Download Tipos de Virus informáticos clase 5

Tipos de Virus informáticos clase 5
Concepto: Malware (del inglés malicioso software), también llamado
badware, software malicioso o software malintencionado es un tipo de
software que tiene como objetivo infiltrarse o dañar una computadora sin el
consentimiento de su propietario.
El término malware es muy utilizado por profesionales de la informática para
referirse a una variedad de software hostil, intrusivo o molesto.
El término virus informático es utilizado en muchas ocasiones de forma
incorrecta para referirse a todos los tipos de malware, incluyendo los
verdaderos virus.
El software es considerado malware en base a las intenciones del autor a la
hora de crearlo. El término malware incluye virus, gusanos, troyanos, la
mayoría de los rootkits, spyware, adware intrusivo, crimeware y otros software
maliciosos e indeseables.
Malware no es lo mismo que software defectuoso, este último contiene bugs
peligrosos pero no de forma intencionada.
COMPUTER DATA SYSTEMS
Tipos de Virus informáticos clase 5
El software diseñado para causar daños o pérdida de datos suele estar
relacionado con actos de vandalismo. Muchos virus son diseñados para destruir
archivos en discos duros o para corromper el sistema de archivos escribiendo
datos inválidos. Algunos gusanos son diseñados para vandalizar páginas web
dejando escrito el alias del autor o del grupo por todos los sitios por donde
pasan. Estos gusanos pueden parecer el equivalente en línea al graffiti.
La mayoría de los virus y gusanos han sido diseñados para tomar control de
computadoras para su explotación en el mercado negro. Estas computadoras
infectadas ("computadoras zombie") son usadas para el envío masivo de spam
por e-mail, para alojar datos ilegales como pornografía infantil o para unirse en
ataques de Dos como forma de extorsión entre otras cosas.
Malware infeccioso: Virus y Gusanos.
Los tipos más conocidos de malware, virus y gusanos, se distinguen por la
manera en que se propagan más que por otro comportamiento particular.
El término virus informático se usa para designar un programa que al
ejecutarse, se propaga infectando otros software ejecutables dentro de la
misma computadora. Los virus también pueden tener un payload que realice
otras acciones a menudo maliciosas, por ejemplo, borrar archivos. Por otra
parte, un gusano es un programa que se transmite a sí mismo, explotando
vulnerabilidades, en una red de computadoras para infectar otros equipos. El
principal objetivo es infectar a la mayor cantidad de usuarios posible, también
puede contener instrucciones dañinas al igual que los virus.
OH POR DIOS!
Nótese que un virus necesita de la
intervención del usuario para propagarse
mientras que un gusano se propaga automáticamente. Teniendo en cuenta esta
distinción, las infecciones transmitidas por e-mail o documentos de Microsoft
COMPUTER DATA SYSTEMS
Tipos de Virus informáticos clase 5
Word, que dependen de su apertura por parte del destinatario para infectar su
sistema, deberían ser clasificadas más como virus que como gusanos.
Malware oculto:Troyanos, Rootkits y Puertas traseras.
Para que un software malicioso pueda completar sus objetivos, es esencial que
permanezca oculto al usuario. Por ejemplo, si un usuario experimentado
detecta un programa malicioso, terminaría el proceso y borraría el malware
antes de que este pudiera completar sus objetivos. El ocultamiento también
puede ayudar a que el malware se instale por primera vez en la computadora.
El término troyano suele ser usado para designar a un malware que permite la
administración remota de una computadora, de forma oculta y sin el
consentimiento de su propietario, por parte de un usuario no autorizado. Este
tipo de malware es un híbrido entre un troyano y una puerta trasera, no un
troyano atendiendo a la definición.
Que son los Troyanos?.
En informática, se denomina troyano o caballo de Troya a un software
malicioso que se presenta al usuario como un programa aparentemente
legítimo e inofensivo pero al ejecutarlo ocasiona daños.
Los troyanos pueden realizar diferentes tareas, pero, en la mayoría de los casos
crean una puerta trasera (en inglés backdoor) que permite la administración
remota a un usuario no autorizado.
Un troyano no es estrictamente un virus informático, y la principal diferencia es
que los troyanos no propagan la infección a otros sistemas por sí mismos.
Propósitos de los troyanos.
Los troyanos están diseñados para permitir a un individuo el acceso remoto a
un sistema. Una vez ejecutado el troyano, el individuo puede acceder al sistema
de forma remota y realizar diferentes acciones sin necesitar permiso.
COMPUTER DATA SYSTEMS
Tipos de Virus informáticos clase 5
Las acciones que el individuo puede realizar en el equipo remoto dependen de
los privilegios que tenga el usuario en el ordenador remoto y de las
características del troyano.
Algunas de las operaciones que se pueden llevar a cabo en el ordenador
remoto son:
Utilizar la máquina como parte de una botnet (por ejemplo para realizar
ataques de denegación de servicio o envío de spam).
Instalación de otros programas (incluyendo otros programas maliciosos).
