Download Clasificación Software maligno

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
Document related concepts
no text concepts found
Transcript 
Inst. Santa Cecilia
CLASIFICACION DE SOFTWARE MALIGNO - MALWARE
Malware (del inglés malicious software), es un tipo de software que tiene como objetivo infiltrarse o
dañar una computadora sin el consentimiento de su propietario.
El término malware incluye virus, gusanos, troyanos, la mayor parte de los rootkits1, scareware2,
spyware3, adware intrusivo4, crimeware5 y otros software maliciosos e indeseables.
Algunos de los primeros programas infecciosos, incluido el primer gusano de Internet y algunos virus
de MS-DOS, fueron elaborados como experimentos, como bromas o simplemente como algo molesto,
no para causar graves daños en las computadoras.
En algunos casos el programador no se daba cuenta de cuánto daño podía hacer su creación.
Algunos jóvenes que estaban aprendiendo sobre los virus los crearon con el único propósito de
demostrar que podían hacerlo o simplemente para ver con qué velocidad se propagaban. Incluso en
1999 un virus tan extendido como Melissa parecía haber sido elaborado tan sólo como una travesura.
El software diseñado para causar daños o pérdida de datos suele estar relacionado con actos de
vandalismo.
Muchos virus son diseñados para destruir archivos en discos duros o para corromper el sistema de
archivos escribiendo datos inválidos.
Algunos gusanos son diseñados para vandalizar páginas web dejando escrito el alias del autor o del
grupo por todos los sitios por donde pasan.
Estos gusanos pueden parecer el equivalente informático del graffiti.
Sin embargo, debido al aumento de usuarios de Internet, el software malicioso ha llegado a ser
diseñado para sacar beneficio de él, ya sea legal o ilegalmente.
Desde 2003, la mayor parte de los virus y gusanos han sido diseñados para tomar control de
computadoras para su explotación en el mercado negro.
Estas computadoras infectadas ("computadoras zombie") son usadas para el envío masivo de spam
por email, para alojar datos ilegales o para unirse en ataques DDoS.
Hay muchos más tipos de malware producido con ánimo de lucro, por ejemplo el spyware, el adware
intrusivo y los hijacker6 tratan de mostrar publicidad no deseada o redireccionar visitas hacia
publicidad para beneficio del creador.
Estos tipos de malware no se propagan como los virus, generalmente son instalados aprovechándose
de vulnerabilidades o junto con software legítimo como aplicaciones bajadas a través de la tecnología
P2P (Ares, eMule, etc.)
VIRUS y GUSANOS
El término virus informático se usa para designar un programa que, al ejecutarse, se propaga
infectando otros software ejecutables dentro de la misma computadora.
1
Programa que permite un acceso de privilegio continuo a una computadora pero que mantiene su presencia activamente
oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones.
2
Clase de software para estafar con cargas maliciosas, o con limitados o ningún beneficio, que son vendidos a los
consumidores vía ciertas prácticas no éticas de comercialización.
3
Software que recopila información de una computadora y después transmite esta información a una entidad externa sin el
conocimiento o el consentimiento del propietario de la computadora.
4 Cualquier programa que automáticamente se ejecuta, muestra o baja publicidad web al computador después de instalar el
programa o mientras se está utilizando la aplicación. 'Ad' en la palabra 'adware' se refiere a 'advertisement' (anuncios) en inglés.
Tipo de software que ha sido específicamente diseñado para la ejecución de delitos financieros en entornos en línea.
Hijacking significa "secuestro" en inglés y en el ámbito informático hace referencia a toda técnica ilegal que lleve consigo el
adueñarse o robar algo (generalmente información) por parte de un atacante. Es por tanto un concepto muy abierto y que puede
aplicarse a varios ámbitos, de esta manera podemos encontramos con el secuestro de conexiones de red, sesiones de terminal,
servicios, modems y un largo etcétera en cuanto a servicios informáticos se refiere.
5
6
1
Inst. Santa Cecilia
Por otra parte, un gusano es un programa que se transmite a sí mismo, explotando vulnerabilidades
en una red de computadoras para infectar otros equipos.
El principal objetivo es infectar a la mayor cantidad posible de usuarios, y también puede contener
instrucciones dañinas al igual que los virus.
Nótese que un virus necesita de la intervención del usuario para propagarse mientras que un gusano
se propaga automáticamente.
Teniendo en cuenta esta distinción, las infecciones transmitidas por e-mail o documentos de Microsoft
Word, que dependen de su apertura por parte del destinatario para infectar su sistema, deberían ser
clasificadas más como virus que como gusanos.
