Embed Size (px)
Citation preview
CODIGO 201223658
2012
Miguel ángel rincón Saavedra
U.P.T.C
13/10/2012
Virus y vacunas
VYRUS Y VACUNAS Página 2
Contenido
TEMA 1. VIRUS
o GENERALIDADES
o CARACTERISTICAS
o COMOSE PRODUCEN
o ESTRATEGIAS DE
INFECCIÓN
o FORMA Y
PREVENCIÓN DE
VIRUS.
TEMA 2. ANTIRUS
° TIPOS DE ANTIVIRUS
°. FORMACIÓN DEL
USUARIO
° SISTEMAS OPERATIVOS
MÁS ATACADOS.
TEMA 3 ENCUESTA HECHA POR
KARSPERKY EN EL 2012.
BIBLIOGRSAFIA.
VYRUS Y VACUNAS Página 3
Virus
Los Virus informáticos
son programas de ordenador
que se reproducen a sí mismos
e interfieren con el hardware
de una computadora o con su
sistema operativo (el software
básico que controla la
computadora).
Los virus están diseñados para
reproducirse y evitar su
detección.
Existen otros programas
informáticos nocivos
similares a los virus, pero que
no cumplen ambos requisitos
de reproducirse y eludir su
detección. Estos programas
se dividen en tres categorías:
Caballos de Troya, bombas
lógicas y gusanos. Un caballo
de Troya aparenta ser algo
interesante e inocuo, por
ejemplo un juego, pero cuando
se ejecuta puede tener
efectos dañinos.
Como cualquier otro
programa informático, un
virus debe ser ejecutado para
que funcione: es decir, el
ordenador debe cargar el
virus desde la memoria del
ordenador y seguir sus
instrucciones. Estas
instrucciones se conocen
como carga activa del virus.
La carga activa puede
trastornar o modificar
archivos de datos, presentar
un determinado mensaje o
provocar fallos en el sistema
operativo.
Generalidades sobre los
virus de computadoras
La primer aclaración que cabe
es que los virus de
computadoras, son
simplemente programas, y
como tales, hechos por
programadores. Son
programas que debido a sus
características particulares,
son especiales. Para hacer un
virus de computadora, no se
requiere capacitación
especial, ni una genialidad
significativa, sino
conocimientos de lenguajes
de programación, de algunos
temas no difundidos para
público en general y algunos
conocimientos puntuales
sobre el ambiente de
VYRUS Y VACUNAS Página 4
programación y arquitectura
de las computadoras.
En la vida diaria, más allá de
las especificaciones técnicas,
cuando un programa invade
inadvertidamente el sistema, se
replica sin conocimiento del
usuario y produce daños,
pérdida de información o
fallas del sistema. Para el
usuario se comportan como
tales y funcionalmente lo son
en realidad.
Los virus actúan
enmascarados por "debajo"
del sistema operativo, como
regla general, y para actuar
sobre los periféricos del
sistema, tales como disco
rígido, disqueteras, Zip, CD,
hacen uso de sus propias
rutinas aunque no
exclusivamente. Un programa
"normal" por llamarlo así, usa
las rutinas del sistema
operativo para acceder al
control de los periféricos
del sistema, y eso hace que el
usuario sepa exactamente las
operaciones que realiza,
teniendo control sobre ellas.
Los virus, por el contrario,
para ocultarse a los ojos del
usuario, tienen sus propias
rutinas para conectarse con
los periféricos de la
computadora, lo que les
garantiza cierto grado de
inmunidad a los ojos del
usuario, que no advierte su
presencia, ya que el sistema
operativo no refleja su
actividad en la computadora.
Esto no es una "regla", ya que
ciertos virus, especialmente
los que operan bajo Windows,
usan rutinas y funciones
operativas que se conocen
como API‟s. Windows,
desarrollado con una
arquitectura muy particular,
debe su gran éxito a las
rutinas y funciones que pone a
disposición de los
programadores y por cierto,
también disponibles para los
desarrolladores de virus. Una
de las bases del poder
destructivo de este tipo de
programas radica en el uso de
funciones de manera
VYRUS Y VACUNAS Página 5
"sigilosa", se oculta a los
ojos del usuario común.
La clave de los virus radica
justamente en que son
programas. Un virus para ser
activado debe ser ejecutado y
funcionar dentro del sistema
al menos una vez. Demás está
decir que los virus no
"surgen" de las computadoras
espontáneamente, sino que
ingresan al sistema
inadvertidamente para el
usuario, y al ser ejecutados,
se activan y actúan con la
computadora huésped.
Las características de los
agentes víricos:
Son programas de
computadora: En informática
programa es sinónimo de
Software, es decir el
conjunto de instrucciones
que ejecuta un ordenador o
computadora.
Es dañino: Un virus
informático siempre causa
daños en el sistema que
infecta, pero vale aclarar que
el hacer daño no significa que
vaya a romper algo. El daño
puede ser implícito cuando lo
que se busca es destruir o
alterar información o pueden
ser situaciones con efectos
negativos para la
computadora, como consumo
de memoria principal, tiempo de
procesador.
Es auto reproductor: La
característica más importante
de este tipo de programas es la
de crear copias de sí mismos,
cosa que ningún otro
programa convencional hace.
Imaginemos que si todos
tuvieran esta capacidad
podríamos instalar un
procesador de textos y un par
de días más tarde tendríamos
tres de ellos o más.
Es subrepticio: Esto significa
que utilizará varias técnicas
VYRUS Y VACUNAS Página 6
para evitar que el usuario se
dé cuenta de su presencia. La
primera medida es tener un
tamaño reducido para poder
disimularse a primera vista.
Puede llegar a manipular el
resultado de una petición al
sistema operativo de mostrar
el tamaño del archivo e
incluso todos sus atributos.
Las acciones de los virus son
diversas, y en su mayoría
inofensivas, aunque algunas
pueden provocar efectos
molestos y, en ciertos, casos
un grave daño sobre la
información, incluyendo
pérdidas de datos. Hay virus
que ni siquiera están
diseñados para activarse, por
lo que sólo ocupan espacio en
disco, o en la memoria. Sin
embargo, es recomendable y
posible evitarlos.
¿Cómo se producen las
infecciones?
Los virus informáticos se
difunden cuando las
instrucciones o código
ejecutable que hacen
funcionar los programas
pasan de un ordenador a otro.
Una vez que un virus está
activado, puede reproducirse
copiándose en discos
flexibles, en el disco duro, en
programas informáticos
legítimos o a través de redes
informáticas. Estas
infecciones son mucho más
frecuentes en las
computadoras que en sistemas
profesionales de grandes
ordenadores, porque los
programas de las
computadoras se intercambian
fundamentalmente a través de
discos flexibles o de redes
informáticas no reguladas.
Los virus funcionan, se
reproducen y liberan sus
cargas activas sólo cuando se
ejecutan. Por eso, si un
ordenador está simplemente
conectado a una red
informática infectada o se
limita a cargar un programa
infectado, no se infectará
necesariamente. Normalmente,
un usuario no ejecuta
conscientemente un código
informático potencialmente
nocivo; sin embargo, los virus
engañan frecuentemente al
sistema operativo de la
computadora o al usuario
VYRUS Y VACUNAS Página 7
informático para que ejecute
el programa viral.
