Download Que no es malware

El presente modulo tiene como objetivo primordial hacer del conocimiento del usuario, involucrarse o acrecentar
su cultura general en el ámbito de la seguridad, como por ejemplo conocer conceptos sobre las diferentes
amenazas, como lo que hoy en día se engloba en una sola palabra “Virus” y lo que no es.
LA EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS
El primer virus liberado "In the Wild" fue “Elk Cloner”, Escrito en 1982 por Rich Skrenta, se añadía a sí mismo al
sistema operativo DOS 3.3 de Apple y se propagaba por diskette. Este virus era originalmente una broma, y
operaba sobre un juego. Después de haberse iniciado el juego 50 veces se ejecutaba el virus y lanzaba una
pantalla en blanco que mostraba un poema sobre el virus Elk Cloner.
El primer virus de PC's fue un virus de sector de arranque llamado “Brain” creado en 1986 por dos hermanos,
Basit y Amjad Farooq Alvi, de Lahore, Paquistán. Los hermanos crearon según se informa el virus para disuadir
copias piratas del software que habían escrito.
Antes de que las redes se extendieran, la mayoría de los virus se propagaban por medios removibles,
particularmente diskettes. Algunos virus se propagaban infectando los programas almacenados en estos discos,
mientras que otros se instalaban en el sector de arranque del disco, asegurándose de ejecutarse cuando el
usuario iniciara la computadora desde el disco.
Los virus tradicionales de la computadora emergieron en los años 80’s, conducidos por la extensión
computadoras personales y el aumento resultante del uso del BBS, del módem, y de compartir software.
El compartir software desde un tablero de anuncios (BBS) contribuyo a la propagación de los Caballos de Troya,
los virus fueron escritos para infectar software popular. El Shareware y el software de contrabando eran vectores
igualmente comunes para los virus en los BBS.
Desde mediados de los noventas los virus de macros se han vuelto comunes. La mayor parte de estos virus se
escriben en lenguajes de scripting para los programas de Microsoft tales como Word y Excel. La mayor parte de
estos virus no tenían la capacidad de enviar E-mail infectados. Esos virus que se propagaban por E-mail se
aprovecharon de la interfaz COM de Microsoft Outlook.
El éxito de ataques recientes demuestra que el acercamiento estándar de desplegar el software antivirus a cada
computadora en una organización puede no ser suficiente. Los brotes recientes se han propagado con
velocidad alarmante, más rápidamente que la capacidad del software de la industria de detectarlo, identificarlo, y
entregar las herramientas del antivirus necesarias para protegerse contra el ataque. Las técnicas demostradas
por las últimas formas de ataque de malware son mucho más avanzadas, permitiendo que los más reciente
brotes puedan evadir la detección y propagarse. Estas técnicas incluyen:
Ingeniería social: Los intentos de ataques aparentan como si fueran originados por el administrador del
sistema o alguien conocido, aumentando la probabilidad de que los usuarios finales ejecuten los archivos e
infecten sus sistemas.
Creación de Backdoors: La mayoría de brotes recientes intentan abrirse una cierta forma de acceso no
autorizado a los sistemas infectados, permitiendo a un hacker tener acceso en varias ocasiones a los sistemas.
Este acceso repetido se utiliza para infectar sistemas con nuevo malware, usándolos como “zombis” en
ataques coordinados de negación del servicio, o para ejecutar cualquier código que un hacker desee.
Robo de direcciones de E-mail: Las direcciones de E-mail son recolectadas de sistemas infectados por
malwares para reenviarse a sí mismos a otras víctimas, los autores del malware pueden recolectar estas
direcciones y entonces utilizarlas para enviar nuevas variantes del malware, intercambiar las direcciones con
otros autores de malware por herramientas o código fuente de virus, o vender las direcciones a otros
interesados para usarlas para producir correo Spam.
Motores Integrados de E-Mail: El correo electrónico es el primer medio para la propagación del malware.
Muchas formas de malware tienen integrado su propio motor de correo para permitir que el malware se
propague mucho más rápido y con menos probabilidad de crear actividad inusual que puede ser detectada
fácilmente. Los mass-mailers ahora explotan Backdoors en sistemas infectados para capitalizar el uso de esos
motores propios de correo. Como resultado, se cree que la mayoría de Spam producido es enviado a tales
sistemas infectados.
Explotación de vulnerabilidades del producto: El malware está aprovechándose cada vez con más
frecuencia de las vulnerabilidades de los productos para propagarse, lo que permite al código malicioso
propagarse mucho más rápidamente.
Explotación de nuevas tecnologías del Internet: Como nuevas herramientas de Internet llegan a estar
disponibles, los autores del malware las examinan rápidamente para determinar cómo pueden explotarlas.
Recientemente, la mensajería instantánea y las redes peer-to-peer (P2P) se han convertido en vectores de
ataque para tales esfuerzos.
¿Qué significa el término Malware?
Es un término (abreviatura de la frase “Malicious Software”) comúnmente utilizado para referirse a virus,
gusanos, y los caballos de Troya que realizan intencionalmente tareas maliciosas en un sistema informático.
¿Qué es un caballo de Troya?
¿Qué es un Worm?
¿Qué es un Virus?
El número y la variedad existente de código malicioso hacen difícil el proporcionar una definición perfecta de
cada categoría de malware. Para efectos de definir estas de una manera simple se proporcionan las siguientes
categorías de malware:
Caballo de Troya: Es un programa que parece ser útil o inofensivo pero que contiene código oculto diseñado
para explotar o dañar el sistema en el cual se ejecuta. Los programas Caballo de Troya son comúnmente
enviados a los usuarios a través de los mensajes de E-mail que falsifican el propósito y la función del programa.
También es llamado Código Troyano. Un Caballo de Troya hace esto entregando una carga útil o una tarea
maliciosa cuando es ejecutado.