Robo de información personal: información bancaria, contraseñas,
códigos de seguridad.
Borrado, modificación o transferencia de archivos (descarga o subida).
Ejecutar o terminar procesos.
Apagar o reiniciar el equipo.
Monitorizar las pulsaciones del teclado.
Realizar capturas de pantalla.
Ocupar el espacio libre del disco duro con archivos inútiles.
Borra el disco duro.
Características de los troyanos:
Los troyanos están compuestos principalmente por tres programas:
 un cliente: que envía las órdenes que se deben ejecutar en la
computadora infectada.
 un servidor situado en la computadora infectada, que recibe las órdenes
del cliente, las ejecuta y casi siempre devuelve un resultado al programa
cliente.
 por último, un editor del servidor, el cual sirve para modificarlo,
protegerlo mediante contraseñas, unirlo a otros programas para que, al
abrir el programa también se ejecute el servidor, configurar en que
puerto deseamos instalar el servidor, etc.
Formas de infectarse con troyanos.
La mayoría de infecciones con troyanos ocurren cuando se ejecuta un programa
infectado con un troyano. Estos programas pueden ser de cualquier tipo, desde
instaladores hasta presentaciones de fotos. Al ejecutar el programa, este se
muestra y realiza las tareas de forma normal, pero en un segundo plano y al
mismo tiempo se instala el troyano. El proceso de infección no es visible para el
usuario ya que no se muestran ventanas ni alertas de ningún tipo. Evitar la
infección de un troyano es difícil.
Algunas de las formas más comunes de infectarse son:
 Descarga de programasderedes p2p y sitios web que no son de
confianza.
COMPUTER DATA SYSTEMS
Tipos de Virus informáticos clase 5
 Páginas web que contienen contenido ejecutable (por ejemplo controles
ActiveX o aplicaciones Java).
 Exploits para aplicaciones no actualizadas (navegadores, reproductores
multimedia, clientes de mensajería instantánea).
 Ingeniería social (por ejemplo un cracker manda directamente el troyano
a la víctima a través de la mensajería instantánea).
 Archivos adjuntos en correos electrónicos y archivos enviados por
mensajería instantánea.
Debido a que cualquier programa puede realizar acciones maliciosas en un
ordenador hay que ser cuidadoso a la hora de ejecutarlos.
Estos pueden ser algunos buenos consejos para evitar infecciones:
 Disponer de un programa antivirus actualizado regularmente para
estar protegido contra las últimas amenazas.
 Disponer de un firewall correctamente configurado, algunos
antivirus lo traen integrado.
 Tener instalados los últimos parches y actualizaciones de
seguridad del sistema operativo.
 Descargar los programas siempre de las páginas web oficiales o
de páginas web de confianza.
 No abrir los datos adjuntos de un correo electrónico si no conoces
al remitente.
 Evitar la descarga de software de redes p2p, el contenido
multimedia no es peligroso.
 Eliminación de troyanos.
Una de las principales características de los troyanos es que no son visibles
para el usuario. Un troyano puede estar ejecutándose en un ordenador durante
meses sin que el usuario perciba nada. Esto hace muy difícil su detección y
eliminación de forma manual. Algunos patrones para identificarlos son: un
programa desconocido se ejecuta al iniciar el ordenador, se crean o borran
archivos de forma automática, el ordenador funciona más lento de lo normal,
errores en el sistema operativo.
Por otro lado los programas antivirus están diseñados para eliminar todo tipo de
software malicioso, además de eliminarlos también previenen de nuevas
infecciones actuando antes de que el sistema resulte infectado. Es muy
recomendable tener siempre un antivirus instalado en el equipo y a ser posible
también un firewall.
Rootkits.
Las técnicas conocidas como rootkits modifican el sistema operativo de una
computadora para permitir que el malware permanezca oculto al usuario. Por
ejemplo, los rootkits evitan que un proceso malicioso sea visible en la lista de
procesos del sistema o que sus ficheros sean visibles en el explorador de
archivos. Este tipo de modificaciones consiguen ocultar cualquier indicio de que
el ordenador esta infectado por un malware. Originalmente, un rootkit era un
COMPUTER DATA SYSTEMS
Tipos de Virus informáticos clase 5
conjunto de herramientas instaladas por un atacante en un sistema Unix donde
el atacante había obtenido acceso de administrador (acceso root). Actualmente,
el término es usado más generalmente para referirse a la ocultación de rutinas
en un programa malicioso.
Algunos programas maliciosos también contienen rutinas para evitar ser
borrados, no sólo para ocultarse. Un ejemplo de este comportamiento puede
ser:
"Existen dos procesos-fantasmas corriendo al mismo tiempo. Cada procesofantasma debe detectar que el otro ha sido terminado y debe iniciar una nueva
instancia de este en cuestión de milisegundos. La única manera de eliminar
ambos procesos-fantasma es eliminarlos simultáneamente, cosa muy difícil de
realizar, o provocar un error el sistema deliberadamente”.