Algunos virus tienen la
capacidad de adherirse a
programas legítimos. Esta
adhesión puede producirse
cuando se crea, abre o
modifica el programa legítimo.
Cuando se ejecuta dicho
programa, ocurre lo mismo
con el virus. Los virus también
pueden residir en las partes
del disco duro o flexible que
cargan y ejecutan el sistema
operativo cuando se arranca
el ordenador, por lo que
dichos virus se ejecutan
automáticamente. En las redes
informáticas, algunos virus se
ocultan en el software que
permite al usuario conectarse
al sistema.
La propagación de los virus
informáticos a las
computadoras personales,
servidores o equipo de
computación se logra
mediante distintas formas,
como por ejemplo: a través de
disquetes, cintas magnéticas,
CD o cualquier otro medio de
entrada de información. El
método en que más ha
proliferado la infección con
virus es en las redes de
comunicación y más tarde la
Internet. Es con la Internet y
especialmente el correo
electrónico que millones de
computadoras han sido
afectadas creando pérdidas
económicas incalculables.
Hay personas que piensan que
con tan sólo estar navegando
en la Internet no se van a
contagiar porque no están
bajando archivos a sus
ordenadores, pero la verdad
es que están muy equivocados.
Hay algunas páginas en
Internet que utilizan objetos
ActiveX que son archivos
ejecutables que el navegador
de Internet va ejecutar en
nuestras computadoras, si en
el ActiveX se le codifica algún
tipo de virus este va a pasar a
nuestra computadoras con
tan solo estar observando
esa página.
Cuando uno está recibiendo
correos electrónicos, debe
ser selectivo en los archivos
que uno baja en nuestras
computadoras. Es más seguro
bajarlos directamente a
nuestra computadora para
luego revisarlos con un
antivirus antes que
ejecutarlos directamente de
donde están. Un virus
informático puede estar
oculto en cualquier sitio,
cuando un usuario ejecuta
algún archivo con extensión
.exe que es portador de un
VYRUS Y VACUNAS Página 8
algún virus todas las
instrucciones son leídas por
la computadora y procesadas
por ésta hasta que el virus es
alojado en algún punto del
disco duro o en la memoria del
sistema. Luego ésta va pasando
de archivo en archivo
infectando todo a su alcance
añadiéndole bytes adicionales
a los demás archivos y
contaminándolos con el virus.
Los archivos que son
infectados mayormente por
los virus son tales cuyas
extensiones son: .exe, .com,
.bat, .sys, .pif, .dll y .drv.
ESTRATEGIAS DE INFECCIÓN
USADAS POR LOS VIRUS
El código del virus se agrega
al final del archivo a infectar,
mod
Causa que el "script.ini"
original se sobre escriba con
el "script.ini" maligno. Los
autores de ese script acceden
de ese modo a información
privada de la computadora,
como el archivo de claves, y
pueden remotamente
desconectar al usuario del
canal IRC.
Virus Falsos (Hoax):
Un último grupo, que
decididamente no puede ser
considerado virus. Se trata de
las cadenas de e-mails que
generalmente anuncian la
amenaza de algún virus
"peligrosísimo" (que nunca
existe, por supuesto) y que por
temor, o con la intención de
prevenir a otros, se envían y
re-envían incesantemente. Esto
produce un estado de pánico
sin sentido y genera un
molesto tráfico de
información innecesaria.
¿CÓMO SABER SI TENEMOS
UN VIRUS?
La mejor forma de detectar un
virus es, obviamente con un
antivirus, pero en ocasiones
los antivirus pueden fallar en
la detección. Puede ser que no
detectemos nada y aún seguir
con problemas. En esos casos
"difíciles", entramos en
terreno delicado y ya es
conveniente la presencia de un
técnico programador. Muchas
VYRUS Y VACUNAS Página 9
veces las fallas atribuidas a
virus son en realidad fallas de
hardware y es muy importante
que la persona que verifique
el equipo tenga profundos
conocimientos de
arquitectura de equipos,
software, virus, placas de
hardware, conflictos de
hardware, conflictos de
programas entre sí y bugs o
fallas conocidas de los
programas o por lo menos de
los programas más
importantes. Las
modificaciones del Setup,
cambios de configuración de
Windows, actualización de
drivers, fallas de RAM,
instalaciones abortadas,
rutinas de programas con
errores y aún oscilaciones en
la línea de alimentación del
equipo pueden generar
errores y algunos de estos
síntomas. Todos esos
aspectos deben ser analizados
y descartados para llegar a la
conclusión que la falla
proviene de un virus no
detectado o un virus nuevo
aún no incluido en las bases
de datos de los antivirus más
importantes.
FORMAS DE PREVENCIÓN Y
ELIMINACIÓN DEL VIRUS
Copias de seguridad
Realice copias de seguridad de
sus datos. Éstas pueden
realizarlas en el soporte que
desee, disquetes, unidades de
cinta, etc. Mantenga esas copias
en un lugar diferente del
ordenador y protegido de campos
magnéticos, calor, polvo y
personas no autorizadas.
Copias de programas originales
No instale los programas desde
los disquetes originales. Haga
copia de los discos y utilícelos
para realizar las instalaciones.
No acepte copias de origen
dudoso
Evite utilizar copias de origen
dudoso, la mayoría de las
infecciones provocadas por
virus se deben a discos de origen
desconocido.
Utilice contraseñas
Ponga una clave de acceso a su
computadora para que sólo
usted pueda acceder a ella.
VYRUS Y VACUNAS Página 10
Los nuevos virus e Internet
Hasta la aparición del programa
Microsoft Outlook, era
imposible adquirir virus mediante
el correo electrónico. Los e-
mails no podían de ninguna
manera infectar una
computadora. Solamente si se
adjuntaba un archivo susceptible
de infección, se bajaba a la
computadora, y se ejecutaba,
podía ingresar un archivo
infectado a la máquina. Esta
paradisíaca condición cambió de
pronto con las declaraciones de
Padgett Peterson, miembro de
Computer Antivirus Research
Organization, el cual afirmó la
posibilidad de introducir un virus
en el disco duro del usuario de
Windows 98 mediante el correo
electrónico. Esto fue posible
porque el gestor de correo
Microsoft Outlook 97 es capaz
de ejecutar programas escritos
en Visual Basic para Aplicaciones
(antes conocido como Visual
Languaje, propiedad de
Microsoft), algo que no sucedía
en Windows 95. Esto fue negado
por el gigante del software y se
intentó ridiculizar a Peterson de
diversas maneras a través de
campañas de marketing, pero
como sucede a veces, la verdad
no siempre tiene que ser probada.
A los pocos meses del anuncio,
hizo su aparición un nuevo virus,
llamado BubbleBoy, que
infectaba computadoras a través
del e-mail, aprovechándose del
agujero anunciado por Peterson.
Una nueva variedad de virus había
nacido.
