Descargar

Virus Informáticos, Caballos de Troya, Gusanos (página 2)

Partes: 1, 2, 3

 

1998 Aparecen los primeros virus de macro para Excel y Access

Excel es el programa de hoja de cálculo más utilizado del mundo y Access la base de datos más utilizada. Naturalmente, tarde o temprano tenían que ser objeto de atención por parte de los creadores de virus. El virus Laroux fue el primer virus de macro para Excel y ha sido ampliamente copiado e imitado. Aún hoy se sitúa entre los virus que provocan más infecciones, tal vez porque su carga dañina es nula. El primer virus de Access fue el AccessiV. El virus reemplaza el macro autoexec y copia módulos adicionales a la base de datos. [@1]

Agosto de 1998 Aparece el primer virus de Java: el virus Strange Brew

El virus Strange Brew es el primer virus conocido de Java. Este virus es capaz de replicarse únicamente en caso de que se le permita acceso a los archivos del disco, es decir, que sólo funcionará bajo ciertas condiciones como aplicación Java, y no como applet. No es en absoluto peligroso e infectarse por medio de él es muy difícil. En definitiva, las posibilidades de extensión de este primer virus de Java son muy limitadas. [@1]

1999 Aparecen los virus de tercera generación: los virus de Internet

1999 fue un año decisivo en el fenómeno vírico, ya que supuso la aparición de la llamada tercera generación de virus informáticos. La primera generación fue la de los virus convencionales (virus de archivo, virus del sector de arranque, etc.), la segunda apareció en 1995 con los virus de macro y la tercera ha aparecido en 1999 con todos los virus capaces de viajar por medio de Internet, virus que no son pasivos en su replicación, sino que están diseñados para explotar los recursos de la red para llevar a cabo una rápida propagación.

Ejemplares como Melissa, Happy99 o Explore. Zip son sólo ejemplos de lo que puede ser un virus de nueva generación. El virus Happy99 fue el primer gusano de correo electrónico que adquirió notoriedad a principios del año 1999. El virus I-Worm.ExploreZip (también llamado Zipped.Files) es probablemente el más peligroso de los gusanos del correo electrónico. Surgió a mediados de junio de 1999 y en pocos días había infectado numerosas redes corporativas y miles de ordenadores en todo el mundo. La infección se inició en los grupos de noticias, donde el autor del virus publicó un mensaje con una copia. [@2]

Mayo 2000 VBS/Loveletter –alias "ILOVEYOU"© – el gusano con mayor velocidad de propagación de la historia

VBS/LoveLetter –alias "ILOVEYOU"– es un gusano creado en el lenguaje VBS (Visual Basic Script) que se envía por IRC (Chat) y correo electrónico. Miles de usuarios de todo el mundo –entre los que se incluyen grandes multinacionales e instituciones públicas se vieron infectados por este gusano. El virus I LOVE YOU llega al usuario en un correo electrónico que tiene por Asunto: "ILOVEYOU" e incluye un fichero llamado "LOVE-LETTER-FOR-YOU.TXT.vbs". La clave de la rápida propagación de este virus, está en que utiliza la libreta de direcciones de Outlook para reenviarse a todas las direcciones que se encuentran en ella. Las consecuencias de este virus y sus variantes fueron más de 3 millones de ordenadores infectados, causando pérdidas en todo el mundo que superan los 2.000 millones de dólares.

A esta cifra hay que añadir la que apunta Computer Economics: 6.700 millones de dólares debidos al descenso registrado en la productividad. Las estadísticas confirmaron que el sector corporativo fue el más afectado, tanto en el aspecto Cuantitativo-número de infecciones, cómo en el cualitativo –daños derivados de la infección. En dichos entornos VBS/LoveLetter, además de borrar archivos en los PCs, afectó a los servidores de correo que sufrieron colapsos por la actividad del gusano. De hecho, algunos servidores quedaron temporalmente fuera de servicio –para así evitar que siguiera propagándose–, lo que implicó la paralización de la actividad. [@2]

Junio 2000 VBS/Timofonica, un virus que envía mensajes a móviles

VBS/Timo fónica es un virus de origen español realizado en Visual Basic Script, y que al igual

que el virus ILOVEYOU utiliza la libreta de direcciones de Outlook para reenviarse a todas las

direcciones que se encuentran en ella. Una vez ejecutado, el virus manda un mensaje a móviles de telefónica, cuyo número genera de manera aleatoria, utilizando la dirección correo.movistar.net. El virus también crea un troyano que lleva por nombre Cmos.com, que se ejecutará la siguiente vez que se reinicie el equipo impidiendo que el equipo pueda volver a arrancar. [@1]

Junio 2000 Un nuevo y complejo gusano, VBS/Life_stages, que utiliza técnicas de ocultamiento y posee una gran capacidad de propagación

VBS/Life_stages es un gusano que emplea técnicas de ocultación y posee una gran capacidad de propagación, ya que se transmite a través de correo electrónico; unidades de red, e IRC (Canales de Chat). [@4]

© Ver Anexos1

Este virus se destaca por su complejidad. Utiliza el formato SHS (Shell Scrap) de empaquetado con el objetivo de engañar al usuario –ya que Windows, por defecto, no muestra su extensión real. Además, para dificultar su estudio y detección por parte de los antivirus, el código malicioso está encriptado. [@4]

Se reenvía por correo electrónico –en clientes de Outlook–, a todos los contactos que encuentra en la libreta de direcciones del usuario cuyo ordenador ha infectado, siempre y cuando el número de contactos sea menor que 101. Si la cifra es mayor, escoge, aleatoriamente, 100 direcciones y se envía en un correo-e que tiene las características anteriormente mencionadas. Utiliza una técnica de ocultación para engañar al usuario y proceder a la infección del ordenador. En concreto, y aunque el fichero adjunto que envía tiene la extensión "SHS" se aprovecha de que, por defecto, no se muestre al usuario dicha extensión. Por el contrario, el fichero aparecerá como "TXT", junto con el icono que acompaña a los auténticos archivos con esa extensión. Para no levantar sospechas, si no es ejecutado desde el directorio de inicio, muestra un texto de bromas que es, en definitiva, lo que espera encontrar el usuario cuando abre el fichero adjunto. [@4]

Este virus presenta las siguientes características:

Asunto: "Fw" y uno de los siguientes tres textos: "Life Stages", "Funny" o "Jokes; o "text" Cuerpo del mensaje (en texto plano o en formato HTML):"The male and female stages of life" o "Bye."

Un fichero adjunto denominado: "LIFE_STAGES.TXT.SHS"

A partir del 2001 se puede ver un termino que engloba cualquier programa, documento o mensaje y es el denominado "malware", un ejemplo son los virus: Gusanos, Troyanos, el Spam, Dialers, las Hacking Tools, los Jokes y los Hoaxes. Son susceptibles de causar perjuicios a los usuarios de los sistemas informáticos-, se adapta a los avances tecnológicos con el objetivo de difundirse mas rápidamente. Un ejemplo de esto fue la aparición en este mismo año del virus Nimba un ejemplo claro de esta adaptación. [@4]

1.3- Tipos de virus más frecuentes.