TROYANO
El término troyano suele ser usado para designar a un malware que permite la ‘administración remota’
de una computadora, de forma oculta y sin el consentimiento de su propietario, por parte de un
usuario no autorizado.
A grandes rasgos, los troyanos son programas maliciosos que están disfrazados como algo inocuo o
atractivo que invitan al usuario a ejecutarlo ocultando un software malicioso.
Ese software, puede tener un efecto inmediato y puede llevar muchas consecuencias indeseables, por
ejemplo, borrar los archivos del usuario o instalar más programas indeseables o maliciosos
Muchos caballos de Troya utilizados para espionaje industrial están programados para autodestruirse
una vez que cumplan el objetivo para el que fueron programados, destruyendo toda la evidencia.
Keyloggers
Los keyloggers y los stealers son programas maliciosos creados para robar información sensible.
La principal diferencia entre ellos es la forma en la que recogen la información.
Los keyloggers monitorizan todas las pulsaciones del teclado y las almacenan para un posterior envío
al creador. Por ejemplo al introducir un número de tarjeta de crédito el keylogger guarda el número,
posteriormente lo envía al autor del programa y este puede hacer pagos fraudulentos con esa tarjeta.
Si las contraseñas se encuentran recordadas en el equipo, de forma que el usuario no tiene que
escribirlas, el keylogger no las recoge, eso lo hacen los stealers.
La mayoría los keyloggers son usados para recopilar contraseñas de acceso pero también pueden ser
usados para espiar conversaciones de chat u otros fines.
Los stealers también roban información privada pero solo la que se encuentra guardada en el equipo.
Al ejecutarse comprueban los programas instalados en el equipo y si tienen contraseñas recordadas,
por ejemplo en los navegadores web o en clientes de mensajería instantánea, descifran esa
información y la envían al creador.
SINTOMAS Y EFECTOS
Los 10 posibles síntomas de infección de Malware pueden ser:
Mi computadora me ‘habla’: aparecen todo tipo de pop-ups7 y mensajes en el escritorio. Aquí
podría tratarse de un software espía.
7
El término pop-ups se refiere a las ventanas que emergen automáticamente (generalmente sin que el usuario lo solicite). A
menudo, las ventanas emergentes se utilizan con el objeto de mostrar un aviso publicitario de manera intrusita.
2
Inst. Santa Cecilia
El PC va tremendamente lento. Aunque existen varios posibles motivos, se puede dar el caso de
que un Troyano esté realizando tareas que consumen recursos.
No arrancan las aplicaciones. Es un indicio de infección, aunque puede tratarse de otro fallo.
No puedo conectarme a Internet o me conecto, pero navego muy lento. El Malware podría estar
haciendo llamadas, robando así ancho de banda.
Cuando se conecta a Internet, se abren muchas ventanas o el navegador muestra páginas no
solicitadas. Este es un signo inequívoco de infección, ya que algunas amenazas están destinadas a
redirigir tráfico a ciertos sitios.
¿Dónde han ido mis archivos? Existen tipos de Malware diseñados para borrar información, cifrarla
o cambiarla de sitio.
Mi antivirus ha desaparecido. Algunas amenazas se diseñan para deshabilitar el sistema de
seguridad instalado.
Mi computadora me habla en un idioma raro. Puede que el PC esté infectado si se cambian los
idiomas de las aplicaciones o la pantalla se vuelve del revés.
Me faltan librerías y otros archivos para ejecutar aplicaciones. Esto también puede ser un indicio.
Mi PC se ha vuelto loco. Si el equipo realiza acciones por sí solo, como conectarse a Internet o
enviar mails, tal vez la causa sea una amenaza
Otros síntomas pueden ser:
 Reducción del espacio libre en la memoria o disco duro.
Un virus, cuando entra en una computadora, debe situarse obligatoriamente en la memoria
RAM , y por ello ocupa una porción de ella.
 Aparición de mensajes de error no comunes.
 Fallos en la ejecución de programas.
 Frecuentes caídas del sistema.
 Tiempos de carga mayores.
 Las operaciones rutinarias se realizan con más lentitud.
 Actividad y comportamientos inusuales de la pantalla.
Muchos de los virus eligen el sistema de video para notificar al usuario su presencia en la
computadora. Cualquier desajuste de la pantalla, o de los caracteres de esta nos puede
notificar la presencia de un virus.
 El disco duro aparece con sectores en mal estado.