Un rootkit : es una herramienta que tiene como finalidad esconderse a sí
misma y esconder otros programas, procesos, archivos, directorios, claves de
registro, y puertos que permiten al intruso mantener el acceso a un sistema
para remotamente comandar acciones o extraer información sensible.
Origen de los rootkits.
El origen puede ser muy variado. La mayoría aparecen desde los emuladores y
descargadores de archivos mediante varios virus lo cual se le podría decir que
aparte de encubrir es un duplicador de ellos.
Uso de los rootkits.
Un rootkit se usa habitualmente para esconder algunas aplicaciones que
podrían actuar en el sistema atacado. Suelen incluir backdoors (puertas
traseras) para ayudar al intruso a acceder fácilmente al sistema una vez que se
ha conseguido entrar por primera vez.
Por ejemplo, el rootkit puede esconder una aplicación que lance una consola
cada vez que el atacante se conecte al sistema a través de un determinado
puerto. Los rootkits del kernel o núcleo pueden contener funcionalidades
similares.
Tipos de rootkits.
Tipos básicos.
Los rootkits se pueden clasificar en dos grupos:


Los que van integrados en el núcleo.
Los que funcionan a nivel de aplicación.
Detección de rootkits.
Los rootkits son aplicaciones que modifican muchas de las herramientas y
librerías de las cuales depende el sistema. Algunos rootkits modifican el propio
kernel (a través de módulos y otros métodos como se indica más arriba). El
principal problema de la detección de rootkits consiste en que el sistema
operativo en ejecución no es fiable globalmente. En otras palabras, algunas
COMPUTER DATA SYSTEMS
Tipos de Virus informáticos clase 5
acciones como pedir la lista de los procesos en ejecución o listar los ficheros de
un directorio no son fiables al no comportarse como deberían.
Puertas traseras.
Concepto: En la informática, una puerta trasera (o en inglés backdoor), en un
sistema informático es una secuencia especial dentro del código de
programación mediante la cual se puede evitar los sistemas de seguridad del
algoritmo (autentificación) para acceder al sistema. Aunque estas puertas
pueden ser utilizadas para fines maliciosos y espionaje no siempre son un error,
pueden haber sido diseñadas con la intención de tener una entrada secreta.
Una vez que el sistema ha sido comprometido, una puerta trasera puede ser
instalada para permitir un acceso remoto más fácil en el futuro. Las puertas
traseras también pueden ser instaladas previamente al software malicioso para
permitir la entrada de los atacantes.
Los crackers suelen usar puertas traseras para asegurar el acceso remoto a
una computadora, intentado permanecer ocultos ante una posible inspección.
Para instalar puertas traseras los crackers pueden usar troyanos, gusanos u
otros métodos.
La idea de que los fabricantes de ordenadores preinstalan puertas traseras en
sus sistemas para facilitar soporte técnico a los clientes ha sido sugerida a
menudo pero no ha llegado a ser comprobada nunca de forma fiable.
Malware para obtener beneficios.
Durante los años 80 y 90, se solía dar por hecho que los programas maliciosos
eran creados como una forma de vandalismo o travesura. Sin embargo, en los
últimos años la mayor parte del malware ha sido creado con un fin económico o
para obtener beneficios en algún sentido. Esto es debido a la decisión de los
autores de malware de sacar partido económico a los sistemas infectados, es
decir, transformar el control sobre los sistemas en una fuente de ingresos.

Mostrar publicidad: Spyware, Adware y Hijacking.
Spyware.
Los programas spyware son creados para recopilar información sobre las
actividades realizadas por un usuario y distribuirla a agencias de publicidad u
otras organizaciones interesadas. Algunos de los datos que recogen son las
páginas web que visita el usuario y direcciones de e-mail, a las que después se
envía spam. La mayoría de los programas spyware son instalados como
troyanos junto a software deseable bajado de Internet. Otros programas
spyware recogen la información mediante cookies de terceros o barras de
herramientas instaladas en navegadores web. Los autores de spyware que
intentan actuar de manera legal se presentan abiertamente como empresas de
COMPUTER DATA SYSTEMS
Tipos de Virus informáticos clase 5
publicidad e incluyen unos términos de uso, en los que se explica de manera
imprecisa el comportamiento del spyware, que los usuarios aceptan sin leer o
sin entender.
Los programas espía pueden ser instalados en un ordenador mediante un virus,
un troyano que se distribuye por correo electrónico, como el programa Magic
Lantern desarrollado por el FBI, o bien puede estar oculto en la instalación de
un programa aparentemente inocuo. Algunos programas descargados de sitios
no confiables pueden tener instaladores con spyware y otro tipo de malware.
Función común:
 Su función es la de recopilar información sobre el usuario y distribuirlo a
empresas publicitarias u otras organizaciones interesadas, pero también
se han empleado en organismos oficiales para recopilar información
contra sospechosos de delitos, como en el caso de la piratería de
software.
