Malware
- En PC:
1.-Gusanos: En términos informáticos, los gusanos son en realidad un sub-conjunto
de malware. Su principal diferencia con los virus radica en que no
necesitan de un archivo anfitrión para seguir vivos. Los gusanos pueden
reproducirse utilizando diferentes medios de comunicación como las redes
locales o el correo electrónico. El archivo malicioso puede, por
ejemplo, copiarse de una carpeta a otra o enviarse a toda la lista de
contactos del correo electrónico.
El archivo malicioso puede copiarse de una carpeta a otra o enviarse a
toda la lista de contactos del correo electrónico, citando solo algunos
ejemplos.
La segunda diferencia con los virus tradicionales es que los gusanos
no deben necesariamente provocar un daño al sistema. El principal
objetivo de un gusano es copiarse a la mayor cantidad de equipos como
sea posible. En algunos casos los gusanos transportan otros tipos de
malware, como troyanos o rootkits; en otros, simplemente intentan agotar
los recursos del sistema como memoria o ancho de banda mientras intenta
distribuirse e infectar más ordenadores.
Los gusanos aprovechan las vulnerabilidades del sistema para
propagarse; tanto de un sistema operativo como vulnerabilidades de las
aplicaciones.
Para infectar por primera vez el equipo, estos programas generalmente
aprovechan la ingeniería social mostrando temas o mensajes atractivos,
principalmente si se trata de un mensaje de correo electrónico con el
gusano adjunto. Una vez que se realizó esta acción, el gusano ya se
propaga por los diferentes archivos del sistema o por la red a la que
está conectado el mismo, siguiendo su propagación por sí solo.
El surgimiento de estas amenazas puede ubicarse a finales de los años
’80, más precisamente en el año 1988, cuando apareció el gusano Morris,
considerado el primero de su especie. Este, logró colapsar cientos de
sistemas pertenecientes a ArpaNet (la predecesora de Internet).
En general, los gusanos son mucho más fáciles de eliminar de un
sistema que los virus, dado que no infectan archivos. Los gusanos muy a
menudo se añaden al inicio del sistema o modifican las claves de
registro, para asegurarse que serán cargados cada vez que el mismo se
inicie.
Tipos de gusanos
- de correo electrónico
Los gusanos que se envían por correo electrónico son los más antiguos y los más populares también hasta el momento. Las técnicas utilizadas son similares a las explicadas en el ítem anterior: mensajes atractivos utilizando ingeniería social, envío automático a la libreta de contactos si el usuario está infectado y archivos adjuntos por lo general ejecutables. Una de las características relevantes es la de suplantar la identidad de un usuario con fines maliciosos, conocida como spoofing. De esta forma, el correo llega a través de un remitente conocido por el usuario, solo que este no ha enviado el correo de forma voluntaria. Este detalle puede hacer que el usuario confíe en el correo solo por los datos de quién lo envía - de P2P
Los gusanos también utilizan las redes P2P como medio de transmisión para infectar ordenadores. En este tipo de redes (como el Emule o el Kazaa) utilizan nombres atractivos, teniendo en cuenta cuáles son las palabras más buscadas en estos servicios. Entre los disfraces más comunes, aparentan ser generalmente cracks de programas, fotos o videos de mujeres famosas o películas taquilleras. - Web
También es posible descargar un gusano a través de páginas web. Las técnicas utilizadas son similares al resto de los tipos de gusanos, utilizando nombres atractivos y creando páginas web falsas. Estos gusanos se combinan muchas veces con técnicas de phishing para lograr que la víctima ingrese a la página web y descargue el archivo malicioso.
Otra metodología de propagación web, utilizada por los gusanos, es a través de vulnerabilidades en las aplicaciones utilizadas. A través de la ejecución de scripts (porciones de código), es posible generar una descarga y ejecución del código malicioso, sin necesidad de intervención del usuario. Esta técnica se denomina Drive-By-Download, siendo el único paso que realiza el usuario para infectarse, el ingreso a una URL con el código malicioso. Estos scripts, se encuentran por lo general ofuscados, de forma tal de evitar su detección. - de mensajería instantánea
Estos gusanos aprovechan el envío de archivos en el cliente de mensajería instantánea. Por lo general, solo afectan a los más populares: el MSN y el Windows Messenger. De esta forma, el usuario recibe la opción para transferir un archivo que en realidad es malware. Por lo general, estos archivos utilizan nombres atractivos para asegurarse que más usuarios lo descargarán, combinando el malware con técnicas de ingeniería social. Por lo general, una Pc que está infectada con este tipo de malware, al iniciar sesión en Messenger, automáticamente el código malicioso envía el archivo (la invitación para descargar el archivo específicamente) a todos los contactos que tenga el usuario conectados. Otra característica es que comúnmente estos archivos son ejecutables (extensión .exe o .bat) a pesar de que en el texto de envío figuran como fotos o videos.