Numerosas fuentes dan amplia información de los tipos de virus mas frecuentes reportados a nivel mundial "…los virus macro han ocupado los primeros lugares, mientras que las estadísticas demuestran que son creados mas de 130 mensualmente con un índice de crecimiento superior al de los virus del DOS, que infectan programas y sectores de arranque. [GUADIS99]

Ejemplo:

-CONCEPT

-COLORS

-LARAUX

-GREEN STRIPE

-MACRO VIRUS DEVELOPMENT KIT

-CAP

-NIGHTSHADE

-SLOVAK DICTATOR

-ANARCHY-6093

-NAVHR

-ACCESIV

-STRANGE DAYS

-CLASS

La plataforma más afectada ha sido el Word de Microsoft para Windows. Se debe fundamentalmente a que lo que mas se intercambia en el mundo es información que se encuentra contenida en documentos creados con este editor de textos. [GUADIS99]

"…Klez.l a protagonizado el 19,07% de los incidentes, seguido a mucha distancia por Elkem.C (con un porcentaje del 4,84%). Tras ello se encuentran Help (3,43%), Sircam (2,91%), Klez.F (2,88%) y Bck/Subleven (2,13%). [Pan-Soft]

"En los últimos 2 años los gusanos informáticos han encabezado mes tras mes las listas de los reportes de Afectaciones por Programas Malignos…" [GUADIS04]

"Si en el año 2001 triplicaban el trabajo de los investigadores, el año pasado siguieron dando que hacer, eclipsando a otros tipos de ataques, viéndose como sus características subían aun 42,5% e el 2002, lo que representa 1.789 incidentes investigados". [Belt]

"…Muestra de los mas propagados durante el 2003 son los siguientes:

-W 32/sobig-F (19,9%)

W 32/blaster-A (15.1%)

-W 32/Nachi-A (8.4%)

W 32/Gibe-F (7.2%)

-W 32/Dumaru-A (6.1%)

-W 32/Sober-A (5.8%)

-W 32/Mimail-A (4.8%)

-W 32/Bug Bear-B (3.1%)

-W 32/Sobig-E (2.9%)

-W 32/Klez-H (1.6%)

Los más propagados en la historia, desde sus fechas de detección son: [GUADIS*]

-My Doom.A

-Sobig.F

-Klez.H

-Swen.A

-Netsky.B

-Yaha.E

-Dumaru.A

-Mimail.A

-SirCam.A

-Klez.E

-Melissa®

1.4- ¿Cómo atacan los virus a las PCs? [SGT]

Una vez que el virus sea activo dentro del sistema, puede copiarse a sí mismo e infectar otros archivos o discos a medida que el usuario acceda a ellos. Los diversos tipos de virus infectan los PC de maneras distintas; los tipos más comunes son los virus de macro, de arranque y los parásitos.

Los virus informáticos se difunden cuando las instrucciones —o código ejecutable— que hacen funcionar los programas pasan de un ordenador a otro. Una vez que un virus está activado, puede reproducirse copiándose en discos flexibles, en el disco duro, en programas informáticos legítimos o a través de redes informáticas. Estas infecciones son mucho más frecuentes en los PC que en sistemas profesionales de grandes computadoras, porque los programas de los PC se intercambian fundamentalmente a través de discos flexibles o de redes informáticas no reguladas.

Los virus funcionan, se reproducen y liberan sus cargas activas sólo cuando se ejecutan. Por eso, si un ordenador está simplemente conectado a una red informática infectada o se limita a cargar un programa infectado, no se infectará necesariamente. Normalmente, un usuario no ejecuta conscientemente un código informático potencialmente nocivo; sin embargo, los virus engañan frecuentemente al sistema operativo de la computadora o al usuario informático para que ejecute el programa viral.

Algunos virus tienen la capacidad de adherirse a programas legítimos. Esta adhesión puede producirse cuando se crea, abre o modifica el programa legítimo. Cuando se ejecuta dicho programa, ocurre lo mismo con el virus. Los virus también pueden residir en las partes del disco duro o flexible que cargan y ejecutan el sistema operativo cuando se arranca el ordenador, por lo que dichos virus se ejecutan automáticamente.

® Ver Anexos1

En las redes informáticas, algunos virus se ocultan en el software que permite al usuario conectarse al sistema.

Los virus pueden llegar a "camuflarse" y esconderse para evitar la detección y reparación. Como lo hacen:

  2. El virus re-orienta la lectura del disco para evitar ser detectado;
  3. Los datos sobre el tamaño del directorio infectado son modificados en la FAT, para evitar que se descubran bytes extra que aporta el virus;
  4. encriptamiento: el virus se en cripta en símbolos sin sentido para no ser detectado, pero para destruir o replicarse DEBE desencriptarse siendo entonces detectable;
  5. polimorfismo: mutan cambiando segmentos del código para parecer distintos en cada "nueva generación", lo que los hace muy difíciles de detectar y destruir;
  6. Gatillables: se relaciona con un evento que puede ser el cambio de fecha, una determinada combinación de tecleo; un macro o la apertura de un programa asociado al virus (Troyanos).

Los virus se transportan a través de programas tomados de BBS (Bulletin Boards) o copias de software no original, infectadas a propósito o accidentalmente. También cualquier archivo que contenga "ejecutables" o "macros" puede ser portador de un virus: downloads de programas de lugares inseguros; e-mail con "attachments", archivos de MS-Word y MS-Excel con macros. Inclusive ya existen virus que se distribuyen con MS-Power Point. Los archivos de datos, texto o Html NO PUEDEN contener virus, aunque pueden ser dañados por estos.

Los virus de sectores de "booteo" se instalan en esos sectores y desde allí van saltando a los sectores equivalentes de cada uno de los drivers de la PC. Pueden dañar el sector o sobreescribirlo. Lamentablemente obligan al formateo del disco del drive infectado. Incluyendo discos de 3.5" y todos los tipos de Zip de Iomega, Sony y 3M.

En cambio los virus de programa, se manifiestan cuando la aplicación infectada es ejecutada, el virus se activa y se carga en la memoria, infectando a cualquier programa que se ejecute a continuación. Puede solaparse infecciones de diversos virus que pueden ser destructivos o permanecer inactivos por largos periodos de tiempo.

Síntomas Típicos de una infección

  • El sistema operativo o un programa toma mucho tiempo en cargar sin razón aparente.
  • El tamaño del programa cambia sin razón aparente.
  • El disco duro se queda sin espacio o reporta falta de espacio sin que esto sea necesariamente así.
  • Si se corre el CHKDSK no muestra "655360 bytes available".
  • En Windows aparece "32 bit error".
  • La luz del disco duro en la CPU continua parpadeando aunque no se este trabajando ni haya protectores de pantalla activados. (Se debe tomar este síntoma con mucho cuidado, porque no siempre es así).
  • No se puede "bootear" desde el Drive A, ni siquiera con los discos de rescate.
  • Aparecen archivos de la nada o con nombres y extensiones extrañas.
  • Suena "clicks" en el teclado (este sonido es particularmente aterrador para quien no esta advertido).
  • Los caracteres de texto se caen literalmente a la parte inferior de la pantalla (especialmente en DOS).
  • En la pantalla del monitor pueden aparecen mensajes absurdos tales como "Tengo hambre. Introduce un Big Mac en el Drive A".

En el monitor aparece una pantalla con un fondo de cielo celeste, unas nubes blancas difuminadas, una ventana de vidrios repartidos de colores y una leyenda en negro que dice Windows ’98 (No puedo evitarlo, es mas fuerte que yo…!!) [SGT]

Capítulo II: Propagación de los virus.

2.1-Daños ocasionados por virus. [Manson]

Se define daño como una acción indeseada, y se clasifica según la cantidad de tiempo necesaria para reparar dichos daños. Existen seis categorías de daños hechos por los virus, de acuerdo a la gravedad.

  1. Sirva como ejemplo la forma de trabajo del virus FORM (el más común): En el día 18 de cada mes cualquier tecla que presionemos hace sonar el beep. Deshacerse del virus implica, generalmente, segundos o minutos.

  2. Daños triviales.

    Un buen ejemplo de este tipo de daño es el JERUSALEM. Este virus borra, los viernes 13, todos los programas que uno trate de usar después de que el virus haya infectado la memoria residente. En el peor de los casos, tendremos que reinstalar los programas perdidos. Esto nos llevará alrededor de 30 minutos.

  3. Daños menores.

    Cuando un virus formatea el disco rígido, mezcla los componentes de la FAT (File Allocation Table, Tabla de Ubicación de Archivos), o sobreescribe el disco rígido. En este caso, sabremos inmediatamente qué es lo que está sucediendo, y podremos reinstalar el sistema operativo y utilizar el último backup. Esto quizás nos lleve una hora.

