seguridad informatica basica virus

SEGURIDAD INFORMATICA BASICAPRIMERA PARTE

Departamento Subdelegacional de Informatica

Area de Procesos

Fernando Alfonso Casas de la Torre

Matricula 10286071

Departamento de InformáticaSubdelegación Torreón

SEGURIDAD INFORMATICA BASICA

¿ Q U I E N INFECTA UN EQUIPO DE COMPUTO?

Los causantes de estas fallas son los VIRUS, que no son los que nos platican en las clases de biología, sino programas preparados por gente para hacer daño.

Así como hay analistas de sistemas que hacen programas para liquidar sueldos, o para llevar la contabilidad; hay otros que mediante instrucciones te borran la pantalla, te sobrescriben tus archivos, te bloquean direcciones, etc.

Pero el principal propagador de virus no son los hackers que crean los virus, sino los usuarios que no tienen los cuidados básicos en el manejo de información.

La forma mas sencilla y mas difundida es que entran a la computadora vía Internet, por un disquete, CD o DVD que te presten y donde está grabado el virus.


¿ Q U E INFECTA UN EQUIPO DE COMPUTO?

El ordenador se puede infectar de muchas maneras siendo las mas comunes son las siguientes …:

• Memorias USB o pen drive

• Correos electrónicos con adjuntos ejecutables

• Al visitar sitios infectados que ejecutan código remoto

• Plugins para el explorador

• Cookies de rastreo

• Programas gratis bajados del internet que traen virus o toolkits

• Música bajada de sitios o programas P2P

• Memoria de Celulares


NUEVOS MEDIOS DE INFECCION:

Poca gente sabe que con la evolución tecnológica hoy existen muchos dispositivos que tienen acceso a internet (teléfonos celulares, handhelds, telefonos VOIP, etc..) y como todos estos equipos disponen de MEMORIA DE ALMACENAMIENTO y MICROPROCESADORES son susceptibles a contagiarse.

Hay virus que pueden estar atacando y perjudicando el rendimiento y modo de trabajo de estos dispositivos en cuestión sin que el usuario sepa de ello

El temor entre los especialistas en seguridad digital es que con la propagación de una inmensa cantidad de dispositivos con acceso a internet, los hackers se van a empezar a interesar cada vez más por atacar a estos nuevos medios.

También se vio recientemente que los virus pueden llegar a productos electrónicos defectuosos, como pasó recientemente con iPODS de Apple, que traían un "inofensivo" virus (cualquier antivírus lo elimina, antes de que él elimine algunos archivos contenidos en el iPOD).

SEGURIDAD INFORMATICA BASICATIPOS DE VIRUS: A continuación se detallan algunos de los distintos tipos de virus de

computadoras mas conocidos:

• VIRUS BOOT : infecta la partición de inicialización del sistema operativo. El virus se activa cuando la computadora es encendida y el sistema operativo se carga.

• TIME BOMB : Una vez infectado un determinado sistema, el virus solamente se activará y causará algún tipo de daño el día o el instante previamente definido.

• WORM : Con el interés de hacer un virus pueda esparcirse de la forma más amplia posible, sus creadores a veces, dejaron de lado el hecho de dañar el sistema de los usuarios infectados y pasaron a programar sus virus de forma que sólo se repliquen, sin el objetivo de causar graves daños al sistema.

• TROYANOS : Ciertos virus traen en su interior un código aparte, que le permite a una persona acceder a la computadora infectada o recolectar datos y enviarlos por Internet a un desconocido, sin que el usuario se de cuenta de esto.

• HIJACKERS : son programas o scripts que "secuestran" navegadores de Internet, principalmente el Internet Explorer.

• KEYLOGGER : el significado de los términos en inglés que más se adapta al contexto sería: Capturador de teclas. Luego que son ejecutados, normalmente los keyloggers quedan escondidos en el sistema operativo, de manera que la víctima no tiene como saber que está siendo monitorizada.


MEDIOS DE CONTAGIO

FALSOS ANTIVIRUS: Se ofrecen GRATIS al usuario de la red mediante atractivos anuncios ofreciendo una solución efectiva gratuita de ANTI-SPYWARE, ANTI-MALWARE Y TROYANOS pero en realidad son todo lo contrario …

Los Usuarios por obtener soluciones fáciles, al no querer comprar VACUNAS ORIGINALES y en su desconocimiento infectan los equipos. Descargan antivirus GRATIS de la red pero no son tales pero al instalarlos desinstalan los antivirus y protecciones con que cuenta el equipo.


MEDIOS DE CONTAGIOArchivos infectados: El usuario es el principal PORTADOR de

virus. Los virus no llegan solos.