Algunos virus usan sectores del disco para camuflarse, lo que hace que aparezcan como
dañados.
 Aparición de anomalías en el teclado.
Existen algunos virus que definen ciertas teclas que al ser pulsadas, realizan acciones
perniciosas en la computadora. También suele ser común el cambio de la configuración de las
teclas, por la del país donde se programó el virus.
3
Inst. Santa Cecilia
Efecto del virus World Cup 98
4
Inst. Santa Cecilia
Efectos de los virus MURBURG y HPS
Cuidados y prevenciones
Debemos saber que los virus están en constante evolución como los virus que afectan a los humanos
cada vez son más fuertes y más invulnerables a los ataques de los antivirus y afectan a empresarios
de una manera muy grande, los creadores de dichos virus son los hackers. Ellos son los que
manipulan qué sitios y/o sistemas atacar con sus programas.
Siguiendo algunos sencillos consejos se puede aumentar considerablemente la seguridad de una
computadora; algunos son:
5
Inst. Santa Cecilia
 Tener el sistema operativo y el navegador web actualizados.
 Tener instalado un antivirus y configurarlos para que se actualicen automáticamente de forma
regular ya que cada día aparecen nuevas amenazas.
 Tener precaución al ejecutar software procedente de Internet o de medios extraíbles como CD
o memorias USB. Es importante asegurarse de que proceden de algún sitio de confianza.
 Evitar descargar software de redes P2P (Ares, eMule, etc), ya que realmente no se sabe su
contenido ni su procedencia.
 Utilizar contraseñas de alta seguridad (alfanuméricas, con letras en mayúscula y minúscula)
 Es muy recomendable hacer copias de seguridad regularmente de los documentos
importantes a medios extraíbles como CD, DVD, pendriver o discos externos para poderlos
recuperar en caso de infección por parte de algún malware.
Algunos antivirus comerciales











Avast!
AVG
BitDefender
ESET
Kaspersky
Malwarebytes' Anti-Malware
McAfee
Microsoft Security Essentials
Norton AntiVirus
Panda Security
Windows Defender
Importancia de las Copias de Seguridad (backup) y cómo realizarlas
correctamente.
Si el monitor, la memoria e incluso la CPU de nuestra computadora dejan de funcionar, simplemente
lo reemplazamos, y no hay mayores dificultades. Pero si falla el disco duro, el daño puede ser
irreversible, puede significar la pérdida total de nuestra información. Es principalmente por esta razón,
por la que debemos respaldar (copiar) la información importante. Imaginémonos ahora lo que pasaría
si esto le sucediera a una empresa, las pérdidas económicas podría ser cuantiosas. Los negocios de
todos los tipos y tamaños confían en la información computarizada para facilitar su operación. La
pérdida de información provoca un daño a veces irreparable.
La tecnología no está exenta de fallas o errores, y los respaldos de información son utilizados como
un plan de contingencia en caso de que una falla o error se presente.
Asimismo, hay empresas, que por la naturaleza del sector en el que operan (por ejemplo Banca,
Salud, Seguridad, etc.) no pueden permitirse la más mínima interrupción informática.
Las interrupciones se presentan de formas muy variadas: virus informáticos, fallos de electricidad,
errores de hardware y software, caídas de red, hackers, errores humanos, incendios, inundaciones,
etc. Y aunque no se pueda prevenir cada una de estas interrupciones, la empresa sí puede prepararse
para evitar las consecuencias que éstas puedan tener sobre su negocio. Del tiempo que tarde en
reaccionar una empresa dependerá la gravedad de sus consecuencias.
6
Inst. Santa Cecilia
Respaldar la información significa copiar el contenido lógico de nuestro sistema informático a un
medio que cumpla con una serie de exigencias:
1. Ser confiable: Minimizar las probabilidades de error. Muchos medios magnéticos como las cintas
de respaldo, pendrivers o discos duros tienen probabilidades de error o algunos son particularmente
sensibles a campos magnéticos, elementos todos que atentan contra la información que hemos
respaldado
allí.
Otras veces la falta de confiabilidad se genera al re-usar los medios magnéticos. Las cintas en
particular tienen una vida útil concreta. Las memorias USB (pendrivers) pueden dejar de funcionar
repentinamente por accidentes diversos: variaciones de voltaje mientras están conectadas, por caídas
a una altura superior a un metro, por su uso prolongado durante varios años especialmente en
pendrivers antiguos. Teóricamente pueden retener los datos durante unos 20 años y escribirse entre
10,000 y 100,000 veces. Es común que se subestime este factor y se reutilicen mas allá de su vida
útil, con resultados nefastos, particularmente porque vamos a descubrir su falta de confiabilidad en el
peor momento: cuando necesitamos RECUPERAR la información.
