1. Objetivos. 2. Materiales y recursos. 3. Contenidos. 3.1. Virus. 3.1.1. ¿Qué es un virus informático? 3.1.2. ¿Qué no es un virus? 3.1.3. Historia de los virus. 3.1.4. ¿Quien crea los virus informáticos? 3.1.5. Ciclo de vida de un virus. 3.1.6. Tipos de virus. 3.1.7. Características de los virus 3.1.8. Daños producidos por los virus. 3.1.9. Índice de peligrosidad y grado de propagación. 3.1.10. Síntomas típicos de una infección. 3.1.11. Estrategias de infección usadas por los virus. 3.1.12. Técnicas de ocultamiento. 3.1.13. Prevención y detección. 3.1.14. Antivirus. 3.1.14.1. Técnicas empleadas por los antivirus 3.1.14.2. Test de EICAR. 3.1.14.3. Soluciones antivirus 3.2. Troyanos. 3.2.1. Objetivo de los troyanos. 3.2.2. Síntomas de infección provocad por un troyano. 3.2.3. Tipos de troyanos. 3.2.3.1. Los keyloggers. 3.2.4. Infección. 3.2.5. Detección de troyanos. 3.2.6. Precauciones para evitar la infección por parte de troyanos. 3.2.7. Cura de troyanos. 3.2.7.1. Uso de antitroyanos específicos 3.3. Gusanos. 3.3.1. Propagación. 3.3.2. Tipos de gusanos. 3.3.3. Medidas genéricas de seguridad contra los gusanos. 3.3.4. Ejemplo de desinfección de gusanos con herramientas específicas 4. Resumen.
VIRUS TROYANOS Y GUSANOS
¬ ¬ ¬ ¬
Unidad 4
Saber distinguir entre virus, troyanos y gusanos. Saber identificar los distintos tipos de virus, troyanos y gusanos. Identificar los síntomas de infección de un virus, un troyano y un gusano. Saber manejar las herramientas de desinfección de virus, troyanos y gusanos.
Para el estudio de los contenidos de esta unidad y la realización de sus actividades se utilizará el siguiente software: ¬ Herramientas de escaneo de virus on-line (Symantec, McAfee, Trend Micro, Panda). ¬ Antivirus gratuitos: AntiVir Personal Edition, AVG Free Edition. ¬ Capturador de pulsaciones de teclado Keylogg. ¬ Process Explorer (herramienta para listado de procesos en ejecución). ¬ Antitroyanos específicos: The Cleaner, Anti-Trojan y Trojan Remover. ¬ Stinger (herramienta específica para curar Mydoom.M).
Desde el punto de vista más cercano al usuario y considerando los efectos que produce, un virus informático puede considerarse como un código malicioso cuyo objetivo es procurar el mal funcionamiento de cualquier sistema informático. Otra característica de cualquier virus informático y que conoce muy bien el usuario es que el efecto inicial que lo caracteriza es la infección y que su propagación se realiza a través de diferentes medios: disquetes, descarga de archivos por Internet, compartición de recursos de una red, visionado de una página web.
Algunas definiciones básicas son las siguientes:
Trozo o secuencia de código ejecutable que se caracteriza por ser capaz de clonarse a sí mismo. ‚ Programa capaz de que hacer una copia de sí mismo sin la aprobación del usuario. ‚ Código o script capaz de autoreplicarse sin el consentimiento del usuario. ‚
SEGURIDAD EN INTERNET
203
Unidad 4
VIRUS TROYANOS Y GUSANOS
Una definición más completa puede ser esta: “Un virus informático es, simplemente, un programa elaborado accidental o intencionadamente y cuyo objetivo es instalarse y replicarse en el ordenador de un usuario sin el conocimiento o el permiso de este”. Podríamos decir que es una secuencia de instrucciones y rutinas creadas con el único objetivo de alterar el correcto funcionamiento del sistema y, en la inmensa mayoría de los casos, corromper o destruir parte o la totalidad de los datos almacenados en el disco. De todas formas, dentro del término "virus informático" se suelen englobar varios tipos de programas. Todos estos programas tienen en común la creación de efectos perniciosos; sin embargo, no todos pueden ser considerados como virus propiamente dichos. También se puede afirmar que es un programa parásito porque ataca a los archivos de sistema, ejecutables o de sectores de arranque y se reproduce a sí mismo para continuar su propagación. Algunos se limitan solamente a multiplicarse, mientras que otros pueden producir serios daños que pueden afectar a los sistemas. Es del todo irresponsable asumir que un virus es inofensivo y dejarlo actuar a sus anchas en el sistema. Existen ciertas analogías entre los virus biológicos y los informáticos: mientras los primeros son agentes externos que invaden células para alterar su información genética y reproducirse, los segundos son programas o rutinas, en un sentido más estricto, capaces de infectar archivos de ordenadores, reproduciéndose una y otra vez cuando se accede a dichos archivos, dañando la información existente en la memoria o alguno de los dispositivos de almacenamiento del ordenador. Tienen diferentes finalidades: unos sólo 'infectan', otros alteran datos, otros los eliminan, algunos sólo muestran mensajes. Pero el fin último de todos ellos es el mismo: PROPAGARSE. Es importante destacar que el potencial de daño de un virus informático no depende de su complejidad sino del entorno donde actúa. La definición más simple y completa que hay de los virus corresponde al modelo D. A. S., y se fundamenta en tres características, que se refuerzan y dependen mutuamente. Según dicha definición, un virus es un programa que cumple las tres condiciones siguientes: ‚ ‚ ‚
204
Es dañino. Es capaz de autoreproducirse. Es subrepticio u oculto.
SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
Unidad 4
Existen algunos programas que, sin llegar a ser virus, confunden y ocasionan problemas al usuario. Estos falsos virus carecen de por lo menos una de las tres características que identifican a un virus (dañino, auto reproductor y subrepticio). Veamos un ejemplo de estos pseudovirus: "Hace algunos años, la red de I. B. M., encargada de conectar más de 130 países, fue virtualmente paralizada por haberse saturado con un correo electrónico que contenía un mensaje de felicitación navideña que, una vez leído por el destinatario, se enviaba a sí mismo a cada integrante de las listas de distribución de correo del usuario. Al cabo de un tiempo, fueron tantos los mensajes que esperaban ser leídos por sus destinatarios que el tráfico se incrementó de tal manera que ocasionó la caída de la red". Aunque el ejemplo anterior puede considerarse a primera vista como un virus (más bien, un gusano) no lo es ya que no se trataba de ningún programa ni código oculto. Por lo tanto, es conveniente aclarar que no todo lo que altere el normal funcionamiento de un ordenador es necesariamente un virus para lo cual es preciso saber distinguir entre qué es un virus y qué no. A continuación se detallan algunas de las cosas que, por sus síntomas, pueden parecer virus pero, sin embargo, no lo son. a)
(Errores en programas)
Los bugs son errores que se producen durante la ejecución de un programa que no ha sido suficientemente depurado y que pueden llegar a confundir al usuario hasta el punto de creer que dicho programa está infectado. Un ejemplo que nos ha podido pasar a todos: cuando se trabaja durante un tiempo bastante largo con un archivo de tamaño respetable puede ocurrir que, en algún momento, se produzca un error al intentar grabarlo en el disco, se pierde todo lo hecho desde la última grabación y la confusión está asegurada, sobre todo si nos ha pasado más de una vez. Errores de este tipo suelen producirse con cierta frecuencia y son debidos a ERRORES de ejecución del programa. Todos los programas lo suficientemente complejos tienen algún bug. b) A veces suele ocurrir que el hardware de nuestro ordenador se vuelve inestable o que algunas aplicaciones de software se comportan de un modo anormal. Todo hace pensar que se trata de un virus, pero tras ejecutar el antivirus, el antitroyanos, el antimalware y revisar las opciones del cortafuegos instalado no se detecta nada en nuestro ordenador. Se trata de una FALSA ALARMA. Desafortunadamente no existe ninguna regla estricta que sirva de guía, pero contestarse las siguientes preguntas puede ser de ayuda: ‚
¿Es sólo un archivo el causante de la alarma? ¿O se trata de varios archivos, pero copias del mismo?
SEGURIDAD EN INTERNET
205
Unidad 4
‚ ‚
VIRUS TROYANOS Y GUSANOS
¿Es solamente el antivirus el responsable de la alarma? (El resto de aplicaciones de seguridad no detectan nada anormal). ¿Se produce algún tipo de alarma tras la ejecución de varias aplicaciones de seguridad pero no después de inicializar, sin ejecutar ningún programa?
Si al menos una de nuestras respuestas es afirmativa, lo más probable es que, efectivamente, se trate de una falsa alarma. c) A veces algunos archivos son accidentalmente dañados, quizás por problemas de hardware, lo cual no implica que siempre que encontremos daños en algún archivo tengamos que estar infectados. Los archivos de gran tamaño almacenados en disquetes suelen ser un ejemplo de falso daño producido por este tipo de pseudovirus.
Hacia finales de los años 60, Douglas McIlory, Víctor Vysottsky y Robert Moris idearon un juego al que llamaron Core War (Núcleo de guerra, aludiendo a la memoria del ordenador) que se convirtió en el pasatiempo preferido de algunos de los programadores de los laboratorios Bell de AT&T. El juego consistía en que dos jugadores escribían, cada uno, un programa llamado organismo cuyo hábitat fuera la memoria del ordenador. A partir de una señal, cada programa intentaba forzar al otro a efectuar una instrucción inválida, ganando el primero que lo consiguiera. Al término del juego, se borraba de la memoria todo rastro de la batalla, ya que estas actividades eran severamente sancionadas por los jefes por ser un gran riesgo dejar un organismo suelto que pudiera acabar con las aplicaciones del día siguiente. De esta manera aparecieron en escena los primeros programas destinados a dañar el contenido de la memoria del ordenador. Históricamente los virus informáticos fueron descubiertos por la prensa el 12 de octubre de 1985, con una publicación del New York Times que hablaba de un virus que se distribuyó desde un BBS y aparentemente era una pequeña aplicación para optimizar los sistemas IBM basados en tarjeta gráfica EGA que al ejecutarla borraba todos los archivos del disco duro, con un mensaje al finalizar que decía "Caíste". En realidad, lo relatado en el párrafo anterior fue el origen de su nombre ya que los programas con código integrado, diseñados para hacer cosas inesperadas han existido desde que existen los ordenadores. Pero las primeras referencias de virus con fines intencionados surgieron en 1983 cuando Digital Equipement Corporation (DEC) empleó una subrutina para proteger su famoso procesador de textos Decmate II y que, en caso de tratarse de una copia ilegal, borraba todos los archivos de la unidad de disco. 206
SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
Unidad 4
Una de las primeras infecciones de las que se tiene noticia data del año 1987, cuando en la Universidad estadounidense de Delaware comenzaron a ver "© Brain" como etiqueta de los disquetes. La causa de ello era Brain Computer Services, una casa de ordenadores paquistaní que, desde 1986, vendía copias ilegales de software comercial infectadas para, según los responsables de la firma, dar una lección a los piratas. La creación de este virus fue muy sencilla: simplemente había que percatarse de que el sector de arranque de un disquete contenía código ejecutable y que dicho código se ejecutaba cada vez que la máquina se inicializaba desde un disquete. Lo que hicieron los paquistaníes fue reemplazar dicho código por un programa propio, residente y que instalaba una réplica de sí mismo en cada disquete que fuera utilizado. En 1986, un programador llamado Ralf Burger se percató de que un archivo podía ser creado para copiarse a sí mismo, adosando una copia de él a otros archivos. Escribió una demostración de este efecto a la que llamó VIRDEM, caracterizado porque podía infectar cualquier archivo con extensión .COM. Fue tal el interés que despertó dicho descubrimiento que se le pidió que escribiera un libro sobre virus que resultó incompleto ya que, puesto que desconocía lo que estaba ocurriendo en Paquistán con New Brain, no mencionó a los virus de sector de arranque. Para ese entonces, ya se había empezado a diseminar el virus Vienna. Actualmente, los virus son producidos en cantidades extraordinarias por personas de todo tipo y condición. Mientras algunos de ellos dicen hacerlo por diversión, otros reconocen que se sienten atraídos por probar sus habilidades. Lo que sí está claro es que, independientemente del motivo que les incita a crearlos, existe un cierto grado de competitividad entre los autores de estos programas. Respecto al porqué los autores de virus se ven motivados para llevar a cabo su obra, se barajan las siguientes causas posibles: ‚
‚
‚
Algunos de los programadores de virus, especialmente los mejores, sostienen que su interés por el tema es puramente científico y que lo único que les motiva a fabricarlos es averiguar todo lo que se pueda sobre virus y sus usos. La facilidad para compartir información que existe entre los creadores de virus. En efecto, a diferencia de las compañías de software, que son organizaciones relativamente aisladas unas de otras (todas tienen secretos que no querrían que sus competidores averiguaran) y cuentan entre sus filas con mayoría de estudiantes graduados, las agrupaciones de programadores de virus están abiertas a cualquiera que se interese en ellas, ofrecen consejos, camaradería y pocas limitaciones. Además, son libres de seguir cualquier objetivo que les parezca, sin temer por la pérdida de respaldo económico. El mero hecho de programar cualquier virus provoca una sensación de poder en el programador que le incita a saltarse sin más cualquier regla
SEGURIDAD EN INTERNET
207
Unidad 4
‚
‚
‚
‚
VIRUS TROYANOS Y GUSANOS
convencional de comportamiento. Este factor representa una peso importante ya que el sentimiento de pertenencia es algo necesario para todo ser humano y está comprobado que dicho sentimiento se refuerza en situaciones marginales. Algunos programadores de virus intentan evitar su responsabilidad para lo cual intentan dar un aspecto “legal” a sus creaciones poniéndolas al alcance del máximo de personas (Internet es la mejor vía para este cometido), limitándose a avisar de que el material es peligroso y que cualquiera que lo utilice es responsable de los daños que se pudieran producir. Existen programadores de quienes, generalmente, provienen los virus más destructivos, que alegan que sus programas son creados para hacer notoria la falta de protección que sufren la mayoría de los usuarios de ordenadores. Aunque es difícil de demostrar, la competencia entre empresas del mismo sector posibilita el uso de virus cuyo principal objetivo es el espionaje industrial. También es un rumor muy difundido por Internet y, por supuesto no demostrado, que las propias empresas fabricantes de antivirus podrían estar produciendo virus nuevos para incrementar su negocio.