 Además pueden servir para enviar a los usuarios a sitios de internet que
tienen la imagen corporativa de otros, con el objetivo de obtener
información importante. Dado que el spyware usa normalmente la
conexión de una computadora a Internet para transmitir información,
consume ancho de banda, con lo cual, puede verse afectada la velocidad
de transferencia de datos entre dicha computadora y otra(s)
conectada(s) a la red.
Los cookies son archivos en los que almacena información sobre un usuario de
internet en su propio ordenador, y se suelen emplear para asignar a los
visitantes de un sitio de Internet un número de identificación individual para su
reconocimiento subsiguiente.
Principales síntomas de infección.
Cambio de la página de inicio, error en búsqueda del navegador web.
Aparición de ventanas "pop-ups", incluso sin estar conectados y sin tener
el navegador abierto, la mayoría huye un nuevo producto).
Barras de búsquedas de sitios como la de Alexa, Hotbar, MyWebSearch,
FunWeb, etc. que no se pueden eliminar.
Creación de carpetas tanto en el directorio raíz, como en "Archivos de
programas", "Documents and Settings" y "WINDOWS".
Modificación de valores de registro.
La navegación por la red se hace cada día más lenta, y con más
problemas.
Aumento notable en el tiempo que se ejecuta en ese momento,
alterando el registro con el fin de que el spyware se active a cada inicio.
Al hacer clic en un vínculo el usuario retorna de nuevo a la misma página
que el software espía hace aparecer.
COMPUTER DATA SYSTEMS
Tipos de Virus informáticos clase 5
Botones que aparecen en la barra de herramientas del navegador y no
se pueden infección no propia del sistema, así como un enlace web para
descargar un supuesto antispyware.
Al acceder a determinados sitios sobre el escritorio se oculta o bloquea
tanto el panel de control como los iconos de programas.
Denegación de servicios de correo y mensajería instantánea.
Adware.
Un programa de clase adware es cualquier programa que automáticamente se
ejecuta, muestra o baja publicidad web al computador después de instalar el
programa o mientras se está utilizando la aplicación.
Los programas adware muestran publicidad al usuario de forma intrusiva en
forma de ventanas emergentes (pop-up) o de cualquier otra forma. Esta
publicidad aparece inesperadamente en el equipo y resulta muy molesta.
Algunos programas shareware permiten usar el programa de forma gratuita a
cambio de mostrar publicidad, en este caso el usuario consiente la publicidad al
instalar el programa. Este tipo de adware no debería ser considerado malware,
pero muchas veces los términos de uso no son completamente transparentes y
ocultan lo que el programa realmente hace.
Algunos programas adware son también shareware, y en estos los usuarios
tiene la opción de pagar por una versión registrada o con licencia, que
normalmente elimina los anuncios.
Efectos del adware.
Los anuncios emergentes aparecen durante la navegación web en el navegador
como una ventana emergente o también durante el uso de programa del
ordenador. Esta publicidad es molesta en algunos casos, pero lo que más
molesta es que deteriora el rendimiento del sistema. El adware también puede
recopilar información del usuario, lo que provoca preocupación por la
privacidad.
Formas de Protección contra el adware.
Para poder proteger el ordenador contra los adware, en la mayoría de los casos
hay que seguir los siguientes pasos cada cierto tiempo:
 Ejecute las actualizaciones de antispyware y antimalware, así como
analizar regularmente su sistema.
 Activar las opciones de inmunización en el software antispyware y
antimalware.
 Asegurarse que el software del sistema operativo, navegador y correo
electrónico tiene las actualizaciones más recientes para cubrir los
agujeros de seguridad.
COMPUTER DATA SYSTEMS
Tipos de Virus informáticos clase 5
 Tener activado el cortafuego (firewall) cuando se usa Internet.
 Utilizar la protección preventiva contra los sitios web peligrosos.
Hijacking.
Los hijackers son programas que realizan cambios en la configuración del
navegador web. Por ejemplo, algunos cambian la página de inicio del
navegador por páginas web de publicidad o pornográficas, otros redireccionan
los resultados de los buscadores hacia anuncios de pago o páginas de phishing
bancario. El pharming es una técnica que suplanta al DNS, modificando el
archivo hosts, para redirigir el dominio de una o varias páginas web a otra
página web, muchas veces una web falsa que imita a la verdadera. Esta es una
de las técnicas usadas por los hijackers o secuestradores del navegador de
Internet.
Hijacking: significa "secuestro" en inglés y en el ámbito informático hace
referencia a toda técnica ilegal que lleve consigo el adueñarse o robar algo
(generalmente información) por parte de un atacante. Es por tanto un concepto
muy abierto y que puede aplicarse a varios ámbitos, de esta manera podemos
encontramos con el secuestro de conexiones de red, sesiones de terminal,
servicios, módems y un largo etcétera en cuanto a servicios informáticos se
refiere.
Algunos ejemplos de Hijacking.
 IP hijakers: secuestro de una conexión TCP/IP por ejemplo durante
una sesión Telnet permitiendo a un atacante inyectar comandos o
realizar un Dos durante dicha sesión.