Para ser infectado por el
BubbleBoy, sólo es necesario
que el usuario reciba un mail
infectado y tenga instalados
Windows 98 y el programa
gestor de correo Microsoft
Outlook. La innovación
tecnológica implementada por
Microsoft y que permitiría
mejoras en la gestión del
correo, resultó una vez más en
agujeros de seguridad que
vulneraron las computadoras de
desprevenidos usuarios.
Las mejoras que provienen de los
lenguajes de macros de la familia
Microsoft facilitan la presencia
de "huecos" en los sistemas que
permiten la creación de técnicas
y herramientas aptas para la
violación nuestros sistemas. La
gran corriente de creación de
virus de Word y Excel, conocidos
como Macro-Virus, nació como
consecuencia de la introducción
del Lenguaje de Macros
WordBasic (y su actual sucesor
Visual Basic para Aplicaciones),
en los paquetes de Microsoft
Office. Actualmente los
Macrovirus representan el 80 %
del total de los virus que
circulan por el mundo.
Hoy en día también existen
archivos de páginas Web que
pueden infectar una
VYRUS Y VACUNAS Página 11
computadora. El boom de
Internet ha permitido la
propagación instantánea de virus
a todas las fronteras, haciendo
susceptible de ataques a
cualquier usuario conectado. La
red mundial de Internet debe ser
considerada como una red
insegura, susceptible de esparcir
programas creados para
aprovechar los huecos de
seguridad de Windows y que
faciliten el "implante" de los
mismos en nuestros sistemas. Los
virus pueden ser programados
para analizar y enviar nuestra
información a lugares remotos, y
lo que es peor, de manera
inadvertida. El protocolo
TCP/IP, desarrollado por los
creadores del concepto de
Internet, es la herramienta más
flexible creada hasta el
momento; permite la conexión de
cualquier computadora con
cualquier sistema operativo. Este
maravilloso protocolo, que
controla la transferencia de la
información, al mismo tiempo,
vuelve sumamente vulnerable de
violación a toda la red.
Cualquier computadora
conectada a la red, puede ser
localizada y accedida
remotamente si se siguen algunos
caminos que no analizaremos por
razones de seguridad. Lo cierto
es que cualquier persona con
conocimientos de acceso al
hardware por bajo nivel, pueden
monitorear una computadora
conectada a Internet. Durante la
conexión es el momento en el que
el sistema se vuelve vulnerable y
puede ser "hackeado". Sólo es
necesario introducir en el
sistema un programa que permita
"abrir la puerta" de la conexión
para permitir el acceso del
intruso o directamente el envío
de la información contenida en
nuestro disco. En realidad,
hackear un sistema Windows es
ridículamente fácil. La clave de
todo es la introducción de tal
programa, que puede enviarse en
un archivo adjunto a un e-mail
que ejecutamos, un disquete que
recibimos y que contiene un
programa con el virus, o quizá un
simple e-mail. El concepto de
virus debería ser ampliado a
todos aquellos programas que
de alguna manera crean nuevas
puertas en nuestros sistemas que
se activan durante la conexión a
Internet para facilitar el acceso
del intruso o enviar directamente
nuestra información privada a
usuarios en sitios remotos.
Entre los virus que más fuerte
han azotado a la sociedad en los
últimos dos años se pueden
mencionar:
Sircam
Code Red
Nimda
Magistr
Melissa
Klez
LoveLetter
VYRUS Y VACUNAS Página 12
Los antivirus
En informática los antivirus son
programas cuyo objetivo es
detectar y/o eliminar virus
informáticos. Nacieron durante
la década de1980.
Con el transcurso del tiempo, la
aparición de sistemas operativos
más avanzados e Internet, ha
hecho que los antivirus hayan
evolucionado hacia programas
más avanzados que no sólo
buscan detectar virus
informáticos, sino bloquearlos,
desinfectarlos y prevenir una
infección de los mismos, y
actualmente ya son capaces de
reconocer otros tipos de
malware, como spyware,
rootkits, etc.
Tipos de vacunas
Sólo detección: Son vacunas que
sólo actualizan archivos
infectados sin embargo no
pueden eliminarlos o
desinfectarlos.
Detección y desinfección: son
vacunas que detectan archivos
infectados y que pueden
desinfectarlos.
Detección y aborto de la acción:
son vacunas que detectan
archivos infectados y detienen
las acciones que causa el virus
Comparación por firmas: son
vacunas que comparan las firmas
de archivos sospechosos para
saber si están infectados.
Comparación de firmas de
archivo: son vacunas que
comparan las firmas de los
atributos guardados en tu
equipo.
Por métodos heurísticos: son
vacunas que usan métodos
heurísticos para comparar
archivos.
Invocado por el usuario: son
vacunas que se activan
instantáneamente con el usuario.
Invocado por la actividad del
sistema: son vacunas que se
activan instantáneamente por la
actividad del sistema operativo.
Planificación
La planificación consiste en
tener preparado un plan de
contingencia en caso de que una
emergencia de virus se produzca,
así como disponer al personal de
la formación adecuada para
reducir al máximo las acciones
que puedan presentar cualquier
VYRUS Y VACUNAS Página 13
tipo de riesgo. Cada antivirus
puede planear la defensa de una
manera, es decir, un antivirus
puede hacer un escaneado
completo, rápido o de
vulnerabilidad según elija el
usuario.
Consideraciones de software
El software es otro de los
elementos clave en la parte de
planificación. Se debería tener en
cuenta la siguiente lista de
comprobaciones para tu
seguridad:
1. Tener el software
imprescindible para el
funcionamiento de la actividad,
nunca menos pero tampoco más.
Tener controlado al personal en
cuanto a la instalación de
software es una medida que va
implícita. Asimismo tener
controlado el software asegura
la calidad de la procedencia del
mismo (no debería permitirse
software pirata o sin garantías).
En todo caso un inventario de
software proporciona un método
correcto de asegurar la
reinstalación en caso de
desastre.
2. Disponer del software de
seguridad adecuado. Cada
actividad, forma de trabajo y
métodos de conexión a Internet
requieren una medida diferente
de aproximación al problema. En
general, las soluciones
domésticas, donde únicamente
hay un equipo expuesto, no son
las mismas que las soluciones
empresariales.
3. Métodos de instalación
rápidos. Para permitir la
reinstalación rápida en caso de
contingencia.
4. Asegurar licencias.
Determinados softwares imponen
métodos de instalación de una
vez, que dificultan la
reinstalación rápida de la red.
Dichos programas no siempre
tienen alternativas pero ha de
buscarse con el fabricante
métodos rápidos de instalación.
5. Buscar alternativas más
seguras. Existe software que es
famoso por la cantidad de
agujeros de seguridad que
introduce. Es imprescindible
conocer si se puede encontrar
una alternativa que proporcione
iguales funcionalidades pero
permitiendo una seguridad extra.
Consideraciones de la red
Disponer de una visión clara del
funcionamiento de la red permite
poner puntos de verificación
filtrada y detección ahí donde la
incidencia es más claramente
identificable. Sin perder de vista
otros puntos de acción es
conveniente:
1. Mantener al máximo el número
de recursos de red en modo de
sólo lectura. De esta forma se
impide que computadoras
infectadas los propaguen.