2. Estar fuera de línea, en un lugar seguro: Tan pronto se realiza el respaldo de información, el
soporte que almacena este respaldo debe ser desconectado de la computadora y almacenado en un
lugar seguro tanto desde el punto de vista de sus requerimientos técnicos como humedad,
temperatura, campos magnéticos, como de su seguridad física y lógica. No es de gran utilidad
respaldar la información y dejar el respaldo conectado a la computadora donde potencialmente puede
haber un ataque de cualquier índole que lo afecte.
3. La forma de recuperación sea rápida y eficiente: Es necesario probar la confiabilidad del sistema
de respaldo no sólo para respaldar sino que también para recuperar. Hay sistemas de respaldo que
aparentemente no tienen ninguna falla al generar el respaldo de la información pero que fallan
completamente al recuperar estos datos al sistema informático. Esto depende de la efectividad y
calidad del sistema que realiza el respaldo y la recuperación.
Esto nos lleva a que un sistema de respaldo y recuperación de información tiene que ser probado y
debe ser eficiente.
4. Seguridad física y lógica.
Puede llegar a ser necesario eliminar los medios de entrada/salida innecesarios en algunos sistemas
informáticos, tales como puertos usb, disqueteras y lectora/grabadora de DVD para evitar posible
infecciones con virus traídos desde el exterior de la empresa por el personal, o la extracción de
información de la empresa.
Las copias de seguridad son uno de los elementos más importantes y que requieren mayor atención a
la hora de definir las medidas de seguridad del sistema de información, la misión de las mismas es la
recuperación de los ficheros al estado inmediatamente anterior al momento de realización de la copia.
La realización de las copias de seguridad se basará en un análisis previo del sistema de información,
en el que se definirán las medidas técnicas que puedan condicionar la realización de las copias de
seguridad.
5. Volumen de información a copiar.
Condicionará las decisiones que se tomen sobre la política de copias de seguridad, en una primera
consideración está compuesto por el conjunto de datos que deben estar incluídos en la copia de
seguridad, sin embargo, se pueden adoptar diferentes estrategias respecto a la forma de la copia, que
condicionan el volumen de información a copiar.
7
Inst. Santa Cecilia
6. Tiempo disponible para efectuar la copia.
El tiempo disponible para efectuar la copia de seguridad es importante, ya que el soporte utilizado,
unidad de grabación y volúmen de datos a almacenar, puede hacer que el proceso de grabación de
los datos dure horas, y teniendo en cuenta que mientras se efectúa el proceso es conveniente no
realizar accesos o modificaciones sobre los datos objeto de la copia, este proceso ha de planificarse
para que suponga un contratiempo en el funcionamiento habitual del sistema de información.
7. Soporte utilizado.
Es la primera decisión a tomar cuando se planea una estrategia de copia de seguridad, sin embargo
esta decisión estará condicionada por un conjunto de variables, tales como la frecuencia de
realización, el volúmen de datos a copiar, la disponibilidad de la copia, el tiempo de recuperación del
sistema, etc.
Entre los soportes más habituales, podemos destacar las cintas magnéticas, discos externos,
grabadoras de DVD, pendrivers o cualquier dispositivo capaz de almacenar los datos que se
pretenden salvaguardar.
Una vez definidas las medidas de índole técnica, quedan por definir las medidas organizativas, ya que
de nada sirve el mejor soporte si las copias no se realizan de acuerdo a un plan de copias de
seguridad.
La política de copias de seguridad debe garantizar la reconstrucción de los ficheros en el estado en
que se encontraban al tiempo de producirse la pérdida o destrucción.
8. Frecuencia de realización de copias de seguridad.
La realización de copias de seguridad ha de realizarse diariamente, éste es el principio que debe regir
la planificación de las copias, sin embargo, existen condicionantes, tales como la frecuencia de
actualización de los datos, el volumen de datos modificados, etc., que pueden hacer que las copias se
realicen cada más tiempo.
9. Planificación de la copia.
Las copias de seguridad se pueden realizar en diferentes momentos día, incluso en diferentes días,
pero siempre se han de realizar de acuerdo a un criterio, y este nunca puede ser "cuando el
responsable lo recuerda", si es posible, la copia se debe realizar de forma automática por un programa
de copia, y según la configuración de éste, se podrá realizar un día concreto, diariamente,
semanalmente, mensualmente, a una hora concreta, cuando el sistema esté inactivo, ..., etc., todos
estos y muchos más parámetros pueden estar presentes en los programas que realizan las copias de
seguridad y deben permitirnos la realización únicamente de las tareas de supervisión.