Worm (Gusano): Un Worm utiliza código malicioso para propagarse así mismo automáticamente y así
distribuirse de una computadora a otra a través de conexiones de red. Un gusano puede ejercer acciones
dañinas, tales como consumir recursos de red o del sistema local, y así posiblemente causar un ataque de
negación de servicio. Algunos gusanos pueden ejecutarse y propagarse sin la intervención del usuario, mientras
que otros requieren de la intervención de los usuarios para ejecutar el código del gusano para propagarse.
Virus: Un virus utiliza código escrito con la intención expresa de propagarse así mismo. Un virus procura
propagarse de una computadora a otra computadora uniéndose a un programa anfitrión. Puede dañar el
hardware, software, o datos. Cuando se ejecuta el programa afectado, el código del virus también se ejecuta,
infectando a nuevos programas y a veces entregando un Payload adicional.
Diagrama de Codigo Malicioso.
Este diagrama permite distinguir entre cada una de las categorías comunes del código malicioso. Sin embargo,
es importante entender que un solo ataque puede introducir código que cabe en una o más de estas categorías.
Estos tipos de ataques se denominan como “amenazas combinadas¨, que consisten en un tipo de malware
que utiliza múltiples vectores de ataque y que pueden propagarse muy rápido. Un vector de ataque es una ruta
que el malware puede utilizar para montar un ataque. Por estas razones, las amenazas combinadas pueden ser
especialmente difíciles de defender.
¿Qué Significa el término PAYLOAD?
La palabra “payload" en inglés significa contador, pagador, pago de carga, etc. En términos de virus
informáticos, “payload¨ son el o los efectos nocivos o hasta irreparables, que ocasionan cualquier especie viral
a los sistemas de los equipos que infectan, sean estos servidores, estaciones de red o computadoras
domésticas:
El objetivo de un desarrollador de virus, es generar un “Payload¨, no solamente dañino, sino que además
genere efectos secundarios nocivos:
1. Efecto directo de daño a los archivos o áreas del sistema, es decir; archivos de sistema.
2. Corrupción o borrado de archivos con diversas extensiones, de diversas carpetas o de todo del disco.
Formateo de los discos duros, etc.
3. La propagación a través de otros servicios de Internet, tales como correo electrónico, Mensajería
Instantánea, ICQ, Chat, redes compartidas Peer to Peer, liberación de Troyanos / Backdoor, etc.
4. Efectos secundarios tales como la des-habilitación o término de procesos de software antivirus,
firewalls, de monitoreo y hasta herramientas de sistema.
5. Algunos mensajes o cajas de diálogo en la pantalla, como colofón del payload.
6. Toda expresión y/o daño que la mente de los creadores de virus puedan crear y desarrollar.
CARACTERÍSTICAS DE LOS MALWARES.
Las varias características que cada categoría del malware que puede exhibir son a menudo muy similares. Por
ejemplo, un virus y un gusano pueden utilizar la red como mecanismo de transporte. Sin embargo, el virus
buscará archivos para infectar mientras que el gusano simplemente intentara copiarse. La siguiente sección
explica las características típicas del malware.
Ambientes Objetivo.
Mientras que el malware procura atacar un sistema huésped, puede haber un número específico de
componentes requeridos antes de que el ataque pueda tener éxito. Los siguientes son ejemplos típicos de lo
que puede requerir el malware para atacar al anfitrión:
Dispositivos: Un cierto malware apuntará específicamente a un tipo de dispositivo, tal como una computadora
personal, a una computadora Apple Macintosh, o a un Asistente Personal Digital (PDA).
Sistemas Operativos: Un Malware puede requerir un sistema operativo en particular para ser eficaz. Por
ejemplo, el CIH o el virus de Chernobyl de los últimos años 90´s podían solamente atacar las computadoras que
funcionan con Microsoft Windows 95 o Windows 98.
Aplicaciones: Un Malware puede requerir la instalación de una aplicación particular en la computadora objetivo
antes de que pueda realizar su Payload o propagarse. Por ejemplo, El virus LFM.926 del año 2002 podía atacar
solamente si los archivos de shockwave flash (.swf) se ejecutaban en la computadora local.
OBJETOS PORTADORES
Si el malware es un virus, procurará apuntar a un objeto portador (también conocido como “anfitrión¨) para
infectarlo. El número y el tipo de objetos apuntados al portador varía extensamente entre malware, estos son
algunos ejemplos:
Archivos Ejecutables: Éstos son el objetivo “clásico” del virus que se replica uniéndose a un programa
anfitrión. Además de los archivos ejecutables típicos que utilizan la extensión de .exe, archivos con extensiones
tales como las siguientes también se utilizan para este propósito: .com, .sys, .dll, .ovl, .ocx, .bat, .pif y .prg.
Scripts: Ataques que utilizan scripts como archivos portadores objetivo, que a su vez utilizan un lenguaje
scripting tal como, Java script, Apple Script, Perl y Microsoft Visual Basic Scripting. Las extensiones para los
archivos de este tipo incluyen: .vbs, .js, .wsh, y .pl. entre otras.
Macros: Estos portadores son archivos que se apoyan un lenguaje scripting macro particular, tal como un
procesador de textos, una hoja de balance, o un manejador de base de datos. Por ejemplo, los virus pueden
utilizar macros en Microsoft Word y en Lotus Ami Pro, para producir un número de efectos, extendiéndose desde
dañino (conmutación de palabras en el documento o cambio en los colores) a maligno (por ejemplo el formateo
de la unidad de disco de la computadora).
Sector de Arranque: Áreas específicas de los discos de la computadora (discos duros y unidades removibles
de arranque) por ejemplo la Master Boot Record (MBR) o registro de arranque de DOS, pueden considerarse
portadores porque son capaces de ejecutar código malicioso. Una vez que se infecta un disco, la réplica se
logra si el disco se utiliza para iniciar otros sistemas.
Nota: Si el virus apunta tanto a archivos como a los sectores de arranque para la infección, puede ser
denominado como virus multipartite.
MECANISMOS DE TRANSPORTE
Un ataque puede utilizar uno o diversos métodos para intentar propagarse entre sistemas informáticos. Esta
sección proporciona información sobre algunos de los mecanismos de transporte que utiliza el Malware.