Busca en Internet documentos que contengan información sobre los primeros virus aparecidos en el mundo de la informática, concretamente sobre los siguientes: virus de la pelotita, New Brain y Viernes 13.
Tradicionalmente, el perfil de un creador de virus responde al de una persona joven, con amplios conocimientos de informática, la mayoría programadores que trabajan en el sector de la Informática y que, en sus ratos libres, se dedicaban a programar virus. Actualmente, las cosas han cambiado y con la expansión de Internet cualquier persona con la suficiente mala intención y unos conocimientos mínimos es capaz de infectar miles de ordenadores con un virus hecho a la carta. Quizá sea el objetivo lo que menos haya cambiado: las miserias humanas se mantienen aunque cambie la tecnología. Posiblemente, el objetivo de estos programadores no es de tipo económico sino más bien de satisfacción personal: que el programa se propague al mayor número posible de ordenadores y redes de ordenadores, obteniendo así el reconocimiento de otros programadores de virus. Para no ser reconocidos por las autoridades, estos programadores utilizan nombres falsos para firmar sus programas, que sólo otros programadores de virus pueden identificar. 208
SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
Unidad 4
Las posibilidades que ofrece Internet para el autodidacta que se dedique a fabricar virus llegan hasta el punto de que existen sitios (muy poco recomendables de visitar) que ofrecen la descarga gratuita de herramientas y utilidades para este fin. La ilustración 4.1 es un ejemplo de este tipo de sitios.
Busca con Google páginas similares a la de la figura 4.1 que ofrezcan algún tipo de herramientas para crear virus y comprueba si es cierto que la creación de un virus es fácil. Toma las precauciones suficientes para poder visitar dichas páginas.
Se considera que se ha desatado un brote vírico en una red cuando se ve infectada de virus o repleta de mensajes que los contienen: el resultado es un servidor colapsado, cuya inactividad cuesta a la empresa mucho dinero. El ciclo vital de los virus informáticos comienza con su creación y termina con su completa erradicación. SEGURIDAD EN INTERNET
209
Unidad 4
‚
‚
‚
‚
‚
‚
VIRUS TROYANOS Y GUSANOS
. Hasta hace pocos años, crear un virus exigía conocer en profundidad un lenguaje de programación. En la actualidad cualquiera que sepa programar un poco puede hacer un virus. Es más: hay páginas en Internet que enseñan a elaborar virus de forma muy sencilla. . Los virus se reproducen a sí mismos: forma parte de su naturaleza. Un virus bien diseñado está preparado para estar copiándose a sí mismo en distintos ficheros durante bastante tiempo, el suficiente para llegar a muchísimos usuarios. . En los virus con rutinas de ataque, éstas se activan cuando se dan determinadas condiciones, por ejemplo, una fecha concreta o que el usuario realice una acción "x". Sin embargo, incluso los virus que están pensados para causar un daño específico entorpecen el sistema al ocupar en él un valioso espacioso de almacenamiento. . Cuando se detecta un nuevo virus, se aísla y se envía a la Asociación Internacional de Seguridad Informática, con sede en Washington, D.C., donde se toma nota de sus características para posteriormente distribuirlo a los fabricantes de antivirus. En general, el descubrimiento tiene lugar por lo menos un año antes de que el virus se convierta en una amenaza para la comunidad informática. . En este punto, los fabricantes de antivirus modifican su “software” para que sea capaz de detectar el nuevo virus. Este proceso puede durar desde un día hasta seis meses, dependiendo del desarrollador y del tipo de virus. . Cualquier virus puede ser erradicado si suficientes usuarios mantienen al día su protección antivirus. Hasta el momento ningún virus ha desaparecido por completo, pero algunos hace mucho que han dejado de representar una amenaza importante.
Clasificaciones y nomenclaturas de virus hay muchas, tantas como características y criterios: según su origen, según las técnicas que utilizan para infectar, según el tipo de archivos que infectan, los lugares donde se esconden, los daños que causan, el sistema operativo o la plataforma tecnológica que atacan, etc. Todas estas clasificaciones tienen muchos puntos en común, por lo que un mismo virus puede pertenecer a varias categorías al mismo tiempo. Por otro lado, continuamente surgen nuevos virus que por su reciente aparición o por sus peculiares características no pueden ser incluidos inicialmente en ninguna categoría, aunque esto no es lo habitual. A continuación se describen los más significativos. ‚
(Files virus). Como su nombre indica, se instalan en los archivos, utilizando cualquier sistema operativo para propagarse. Pueden infectar todos los tipos de archivos ejecutables del DOS Estándar (Archivos BAT, SYS, EXE, COM) y archivos de otros sistemas operativos como Windows en todas sus versiones (incluyendo sus drivers), OS2, Macintosh y
210
SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
Unidad 4
Unix. También son capaces de infectar archivos que contienen código fuente, librerías o módulos de objetos, e incluso archivos de datos. ‚
(MBR, Master Boot Record). Infectan el sector de arranque de los disquetes o discos duros y sustituyen el sector de arranque original guardando o no una copia de este en otro sector del disco. También pueden guardar parte del virus en otros sectores además del MBR. Formatear el disco o disquete no tiene ningún efecto sobre ellos ya que esta acción no modifica el MBR. La única salida en este caso es un formateo a bajo nivel que regenere la tabla de particiones. Algunos ejemplos de este tipo de virus son: Polyboot.B, AntiEXE.
‚
. Son una combinación de virus de archivo y virus de sector de arranque. Se trata de virus muy avanzados, que pueden realizar múltiples infecciones, combinando diferentes técnicas para ello. Su objetivo es cualquier elemento que pueda ser infectado: archivos, programas, macros, discos, etc. Se consideran muy peligrosos por su capacidad de combinar muchas técnicas de infección y por los dañinos efectos de sus acciones. Algunos ejemplos de estos virus son: Ywinz.
‚
(Basic Input Output System) Se instalan en la BIOS del ordenador de forma que, cada vez que éste arranca, se infectan los archivos de sistema y el disco duro queda inservible en pocos minutos.
‚
(Companion Virus). Se caracterizan porque no cambian los archivos infectados sino que crean un clon del archivo infectado que al ejecutarse le da el control al virus. Pueden hacerlo de varias maneras, creando un archivo alternativo (por ejemplo, infecta el archivo xcopy.EXE que permanece inalterado y se crea un archivo xcopy.COM que contiene el código viral, de forma que al ser llamado el xcopy.EXE se ejecuta xcopy.COM). Otra variante es renombrando el archivo original sin cambiarlo y adoptando su nombre el virus. Algunos ejemplos de este tipo de virus son: Stator, Asimov.1539, Terrax.1069.
‚
. El objetivo de estos virus es la infección de los ficheros creados usando determinadas aplicaciones que contengan macros: documentos de Word (archivos con extensión .DOC), hojas de cálculo de Excel (archivos con extensión .XLS), bases de datos de Access (archivos con extensión .MDB), presentaciones de PowerPoint (archivos con extensión PPS), archivos de Corel Draw, etc. Las macros son micro-programas asociados a un archivo, que sirven para automatizar complejos conjuntos de operaciones. Al ser programas, las macros pueden ser infectadas.
SEGURIDAD EN INTERNET
211
Unidad 4
VIRUS TROYANOS Y GUSANOS
Cuando se abre un archivo que contenga un virus de este tipo, las macros se cargarán de forma automática, produciéndose la infección. La mayoría de las aplicaciones que utilizan macros cuentan con una protección antivirus y de seguridad específica, pero muchos virus de macro sortean fácilmente dicha protección. Existe un tipo diferente de virus de macro según la herramienta usada: de Word, de Excel, de Access, de PowerPoint, multiprograma o de archivos .RTF. Sin embargo, no todos los programas o herramientas con macros pueden ser afectados por estos virus. Estos son algunos ejemplos: Relax, Melissa.A, Bablas, O97M/Y2K. ‚
Especialmente diseñados para infectar programas antivirus, para lo cual incluyen rutinas que les permiten evitar ser detectados y deshabilitar o dañar determinados antivirus.
‚
. Sobrescriben el contenido de los ejecutables con su propio código fuente, destruyendo el contenido original. El ejecutable infectado no trabaja apropiadamente y no puede ser restaurado. Se caracterizan porque los archivos infectados no aumentan de tamaño, a no ser que el virus ocupe más espacio que el propio archivo (esto se debe a que se colocan encima del archivo infectado, en vez de ocultarse dentro del mismo). La única forma de limpiar un archivo infectado por un virus de sobreescritura es borrarlo, perdiéndose su contenido. Algunos ejemplos de este tipo de virus son: Way, Trj.Reboot y Trivial.88.D.
‚
Cambian el contenido de archivos infectados al transferirles su copia y permiten que los archivos sean parcial o completamente utilizables. La copia del virus puede ser agregada al inicio o final del archivo afectado o insertada en el medio.
‚
(Companion Virus). Son los que al infectar realizan modificaciones en el código para evitar ser detectados o eliminados. Algunos ejemplos de este tipo de virus son: NATAS o SATÁN y Miguel Angel.
‚
(Entry Point Obscuring). No graban las instrucciones de paso de control al virus en el encabezamiento de los archivos .COM y no cambian la dirección del punto de entrada en el encabezamiento de los archivos .EXE. La instrucción para el salto al código viral lo graban en algún punto del medio del archivo infectado, por lo que no toman el control inmediatamente al ejecutarse el archivo, si no después de una llamada a la rutina que contiene la instrucción del salto, que puede ser una rutina poco ejecutada como por ejemplo un mensaje de error específico. Como resultado, el virus puede permanecer "dormido" o "latente" por tiempo muy prolongado y ser activado en condiciones limitadas o muy específicas. Ejemplos de este tipo de virus son los siguientes: Lucretia, Zhengxi, CNTV,
MidInfector, NexivDer, Avatar.Positron y Markiz. 212
SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
Unidad 4
(Link Virus) . Al igual que los
‚
acompañantes no cambian el tamaño físico de los archivos que son sus objetivos pero al inicializarse el fichero infectado fuerzan al SO a ejecutar su código viral. Un ejemplo de este tipo de virus es DirII que se instala en el último cluster del disco duro. Al infectar un archivo modifica solamente su primer cluster (donde se encuentra el sector correspondiente del directorio) y, por lo tanto el tamaño del archivo infectado no varía. Lo que sí ocurrirá ahora es que apuntará al cluster donde está el virus. ‚
. Son virus que infectan compiladores de librerías, módulos de objetos y código fuente. Son más raros y están poco extendidos. Cuando se instalan unen su código viral a los módulos o librerías en el formato del módulo de objeto o librería infectados. No pueden ejecutarse o extenderse por ellos mismos. Son los ficheros EXE y COM creados como resultado del enlace de ese módulo o librería con otros, los que lo diseminan, por lo que emergen como virus solo en esa segunda etapa.
‚
. Son de los más antiguos, se basan en la capacidad del DOS de ejecutar archivos .BAT de proceso por lotes. Inicialmente fáciles de detectar al estar escritos en modo texto, no podían ocultarse y tenían un poder limitado. Actualmente son más modernos y versátiles, estando desarrollados en WinScript (evolución del .BAT para Windows).
‚
A este tipo pertenecen los virus de script para mIRC y los orientados a redes como los virus de HTML, VBS, JavaScript o JScript. Pueden desconectar al usuario del IRC y acceder a información sensible del PC o sw la LAN, abrir el archivo de claves del Windows, bajar el "etc/passwd" en el caso de sistemas operativos basados en UNIX o abrir una sesión FTP.
‚
. Un control ActiveX, un plug-in o cualquier elemento activo no dejan de ser archivos ejecutables que se añaden a un navegador para agregarle ciertas características. Al ser ejecutables pueden contener código malicioso.
‚
(in the Wild). Con este nombre se denomina a los virus que se encuentran en circulación, los que afectan actualmente un alto porcentaje de las redes y usuarios.
‚
(In the Zoo). Son virus que no se encuentran en circulación. Ejemplo: virus de la "pelotita".
‚
. Son virus que al mutar generan nuevos virus. Ejemplo de este tipo de virus son: VCL, IVP, Vice y Mutator.