 Page hijacking: secuestro de página web. Hace referencia a las
modificaciones que un atacante realiza sobre una página web,
normalmente haciendo uso de algún bug de seguridad del servidor o de
programación del sitio web, también es conocido como defacement o
desfiguración.
 Reverse domain hijacking o Domain hijacking: secuestro de
dominio
 Session hijacking: secuestro de sesión
 Browser hijacking: (Secuestro de navegadores en español). Se llama
así al efecto de apropiación que realizan algunos spyware sobre el
navegador web lanzando popups, modificando la página de inicio,
modificando la página de búsqueda predeterminada etc. Es utilizado por
un tipo de software malware el cual altera la configuración interna de los
navegadores de internet de un ordenador. El termino "secuestro" hace
referencia a que éstas modificaciones se hacen sin el permiso y el
conocimiento del usuario. Algunos de éstos son fáciles de eliminar del
COMPUTER DATA SYSTEMS
Tipos de Virus informáticos clase 5



sistema, mientras que otros son extremadamente complicados de
eliminar y revertir sus cambios.
Home Page Browser hijacking: secuestro de la página de inicio del
navegador. Esto sucede cuando la página de inicio, en la que navegamos
es cambiada por otra a interés del secuestrador. Generalmente son
páginas en las que nos invita a usar los servicios de la página para que
nuestro equipo esté seguro y funcione correctamente. No cabe decir que
es a cambio de un pago y que el origen del error y mal funcionamiento
del equipo es debido a nuestro secuestrador
Modem hijacking: secuestro del Modem. Esta expresión es en
ocasiones utilizada para referirse a la estafa de los famosos dialers que
tanta guerra dieron en su día (antes del auge del ADSL) y que
configuran sin el consentimiento del usuario nuevas conexiones a
números de cobro extraordinario.
Thread hijacking: secuestro de un "tema" dentro de un foro de
discusión de internet. Este término hace referencia a la situación que
ocurre cuando dentro de un tema de discusión en un foro alguien intenta
dirigir el hilo de la conversación hacia asuntos que no tienen nada que
ver con el tema inicial. Esto puede realizarse de manera intencionada
para irritar al autor del tema o bien producirse de manera natural y no
intencionada generalmente por usuarios sin mucho conocimiento en el
asunto a tratar o que desconocen la dinámica de comportamiento de los
foros.
Robar información personal: Keyloggers y Stealers.
Los keyloggers y los stealers son programas maliciosos creados para robar
información sensible. La principal diferencia entre ellos es la forma en la que
recogen la información.
Keyloggers: Un keylogger (derivado del bronx: key (tecla) y logger
(registrador); registrador de teclas) es un tipo de software que se encarga de
registrar las pulsaciones que se realizan en el teclado, para memorizarlas en un
fichero y/o enviarlas a través de internet.
El registro de lo que se teclea puede hacerse tanto con medios de hardware
como de software.
Funcionamiento:
Keylogger con hardware.
Un keylogger tipo hardware: Son dispositivos disponibles en el mercado que
vienen en tres tipos:
COMPUTER DATA SYSTEMS
Tipos de Virus informáticos clase 5
1. Adaptadores en línea que se intercalan en la conexión del teclado, tienen la
ventaja de poder ser instalados inmediatamente. Sin embargo, mientras que
pueden ser eventualmente inadvertidos se detectan fácilmente con una revisión
visual detallada.
2. Dispositivos que se pueden instalar dentro de los teclados estándares,
requiere de habilidad para soldar y de tener acceso al teclado que se
modificará. No son detectables a menos que se abra el cuerpo del teclado.
3. Teclados reales del reemplazo que contienen el Keylogger ya integrado.
Son virtualmente imperceptibles, a menos que se les busque específicamente.
Keylogger con software.
Contrariamente a las creencias populares, un keylogger por software es simple
de escribir, con un conocimiento básico de los API proporcionados por el
sistema operativo del objetivo. Los keyloggers de software se dividen en:
1. Basado en núcleo: Este método es el más difícil de escribir, y también de
combatir. Tales keyloggers residen en el nivel del núcleo y son así
prácticamente invisibles. Derriban el núcleo del sistema operativo y tienen casi
siempre el acceso autorizado al hardware que los hace de gran alcance. Un
keylogger que usa este método puede actuar como driver del teclado por
ejemplo, y accede así a cualquier información registrada en el teclado mientras
que va al sistema operativo.
2. Enganchados: Estos keyloggers registran las pulsaciones de las teclas del
teclado con las funciones proporcionadas por el sistema operativo. El sistema
operativo activa el keylogger en cualquier momento en que se presione una
tecla, y realiza el registro.
3. Métodos creativos: Aquí el programador utiliza funciones como
GetAsyncKeyState, GetForegroundWindow, etc. Éstos son los más fáciles de
escribir, pero como requieren la revisión el estado de cada tecla varias veces
por segundo, pueden causar un aumento sensible en uso de la CPU y pueden
ocasionalmente dejar escapar algunas pulsaciones del teclado.
