de DOS ISAT: Infrestructura de Aplicaciones Telemáticas Glosario (II) 57 GOAT FILES - Programas simples que sirven para capturar virus y poder estudiarlos. Algunos sinónimos son: BAIT FILES, DECOY FILES y VICTIM FILES In-the-wild - describe los virus que se han encontrado reproduciéndose en sistemas reales MBR - Master Boot Record (Partition Sector). Registro de arranque maestro TSR - Un programa DOS residente en memoria VX - Aquellos que estudian, intercambian y escriben virus, no necesariamente con intenciones maliciosas ISAT: Infrestructura de Aplicaciones Telemáticas Glosario (y III) 58 VxD - Un programa de Windows que puede ser ejecutado concurrentemente Zoo - Conjunto de virus usado para comprobaciones ISAT: Infrestructura de Aplicaciones Telemáticas