Medios Removibles: La forma original y probablemente el transmisor más prolífico de Virus y Malware entre
computadoras es la transferencia de archivos. Este mecanismo comenzó con los diskettes, para cambiar
después hacia las redes, y ahora está encontrando nuevos medios tales como dispositivos USB y Firewire. El
índice de la infección no es tan rápido como con el Malware basado en red, aún así la amenaza está presente y
es difícil de suprimir totalmente, debido a la necesidad de intercambiar datos entre los sistemas.
Recursos Compartidos de Red: Una vez que a las computadoras se les proporcionó de un mecanismo para
conectarse entre sí mismas vía una red, los programadores de Malware obtuvieron otro mecanismo de
transporte, que tiene el potencial de exceder las capacidades de los medios removibles para propagar código
malicioso. La poca seguridad de los recursos compartidos de red producto de un ambiente donde el Malware
puede replicarse una gran cantidad de computadoras conectadas en red.
Escaneo de Red: Los escritores de Malware utilizan este mecanismo para explorar las redes en busca de
computadoras vulnerables, o para atacar aleatoriamente direcciones IP. Por ejemplo, el mecanismo puede
enviar un paquete que contiene un “Exploit¨ que utiliza un puerto específico de la red a un rango de direcciones
IP, direcciones con el objetivo de encontrar una computadora vulnerable para ser atacada.
Redes Peer-to-Peer (P2P): Para que las transferencias de archivo por P2P sean posibles, un usuario debe
primero instalar un componente del cliente de P2P que utilizará uno de los puertos de la red que estén
permitidos en el Firewall, por ejemplo el puerto 80. Las aplicaciones utilizan este puerto para conseguir
atravesar el Firewall y transferir archivos de una computadora a otra. Estas aplicaciones pueden ser obtenidas
fácilmente en Internet, y proporcionan un mecanismo de transporte para que los programadores de Malware
puedan propagar un archivo infectado en el disco duro de un cliente.
Correo Electrónico: El E-mail se ha convertido en el mecanismo de transporte preferido para muchos ataques
de Malware. La facilidad con la que millones de gentes pueden ser alcanzados vía E-mail sin la necesidad de
autores de Malware dejen sus computadoras activas, ha hecho de este un transporte muy eficaz. Ha sido
relativamente simple engañar a los usuarios para que abran los archivos adjuntos al correo (utilizando técnicas
de ingeniería social). Por lo tanto, muchos de los brotes más prolíficos de malware han utilizado el E-mail como
su mecanismo de transporte. Hay dos tipos básicos de malware que utilizan el E-mail como transporte:
Mailer: Este tipo de malware se envía a sí mismo a un número limitado de direcciones de E-mail, ya sea
utilizando el software de correo instalado en el anfitrión, o con su propio motor SMTP.
Mass Mailer: Este tipo de malware busca en la computadora infectada por direcciones de E-mail, y
entonces se envía masivamente a sí mismo a esas direcciones, ya sea utilizando cualquier software de
correo instalado en el anfitrión o con su propio motor incorporado de SMTP.
Remote Exploit: Este tipo de Malware intenta explotar una vulnerabilidad en particular en un servicio o
aplicación para replicarse. Este comportamiento es visto regularmente en gusanos; por ejemplo, el
gusano Slammer se aprovechó de una vulnerabilidad en Microsoft SQL Server 2000. El gusano generó
un desbordamiento que permitió que una porción de la memoria de sistema fuera sobre escrita con el
código, y que podía funcionar en el mismo contexto de seguridad que el servicio SQL Server. Un
desbordamiento es el resultado de añadir más información a un buffer de la que está diseñado para
soportar.
TIPOS DE PAYLOAD
Robo de información: Un tipo particularmente preocupante de Payload del malware es uno diseñado
para robar información. Si un Payload puede comprometer la seguridad de una computadora, es
posible que proporcione un mecanismo para que la información se envié a los autores del malware.
Esto puede suceder de diferentes maneras; por ejemplo; una transferencia podría ser automatizada de
modo que el malware capture simplemente archivos locales o información tal como las teclas que el
usuario está presionando (en la esperanza de obtener un nombre y una contraseña del usuario). Otro
mecanismo es que el malware cree un ambiente en la victima que permite que el atacante controle el
equipo remotamente o acceda a los archivos de sistema directamente.
Denial of Service (DOS, Negación del servicio): Uno de los tipos más simples de Payload a entregar
es un ataque de negación del servicio. Un ataque de DOS es un asalto automatizado lanzado por un
atacante para sobrecargar o parar un servicio de red, tal como un web server o un servidor de
archivos. Los ataques de DOS apuntan simplemente a hacer que un servicio particular quede
inutilizable por un período de tiempo.
Distributed Denial of Service (DDoS, Negación del servicio distribuida): Estos tipos ataques
utilizan típicamente a equipos infectados que generalmente no son conscientes de su papel en tal
ataque. Un ataque de DDoS es un tipo ataque de negación de servicio en el cual un atacante utiliza
código malicioso instalado en varias computadoras para atacar una sola. Un atacante utiliza este
método para tener el mayor efecto posible en el equipo atacado, a diferencia de los efectos que podría
tener con una sola computadora. La semántica de cómo un ataque sucede varían entre un tipo de
ataque y otro, pero generalmente implica enviar grandes cantidades de datos a un equipo o a un Web
site particular, esto hace que deje de responder (o llegar a ser incapaz de responder) al tráfico
legítimo. Esto inunda el ancho de banda disponible hacia la víctima y toma con eficacia el sitio fuera de
línea. Este tipo de ataque puede ser extremadamente duro de defender, debido a que los equipos
responsables de los ataques son de hecho víctimas involuntarias. Los ataques de DDoS son
conducidos generalmente por bots, (programas que realizan tareas repetitivas), por ejemplo los
Internet Relay Chat (IRC), Eggdrop bots, los cuales puede utilizar un hacker para controlar las
computadoras de la “víctima” vía un canal del IRC. Una vez que estas computadoras están bajo control
del hacker se denominan “zombis¨, equipos que pueden afectar a una víctima bajo las ordenes del
atacante sin el conocimiento de los dueños de las computadoras. Ambos ataques ya sea DOS y de
DDoS pueden implicar un diverso número de técnicas de ataque, incluyendo:
Apagado de Sistema: Si el malware puede apagar o hacer fallar el sistema atacado, puede tener éxito
en la interrupción de uno o más servicios. Atacar un equipo requiere que el malware encuentre una
debilidad en alguna aplicación o en el sistema operativo que cause que el sistema pueda ser apagado.