2.- Troyanos:El nombre de esta amenaza proviene de la leyenda del caballo de
Troya, ya que el objetivo es el de engañar al usuario. Son archivos que
simulan ser normales e indefensos, como pueden ser juegos o programas,
de forma tal de "tentar" al usuario a ejecutar el archivo. De esta
forma, logran instalarse en los sistemas. Una vez ejecutados, parecen
realizar tareas inofensivas pero paralelamente realizan otras tareas
ocultas en el ordenador.
Al igual que los gusanos, no siempre son malignos o dañinos. Sin
embargo, a diferencia de los gusanos y los virus, estos no pueden
replicarse por sí mismos.
Los troyanos pueden ser utilizados para muchos propósitos, entre los que se encuentran, por ejemplo:
- Acceso remoto (o Puertas Traseras): permiten que el atacante pueda conectarse remotamente al equipo infectado.
- Registro de tipeo y robo de contraseñas.
- Robo de información del sistema.
Los "disfraces" que utiliza un troyano son de lo más variados. En
todos los casos intentan aprovechar la ingenuidad del usuario explotando
diferentes técnicas de Ingeniería Social. Uno de los casos más comunes
es el envío de archivos por correo electrónico simulando ser una imagen,
un archivo de música o algún archivo similar, legitimo e inofensivo.
Además del correo electrónico, otras fuentes de ataque pueden ser las
mensajerías instantáneas o las descargas directas desde un sitio web.
Al igual que los gusanos, se pueden encontrar los primeros troyanos a
finales de los años ’80, principios de los años ’90, de la mano del
surgimiento de la Internet.
Tipos de troyanos
- Backdoors:
Otros nombres para estos tipos son troyanos de acceso remoto o puertas traseras. Un troyano de estas características, le permite al atacante conectarse remotamente al equipo infectado. Las conexiones remotas son comunmente utilizadas en informática y la única diferencia entre estas y un backdoor es que en el segundo caso, la herramienta es instalada sin el consentimiento del usuario. La tecnología aplicada para acceder remotamente al equipo no posee ninguna innovación en particular ni diferente a los usos inofensivos con que son utilizadas estas mismas aplicaciones. Una vez que el atacante accede al ordenador del usuario, los usos que puede hacer del mismo son variados, según las herramientas que utilice: enviar correos masivos, eliminar o modificar archivos, ejecución de archivos, reiniciar el equipo o usos más complejos como instalar aplicaciones para uso malicioso (por ejemplo: alojamiento de sitios web de violencia o pedofilia). - Keyloggers:
Los keyloggers (del inglés Key = Tecla y Log = Registro) son uno de los tipos más utilizados para obtener información sensible de los usuarios. Los troyanos de este tipo, instalan una herramienta para detectar y registrar las pulsasiones del teclado en un sistema. Pueden capturar información como contraseñas de correos, cuentas bancarias o sitios web, entre otras, y por lo tanto atentar contra información sensible del usuario. La información capturada es enviada al atacante generalmente, en archivos de texto con la información. Estos troyanos, no son una amenaza para el sistema sino para el usuario y su privacidad. Los datos recolectados, pueden ser utilizados para realizar todo tipo de ataques, con fines económicos o simplemente malignos como modificar las contraseñas de las cuentas de acceso a algún servicio. - Banker:
Los troyanos bancarios tienen como principal objetivo robar datos privados de las cuentas bancarias de los usuarios. Utilizan diferentes técnicas para obtener los datos de acceso a todo tipo de entidades financieras, algunas de ellas son: reemplazar parcial o totalmente el sitio web de la entidad, enviar capturas de pantalla de la página bancaria (útiles cuando el usuarios utiliza teclados virtuales) o incluso la grabación en formato de video de las acciones del usuario mientras accede al sitio web. Los datos son enviados al atacante, por lo general, por correo electrónico o alojándolos en sitios FTP. - Downloader:
Este tipo de troyanos tiene como principal función la de descargar otros archivos maliciosos. Esta clase de amenazas no hace algún daño en sí, sino que descarga otros archivos maliciosos para el ordenador. El troyano se encarga, no solo de descargar el/los archivos, sino también de ejecutarlos o preparar la máquina para su ejecución automática al inicio. - Botnets:
Los troyanos botnets, son utilizados para crear redes de equipos zombis (botnets). El atacante utiliza el troyano (generalmente combinado con herramientas de backdoors) para controlar una cantidad importante de ordenadores y así poder utilizarlos para cualquier fin maligno. Pueden ser utilizados para enviar spam o para realizar ataques de denegación de servicio (DoS); estos consisten en saturar un sitio web generando más accesos y requerimientos de los que puede soportar y provocando la baja del servicio. De forma simple: el atacante dispone de miles de ordenadores para utilizarlos como él quiera y para los fines que él desee. Utilizar un troyano no es la única forma de crear y controlar una red botnet, sino simplemente una de ellas. - Proxy:
Este tipo de troyanos instalan herramientas en el ordenador que le permiten al atacante utilizar la Pc infectada como un servidor proxy. Un proxy es un servidor que da acceso a otros ordenadores a Internet a través de él. En este caso, el atacante utiliza el ordenador infectado para acceder a la web a través de él, enmascarando su identidad. En resumen, el atacante utiliza el troyano para cometer delitos por Internet (envío de spam, robo de información o de dinero) y, si se rastreara el origen del ataque, se encontraría la Pc infectada con el troyano. - Password Stealer:
Los password Stealer se encargan de robar información introducida en los formularios en las páginas web. Pueden robar información de todo tipo, como direcciones de correo electrónico, logins, passwords, PINs, números de cuentas bancarias y de tarjetas de crédito. Estos datos pueden ser enviados por correo electrónico o almacenados en un servidor al que el delincuente accede para recoger la información robada. En la mayoría de sus versiones, utilizan técnicas keyloggers para su ejecución y son similares a estos. - Dialer:
Los troyanos "Dialer" crean conexiones telefónicas en el ordenador del usuario, utilizando las funcionalidades del módem. Estas conexiones son creadas y ejecutadas de forma transparente a la víctima. Generalmente, se trata de llamados de alto costo a sitios relacionados con contenido adulto en Internet. Este tipo de troyanos crean un daño económico al usuario, el ordenador no se ve afectado por hacer una llamada telefónica.
3.-Botnets:
Un malware del tipo bot es aquel que está diseñado para armar botnets. Constituyen una de las principales amenazas en la actualidad. Este tipo, apareció de forma masiva a partir del año 2004, aumentando año a año sus tasas de aparición.
Una botnet es una red de equipos infectados por códigos maliciosos,
que son controlados por un atacante, disponiendo de sus recursos para
que trabajen de forma conjunta y distribuida. Cuando una computadora ha
sido afectado por un malware de este tipo, se dice que es un equipo es
un robot o zombi.
Cuando un sistema se infecta con un malware de este tipo, en primer
término se realiza una comunicación al Centro de Comando y Control
(C&C) de la red botnet, el lugar dónde el administrador de la red
puede controlar los equipos zombis. Con este paso consumado, el atacante
ya posee administración del sistema infectado desde su C&C (uno o
más servidores dedicados a tal fin). Desde allí, el atacante podrá
enviar órdenes a los equipos zombis haciendo uso de los recursos de
estos.
Al controlar los sistemas remotamente (total o parcialmente), los
dueños de las redes botnets puede disponer de estas para llevar a cabo
diversas tareas maliciosas, aprovechando los recursos de todos los
equipos que forman parte de la red para cometer cualquier tipo de acción
dañina.
Algunas de las tareas que se realizan con frecuencia desde redes botnets son:
- Envío de spam
- Realización de ataques de denegación de servicio distribuido (DDoS)
- Alojamiento de archivos para sitios web: material pornográfico, pedófilo, warez, cracks, sitios de phishing, etc.
- Distribución e instalación de nuevo malware
- Abuso de publicidad online
La comunicación entre los equipos zombis y el C&C se realiza a
través de comandos. Estos pueden ser enviados por diferentes
metodologías y protocolos: canales de chat IRC (metodología clásica),
comunicaciones HTTP, redes peer-to-peer (P2P) o comandos en redes
sociales (metodologías modernas), entre otras.
Las acciones que realiza un equipo zombi, tanto en su comunicación
con el administrador de la red, como en sus actividades maliciosas; son
realizadas en su totalidad de forma transparente al usuario. Por este
motivo, uno de los síntomas más importantes de un sistema infectado por
un malware de este tipo, es el consumo excesivo de recursos, el cual
ralentiza el funcionamiento del sistema y de las conexiones, incluso,
impedirá su utilización.
En la actualidad, las redes botnet son uno de los recursos más
utilizados por los atacantes para perpetrar acciones maliciosas,
otorgando a estos la posibilidad de realizar ataques a gran escala desde
todos los sistemas infectados. Además, las redes botnet ofrecen a los
atacantes anonimato, siendo los equipos zombis los que en última
instancia están realizando el ataque o acción dañina.
4.-Keylog: aparecen por navegar por ciertas paginas web.Todo lo que escribes en el teclado se registra en un documento de texto que se envía al que genera el Keylog.
