Download Tipos de Virus informáticos clase 5
Document related concepts
no text concepts found
Transcript
Tipos de Virus informáticos clase 5 Concepto: Malware (del inglés malicioso software), también llamado badware, software malicioso o software malintencionado es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora sin el consentimiento de su propietario. El término malware es muy utilizado por profesionales de la informática para referirse a una variedad de software hostil, intrusivo o molesto. El término virus informático es utilizado en muchas ocasiones de forma incorrecta para referirse a todos los tipos de malware, incluyendo los verdaderos virus. El software es considerado malware en base a las intenciones del autor a la hora de crearlo. El término malware incluye virus, gusanos, troyanos, la mayoría de los rootkits, spyware, adware intrusivo, crimeware y otros software maliciosos e indeseables. Malware no es lo mismo que software defectuoso, este último contiene bugs peligrosos pero no de forma intencionada. COMPUTER DATA SYSTEMS Tipos de Virus informáticos clase 5 El software diseñado para causar daños o pérdida de datos suele estar relacionado con actos de vandalismo. Muchos virus son diseñados para destruir archivos en discos duros o para corromper el sistema de archivos escribiendo datos inválidos. Algunos gusanos son diseñados para vandalizar páginas web dejando escrito el alias del autor o del grupo por todos los sitios por donde pasan. Estos gusanos pueden parecer el equivalente en línea al graffiti. La mayoría de los virus y gusanos han sido diseñados para tomar control de computadoras para su explotación en el mercado negro. Estas computadoras infectadas ("computadoras zombie") son usadas para el envío masivo de spam por e-mail, para alojar datos ilegales como pornografía infantil o para unirse en ataques de Dos como forma de extorsión entre otras cosas. Malware infeccioso: Virus y Gusanos. Los tipos más conocidos de malware, virus y gusanos, se distinguen por la manera en que se propagan más que por otro comportamiento particular. El término virus informático se usa para designar un programa que al ejecutarse, se propaga infectando otros software ejecutables dentro de la misma computadora. Los virus también pueden tener un payload que realice otras acciones a menudo maliciosas, por ejemplo, borrar archivos. Por otra parte, un gusano es un programa que se transmite a sí mismo, explotando vulnerabilidades, en una red de computadoras para infectar otros equipos. El principal objetivo es infectar a la mayor cantidad de usuarios posible, también puede contener instrucciones dañinas al igual que los virus. OH POR DIOS! Nótese que un virus necesita de la intervención del usuario para propagarse mientras que un gusano se propaga automáticamente. Teniendo en cuenta esta distinción, las infecciones transmitidas por e-mail o documentos de Microsoft COMPUTER DATA SYSTEMS Tipos de Virus informáticos clase 5 Word, que dependen de su apertura por parte del destinatario para infectar su sistema, deberían ser clasificadas más como virus que como gusanos. Malware oculto:Troyanos, Rootkits y Puertas traseras. Para que un software malicioso pueda completar sus objetivos, es esencial que permanezca oculto al usuario. Por ejemplo, si un usuario experimentado detecta un programa malicioso, terminaría el proceso y borraría el malware antes de que este pudiera completar sus objetivos. El ocultamiento también puede ayudar a que el malware se instale por primera vez en la computadora. El término troyano suele ser usado para designar a un malware que permite la administración remota de una computadora, de forma oculta y sin el consentimiento de su propietario, por parte de un usuario no autorizado. Este tipo de malware es un híbrido entre un troyano y una puerta trasera, no un troyano atendiendo a la definición. Que son los Troyanos?. En informática, se denomina troyano o caballo de Troya a un software malicioso que se presenta al usuario como un programa aparentemente legítimo e inofensivo pero al ejecutarlo ocasiona daños. Los troyanos pueden realizar diferentes tareas, pero, en la mayoría de los casos crean una puerta trasera (en inglés backdoor) que permite la administración remota a un usuario no autorizado. Un troyano no es estrictamente un virus informático, y la principal diferencia es que los troyanos no propagan la infección a otros sistemas por sí mismos. Propósitos de los troyanos. Los troyanos están diseñados para permitir a un individuo el acceso remoto a un sistema. Una vez ejecutado el troyano, el individuo puede acceder al sistema de forma remota y realizar diferentes acciones sin necesitar permiso. COMPUTER DATA SYSTEMS Tipos de Virus informáticos clase 5 Las acciones que el individuo puede realizar en el equipo remoto dependen de los privilegios que tenga el usuario en el ordenador remoto y de las características del troyano. Algunas de las operaciones que se pueden llevar a cabo en el ordenador remoto son: Utilizar la máquina como parte de una botnet (por ejemplo para realizar ataques