‚
. Son virus que al instalarse afectan a determinados archivos vitales del ordenador, cuya eliminación supone la destrucción de datos o el mal funcionamiento del sistema. Un ejemplo de este tipo de virus es Monkey que afecta a la FAT (File Allocator Table o tabla de
SEGURIDAD EN INTERNET
213
Unidad 4
VIRUS TROYANOS Y GUSANOS
particiones) encriptando los datos de forma que si el virus no está residente en memoria, se pierde la información. ‚
. Este tipo de virus se caracteriza por ocultarse en la memoria del sistema o en los discos y en los archivos de programas ejecutables con tipo COM o EXE a la espera de una fecha o una hora determinadas para activarse. Algunos de estos virus no son destructivos y solo exhiben mensajes en las pantallas al llegar el momento de la activación. Llegado el momento, se activan cuando se ejecuta el programa que las contiene.
Partiendo de la base de que existen varios tipos de virus, enumerar las características comunes de este tipo de código malicioso resulta difícil si no se realiza desde el punto de vista de la diversidad. Teniendo en cuenta esta peculiaridad, a continuación se enumera una serie de características generales a todos ellos. a)
. Un virus es capaz de permanecer inactivo hasta que un hecho externo hace que el programa se ejecute o que el sector de arranque sea leído. De esa forma el programa del virus se activa y se carga en la memoria del ordenador desde donde puede esperar un evento que dispare su sistema de destrucción o de duplicación de sí mismo.
b)
. Hace unos años, la mayoría de los virus se caracterizaban por ser residentes en memoria. De esta forma, cada vez que arrancaba el ordenador, el virus hacía de las suyas infectando los archivos del disco duro. Menos comunes son los virus no residentes que no necesitan permanecer en la memoria después que el programa huésped se haya cerrado. Ahora, los virus tienden a camuflarse para evitar la detección y reparación. Para ello, el virus reorienta la lectura del disco y modifica los datos sobre el tamaño del directorio infectado en la FAT para evitar que se descubran bytes extra que aporta el virus.
c)
. Los primeros virus se infectaban a través de archivos ejecutables infectados en disquetes que, al ser introducidos en la unidad de disco flexible, infectaban la RAM o el sector de arranque. Otra vía de infección era a través de programas descargados de BBS (Bulletin Board System o Sistema de Tablero de Anuncios) o a través de copias de software no original, infectadas a propósito o accidentalmente. También se pusieron muy de moda (y siguen vigentes) los virus que infectaban cualquier archivo que contenga "ejecutables" o "macros". Los virus de sectores de arranque se instalan en esos sectores y desde allí van saltando a los sectores equivalentes de cada uno de los drivers del PC. Pueden dañar el sector o sobreescribirlo. Lamentablemente obligan al formateo del disco de la unidad infectada.
214
SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
Unidad 4
En cambio los virus de programa, se manifiestan cuando la aplicación infectada es ejecutada, el virus se activa y se carga en la memoria, infectando a cualquier programa que se ejecute a continuación. Puede solaparse infecciones de diversos virus que pueden ser destructivos o permanecer inactivos por largos periodos de tiempo. d)
. En todo virus informático se pueden distinguir tres módulos principales: módulo de reproducción, módulo de ataque y módulo de defensa El módulo de reproducción es el encargado de manejar las rutinas de "parasitación" de entidades ejecutables (o archivos de datos, en el caso de los virus macro) a fin de que el virus pueda ejecutarse subrepticiamente. De esta manera, logra tomar el control del sistema e infectar otras entidades permitiendo trasladarse de un ordenador a otro a través de algunos de estos archivos. El módulo de ataque es de carácter optativo y en caso de ir incorporado es el encargado de manejar las rutinas de daño adicional del virus. Por ejemplo, el conocido virus Michelangelo, además de producir los daños típicos de un virus de su clase, tiene un módulo de ataque que se activa cuando el reloj del ordenador indica 6 de Marzo. En estas condiciones la rutina actúa sobre la información del disco rígido volviéndola inutilizable. El módulo de defensa tiene, obviamente, la misión de proteger al virus y como el de ataque, puede estar o no presente en la estructura. Sus rutinas están diseñadas para evitar todo aquello orientado a la eliminación del virus y a retardar, en todo lo posible, su detección.
El concepto de daño se puede definir de forma universal como una acción o conjunto de acciones no deseadas soportadas por un sistema y dirigidas a su malfuncionamiento o caída total. Desde el punto de vista de los sistemas informáticos, los daños suelen clasificarse según la cantidad de tiempo invertido en la reparación de los efectos que han producido. De acuerdo a la gravedad de los efectos producidos por un virus, los daños se pueden clasificar en seis categorías. a)
. La eliminación del daño se produce en un intervalo de tiempo muy breve. Un ejemplo es el virus FORM un virus de tipo infector genérico del sector de arranque maestro que no daña información del disco duro, pero puede generar fallos en disquetes y que se activa el 18 de cada mes de forma que cada vez que se presiona una tecla hace sonar el beep. Deshacerse de este virus implica, generalmente, segundos o minutos.
SEGURIDAD EN INTERNET
215
Unidad 4
b)
c)
d)
e)
f)
VIRUS TROYANOS Y GUSANOS
. Un ejemplo de este tipo de daño es el producido por el virus Jerusalem. Este virus borra, los viernes 13, todos los programas que se intenten usar después de que el virus haya infectado la memoria residente. En el peor de los casos, habrá que reinstalar los programas perdidos. En menos de treinta minutos puede estar solucionado el problema. . Son los típicos daños causados cuando un virus formatea el disco duro, mezcla los componentes de la FAT o sobreescribe los datos de disco duro. La reparación de estos daños implica reinstalar el sistema operativo y restaurar los datos y programas utilizar el último backup. El tiempo empleado en la reparación depende de la cantidad de información a restaurar y de la capacidad del disco duro. Una hora puede ser suficiente. . Algunos virus, dada su lenta velocidad de infección y su alta capacidad de pasar desapercibidos, pueden lograr que ni aún restaurando un backup volvamos al último estado de los datos. Un ejemplo de esto es el virus Dark Avenger, que infecta archivos y acumula la cantidad de infecciones que realizó. Cuando este contador llega a 16, elige un sector del disco al azar y en él escribe la frase: "Eddie lives … somewhere in time" (Eddie vive … en algún lugar del tiempo). Esto puede haber estado sucediendo durante un largo periodo de tiempo sin que nos hayamos percatado de ello, hasta el día en que se detecta la presencia del virus de forma que cuando queramos restaurar el último backup notaremos que también contiene sectores con la citada frase, así como también los backups anteriores a ese. Puede que lleguemos a encontrar un backup limpio, pero será tan viejo que muy probablemente hayamos perdido una gran cantidad de archivos que fueron creados con posterioridad. . Los daños severos tienen lugar cuando un virus no detectado realiza cambios mínimos, graduales y progresivos de forma que no sabemos cuándo los datos son correctos o han cambiado ya que el virus ha actuado de forma silenciosa sin dejar pistas tan claras como en el caso del Dark Avenger (la dichosa frasecita). . Suelen ser debidos a troyanos y no se limitan a fastidiar el funcionamiento del disco duro o de cualquier otro elemento del ordenador sino que intentan pasar lo más desapercibidos posibles con objeto de obtener claves de acceso y privilegios que les permitan explotar otros recursos como cuentas bancarias, obtención de la dirección IP, accesos a sitios restringidos que almacenan información privilegiada, etc.
Partiendo de la base de que un sistema informático consta de software y hardware, estos daños pueden afectar a dos niveles: al software y al hardware. a)
. Los más generales son los siguientes: ‚ ‚ ‚ ‚
216
Modificación de las aplicaciones instaladas hasta el punto de que no puedan ejecutarse. Modificación de las aplicaciones instaladas de forma que su funcionamiento produzca continuos errores. Modificación de los datos. Eliminación de aplicaciones y/o datos. SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
‚ ‚ ‚
Unidad 4
Agotamiento paulatino del espacio libre existente en el disco duro. Ralentización del sistema. Obtención fraudulenta de información confidencial. . Los más comunes suelen ser los
b) siguientes: ‚ ‚ ‚
‚ ‚ ‚
Borrado de la información de la BIOS. Destrucción del microprocesador por exceso el de temperatura provocada por una falsa información del sensor de temperatura. Rotura del disco duro al provocar que las cabezas lectoras lean repetidamente sectores específicos que fuercen su funcionamiento mecánico. Malfuncionamiento de tarjetas como la de red, sonido y vídeo. Bloqueos del ordenador que provocan continuos reinicios. Reinicios aleatorios sin causa aparente.
A título de ejemplo, a continuación se enumera una serie de virus típicos (ninguno de ellos está en activo en la actualidad) y los daños que ocasionaban:
Happy99. Programa enviado por e-mail, abre una ventana con fuegos artificiales. Manipula la conectividad con Internet. Melissa. Famoso macrovirus. Se envía a sí mismo por e-mail dañando todos los archivos de extensión .doc .
Chernobyl. Borra el primer Mb del disco duro donde se encuentra la FAT, obligando a formatearlo. Además intenta rescribir la BIOS del ordenador lo que puede obligar a cambiar la placa madre. Se activaba el 26 de abril.
Michelangelo. Virus del sector de arranque. Se activaba el 6 de marzo. Sobreescribe la FAT, dejando el disco inutilizable.
Directamente relacionado con los daños producidos por un virus se encuentra el denominado Índice de peligrosidad cuya finalidad es informar sobre la amenaza que representa un virus en un momento dado. Los fabricantes de antivirus suelen establecer una serie de criterios utilizados para determinar la peligrosidad de un virus. Así, por ejemplo, para el famoso fabricante español de antivirus Panda Software estos criterios se reducen a sólo dos: su capacidad de propagación y el daño que puede producir. A partir de estos dos criterios, Panda Software elabora la siguiente gráfica donde se observa los diferentes estados del índice de peligrosidad en función del nivel de daño y del grado de propagación del virus.
SEGURIDAD EN INTERNET
217
Unidad 4
VIRUS TROYANOS Y GUSANOS
Respecto al nivel de peligrosidad de un virus, ésta puede variar, siendo de peligrosidad baja en un momento y de muy alta peligrosidad en otro, dependiendo de lo extendido que esté. El Índice Panda de peligrosidad de virus recoge este carácter cambiante en tiempo real y establece cuatro niveles: ‚ ‚
‚
‚
amenaza pequeña, ya que el virus es dañino pero está poco extendido. el virus está relativamente extendido y su infección causa perjuicios ó bien está poco extendido pero su infección puede causar daños importantes. amenaza importante, ya que el virus está muy extendido y su infección causa daños ó bien está relativamente extendido y además su infección causa grandes perjuicios. amenaza muy importante, ya que está muy extendido y su infección causa grandes perjuicios.
En cuanto al grado de propagación, para Panda Software este criterio indica lo extendido que se encuentra el virus. Cuanto más extendido esté un virus, la probabilidad de infección es mayor. La propagación de un virus se determina mediante el ratio de infección, que mide el porcentaje de ordenadores infectados en relación al total de equipos explorados. Los valores que puede adoptar el grado de propagación de un virus son los siguientes: ‚ ‚ ‚ ‚
: cuando el porcentaje de ordenadores examinados e infectados con el virus es del 10% o superior. si el porcentaje de ordenadores examinados e infectados con el virus es superior al 7,5% e inferior al 10%. si el porcentaje de ordenadores examinados e infectados con el virus es superior al 1,0% e inferior al 7,5%. cuando el porcentaje de ordenadores examinados e infectados con el virus es inferior al 1,0%.
El criterio nivel de daño intenta cuantificar el perjuicio que un virus causa al infectar un sistema informático.
218
SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
Unidad 4
Estos perjuicios pueden ser más o menos graves dependiendo de la agresividad del virus: aparición de mensajes en pantalla, pérdidas o alteraciones de información, sistemas colapsados, imposibilidad de funcionamiento, etc. Para Panda Software el nivel de daño es establecido cuando el virus en cuestión es analizado por primera vez y los valores que puede adoptar el nivel de daño de un virus son los siguientes: ‚
‚
ocasiona perjuicios graves. Por ejemplo, destrucción o modificación de archivos, formateo de discos duros, envío de información a terceros, generación de gran tráfico en servidores, degradación del rendimiento de los sistemas, apertura de agujeros de seguridad, generación de daños irrecuperables, etc. Todo virus, por inofensivo que parezca, ocasiona algún perjuicio al usuario. Se incluyen aquí aquellos que apenas realizan acciones destructivas.
La figura 4.2 muestra una página de los virus más activos.
SEGURIDAD EN INTERNET
219
Unidad 4
VIRUS TROYANOS Y GUSANOS
Abre la página de Panda software particulares, (ver dirección en el apartado de materiales de la mesa de trabajo), y observa el Virusómetro en tiempo real. A continuación infórmate del nivel de peligrosidad de los virus más activos, que encontrarás en el apartado de Security Info de la página de Panda software particulares. (Ver dirección en el apartado de materiales de la mesa de trabajo).