  4. Daños moderados.

    Algunos virus, dada su lenta velocidad de infección y su alta capacidad de pasar desapercibidos, pueden lograr que ni aún restaurando un backup volvamos al último estado de los datos. Un ejemplo de esto es el virus DARK AVENGER, que infecta archivos y acumula la cantidad de infecciones que realizó. Cuando este contador llega a 16, elige un sector del disco al azar y en él escribe la frase: "Eddie lives … somewhere in time" (Eddie vive … en algún lugar del tiempo).

    Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el día en que detectemos la presencia del virus y queramos restaurar el último backup notaremos que también él contiene sectores con la frase, y también los backups anteriores a ese.

    Puede que lleguemos a encontrar un backup limpio, pero será tan viejo que muy probablemente hayamos perdido una gran cantidad de archivos que fueron creados con posterioridad a ese backup.

  5. Daños mayores.

    Los daños severos son hechos cuando un virus realiza cambios mínimos, graduales y progresivos. No sabemos cuándo los datos son correctos o han cambiado, pues no hay pistas obvias como en el caso del DARK AVENGER (es decir, no podemos buscar la frase Eddie lives …).

  6. Daños severos.
  7. Daños ilimitados.

Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen la clave del administrador del sistema y la pasan a un tercero. Cabe aclarar que estos no son virus sino troyanos. En el caso de CHEEBA, crea un nuevo usuario con los privilegios máximos, fijando el nombre del usuario y la clave. El daño es entonces realizado por la tercera persona, quien ingresará al sistema y haría lo que quisiera.

Los daños ocasionados por los programas malignos son evaluados a través de las implicaciones económicas que representan la pérdida parcial o total de los recursos y horas hombre-máquina invertidos tanto durante el proceso de diseño, puesta a punto e implantación de las aplicaciones y sus datos, como las que se derivan de los gastos en que se incurran durante el proceso de recuperación de un sistema infectado. Los gastos en el proceso de recuperación dependen de los daños ocasionados por el programa maligno tanto en su fase de infección como en la de activación, así como del nivel de organización en la salva de la información que tenga el usuario. Además, existen algunos que son difíciles de detectar y que de una forma muy solapada alteran la información almacenada en los discos. [SGT]

2.2-Tipos de Antivirus. [MAN97]

  • Dr. Solomon´s Antivirus Toolkit.

Certificado por la NCSA. Detecta más de 6.500 virus gracias a su propio lenguaje de detección llamado VirTran, con una velocidad de detección entre 3 y 5 veces mayor que los antivirus tradicionales.

Uno de los últimos desarrollos de S&S es la tecnología G. D. E. (Generic Decription Engine, Motor de Desencriptación Genérica) que permite detectar virus polimórficos sin importar el algoritmo de encriptación utilizado.

Permite detectar modificaciones producidas tanto en archivos como en la tabla de partición del disco rígido. Para ello utiliza Checksumms Criptográficos lo cual, sumado a una clave personal de cada usuario, hace casi imposible que el virus pueda descubrir la clave de encriptación.

Elimina virus en archivos en forma sencilla y efectiva con pocas falsas alarmas, y en sectores de buteo y tablas de partición la protección es genérica, es decir, independiente del virus encontrado.

Otras características que presenta este antivirus, son:

  • Ocupa 9K de memoria extendida o expandida.
  • Documentación amplia y detallada en español y una enciclopedia sobre los virus más importantes.
  • Actualizaciones mensuales o trimestrales de software y manuales.
  • Trabaja como residente bajo Windows.
  • A. H. A. (Advanced Heuristic Analysis, Análisis Heurístico Avanzado).
  • Norton Antivirus.

Certificado por la NCSA. Posee una protección automática en segundo plano. Detiene prácticamente todos los virus conocidos y desconocidos (a través de una tecnología propia denominada NOVI, que implica control de las actividades típicas de un virus, protegiendo la integridad del sistema), antes de que causen algún daño o pérdida de información, con una amplia línea de defensa, que combina búsqueda, detección de virus e inoculación (se denomina 'inoculación' al método por el cual este antivirus toma las características principales de los sectores de booteo y archivos para luego chequear su integridad. Cada vez que se detecta un cambio en dichas áreas, NAV avisa al usuario y provee las opciones de Reparar – Volver a usar la imagen guardada – Continuar – No realiza cambios – Inocular – Actualizar la imagen.

Utiliza diagnósticos propios para prevenir infecciones de sus propios archivos y de archivos comprimidos.

El escaneo puede ser lanzado manualmente o automáticamente a través de la planificación de fecha y hora. También permite reparar los archivos infectados por virus desconocidos. Incluye información sobre muchos de los virus que detecta y permite establecer una contraseña para aumentar así la seguridad.

La lista de virus conocidos puede ser actualizada periódicamente (sin cargo) a través de servicios en línea como Internet, América On Line, Compuserve, The Microsoft Network o el BBS propio de Symantec, entre otros.

  • Virusscan.

Este antivirus de McAfee Associates es uno de los más famosos. Trabaja por el sistema de scanning descrito anteriormente, y es el mejor en su estilo.

Para escanear, hace uso de dos técnicas propias: CMS (Code Matrix Scanning, Escaneo de Matriz de Código) y CTS (Code Trace Scanning, Escaneo de Seguimiento de Código).

Una de las principales ventajas de este antivirus es que la actualización de los archivos de bases de datos de strings es muy fácil de realizar, lo cual, sumado a su condición de programa shareware, lo pone al alcance de cualquier usuario. Es bastante flexible en cuanto a la configuración de cómo detectar, reportar y eliminar virus.

2.3-Estado actual, nacional e internacional de los virus.

Situación Nacional [GUADIS *]

En el país, en lo que va de año, se han recibido algo más del doble de lo códigos malignos recibidos el pasado año.

Hasta el momento se han detectado en Cuba:

(Actualizado 29 de Octubre del 2004)

 849 Programas malignos 

372 Virus

239 Caballos de Troya

202 Gusanos

19 Jockes

17 Exploit

 En el año 2004 se han detectado:

 234 Programas malignos 

101Gusanos

105 Troyanos

8 Virus

9 Jockes

11 Exploit

 En el año 2003 se detectaron:

 116 Programas malignos 

11 Virus

43 Gusanos

62 Troyanos

Un peligrosísimo virus creado en Cuba ha comenzado a circular por Internet. El virus ha sido creado por un supuesto hacker cubano llamado "El Hobbit" Este virus no se autoenvía masivamente como otros sino que infesta los adjuntos de los mensajes que envía la victima afectada, de forma que esta no nota nada raro y quien recibe el mensaje tampoco se da cuenta que esta siendo infestado. Los adjuntos que puede infestar son los compactados (.zip y .rar) y las power point. (Este es el único virus hasta el momento capaz de infestar las presentaciones de power point). La gran efectividad de este virus consiste en que los mensajes no despiertan sospechas pues son mensajes reales enviados de fuentes conocidas y confiables y además los adjuntos son ficheros reales que al abrirlos se ejecutan sin levantar sospechas y sin que la victima se de cuenta que esta activando el virus. (Además de que casi todo el mundo cree que las presentaciones de power point son algo inofensivo.). El virus como tal se llama "Libertad" pues antes de comenzar a borrar toda la información del disco duro muestra un cartel que clama por la libertad de expresión en Cuba. No obstante las casas antivirus lo llaman Worm.32_Libertad. El virus cuando se activa se instala como un servicio con el nombre de svchost.exe de forma que la única manera de saber si se esta o no infestado con el mismo es ver si este servicio esta ejecutándose. La empresa de seguridad informática de Cuba ya ha creado una herramienta de desinfección automática que puede ser descargada desde su página oficial pero también ha dado copias de la misma a CNN por lo que puede ser solicitada también a . [Vsantivirus]

Situación internacional. [SGT]

La actual amenaza de los Programas malignos está dirigida a las microcomputadoras, específicamente a las IBM PC y compatibles que trabajan con el Sistema Operativo Windows, y en un menor grado a las Macintosh, Amiga, Atari y otras no compatibles.