10. Mecanismos de comprobación.
Se deben definir mecanismos de comprobación de las copias de seguridad, aunque los propios
programas que las efectúan suelen disponer de ellos para verificar el estado de la copia, es
conveniente planificar dentro de las tareas de seguridad la restauración de una parte de la copia o de
la copia completa periódicamente, como mecanismo de prueba y garantía.
11. Responsable del proceso.
La mejor forma de controlar los procesos que se desarrollan en el sistema de información, aunque
estos estén desarrollados en una parte importante por el propio sistema, es que exista un responsable
de la supervisión de que " lo seguro es seguro", para ello se debe designar a una persona que incluya
8
Inst. Santa Cecilia
entre sus funciones la supervisión del proceso de copias de seguridad, el almacenamiento de los
soportes empleados en un lugar designado a tal fin e incluso de la verificación de que las copias se
han realizado correctamente.
Por último, se debe considerar en la realización de las copias de seguridad, el uso de diferentes
soportes para almacenar los datos, entre las diferentes posibilidades que se presentan en función del
número de soportes empleados.
También se recomienda guardar las copias de seguridad en un lugar alejado, como, por ejemplo, una
caja de seguridad o cualquier otro sitio asegurado contra incendios, para que, en caso de que se
produzca algún desastre como un incendio, robo, inundación, etc. los datos se encuentren protegidos.
Disco/pendriver infectado con software dañino, cómo proceder.
Cuando el antivirus logra confirmar la presencia de un virus, lo primero que siente el usuario es
pánico. Luego pensará qué hacer y se dará cuenta que no tiene idea cómo enfrentarse a un virus
informático. Educar a los usuarios sobre estas cuestiones es tan importante como mantenerlos
actualizados de los últimos virus que aparecen.
En algunas oportunidades no tendremos otra salida más que utilizar una extracción manual realizada
por nosotros mismos.
Es muy común este tipo de cosas con los virus de última horneada que no les dan tiempo a los
fabricantes de antivirus a actualizar sus definiciones de virus. La página http://www.cert.inteco.es
presenta información sobre los últimos virus aparecidos y la forma de extraerlos manualmente.
Cuando uno mismo se va a hacer cargo de la eliminación de un virus es importante contar con el
CD/DVD de inicio del sistema operativo limpio de virus para poder arrancar la computadora (proceso
de booteo).
Identificar un virus supone, primero, lograr su detección y luego poder determinar de qué virus se trata
exactamente. A esta técnica se la conoce con el nombre de scanning o –en Argentina- escaneo.
Es muy sencilla de entender. El programa antivirus posee una base de datos con ciertas strings
propias de cada virus.
Estas strings no son más que las firmas (líneas de código propias de cada virus), o sea cadenas de
caracteres que el scanner del antivirus utilizará como huella digital para identificar de qué virus se
trata.
El scanner comienza a revisar uno por uno el código de los archivos almacenados intentando
encontrar alguno de estos fragmentos representativos de los virus que tiene registrados.
Con cada una de las verificaciones no se revisa la base de datos completa ya que resultaría bastante
trabajoso y en una pérdida de tiempo considerable, aunque de hecho el hacer un escaneo de nuestra
unidad de disco rígido lleva algún tiempo.
Entonces, cada antivirus utilizará diferentes técnicas algorítmicas para agilizar un poco este paso de
comparar el código contra su base de datos.
Hoy en día la producción de virus se ve masificada e Internet colabora enormemente en la dispersión
de virus de muchos tipos, incluyendo los "virus caseros".
9
Inst. Santa Cecilia
Las empresas antivirus están constantemente trabajando en la búsqueda y documentación de cada
nuevo virus que aparece.
Muchas de estas empresas actualizan sus bases de datos todos los meses, otras lo hacen
quincenalmente o semanalmente, y algunas pocas llegan a hacerlo todos los días (cosa más que
importante para empresas que necesitan una alta protección en este campo o para usuarios fanáticos
de obtener lo último en seguridad y protección).
La debilidad de la técnica de scanning es inherente al modelo. Esto es debido a que un virus debería
alcanzar una dispersión adecuada para que algún usuario lo capture y lo envíe a un grupo de
especialistas en virus que luego se encargarán de determinar que parte del código será representativa
para ese virus y finalmente lo incluirán en la base de datos del antivirus.