Virus de correos: Esos molestos virus hacen casi lo mismo que el anterior con la diferencia que, te dañan el explorador de navegación web (IEXPLORE; FIREFOX, etc.) y te meten publicidad, que esta ya infectada por dichos virus.

Pishing: Se envían atractivos anuncios en la red o emails para que el usuario descargue por su propia voluntad y mediante engaño estos programas.


ENLACES ENGAÑOSOSEs común que los desarrolladores de códigos maliciosos

intenten propagar sus amenazas a través de distintos medios de comunicación.

Haciendo uso de técnicas de Ingeniería Social intentan aumentar la eficacia de sus engaños: un correo con un enlace a un video de YouTube, un mensaje de Facebook que dice tener fotos nuestras y hasta un simple tweet que nos recomienda seguir a alguien en Twitter pueden ser utilizados como canales de propagación de códigos maliciosos.

Los acortadores de URL, como por ejemplo http:/*.bitly, son ampliamente utilizados para propagar amenazas, escondiendo el enlace real para lograr que el usuario haga clic sin siquiera pensar que su equipo podría verse afectado.

Pero, ¿esto es (o fue) siempre así? La respuesta es no, si bien es una técnica muy común no es lo único que existe.


¿ C O M O SE INFECTA UN EQUIPO DE COMPUTO?

• Primero, el virus de algún archivo, fichero o cualquier cosa que descargas, entra en el sistema operativo (Windows).

• Lo siguiente que hace es "instalarse"en algún archivo, cambiarle configuración y inyectar en todo el equipo lo que conocemos (malware, spyware, troyanos y otros tipos distintos tipos de virus).

• El código del virus se EJECUTA.

• Estos virus casi siempre entran en las Directiva de Grupo(inicio/ejecutar/gpedit.msc),cambian las configuraciones, bloquean puertos, instalan keyloggers e y impiden al usuario realizar cambios.

• Todo este proceso es INVISIBLE al usuario pero en ocasiones se advierte un cambio en el rendimiento del equipo.


Funcionamiento de un TROYANO (1)

Durante el análisis de códigos maliciosos es común encontrarnos con algunos patrones que se repiten una y otra vez. Entre esta serie de situaciones algunas familias de malware se utilizan para fines específicos.

En este caso veremos a grandes rasgos una variante del troyano Win32 /TrojanDownloader que ha sido utilizada para vulnerar la seguridad de los usuarios e infectar sus sistemas para comprender más acerca de esta importante familia de códigos maliciosos.

Cumple un rol sencillo sin embargo efectivo. En la mayoría de las situaciones se trata de archivos de muy poco tamaño, que pueden estar disfrazado por algún tipo de software y su objetivo es saltear los mecanismos de seguridad para descargar otra amenaza desde algún lugar en Internet.

En otras palabras, se aseguran de que si no son detectados por las soluciones de seguridad, el otro código malicioso que descarga también podrá ejecutarse sin ser detectado. Por otro lado, si el primer archivo es detectado, no continúa la descarga minimizando las probabilidades de que el ataque sea descubierto.



Para poder conocer de qué sitio se descarga la otra amenaza, podemos utilizar distintas técnicas y análisis. Vamos a ver algunas de ellas para ver cómo se complementan y qué se puede inferir desde el punto de vista de un analista de malware.

En primera instancia, podemos abrir la muestra en un debugger, y tratar de mirar las strings (cadenas de texto) para ver si existe algún tipo de información relevante. Según la variante de esta familia, dicha información podría estar cifrada o codificada a través de algún tipo de encriptación u ofuscamiento. En este caso, a través de un breve análisis estático del código malicioso es posible identificar dos puntos importantes del mismo.

1. Primero, encontramos una dirección URL a la cual podría conectarse para descargar otra amenaza

2. El nombre con el que lo almacenaría en disco (WindowsSecurityUpdate.exe).3. Con esta información, sabemos que al ejecutar el código malicioso, hay que analizar

si se conecta a esa dirección URL y con qué nombre guarda el archivo en el sistema. 4. En este momento nos es útil realizar un análisis dinámico para capturar el tráfico de

red y ver si crea algún archivo en el sistema con ese nombre.



Para comprobar nuestra hipótesis, utilizamos una máquina virtual, usamos ( p.ej. ejemplo Wireshark para capturar el tráfico de red y Process Monitor para ver qué cambios realiza en el sistema) y ejecutamos el código malicioso. Para verificar la conexión al sitio web que encontramos, podemos poner un filtro en las solicitudes de DNS (Domain Name Service), y luego analizar la comunicación.