Se ha especulado mucho sobre virus que infectan minicomputadoras (ejemplo: los sistemas VAX) y las computadoras. Las reglas de seguridad convencionales establecen que cualquier computadora, cualquiera que sea su sistema operativo y las defensas instaladas, puede ser infectada por un creador de virus que se lo proponga. ¿Por qué entonces han ocurrido tan pocos incidentes de virus en sistemas de computadoras de mediano y alto rango? Esto se debe principalmente a que hay muchas menos computadoras y minicomputadoras en uso que microcomputadoras y el acceso a estos sistemas es limitado. El conocimiento profundo de los sistemas operativos que utilizan y la arquitectura de los mismos está limitado a una élite o "tecnocracia" y el intercambio de software y comunicaciones entre estos sistemas operativos es controlado rigurosamente lo que disminuye enormemente la posibilidad de difundir un virus. La configuración de estos sistemas varía enormemente por lo que no constituyen una plataforma común sobre la que se pueda propagar un programa maligno.

Compárese esta situación con la de las IBM PC y compatibles. En el mundo se utilizan unas 100 millones de estas computadoras, corriendo los desprotegidos sistemas operativos, DOS y Windows. Las localizaciones de la memoria, la estructura de los discos, el proceso de "bootstrap", los vectores de interrupción, las rutinas DOS y BIOS son estándar para todas las máquinas independientemente del fabricante. Por lo tanto existe una enorme plataforma común en la que se puede diseminar un virus y una mayor cantidad de personas con el conocimiento para utilizar o mal utilizar estas computadoras. Las microcomputadoras son comparativamente

baratas, por lo que son asequibles a legítimos programadores o a malvados.

Aparte de aquellas máquinas que tengan incorporadas palabras claves para el encendido, las PC que tengan MS-DOS no tienen incorporadas ningún tipo de seguridad; en cuanto se enciende la microcomputadora está abierta a la investigación o al ataque. La IBM PC es una plataforma casi perfecta para la propagación de virus.

Actualmente existen más de 42000 Programas Malignos detectables por patrones de búsquedas. Según las estadísticas aparecen con una tasa promedio de más de 200 mensuales.

El número de variantes de virus (códigos de virus pirateados o mejorados conocidos como mutaciones) ha crecido de forma casi exponencial.

Esto es debido a varios factores negativos entre los que se destacan la publicación de códigos fuentes de virus en libros , revistas y en la Web , al desarrollo de " Generadores " y a las Bases de Datos de Intercambio de Virus (Vx).

El intercambio de información y códigos fuentes entre los creadores de Programas malignos está proliferando debido fundamentalmente a la existencia de sitios destinados, en redes de alcance global como INTERNET a la carga y descarga de colecciones completas , así como el intercambio de herramientas y técnicas para desarrollar códigos maliciosos más eficientes. El análisis de la situación internacional demuestra que son un problema de la informática actual y que se requiere estudiar el problema, para poder combatirlos técnica y organizadamente.

2.4-Virus en el futuro.

"En los sistemas modernos hay demasiados tipos de archivos ejecutables, programas que pueden acceder a los componentes del computador. También es muy complicado que un sistema no tenga problemas, incluyendo agujeros de seguridad. Por todo ello, creo que los virus seguirán existiendo aunque el entorno contemple la seguridad basada en certificados digitales. …. Es posible desarrollar un entorno completamente protegido por la comprobación de firmas digitales, ¡pero los usuarios no lo usarán!, porque un entorno de este tipo no es lo suficientemente amigable… demasiadas limitaciones, demasiados avisos, demasiadas preguntas." Eugene Kaspersky. [Moreno]

La inmensa mayoría de las infecciones víricas actualmente se deben a infecciones por gusanos (programas que se transmiten a través de las redes e Internet) y troyanos (los cuales suelen ejecutar acciones ocultas e indeseables) realizadas en su mayoría de las veces a través del correo electrónico. Estos virus se activan mediante la ejecución de adjuntos en el correo electrónico o simplemente mediante la lectura de correos recibidos con código malicioso dentro de HTML. [Moreno]

Existe la posibilidad que en el futuro aparezcan nuevos virus similares al Nimda o al Klez, los cuales podrán tomar ventaja de las vulnerabilidades existentes o de las que lleguen a presentarse. La educación y la conciencia basada en estrategias adecuadas de seguridad es la única forma de prevenir los posibles daños. Un posible colapso de la Internet (debido a una saturación del tráfico, a causa de los virus) no tiene tanto sustento a priori, pues sus límites antes que ser tecnológicos tienden a ser más bien culturales y ante una situación de esta naturaleza todavía se tienen elementos para prevenirla. [Moreno]

Hoy en día, dado lo sofisticado que son estos programas, uno solo de ellos tiene la característica que no le piden nada a sus antecesores, constituyendo de esta manera, la principal causa de los estragos producidos. El gusano Nimda (que llegó como troyano y destruye el sistema como un virus) y el Klez nos abren todo un abanico de posibilidades y sorpresas inesperadas que ponen a tambalear nuestros esquemas clásicos de protección. [Moreno]

Virus, Troyanos, y gusanos han existido desde los inicios de los sistemas operativos actuales y de Internet. La contienda "virus – antivirus" ya tiene sus dos décadas y nada nos indica que vaya a terminar. No se puede descartar, por ejemplo, que en un futuro cercano los virus atacarán teléfonos celulares programables y se propagarán cuando encuentren algún vínculo abierto entre dos aparatos. La principal vía de contagio, tal como hoy ocurre con las computadoras, será el correo electrónico, que ya está disponible en el mundo de la telefonía móvil. [Moreno]

Remarcando esto, los virus del futuro no sólo harán blanco en computadoras y servidores sino que serán diseñados para atacar teléfonos celulares inteligentes y asistentes digitales personales. Estos códigos maliciosos se prevé (esto es solamente un escenario o conjetura muy al estilo de Julio Verne) que incluso podrían llegar a grabar conversaciones y enviarlas vía correo electrónico a otros usuarios sin el consentimiento del dueño del aparato, suprimir o alterar estados financieros almacenados en los celulares, o incluso cambiar los números telefónicos contenidos en la memoria de estos artefactos y reemplazarlos con otros números de larga distancia, con el fin de generar cuentas y débitos de proporciones enormes. [Moreno]

Más aún, no es descabellado (no, al menos del todo) que las guerras del futuro cercano entre países desarrollados tendrán lugar entre dos redes informáticas, en las bolsas y mercados financieros interconectados, entre naves no tripuladas y satélites. De hecho, mientras el capitalismo prevalezca y esta situación nos alcance, las armas convencionales solamente se llegarían a utilizar con los países subdesarrollados. [Moreno]

Si miramos un poco al futuro y pensamos en la domótica (control de edificios, casas, etc., mediante hardware y software), vislumbramos ya la introducción de Internet en nuestra vida doméstica. De hecho, algunos operadores de televisión por satélite ya pregonan la disponibilidad de Internet a través de la televisión. De modo que tal vez dentro de poco, junto con nuestra televisión tengamos que comprar algún tipo de dispositivo antivirus. Y no pensemos sólo en la televisión, ya que otros electrodomésticos también serán alcanzados por los largos tentáculos de Internet. [Moreno]

El futuro nos augura mayor número de virus y más sofisticados, en lo que va del 2002 ya se ha alcanzado la cifra que se tenía al cierre del año 2001. Algunas posibles tendencias pueden ser las siguientes: [Moreno]