Todo este proceso puede llevar varias semanas, tiempo suficiente para que un virus eficaz haga de
las suyas.
En la actualidad, Internet proporciona el canal de bajada de las definiciones antivirus que nos
permitirán identificar decenas de miles de virus que andan acechando.
Estas decenas de miles de virus, como dijimos, también influirán en el tamaño de la base de datos y
varía según cada proveedor del software antivirus.
La técnica de scanning no resulta ser la solución definitiva, ni tampoco la más eficiente, pero continúa
siendo la más utilizada debido a que permite identificar con cierta rapidez los virus más conocidos,
que en definitiva son los que lograron adquirir mayor dispersión.
Todo usuario de Windows debe ser especialmente cuidadoso de tener un buen antivirus que habrá de
ser actualizado con regularidad, tener alguna aplicación de limpieza y mantenimiento (para buscar y
eliminar basura que entra por la red) y ser cuidadoso con los archivos adjuntos que abre desde su
cuenta de e-mail.
Sin embargo, constantemente estamos asumiendo algún riesgo; sobretodo cuando probamos algunos
programas dudosos que bajamos de la red.
En tal caso, es posible que comencemos a recibir algunos mensajes de error al ejecutar algunos
programas, que el sistema no funcione correctamente y que nuestro antivirus empiece a alertarnos
que ha detectado algún archivo infectado que no ha conseguido eliminar.
Aunque esto requiere una pronta respuesta de nuestra parte, no es necesario entrar en pánico y
enseguida pensar en formatear y reinstalar todo el sistema. Si nos encargamos del problema a
tiempo, generalmente es suficiente con buscar una solución en la red específicamente para ese virus.
En el peor de los casos, puede que el virus impida la conexión a Internet. Cuando esto ocurre,
generalmente podemos solucionar esto provisoriamente (hasta que eliminemos el virus) iniciando la
máquina en Modo a Prueba de Fallos, o ejecutando el programa de sistema “msconfig” con mucho
cuidado (es mejor tener alguna experiencia previa en el uso de este comando).
Si entramos en “msconfig” y hacemos clic en la pestaña de “Inicio”, donde se listan los programas que
se inician al arrancar Windows, podemos comenzar a deshabilitar las aplicaciones de sospechosa
procedencia, pero con cuidado de no deshabilitar alguna aplicación del sistema. Importante: La
utilización del comando ‘msconfig’ sin los conocimientos mínimos necesarios puede ocasionar que el
sistema operativo Windows deje de funcionar correctamente. Se recomienda abstenerse de utilizarlo
si no se está seguro de lo que se hace.
Si aún así, luego de reiniciar la PC, no podemos acceder a la red, usemos otra computadora para
buscar información referente al virus.
10
Inst. Santa Cecilia
En una ventana del navegador vamos a Google e ingresaremos, entre comillas, el mensaje exacto del
error que nos aparece en el equipo, o de la alerta de virus.
Si necesitamos reproducir la ventana de alerta, podemos correr el antivirus para analizar el sistema, o
abrir algún programa que esté corrompido por el virus.
Si nuestro antivirus nos indica el nombre del virus o del archivo infectado, podremos ingresarlo en
Google para que nos devuelva las páginas que den una descripción del mismo y el método manual de
limpiarlo.
Es recomendable entrar a más de una de estás páginas, si es posible, para confirmar la consistencia
de la información indicada.
A veces podremos descargar, de los sitios web oficiales de las empresas de antivirus, algún pequeño
software que debemos ejecutar para limpiar ese virus específicamente.
Además, generalmente están detallados los pasos que han de seguirse para limpiar Windows
manualmente.
Tales pasos generalmente incluyen editar el registro de Windows (esto debe hacerse con extremo
cuidado de seguir las indicaciones al pie de la letra) y posiblemente también buscar y editar algunos
archivos en el sistema.
Cuando busquemos en Google encontraremos varias páginas web con indicaciones claras para
solucionar nuestro problema concreto, pero siempre es conveniente dar preferencia a la información
que esté en los sitios más oficiales y más conocidos.
11
Inst. Santa Cecilia
VIRUS FAMOSOS
ELK CLONER (1985)
El primer virus para computadoras personales, concretamente para los sistemas Apple II. Creado por
un estudiante que quería que un poema suyo fuera leído por todos, el virus infectaba el sistema
operativo, se copiaba en los discos flexibles y desplegaba uno o dos versos del poema. Si bien no
generó mucho daño, fue uno de los que abrió el camino para lo que vendría después.