de denegación de servicio o envío de spam). Instalación de otros programas (incluyendo otros programas maliciosos). Robo de información personal: información bancaria, contraseñas, códigos de seguridad. Borrado, modificación o transferencia de archivos (descarga o subida). Ejecutar o terminar procesos. Apagar o reiniciar el equipo. Monitorizar las pulsaciones del teclado. Realizar capturas de pantalla. Ocupar el espacio libre del disco duro con archivos inútiles. Borra el disco duro. Características de los troyanos: Los troyanos están compuestos principalmente por tres programas: un cliente: que envía las órdenes que se deben ejecutar en la computadora infectada. un servidor situado en la computadora infectada, que recibe las órdenes del cliente, las ejecuta y casi siempre devuelve un resultado al programa cliente. por último, un editor del servidor, el cual sirve para modificarlo, protegerlo mediante contraseñas, unirlo a otros programas para que, al abrir el programa también se ejecute el servidor, configurar en que puerto deseamos instalar el servidor, etc. Formas de infectarse con troyanos. La mayoría de infecciones con troyanos ocurren cuando se ejecuta un programa infectado con un troyano. Estos programas pueden ser de cualquier tipo, desde instaladores hasta presentaciones de fotos. Al ejecutar el programa, este se muestra y realiza las tareas de forma normal, pero en un segundo plano y al mismo tiempo se instala el troyano. El proceso de infección no es visible para el usuario ya que no se muestran ventanas ni alertas de ningún tipo. Evitar la infección de un troyano es difícil. Algunas de las formas más comunes de infectarse son: Descarga de programasderedes p2p y sitios web que no son de confianza. COMPUTER DATA SYSTEMS Tipos de Virus informáticos clase 5 Páginas web que contienen contenido ejecutable (por ejemplo controles ActiveX o aplicaciones Java). Exploits para aplicaciones no actualizadas (navegadores, reproductores multimedia, clientes de mensajería instantánea). Ingeniería social (por ejemplo un cracker manda directamente el troyano a la víctima a través de la mensajería instantánea). Archivos adjuntos en correos electrónicos y archivos enviados por mensajería instantánea. Debido a que cualquier programa puede realizar acciones maliciosas en un ordenador hay que ser cuidadoso a la hora de ejecutarlos. Estos pueden ser algunos buenos consejos para evitar infecciones: Disponer de un programa antivirus actualizado regularmente para estar protegido contra las últimas amenazas. Disponer de un firewall correctamente configurado, algunos antivirus lo traen integrado. Tener instalados los últimos parches y actualizaciones de seguridad del sistema operativo. Descargar los programas siempre de las páginas web oficiales o de páginas web de confianza. No abrir los datos adjuntos de un correo electrónico si no conoces al remitente. Evitar la descarga de software de redes p2p, el contenido multimedia no es peligroso. Eliminación de troyanos. Una de las principales características de los troyanos es que no son visibles para el usuario. Un troyano puede estar ejecutándose en un ordenador durante meses sin que el usuario perciba nada. Esto hace muy difícil su detección y eliminación de forma manual. Algunos patrones para identificarlos son: un programa desconocido se ejecuta al iniciar el ordenador, se crean o borran archivos de forma automática, el ordenador funciona más lento de lo normal, errores en el sistema operativo. Por otro lado los programas antivirus están diseñados para eliminar todo tipo de software malicioso, además de eliminarlos también previenen de nuevas infecciones actuando antes de que el sistema resulte infectado. Es muy recomendable tener siempre un antivirus instalado en el equipo y a ser posible también un firewall. Rootkits. Las técnicas conocidas como rootkits modifican el sistema operativo de una computadora para permitir que el malware permanezca oculto al usuario. Por ejemplo, los rootkits evitan que un proceso malicioso sea visible en la lista de procesos del sistema o que sus ficheros sean visibles en el explorador de archivos. Este tipo de modificaciones consiguen ocultar cualquier indicio de que el ordenador esta infectado por un malware. Originalmente, un rootkit era un COMPUTER DATA SYSTEMS Tipos de Virus informáticos clase 5 conjunto de herramientas instaladas por un atacante en un sistema Unix donde el atacante había obtenido acceso de administrador (acceso root). Actualmente, el término es usado más generalmente para referirse a la ocultación de rutinas en un programa malicioso. Algunos programas maliciosos también contienen rutinas para evitar ser borrados, no sólo para ocultarse. Un ejemplo de este comportamiento puede ser: "Existen dos procesos-fantasmas corriendo al mismo tiempo. Cada procesofantasma debe detectar que el otro ha sido terminado y debe iniciar una nueva instancia de este en cuestión de milisegundos. La única manera de eliminar ambos procesos-fantasma es eliminarlos simultáneamente, cosa muy difícil de realizar, o provocar un error el