5.-Herramientas de seguridad(enlaces)
Enlace de herramienta de antivirus Security Essentials:http://windows.microsoft.com/es-es/windows/security-essentials-download
Enlace del antivirus Kaspersky lab:http://www.kaspersky.com/virus-scanner
Enlace antivirus Virus Total:http://www.osi.es/es/recursos/utiles-gratuitos/virus-total
Enlace antivirus DR.Web:http://www.freedrweb.com/
4.-Keylog: aparecen por navegar por ciertas paginas web.Todo lo que escribes en el teclado se registra en un documento de texto que se envía al que genera el Keylog.
5.-Herramientas de seguridad(enlaces)
Enlace del antivirus NORTON:http://es.norton.com/
Enlace del antivirus Windows Defender:http://windows.microsoft.com/es-ES/windows/what-is-windows-defender-offline
Enlace de análisis del nivel de seguridad del PC:https://conan.cert.inteco.es/analizador.php
Enlace de herramienta de antivirus Security Essentials:http://windows.microsoft.com/es-es/windows/security-essentials-download
Enlace del antivirus Kaspersky lab:http://www.kaspersky.com/virus-scanner
Enlace antivirus Virus Total:http://www.osi.es/es/recursos/utiles-gratuitos/virus-total
Enlace antivirus DR.Web:http://www.freedrweb.com/
- EN MÓVIL:
Cuando a mediados de la década pasada se popularizaron los
smartphones, se empezó a hablar casi al mismo tiempo de malware para
móviles. Al principio no pasaban de ser meras pruebas de concepto, como
el virus Caribe (o Cabir), que infectaba móviles Symbian y se propagaba a
través de Bluetooth; sus únicas acciones consistían en mostrar un
mensaje y propagarse.
Bluetooth es una tecnología que ha sido usada por más malware. Para evitar infectarse basta con rechazar el archivo entrante o no instalar la aplicación, pero eso no ha evitado infecciones masivas en lugares con grandes aglomeraciones de gente. El virus Skuller, aparecido en 2004, fue el primer ejemplo de malware dañino: reemplazaba los iconos con calaveras y borraba archivos al azar.
Otra vía de infección clásica son los mensajes multimedia (MMS). En 2010, el virus MMS Bomber afectó a millones de móviles Symbian en China. Un caso similar fue el de CommWarrior, aparecido en 2005, que invitaba a los usuarios a ejecutar un juego y se propagaba aprovechando la agenda de contactos del móvil.
¿Qué puede hacer un virus móvil, aparte de propagarse y borrar archivos? Según los expertos de Kaspersky Lab, sólo el sistema operativo pone el límite. En 2005 se hablaba de control remoto, envío de spam y bloqueo de tarjetas de memoria, pero ahora es más frecuente citar el robo de datos y el envío de SMS costosos.
Bluetooth es una tecnología que ha sido usada por más malware. Para evitar infectarse basta con rechazar el archivo entrante o no instalar la aplicación, pero eso no ha evitado infecciones masivas en lugares con grandes aglomeraciones de gente. El virus Skuller, aparecido en 2004, fue el primer ejemplo de malware dañino: reemplazaba los iconos con calaveras y borraba archivos al azar.
Otra vía de infección clásica son los mensajes multimedia (MMS). En 2010, el virus MMS Bomber afectó a millones de móviles Symbian en China. Un caso similar fue el de CommWarrior, aparecido en 2005, que invitaba a los usuarios a ejecutar un juego y se propagaba aprovechando la agenda de contactos del móvil.
¿Qué puede hacer un virus móvil, aparte de propagarse y borrar archivos? Según los expertos de Kaspersky Lab, sólo el sistema operativo pone el límite. En 2005 se hablaba de control remoto, envío de spam y bloqueo de tarjetas de memoria, pero ahora es más frecuente citar el robo de datos y el envío de SMS costosos.
Cómo mantener el móvil a salvo
Antes de esperar a que el malware aparezca de repente, es recomendable seguir unas cuantas normas básicas de seguridad. Hemos compilado una lista para que mantengas tu smartphone a salvo en la mayoría de situaciones:
- No aceptar mensajes o archivos vía Bluetooth por parte de desconocidos
- Si no usas Bluetooth, de hecho, mejor que lo desactives por completo
- No instalar aplicaciones sin haber verificado su procedencia, especialmente si no están firmadas
- En caso de hacer jailbreak a tu iPhone, cambia la contraseña de superusuario
- Si tienes un Android rooteado, instala Superuser para que toda aplicación solicite permiso
- Descarga aplicaciones desde páginas y tiendas de confianza
- Por norma general, no ejecutes aplicaciones sin firmar
- Instala un antivirus móvil para tu plataforma
- Enlaces de antivirus para el móvil:
No hay comentarios:
Publicar un comentario