Inundación de Ancho de Banda: Muchos servicios hacia Internet están unidos a través de una
conexión de red con ancho de banda limitada, que provee conexión hacia equipos clientes. Si un
programador de malware puede entregar un Payload que llene este ancho de banda con tráfico falso
de red, es posible producir un ataque de DOS simplemente impidiendo que los clientes puedan
conectarse al servicio.
Ataque de DOS de Red: Este tipo de Payload procura sobrecargar los recursos disponibles a los
equipos locales. Recursos tales como capacidad del microprocesador y de memoria son
sobrecargados por ataques de SYN Flood, donde un atacante utiliza un programa para enviar una
inundación de peticiones TCP SYN para llenar la cola de conexiones pendientes en el servidor y
denegar tráfico legítimo desde y hacia el equipo cliente. Los ataques de Bombardeo de E-mails
también saturan recursos de almacenamiento para crear un ataque de DOS en el cual envía una
excesiva cantidad de mensajes de correo, con el objetivo de impedir que el recipiente de correo pueda
recibir mensajes legítimos.
Interrupción del Servicio: Este tipo de Payload también puede causar un ataque de DOS. Por
ejemplo, si un ataque a un servidor de Domain Name System (DNS) inhabilita el servicio del DNS, esta
técnica de ataque de DOS habría sido exitosa. Sin embargo, el resto de los servicios en el sistema
pueden seguir operando sin ser afectados.
MECANISMOS DISPARADORES
Los mecanismos disparadores son una característica del malware que el software malicioso utiliza para iniciar la
replicación del Payload. Los mecanismos disparadores típicos son:
Ejecución Manual: Este tipo de mecanismo es simplemente la ejecución directa del malware por la víctima.
Ingeniería Social: El Malware a menudo utilizará alguna forma de ingeniería social para ayudar a engañar a
una víctima para que ejecute manualmente el código malicioso. El acercamiento puede ser relativamente
simple, por ejemplo los intentos utilizados en los envíos masivos de gusanos donde el elemento de la ingeniería
social se centra en seleccionar el texto en el tema del mensaje del E-mail que haga más probable el ser abierto
por una víctima potencial. Los programadores de Malware también pueden utilizar la técnica de E-mail spoofing
para procurar engañar a la víctima y hacerle creer que un E-mail viene de una fuente confiable. Spoofing es el
acto de hacerse pasar por un sitio Web o una fuente de transmisión de datos aparentando ser genuina.
Ejecución semiautomática: Este tipo de mecanismo es iniciado por una víctima y después ejecutado
automáticamente desde ese punto.
Ejecución automática: Este tipo de mecanismo no requiere ninguna ejecución manual. El malware ejecuta su
ataque sin la necesidad de que una víctima ejecute el código malicioso en la computadora.
Bomba de tiempo: Este tipo de mecanismo realiza una acción después de cierto período. Este período puede
ser un retraso entre la primera ejecución de la infección o de cierta fecha programada. Por ejemplo, el gusano
de MyDoom.B solamente comenzaría sus rutinas de Payload contra el Web site de Microsoft.com el 3 de febrero
de 2004, y contra el Web site del grupo de SCO el 1 de febrero de 2004. Entonces detendría toda su replicación
el 1 de marzo de 2004, aunque el componente backdoor de la bomba de tiempo aún estaría activa después de
este tiempo.
Condicional: Este tipo de mecanismo utiliza una condición predeterminada como disparador para entregar su
Payload. Por ejemplo, un archivo renombrado, un conjunto de entradas en el teclado, o el inicio de una
aplicación. Este Malware que utiliza este tipo de disparador es designado en algunas ocasiones como una
bomba lógica.
MECANISMOS DE DEFENSA.
Muchos malwares utilizan algún tipo de mecanismo de defensa para ayudar a reducir la probabilidad de ser
detectados y removidos. Los siguientes son algunos ejemplos de estas técnicas.
Armor (Armadura): Este tipo de mecanismo de defensa emplea una técnica que intenta bloquear el análisis de
código malicioso. Tales técnicas incluyen la detección de la ejecución de una rutina de depuración, intentar
evitar que opere correctamente, o agregar porciones de código sin ningún sentido para hacer difícil el
determinar el propósito del código malicioso.
Stealth: El Malware utiliza esta técnica para ocultarse bloqueando las peticiones de información y devolviendo
datos falsos. Por ejemplo, un virus puede almacenar una imagen del sector de arranque no infectado y exhibirla
siempre que se haga un intento de revisión al sector de arranque infectado. El virus informático más viejo
conocido, llamado “Brain,” utilizó esta técnica en 1986.
Encrypting (Cifrado): El malware que utiliza este mecanismo de defensa se cifra a sí mismo o al Payload (e
incluso otros datos del sistema) para prevenir la detección o la recuperación de datos. El malware cifrado
contiene una rutina estática de desciframiento, una llave de cifrado, y el código malicioso cifrado (que incluye
una rutina de cifrado). Cuando es ejecutado, el malware utiliza la rutina y la llave de desciframiento para
descifrar el código malicioso. Posteriormente el malware crea una copia de su código y genera una nueva llave
de cifrado. Utiliza esa llave y su rutina de cifrado para cifrar la nueva copia de sí mismo, agregando la nueva
llave con la rutina del desciframiento al comienzo de la nueva copia. A diferencia de los virus polimórficos, el
malware que cifra utiliza siempre las mismas rutinas de desciframiento, así que aunque el valor de la llave
(como la firma cifrada de los códigos maliciosos) cambia generalmente de una infección a otra, el software
antivirus puede buscar la rutina estática de desciframiento para detectar el malware que utiliza este mecanismo
de defensa.