  2. Gran incremento en el número de virus, gusanos o backdoors. La frecuencia avasalladora con que van apareciendo nuevas variantes de malware (códigos maliciosos) nos predispone a mantener una política coherente y adecuada de actualizaciones. A la hora de escoger un software antivirus se ha de tener en cuenta la capacidad de actualización y la velocidad de respuesta de los laboratorios de las empresas, así como las capacidades heurísticas (detección de posibles virus nuevos) que tengan integradas estos productos.
  3. Java y Actives. Ambos de estos componentes gozan presumiblemente de mecanismos de seguridad para evitar la difusión de virus pero tienen algunos agujeros (no son la panacea, pues de ser así, Windows XP sería una promesa verdaderamente mesiánica). La seguridad de ActiveX se basa en que sólo puede ejecutarse código autenticado. Eso es mejor que nada pero aún deja mucho que desear, no se puede apostar a que autenticar sea una garantía absoluta o infalible.
  4. Más conectividad. La demanda de mayor ancho de banda incrementa con cada vez más información en circulación. A mayor intercambio de información, mayor intercambio de todo tipo de programas o archivos incluyendo a los diversos gusanos que vayan surgiendo.
  5. Lenguaje de macros más potente, universal y manejable. Los fabricantes de software incluyen cada vez lenguajes de macro más potentes y sencillos de utilizar pero como contrapartida, más vulnerables a los ataques o incorporación de códigos no necesariamente benévolos. Aparentemente los virus de macro ya no son los que dominan la escena, pero bien podrían irse acompañando en el ciberespacio de gusanos cada vez más potentes (de hecho Melissa nos dio una adelanto de situaciones de este tipo) y de esta manera afianzar novedosamente su presencia.
  6. Más virus destructivos. El código fuente del virus CIH (capaz de sobrescribir en determinadas circunstancias el BIOS y dejar la máquina absolutamente inoperante), los más diversos kits de creación de virus y otras tantas linduras están al alcance de todo mundo en Internet. Esta información alienta a otros programadores de virus a generar otros, e incluso a auténticos aficionados ("lamercillos" y crackers) a sentirse como niños en dulcería con el simple hecho de jugar con estas cosas. [Moreno]

Lo anterior nos lleva a pensar (sin mucho temor a equivocarnos) que el futuro de los antivirus está fundamentalmente en el desarrollo sólido de la heurística, y en la integración de éstos hacia una estructura más sólida de software que contemple a antivirus, cortafuegos, detectores de intrusos y autenticación como un solo producto. [Moreno]

El futuro, ¿o tal vez el presente? [Urzai]

"En el futuro, todo el mundo tendrá 15 minutos de fama", con estas palabras del pintor norteamericano Andy Warhol comienza un estudio de Nicholas C. Weaver de la universidad de Berkeley titulado "Warhol worms: The Potential for Very Fast Internet Plagues", que podrá encontrar en [].

En este estudio se describe, de forma hipotética, como podrían ser los gusanos de siguiente generación, a los que denomina "Warhol" y "Flash". Unos virus capaces de infectar todos los ordenadores vulnerables de Internet en menos de 15 minutos.

El estudio demuestra que las técnicas que utilizan los gusanos actuales para propagarse son extremadamente ineficientes. En cambio, según este estudio, los "gusanos Warhol" utilizarían técnicas altamente optimizadas para buscar ordenadores vulnerables: "hitlist scanning" (lista de servidores vulnerables elaborada previamente) para la propagación inicial y "permutation scanning" (técnica que intenta encontrar todos los ordenadores vulnerables en el menor tiempo posible) para conseguir propagarse de forma auto-coordinada y completa.

El principal problema de este tipo de gusanos es que causaría el daño máximo antes de que fuese posible la respuesta humana. Para cuando los laboratorios de las casas antivirus fuesen capaces de desarrollar, probar y poner a disposición de los usuarios la solución, el virus ya habría terminado su trabajo.

A pesar de que afortunadamente en la actualidad los gusanos todavía no emplean este tipo de técnicas para propagarse, en Enero de 2003 el virus SQLSlammer infectó 100.000 ordenadores vulnerables en menos de media hora, y la mayor parte de ellos en los 15 primeros minutos. El SQLSlammer no es propiamente un gusano de tipo Warhol, pues no utiliza las técnicas descritas en el estudio, pero aún así, consiguió demostrar que es posible crear un virus que se propague a todos los ordenadores vulnerables en un tiempo tan corto que no es viable la respuesta humana.

Se puede concluir que el futuro de la seguridad informática necesita un nuevo enfoque. Las amenazas son cada vez mayores y más rápidas, obligando a que las empresas antivirus redoblen esfuerzos y reaccionen cada vez más rápidamente para evitar las epidemias. Las actuales soluciones de seguridad son extremadamente eficientes combatiendo amenazas conocidas, pero la exigencia es cada vez mayor y el hecho de que las actuales soluciones de seguridad sean inherentemente reactivas, supone una pérdida de tiempo que ahora puede ser vital. Es necesario ser también proactivos y adelantarse al problema.

La proactividad en la seguridad informática se debe basar en combatir las nuevas amenazas que acechan a los sistemas sin necesidad de conocer previamente cuáles son. Los comportamientos de los códigos maliciosos deben poder preverse, pero para ello no es suficiente la tecnología actual, es necesario analizar directamente el protocolo TCP/IP, descubrir intentos de desbordamientos de buffer, inyecciones de código, cubrir nuevos vectores de propagación, etc…

Dentro de las tecnologías proactivas, destacan las de análisis de comportamiento, que en pruebas reales han demostrado ser muy efectivas contra virus y otras amenazas desconocidas. Gracias a estas tecnologías los usuarios, podrán contar en breve con soluciones que no exijan una reacción, sino que se adelantarán a la amenaza de malware que intenta llevar a cabo acciones maliciosas.

También dentro de poco podríamos asistir a nuevos escenarios de infecciones víricas; La convergencia de tecnologías que se está produciendo hoy en día conseguirá que dentro de poco no podamos distinguir dónde termina un ordenador y dónde comienza un teléfono, o si la propagación de un virus se produce a través de una red inalámbrica o mediante conexiones directas entre dos sistemas.

Capítulo III: Caballos de Troya

3.1-¿Que son los Caballos de Troya?

Un Caballo de Troya es un programa ideado para que, bajo una apariencia inofensiva y útil para el usuario, afecte muy negativamente al sistema al incluir un módulo capaz de destruir datos. Junto con los virus es uno de los tipos de programas malignos más conocidos y empleados. Por su similitud en la forma de operar le debe su nombre al famoso caballo de la mitología griega.

El caballo de Troya era un enorme caballo de madera que los griegos dejaron a las puertas de Troya como oferta de paz después de una larga batalla. Los troyanos abrieron sus puertas e introdujeron tal obsequio en la ciudad. Sin embargo, al caer la noche, un grupo de griegos salió de su interior y abrieron las puertas de Troya para que su ejército la invadiese. Bien, pues un caballo de Troya en informática es lo mismo. Mucha gente los confunde con los virus o con otros programas malignos, pero un Caballo de Troya es un programa que, bajo la apariencia de una aplicación útil para el usuario (el caballo de madera), es diseñado deliberadamente para llevar dentro de sí cierto código dañino (los soldados de su interior).