2. Centralizar los datos. De
forma que detectores de virus en
VYRUS Y VACUNAS Página 14
modo batch puedan trabajar
durante la noche.
3. Realizar filtrados de firewall
de red. Eliminar los programas
que comparten datos, como
pueden ser los P2P; Mantener
esta política de forma rigurosa, y
con el consentimiento de la
gerencia.
4. Reducir los permisos de los
usuarios al mínimo, de modo que
sólo permitan el trabajo diario.
5. Controlar y monitorizar el
acceso a Internet. Para poder
detectar en fases de
recuperación cómo se ha
introducido el virus, y así
determinar los pasos a seguir.
Formación: Del usuario
Esta es la primera barrera de
protección de la red.
Antivirus
Es conveniente disponer de una
licencia activa de antivirus. Dicha
licencia se empleará para la
generación de discos de
recuperación y emergencia. Sin
embargo no se recomienda en una
red el uso continuo de antivirus.
El motivo radica en la cantidad
de recursos que dichos
programas obtienen del sistema,
reduciendo el valor de las
inversiones en hardware
realizadas.
Aunque si los recursos son
suficientes, este extra de
seguridad puede ser muy útil.
Sin embargo los filtros de
correos con detectores de virus
son imprescindibles, ya que de
esta forma se asegurará una
reducción importante de
decisiones de usuarios no
entrenados que pueden poner en
riesgo la red.
Los virus más comunes son los
troyanos y gusanos, los cuales
ocultan tu información, creando
Accesos Directos.
Firewalls
Artículo principal: Cortafuegos
(informática).
Filtrar contenidos y puntos de
acceso. Eliminar programas que
no estén relacionados con la
actividad. Tener monitorizado los
accesos de los usuarios a la red,
permite asimismo reducir la
instalación de software que no
es necesario o que puede generar
riesgo para la continuidad del
negocio. Su significado es
barrera de fuego y no permite que
otra persona no autorizada
tenga acceso desde otro equipo
al tuyo.
Reemplazo de software
VYRUS Y VACUNAS Página 15
Los puntos de entrada en la red
son generalmente el correo, las
páginas WEB, y la entrada de
ficheros desde discos, o de PC
que no están en la empresa
(portátiles...)
Muchas de estas computadoras
emplean programas que pueden
ser reemplazados por
alternativas más seguras.
Es conveniente llevar un
seguimiento de cómo distribuyen
bancos, y externos el software,
valorar su utilidad e instalarlo
si son realmente imprescindibles.
Centralización y Backup´s
La centralización de recursos y
garantizar el backup de los
datos es otra de las pautas
fundamentales en la política de
seguridad recomendada.
La generación de inventarios de
software, centralización del
mismo y la capacidad de generar
instalaciones rápidas
proporcionan métodos
adicionales de seguridad.
Es importante tener localizado
donde tenemos localizada la
información en la empresa. De
esta forma podemos realizar las
copias de seguridad de forma
adecuada.
Control o separación de la
informática móvil, dado que esta
está más expuesta a las
contingencias de virus.
Empleo de sistemas operativos
más seguros
Para servir ficheros no es
conveniente disponer de los
mismos sistemas operativos que
se emplean dentro de las
estaciones de trabajo, ya que
toda la red en este caso está
expuesta a los mismos retos. Una
forma de prevenir problemas es
disponer de sistemas operativos
con arquitecturas diferentes,
que permitan garantizar la
continuidad de negocio.
Temas acerca de la seguridad
Existen ideas instaladas por
parte de las empresas de
antivirus parte en la cultura
popular que no ayudan a
mantener la seguridad de los
sistemas de información.
Mi sistema no es importante para
un cracker. Este tema se basa en
la idea de que no introducir
passwords seguras en una
empresa no entraña riesgos pues
¿Quién va a querer obtener
información mía? Sin embargo
dado que los métodos de
contagio se realizan por medio de
programas automáticos, desde
unas máquinas a otras, estos no
distinguen buenos de malos,
interesantes de no interesantes...
VYRUS Y VACUNAS Página 16
Por tanto abrir sistemas y
dejarlos sin claves es facilitar
la vida a los virus.
Estoy protegido pues no abro
archivos que no conozco. Esto
es falso, pues existen múltiples
formas de contagio, además los
programas realizan acciones sin
la supervisión del usuario
poniendo en riesgo los sistemas.
Como tengo antivirus estoy
protegido. Únicamente estoy
protegido mientras el antivirus
sepa a lo que se enfrenta y como
combatirlo. En general los
programas antivirus no son
capaces de detectar todas las
posibles formas de contagio
existentes, ni las nuevas que
pudieran aparecer conforme las
computadoras aumenten las
capacidades de comunicación.
Como dispongo de un firewall no
me contagio. Esto únicamente
proporciona una limitada
capacidad de respuesta. Las
formas de infectarse en una red
son múltiples. Unas provienen
directamente de accesos a mi
sistema (de lo que protege un
firewall) y otras de conexiones
que realizó (de las que no me
protege). Emplear usuarios con
altos privilegios para realizar
conexiones tampoco ayuda.
Tengo un servidor web cuyo
sistema operativo es un UNIX
actualizado a la fecha. Puede que
esté protegido contra ataques
directamente hacia el núcleo,
pero si alguna de las
aplicaciones web (PHP, Perl,
Cpanel, etc.) está desactualizada,
un ataque sobre algún script de
dicha aplicación puede permitir
que el atacante abra una shell y
por ende ejecutar comandos en
el UNIX.
Sistemas operativos más
atacados
Las plataformas más atacadas
por virus informáticos son la
línea de sistemas operativos
Windows de Microsoft. Respecto
a los sistemas derivados de Unix
como GNU/Linux, BSD, Solaris,
Mac OS X, estos han corrido con
mayor suerte debido en parte al
sistema de permisos. No obstante
en las plataformas derivadas de
Unix han existido algunos
intentos que más que
presentarse como amenazas
reales no han logrado el grado
de daño que causa un virus en
plataformas Windows.
Plataformas Unix, inmunes a los
virus de Windows.
VYRUS Y VACUNAS Página 17
ESTUDIOS REALIZADOS POR
KARSPERKY LAB.
DEMUESTRAN:
Resumen de las actividades de
los virus informáticos, marzo de
2012
Global Research & Analysis Team
(Great), Kaspersky Lab
DUQU
La investigación sobre el
troyano Duqu ha entrado en su
sexto mes, y en marzo se vieron
significativos avances, ya que se
pudo establecer el lenguaje que
se usaba en su código
Framework. Este descubrimiento
se realizó con la ayuda de la
comunidad informática
internacional, que nos
proporcionó cientos de posibles
explicaciones e hipótesis.