Oligomórfico: El malware que exhibe esta característica utiliza el cifrado como mecanismo de defensa y puede
cambiar la rutina del cifrado solamente un número fijo de ocasiones (generalmente un número pequeño). Por
ejemplo, un virus que puede generar dos diversas rutinas de desciframiento sería clasificado como Oligomórfico.
Polimórfico: El malware de este tipo utiliza el cifrado como mecanismo de defensa para evitar la detección,
típicamente cifrándose a sí mismo con una rutina, y después proporcionando diversas llaves de desciframiento
para cada mutación. Así, el malware polimórfico utiliza un número ilimitado de rutinas de cifrado para prevenir la
detección. En las réplicas del malware, una porción de código de desciframiento se modifica. Dependiendo del
código específico del malware, el Payload u otras acciones realizadas pueden o no utilizar el cifrado.
Típicamente, hay un “motor de mutación¨, que es un componente autónomo del malware que genera y
selecciona rutinas de cifrado al azar. Ambos, motor y malware son entonces cifrados, y la nueva llave de
desciframiento se pasa junto con ellas.
Que no es malware
Existe una variedad de amenazas que no se consideran como malware porque no son programas de
computadora escritos con intenciones maliciosas. Sin embargo, estas amenazas pueden tener implicaciones en
seguridad y financieras para una organización.
Joke Software (Software broma): Las aplicaciones broma se diseñan para producir una sonrisa o, en el peor
de los casos, una pérdida de tiempo. Estas aplicaciones han existido desde el inicio del uso de las
computadoras. Porque no fueron desarrollados con intenciones maliciosas y se identifican claramente como
bromas, y no se consideran malware. Hay ejemplos numerosos de aplicaciones broma, produciendo todo tipo
de efectos interesantes de pantalla, animaciones divertidas o juegos.
Hoaxes: Generalmente, es más fácil de engañar a alguien para que realice una acción que escribir el software
que lo hace sin su conocimiento. Por lo tanto, existe una gran cantidad de Hoaxes en la comunidad IT. Como
algunas otras formas de malware, un Hoax utiliza la ingeniería social para engañar a que los usuarios realicen
alguna acción. Sin embargo, en el caso de un Hoax no hay código para ejecutarse; el hoaxer generalmente está
intentando engañar a la víctima. Los Hoax han tomado muchas formas durante años. Sin embargo, un ejemplo
particularmente común es un mensaje de email alerta sobre un virus nuevo que se ha descubierto y pide
advertir a todos sus amigos enviándoles un mensaje. Estos Hoaxes hacen que la gente pierda el tiempo,
consume recursos del servidor de correo, y consume ancho de banda de la red.
Scams: Toda forma de comunicación ha sido virtualmente utilizada, en este tiempo o en otros, para engañar a
la gente sobre las acciones que proporcionarán un beneficio económico criminal. Internet, los Web sites, y el Email no son ninguna excepción. Un mensaje de E-mail que procura engañar al destinatario en revelar la
información personal que se puede utilizar para propósitos ilegales (tales como información de la cuenta
bancaria) es un ejemplo común. Un tipo particular de Scams se conoce como Phishing (también hace referencia
a brand spoofing o carding).
Los ejemplos de Phishing incluyen los casos en los cuales el remitente se hace pasar por compañías conocidas
tales como eBay para intentar ingresar a la información de la cuenta del usuario. Los Scams de Phishing utilizan
a menudo un Web site que copia la apariencia del Web site oficial de una compañía. El E-mail se utiliza para
dirigir al usuario al sitio falso y para engañarlos en incorporar su información de cuenta de usuario, que es
guardar y se utiliza para propósitos ilegales. Estos tipos de casos se deben manejar seriamente y divulgar a las
autoridades locales para la aplicación de la ley.
Spam: El Spam es E-mail no solicitado generado para anunciar algún servicio o producto. Este fenómeno
generalmente es considerado como un fastidio, pero el Spam no es malware. Sin embargo, el dramático
crecimiento en el número de mensajes de Spam que son enviados es un problema para la infraestructura de
Internet, que da lugar a la pérdida de productividad para los empleados que se fuerzan revisar y suprimir tales
mensajes diariamente.
El origen del término Spam se disputa, pero sin importar su origen no hay duda que el Spam se ha convertido
en una de las más molestas y más persistentes comunicaciones basadas en Internet. Muchos consideran que
el Spam es tan significativo que representa una seria amenaza a la salud de las comunicaciones de correo
electrónico alrededor del mundo. Sin embargo, debe ser observado que a excepción de la carga soportada por
los servidores de E-mail y el software Anti-Spam, el Spam no es realmente capaz de replicarse o de amenazar
la salud y la operación de una organización IT o sus sistemas.
El malware ha sido utilizado a menudo por los autores del Spam (llamados spammers) para instalar un pequeño
servidor de correo smtp en una computadora huésped, que entonces se utiliza para reenviar mensajes Spam a
otros recipientes de E-mail.
Spyware: Este tipo de software algunas veces es llamado spybot o software espía. El Spyware utiliza otras
formas de software engañoso y programas que conducen a ciertas actividades en una computadora sin el
consentimiento del usuario. Estas actividades pueden incluir recolectar información personal, y cambiar ajustes
de la configuración del navegador de Internet. Más allá de ser una molestia, el spyware da lugar a una variedad
de problemas, desde degradar el funcionamiento total de una computadora hasta la violación la privacidad
personal.
Los sitios Web que distribuyen spyware utilizan una variedad de trucos para conseguir que los usuarios
descarguen e instalen en sus computadoras el software. Estos trucos incluyen crear experiencias engañosas
para el usuario y secretamente integrar el spyware con otro software que el usuario pudiera desear, por ejemplo
software compartido de libre distribución.