Se diferencian de los populares virus en que estos últimos infectan cualquier programa del ordenador sin que el programa anfitrión tenga nada que ver con el virus. Además, al contrario que los virus, los caballos de Troya no se reproducen. [Prieto03]

Cuando un usuario poco precavido recibe un caballo de Troya no se da cuenta del peligro hasta que se ha producido el daño. Generalmente se recibe un programa con un nombre sugerente: Información SIDA, Comecocos, Quinielas… y al ser ejecutado o tras cierto número de ejecuciones se empiezan a realizar las acciones para las que en realidad dichos programas fueron diseñados, como por ejemplo destruir los datos del ordenador; Incluso llegaron a circular algunos programas antivirus que en realidad son Caballos de Troya, como las versiones 78 y 79 del popular Scan. Un caballo de Troya muy conocido fue el denominado SIDA. Distribuido como información divulgativa sobre la enfermedad, atacaba ferozmente las máquinas en las que era ejecutado. [Prieto03]

Con el advenimiento de Internet, los Caballos de Troya en forma de mensajes con contenidos útiles o divertidos destruyen la información del disco del receptor aprovechando agujeros de seguridad del sistema. El caso más conocido fue el I Love You. [Prieto03]

Un tipo de Caballos de Troya beneficiosos son aquellos que, aprovechando la inexperiencia e inconsciencia del usuario que ejecuta alegremente programas no solicitados, presentan en pantalla mensajes simulando el borrado de datos para, finalmente, burlarse del usuario por su estupidez y recomendarle que en futuro sea más cuidadoso con los programas que ejecuta en su ordenador. Su fuerza didáctica está fuera de toda duda. [Prieto03]

Un pariente muy cercano de los caballos de Troya son los camaleones, con los que a veces son confundidos. [Prieto03]

Hay mucha controversia sobre lo que es un troyano. Mucha gente confunde virus con troyanos, y ni mucho menos se parecen. En realidad no tienen nada en común. El virus es destructivo (salvo raras excepciones), actúa de forma premeditada y su acción es siempre la misma en todos los ordenadores que infecta. En cambio el troyano no se comporta así. [Mandrake] Podemos afirmar que un troyano no es ni benigno ni maligno. Sencillamente no está programado para destruir nada en el ordenador infectado. No podemos hablar entonces de una amenaza en el propio software. En el caso del troyano la malevolencia viene de la persona que lo utiliza. [Mandrake]

El nombre troyano proviene de la Guerra de Troya, que fue un instrumento de guerra usado por los griegos para acceder a la ciudad de Troya. Según cuenta la historia, "al pasar diez años de la guerra troyana, los griegos todavía no podían entrar en la ciudad de Troya porque las paredes de la ciudad la hacían impenetrable. Así, desarrollaron un caballo gigante de madera en el que un puñado de griegos armados se escondieron mientras el resto de los griegos abordaron los barcos y zarparon dejando atrás el caballo como regalo de Victoria. Luego de la gran celebración de los troyanos, en la cual se emborracharon, los griegos que estaban dentro del caballo salieron, mataron a todos los centinelas que estaban en las puertas de la ciudad y abrieron las puertas para que entrara un carnicero ejército griego". [Mandrake]

Un troyano es entonces un programa malicioso insertado en un PC sin consentimiento de su dueño que permite el control de ese PC y/o el acceso a sus datos por parte de una persona no autorizada.[ Mandrake]

Un troyano puede ser una de las siguientes cosas:

  • Instrucciones no autorizadas dentro de un programa legítimo. Estas instrucciones ejecutan funciones desconocidas al usuario y casi seguramente no deseadas por el mismo.
  • Un programa legítimo que ha sido alterado por la colocación de instrucciones no autorizadas dentro del mismo, probablemente como consecuencia del ataque de un virus. Estas instrucciones ejecutan funciones desconocidas al usuario y casi seguramente no deseadas por el mismo. [Mandrake]
  • Cualquier programa que aparentemente haga una función deseable y necesaria pero que no la cumpla y/o contenga instrucciones no autorizadas en el mismo, las cuales ejecutan funciones desconocidas para el usuario. Cualquier programa que contenga otro subprograma con instrucciones no deseadas o virus. Cualquier programa que permita operaciones de monitoreo y/o control remoto del computador sin conocimiento del usuario. Este tipo de programas son llamados también "Backdoor" lo que se traduce a Puerta Trasera. [Mandrake]

Los troyanos funcionan mejor en computadores sin muchas restricciones para los usuarios, ya que en ambientes restringidos no pueden hacer mucho daño; sin embargo, en los ambientes de servidor, que son muy restringidos pero hay troyanos que han sido muy dañinos. [Mandrake]

A diferencia de los virus, los caballos de Troya o troyanos están diseñados para obtener información privilegiada del ordenador donde son ejecutados. Así pues existen troyanos que únicamente consiguen contraseñas, otros que graban secuencias metidas en el teclado, otros que abren puertas traseras al ordenador, etc. [Bustamante]

Bueno pues un troyano es un programa simple que facilita el control remoto de un ordenador, se les incluye dentro de la denominación "malware" y realmente no son más que aplicaciones de gestión remota, que al ser totalmente gratuitos, al contrario que otros, están muy difundidos y suelen utilizarse para el acceso a otros ordenadores sin el permiso de sus dueños a través de la red. [Duiops]

La primera puntualización que me gustaría hacer es que a esos programas que hacen exactamente lo mismo pero son comerciales no se los considera como peligrosos mientras que los demás son considerados como herramientas de hacker y los eliminan los antivirus. [Duiops]

La segunda es que aunque permitan manejar otros ordenadores es necesario que estos tengan un pequeño servidor ejecutándose en ellos, para ello cuentan con un pequeño instalador que se encarga de modificar el registro de Windows para que los ejecute cada vez que se arranca Windows. [Duiops]

Normalmente suelen ocultar su presencia, de forma que el servidor carece de cualquier cosa visible y ni siquiera se puede ver en la lista de tareas. [Duiops]

3.2-Daños ocasionados por los caballos de Troya

El enemigo en casa [Jaime]

La información que intercambia un servidor Web seguro y un navegador se cifra utilizando un algoritmo de clave pública. Este método asegura la confidencialidad de los datos y su integridad, además de confirmar la identidad del servidor Web. Muchos bancos ofrecen un servidor seguro a sus clientes para realizar todo tipo de operaciones bancarias. Entonces, ¿cómo es posible que un pirata informático conozca las claves de acceso a su banco, las transferencias que usted a realizado y su número de Visa? En primer lugar, hay instalado un caballo de Troya en su ordenador; en concreto, la parte del servidor. Una de las nuevas características de estos programas consiste en volcar toda la información que se introduce a través del teclado en un fichero. Absolutamente todo. Por ejemplo, cuando usted teclea su número de Visa para realizar una compra a través de un servidor seguro, los datos viajan cifrados por la Red, pero no entre su teclado y el navegador. Y es ahí dónde está escuchando el caballo de Troya. El atacante se sienta a esperar a que usted escriba la clave de acceso a su ISP, la de su buzón de correo, su clave PGP, etc. No tiene ninguna prisa, ya que el caballo de Troya trabaja discretamente, sin que usted note nada. Hasta que le llegue la factura del banco.

El equipo de delincuencia informática de la Guardia Civil necesita, en muchos casos, la colaboración de los proveedores de acceso a Internet. Los ficheros donde quedan reflejados el identificador y el número de teléfono asociados a una IP determinada y a una hora determinada, son fundamentales para conocer la identidad de las personas que han cometido delitos en la Red. Cuando usted inicia una conexión en la Red a través de su ISP, sus datos quedan asociados a una dirección IP. En principio, todos las acciones que se realicen durante esa conexión son responsabilidad suya. Un pirata informático puede ocultar su verdadera dirección IP utilizando sofisticadas técnicas de ocultación, pero estos métodos son complicados y poco flexibles. Parece más sencillo utilizar la conexión que usted acaba de establecer, con una flamante dirección IP que le identifica solamente a usted.

Los nuevos caballos de Troya permiten encauzar todo el tráfico que llega a un puerto hacia otra máquina y otro puerto. Por ejemplo, el atacante configura su PC para que el puerto 80 de su máquina conecte con el puerto 80 de www.idg.es. Recuerde que los servidores Web escuchan por el puerto 80. Esto significa que si el atacante escribe en su navegador la dirección IP que tiene en ese momento asignado su PC, se conectará con el Web de IDG. Para el servidor Web, la IP que está solicitando sus páginas HTML es la suya. Cualquier fechoría que cometa el pirata en ese servidor, aparecerá como realizada desde su conexión. Y, por último, consultando a su PSI, reflejará su nombre y apellido. Usted no notará nada, hasta que reciba la visita de la policía judicial.