Aunque la forma de actuar de los virus suele variar según el tipo de infección es posible catalogar una serie de síntomas que avisan tanto de la infección como de la presencia de algún tipo de virus. Son los siguientes: ‚ ‚ ‚ ‚ ‚ ‚ ‚ ‚ ‚ ‚ ‚ ‚ ‚ ‚ ‚ ‚ ‚
El sistema operativo o un programa toma mucho tiempo en cargar sin razón aparente. El tamaño del programa cambia sin razón aparente. El disco duro se queda sin espacio o informa de falta de espacio sin que esto sea necesariamente así. El pilotito indicador del disco duro continúa parpadeando aunque no se este trabajando ni haya protectores de pantalla activados. No se puede reiniciar desde la unidad A, ni siquiera con los discos de rescate. Aparecen archivos de la nada o con nombres y extensiones extrañas. Suena "clicks" en el teclado (este sonido es particularmente aterrador para quien no esta advertido). Los caracteres de texto se caen literalmente a la parte inferior de la pantalla (especialmente en ventanas tipo DOS). Cambios en la fecha y / u hora de los archivos. Ralentización en la carga de aplicaciones. Iniciación del sistema operativo más lenta de lo habitual. Sectores defectuosos en los disquetes. Mensajes de error inusuales. Actividad extraña en la pantalla. Errores continuos e inesperados en la ejecución de los programas. Errores continuos y persistentes al arrancar o inicializar el equipo. Escrituras fuera de tiempo en el disco.
Ningún ordenador se contagia con un virus por decisión voluntaria del usuario. Por tanto, los virus, como todo código malicioso necesitan utilizar una serie de estrategias que les haga pasar desapercibidos para el usuario. A continuación se detallan algunas de estas estrategias:
220
SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
Unidad 4
. Constituye el vehículo a través del cual se introduce el virus en el sistema. ‚ ‚ ‚ ‚ ‚ ‚ ‚
Disquetes u otro medio de almacenamiento removible. Software pirata en disquetes o CD/DVD. Redes de ordenadores. Mensajes de correo electrónico. Software descargado de Internet. Discos de demostración y prueba gratuitos. Visita de páginas web de temática dudosa.
. El código del virus se agrega al final del archivo a infectar, modificando las estructuras de arranque del archivo de manera que el control del programa pase por el virus antes de ejecutar el archivo. Esto permite que el virus ejecute sus tareas específicas y luego entregue el control al programa. El resultado es un incremento del tamaño del archivo lo que permite su fácil detección. . El código del virus se aloja en zonas de código no utilizadas o en segmentos de datos para que el tamaño del archivo no varíe. Para esto se requieren técnicas muy avanzadas de programación, por lo que no es muy utilizado este método. . Es una variante del anterior. Se introduce el código principal del virus en zonas físicas del disco duro que quedan marcadas como defectuosas y en los archivos se implantan pequeños trozos de código que llaman al código principal al ejecutarse el archivo. La principal ventaja de esta estrategia de infección es que al no importar el tamaño del archivo el cuerpo del virus puede ser bastante importante y poseer mucha funcionalidad. Por serte, la eliminación es bastante sencilla, ya que basta con rescribir los sectores marcados como defectuosos. . Es el método más avanzado de contagio y se caracteriza por insertar el código del virus en un archivo ejecutable, pero para evitar el aumento de tamaño del archivo infectado, el virus compacta parte de su código y del código del archivo anfitrión, de manera que la suma de ambos sea igual al tamaño original del archivo. Al ejecutarse el programa infectado, actúa primero el código del virus descompactando en memoria las porciones necesarias. Una variante de esta técnica permite usar métodos de encriptación dinámicos para evitar ser detectados por los antivirus. . Es el método más rudimentario y consiste en sustituir el código original del archivo por el del virus. Al ejecutar el archivo deseado, lo único que se ejecuta es el virus. Para disimular este comportamiento, cada vez que se ejecuta el archivo se produce un mensaje de error que induce a pensar que el problema es del archivo.
SEGURIDAD EN INTERNET
221
Unidad 4
VIRUS TROYANOS Y GUSANOS
Un virus puede considerarse efectivo si, además de extenderse lo más ampliamente posible, es capaz de permanecer oculto al usuario el mayor tiempo posible; para ello se han desarrollado varias técnicas de ocultamiento o sigilo. Para que estas técnicas sean efectivas, el virus debe estar residente en memoria, puesto que debe monitorizar el funcionamiento del sistema operativo. La base principal del funcionamiento de los virus y de las técnicas de ocultamiento, además de la condición de programas residentes, la intercepción de interrupciones. Los sistemas operativos y los programas de aplicación se comunican entre sí mediante el servicio de interrupciones, que son como subrutinas del sistema operativo que proporcionan una gran variedad de funciones a los programas. Las interrupciones se utilizan, por ejemplo, para leer o escribir sectores en el disco, abrir ficheros, fijar la hora del sistema, etc. Y es aquí donde el virus entra en acción, ya que puede sustituir alguna interrupción por una suya propia y así, cuando un programa solicite un servicio de esa interrupción, recibirá el resultado que el virus determine. Entre las técnicas más usuales cabe destacar el ocultamiento o stealth, que esconde los posibles signos de infección del sistema. Los síntomas más claros del ataque de un virus los encontramos en el cambio de tamaño de los ficheros, de la fecha en que se crearon y de sus atributos, y en la disminución de la memoria disponible. Estos problemas son indicadores de la posible presencia de un virus, pero mediante la técnicas de stealth es muy fácil (siempre que se encuentre residente el virus) devolver al sistema la información solicitada como si realmente los ficheros no estuvieran infectados. Por este motivo es fundamental que cuando vayamos a realizar un chequeo del disco duro arranquemos el ordenador con un disco de sistema totalmente limpio. La autoencriptación o self-encryption es una de las técnicas víricas más extendidas. En la actualidad casi todos los nuevos ingenios destructivos son capaces de encriptarse cada vez que infectan un fichero, ocultando de esta forma cualquier posible indicio que pueda facilitar su búsqueda. No obstante, todo virus encriptado posee una rutina de desencriptación, rutina que es aprovechada por los antivirus para poner al descubierto el origen de la infección. No obstante, los mayores avances de las técnicas de encriptación se han conseguido a través del polimorfismo. Gracias a él un virus no sólo es capaz de encriptarse sino que además varía la rutina empleada cada vez que infecta un archivo. De esta forma resulta imposible encontrar coincidencias entre distintos ejemplares del mismo virus y, ante esta técnica, el tradicional método de búsqueda de cadenas características se muestra inútil.
222
SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
Unidad 4
Otra técnica básica de ocultamiento es la intercepción de mensajes de error del sistema. Supongamos que un virus va a infectar un archivo de un disco protegido contra escritura; al intentar escribir en el obtendríamos el mensaje: "Error de protección contra escritura leyendo unidad A Anular, Reintentar, Fallo?", por lo que descubriríamos el anormal funcionamiento de nuestro equipo. Para evitar ser descubierto, al virus le basta con redireccionar la interrupción a una rutina propia que evita la salida de estos mensajes, consiguiendo así pasar desapercibido.
Una buena política de prevención y detección nos puede ahorrar sustos y desgracias. Las medidas de prevención pasan por el control, en todo momento, del software ya introducido o que se va a introducir en nuestro ordenador, comprobando la fiabilidad de su fuente. Esto implica la actitud de no aceptar software no original, ya que el pirateo es una de las principales fuentes de contagio por virus, siendo también una practica ilegal y que hace mucho daño a la industria del software. Por supuesto, el sistema operativo, que a fin de cuentas es el elemento software más importante del ordenador, debe ser totalmente fiable; si éste se encuentra infectado, cualquier programa que ejecutemos resultara también contaminado. Por ello es imprescindible contar con una copia en CD/DVD del sistema operativo. Por último es también imprescindible poseer un buen software antivirus, que detecte y elimine cualquier tipo de intrusión en el sistema. Debido a que los virus informáticos son cada vez más sofisticados, hoy en día es difícil sospechar su presencia a través de síntomas frecuentes. De todas maneras la siguiente es una lista de síntomas que pueden observarse en una computadora de la que se sospeche esté infectada por alguno de los virus más comunes: ‚
‚ ‚
Operaciones de procesamiento más lentas. Los programas tardan más tiempo en cargarse y a acceder de forma aleatoria a las disqueteras y/o al disco duro. Disminución no justificada tanto del espacio libre en el disco duro como de la memoria RAM disponible, de forma constante o repentina. Aparición de programas residentes en memoria desconocidos.
La primera medida de prevención a ser tenida en cuenta es, como se dijo anteriormente, contar con un sistema antivirus y utilizarlo correctamente. Por lo tanto, la única forma de lograr un bloqueo eficaz para un virus es que se utilice con determinadas normas y procedimientos. Estas normas tienden a controlar la grabación de archivos en el disco duro del ordenador, lo cual se logra revisando con el antivirus todos los disquetes o medios de almacenamiento en general y, por supuesto, disminuyendo al mínimo posible todo tipo de tráfico. Además de utilizar un sistema antivirus y controlar la instalación y almacenamiento de archivos en el disco duro, una forma bastante eficaz de proteger los archivos ejecutables es utilizar un programa chequeador de SEGURIDAD EN INTERNET
223
Unidad 4
VIRUS TROYANOS Y GUSANOS
integridad que verifique que estos archivos no sean modificados, es decir, que mantengan su estructura. De esta manera, antes de que puedan ser infectados por un virus convencional, se impediría la activación del mismo. Para prevenir la infección debida a un virus de sector de arranque, lo más indicado es no dejar disquetes olvidados en la disquetera de arranque y tener instalado un antivirus actualizado. Algunos distribuidores de programas antivirus envían muestras de los nuevos virus aparecidos a los desarrolladores del producto para que los estudien o incluyan en sus nuevas versiones o upgrades. Hasta que se producen estas actualizaciones transcurre un tiempo durante el cual, los nuevos virus siguen actuando y produciendo sus efectos. En consecuencia, la detección alternativa a la del scanning y a la del chequeo de actividad e integridad resultan importantes, ya que pueden detectar la presencia de un virus informático sin la necesidad de identificarlo. Y esta es la única forma disponible para el usuario de detectar virus nuevos, sean nacionales o extranjeros. No obstante existe una forma de actualizar la técnica de scanning que consiste en incorporar al antivirus un archivo conteniendo cadenas de caracteres ASCII que sean trozos de código (strings) significativos del sector vital de cada nuevo virus que todavía no esté incorporado en la base de datos del programa. Esta solución será parcial: la nueva cadena introducida sólo identificará al virus, pero no será capaz de erradicarlo. Es muy importante que los strings que se vayan a incorporar al antivirus provengan de una fuente fiable ya que, de lo contrario, pueden producirse falsas alarmas o ser ineficaces. Los primeros antivirus capaces de soportar esta cualidad de agregar strings fueron Viruscan, F-Prot y Thunderbyte. La ICSA (International Computer Security Association, Asociación Internacional de Seguridad de Ordenadores) es la encargada de certificar productos antivirus. (Ver su dirección en el apartado de materiales de la mesa de trabajo). Para obtener dicha certificación los productos deben pasar una serie de rigurosas pruebas diseñadas para asegurar la adecuada protección del usuario. Antiguamente el esquema de certificación requería que se detectara (incluyendo el número de versión) el 90 % de la librería de virus del ICSA y fue diseñado para asegurar óptimas capacidades de detección. Pero esta metodología no era completamente eficiente. Actualmente, el esquema de certificación enfoca la amenaza a los ordenadores empresariales. Para ser certificado, el producto debe pasar las siguientes pruebas: ‚
224
Debe detectar el 100% de los virus encontrados comúnmente. La lista de virus comunes es actualizada periódicamente, a medida que nuevos virus son descubiertos. SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
‚ ‚
Unidad 4
Deben detectar, como mínimo, el 90% de la librería de virus del ICSA (más de 6.000 virus). Estas pruebas son realizadas con el producto ejecutándose con su configuración "por defecto".
Una vez que un producto ha sido certificado, la ICSA tratará de rectificar el producto un mínimo de cuatro veces. Cada intento es realizado sin previo aviso al desarrollador del programa. Esta es una buena manera de asegurar que el producto satisface el criterio de certificación. Si un producto no pasa la primera o segunda prueba, su distribuidor tendrá siete días para proveer de la corrección. Si este límite de tiempo es excedido, el producto será eliminado de la lista de productos certificados. Una vez que se ha retirado la certificación a un producto la única forma de recuperarla es que el distribuidor envíe una nueva versión completa y certificable (no se aceptará sólo una reparación). Acerca de la lista de virus de la ICSA, es conveniente aclarar que ningún desarrollador de antivirus puede obtener una copia. Cuando un antivirus falla en la detección de algún virus incluido en la lista, una cadena identificativa del virus es enviada al productor del antivirus para su inclusión en futuras versiones. En el caso de los virus polimórficos, se incluyen múltiples copias del virus para asegurar que el producto testeado lo detecta perfectamente. Para pasar esta prueba el antivirus debe detectar cada mutación del virus. La A.V.P.D. (Antivirus Product Developers, Desarrolladores de Productos Antivirus) es una asociación formada por las principales empresas informáticas del sector, entre las que se cuentan: ‚ ‚ ‚ ‚ ‚ ‚ ‚ ‚ ‚
Cheyenne Software. I. B. M. Intel. McAfee Associates. ON Tecnology. Stiller Research Inc. S&S International. Symantec Corp. ThunderByte.
Algunos consejos básicos y de sentido común que pueden prevenir la infección debida a un virus son los siguientes: ‚ ‚ ‚
Instalar un buen antivirus y actualizarlo permanentemente. Informarse sobre la aparición de nuevos virus. No abrir nunca una un archivo adjunto de correo electrónico a no ser que se esté seguro de su contenido. No hay que fiarse, aunque provenga de un conocido ya que muchos virus se autoenvían desde el ordenador infectado sin que el usuario lo sepa. Hay que tener especial cuidado con los archivos de extensión .exe y .vbs.