El Framework de Duqu se
escribió en lenguaje C y se
compiló con MSVC 2008 con las
opciones “/O1” y “/Ob1”. Es muy
probable que sus creadores
hayan utilizado la extensión
orientada a objetos del lenguaje
C, conocido como “OO C”. La
arquitectura dirigida por eventos
se desarrolló como parte del
Framework o en la extensión OO
C. El código de comunicación
C&C pudo haber provenido de
otro programa malicioso y
adaptarse a las características
de Duqu. Creemos que el código
fue desarrollado por
profesionales que prefieren una
programación “a la antigua”. El
enfoque de los creadores de
Duqu suele darse en proyectos
legítimos de programación, pero
casi nunca en los de programas
maliciosos. Existen más
evidencias de que Duqu (y
Stuxnet) es un desarrollo único
que sobresale entre otros
programas maliciosos.
Después de invertir tanto dinero
en proyectos como Duqu y
Stuxnet, no resulta sencillo
tirarlo todo por la borda. En
marzo detectamos un nuevo
controlador circulando en
Internet que era prácticamente
idéntico a los que se usaron en
los principios de Duqu. Los
anteriores controladores se
crearon el 3 de noviembre de
2010 y el 17 de octubre de 2011,
mientras que el nuevo es del 23
de febrero de 2012. Al parecer,
los creadores de Duqu
retomaron sus actividades
después de cuatro meses de
descanso.
El nuevo controlador de Duqu
tiene las mismas funcionalidades
que las anteriores versiones
conocidas. Aunque los cambios
en el código son insignificantes,
demuestran que los creadores
han hecho su trabajo de
“corregir errores” para evitar su
detección. Aún no hemos
detectado el módulo principal de
Duqu asociado con este
controlador.
Para conocer en más detalle las
estadísticas de Kaspersky Lab
sobre las víctimas de Duqu, activa
el siguiente enlace. Este blog
VYRUS Y VACUNAS Página 18
también presenta las
modificaciones del troyano que
hemos logrado detectar: El
Misterio de Duqu: Parte Diez
Lucha contra la
ciberdelincuencia
Clausura de la segunda red zombi
Hlux/Kelihos
Kaspersky Lab, en colaboración
con CrowdStrike Intelligence
Team, Dell SecureWorks y
Honeynet Project, ha logrado
desmantelar la segunda red
zombi Hlux/Kelihos. (La nueva
historia de la exitosa clausura de
una red zombi - Desmantelamiento
de la nueva red zombi
Hlux/Kelihos).
Los investigadores bautizaron
esta red zombi con el nombre de
Kelihos.B para indicar que se
creó con la segunda variante
modificada de la red original.
El 21 de marzo, comenzamos a
introducir en la red zombi un
router dedicado de drenaje.
Nuestro objetivo era que los
ordenadores infectados se
comunicaran sólo con este
router. Durante una semana, más
de 116.000 de ellos lo hicieron,
lo que nos permitió controlar
los bots de los dueños de la red
zombi.
Cuando se está implementando
una operación para controlar
una red zombi, sus dueños suelen
fortificar sus posiciones
publicando una nueva versión del
bot y lanzando una campaña de
reclutamiento de nuevos
ordenadores para su red. Este
era el escenario que se
presentaba en septiembre,
cuando se desmanteló la primera
red zombi Hlux/Kelihos. Se
repitió en marzo.
La nueva (tercera) versión del
bot, llamada Kelihos.C, llamó
nuestra atención varios días
después del inicio de la operación
de drenaje. Al parecer, los
dueños de la red temían su
clausura en cualquier momento y
siguieron adelante con su plan B.
Notamos que en Kelihos.C se
modificaron las llaves RSA, tal
como sucedió con Kelihos.B. Las
llaves RSA se usaron para
codificar algunas estructuras
en los mensajes (La botnet
Kelihos/Hlux vuelve con nuevas
técnicas).
Puesto que los dueños de la red
zombi publicaron con prontitud
otra actualización del bot,
algunos investigadores siguen
escépticos sobre la efectividad
del método de drenaje para
neutralizar las redes zombi. Por
nuestra parte, creemos que este
método resulta efectivo para
complicar la vida de los rufianes
al forzarlos a desviar su
atención de la distribución de un
nuevo bot y de la infección de
nuevos ordenadores. Mientras
las nuevas versiones del bot no
implementen cambios
significativos en su arquitectura
y en su protocolo de
comunicación, seguiremos con
este juego del gato y el ratón.
Sin embargo, sólo podremos
cantar victoria absoluta contra
la red zombi cuando se logre
arrestar a sus dueños.
VYRUS Y VACUNAS Página 19
Ataque contra Zeus y sus hosts
A mediados de marzo, Microsoft
unió fuerzas con la asociación de
pagos online NACHA y FS-ISAC,
una ONG que representa los
intereses de los miembros de la
industria de servicios financieros
de los EE.UU., para lanzar otro
ataque contra los dueños de la
red zombi. El ataqué se llamó
“operación b71”. Con el permiso
judicial, se capturaron varios
servidores y centros de control
de las redes zombi más activas y
numerosas basadas en Zeus.
Microsoft también intentó
desenmascarar a los implicados
en el desarrollo y distribución
de Zeus y otros troyanos
similares, como SpyEye y Ice-IX
(este último basado en los
códigos fuente de Zeus que se
filtraron).
Microsoft inició acciones
legales contra 39 personas
anónimas implicadas en la
creación del código malicioso y
las redes que se basan en él.
Esperamos que esta iniciativa de
Microsoft reciba el respaldo
legal de las autoridades de
EE.UU. y, con el apoyo de la
comunidad internacional, se
logre encarcelar a más
ciderdelincuentes.
De hecho, estas son sólo
algunas medidas que pueden
ayudar a neutralizar los
troyanos bancarios, ya que según
estimaciones de Microsoft, el
daño total ocasionado por Zeus,
SpyEye y Ice-IX ya llega a
quinientos millones de dólares.
Arrestan a los responsables de
Carberp
Las autoridades rusas, junto al
grupo analítico Group-IB,
concluyeron su investigación
sobre las actividades delictivas
de un grupo que robaba dinero
mediante un notable troyano
bancario, llamado Carberp.
Según información brindada por
Departamento K de Rusia, una
unidad especializada en la lucha
contra la delincuencia de alta
tecnología, el grupo estaba
compuesto de ocho personas.
Clientes de decenas de bancos
rusos cayeron víctimas de estos
ciberdelincuentes que lograron
robar unos 60 millones de
rublos (unos dos millones de
dólares). Afortunadamente, la
investigación resultó en el
arresto de esta banda delictiva.
En Rusia es muy raro el arresto
de ciberdelincuentes, por lo que
la noticia fue muy bien recibida.
Sin embargo, la investigación se
centró en un solo grupo que
usaba un código “listo para usar”
Carberp y recurría a los
servicios de redes asociadas para
su distribución. El comunicado
afirma que entre los arrestados
se encontraban los dueños de la
red y las mulas de dinero que
retiraban los fondos robados de
cajeros automáticos. Sin
embargo, el creador del troyano
y sus redes asociadas siguen en
libertad. El troyano Carberp
Trojan sigue vendiéndose en
foros especializados (Carberp
sigue vivo), lo que significa que se
sigue usando y que lo usarán
otros grupos. En particular, y
VYRUS Y VACUNAS Página 20
hasta la fecha, hemos estado
siguiendo las actividades de
varias redes zombi Carberp. Lo
que aún no está claro es si
pertenecen a un solo grupo o a
varios.