Protección.
En algunas computadoras podemos darnos cuenta si están infectadas por un
keylogger (dependiendo de la velocidad y uso de CPU de nuestro procesador)
por el hecho de que el programa registrara cada una de nuestras teclas de la
siguiente manera: FicheroLog = FicheroLog + UltimaTecla, este evento será
ejecutado por el keylogger cada vez que el usuario presione una tecla. Si bien
este evento no será una carga relevante para nuestro procesador si se ejecuta
a una velocidad normal, pero si mantienes unas 10 teclas presionadas por unos
COMPUTER DATA SYSTEMS
Tipos de Virus informáticos clase 5
30 segundos con la palma de tu mano y tu sistema se congela o su
funcionamiento es demasiado lento podríamos sospechar que un keylogger se
ejecuta sobre nuestro computador.
Otro signo de que un keylogger se está ejecutando en nuestro computador es
el problema de la tilde doble (´´) al presionar la tecla para acentuar vocales,
salen dos tildes seguidas y la vocal sin acentuar. Esto ocurre en keyloggers
configurados para otros idiomas. El problema desaparece al eliminarlo.
Anti-spyware.
Los programas Anti-spyware pueden detectar diversos keyloggers y limpiarlos.
Vendedores responsables de supervisar la detección del software apoyan la
detección de keyloggers, así previniendo el abuso del software.
Firewall.
Habilitar un cortafuego o firewall puede salvar el sistema del usuario no solo del
ataque de keyloggers, sino que también puede prevenir la descarga de archivos
sospechosos, troyanos, virus, y otros tipos de malware.
Monitores de red.
Los monitores de red (llamados también cortafuegos inversos) se pueden
utilizar para alertar al usuario cuando el keylogger use una conexión de red.
Esto da al usuario la posibilidad de evitar que el keylogger envíe la información
obtenida a terceros.
Stealers.
Stealer (en español "ladrón de información") es el nombre genérico de
programas informáticos maliciosos del tipo troyano, que se introducen a través
de internet en un ordenador con el propósito de obtener de forma fraudulenta
información confidencial del propietario, tal como su nombre de acceso a sitios
web, contraseña o número de tarjeta de crédito.
Otro problema causado por stealer puede ser la desconexión involuntaria de un
sitio web.
Estos programas pueden detectarse y eliminarse mediante software antivirus,
aunque la mejor forma de evitarlos consiste en no abrir documentos anexos a
correos electrónicos enviados por remitentes desconocidos o dudosos.
Los stealers también roban información privada pero solo la que se encuentra
guardada en el equipo. Al ejecutarse comprueban los programas instalados en
el equipo y si tienen contraseñas recordadas, por ejemplo en los navegadores
web o en clientes de mensajería instantánea, descifran esa información y la
envían al creador.
COMPUTER DATA SYSTEMS
Tipos de Virus informáticos clase 5
Realizar llamadas telefónicas: Dialers.
Dialers.
Los dialers son programas maliciosos que toman el control del módem dial-up,
realizan una llamada a un número de teléfono de tarificación especial, muchas
veces internacional, y dejan la línea abierta cargando el coste de dicha llamada
al usuario infectado. La forma más habitual de infección suele ser en páginas
web que ofrecen contenidos gratuitos pero que solo permiten el acceso
mediante conexión telefónica. Suelen utilizar como señuelos videojuegos, salva
pantallas, pornografía u otro tipo de material.
Actualmente la mayoría de las conexiones a Internet son mediante ADSL y no
mediante módem, lo cual hace que los dialers ya no sean tan populares como
en el pasado.
Ataques distribuidos: Botnets.
Las botnets: son redes de computadoras infectadas, también llamadas
"zombies", que pueden ser controladas a la vez por un individuo y realizan
distintas tareas. Este tipo de redes son usadas para el envío masivo de spam o
para lanzar ataques DDos contra organizaciones como forma de extorsión o
para impedir su correcto funcionamiento. La ventaja que ofrece a los spammers
el uso de ordenadores infectados es el anonimato, que les protege de la
persecución policial.
Botnet es un término que hace referencia a un conjunto de robots informáticos
o bots, que se ejecutan de manera autónoma y automática. El artífice de la
botnet (llamado pastor) puede controlar todos los ordenadores/servidores
infectados de forma remota y normalmente lo hace a través del IRC: Las
nuevas versiones de estas botnets se están enfocando hacia entornos de
control mediante HTTP, con lo que el control de estas máquinas será mucho
más simple. Sus fines normalmente son poco éticos.
Uso habitual de las botnets Lo más frecuente es que una botnet se utilice para
enviar spam a direcciones de correo electrónico, para la descarga de ficheros
(normalmente de contenido ilegal) que ocupan gran espacio y consumen gran
ancho de banda, para realizar ataques de tipo DDoS (Distributed Denial Of
Service)...
Usando una Botnet para enviar Spam.