Adware: El Adware se combina a menudo con una aplicación anfitrión que se proporciona sin ningún costo
mientras el usuario acepte las condiciones de uso del adware. Debido a que las aplicaciones adware son
generalmente instaladas después de que el usuario haya aceptado el acuerdo de licenciamiento que menciona
el propósito de la aplicación, no se comete una falta. Sin embargo, los anuncios “pop-up” pueden convertirse
en una molestia, y en algunos casos degradan el funcionamiento del sistema. También, la información que
algunas de estas aplicaciones recolectan pueden vulnerar la privacidad de los usuarios debido a que no están
completamente enterados de los términos en el acuerdo de licencia.
Nota: Mientras que el spyware y el Adware son términos de uso frecuente alternativamente, es solamente el
adware no autorizado el que se considera en igualdad con el spyware. El Adware que proporciona un aviso
apropiado a los usuarios, da opción de no aceptarlo, y el control no es engañoso, no se debe clasificar como
spyware. También es necesario aclarar que una aplicación spyware que dice realizar una función particular,
mientras que de hecho está haciendo algo más, está actuando como un Caballo de Troya.
Internet Cookies: Los llamados Internet cookies son archivos de texto que son colocados en la computadora de
un usuario por los sitios Web que el usuario visita. Las cookies contienen y proporcionan información de
identidad del usuario que los sitios Web colocan en la computadora del usuario, y además pueden contener
cualquier información que el sitio Web desee conservar sobre la visita del usuario. Las cookies son herramientas
legítimas que muchos sitios Web utilizan para registrar información del visitante. Por ejemplo, un usuario puede
intentar hacer una compra de un artículo en un almacén en línea, pero una vez que él o ella tengan
seleccionado el artículo en su carro de compras en línea, puede que desee moverse a otro sitio Web por alguna
razón. El almacén puede elegir salvar la información de los productos que estaban seleccionados en el carro de
compras en una cookie en la computadora del usuario, de modo que cuando el usuario vuelve al sitio, el artículo
todavía está en el carro de compras y listo para que el usuario desee terminar la compra.
La intención de los desarrolladores de sitios Web es solamente recuperar la información almacenada en las
cookies que crearon. Este acercamiento debe asegurar la privacidad del usuario previniendo que cualquier
persona con excepción de los desarrolladores de estos sitios intenten tener acceso a las cookies generados en
las computadoras de los usuarios. Desafortunadamente, algunos desarrolladores de sitios Web se han revelado
por utilizar las cookies para recolectar información sin el consentimiento del usuario. Algunos pueden engañar a
usuarios u omitir sus políticas. Por ejemplo, pueden registrar los hábitos de navegación en diversos sitios Web
sin informar al usuario. Los desarrolladores pueden entonces utilizar esta información para modificar y
personalizar los anuncios publicitarios que el usuario ve en un Web site, lo que es considerado como una
invasión a la privacidad. Es difícil identificar esta forma de publicidad y otras formas de “abuso de cookies,” lo
que hace difícil decidir, cuando, y cómo bloquear las cookies en un sistema. Además, el nivel aceptable de
información compartida varía entre los usuarios, lo que hace difícil crear un programa “anti-cookies” que
resuelva las necesidades de todos los usuarios. Hay un número de técnicas que el software del antivirus utiliza
detectar el malware. Esta sección discute cómo algunas de estas técnicas trabajan, incluyendo:
Exploración por Firmas: Actualmente la mayoría de programas Anti-virus utilizan esta técnica, que implica el
buscar el blanco (computadora huésped, accionamiento de disco, o archivos) por un patrón que podría
representar el Malware. Estos patrones se almacenan generalmente en archivos designados como archivos de
firma, que son puestos al día por los fabricantes del software sobre una base regular para asegurar que los
exploradores del antivirus reconocen tantos ataques sabidos del malware como sea posible. Para que esta
técnica sea efectiva es importante que el software Anti-virus se encuentre al día, con lo que podrá detectar el
Malware.
Exploración heurística: Esta técnica procura detectar nuevas formas de Malware buscando características
generales. La ventaja primaria de esta técnica es que no confía solo en archivos de firmas para detectar y
reparar el Malware. Sin embargo, la exploración heurística tiene un número de problemas específicos,
incluyendo:



Falsos Positivos: Esta técnica utiliza características generales, y es por lo tanto software legítimo
de divulgación propenso como malware si es la característica similar en ambos casos.
Exploración Lenta: El proceso de buscar características es más difícil y consume más recursos
del software que por medio de la búsqueda de un patrón conocido de Malware.
Por esta razón, la exploración heurística puede durar mucho más que la exploración por firmas.
Malware con Nuevas Características Puede ser No Detectado: Si un nuevo ataque de Malware
presenta una nueva característica que no se haya identificado previamente, es probable que el
explorador heurístico falle en detectarlo hasta que sea actualizado.
Bloqueo Por Comportamiento: Esta técnica se centra en el comportamiento de un ataque de Malware más
que en el código de sí mismo. Por ejemplo; si un usuario intenta abrir un puerto de red, por comportamiento el
programa Anti-virus podría detectar esto como actividad típica de Malware, y después mostraría una alerta por
mediante de una ventana emergente y lo clasificaría como posible ataque de Malware.
Resumen
El Malware es un área compleja y en constantemente evolución de la informática. De todos los problemas que
se encuentran en él, pocos son tan frecuentes y costosos como los ataques de malware y los costos asociados
de tratar con ellos. Entendiendo cómo operan, cómo evolucionan con el tiempo, y los vectores de ataques que
explotan, pueden ayudar a ocuparse del problema proactivamente. Y este cambio proveerá de un mayor y más
eficiente proceso reactivo cuando afecte a tu organización. Como el malware utiliza muchas técnicas para crear,
distribuir, y explotar computadoras y sistemas, puede ser difícil ver cómo cualquier sistema se puede hacer
bastante seguro para soportar tales ataques. Sin embargo, una vez que se entiendan los riesgos y las
vulnerabilidades es posible manejar tu sistema de una forma que haga que la posibilidad de un ataque exitoso
sea poco probable. El paso siguiente es analizar los posibles riesgos en tu infraestructura de IT para diseñar
una defensa conveniente.