SEGURIDAD EN INTERNET
225
Unidad 4
‚
‚
‚ ‚ ‚ ‚
‚
VIRUS TROYANOS Y GUSANOS
Si se tiene duda sobre un archivo enviado por un conocido, antes de abrirlo es conveniente mandarle un mensaje preguntándole si realmente lo envió él y de qué se trata. Cada vez que se envíe un archivo conviene poner una nota del tipo "te envío adjunto un archivo sobre tal tema" para que el destinatario sepa que no se trata de un virus. También puede ser bueno agregar el nombre del archivo en el cuerpo del mensaje. Realizar copias de seguridad de forma periódica, sobre todo, de los datos importantes. No reenvíar alertas de virus inexistentes (hoax) para no provocar confusión con los verdaderos. Evitar abrir siempre un archivo enviado por un desconocido a través de un chat o de algún programa de mensajería. del cliente de correo para evitar Deshabilitar la opción de infecciones inmediatas de virus que infectan con sólo visualizar el mensaje. Es conveniente deshabilitar el envío de mensajes en formato HTML. así como la opción de responder a los mensajes en el formato en que > fueron enviados. Normalmente se encuentran en le menú > > Elegir el formato en modo texto ya que aunque resulte menos atractivo es muy aconsejable si se tiene en cuenta que la tendencia de los virus es a infectar a través de objetos, scripts y componentes Active X.
Configura en tu cliente de correo electrónico las opciones que deshabilitan la vista previa de los mensajes recibidos así como la de enviar mensajes en formato HTML.
De la misma forma que hay enfermedades que no tienen cura, tampoco existe una forma de erradicar todos y cada uno de los virus existentes. Es importante aclarar que todo antivirus es un programa y que, como todo programa, sólo funcionará correctamente si es adecuado y está bien configurado. Además, un antivirus es una herramienta para el usuario y no sólo no será eficaz para el 100% de los casos, sino que nunca será una protección total ni definitiva. La función de un programa antivirus es detectar, de alguna manera, la presencia o la forma de actuar de un virus informático en un ordenador. Este es el aspecto más importante de un antivirus, independientemente de las prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la posible presencia de un virus informático, detener el trabajo y tomar las medidas necesarias, es suficiente para acotar un buen porcentaje de los daños 226
SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
Unidad 4
posibles. Adicionalmente, un antivirus puede dar la opción de erradicar un virus informático de una entidad infectada.
La primera técnica que se popularizó para la detección de virus informáticos, y que todavía se sigue utilizando (aunque cada vez con menos eficiencia), es la técnica de scanning. Esta técnica consiste en revisar el código de todos los archivos contenidos en la unidad de almacenamiento en busca de pequeñas porciones de código que puedan pertenecer a un virus informático. Este procedimiento, denominado escaneo, se realiza a partir de una base de datos que contiene trozos de código (patrones) representativos de cada virus conocido, agregando el empleo de determinados algoritmos que agilizan los procesos de búsqueda. La técnica de scanning fue bastante eficaz en los primeros tiempos de los virus informáticos, cuando había pocos y su producción era pequeña. Este relativamente pequeño volumen de virus informáticos permitía que los desarrolladores de antivirus escaneadores tuvieran tiempo de analizar el virus, extraer el pequeño trozo de código que lo iba a identificar y agregarlo a la base de datos del programa para lanzar una nueva versión. Sin embargo, la obsolescencia de este mecanismo de identificación como una solución antivirus completa se encontró en su mismo modelo. El primer punto grave de este sistema radica en que siempre brinda una solución a posteriori: es necesario que un virus informático alcance un grado de dispersión considerable para que sea enviado (por usuarios capacitados, especialistas o distribuidores del producto) a los desarrolladores de antivirus. Estos lo analizarán, extraerán el trozo de código que lo identificará y lo incluirán en la próxima versión de su programa antivirus. Este proceso puede demorar meses a partir del momento en que el virus comienza a tener una dispersión considerable, lapso en el cual puede causar graves daños sin que pueda ser identificado. Además, este modelo consiste en una sucesión infinita de soluciones parciales y momentáneas (cuya sumatoria jamás constituirá una solución definitiva), que deben actualizarse periódicamente debido a la aparición de nuevos virus. En síntesis, la técnica de scanning es altamente ineficiente, pero se sigue utilizando debido a que permite identificar rápidamente la presencia de los virus más conocidos y, como son estos los de mayor dispersión, permite una importante gama de posibilidades. Un ejemplo típico de un antivirus de esta clase es el Viruscan de McAfee. En virtud del rápido agotamiento técnico de la técnica de scanning, los desarrolladores de programas antivirus han dotado a sus creaciones de métodos para búsquedas de virus informáticos (y de sus actividades), que no identifican específicamente al virus sino a algunas de sus características generales y comportamientos comunes.
SEGURIDAD EN INTERNET
227
Unidad 4
VIRUS TROYANOS Y GUSANOS
Este tipo de método rastrea rutinas de alteración de información que no puedan ser controladas por el usuario, modificación de sectores críticos de las unidades de almacenamiento (master boot record, boot sector, FAT, entre otras), etc. Un ejemplo de este tipo de métodos es el que utiliza algoritmos heurísticos. De hecho, esta naturaleza de procedimientos busca, de manera bastante eficiente, códigos de instrucciones potencialmente pertenecientes a un virus informático. Resulta eficaz para la detección de virus conocidos y es una de las soluciones utilizadas por los antivirus para la detección de nuevos virus. El inconveniente que presenta este tipo de algoritmo radica en que puede llegar a sospecharse de muchísimas cosas que no son virus. Esto hace necesario que el usuario que lo utiliza conozca un poco acerca de la estructura del sistema operativo, a fin de poseer herramientas que le faciliten una discriminación de cualquier falsa alarma generada por un método heurístico. Algunos de los antivirus de esta clase son F-Prot, Norton Antivirus y Dr. Solomon's Toolkit. Ahora bien, otra forma de detectar la presencia de un virus informático en un sistema consiste en monitorizar las actividades del PC señalando si algún proceso intenta modificar los sectores críticos de los dispositivos de almacenamiento o los archivos ejecutables. Los programas que realizan esta tarea se denominan chequeadores de integridad. Sobre la base de estas consideraciones, podemos consignar que un buen sistema antivirus debe estar compuesto por un programa detector de virus (residente de forma permanente en memoria) y un programa que verifique la integridad de los sectores críticos del disco duro y sus archivos ejecutables. Existen productos antivirus que cubren los dos aspectos, o bien pueden combinarse productos diferentes configurados de forma que no se produzcan conflictos entre ellos.
En 1996, el , European Institute for Computer Antivirus Research (en español Instituto Europeo para la Investigación de los Antivirus Informáticos), desarrolló lo que hoy es conocido como EICAR test file, o archivo de prueba EICAR. El EICAR test file sirve para comprobar la funcionalidad del software antivirus, dándole a éste la oportunidad de detectarlo durante los procesos de escaneo, al mismo tiempo que no implica un riesgo para la seguridad del ordenador en el cuál se efectúa la prueba, sencillamente porque no se trata realmente de un virus. Constituye un estándar ya que es soportado por la mayoría de fabricantes de antivirus actuales. De todos modos es importante hacer notar que no porque un antivirus detecte el EICAR test file, significa que ese antivirus es capaz de reconocer y bloquear todo tipo de malware, ya que esto significa reconocer todo tipo de software capaz de causar algún daño, y no solo a los virus. 228
SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
Unidad 4
No existe un producto antivirus 100% eficiente (razón por la cual siempre es aconsejable el uso de más de un antivirus, aunque solo debe haber uno monitorizando en tiempo real). EICAR test file permite comprobar la efectividad de las barreras de defensa y reconocimiento del antivirus instalado en nuestro ordenador. Para poder realizar el test de EICAR hay que descargarse o generar un nuevo archivo EICAR. El software antivirus que tengamos instalado debería detectar su presencia como la de un "virus" llamado " " o similar (recordemos que NO es un virus). El EICAR test file consiste en 68 caracteres ASCII (70 si se genera con un editor de texto, debido a los códigos de retorno y final de línea que suelen insertar los editores). Los caracteres son: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TESTFILE!$H+H* Todas las letras están en mayúsculas, y sin espacios. El tercer carácter (X5O...) es la letra "O" no el número cero). Para crear un archivo de prueba, basta con copiar y pegar la línea anterior al bloc de notas, y guardar el archivo de texto con un nombre cualquiera, eso sí, con la extensión .COM. VIRUSTEXT.COM puede servir de ejemplo. También se puede descargar desde Internet. (Ver direcciones en el apartado de materiales de la mesa de trabajo
La figura 4.3 muestra la pantalla de advertencia del antivirus instalado cuando se intenta descargar el archivo eicar.com.
SEGURIDAD EN INTERNET
229
Unidad 4
VIRUS TROYANOS Y GUSANOS
Si se ha preferido generar el archivo con el bloc de notas, hay que asegurarse de que se guarda como .COM, agregando esta extensión en el nombre del archivo, antes de grabarlo al disco duro. Después de grabar el archivo (o de bajarlo de los enlaces mostrados arriba), hay que ejecutar el software antivirus en modo escaneo para revisar la carpeta donde se copió el EICAR test y asegurarse de que este software funcione correctamente. Si EICAR no es detectado (la versión creada con en el bloc de notas), habrá que comprobar que no se han cometido errores al escribirlo (por ello es aconsejable copiar y pegar). En los demás casos, hay que asegurarse de tener correctamente instalado el antivirus y que no haya más de uno monitoreando. Si es necesario, desinstalarlo y volverlo a instalar. También se puede probar el archivo como adjunto a un correo electrónico, si lo agrega a un mensaje enviado a su propia dirección (para ello hay que deshabilitar momentáneamente el antivirus antes de enviar el mensaje, si fuera necesario, pero asegurarse de tenerlo habilitado en el momento de recibirlo, ya que con seguridad lo recibirá de inmediato). El antivirus debería interceptarlo. Puede ocurrir que su proveedor de Internet puede tener implementado un filtro antivirus en el servidor, en cuyo caso, no se recibiría el archivo de prueba. Si el EICAR.COM se ejecuta, hay que tener en cuenta que no existe peligro de 230
SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
Unidad 4
daño alguno, debido a que no se trata de un virus real; todo lo que ocurrirá será la aparición de una ventana DOS con este único texto:
EICAR-STANDARD-ANTIVIRUS-TEST-FILE! Una vez realizado el test es conveniente borrar el archivo de muestra para evitar las falsas alarmas o bien, guardarlo en un archivo o carpeta, disquete o CD al que se tenga acceso en contadas ocasiones, a efectos de usarlo en cualquier momento que se deseen realizar nuevas pruebas del antivirus instalado. Hay que llevar cuidado a la hora de seleccionar la página desde la cual descargar el archivo del test ya que existen algunos virus reales que simulan ser el EICAR.
Descarga de la dirección indicada el archivo eicar.com. Comprueba que te lo detecta el antivirus que tienes instalado. Intenta enviarlo como adjunto de correo electrónico y comprueba que es detectado por tu antivirus.
La instalación y ejecución de un antivirus apropiado, al igual que la de un cortafuegos, es un requisito indispensable para la seguridad de cualquier ordenador. Estadísticamente está comprobado que alguien que intente conectarse a Internet hoy día, sin tener instalado un antivirus, tarda como máximo, unos 20 minutos en infectarse. Pero no sólo basta esto: una vez instalado es imprescindible tenerlo actualizado ya que, solo en el año 2004 aparecieron más de cien mil virus nuevos que sin un antivirus actualizado pasaría inadvertidos. Se puede optar por varias soluciones: 1.
por un precio razonable, eligiendo entre una de las marcas más conocidas como Norton, Mcafee, Panda, etc. La compra puede realizarse en cualquier tienda de informática o bien, descargándolo on-line de sus páginas. Hay que fijarse en la fecha de caducidad ya que si no se actualiza la licencia en pocos días (o pocas horas) es posible que el ordenador se infecte. También hay que tener en cuenta si se desea que el antivirus proteja exclusivamente contra los virus o bien sea capaz de detectar y curar cualquier otro tipo de malware (troyanos, spam, spyware, etc.). También puede interesar que incorpore algún tipo de cortafuegos, en cuyo caso el precio varía sensiblemente pero merece la pena pagar la diferencia si lo que
SEGURIDAD EN INTERNET
231
Unidad 4
VIRUS TROYANOS Y GUSANOS
se desea es seguridad y comodidad. Un ejemplo de este tipo de soluciones es Norton Internet Security. 2. Ejecutar herramientas de cada vez que se tenga la sospecha de alguna posible infección. Esta solución, aunque económica es poco práctica pues este tipo de escaneos suele detectar pero no curar los virus encontrados. Este tipo de escaneos puede realizarse desde páginas concretas de los fabricantes a las que se accede desde una única página que contiene todos los enlaces. (Ver dirección en el apartado de materiales de la mesa de trabajo). Tardan en descargarse los controles ActiveX necesarios para realizar el escaneo on-line. Las siguientes figuras muestran algunos tipos de este tipo de escaneo de los principales fabricantes de antivirus.
232
SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
SEGURIDAD EN INTERNET
Unidad 4
233
Unidad 4
VIRUS TROYANOS Y GUSANOS
3. Instalar . AntiVir Personal Edition y AVG Free Edition son los dos antivirus de este tipo de mejor calidad.
AntiVir Personal Edition se encuentra disponible de forma gratuita en muchas páginas de Internet. (Ver dirección en el apartado de materiales de la mesa de trabajo).