Aunque no lo parezca [Jaime]

La gran baza de los nuevos caballos de Troya reside en su sigilosa forma de actuar. El programa servidor casi no consume recursos. Cada vez que se arranca el PC, el troyano se ejecuta de forma automática y se queda residente en memoria. Un pequeño proceso que apenas consume un 1% de CPU, pero que abre las puertas del ordenador —una vez conectado a la Red— a cualquiera que tenga instalado la parte cliente del caballo de Troya en su máquina .

A esto debemos añadir otras dos características que convierten a estos "virus" en verdaderas amenazas para los amantes de Internet. La primera consiste en lo fácil que resulta engañar a la víctima para que instale el caballo de Troya en su máquina (en el cuadro "Uso obligatorio del casco" se explican los métodos utilizados para introducir el troyano en un PC de forma silenciosa) . La segunda característica, y quizá la más peligrosa, consiste en la enorme facilidad de manejo de la parte cliente del virus. La aplicación que maneja el atacante, aquella que se conecta al servidor que corre en el PC de la víctima, tiene una pasmosa sencillez de uso . Ahora, cualquier chaval que sepa jugar al Doom, tiene en sus manos todos los recursos de un ordenador infectado.

Los nuevos caballos de Troya son una amenaza constante para aquellas personas que estén utilizando sistemas operativos de Microsoft, en especial para Windows 95/98. La rapidez de difusión de los troyanos pensados para esas plataformas se debe a dos razones: la mayoría de los ordenadores utilizan sistemas Microsoft y sus caballos de Troya cumplen de sobra las características antes indicadas. Se cuentan por centenas de miles las copias de los caballos de Troya para plataformas W95/98/NT. Vamos a conocer, a través de los dos troyanos más difundidos, los rasgos comunes de ambos virus, sus diferencias y su particular forma de trabajar.

  • Caballos de pura sangre [Jaime]

NetBus y Back Orifice tienen muchos puntos en común. Ambos son caballos de Troya basados en la idea de cliente-servidor. Han sido creados para sistemas Microsoft, pero Back Orifice sólo funciona en Windows 95/98, mientras que NetBus también lo hace sobre NT. El programa servidor, en ambos casos, debe ser instalado en el ordenador de la víctima. Como se ha explicado, esta tarea se ha simplificado, ya que el atacante puede ocultar el troyano dentro de cualquier programa o aplicación . Incluso puede mandar el virus por correo y ser instalado con sólo abrir el mensaje (ver artículo "Las verdades del correo electrónico" en iWorld, febrero 1999). Una vez instalado, el servidor abre un puerto de comunicaciones y se queda escuchando las peticiones del oyente. Es decir, los comandos que le envía el programa cliente que está utilizando el atacante desde su ordenador remoto. NetBus abre un puerto TCP, mientras que Back Orifice utiliza un puerto UDP. Se puede cambiar el número del puerto por el que atiende el servidor en ambos casos. También se puede proteger el acceso al servidor mediante una clave. De esta forma, ya no es suficiente con tener instalado el cliente del Troya y conocer la IP de la máquina infectada. También será necesario conocer la clave que autoriza el acceso al servidor.

Ya se ha indicado una de las grandes diferencias entre estos dos troyanos: Back Orifice no corre en Windows NT. Por otra parte, Back Orifice es capaz de cifrar la comunicación entre el cliente y el servidor, algo que no hace NetBus. En cambio, este último permite ciertas lindezas adicionales, como abrir y cerrar la unidad de CDROM o modificar las funciones de los botones del ratón. Otra diferencia importante es el tamaño del servidor. La última versión del servidor de NetBus (NetBus Pro 2. 0) supera los 600 Kb, mientras que el servidor Back Orifice 1. 2, sólo ocupa 122 Kb. El tamaño resulta importante cuando el atacante quiere ocultar el caballo de Troya dentro de una aplicación. Resulta menos sospechoso un aumento de 122 Kb que uno de 600 Kb, con respecto a la aplicación original. Por último, la versión más reciente de NetBus presenta nuevas opciones, pero es su nueva ventana de gestión del cliente, con ayuda en línea incluida, donde marca la diferencia con respecto a Back Orifice. La instalación y la aplicación resultan tan profesionales, que su frase de presentación casi parece cierta: "NetBus Pro es una herramienta para la administración remota de ordenadores, de fácil uso y con un amigable entorno de gestión".

¿Creados para utilizar la Red? [Jaime]

¿Por qué los fabricantes de automóviles invierten tantos millones en mejorar la seguridad de sus nuevos modelos? Sencillamente, sus clientes son conscientes del riesgo que entraña conducir un coche, y exigen vehículos más seguros. Los fabricantes construyen sus automóviles pensando en los azares de la conducción. Si usted no saca nunca del garaje su coche, estará seguro de no sufrir ningún accidente de tráfico. Pero entonces, ¿para qué necesita el coche? ¿Para dar envidia al vecino? Microsoft afirma que Windows 95 y Windows 98 han sido creados pensando en Internet. En especial, Windows 98 "hace más fácil el acceso a Internet y al mundo de la comunicación digital". Cierto, más fácil y mucho más peligroso que con otros sistemas. Los nuevos caballos de Troya aprovechan las enormes facilidades de acceso a los recursos del sistema que ofrece W95/98. El programa servidor tiene control sobre todos los elementos del PC: dispositivos, ficheros, protocolos de red, etc. Estos troyanos muestran (y demuestran ) que cualquier aplicación que usted instale sobre W95/98, cuyo código fuente casi nunca se facilita, puede ser una puerta abierta a los delincuentes informáticos . Visite esta página para conocer lo que se esconde dentro de sus aplicaciones preferidas: www . cnet. com/Content/Features/Howto/Eggs.

Internet, por su propia naturaleza, es inseguro. Igual ocurre con la red viaria. Por eso los automóviles son cada vez más seguros. En cambio, la plataforma que más se utiliza en Internet, pensada para trabajar en redes de ordenadores y anunciada como la mejor solución para conectarse a la Red, se parece a un coche sin parachoques, cinturones de seguridad, o airbag . Las maniobras peligrosas, como el comercio electrónico, deben hacerse con mucho cuidado . Pero si usted utiliza W95/98, debe extremar las precauciones —vea el cuadro "¿Cuántos caballos tiene su ordenador?"—si no quiere tener un serio accidente en la Red. Los usuarios que viajan por las autopistas de la información con vehículos muy poco preparados, pensando que están usando un sistema seguro, son los primeros objetivos de los piratas informáticos.

¿Cuántos caballos tiene su ordenador? [Jaime]

Su ordenador puede estar infectado con uno o varios caballos de Troya. Los nuevos troyanos conviven en un mismo PC sin ningún problema. Hemos instalado Back Orifice y dos versiones distintas de NetBus en la misma máquina, y los tres servidores funcionaban perfectamente. Por fortuna, cualquier persona tiene a su alcance las herramientas necesarias para saber si tiene un caballo de Troya instalado en su ordenador.

Los procedimientos que se van a explicar no reemplazan a un buen programa antivirus. Al contrario, son el complemento ideal a su labor de protección y desinfección. Por ejemplo, el antivirus que utilizamos en nuestro laboratorio detecta a Back Orifice, pero no a NetBus. Aquí tiene las claves para saber, por sí mismo, si su ordenador está libre de esos caballos de Troya. Y, en caso contrario, cómo librarse de ellos.