sistema deliberadamente”. Un rootkit : es una herramienta que tiene como finalidad esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible. Origen de los rootkits. El origen puede ser muy variado. La mayoría aparecen desde los emuladores y descargadores de archivos mediante varios virus lo cual se le podría decir que aparte de encubrir es un duplicador de ellos. Uso de los rootkits. Un rootkit se usa habitualmente para esconder algunas aplicaciones que podrían actuar en el sistema atacado. Suelen incluir backdoors (puertas traseras) para ayudar al intruso a acceder fácilmente al sistema una vez que se ha conseguido entrar por primera vez. Por ejemplo, el rootkit puede esconder una aplicación que lance una consola cada vez que el atacante se conecte al sistema a través de un determinado puerto. Los rootkits del kernel o núcleo pueden contener funcionalidades similares. Tipos de rootkits. Tipos básicos. Los rootkits se pueden clasificar en dos grupos: Los que van integrados en el núcleo. Los que funcionan a nivel de aplicación. Detección de rootkits. Los rootkits son aplicaciones que modifican muchas de las herramientas y librerías de las cuales depende el sistema. Algunos rootkits modifican el propio kernel (a través de módulos y otros métodos como se indica más arriba). El principal problema de la detección de rootkits consiste en que el sistema operativo en ejecución no es fiable globalmente. En otras palabras, algunas COMPUTER DATA SYSTEMS Tipos de Virus informáticos clase 5 acciones como pedir la lista de los procesos en ejecución o listar los ficheros de un directorio no son fiables al no comportarse como deberían. Puertas traseras. Concepto: En la informática, una puerta trasera (o en inglés backdoor), en un sistema informático es una secuencia especial dentro del código de programación mediante la cual se puede evitar los sistemas de seguridad del algoritmo (autentificación) para acceder al sistema. Aunque estas puertas pueden ser utilizadas para fines maliciosos y espionaje no siempre son un error, pueden haber sido diseñadas con la intención de tener una entrada secreta. Una vez que el sistema ha sido comprometido, una puerta trasera puede ser instalada para permitir un acceso remoto más fácil en el futuro. Las puertas traseras también pueden ser instaladas previamente al software malicioso para permitir la entrada de los atacantes. Los crackers suelen usar puertas traseras para asegurar el acceso remoto a una computadora, intentado permanecer ocultos ante una posible inspección. Para instalar puertas traseras los crackers pueden usar troyanos, gusanos u otros métodos. La idea de que los fabricantes de ordenadores preinstalan puertas traseras en sus sistemas para facilitar soporte técnico a los clientes ha sido sugerida a menudo pero no ha llegado a ser comprobada nunca de forma fiable. Malware para obtener beneficios. Durante los años 80 y 90, se solía dar por hecho que los programas maliciosos eran creados como una forma de vandalismo o travesura. Sin embargo, en los últimos años la mayor parte del malware ha sido creado con un fin económico o para obtener beneficios en algún sentido. Esto es debido a la decisión de los autores de malware de sacar partido económico a los sistemas infectados, es decir, transformar el control sobre los sistemas en una fuente de ingresos. Mostrar publicidad: Spyware, Adware y Hijacking. Spyware. Los programas spyware son creados para recopilar información sobre las actividades realizadas por un usuario y distribuirla a agencias de publicidad u otras organizaciones interesadas. Algunos de los datos que recogen son las páginas web que visita el usuario y direcciones de e-mail, a las que después se envía spam. La mayoría de los programas spyware son instalados como troyanos junto a software deseable bajado de Internet. Otros programas spyware recogen la información mediante cookies de terceros o barras de herramientas instaladas en navegadores web. Los autores de spyware que intentan actuar de manera legal se presentan abiertamente como empresas de COMPUTER DATA SYSTEMS Tipos de Virus informáticos clase 5 publicidad e incluyen unos términos de uso, en los que se explica de manera imprecisa el comportamiento del spyware, que los usuarios aceptan sin leer o sin entender. Los programas espía pueden ser instalados en un ordenador mediante un virus, un troyano que se distribuye por correo electrónico, como el programa Magic Lantern desarrollado por el FBI, o bien puede estar oculto en la instalación de un programa aparentemente inocuo. Algunos programas descargados de sitios no confiables pueden tener instaladores con spyware y otro tipo de malware. Función común: Su función es la de recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas, pero también se han empleado en organismos oficiales para recopilar información contra sospechosos de delitos, como en el caso de la piratería de software. Además pueden servir para enviar a los usuarios a sitios de internet que tienen la imagen corporativa de otros, con el objetivo de obtener información importante. Dado que