Ataques a usuarios individuales
Un bot “sin archivo”
A principios de marzo, los
expertos de Kaspersky Lab
detectaron un singular ataque
que usaba un programa malicioso
capaz de operar sin crear
archivos en los sistemas
infectados.
Este código malicioso se
propagaba por medio de una red
„teaser‟ que incluía algunos
recursos noticiosos populares
en Rusia. Un script JavaScript
para uno de los teasers
descargados en el sitio incluía un
iframe que desviaba al usuario
hacia un sitio malicioso en el
dominio .EU y que contenía un
exploit Java.
A diferencia de los conocidos
ataques drive-by, al paso, este
programa malicioso no se
descargaba en el disco duro,
sino que operaba exclusivamente
en la memoria RAM. Al operar
como un bot, el programa
malicioso enviaba peticiones que
incluían datos sobre historial de
navegación tomados de los
registros del navegador del
usuario y los enviaba al servidor
de los ciberdelincuentes. Si los
datos enviados al servidor
malicioso incluían información
que indicaba que el usuario había
accedido a sistemas de banca
remota, entonces el troyano
Lurk se instalaba en el
ordenador infectado. Este
troyano roba los datos
confidenciales del usuario para
acceder a los servicios de banca
online de varios bancos rusos
importantes.
Este ataque estaba dirigido
contra los usuarios rusos. Sin
embargo, no podemos descartar
que el mismo exploit y el mismo
bot “sin archivo” vuelvan a
usarse contra usuarios en otras
partes del mundo: pueden
propagarse a través de redes
similares de banners o teasers en
otros países.
Esta es la primera vez en años
que nos encontramos con este
inusual tipo de programa
malicioso “sin archivo”. Estos
programas no existen como
archivos en el disco duro, sino
que operan sólo en la memoria
RAM del ordenador infectado, lo
que dificulta en gran medida su
detección por parte de las
soluciones antivirus.
Aunque los programas
maliciosos “sin archivo” sólo
funcionan hasta que el sistema
operativo se reinicie, la
posibilidad de que el usuario
vuelva a visitar el sitio infectado
suele ser grande.
Los expertos de Kaspersky Lab
suelen enfatizar que el parche
oportuno es el método más
confiable para protegerse
contra los programas
maliciosos que explotan
vulnerabilidades. En este caso,
recomendamos la instalación de
VYRUS Y VACUNAS Página 21
un parche provisto por Oracle
que cierra la vulnerabilidad CVE-
2011-3544 en Java. Este parche
se puede descargar desde: .
Otro robo de certificados
Nos hemos encontrado con más y
más programas maliciosos
firmados. A mediados de marzo,
volvimos a detectar programas
maliciosos con firmas digitales
válidas (troyanos Mediyes) así
como numerosos archivos tipo
dropper que estaban firmados en
varias fechas entre diciembre de
2011 y el 7 de marzo de 2012. En
todos los casos se usó un
certificado entregado por la
compañía suiza Conpavi AG. Esta
compañía es conocida por su
trabajo con agencias
gubernamentales suizas, como
las municipales y cantonales.
Los ciberdelincuentes pueden
infectar los ordenadores de la
compañía y robar un certificado
que luego usarán para firmar
programas maliciosos. (Hay
algunos notorios programas
maliciosos ZeuS que realizan esta
función: buscan los certificados
en el ordenador infectado y, si
los encuentran los envían al
ciberdelincuentes). El hecho de
que las autoridades municipales
hayan podido estar involucradas
en este accidente es una noticia
de por sí muy mala, pues quién
sabe a qué datos confidenciales
de las oficinas municipales
tuvieron acceso los piratas
cibernéticos.
Mediyes guarda su propio
controlador en el directorio de
unidades del sistema, para luego
inyectar un DLL malicioso a un
navegador de Internet. Si el
usuario hace una petición en los
motores de búsqueda Google,
Yahoo o Bing, el troyano duplica
todas las peticiones en el
servidor del ciberbandido. El
servidor responde con enlaces
desde el sistema Search123 que
funciona bajo el sistema pago-
por-click (PPC). Los enlaces se
activan sin que el usuario lo
sepa; los ciberdelincuentes
lucran con los falsos clicks.
Extensión maliciosa para
Chrome
A principios de marzo, los
expertos de Kaspersky Lab
detectaron una extensión
maliciosa para Google Chrome
que apuntaba a los usuarios de
Facebook en Brasil. Sin embargo,
nada evitaría que los
ciberdelincuentes lanzaran
ataques similares contra
usuarios en otros países.
Las extensiones maliciosas se
propagaron en Facebook a
través de los enlaces que
parecían de aplicaciones
legítimas. Estos ataques se
valieron de varios temas, como
“Cambia el color de tu perfil”,
“Descubre quién visitó tu perfil”,
y “Aprende a eliminar los virus de
tu perfil de Facebook". Si el
usuario aceptaba instalar una
aplicación, se lo dirigía a la
tienda online oficial de Google
Chrome, donde la extensión
maliciosa para Chrome aparecía
como “Adobe Flash Player”.
VYRUS Y VACUNAS Página 22
El usuario corriente no llega a
entender todos los detalles que
rodean la publicación de
aplicaciones en la tienda online
de Google Chrome. El usuario
sólo ve el sitio online oficial de
Google y confía que está libre de
riesgos. Sin embargo, cualquier
persona puede usar esta tienda
online para su extensión de
Chrome; sólo se necesita una
cuenta de Google y la tienda
online de Google Chrome ofrece
una sección especial para las
extensiones “caseras”.
Después de instalar la extensión
maliciosa en el ordenador, los
ciberpiratas lograban acceder a
la cuenta de Facebook de la
víctima. En el incidente descrito,
la extensión descargaba un
script malicioso desde el centro
de comando del
ciberdelincuentes. Cuando la
víctima entraba a su página de
Facebook, el script se incrustaba
en el código HTML de la página.
El objetivo del script era atraer
más “Me gusta” para páginas de
Facebook que el ciberbandido
elige. También enviaba un mensaje
en nombre de la víctima, incitando
a sus amigos a descargar la misma
extensión maliciosa.
Google eliminó el programa
malicioso tan pronto como se les
informó al respecto. Sin
embargo, los ciberdelincuentes
ya han creado extensiones
similares y las han colocado en
el mismo lugar: la tienda online
de Google Chrome.
El exploit MS12-020 RDP
En marzo, Microsoft publicó un
parche para reparar una
vulnerabilidad crítica en
Microsoft Terminal Services
(también conocido como Remote
Desktop). Esta vulnerabilidad tan
problemática es del tipo use-
after-free (Referencia no valida a
un puntero) y se encontraba en el
código que ejecuta en el anillo 0,
es decir, el código que se ejecuta
con las autorizaciones del
sistema local.