1. El operador de la botnet manda virus/gusanos/etc. a los usuarios.
2. Los PC entran en el IRC o se usa otro medio de comunicación.
COMPUTER DATA SYSTEMS
Tipos de Virus informáticos clase 5
3. El Spammer le compra acceso al operador de la Botnet.
4. El Spammer manda instrucciones vía un servidor de IRC u otro canal a los
PC infectados...
5. causando que éstos envíen Spam al los servidores de correo.
Otros tipos: Rogue software y Ransomware.
Los rogues software hacen creer al usuario que la computadora está infectada
por algún tipo de virus u otro tipo de software malicioso, esto induce al usuario
a pagar por un software inútil o a instalar un software malicioso que
supuestamente elimina las infecciones, pero el usuario no necesita ese software
puesto que no está infectado.
Los ransomware, también llamados criptovirus o secuestradores, son
programas que cifran los archivos importantes para el usuario, haciéndolos
inaccesibles, y piden que se pague un "rescate" para poder recibir la contraseña
que permite recuperar los archivos.
Rogue software.
El Rogue software: (en español, software bandido o también falso antivirus) es
un tipo de programa informático malintencionado cuya principal finalidad es
hacer creer que una computadora está infectada por algún tipo de virus,
induciendo a pagar una determinada suma de dinero para eliminarlo.
Transmisión.
Este tipo de software suele descargarse e instalarse de forma oculta y en contra
de la voluntad del usuario directamente desde Internet.
Sin embargo, en ocasiones se presenta bajo la forma de la versión de prueba
de un producto antimalware que el usuario descarga de forma voluntaria.
Efectos.
El objetivo principal de este tipo de software es vender un producto antimalware.
Para conseguir su cometido, suelen reproducir falsas advertencias de Windows
que informan al usuario que su PC está infectada por un malware, agregando
un hipervínculo que lleva a la página de descarga de un programa de seguridad
de pago.
Ocasionalmente, esta página web puede instalar más software malintencionado
en el ordenador en contra de la voluntad del usuario.
En el caso de aquellos que se manifiestan bajo la forma de una versión de
prueba, actúan generando falsos positivos a propósito detectando malware
COMPUTER DATA SYSTEMS
Tipos de Virus informáticos clase 5
inexistente (aunque si lo pensamos bien, es algo acertado el que tienes un virus
informático atacando tu ordenador, pues es él mismo el que lo informa). Al ser
una versión de prueba, informa al usuario que para eliminarlos requerirá
comprar la versión completa de la aplicación.
Detección y eliminación.
A menos que el software Rogue sea demasiado nuevo, los antivirus y
antispyware de mayor renombre actualizados pueden evitar la instalación y la
activación de los mismos.
En caso de que aún no haya sido detectado por ninguna empresa fabricante de
productos antimalware, será necesario hallar los archivos infectados y
desinfectarlos de forma manual, lo que posee una complejidad extrema.
Ransomware.
Ransomware: es un malware generalmente distribuido mediante spam y que
mediante distintas técnicas imposibilita al dueño de un documento acceder al
mismo. El modo más comúnmente utilizado es cifrar con clave dicho documento
y dejar instrucciones al usuario para obtenerla, posterior al pago de "rescate".
Vulnerabilidades usadas por el malware.
Existen varios factores que hacen a un sistema más vulnerable al malware:
homogeneidad, errores de software, código sin confirmar, sobre-privilegios de
usuario y sobre-privilegios de código.
Una causa de la vulnerabilidad de redes, es la homogeneidad del software
multiusuario. Por ejemplo, cuando todas las computadoras de una red
funcionan con el mismo sistema operativo, si se puede comprometer ese
sistema, se podría afectar a cualquier computadora que lo use. En particular,
Microsoft Windows tiene la mayoría del mercado de los sistemas operativos,
esto permite a los creadores de malware infectar una gran cantidad de
computadoras sin tener que adaptar el software malicioso a diferentes sistemas
operativos.
La mayoría del software y de los sistemas operativos contienen bugs que
pueden ser aprovechados por el malware. Los ejemplos típicos son los
desbordamiento de búfer (buffer overflow), en los cuales la estructura diseñada
para almacenar datos en un área determinada de la memoria permite que sea
ocupada por más datos de los que le caben, sobre escribiendo otras partes de
la memoria. Esto puede ser utilizado por el malware para forzar al sistema a
ejecutar su código malicioso.
COMPUTER DATA SYSTEMS
Tipos de Virus informáticos clase 5
Programas anti-malware.
Los programas anti-malware pueden combatir el malware de dos formas:
1. Proporcionando protección en tiempo real (real-time protección)
contra la instalación de malware en una computadora. El software antimalware escanea todos los datos procedentes de la red en busca de malware y
bloquea todo lo que suponga una amenaza.