Tras su instalación crea un grupo de iconos y comienza un escaneo como el mostrado en la figura 4.8.
234
SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
Unidad 4
Este antivirus incorpora las últimas técnicas de búsqueda ya que, como se ve en la siguiente ilustración, es capaz de detectar troyanos y gusanos.
La protección permanente en tiempo real se realiza con AntiVir Guard.
Otro antivirus gratuito es AVG Professional Edition. Tras la descarga e instalación (Ver dirección en el apartado de materiales de la mesa de trabajo), lo primero que hay que hacer es una actualización de la base de datos del producto, tal y como muestra la figura 4.11. Una vez instalado y actualizado se puede pasar al tipo de escaneo que se desee, a elegir entre unidades o áreas determinadas (ver figura 4.12). Al igual que AntiVir, este antivirus incorpora una herramienta de vigilancia en tiempo real (AVG Resident Shield) que se carga en la barra de herramientas cada vez que se inicializa el ordenador y cuyo aspecto es el de la figura 4.13.
SEGURIDAD EN INTERNET
235
Unidad 4
236
VIRUS TROYANOS Y GUSANOS
SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
Unidad 4
Efectúa un análisis de tu ordenador empleando alguno de los antivirus on-line descritos.
A finales de la década de los 80 surgió un tipo de código malicioso al que se le denominó troyano, caracterizado por tratarse de un programa camuflado dentro de otro (de ahí el nombre, asociado al caballo que los griegos utilizaron para ganar su guerra contra Troya) cuyo objetivo era conseguir que un usuario de un ordenador lo ejecutara pensando que en realidad estaba ejecutando un programa lícito. Los primeros troyanos tenían multitud de funciones, algunas destructivas y otras no y su principal diferencia con los virus consiste en que no son capaces de autoreproducirse, es decir, que no podían crear copias de si mismos para infectar otros ordenadores, dependiendo por completo de la intervención del usuario del ordenador víctima para conseguir sus objetivos.
SEGURIDAD EN INTERNET
237
Unidad 4
VIRUS TROYANOS Y GUSANOS
Actualmente, la definición de troyano puede corresponder a alguna de las siguientes: ‚
‚
‚ ‚
Conjunto de instrucciones no autorizadas incrustadas en el código fuente de un programa legal que ejecutan funciones desconocidas para el usuario y no deseadas por el mismo. Cualquier programa que aparentemente haga una función deseable y necesaria pero que no la cumpla y/o contenga instrucciones no autorizadas en el mismo, las cuales ejecutan funciones desconocidas para el usuario. Cualquier programa que contenga otro subprograma con instrucciones no deseadas o virus. Cualquier programa que permita operaciones de monitoreo y/o control remoto del ordenador de un usuario sin su conocimiento ni consentimiento. Este tipo de programas son llamados también "Backdoor" lo que se traduce a Puerta Trasera.
Este tipo de código malicioso es el más empleado a la hora de espiar y obtener sin permiso información delicada o discrecional y el interés del atacante podría incluir pero no estar limitado a: ‚ ‚ ‚ ‚ ‚ ‚ ‚
Información de tarjetas de crédito (utilizadas a menudo para registro de dominios o compras) Cualquier dato de cuentas (contraseñas de correo, contraseñas de acceso telefónico, contraseñas de servicios Web, etc) Documentos confidenciales Direcciones de correo electrónico (por ejemplo, detalles de contacto de clientes) Diseños o fotografías confidenciales Información de calendario relativa al paradero de los usuarios Utilización de su equipo para propósitos ilegales, como hacking, scan, flood o infiltrarse en otros equipos de la red o de Internet.
El objetivo de los primeros troyanos era tan inocente como demostrar al usuario del ordenador infectado la inteligencia del saboteador. En la actualidad, los troyanos intentan pasar lo más desapercibido posibles para el usuario del ordenador víctima ya que su principal objetivo es obtener datos confidenciales o utilizar el ordenador para realizar alguna de las siguientes tareas: ‚
‚
‚ 238
Captar las pulsaciones del teclado del ordenador víctima, de forma que cualquier tecla pulsada queda registrada. De esta forma el dueño del troyano puede registrar las claves, contraseñas, números de tarjetas de crédito, etc. introducidas por el usuario del ordenador víctima. Espiar la ejecución de las aplicaciones que se ejecutan en el escritorio del ordenador víctima: lectura de los mensajes de correo, conversaciones mantenidas con el programa de mensajería instantánea, páginas web visitadas, vídeo conferencias establecidas, etc. Acceder y leer el contenido de los archivos logs que almacenan las conversaciones mantenidas a través de programas clientes de SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
‚ ‚ ‚
Unidad 4
mensajería instantánea. Así, por ejemplo Messenger (en alguna de sus versiones) crea una carpeta llamada "my chats logs". Visualizar el historial de páginas visitadas. Monitorizar los procesos, programas activos, aplicaciones en marcha, historial de programas utilizados, etc. Visualizar el contenido de la carpeta Mis documentos, consultar el historial de documentos abiertos recientemente pudiendo borrarlos o modificarlos.
Suelen ser diversos y dependen de la intencionalidad en hacer daño del atacante. De modo general, los más comunes son los siguientes: 1. La unidad de CD-ROM se abre y cierra sin intervención del usuario. 2. La pantalla del ordenador se ve invertida o al revés. 3. El fondo del escritorio cambia por sí solo. Este tipo de comportamiento puede ser iniciado por el atacante, colocando imágenes obscenas copiadas por el mismo. 4. La página de inicio del navegador es una página extraña o desconocida para el usuario y/o se ejecuta automáticamente, colocando como página de inicio una página desconocida para el usuario, normalmente una página de carácter pornográfico. 5. La apariencia del escritorio de Windows cambia por si sola. 6. El protector de pantalla cambia por sí solo. 7. Los botones del ratón invierten su función. 8. El puntero del ratón desaparece. 9. El puntero del ratón se desplaza sólo a lo largo y ancho de la pantalla. 10. El ordenador reproduce sonidos grabados por el micrófono con anterioridad, sin conocimiento del usuario. 11. El volumen del sonido cambia solo. 12. Los programas ejecutan solos. 13. El ordenador puede iniciar una conversación con el usuario. 14. El ordenador se empeña en mostrar el contenido del portapapeles de Windows. 15. Mensajes extraños de advertencia, información o error aparecen sin razón alguna en la pantalla del ordenador. 16. El ordenador marca un número de teléfono automáticamente. 17. La fecha y hora del ordenador cambian por sí solos. 18. La barra de tareas desaparece de forma inesperada. 19. El ordenador se apaga de forma aleatoria. 20. Aparecen compras extrañas que nunca hemos realizado con nuestra tarjeta de crédito. 21. Aparecen archivos bloqueados o en uso inesperadamente. 22. El teclado deja de funcionar inesperadamente. 23. Cada vez que intenta reiniciar el ordenador aparece una mensaje de que todavía hay usuarios conectados al sistema. 24. La secuencia de teclas Ctrl+Alt+Del deja de funcionar. Estos son solamente los síntomas comunes. Hay troyanos que se ocultan casi por completo de los usuarios y son virtualmente indetectables, sin embargo, SEGURIDAD EN INTERNET
239
Unidad 4
VIRUS TROYANOS Y GUSANOS
casi todas las empresas antivirus manejan a los troyanos como virus y los detectan, facilitando su erradicación.
Hay muchos tipos diferentes de troyanos, que pueden ser agrupados en siete categorías principales. No obstante suele ser difícil clasificar un troyano en un solo grupo ya que, a menudo, posee atributos que los situarían en múltiples categorías. . Probablemente sean los más conocidos y se caracterizan porque proporcionan al atacante un control total del equipo de la víctima. Ejemplos de troyanos de este tipo son los clásicos Back Orifice y Netbus. Su objetivo es proporcionar al atacante acceso al equipo de algún usuario, y por lo tanto, acceso total a archivos, conversaciones privadas, datos de cuentas, etc. El virus Bugbear que golpeó Internet en Septiembre de 2002, por ejemplo, instalaba un troyano en el equipo de la víctima que podía dar al atacante remoto acceso a datos sensibles. Los troyanos de control remoto actúan como un servidor y a menudo utilizan un puerto que no está disponible para atacantes de Internet. En consecuencia, en un equipo que se sitúa detrás de un cortafuegos, es improbable que un intruso remoto pueda conectar con el troyano (asumiendo que dichos puertos estén cerrados por completo). Sin embargo, un atacante interno (localizado detrás del cortafuegos) puede conectar con este tipo de troyanos sin ningún problema. . El propósito de estos troyanos es enviar al atacante datos con información como contraseñas (ICQ, IRC, FTP, HTTP) o información confidencial como detalles de tarjetas de crédito, registros de conversaciones, listas de direcciones, etc. El troyano podría buscar información específica de un lugar en particular o bien, instalar un recogedor de pulsaciones de teclado y simplemente enviar todas las teclas pulsadas al atacante quien no tardará en extraer las contraseñas de los datos. Un ejemplo de esto este tipo de actividad es la que realiza el virus de correo Badtrans.B (descubierto en Diciembre de 2001) que registraba las pulsaciones de teclado de los usuarios. Los datos capturados pueden enviarse a la dirección de correo del atacante, que en la mayoría de los casos está localizada en algún servicio de correo web gratuito. En otros casos, los datos capturados pueden enviarse mediante la conexión al sitio web del atacante - probablemente utilizando un proveedor de web gratuito - y enviando los datos vía formulario web. Ambos métodos no se notarían y pueden hacerse desde cualquier equipo de la red con acceso a correo e Internet. Este tipo de troyanos se comportan como virus ya que su objetivo es tan atípico como el de destruir y eliminar archivos. Esto los 240
SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
Unidad 4
hace muy sencillos de utilizar. Pueden eliminar automáticamente todos los archivos principales del sistema (por ejemplo, archivos .dll, .ini o .exe, y posiblemente otros). Pueden ser activados por el atacante o pueden trabajar como una bomba lógica que se inicia en una fecha y hora específicas. Un troyano destructivo es un peligro para cualquier equipo de la red. En muchos aspectos es similar a un virus, pero el troyano destructivo se ha creado con el propósito de atacar y en consecuencia, puede no ser detectado por el software antivirus. Este tipo de troyanos permiten al atacante iniciar un ataque de denegación de servicio (DoS) si hay suficientes víctimas. La idea principal para llevar a cabo la caída del sistema (característica típica de todo ataque DoS) consiste en que si hay, por ejemplo, 100 usuarios conectados a través de ADSL infectados, atacando a la víctima simultáneamente desde cada uno de ellos, se generará tal volumen de tráfico de información (más de lo que el ancho de banda de la víctima puede soportar, en la mayoría de los casos) que el acceso a Internet terminará por colapsarse.
WinTrinoo es una herramienta DDoS que se ha hecho muy popular; a través suyo un atacante que haya sido capaz de infectar un número suficiente de usuarios ADSL es capaz de hacer caer importantes sitios de Internet; los primeros ejemplos de estos ataques datan de Febrero de 2000, cuando un número de destacados sitios de comercio electrónico como Amazon, CNN, E*Trade, Yahoo y eBay fueron atacados. Una variante de los troyanos tipo DoS la constituyen los mails-bombs (bombas de correo), cuya principal objetivo es infectar tantos equipos como sea posible y simultáneamente atacar direcciones de correo concretas con asuntos aleatorios y contenidos que no pueden ser filtrados. Este tipo de troyanos no suele ser detectado por los antivirus, debiéndose utilizar software específico. Este tipo de troyanos se caracteriza porque son capaces de convertir el equipo de la víctima en un servidor proxy, poniéndolo a disposición de todo el mundo o sólo para el atacante. Una vez convertido en proxy, se utiliza para realizar Telnet, ICQ, IRC, etc. anónimos, para efectuar compras con tarjetas de crédito robadas y para todo tipo de actividades ilegales. Si las actividades del atacante son detectadas y rastreadas por la policía de Delitos Informáticos, el dueño del ordenador víctima (o el administrador de red donde se encuentre dicho ordenador) puede llevarse la desagradable sorpresa de ser acusado como autor material de los delitos cometidos por el dueño del troyano y le va a costar los suyo demostrar su inocencia. Este tipo de troyanos se caracterizan por intentar introducirse por el puerto 21 (el puerto para transferencias FTP) y permiten al atacante conectar a su equipo vía FTP.
SEGURIDAD EN INTERNET
241
Unidad 4
VIRUS TROYANOS Y GUSANOS
Como su nombre indica, se trata de troyanos especiales, diseñados para saltarse o eliminar herramientas de protección como software antivirus, cortafuegos, etc. Una vez deshabilitadas dichas herramientas, el atacante puede hacerse con el control del equipo introduciendo cualquier otro troyano o código malicioso que no podrá ser detectado. Este tipo de troyanos suelen ser diseñados para deshabilitar cortafuegos personales y por consiguiente, atacar a usuarios finales y no a ordenadores integrados en una red corporativa. Suelen acompañar a virus y gusanos, instalándose cuando se produce la infección. Algunos ejemplos de de troyanos de este tipo son el virus Bugbear que instaló un troyano en los equipos de todos los usuarios infectados, capaz de deshabilitar los cortafuegos más populares. También el gusano Goner (Diciembre de 2001) fue otro de los virus que incluía un troyano que eliminaba los archivos antivirus.