Vectores de la amenaza de Malwares
Hay un número de métodos con los cuales el malware puede comprometer una organización. Estos métodos se
refieren como vectores de la amenaza y representan las áreas que requieren la mayor atención al diseñar una
solución eficaz del antivirus. La lista siguiente incluye las áreas en las organizaciones típicas que están
conforme a la mayoría del riesgo para el ataque del malware:
Redes Externas: Cualquier red que no esté bajo control directo de una organización se debe considerar como
fuente potencial de malware. Sin embargo, El Internet es el proveedor más grande de malware. El anonimato y
la conectividad que el Internet proporciona, permite que los individuos con intenciones maliciosas ganen rápido
y efectivo acceso a muchos blancos para montar ataques utilizando código malicioso.
Clientes Huésped: A medida que el uso de computadoras portátiles y de dispositivos móviles continúa
ampliándose en negocios, los dispositivos se mueven regularmente dentro y fuera de las infraestructuras de
otras organizaciones. Si los clientes huésped no tienen una defensa eficaz por parte de su antivirus, ellos
representan una amenaza de malware para la organización.
Archivos Ejecutables: Cualquier código que tenga la capacidad de ejecutarse puede actuar como malware.
Esto incluye no sólo programas, también Scripts, los archivos de Batch, y los objetos como los controles ActiveX
de Microsoft.
Documentos: Los procesadores de palabras y las aplicaciones de hojas de cálculo se han vuelto más
poderosas por lo que se han convertido en blanco de los autores de Malware. El soporte de lenguajes de
Macros dentro de muchas aplicaciones las hacen objetivo de ataques por Malware.
E-mail: Los escritores de Malware pueden explotar los archivos adjuntos de E-mail y Código Activo HTML
dentro de los mensajes de E-mail para utilizarlos como métodos de ataque.
Medios Removibles: La transferencia de archivos mediante medios removibles es un problema que las
organizaciones necesitan tratar como parte de sus defensas antivirus. Algunos de los medios desprendibles
más comunes incluyen:
Discos CD-ROM o DVD-ROM: La llegada de la equipos de grabación CD’s y DVD’s baratos han hecho estos
dispositivos muy accesibles a todos los usuarios de computadoras, incluyendo los que programan el malware.
Floppy y ZIP Drives: Estos medios serán cada vez menos frecuentes debido a su baja capacidad y la velocidad
limitada, pero todavía siguen siendo riesgosos si el malware puede accesar físicamente a ellos.
Unidades USB: Estos dispositivos tienen muchas formas. Todos estos dispositivos se pueden utilizar para
introducir malware si pueden ser insertados en el puerto serial universal del bús (USB) de un equipo.
Tarjetas de Memoria: Cámaras Fotográficas Digitales y Dispositivos Móviles, tales como PDA´s y teléfonos,
han ayudado a utilizar las tarjetas de memoria digitales. Los lectores de tarjetas se están convirtiendo en
dispositivos cada vez más estándares en las computadoras, esto hace que a los usuarios se les haga más fácil
transferir datos sobre tarjetas de memoria. Debido a que se vuelven transferencias de tipo archivo, éstas tarjetas
pueden también transferir el malware sobre diversos equipos.
DETECCION Y REPARACIÓN DE MALWARE.
El contenido de este modulo hace referencia de cómo se puede detectar el malware en un equipo de computo
en pocos pasos, es decir; se mencionan algunas características en concreto para detectar algunos códigos
maliciosos.
Cabe hacer mención que las técnicas o la tecnología para la creación y ataque de estos van evolucionando, por
consiguiente se tiene que estar a la vanguardia.
¿Cómo obtienen malware los usuarios?




Al descargar aplicaciones que contienen Adware o spyware.
Al dar clic en los “Popup’s” o “banners” engañosos.
Al visitar sitios que utilizan “Exploit’s” para inyectar malware en los equipos de cómputo.
Muchos usuarios no instalan parches de seguridad de Windows o no usan Antivirus o Antispyware.
¿Características de los archivos malware?
Las principales característica son:








... no tienen ícono.
... no cuentan con descripción o nombre de la compañía.
... no cuentan con firma de Microsoft.
... se alojan en el directorio de Windows o System32.
... incluyen URL’s extrañas (secuestro de navegador).
... establecen conexiones de TCP/IP.
... incluyen o alojan dll’s o servicios sospechosos.
… se encuentran ocultos y con atributos de sistema.
Nota: No todos los archivos que coinciden con alguna de las características antes mencionadas son malware.
Muchos de ellos son aplicaciones válidas del Sistema Operativo, sin embargo éstas características proporcionan
pistas para ubicarlos.
¿Por qué algunos Antivirus no detienen el malware?


Porque dependen de firmas. Es decir, primero se genera el malware y posteriormente se genera la
firma que lo elimina.
El malware los ataca directamente. Mucho del malware generado hoy en día tiene dentro de sus
funciones el deshabilitar a los Antivirus más conocidos, por lo que su reparación se dificulta.
Reparación de malware.
Queda claro que ningún Antivirus tiene una detección del 100%, por lo cual es de suma importancia saber
detectar el malware existente en los equipos sin el apoyo de alguna herramienta Antivirus. Para la mayoría de
los casos excepto en los virus, es posible corregir manualmente las modificaciones realizadas por malware
realizando algunas de las siguientes opciones:




Eliminar los procesos maliciosos y los archivos generados por este.
Eliminar o corregir las llaves de registro generadas por malware.
Corregir las modificaciones realizadas al archivo host.
Restablecer página de inicio de Internet Explorer.
Pasos generales para la eliminación de malware.






Desconectar el equipo de la red.
Identificar procesos maliciosos.
Terminar los procesos identificados.
Identificar y eliminar auto ejecución del malware (llave de registro o acceso directo).
Eliminar los archivos malware.
Reiniciar y repetir.
Métodos para visualizar malware.
En general existen dos métodos para llevar a visualizar malware, a través del Explorador de Windows y por
Línea de Comandos.