el spyware usa normalmente la conexión de una computadora a Internet para transmitir información, consume ancho de banda, con lo cual, puede verse afectada la velocidad de transferencia de datos entre dicha computadora y otra(s) conectada(s) a la red. Los cookies son archivos en los que almacena información sobre un usuario de internet en su propio ordenador, y se suelen emplear para asignar a los visitantes de un sitio de Internet un número de identificación individual para su reconocimiento subsiguiente. Principales síntomas de infección. Cambio de la página de inicio, error en búsqueda del navegador web. Aparición de ventanas "pop-ups", incluso sin estar conectados y sin tener el navegador abierto, la mayoría huye un nuevo producto). Barras de búsquedas de sitios como la de Alexa, Hotbar, MyWebSearch, FunWeb, etc. que no se pueden eliminar. Creación de carpetas tanto en el directorio raíz, como en "Archivos de programas", "Documents and Settings" y "WINDOWS". Modificación de valores de registro. La navegación por la red se hace cada día más lenta, y con más problemas. Aumento notable en el tiempo que se ejecuta en ese momento, alterando el registro con el fin de que el spyware se active a cada inicio. Al hacer clic en un vínculo el usuario retorna de nuevo a la misma página que el software espía hace aparecer. COMPUTER DATA SYSTEMS Tipos de Virus informáticos clase 5 Botones que aparecen en la barra de herramientas del navegador y no se pueden infección no propia del sistema, así como un enlace web para descargar un supuesto antispyware. Al acceder a determinados sitios sobre el escritorio se oculta o bloquea tanto el panel de control como los iconos de programas. Denegación de servicios de correo y mensajería instantánea. Adware. Un programa de clase adware es cualquier programa que automáticamente se ejecuta, muestra o baja publicidad web al computador después de instalar el programa o mientras se está utilizando la aplicación. Los programas adware muestran publicidad al usuario de forma intrusiva en forma de ventanas emergentes (pop-up) o de cualquier otra forma. Esta publicidad aparece inesperadamente en el equipo y resulta muy molesta. Algunos programas shareware permiten usar el programa de forma gratuita a cambio de mostrar publicidad, en este caso el usuario consiente la publicidad al instalar el programa. Este tipo de adware no debería ser considerado malware, pero muchas veces los términos de uso no son completamente transparentes y ocultan lo que el programa realmente hace. Algunos programas adware son también shareware, y en estos los usuarios tiene la opción de pagar por una versión registrada o con licencia, que normalmente elimina los anuncios. Efectos del adware. Los anuncios emergentes aparecen durante la navegación web en el navegador como una ventana emergente o también durante el uso de programa del ordenador. Esta publicidad es molesta en algunos casos, pero lo que más molesta es que deteriora el rendimiento del sistema. El adware también puede recopilar información del usuario, lo que provoca preocupación por la privacidad. Formas de Protección contra el adware. Para poder proteger el ordenador contra los adware, en la mayoría de los casos hay que seguir los siguientes pasos cada cierto tiempo: Ejecute las actualizaciones de antispyware y antimalware, así como analizar regularmente su sistema. Activar las opciones de inmunización en el software antispyware y antimalware. Asegurarse que el software del sistema operativo, navegador y correo electrónico tiene las actualizaciones más recientes para cubrir los agujeros de seguridad. COMPUTER DATA SYSTEMS Tipos de Virus informáticos clase 5 Tener activado el cortafuego (firewall) cuando se usa Internet. Utilizar la protección preventiva contra los sitios web peligrosos. Hijacking. Los hijackers son programas que realizan cambios en la configuración del navegador web. Por ejemplo, algunos cambian la página de inicio del navegador por páginas web de publicidad o pornográficas, otros redireccionan los resultados de los buscadores hacia anuncios de pago o páginas de phishing bancario. El pharming es una técnica que suplanta al DNS, modificando el archivo hosts, para redirigir el dominio de una o varias páginas web a otra página web, muchas veces una web falsa que imita a la verdadera. Esta es una de las técnicas usadas por los hijackers o secuestradores del navegador de Internet. Hijacking: significa "secuestro" en inglés y en el ámbito informático hace referencia a toda técnica ilegal que lleve consigo el adueñarse o robar algo (generalmente información) por parte de un atacante. Es por tanto un concepto muy abierto y que puede aplicarse a varios ámbitos, de esta manera podemos encontramos con el secuestro de conexiones de red, sesiones de terminal, servicios, módems y un largo etcétera en cuanto a servicios informáticos se refiere. Algunos ejemplos de Hijacking. IP hijakers: secuestro de una conexión TCP/IP por ejemplo durante una sesión Telnet permitiendo a un atacante inyectar comandos o realizar un Dos durante dicha sesión. Page