Los keyloggers (registradores de teclas) son programas útiles para el espionaje que plantean muchos problemas éticos y legales. Su empleo más usual tiene lugar en las oficinas de trabajo para que el director pueda espiar a sus empleados sin el conocimiento de estos. También los padres espían los hábitos en Internet de sus hijos con estos programas. La importancia de los keyloggers reside en que suelen ser partes muy importantes de los troyanos del tipo 2 (troyanos que envían datos). En realidad nada tenían en común en un principio. Los primeros troyanos no llevaban keyloggers y éstos eran programas aparte que se vendían a través de Internet en páginas de espionaje junto a los artículos de espías de toda la vida. La función del keylogger es registrar todas las pulsaciones del teclado en un archivo del sistema para luego proceder a su lectura. Así pues, si escribimos cualquier texto en Word, tecleamos cualquier contraseña en nuestro ordenador o chateamos en el IRC, todo lo que hayamos escrito habrá quedado registrado en un archivo (generalmente un archivo *.log). Mientras un keylogger sea utilizado para el uso para el que fue diseñado en un principio, las compañías antivirus no los identificaban como una amenaza para la seguridad. En realidad los posibles intrusos tampoco se fijaban en esos programas porque no permitían el control remoto de otro ordenador. Pero todo evoluciona y cuando el keylogger se une al troyano o backdoor es cuando la amenaza se percibe como tal. En esta simbiosis, el keylogger se encarga de registrar las pulsaciones y el troyano de enviar los datos al atacante. Hay que señalar también que hay keyloggers legales de pago que hacen cosas muy parecidas a los troyanos que tienen keyloggers. Estos nuevos keyloggers llevan un novedoso sistema que comunica el contenido del archivo log a una 242
SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
Unidad 4
cuenta de correo electrónico mediante Internet. Esto generalmente se consigue de dos formas: 1) Envío por e-mail del archivo log cada cierto tiempo prefijado (por ejemplo, cada 24 horas). 2) Envío por e-mail del archivo log cada cierta cantidad de bytes (por ejemplo, cada 500 kb de información). ¿Y qué tienen que decir las compañías antivirus aquí? Una vez más la manera de comportarse del keylogger es fundamental. Si el programa se instala de manera silenciosa en el ordenador de la víctima, entonces es identificado como código peligroso. Pero aquí nos encontramos con una dificultad añadida: un keylogger se vende para el espionaje, por tanto ha de correr silencioso en un ordenador. De no ser así, no sería un buen keylogger. También las compañías antivirus tienen en cuenta otro factor: si tiene comunicación por e-mail es peligroso, si no la tiene, puede ser inofensivo. De cualquier forma, un keylogger no es un virus ni tampoco un troyano: tiene una función muy específica que consiste en grabar todo tipo de pulsaciones del teclado e incluso algunos recogen también los clics de ratón, las páginas visitadas en Internet y las conversaciones tanto entrantes como salientes que tienen lugar en una sesión de chat. En teoría es inofensivo para cualquier ordenador. Todo depende de la intencionalidad de la persona que lo utiliza. A continuación se enumeran tres famosos keyloggers para descargar. Algunos antivirus los detectan.
Posiblemente el keylogger más pequeño del mundo programado en ASM (ensamblador) por un genio excéntrico llamado Sólo 2 kb dan para guardar todas las pulsaciones del teclado y reiniciar el keylogger cada vez que Windows se carga.
Otro keylogger, disponible desde la dirección indicada en el apartado de materiales de la mesa de trabajo, que captura tanto teclas pulsadas como ventanas abiertas. Su aspecto es como el mostrado en la figura 4.14.
SEGURIDAD EN INTERNET
243
Unidad 4
VIRUS TROYANOS Y GUSANOS
Otro minúsculo keylogger que algunos antivirus detectan. Sólo son 7.5 kb cuando se instala. Corre totalmente de forma silenciosa, así que es indicado para el espionaje.
Para un usuario de red que está protegido por un cortafuegos y cuyas conexiones ICQ e IRC están deshabilitadas, la infección ocurrirá en la mayoría de las ocasiones a través de un adjunto de correo o descargando software de alguna página Web. Muchos usuarios que desconocen cómo han sido infectados por troyanos argumentan que no suelen abrir nunca un adjunto ni descargar software de sitios desconocidos; sin embargo, astutas técnicas de ingeniería social utilizadas por los intrusos pueden engañar a la mayoría de usuarios e incitarles a ejecutar el adjunto infectado o descargar el software malicioso sin ninguna sospecha. Un ejemplo de un troyano que utilizó la ingeniería social fue el Septer.troj, que fue transmitido mediante correo en Octubre de 2001. Este se camuflaba como un formulario de donación de la Cruz Roja de América y solicitaba a los usuarios que completaran un formulario, incluyendo los detalles de su tarjeta de crédito. El troyano encriptaba estos detalles y los enviaba al sitio Web del atacante. 244
SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
Unidad 4
Es asombroso cómo muchas personas son infectadas por ejecutar un adjunto enviado a su buzón. Sirva de muestra el siguiente ejemplo: la persona que se ha propuesto introducir un troyano en su ordenador sabe que tiene un amigo llamado Mario y también conoce su dirección de correo. El atacante camufla un troyano como contenido interesante, por ejemplo, un chiste de moda y le envía un correo a usted con el nombre de su amigo. Para hacer esto, el atacante utiliza algún servidor de retransmisión de correo para falsificar el FROM del correo y hacer que parezca que quien lo envía es Mario: la cuenta de correo de Mario es
[email protected], por lo que el campo FROM del atacante se cambia por
[email protected]. Usted comprueba su correo, ve que su amigo Mario le ha enviado un correo con un adjunto que contiene un chiste y lo abre sin pensar que podría ser malicioso "porque Mario no me enviaría algo como esto, ¡él es mi amigo!" La información es poder: el atacante sólo sabía que tiene un amigo llamado Mario. Con sólo conocer el correo del amigo de un usuario logró infectar toda la red. Si, además, no se dispone de software de seguridad de correo que pueda detectar ciertos abusos, entonces los adjuntos podrían incluso ejecutarse automáticamente, lo que quiere decir que un atacante puede infectar un sistema de una forma tan simple como enviando el troyano como adjunto, sin intervención del usuario.
El proceso es más o menos el siguiente: un usuario puede recibir un correo que le invita a visitar un enlace a un sitio de contenidos atractivos. A continuación visita el sitio, descarga algún archivo que considera interesante y sin su conocimiento ni su consentimiento, en su ordenador se le instala un troyano listo para ser utilizado por el atacante. Así actuó el troyano ZeroPopUp, diseminado a través de una difusión spam (correo electrónico no deseado) que incitaba a los usuarios a descargar un archivo que bloquearía los molestos pop-up (publicidad no deseada). Una vez instalado el troyano, comenzaba a enviar correos a todos los contactos de la agenda de direcciones del usuario infectado, en los cuales se promocionaba la URL y el software ZeroPopUp. Como el origen de estos correos era un amigo o compañero, los receptores no desconfiaban, entraban en la URL y descargaban el software.
La detección de los troyanos puede llegar a resultar bastante problemática. En este sentido es válida la idea de que más vale prevenir que curar. Los últimos programas antivirus contienen detectores de los troyanos más normales (Back Orifice, Netbus, etc.). Sin embargo, el caso de los troyanos es un ejemplo más del dinamismo de Internet. Desde que en agosto de 1.998 comenzó a actuar Back Orifice resulta sorprendente la cantidad tanto de troyanos como de SEGURIDAD EN INTERNET
245
Unidad 4
VIRUS TROYANOS Y GUSANOS
defensas contra ellos que han aparecido, de manera que es necesaria una continua actualización de los programas antivirus para que sean realmente efectivos. Los troyanos más difíciles de detectar suelen ser aquellos cuya finalidad es el control remoto del ordenador víctima ya que su objetivo les obliga a pasar totalmente desapercibidos el mayor tiempo posible y, por lo tanto, suelen ocultarse bastante bien. Los meramente destructivos se aprecian por sus efectos inmediatamente, y los de IRC se notan también nada más entrar en algún canal de IRC, cuando el resto de los presentes en el canal empiezan a recibir intentos de transmisión de ficheros procedentes del infectado. Por el contrario, cuando un troyano de control remoto se instala, lo único que hace es crear una entrada en el registro de Windows (que hace que el troyano se ejecute cada vez que se arranca Windows) y abrir un puerto de TCP o de UDP (a veces ni eso) para permitir el acceso al PC. El troyano está permanentemente en ejecución, pero con el flag hidden activado, de manera que no aparece ni en la barra ni en la ventana de tareas. Además consumen muy poca memoria, de manera que pueden pasar desapercibidos. Por otra parte, el nombre del ejecutable puede variar, así como el puerto por el que penetran.
Aunque cada día resulta más difícil evitar la penetración de troyanos de control remoto, lo que un usuario no debe hacer nunca es permanecer a la espera de ser infectado sin tomar ninguna medida de precaución. He aquí unas cuantas: ‚ ‚ ‚
‚ ‚
246
Configurar el sistema para que muestre las extensiones de todos los archivos. Rechazar todo archivo con doble extensión. En caso de no tener el sistema configurado para mostrar todas las extensiones, rechazar aquellos archivos que tengan extensión visible mientas que otros archivos del mismo tipo no la tienen. Sería un caso de extensión doble. Tener un antivirus y/o antitroyanos monitorizando constantemente nuestro ordenador. Los antivirus dejan mucho que desear en la localización de troyanos. Los antitroyanos son bastante más efectivos pero suelen tragarse los troyanos más recientes si no se actualizan o no el troyano no está configurado por defecto. Ambos tipos de programas pueden no eliminar correctamente al troyano. Lo que podrían hacer es bloquearlo, pero el sistema seguiría abierto ante una posible reactivación del servidor del troyano. No son, por lo tanto, métodos 100% seguros, ni de detección ni de eliminación. No debe extrañar entonces que se pueda infectar un sistema teniendo un antivirus y/o antitroyanos instalado.
SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
‚ ‚ ‚ ‚
‚ ‚ ‚
‚
‚
‚
Unidad 4
Realizar escaneos esporádicos a todo el sistema con antivirus y/o antitroyanos. Tener instalado y activo un cortafuegos. Utilizar monitores de sistema y registro, ya sean específicos o se encuentren formando parte de un cortafuegos, antitroyanos, antivirus,... Desconfiar de todo archivo obtenido por cualquiera de las vías de Internet, especialmente de aquellos con los que tengamos algún problema en su primera ejecución. Escanear como norma general todo fichero que entre en nuestro sistema. Utilizar siempre un cortafuegos para detectar intentos de comunicación de un posible troyano con el dueño del mismo. Los ejecutables de los troyanos casi nunca aparecen con su verdadero nombre. Suelen ser renombrados y hasta windows los identifica como alguna otra aplicación inofensiva. Nunca hay que fiarse de un archivo conocido. Se suelen utilizar varios métodos para mantener ocultos los troyanos a los ojos de sus víctimas. Un sistema consiste en renombrarlo y ponerle un nombre común o usual, del tipo explorer.exe, patch.exe, calc.exe, ... Otro sistema consiste en aplicar al troyano los atributos +h +r +s con lo cual quedará como oculto, de sólo lectura (no se puede borrar) y de sistema. También se pueden usar los dos métodos a la vez. Si por algún casual la víctima intentara borrar el troyano, Windows le avisará de que se trata de un archivo de sistema y pedirá confirmación. Existen versiones de Windows (como WIN98) que pueden tener problemas para reconocer el carácter ASCII ALT+255 (espacio vacío). De esto se aprovechan muchos virus para crear carpetas o archivos que tengan incluido este carácter e instalándose en ellos, evitando así que un antivirus bajo Windows lo pueda detectar ya que no podría acceder a ese archivo o carpeta. Sin embargo este hecho lo podemos aprovechar en contra de los troyanos (y de algunos virus), ya que muchos de ellos tienen en su rutina de instalación una actuación directa sobre ejecutables y/o carpetas por defecto de los antivirus, antitroyanos y firewall más usuales (Norton, Panda, McAfee, AVP, PC-Cillin, Cleaner, Conseal...), guardados en una base de datos, con el objetivo de evitar ser detectados por los mismos. Pero si por ejemplo en vez de instalar Norton Antivirus en su carpeta por defecto (c:\Archivos de Programa\Norton Antivirus) lo instalamos en una carpeta que comience por el carácter ASCII Alt+255 (que se deberá crear con anterioridad a la instalación bajo entorno DOS, por ejemplo, situándonos en la carpeta “c:\archiv~1” y creando allí otra llamada “norton”) podríamos evitar la acción del troyano/virus sobre todos los elementos de esa carpeta. Hay troyanos/virus (como alguna versión del BO2000) que instalan su ejecutable con una extensión que no es EXE. En el caso del BO2000, sería “EXE” seguido de 230 espacios y una “e”. De esta forma, si la configuración por defecto del antivirus es la de escanear sólo los archivos con extensiones definidas en una lista, el antivirus no escaneará ese ejecutable, ya que seguramente esa extensión no se encuentra en dicha lista de extensiones. Para evitarlo hay que configurar el antivirus para que escanee absolutamente todos los archivos del sistema.