Luigi Auriemma descubrió esta
vulnerabilidad y fue quien creó
un paquete de red que causaba el
colapso de Remote Desktop
(Dos). Este investigador informó
en detalle a Microsoft. No se
sabe qué pasó con esta
información, pero sabemos que se
filtró en Internet y llegó, como
un regalo, a los potenciales
atacantes sobre cómo explotar
esta vulnerabilidad de Remote
Desktop, en lugar de la
descripción general que suele
hacer Microsoft.
Inmediatamente apareció mucha
gente interesada en encontrar
Exploits apropiados: algunos
querían un exploit que lanzara
ataques, mientras que otros
querían verificar la existencia de
un exploit y alertar sobre los
peligros. Mientras tanto,
algunos investigadores de
seguridad informática empezaron
a prepararse para una epidemia de
gusanos de red capaces de
explotar esta vulnerabilidad.
Y no pasó mucho tiempo antes de
que aparecieran los primeros
Exploits, con versiones de
VYRUS Y VACUNAS Página 23
códigos maliciosos que ofrecían
acceso remoto no autorizado a
PCs con Windows a través de
Remote Desktop.
Sin embargo, una versión tenía
todas las características de una
broma:
El autor de este particular
exploit firmaba como el conocido
hacker de LulzSec, Sabu (sus
camaradas lo acusan de pasar
información sobre otros
miembros del grupo al FBI, lo que
condujo a su posterior arresto).
El código está escrito en Python
y usa un módulo freerdp, como
puede verse en el texto que
aparece en la imagen de arriba.
Sin embargo, no se conoce
ningún módulo freerdp para
Python. Existe una
implementación gratuita de
código abierto para Remote
Desktop Protocol, conocida
como FreeRDP
(http://www.freerdp.com/), pero
sus propios desarrolladores no
saben nada sobre ningún soporte
para freerdp en la plataforma
Python.
Esto resultó ser un fraude, y no
fue el único.
Comenzaron a aparecer una gran
cantidad de exploits, pero
ninguna versión fue capaz de
ejecutar el código de forma
remota. Incluso apareció un sitio
web dedicado, con el elocuente
nombre
istherdpexploitoutyet.com.
Aún no hemos encontrado ningún
exploit que pueda ejecutar en
modo remoto el código a través
de Remote Desktop. La mayoría
fracasa en su cometido o resulta
en el temido BSOD.
Sin embargo, recomendamos a
todos los usuarios de Microsoft
Windows que verifiquen sus PCs
para ver si se están ejecutando
Remote Desktop. Si así fuera,
deben instalar de inmediato el
parche de Microsoft. También
vale la pena considerar si de
verdad necesitamos ese servicio
en nuestro sistema.
Te mantendremos informado si
aparece un exploit que pueda
ejecutar el código de forma
remota, pero mientras tanto,
puedes verificar si tu servidor es
vulnerable a potenciales
ataques RDP en este sitio:
http://rdpcheck.com.
Amenazas para Mac
En marzo pudimos evidenciar una
actividad sin precedentes en
cuanto a programas maliciosos
para Mac OS.
El caso más prominente fue
probablemente el de distribución
de spam a direcciones de
organizaciones tibetanas. Este
spam contenía enlaces al exploit
VYRUS Y VACUNAS Página 24
Exploit.Java.CVE-2011-3544.ms,
detectado por Alien Vault Labs.
Este exploit está diseñado para
instalar programas maliciosos en
los ordenadores de los
usuarios, según el tipo de sistema
operativo con que cuente el
ordenador de la víctima. En este
caso en particular, se instaló
Backdoor.OSX.Lasyr.a en los
ordenadores de los usuarios de
Mac OS, y
Trojan.Win32.Inject.djgs en los
de usuarios de Windows (el
troyano estaba firmado por un
certificado vencido otorgado
por la compañía china “WoSign
Code Signing Authority”).
Curiosamente, los
ciberdelincuentes usaron los
mismos servidores para manejar
ambos programas maliciosos
durante los ataques.
Este ataque no fue un ejemplo
aislado de que China usa
programas maliciosos para
atacar organizaciones tibetanas.
Apenas una semana después,
Kaspersky Lab detectó un
archivo DOC como
Exploit.MSWord.CVE-2009-
0563.a en una distribución similar
de spam. Este exploit infectaba
los ordenadores de los usuarios
de Mac OS con el programa
malicioso
Backdoor.OSX.MaControl.a.
Curiosamente, este programa
malicioso recibía comandos para
ordenadores infectados desde el
servidor freetibet2012.xicp.net
localizado en China.
También en marzo se detectó una
nueva modificación del programa
malicioso Backdoor.OSX.Imuler,
que describimos en nuestro
informe de septiembre de 2011
(Informe sobre Spam: Septiembre
de 2011). Los programas
maliciosos que pertenecen a esta
familia se propagan bajo la
cobertura de archivos con
extensiones seguras. Durante el
ataque de marzo, los
ciberdelincuentes distribuyeron
spam con imágenes eróticas con
extensión .JPG y archivos
maliciosos ejecutables
camuflados como imágenes.
Pero había otra “novedad” que
aguardaba en marzo: los
programas maliciosos de la
familia Trojan-
Downloader.OSX.Flashfake que
ahora usan Twitter como
servidores de administración.
Para distribuir estos programas
maliciosos, los ciberpiratas
usaron 200.000 blogs
hackeados que funcionaban bajo
WordPress.
Amenazas móviles
Troyano bancario para Android
Hace unos 18 meses se descubrió
una versión móvil del infame
troyano ZeuS. Se la nombró
ZitMo (ZeuS-in-the-Mobile). Este
troyano estaba diseñado para
robar números de
autentificación para
transacciones desde móviles
(mTAN) que los bancos envían a
los móviles de sus clientes a
través de SMS. Aunque este tipo
de amenaza móvil tuvo algún
desarrollo, no fue sino hasta
marzo de 2012 que se detectó un
programa malicioso móvil que
podía robar credenciales
VYRUS Y VACUNAS Página 25
(nombre de usuario y contraseña)
para la autentificación de
transacciones bancarias.
A mediados de marzo, se identificó
un programa malicioso que
apuntaba no sólo a los mensajes
SMS con mTANs, sino también a
las credenciales de banca online.
Kaspersky Lab detectó el
programa como Trojan-
SMS.AndroidOS.Stealer.a.
Al ejecutarse, esta aplicación
maliciosa muestra una ventana
que se presenta como un diálogo
para la generación de tokens.
Para que esta “generación” sea
posible, se le pide al usuario que
entre la llave requerida para la
autorización inicial en el sistema
de banca online. A continuación,
el programa malicioso genera un
falso token (un número
aleatorio) y la información que
ingresa el usuario se envía al
móvil y al servidor remoto del
ciberdelincuentes con los
números IMEI e IMSI. Además, este
programa malicioso puede recibir
una cantidad de comandos desde
el servidor remoto
(generalmente relacionados con
el robo de mTANs).
La aparición de este tipo de
programa malicioso no fue una
sorpresa, pero hubo algunos
detalles que llamaron nuestra
atención. Todas las muestras
conocidas del programa
malicioso apuntan a los clientes
de bancos españoles. Sin
embargo, uno de los servidores
remotos al que el programa
malicioso trata de conectarse
estaba en la zona .ru (este
dominio está ahora desactivado).