hijacking: secuestro de página web. Hace referencia a las modificaciones que un atacante realiza sobre una página web, normalmente haciendo uso de algún bug de seguridad del servidor o de programación del sitio web, también es conocido como defacement o desfiguración. Reverse domain hijacking o Domain hijacking: secuestro de dominio Session hijacking: secuestro de sesión Browser hijacking: (Secuestro de navegadores en español). Se llama así al efecto de apropiación que realizan algunos spyware sobre el navegador web lanzando popups, modificando la página de inicio, modificando la página de búsqueda predeterminada etc. Es utilizado por un tipo de software malware el cual altera la configuración interna de los navegadores de internet de un ordenador. El termino "secuestro" hace referencia a que éstas modificaciones se hacen sin el permiso y el conocimiento del usuario. Algunos de éstos son fáciles de eliminar del COMPUTER DATA SYSTEMS Tipos de Virus informáticos clase 5 sistema, mientras que otros son extremadamente complicados de eliminar y revertir sus cambios. Home Page Browser hijacking: secuestro de la página de inicio del navegador. Esto sucede cuando la página de inicio, en la que navegamos es cambiada por otra a interés del secuestrador. Generalmente son páginas en las que nos invita a usar los servicios de la página para que nuestro equipo esté seguro y funcione correctamente. No cabe decir que es a cambio de un pago y que el origen del error y mal funcionamiento del equipo es debido a nuestro secuestrador Modem hijacking: secuestro del Modem. Esta expresión es en ocasiones utilizada para referirse a la estafa de los famosos dialers que tanta guerra dieron en su día (antes del auge del ADSL) y que configuran sin el consentimiento del usuario nuevas conexiones a números de cobro extraordinario. Thread hijacking: secuestro de un "tema" dentro de un foro de discusión de internet. Este término hace referencia a la situación que ocurre cuando dentro de un tema de discusión en un foro alguien intenta dirigir el hilo de la conversación hacia asuntos que no tienen nada que ver con el tema inicial. Esto puede realizarse de manera intencionada para irritar al autor del tema o bien producirse de manera natural y no intencionada generalmente por usuarios sin mucho conocimiento en el asunto a tratar o que desconocen la dinámica de comportamiento de los foros. Robar información personal: Keyloggers y Stealers. Los keyloggers y los stealers son programas maliciosos creados para robar información sensible. La principal diferencia entre ellos es la forma en la que recogen la información. Keyloggers: Un keylogger (derivado del bronx: key (tecla) y logger (registrador); registrador de teclas) es un tipo de software que se encarga de registrar las pulsaciones que se realizan en el teclado, para memorizarlas en un fichero y/o enviarlas a través de internet. El registro de lo que se teclea puede hacerse tanto con medios de hardware como de software. Funcionamiento: Keylogger con hardware. Un keylogger tipo hardware: Son dispositivos disponibles en el mercado que vienen en tres tipos: COMPUTER DATA SYSTEMS Tipos de Virus informáticos clase 5 1. Adaptadores en línea que se intercalan en la conexión del teclado, tienen la ventaja de poder ser instalados inmediatamente. Sin embargo, mientras que pueden ser eventualmente inadvertidos se detectan fácilmente con una revisión visual detallada. 2. Dispositivos que se pueden instalar dentro de los teclados estándares, requiere de habilidad para soldar y de tener acceso al teclado que se modificará. No son detectables a menos que se abra el cuerpo del teclado. 3. Teclados reales del reemplazo que contienen el Keylogger ya integrado. Son virtualmente imperceptibles, a menos que se les busque específicamente. Keylogger con software. Contrariamente a las creencias populares, un keylogger por software es simple de escribir, con un conocimiento básico de los API proporcionados por el sistema operativo del objetivo. Los keyloggers de software se dividen en: 1. Basado en núcleo: Este método es el más difícil de escribir, y también de combatir. Tales keyloggers residen en el nivel del núcleo y son así prácticamente invisibles. Derriban el núcleo del sistema operativo y tienen casi siempre el acceso autorizado al hardware que los hace de gran alcance. Un keylogger que usa este método puede actuar como driver del teclado por ejemplo, y accede así a cualquier información registrada en el teclado mientras que va al sistema operativo. 2. Enganchados: Estos keyloggers registran las pulsaciones de las teclas del teclado con las funciones proporcionadas por el sistema operativo. El sistema operativo activa el keylogger en cualquier momento en que se presione una tecla, y realiza el registro. 