Tanto NetBus como Back Orifice se arrancan automáticamente al iniciar Windows. Y los dos abren un puerto de comunicaciones para recibir las peticiones de los clientes . Por tanto, tenemos un proceso ejecutándose continuamente en nuestro ordenador y un puerto de comunicaciones siempre abierto . Para descubrir ese proceso, puede utilizar WinTop, una estupenda utilidad que ofrece Microsoft dentro de un paquete llamado ‘Kernel Toys’ . WinTop está indicado para W95, pero también corre en W98. La puede encontrar aquí: www. microsoft. Com/windows/downloads/bin/W95KRNLTOYS. EXE

WinTop muestra los procesos que están corriendo en su máquina y le permite identificar los ejecutables sospechosos (además de ofrecerle una nueva visión de lo que se cuece en su PC). Con respecto al puerto de comunicaciones abierto por el caballo de Troya, la herramienta más indicada para descubrirlo es netstat, sobre todo para puertos UDP (el utilizado por Back Orifice). Abra una ventana DOS y ejecute este comando: netstat –an | find " UDP ". Si la respuesta de este programa muestra actividad, sobre todo en el puerto 31337 (el puerto por defecto donde escucha Back Orifice) , es muy probable que su máquina esté infectada . Además de netstat, para revisar los puertos TCP (en busca de NetBus) puede usar HAR’s Protector:

www. harcon . Net/protector. htm . Esta pequeña utilidad controla todos los puertos de su máquina, tanto TCP como UDP . NetBus utilizaba, en las versiones antiguas, el puerto TCP 12345 . Netbus Pro utiliza ahora el 20034, pero el atacante puede configurar el servidor para que escuche por cualquier puerto. Por tanto, se deben controlar todas las conexiones, y HAR’s Protector lo hace.

Si ha encontrado algún proceso sospechoso o algún puerto abierto que no debería estarlo, el siguiente paso consiste en buscar en el registro de Windows. La manipulación del registro de Windows es siempre una tarea delicada. Estas dos páginas le ayudarán, paso a paso, a detectar la presencia de Back Orifice y Netbus. Y le explican, con la ayuda de estupendos gráficos, qué debe buscar y cómo debe modificar el registro . Para Back Orifice, visite www. nwinternet . com/~pchelp/bo/findingBO . htm . Y para Netbus, visite www. nwinternet . com/~pchelp/nb/netbus . htm

Si no se atreve a modificar el registro o no está muy seguro de la calidad de la limpieza realizada, debe acudir a programas comerciales: Panda Antivirus, Norton Antivirus, Mcafee VirusScan, etc. También existe la posibilidad de utilizar un programa no comercial, pero siempre bajo su propia responsabilidad.

Como ejemplo, BoDetect ( www . spiritone . com/~cbenson/current

_projects/backorifice/backorifice . htm ) encuentra y elimina cualquier instalación de Back Orifice . Por lo menos, así lo asegura su autor.

Uso obligatorio del casco [Jaime]

Los trabajadores de la construcción son conscientes de los peligros asociados a su actividad profesional. No respetar las normas de seguridad cuando se trabaja en una obra, significa asumir grandes riesgos para la integridad física. Por ejemplo, el uso del casco es obligatorio para todo el personal de la obra. Si usted se dedica a levantar rascacielos, debe utilizar siempre el casco.

De igual forma, si usted navega por la Red, debe instalar y mantener actualizado un buen antivirus. Merece la pena repetirlo: si se conecta a Internet tiene que utilizar un programa antivirus. Los caballos de Troya pueden llegar a su ordenador de muchas formas: a través de la Red, en el CD de regalo de su revista favorita, en esa aplicación comercial que le han dejado probar, etc. No piense que está a salvo por utilizar un sistema operativo distinto a W95/98/NT.

Todas las plataformas tienen sus propios caballos de Troya. Un poco menos conocidos que Back Orifice o NetBus, pero igual de peligrosos. Aquí tiene una referencia para dos plataformas muy conocidas.

MacOS: webworlds . co . uk/dharley/anti-virus/macvir . faq

UNIX: www . cyber . com/papers/networks . html

Aunque la peor parte se la llevan los usuarios de sistemas Microsoft. Piense que en sólo siete meses han aparecido cuatro nuevas versiones de NetBus. O que se han escritos varias herramientas para Back Orifice que permiten ocultarlo dentro de cualquier programa. La aplicación resultante instala el troyano en primer lugar y seguidamente el programa original. También pueden mandar un correo al atacante (o un mensaje a un canal de IRC), anunciando la dirección IP del ordenador infectado cada vez que se conecte a la Red. Visite la dirección www . cultdeadcow . com/tools/bo_plugins . html si desea conocer todos estos ‘plugins’ para Back Orifice . Estos troyanos se han difundido de tal manera que ya han aparecido programas que no sólo eliminan el virus del ordenador, sino que pasan al ataque. Localizan la dirección IP del PC que está ejecutando la parte cliente y tratan de dejarle fuera de juego. Contra Netbus se ha creado Net búster members . tripod . com/deltasitez/netbustertext . html y BackFire surf . to/leebros aparece, a modo de venganza, contra Back Orifice .

Pero no se confunda, la verdadera solución contra los virus en general y los caballos de Troya en particular, reside en la protección que nos ofrecen los antivirus comerciales. Sobre todo para plataformas tan poco seguras como Windows 95 o 98. Por favor, no salga a Internet sin una buena armadura. [Jaime]

Vayamos al punto mas importante la introducción, estos programas como ya he dicho llevan un pequeño instalador de forma que una vez ejecutado sin ninguna advertencia se instalan, pero hay que ejecutarlos, la mayoría de las veces suelen llegar por el irc o en algún correo y como ejecutamos todo si fijarnos lo instalamos sin darnos ni cuenta, solo nos extrañamos al ver que al ejecutarlo no pasa nada.

Otra opción es que venga junto con otro programa, esto se realiza con una serie de programas gratuitos que consiguen mezclar dos archivos ejecutables en uno de forma que solo se vea el resultado de uno de ellos, por lo que puede que solamente con instalar algún programa que no hallamos bajado de la red ya se ha podido instalar. De todas formas no os preocupéis ya que no hay demasiados programas por la red con troyanos (a mi solo me ha pasado una vez y no conozco a ninguna otra persona que haya sido infectado de esta forma, es mucho mas normal a través del irc). [Duiops]

Los siguientes efectos en la PC pueden ser por el ataque de un troyano.

  • Aparición y/o desaparición de archivos.
  • Ralentización del sistema.
  • Aparición de archivos temporales sin justificación. Al instalar programas lo normal es que se creen archivos en las carpetas temporales referentes a los archivos utilizados en su instalación.
  • Bloqueos continuos del PC.
  • Reinicios continuos del PC.
  • Desconexiones continúas del MODEM.
  • Inicialización/Finalización de programas sin justificación.
  • La bandeja del CD se abre/cierra sin motivo alguno.
  • El teclado deja de funcionar.
  • Actividad en el MODEM cuando no se está realizando ningún tipo de comunicación vía red. Las luces parpadeantes del MODEM (externo) o el LED de actividad del disco duro (interno) pueden indicar este tipo de actividad.
  • El servidor de Internet no reconoce nuestro nombre y contraseña o indica que ya está siendo utilizado. Lo mismo con el correo.
  • Aparición en el cliente de correo de mensajes enviados y desconocidos por nosotros.
  • Ejecución de sonidos sin justificación.
  • Presencia de ficheros TXT o sin extensión en el HD (normalmente en "c:") en los que reconocemos palabras/frases/conversaciones/comandos,… que hemos escrito anteriormente (captura del teclado por parte del atacante).
  • Presencia de archivos y/o carpetas con caracteres extraños, como por ejemplo "|î ìäñòó càïóñêà", que es el path por defecto del NetBus 2.X.
  • Aparición de una ventana con un mensaje tipo: "TE HE METIDO UN TROYANO". Este podría ser ya es un síntoma muy claro de una infección de troyano. [Duiops]
Partes: 1, 2, 3
 Página anterior Volver al principio del trabajoPágina siguiente