PAKISTANI BRAIN (1988)
El primer virus que infectó la PC de IBM. Debió su nombre a que fue escrito por dos hermanos de
Pakistán. Recibió amplia cobertura en los medios.
STONED (1989)
Uno de los virus que más propagación tuvo. Infectaba el sector de arranque/.mbr que contaba el
número de reinicios desde la infección original y mostraba la frase "your computer is now stoned".
MICHEANGELO (1992)
Una variante de STONED, con una carga destructiva. El 6 de marzo de ese año, borró los primeros
100 sectores de un disco rígido, dejándolo inútil. Provocó uno de los primeros pánicos mediáticos
alrededor de los virus de equipos informáticos.
CIH/CHERNOBYL (1998)
El virus Chernobyl fue el virus más destructivo jamás visto, hasta entonces. Atacando los días 26 de
cada mes (dependiendo de la versión involucrada), borraba el disco rígido y eliminaba el flash ROM
BIOS de la computadora. Sólo tardó una semana en infectar a miles de equipos en todo el mundo
MELISSA (1999)
Es el primer virus que se propagó vía correo electrónico. Sin ser destructivo, combinó virus y gusanos
para propagarse e infectar a millones de usuarios. Capaz de replicarse, saturó los buzones de correo
a dondequiera que llegaba. Pasó a la historia como el primer malware social ya que utilizaba el
siguiente reclamo: Aquí está el documento que me pediste no se lo enseñes a nadie.
Code RED (2001)
Este virus de red se propagaba sin necesidad de un correo electrónico o una página web. Localizaba
computadores vulnerables y los infectaba por sí mismo. Infectó casi 400.000 páginas web.
STORM WORM (2007): el virus pasó por miles de versiones, creando eventualmente la botnet 8 más
grande del mundo. En un momento se creyó que más de 15 millones de equipos fueron infectados al
mismo tiempo, y que estaban bajo el control de los criminales.
Flame (Worm.Win32.Flame) (2012)
En 2010, Richard A. Clarke, que fue jefe de los servicios antiterroristas de Estados Unidos con Bill
Clinton y George W. Bush, publicó un ensayo titulado Guerra en la red.
Pues bien, ¿ha comenzado ya esa III Guerra Mundial en el ciberespacio que llevan años profetizando
gurús como Clarke y para la que se preparan potencias como Estados Unidos, Israel, Rusia y China?
Incluso teniendo la voluntad de no ser apocalíptico, el reciente descubrimiento del maligno virus
informático Flame (Worm.Win32.Flame) parece indicar que estamos en las primeras escaramuzas de
tal conflicto.
8
Botnet es un término que hace referencia a un conjunto de robots informáticos o bots, que se ejecutan de manera autónoma y
automática. Lo más frecuente es que una botnet se utilice para enviar spam a direcciones de correo electrónico, para la
descarga de ficheros que ocupan gran espacio y consumen gran ancho de banda, para realizar ataques de tipo DDoS
(Distributed Denial Of Service). Normalmente los creadores de estas Botnets venden sus servicios a los Spammers.
12
Inst. Santa Cecilia
El Flame, según informa Douglas Rushkoff en su artículo “The cyberwar may be headed to your
computer”, en CNN, "tiene todos los indicios de constituir un ciberataque maquinado por un Estado
nación: es poderoso y complejo y apunta directamente a una zona caliente, Irán".
Su objetivo parece ser sabotear el programa nuclear iraní, pero en los pocos días que lleva bautizado
ha provocado un intenso debate entre los especialistas sobre la posibilidad de que se convierta en una
peste incontrolable que termine afectando a servicios civiles nacionales enteros como redes eléctricas,
industrias energéticas, redes bancarias o sistemas de tráfico aéreo.
El miércoles 6 de mayo, el descubridor del Flame, el cazavirus ruso Eugene Kaspersky, declaró
durante una conferencia en Tel Aviv9 a la que también asistió el ministro de Defensa israelí Ehud
Barak, que la comunidad internacional debería comenzar a pensar en cómo prohibir el uso de la
ciberguerra, del mismo modo que en su día fueron prohibidas las armas químicas y biológicas.
Estamos, anunció Kaspersky, ante una peligrosísima caja de Pandora. "Esto", dijo literalmente, "no es
ciberguerra, esto es ciberterrorismo, y me temo que es sólo el principio del juego, me temo que esto
podría ser el fin del mundo tal como lo conocemos. Estoy asustado, créanme".