3. Métodos creativos: Aquí el programador utiliza funciones como GetAsyncKeyState, GetForegroundWindow, etc. Éstos son los más fáciles de escribir, pero como requieren la revisión el estado de cada tecla varias veces por segundo, pueden causar un aumento sensible en uso de la CPU y pueden ocasionalmente dejar escapar algunas pulsaciones del teclado. Protección. En algunas computadoras podemos darnos cuenta si están infectadas por un keylogger (dependiendo de la velocidad y uso de CPU de nuestro procesador) por el hecho de que el programa registrara cada una de nuestras teclas de la siguiente manera: FicheroLog = FicheroLog + UltimaTecla, este evento será ejecutado por el keylogger cada vez que el usuario presione una tecla. Si bien este evento no será una carga relevante para nuestro procesador si se ejecuta a una velocidad normal, pero si mantienes unas 10 teclas presionadas por unos COMPUTER DATA SYSTEMS Tipos de Virus informáticos clase 5 30 segundos con la palma de tu mano y tu sistema se congela o su funcionamiento es demasiado lento podríamos sospechar que un keylogger se ejecuta sobre nuestro computador. Otro signo de que un keylogger se está ejecutando en nuestro computador es el problema de la tilde doble (´´) al presionar la tecla para acentuar vocales, salen dos tildes seguidas y la vocal sin acentuar. Esto ocurre en keyloggers configurados para otros idiomas. El problema desaparece al eliminarlo. Anti-spyware. Los programas Anti-spyware pueden detectar diversos keyloggers y limpiarlos. Vendedores responsables de supervisar la detección del software apoyan la detección de keyloggers, así previniendo el abuso del software. Firewall. Habilitar un cortafuego o firewall puede salvar el sistema del usuario no solo del ataque de keyloggers, sino que también puede prevenir la descarga de archivos sospechosos, troyanos, virus, y otros tipos de malware. Monitores de red. Los monitores de red (llamados también cortafuegos inversos) se pueden utilizar para alertar al usuario cuando el keylogger use una conexión de red. Esto da al usuario la posibilidad de evitar que el keylogger envíe la información obtenida a terceros. Stealers. Stealer (en español "ladrón de información") es el nombre genérico de programas informáticos maliciosos del tipo troyano, que se introducen a través de internet en un ordenador con el propósito de obtener de forma fraudulenta información confidencial del propietario, tal como su nombre de acceso a sitios web, contraseña o número de tarjeta de crédito. Otro problema causado por stealer puede ser la desconexión involuntaria de un sitio web. Estos programas pueden detectarse y eliminarse mediante software antivirus, aunque la mejor forma de evitarlos consiste en no abrir documentos anexos a correos electrónicos enviados por remitentes desconocidos o dudosos. Los stealers también roban información privada pero solo la que se encuentra guardada en el equipo. Al ejecutarse comprueban los programas instalados en el equipo y si tienen contraseñas recordadas, por ejemplo en los navegadores web o en clientes de mensajería instantánea, descifran esa información y la envían al creador. COMPUTER DATA SYSTEMS Tipos de Virus informáticos clase 5 Realizar llamadas telefónicas: Dialers. Dialers. Los dialers son programas maliciosos que toman el control del módem dial-up, realizan una llamada a un número de teléfono de tarificación especial, muchas veces internacional, y dejan la línea abierta cargando el coste de dicha llamada al usuario infectado. La forma más habitual de infección suele ser en páginas web que ofrecen contenidos gratuitos pero que solo permiten el acceso mediante conexión telefónica. Suelen utilizar como señuelos videojuegos, salva pantallas, pornografía u otro tipo de material. Actualmente la mayoría de las conexiones a Internet son mediante ADSL y no mediante módem, lo cual hace que los dialers ya no sean tan populares como en el pasado. Ataques distribuidos: Botnets. Las botnets: son redes de computadoras infectadas, también llamadas "zombies", que pueden ser controladas a la vez por un individuo y realizan distintas tareas. Este tipo de redes son usadas para el envío masivo de spam o para lanzar ataques DDos contra organizaciones como forma de extorsión o para impedir su correcto funcionamiento. La ventaja que ofrece a los spammers el uso de ordenadores infectados es el anonimato, que les protege de la persecución policial. Botnet es un término que hace referencia a un conjunto de robots informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet (llamado pastor) puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través del IRC: Las nuevas versiones de estas botnets se están enfocando hacia entornos de control mediante HTTP, con lo que el control de estas máquinas será mucho más simple. Sus fines normalmente son poco éticos. Uso habitual de las botnets Lo más frecuente es que una botnet se utilice para enviar spam a direcciones de correo electrónico, para la descarga de ficheros (normalmente de contenido ilegal) que ocupan gran espacio y consumen gran ancho de banda, para realizar ataques de tipo DDoS (Distributed Denial Of Service)... Usando una Botnet para enviar Spam. 1. El operador de la botnet manda virus/gusanos/etc. a los usuarios. 2. Los PC entran en el IRC o se usa otro medio de comunicación. COMPUTER DATA SYSTEMS Tipos de Virus informáticos clase 5 3. El Spammer le compra acceso al operador de la Botnet. 