Además, resulta que el número
móvil al que se le envía la
información es ruso y pertenece
a un operador de la región. Esto
indica la posibilidad de que
autores rusos de programas
maliciosos estuvieran implicados
en la creación de este programa
en particular.
Ataques contra
corporaciones/gobiernos/orga
nizaciones
Espionaje espacial
En marzo se detectaron varios
ataques maliciosos contra
agencias de investigación
espacial.
Sobre todo hubo un informe
sobre incidentes de la NASA que
resultó muy interesante. Fue el
inspector general de esta
agencia quien lo presentó ante la
Comisión sobre ciencia, espacio y
tecnología del Congreso de los
EE.UU.
Una auditoría de la NASA reveló
un incidente ocurrido en
noviembre de 2011, cuando unos
atacantes (con direcciones IP
chinas) lograron el acceso
completo a la red del
Laboratorio de propulsión jet
(JPL, por sus ingás en inglés).
Además, durante 2011, se
detectaron 47 ataques dirigidos
contra la NASA, 13 de los cuales
tuvieron éxito. Entre 2010 y
2011, se supo de más de 5.400
incidentes de diversa gravedad
relacionados con acceso no
autorizado a las redes de la
VYRUS Y VACUNAS Página 26
agencia, o con programas
maliciosos.
Además de estos ataques de
hackers, la NASA sufre una
constante pérdida de
ordenadores portátiles con
información confidencial. Desde
2009, se han perdido unos 50,
incluyendo un incidente en marzo,
cuando desapareció una portátil
con información sobre
algoritmos de gestión de la
Estación espacial internacional.
La Agencia japonesa de
exploración aeroespacial (JAXA)
también publicó los resultados
de una investigación sobre un
incidente que ocurrió en el
verano de 2011, que no fue
detectado sino hasta enero de
2012.
En julio de 2011, un empleado de
la JAXA recibió un mensaje de
correo con un archivo malicioso.
La solución antivirus de su
ordenador no estaba
actualizada, lo que posibilitó que
el programa maliciosos infectara
el sistema. Los atacantes
pudieron acceder a toda la
información almacenada en el
ordenador y pudieron
potencialmente monitorear de
forma remota la información que
aparecía en la pantalla. Por
fortuna, según informa la
agencia, el ordenador no
contenía ninguna información
confidencial. Aunque este
ordenador tenía acceso al
monitoreo del trabajo en el
camión espacial (H-II Transfer
Vehicle (HTV)), los atacantes no
pudieron acceder al mismo.
Un análisis posterior no reveló
ningún uso de la información
autorizada robada para acceder
a otros sistemas de JAXA y NASA.
La fuga de unos 1.000 correos
de la agencia puede considerarse
como una pérdida sin importancia.
Marzo en cifras
Durante este mes, los
ordenadores que tienen
instalados productos de
Kaspersky Lab detectaron:
• y neutralizaron más de 370
millones de programas
maliciosos;
• 200 millones (55% de todas
las amenazas) de intentos de
infección originados en la web;
• Más de 42 millones de URLs
maliciosas.
Amenazas en Internet en marzo de
2012
Estas estadísticas representan
veredictos detectados de los
módulos antivirus y fueron
proporcionados por los
usuarios de los productos de
Kaspersky Lab que aceptaron
compartir sus datos locales.
Nuestros cálculos excluyen
aquellos países en los que la
cantidad de usuarios de
productos de Kaspersky Lab es
relativamente reducida (menos de
10.000).
VYRUS Y VACUNAS Página 27
Mapa de riesgo de infección al
navegar en Internet
Los 10 países en los que los
usuarios se enfrentan al mayor
riesgo de infección a través de
Internet
№ País % * Cambios
1 Rusia 55.50% 0
2 Armenia 49.30% 1
3 Kazajistán 47.80% 1
4 Bielorrusia 47.10% 1
5 Azerbaiyán 46.30% 1
6 Ucrania 43.30% 1
7 Sudán 41.00% Nuevo
8 Uzbequistán 40.30%
9 Costa de Marfil
39.90% -7
10 Bangladesh 39.40% -
*Porcentaje de usuarios únicos en el país con ordenadores con productos de Kaspersky Lab instalados que bloquearon amenazas online.
Los 10 países en los que los
usuarios se enfrentan al menor
riesgo de infección a través de
Internet
№ País % * Cambios
1 Rusia 55.50% 0
2 Armenia 49.30% 1
3 Kazajistán 47.80% 1
4 Bielorrusia 47.10% 1
5 Azerbaiyán 46.30% 1
6 Ucrania 43.30% 1
7 Sudán 41.00% Nuevo
8 Uzbequistán 40.30%
9 Costa de Marfil
39.90% -7
10 Bangladesh 39.40% -
*Porcentaje de usuarios únicos en el país con ordenadores con productos de Kaspersky Lab instalados que bloquearon amenazas online.
Top 10 de zonas de dominios
peligrosos
Fuente de ataques web por zona
de dominio*
*cantidad de ataques desde
recursos web según el dominio
detectado por el módulo
antivirus web.
VYRUS Y VACUNAS Página 28
Top 10 de países en los que los
recursos web se infectaron con
programas maliciosos
(Distribución mundial de sitios
infectados y hosts maliciosos)
Fuentes de ataques web por país*
*Para poder determinar la fuente
geográfica de un ataque, se
compara el nombre del dominio
con la dirección IP donde se sitúa
el dominio en cuestión, y se
determina la localización
geográfica de la dirección IP
(GEOIP).
Top 10 de amenazas en Internet
№ TOP 10 WAV March
% del total de ataques*
Cambios en la estadística
1 Malicious URL 85.71%
0
2 Trojan.Script.Iframer
4.03% 0
3 Trojan.Script.Generic
2.74% 1
4 Trojan.Win32.Generic
0.30% 1
5 Trojan-Downloader.Script.Generic
0.28% -1
6 Trojan-Downloader.JS.JScript.ag
0.26% Nuevo
7 Trojan-Downloader.JS.JScript.ai
0.19% Nuevo
8 Trojan.JS.Popupper.aw
0.18% 2
9 Trojan.JS.Iframe.zy 0.15% Nuevo
10
Trojan-Downloader.JS.JScript.ax
0.14% Nuevo
*El porcentaje de incidentes únicos detectados por el módulo antivirus web en los ordenadores de los usuarios.
Exploits detectados por el
módulo antivirus web en los
ordenadores de los usuarios por
aplicación atacada*
*Porcentaje de todos los
ataques de exploits bloqueados
provenientes de la web.
VYRUS Y VACUNAS Página 29
BIBLIOIGRIA
BLOGS.PROTEGERSE.COM
WWW.TIPOSDE.ORG
WWW.MONOGRAFIA.COM
KARSPERKYLAB
http://www.sitiosargentina.com.
ar/webmaster/cursos%20y%20t
utoriales/que_es_un_antivirus.ht
m
WWW.WIKIPEDIA.COM
CODIGO 201223658