Flame es muy sofisticado, es toda una conjunción de programas –“el Microsoft Office del malware”, le
llama Rushkoff- que realiza múltiples tareas de espionaje y sabotaje: graba conversaciones, permite
control remoto de la computadora, tiene Bluetooth que se adueña de los teléfonos móviles próximos,
copia y transmite datos a distancia, se va actualizando, es indetectable por los antivirus hoy
existentes... Supone, según los expertos, el arma más maligna jamás inventada hasta ahora en la
ciberguerra.
La guerrilla cibernética contra Irán comenzó durante la presidencia del segundo Bush y en ella
colaboran Estados Unidos e Israel. Su primer producto, el virus Stuxnet, perturbó seriamente las
instalaciones nucleares iraníes a fines de la pasada década.
Al Stuxnet parece haberle seguido el recién descubierto Flame.
Por supuesto, Estados Unidos no reconoce oficialmente ninguna relación con estos virus informáticos
–cincuenta veces más complejos y pesados que los habituales- que minan el programa nuclear iraní.
Tampoco Israel.
El organismo iraní dedicado a la lucha contra el ciberespionaje y la ciberguerra (CERT en sus siglas
en inglés) anunció la pasada semana que había localizado el Flame. Llevaba dos años infectando sus
computadoras sin ser detectado por ningún antivirus.
El descubrimiento fue obra del laboratorio especializado que dirige en Moscú el ruso Eugene
Kaspersky.
La polémica desatada por el descubrimiento de Flame tiene dimensión mundial. Douglas Rushkof ha
formulado la pregunta clave: “¿Cómo puede impedirse que programas malignos como el Flame
pueden ser usados contra poblaciones civiles o incluso por poblaciones civiles? (...)
Las mismas tecnologías que permiten a Estados Unidos e Israel atacar el programa nuclear iraní
puedan permitir, por ejemplo, a sindicatos del crimen de Europa del Este interferir en la actividad
bancaria de cualquiera de nosotros”.
El Flame, según Karspersky, es “un bumerang cibernético que puede volverse contra sus autores”.
Fue, en cambio, rotundo al afirmar que los gobiernos sensatos deberían comenzar a cooperar para
detener este tipo de ataques, al igual que lo han hecho -o al menos lo han intentado- con las armas
nucleares, biológicas y químicas.
9
Segunda ciudad más poblada de Israel con algo más de 400.000 habitantes
13
Inst. Santa Cecilia
Tras el descubrimiento de Flame, Microsoft, a través de su director de seguridad, Mike Reavey, ha
informado que se ve obligado a reforzar la seguridad en todos sus sistemas operativos y programas
de Windows.
14
Related documents
si el Virus Stuxnet Hubiera Reforzado el Programa Nuclear de
si el Virus Stuxnet Hubiera Reforzado el Programa Nuclear de
preservar_una_pc
preservar_una_pc
Clasificacion del software maligno
Clasificacion del software maligno
Avast Free Antivirus: uno de los mejores antivirus gratuitos de la
Avast Free Antivirus: uno de los mejores antivirus gratuitos de la
Consejos de Kaspersky Lab para los equipos que continúan
Consejos de Kaspersky Lab para los equipos que continúan
Éstos son los 20 virus más importantes de la historia
Éstos son los 20 virus más importantes de la historia
Como vacunar diferentes dispositivos de
Como vacunar diferentes dispositivos de
Protección contra virus y otros tipos de software
Protección contra virus y otros tipos de software
Diapositiva 1 - ies arturo soria
Diapositiva 1 - ies arturo soria
Malware - antoniojconejo
Malware - antoniojconejo
Malware
Malware
Cronologia de Virus Informaticos
Cronologia de Virus Informaticos
Tipos de Virus informáticos clase 5
Tipos de Virus informáticos clase 5
Sistema de Alerta Nº 147 - Noviembre 2008
Sistema de Alerta Nº 147 - Noviembre 2008
¿Qué es un Virus Informático
¿Qué es un Virus Informático
Material necesario - Departamento de Informática y Sistemas
Material necesario - Departamento de Informática y Sistemas
Javier Burbano Introducción a la tecnología Taller investigación
Javier Burbano Introducción a la tecnología Taller investigación
conclusiones - corporiente
conclusiones - corporiente
Ejercicio 9
Ejercicio 9
redes de bots botnets redes zombi
redes de bots botnets redes zombi
universidad técnica de cotopaxi
universidad técnica de cotopaxi
Malwarebytes Anti-Malware for Business
Malwarebytes Anti-Malware for Business