4. El Spammer manda instrucciones vía un servidor de IRC u otro canal a los PC infectados... 5. causando que éstos envíen Spam al los servidores de correo. Otros tipos: Rogue software y Ransomware. Los rogues software hacen creer al usuario que la computadora está infectada por algún tipo de virus u otro tipo de software malicioso, esto induce al usuario a pagar por un software inútil o a instalar un software malicioso que supuestamente elimina las infecciones, pero el usuario no necesita ese software puesto que no está infectado. Los ransomware, también llamados criptovirus o secuestradores, son programas que cifran los archivos importantes para el usuario, haciéndolos inaccesibles, y piden que se pague un "rescate" para poder recibir la contraseña que permite recuperar los archivos. Rogue software. El Rogue software: (en español, software bandido o también falso antivirus) es un tipo de programa informático malintencionado cuya principal finalidad es hacer creer que una computadora está infectada por algún tipo de virus, induciendo a pagar una determinada suma de dinero para eliminarlo. Transmisión. Este tipo de software suele descargarse e instalarse de forma oculta y en contra de la voluntad del usuario directamente desde Internet. Sin embargo, en ocasiones se presenta bajo la forma de la versión de prueba de un producto antimalware que el usuario descarga de forma voluntaria. Efectos. El objetivo principal de este tipo de software es vender un producto antimalware. Para conseguir su cometido, suelen reproducir falsas advertencias de Windows que informan al usuario que su PC está infectada por un malware, agregando un hipervínculo que lleva a la página de descarga de un programa de seguridad de pago. Ocasionalmente, esta página web puede instalar más software malintencionado en el ordenador en contra de la voluntad del usuario. En el caso de aquellos que se manifiestan bajo la forma de una versión de prueba, actúan generando falsos positivos a propósito detectando malware COMPUTER DATA SYSTEMS Tipos de Virus informáticos clase 5 inexistente (aunque si lo pensamos bien, es algo acertado el que tienes un virus informático atacando tu ordenador, pues es él mismo el que lo informa). Al ser una versión de prueba, informa al usuario que para eliminarlos requerirá comprar la versión completa de la aplicación. Detección y eliminación. A menos que el software Rogue sea demasiado nuevo, los antivirus y antispyware de mayor renombre actualizados pueden evitar la instalación y la activación de los mismos. En caso de que aún no haya sido detectado por ninguna empresa fabricante de productos antimalware, será necesario hallar los archivos infectados y desinfectarlos de forma manual, lo que posee una complejidad extrema. Ransomware. Ransomware: es un malware generalmente distribuido mediante spam y que mediante distintas técnicas imposibilita al dueño de un documento acceder al mismo. El modo más comúnmente utilizado es cifrar con clave dicho documento y dejar instrucciones al usuario para obtenerla, posterior al pago de "rescate". Vulnerabilidades usadas por el malware. Existen varios factores que hacen a un sistema más vulnerable al malware: homogeneidad, errores de software, código sin confirmar, sobre-privilegios de usuario y sobre-privilegios de código. Una causa de la vulnerabilidad de redes, es la homogeneidad del software multiusuario. Por ejemplo, cuando todas las computadoras de una red funcionan con el mismo sistema operativo, si se puede comprometer ese sistema, se podría afectar a cualquier computadora que lo use. En particular, Microsoft Windows tiene la mayoría del mercado de los sistemas operativos, esto permite a los creadores de malware infectar una gran cantidad de computadoras sin tener que adaptar el software malicioso a diferentes sistemas operativos. La mayoría del software y de los sistemas operativos contienen bugs que pueden ser aprovechados por el malware. Los ejemplos típicos son los desbordamiento de búfer (buffer overflow), en los cuales la estructura diseñada para almacenar datos en un área determinada de la memoria permite que sea ocupada por más datos de los que le caben, sobre escribiendo otras partes de la memoria. Esto puede ser utilizado por el malware para forzar al sistema a ejecutar su código malicioso. COMPUTER DATA SYSTEMS Tipos de Virus informáticos clase 5 Programas anti-malware. Los programas anti-malware pueden combatir el malware de dos formas: 1. Proporcionando protección en tiempo real (real-time protección) contra la instalación de malware en una computadora. El software antimalware escanea todos los datos procedentes de la red en busca de malware y bloquea todo lo que suponga una amenaza. 