2. Detectando y eliminando malware que ya ha sido instalado en una
computadora: Este tipo de protección frente al malware es normalmente
mucho más fácil de usar y más popular. Este tipo de programas anti-malware
escanean el contenido del registro de Windows, los archivos del sistema
operativo, la memoria y los programas instalados en la computadora. Al
terminar el escaneo muestran al usuario una lista con todas las amenazas
encontradas y permiten escoger cuales eliminar.
La protección en tiempo real funciona idénticamente a la protección de los
antivirus: el software escanea los archivos al ser descargados de Internet y
bloquea la actividad de los componentes identificados como malware. En
algunos casos, también pueden interceptar intentos de ejecutarse
automáticamente al arrancar el sistema o modificaciones en el navegador web.
Debido a que muchas veces el malware es instalado como resultado de exploits
para un navegador web o errores del usuario, usar un software de seguridad
para proteger el navegador web puede ser una ayuda efectiva para restringir
los daños que el malware puede causar.
Virus Phishing.
Del inglés "fishing" (pescando), se utiliza para identificar la acción fraudulenta
de conseguir información confidencial, vía correo electrónico o página web, con
el propósito de que los usuarios de cuentas bancarias lo contesten, o entren a
páginas aparentemente iguales a la del banco o de los portales con ingreso por
contraseña. El phishing se basa en el envío por parte de un estafador de un
mensaje electrónico o enlace de una empresa supuestamente respetable. Éstas
a menudo conducen a una página Web falsificada que han creado, y te
engañan para que introduzcas tu contraseña y tu información personal.
Todos sabemos lo que es el phishing, básicamente es la manera de inducir a un
usuario a revelar información confidencial para luego aprovecharse de ella,
habitualmente de forma financiera.
El phishing consiste en el envío de correos electrónicos que, aparentando
provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener
COMPUTER DATA SYSTEMS
Tipos de Virus informáticos clase 5
datos confidenciales del usuario. Para ello, suelen incluir un enlace que, al ser
pulsado, lleva a páginas web falsificadas. De esta manera, el usuario, creyendo
estar en un sitio de toda confianza, introduce la información solicitada que, en
realidad, va a parar a manos del estafador.
Existe un amplio abanico de software y aplicaciones de toda índole que quedan
clasificados dentro de la categoría de robo de información personal o financiera,
algunas de ellas realmente complejas, como el uso de una ventana Javascript
flotante sobre la barra de direcciones del navegador con el fin de confundir al
usuario.
Algunas de las características más comunes que presentan este tipo de
mensajes de correo electrónico son:




Uso de nombres de compañías ya existentes. En lugar de crear
desde cero el sitio web de una compañía ficticia, los emisores de correos
con intenciones fraudulentas adoptan la imagen corporativa y
funcionalidad del sitio de web de una empresa existente, con el fin de
confundir aún más al receptor del mensaje.
Utilizar el nombre de un empleado real de una empresa como
remitente del correo falso. De esta manera, si el receptor intenta
confirmar la veracidad del correo llamando a la compañía, desde ésta le
podrán confirmar que la persona que dice hablar en nombre de la
empresa trabaja en la misma.
Direcciones web con la apariencia correcta. Como hemos visto, el
correo fraudulento suele conducir al lector hacia sitios web que replican
el aspecto de la empresa que está siendo utilizada para robar la
información. En realidad, tanto los contenidos como la dirección web
(URL) son falsos y se limitan a imitar los contenidos reales. Incluso la
información legal y otros enlaces no vitales pueden redirigir al confiado
usuario a la página web real.
Factor miedo. La ventana de oportunidad de los defraudadores es muy
breve, ya que una vez se informa a la compañía de que sus clientes
están siendo objeto de este tipo de prácticas, el servidor que aloja al
sitio web fraudulento y sirve para la recogida de información se cierra en
el intervalo de unos pocos días. Por lo tanto, es fundamental para el
defraudador el conseguir una respuesta inmediata por parte del usuario.
En muchos casos, el mejor incentivo es amenazar con una pérdida, ya
sea económica o de la propia cuenta existente, si no se siguen las
instrucciones indicadas en el correo recibido, y que usualmente están
relacionadas con nuevas medidas de seguridad recomendadas por la
entidad.
COMPUTER DATA SYSTEMS
Tipos de Virus informáticos clase 5
Para lograr su objetivo, este tipo de malware, además de la ocultación de la
URL fraudulenta en un correo electrónico aparentemente real.
¿Cómo funciona el Phishing? ¿Cómo se distribuye?
El mecanismo más habitualmente empleado es la generación de un correo
electrónico falso que simule proceder de una determinada compañía, a cuyos
clientes se pretende engañar. Dicho mensaje contendrá enlaces que apuntan a
una o varias páginas web que replican en todo o en parte el aspecto y la
funcionalidad de la empresa, de la que se espera que el receptor mantenga una
relación comercial. Si el receptor del mensaje de correo efectivamente tiene esa
relación con la empresa y confía en que el mensaje procede realmente de esta
fuente, puede acabar introduciendo información sensible en un formulario falso
ubicado en uno de esos sitios web.
COMPUTER DATA SYSTEMS