Como pueden ver en la siguiente captura, es posible ver que se realice un GET al sitio malicioso y la respuesta del servidor es un archivo ejecutable, ya que el header file del archivo es un MZ:

http://www.wireshark.org/

http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

http://es.wikipedia.org/wiki/Domain_Name_System

http://es.wikipedia.org/wiki/Archivo_de_cabecera



Entonces, analizando el tráfico de red nos fue posible corroborar que este código malicioso se conecta a un sitio web y descarga otro archivo ejecutable detectado por ESET Smart Security como una variante del troyano Win32/Agent.UTK.

Ahora deberíamos verificar dónde se guarda este archivo dentro del sistema. Si bien habíamos encontrado datos importantes durante el análisis estático, ahora tenemos que comprobarlos. Utilizando Process Monitor, podemos aplicar filtros para ver las escrituras de archivos en el sistema (WriteFile) y ver qué es lo que encontramos:



Como pueden ver, primero se guarda el archivo descargado dentro de la carpeta de archivos temporales de Internet “C:Documents and SettingsAdministradorConfiguración localArchivos temporales de InternetContent.IE589EFSDQRsss[1].exe” para luego dejar una copia en los archivos temporales del sistema “C:Documents and SettingsAdministradorConfiguración localTempWindowsSecurityUpdate.exe“.

De esta manera, el cibercriminal se asegura que esta segunda amenaza no será detectada y la variante de Win32/TrojanDownloader que utilizó ha logrado su cometido: infectar el sistema y actuar como un dropper, para ejecutar una amenaza completamente distinta.

Uno de los puntos a destacar de este análisis es demostrar cómo algunas familias de códigos maliciosos son utilizadas para fines específicos, como por ejemplo la familia de malware de Win32/TrojanDownloader, que primero busca infectar un sistema para luego descargar otro tipo de amenazas.

SEGURIDAD INFORMATICA BASICA¿Cómo evitar infecciones en E L E Q U I P

O ?

• Utilice un buen antivirus y actualícelo regularmente. Compruebe que el antivirus incluye soporte técnico, resolución urgente de nuevos virus y servicios de alerta. Asegúrese de que el antivirus está siempre activo.

• Si en su equipo existen protecciones y medidas de seguridad RESPETELAS: Estan ahí para protegerle.

• HAGA EL HABITO de escanear completamente discos, disquetes, unidades, directorios, archivos, etc.

• No introduzca archivos desde dispositivos USB con probabilidad de contagio (celulares, memorias flash, reproductores, etc) como MUSICA, FOTOS, JUEGOS, etc.

• Configure su software antivirus para arrancar automáticamente en el inicio de la máquina.

• Nunca tenga más de un antivirus instalado, puede llegar a tener muchos problemas con el ordenador.

• Si sospecha que puede estar infectado pero su antivirus no le detecta nada extraño, escanee su equipo con varios antivirus en línea pero de sitios de confianza.

SEGURIDAD INFORMATICA BASICA¿Cómo evitar infecciones por I N T E R

N E T ?

Sea precavido cuando descargue archivos desde Internet: compruebe que la fuente es legítima y de confianza; y asegúrese de que el programa antivirus comprueba los archivos en el sitio de descarga.

No comparta ficheros a través de programas P2P ni utilice estos programas (ARES, BEARSHARE, etc): son una fuente inagotable de virus, tanto por los puertos que se dejan abiertos para transmitir la información, como por los ficheros descargados que pueden contener virus.

Configure el navegador escogiendo el nivel de seguridad adecuado: instale un cortafuegos. Se pueden evitar bastantes infecciones por virus a través de Internet si se tienen determinados puertos cerrados.

Instálese un antiespías para navegar por Internet, de esta forma evitará publicidad no deseada y redirecciones a páginas no esperadas.

SEGURIDAD INFORMATICA BASICA¿Cómo evitar infecciones por E M A I L ?

• Borre los mensajes de correo electrónico encadenados o basura. No reenvíe ni conteste a ninguno de ellos. Este tipo de mensajes de correo electrónico se denominan "spam".

• Sea precavido con los archivos adjuntos de mensajes de correo electrónico:

• No abra ninguno que proceda de una fuente desconocida, sospechosa o no fidedigna.

• No los abra a menos que sepa qué son, aun cuando parezca proceder de alguien que conoce.

• No los abra si la línea del asunto es dudosa o inesperada. Si existe la necesidad de abrirlo, antes de hacerlo, guarde siempre el archivo en la unidad de disco duro.

MUCHAS GRACIAS POR SU TIEMPO Y ATENCION

Departamento de Informática, Subdelegación Torreón

Fernando Alfonso Casas de la Torre

Matricula 10286071

VPN 8-2004-1217 y 1218

[email protected]