Usualmente el malware se encuentra oculto y con privilegios de sistema, por tal razón es necesario configurar el
Explorador de Windows para visualizar archivos con estos atributos.
Por línea de comando se utiliza principalmente el comando “DIR” seguido por algunas opciones más:
dir /a:H nombre_archivo
dir /a:S nombre_archivo
Permite visualizar archivos ocultos.
Permite visualizar archivos con atributos de sistema.
Configuración del Explorador de Windows.
Es recomendable configurar las siguientes opciones:
Mostrar todos los archivos y carpetas ocultos
Ocultar archivos protegidos del Sistema Operativo
Ocultar las extensiones de archivo para tipo de archivos conocidos
Desde el menú “Mi PC”, Herramientas, Opciones de carpeta, “Ver”.
Habilitado.
Deshabilitado.
Deshabilitado.
Configurando Explorador de Windows.
Tip’s para la detección de malware en equipos infectados.
Es importante tener en cuenta que no existen reglas universales para la detección de malware, ya que algunas
de ellas se cumplen y otras para ciertos casos. Sin embargo, lo que se ha comentado hasta el momento, son
indicios de lo que se tiene que buscar en los archivos considerados sospechosos.
Spyware y Adware.
Generalmente aparecen como pop-up’s mostrando publicidad o alguna alerta sugiriendo la compra de algún
producto. Usualmente este tipo de malware se inyecta en el Explorer.exe (administrador de las ventanas en
Windows) a través de una dll.
Eliminación Manual.
a. Ubicar archivo malicioso. Herramientas sugeridas Process Explorer y HijackThis.
b. Terminar el proceso(s) malicioso(s). En caso de ser una dll terminar el proceso al cual está asociado.
c. Borrar archivo malicioso.
d. Reiniciar el equipo y verificar que el problema se ha solucionado.
Malware por USB’s.
El uso de memorias USB se ha extendido notablemente para la transferencia de información, por lo que es
utilizado como un importante medio de infección. Principalmente existen dos archivos en el medio extraíble:
”autorun.inf” (tiene como función ejecutar automáticamente otro archivo) y ”archivo ejecutable” (el cual es
ejecutado por el autorun.inf) en cualquier ruta del USB; estos archivos se encuentran ocultos y con atributos de
sistema. Para conocer la ruta del archivo ejecutable basta abrir el autorun.inf con el bloc de notas y verificar la
ruta del ejecutable. Es importante contar con los dos archivos a la hora de reportar la muestra.
Eliminación Manual
a. Ubicar archivos maliciosos. El autorun.inf se ubica en unidades raíz (c, d, e, etc.), para visualizarlo se
utiliza el comando dir /a:H c:\autorun.inf. El ejecutable se encuentra indicado dentro del autorun.inf.
b. Terminar los procesos maliciosos. Se puede utilizar el Process Explorer para tal finalidad.
c. Borrar archivos maliciosos.
d. Reiniciar equipo y verificar que el problema esté resuelto.
Troyanos y Gusanos.
Usualmente se alojan en la carpeta de System32 y Windows (aunque pueden tener cualquier otra ruta).
Generan llaves de registro para que inicie junto con Windows: las rutas más comunes son:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
O bien, generan un acceso directo en la carpeta siguiente:
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio.
Nota: La mejor defensa contra los troyanos es no ejecutar nada del cual se desconozca su origen, así como
mantener software Antivirus actualizado. También es importante tener instalado un firewall o bien utilizar el que
viene instalado con Windows.
Una manera de detectarlos es inspeccionando frecuentemente la lista de procesos activos en memoria en busca
de elementos extraños, vigilar accesos a disco innecesarios, etc.
Eliminación manual.
a. Ubicar archivo malicioso. Herramientas sugeridas Process Explorer y HijackThis.
b. Terminar el proceso(s) malicioso(s).
c. Borrar archivo malicioso.
d. Reiniciar el equipo y verificar que no se regeneren los archivos.
ROOTKIT.
Su característica especial es su método de ocultamiento, la cual impide sea detectada por métodos
convencionales (los archivos no son visibles). Generalmente inician junto con Windows como un driver, por lo
que su posible ubicación es:
C:\WINDOWS\system32\drivers
Hay limitaciones inherentes a cualquier programa que intente detectar rootkits mientras se estén ejecutando en
el sistema sospechoso. Los rootkits son aplicaciones que modifican muchas de las herramientas y librerías de
las cuales depende el sistema. Algunos rootkits modifican el propio kernel (a través de módulos y otros
métodos). El principal problema de la detección de rootkits consiste en que el Sistema Operativo en ejecución
no es fiable globalmente. En otras palabras, algunas acciones como pedir la lista de los procesos en ejecución o
listar los ficheros de un directorio no son fiables al no comportarse como deberían.
El mejor método para detectar un rootkit es apagar el sistema que se considere infectado y revisar o salvar los
datos arrancando desde un medio alternativo, como un CD-ROM de rescate o un USB. Un rootkit inactivo no
puede ocultar su presencia. Los programas antivirus mejor preparados suelen identificar a los rootkits que
funcionan mediante llamadas al sistema y peticiones de bajo nivel, las cuales deben quedar intactas. Si hay
alguna diferencia entre ellas, se puede afirmar la presencia de un rootkit. Los rootkits intentan protegerse a sí
mismos monitorizando los procesos activos y suspendiendo su actividad hasta que el escaneo ha finalizado, de
modo que el rootkit no pueda ser identificado por un detector. Una herramienta utilizada para la detección de
rootkits es Rootkit Hook Analyzer.
Eliminación manual
a. Deshabilitar System Restore.
b. Iniciar equipo en modo “A prueba de fallos”.
c. Ubicar archivo malicioso. Puede utilizar las herramientas de Autoruns y HijackThis.
d. Eliminar archivo.
e. Reiniciar y validar la solución del problema.
Ciclo de vida de un virus
1.
2.
3.
4.
5.
6.
Creación (Diseño)
Replicación (Reproducción)
Activación (Lanzamiento)
Descubrimiento (Detección)
Asimilación (incorporación)
Erradicación (Erradicación)