2. Detectando y eliminando malware que ya ha sido instalado en una computadora: Este tipo de protección frente al malware es normalmente mucho más fácil de usar y más popular. Este tipo de programas anti-malware escanean el contenido del registro de Windows, los archivos del sistema operativo, la memoria y los programas instalados en la computadora. Al terminar el escaneo muestran al usuario una lista con todas las amenazas encontradas y permiten escoger cuales eliminar. La protección en tiempo real funciona idénticamente a la protección de los antivirus: el software escanea los archivos al ser descargados de Internet y bloquea la actividad de los componentes identificados como malware. En algunos casos, también pueden interceptar intentos de ejecutarse automáticamente al arrancar el sistema o modificaciones en el navegador web. Debido a que muchas veces el malware es instalado como resultado de exploits para un navegador web o errores del usuario, usar un software de seguridad para proteger el navegador web puede ser una ayuda efectiva para restringir los daños que el malware puede causar. Virus Phishing. Del inglés "fishing" (pescando), se utiliza para identificar la acción fraudulenta de conseguir información confidencial, vía correo electrónico o página web, con el propósito de que los usuarios de cuentas bancarias lo contesten, o entren a páginas aparentemente iguales a la del banco o de los portales con ingreso por contraseña. El phishing se basa en el envío por parte de un estafador de un mensaje electrónico o enlace de una empresa supuestamente respetable. Éstas a menudo conducen a una página Web falsificada que han creado, y te engañan para que introduzcas tu contraseña y tu información personal. Todos sabemos lo que es el phishing, básicamente es la manera de inducir a un usuario a revelar información confidencial para luego aprovecharse de ella, habitualmente de forma financiera. El phishing consiste en el envío de correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener COMPUTER DATA SYSTEMS Tipos de Virus informáticos clase 5 datos confidenciales del usuario. Para ello, suelen incluir un enlace que, al ser pulsado, lleva a páginas web falsificadas. De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que, en realidad, va a parar a manos del estafador. Existe un amplio abanico de software y aplicaciones de toda índole que quedan clasificados dentro de la categoría de robo de información personal o financiera, algunas de ellas realmente complejas, como el uso de una ventana Javascript flotante sobre la barra de direcciones del navegador con el fin de confundir al usuario. Algunas de las características más comunes que presentan este tipo de mensajes de correo electrónico son: Uso de nombres de compañías ya existentes. En lugar de crear desde cero el sitio web de una compañía ficticia, los emisores de correos con intenciones fraudulentas adoptan la imagen corporativa y funcionalidad del sitio de web de una empresa existente, con el fin de confundir aún más al receptor del mensaje. Utilizar el nombre de un empleado real de una empresa como remitente del correo falso. De esta manera, si el receptor intenta confirmar la veracidad del correo llamando a la compañía, desde ésta le podrán confirmar que la persona que dice hablar en nombre de la empresa trabaja en la misma. Direcciones web con la apariencia correcta. Como hemos visto, el correo fraudulento suele conducir al lector hacia sitios web que replican el aspecto de la empresa que está siendo utilizada para robar la información. En realidad, tanto los contenidos como la dirección web (URL) son falsos y se limitan a imitar los contenidos reales. Incluso la información legal y otros enlaces no vitales pueden redirigir al confiado usuario a la página web real. Factor miedo. La ventana de oportunidad de los defraudadores es muy breve, ya que una vez se informa a la compañía de que sus clientes están siendo objeto de este tipo de prácticas, el servidor que aloja al sitio web fraudulento y sirve para la recogida de información se cierra en el intervalo de unos pocos días. Por lo tanto, es fundamental para el defraudador el conseguir una respuesta inmediata por parte del usuario. En muchos casos, el mejor incentivo es amenazar con una pérdida, ya sea económica o de la propia cuenta existente, si no se siguen las instrucciones indicadas en el correo recibido, y que usualmente están relacionadas con nuevas medidas de seguridad recomendadas por la entidad. COMPUTER DATA SYSTEMS Tipos de Virus informáticos clase 5 Para lograr su objetivo, este tipo de malware, además de la ocultación de la URL fraudulenta en un correo electrónico aparentemente real. ¿Cómo funciona el Phishing? ¿Cómo se distribuye? El mecanismo más habitualmente empleado es la generación de un correo electrónico falso que simule proceder de una determinada compañía, a cuyos clientes se pretende engañar. Dicho mensaje contendrá enlaces que apuntan a una o varias páginas web que replican en todo o en parte el aspecto y la funcionalidad de la empresa, de la que se espera que el receptor mantenga una relación comercial. Si el receptor del mensaje de correo efectivamente tiene esa relación con la empresa y confía en que el mensaje procede realmente de esta fuente, puede acabar introduciendo información sensible en un formulario falso ubicado en uno de esos sitios web. COMPUTER DATA SYSTEMS