SEGURIDAD EN INTERNET
247
Unidad 4
VIRUS TROYANOS Y GUSANOS
La proliferación de infecciones por parte de troyanos a través de la navegación Web convencional está creciendo. No es extraño observar que cuando se pincha sobre un enlace en una página nos salte el antivirus avisándonos de la presencia de un troyano, de un script, de un virus. Desconfiar de todo software obtenido vía Internet cuyo origen no sea una página oficial o un sitio de reconocido prestigio. Tener cuidado con la aparición de archivos y/o carpetas con nombres ilegibles o extraños tipo “|î ìäñòó càïóñêà”. Existen del orden de unos 5.000 troyanos y la cifra va en aumento. Un buen antitroyanos puede tener en su base de datos unos 3.000 de ellos. Se deduce entonces que las casas desarrolladoras de software antitroyanos siempre van a remolque de los creadores de los troyanos. Esta situación hace que los sistemas informáticos sean muy sensibles a ser infectados por uno de ellos. Por esta razón es muy importante prevenir una posible infección usando nuestro propio sentido común y evitar la comunicación entre cliente y servidor del troyano por medio de cortafuegos o programas similares.
‚
‚ ‚ ‚
En cualquier página de oficial de software antivirus y en algunas especializadas en seguridad informática se ofrecen métodos o sistemas de desinfección manual de troyanos. Llegado el caso no estaría de más elegir alguna en nuestro propio idioma ya que al tener que manipular el registro de Windows y archivos de sistema (elementos cruciales para el correcto funcionamiento del ordenador) podemos meter la pata con facilidad. Se puede considerar que la eliminación de un troyano es una especie de operación quirúrgica y por ello habrá que tener cuidado en que no se nos vaya la mano con el bisturí. Lo primero que debemos hacer es averiguar si existe algún troyano instalado en nuestro ordenador. ¿Cómo? Averiguando si tiene algún proceso abierto. Para ello disponemos del Administrador de Tareas de Windows (lo activamos con la pulsación de las teclas Ctrl + Alt + Supr y seleccionando la pestaña Procesos). Supongamos que entre los procesos abiertos detectamos uno con el nombre , que corresponde a un troyano difícil de eliminar. ¿Qué hacemos? ‚ ‚ ‚ ‚
248
Abrimos cualquier carpeta de Windows. Por ejemplo Mi PC. Vamos a y seleccionamos Marcamos . (1) Desmarcamos . (2)
.
SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
‚ ‚ ‚ ‚ ‚ ‚
Unidad 4
Reiniciamos el sistema en o (pulsando F8 antes de que se inicie Windows). Abrimos el directorio en nuestro disco duro (habíamos observado que el proceso se ejecutaba desde aquí). y los Localizamos todas las carpetas y archivos que lleven el prefijo borramos. Vaciamos la . . Reiniciamos Windows en Deshacemos los cambios especificados en los puntos (1) y (2).
Si todo ha ido bien podremos comprobar que el troyano ha desaparecido de nuestro sistema. También podemos utilizar un par de herramientas mucho más completas: y La figura muestra las tareas que está ejecutando Windows XP bajo Process Explorer.
SEGURIDAD EN INTERNET
249
Unidad 4
VIRUS TROYANOS Y GUSANOS
Aunque cualquier antivirus del mercado reconoce en sus bases de datos los troyanos, existen programas específicos encargados de detección, eliminación y protección contra todo tipo de troyanos y backdoors (del término inglés y su funcionamiento “puerta trasera”). Este software se denomina es muy similar al de los antivirus. Entre los antitroyanos más conocidos se encuentran los siguientes: The Cleaner , Anti-Trojan y Trojan Remover. (Para descargar estos programas, ver direcciones en el apartado de materiales de la mesa de trabajo).
A continuación se muestra el funcionamiento de The Cleaner Profesional, una herramienta capaz de detectar y proteger cualquier ordenador de troyanos, gusanos, keyloggers y spyware. Se puede descargar la versión profesional (a prueba por 30 días) desde Internet. (Ver dirección en el apartado de materiales de la mesa de trabajo). No sólo protege al sistema de troyanos mediante protección permanente, sino que incluye dos utilidades: ‚
TCmonitor que se encarga de escanear el registro de Windows y lanzar una alerta cada vez que se modifique algo del mismo.
250
SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
‚
Unidad 4
TCActive que identifica y describe los procesos activos que se ejecutan en nuestro ordenador.
La pantalla principal de la aplicación es como la mostrada en la figura 4.19. Para escanear nuestro ordenador hay que hacer doble clic sobre Scan System y esperar a que finalice el examen de nuestro disco duro (figura 4.20).
SEGURIDAD EN INTERNET
251
Unidad 4
252
VIRUS TROYANOS Y GUSANOS
SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
Unidad 4
Cuando se detecta algún troyano la mejor opción de configuración es la de cuarentena, tal y como muestra la figura 4.21.
También se pueden obtener buenos antitroyanos en la sección Antitroyanos de la página de Softonic. (Ver dirección en el apartado de materiales de la mesa de trabajo). La figura 4.22 muestra el listado obtenido de dicha página.
SEGURIDAD EN INTERNET
253
Unidad 4
VIRUS TROYANOS Y GUSANOS
Por último, también es posible realizar escaneos online. (Ver dirección en el apartado de materiales de la mesa de trabajo).
La figura 4.23 muestra el escaneo realizado por TrojanScan.
Un gusano (worm) es un tipo de virus cuya característica principal consiste en la capacidad de poder reenviarse a sí mismo. Efectivamente, esta es la gran diferencia entre los virus y los gusanos: la capacidad que tienen estos últimos de utilizar el ordenador de cualquier usuario para infectar otros ordenadores, vía Internet. Su denominación tiene su origen en una novela de ciencia-ficción (The Shockwave Rider – John Brunner, 1975), en la que el protagonista se enfrenta al totalitarismo introduciendo en su red de comunicaciones un programa llamado tapeworm. Esta obra hace referencia a programas capaces de viajar por sí mismos a través de redes de cómputo para realizar cualquier actividad una vez alcanzada una máquina; aunque esta actividad no tiene porqué entrañar peligro, los gusanos pueden instalar en el sistema alcanzado algún tipo de código maligno, atacar a este sistema como haría un intruso (hacking), o simplemente consumir excesivas cantidades de ancho de banda en la red afectada. El objetivo último de los gusanos no es modificar otros programas o destruir información sino reproducirse y alcanzar el máximo de distribución entre los equipos de la red. Como máximo, los gusanos tienden a replicarse en tal medida que saturan los recursos de los ordenadores, provocando un ataque 254
SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
Unidad 4
por denegación de servicio (DoS) que acaba produciendo una inevitable caída del sistema. No obstante, algunos gusanos pueden incluir como parte de su código algún virus informático, bomba lógica, troyano o puerta trasera, que actúe sobre los equipos en los que se logren establecer. Al contrario de lo que ocurre con los virus informáticos (en el sentido estricto, son programas que tienen la capacidad de copiarse a sí mismos y de modificar el código de programas para infectarlos), los gusanos son programas completos que pueden funcionar por sí solos, y que por tanto no necesitan afectar el código de otros programas para replicarse y, su presencia y permanencia se basa normalmente en errores o debilidades (vulnerabilidades) de los protocolos de red o de los programas incluidos en los sistemas operativos que los utilizan. Es decir, los gusanos tienen por finalidad copiarse así mismos tantas veces como sea posible hasta conseguir saturar la memoria del sistema.
El método de propagación más ampliamente utilizado por los gusanos es a través de programas clientes de correo electrónico como Outlook u Outlook Express y también a través de clientes de chat como IRC o ICQ. Los gusanos constituyen, hoy por hoy, el grupo más numeroso dentro de los virus informáticos. A ello contribuye por una parte, la gran capacidad de propagación de este tipo de código malicioso y, por otra, la gran facilidad con que pueden ser creados. De hecho, hasta hace poco tiempo, proliferaban en Internet varias herramientas que permitían confeccionar un código malicioso de este tipo sin necesidad de tener amplios conocimiento en cuanto a técnicas de propagación. Precisamente, utilizando una de esas herramientas un adolescente holandés creó el gusano Kournikova que provocó una de las mayores epidemias conocidas hasta ahora. La mayoría de los gusanos informáticos se propagan utilizando el correo electrónico. Lo más habitual es que lleguen incluidos en un archivo adjunto a un e-mail. Si el usuario ejecuta dicho archivo, el gusano se envía a los contactos que se encuentran almacenados en la libreta de direcciones del cliente de correo electrónico o a direcciones que pueda encontrar en otras aplicaciones o archivos. Sin embargo, a medida que los usuarios se han ido familiarizando con esta manera de proceder, cada vez se hace más difícil conseguir que el virus se propague de forma masiva. Por ello, los creadores de virus han ido introduciendo modificaciones encaminadas a conseguir esto último.
Los gusanos informáticos son, sin ningún género de duda, los virus más abundantes hoy en día. Sin embargo, sus creadores introducen modificaciones con la finalidad de conseguir una distribución masiva. Continuando con la clasificación de los gusanos según sus formas de propagación, pueden mencionarse los siguientes:
SEGURIDAD EN INTERNET
255
Unidad 4
‚
‚
‚
‚
‚
256
VIRUS TROYANOS Y GUSANOS
. Constituyen posiblemente el grupo menos numeroso, aunque no por ello sus efectos son menos dañinos. Se propagan a través de los recursos compartidos en una red local y su objetivo es bloquearla. Ejemplos de este tipo de gusanos son Lovgate Sobig o el peligroso Bugbear.B. . Aprovechan la popularidad alcanzada por este tipo de aplicaciones, cuya filosofía de diseño consiste en compartir archivos de todo tipo (especialmente música y video) entre los internautas y que han convertido a programas clientes P2P como KaZaA, WinMx o iMesh en excelentes vías de propagación de todo tipo de código malicioso. La propagación de los gusanos que utilizan esta vía consiste en crear, en los directorios compartidos utilizados por los citados programas clientes, ficheros con nombres atractivos para otros usuarios, consiguiendo así que los descarguen en sus equipos. Redisto.B o Fizzer son gusanos de este tipo. . Los gusanos más clásicos utilizan para propagarse ciertos programas clientes, reenviándose automáticamente a los contactos de la libreta de direcciones. Algunos de los gusanos más recientes como SirCam, Nimda o BugBear pueden incluso, llegar a enviarse a cualquier dirección de correo que encuentren en caché, con lo cual, si en una página visitada se ha incluido una dirección de correo, puede ser utilizada por el gusano, al tener éste la capacidad de rastrearlas. La última técnica utilizada por este tipo de código malicioso consiste en incrustarse en el código HTML del mensaje de correo electrónico Esta forma de propagación conlleva la capacidad de infectar un ordenador sin necesidad de llevar a cabo ninguna otra acción. Uno de los ejemplos más notables de un virus de este tipo es Kakworm, un gusano que se propaga por correo electrónico oculto en la autofirma de los mensajes que se envían desde el ordenador afectado. Es muy fácil infectarse con él, ya que se activa automáticamente con tan sólo visualizar el mensaje a través de la vista previa de Outlook. . Los canales de chat y los servicios de mensajería instantánea son también una vía que, cada vez con más frecuencia, emplean los gusanos para llegar al máximo número de equipos. Por ejemplo, aprovechando la popularidad que tiene entre los usuarios el cliente de chat mIRC, cada vez son más los gusanos que emplean este medio. Sin embargo, hay que señalar que, normalmente, esta es una vía accesoria de propagación ya que la mayoría de gusanos diseñados para enviarse a través de chat o mensajería instantánea también lo hacen a través de correo electrónico. Entre los gusanos que se propagan de esta manera podría citarse a Lirva. (Visual Basic Script). Son gusanos escritos o creados en Visual Basic Script y para su prevención es importante considerar la sugerencia de hacer visibles todas las extensiones en nuestro sistema (para poder identificar y rechazar los archivos que vengan con doble extensión, como es el caso de anexos de correos infectados por SirCam). SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
‚
Unidad 4
. Este tipo de gusanos se propagan a través de las API (Application Program Interface) de Windows, las cuales son funciones pertenecientes a un determinado protocolo de Internet. Las API corresponden al método específico prescrito por un sistema operativo o por cualquier otra aplicación de aplicación mediante el cual un programador que escribe una aplicación puede hacer solicitudes al sistema operativo o a otra aplicación.
‚
‚
‚
Están diseñados para utilizar agujeros de seguridad descubiertos en programas cuya utilización se encuentre muy extendida, tales como clientes de correo electrónico, navegadores de Internet, etc. De esta manera, pueden realizar acciones muy diversas, si bien la más peligrosa es la posibilidad de ejecutarse de forma automática. En este apartado podrían citarse a los gusanos Nimda y Klez.I, los cuales aprovechan una vulnerabilidad del navegador Internet Explorer para autoejecutarse simplemente con la vista previa del mensaje de correo electrónico en el que llegan al equipo. Otros gusanos pueden utilizar vulnerabilidades en servidores. Así, CodeRed, ataca servidores IIS mientras que Slammer hace lo propio con servidores SQL. . Esto permite que el código malicioso pueda reenviarse de forma oculta para el usuario y sin dejar rastros de sus acciones. Pueden emplear tanto el servidor SMTP que el propietario del equipo utilice habitualmente como alguno predeterminado por el creador del gusano. Como ejemplo de este tipo de gusanos se encuentra Lentin.L que, sin depender del cliente de correo, se envía a todas las entradas de la libreta de direcciones de Windows, MSN Messenger, .NET Messenger, Yahoo Pager, y a las direcciones de correo que localiza en el interior de todos los archivos con extensión HTM que se encuentren en el equipo. Podría decirse que esta es la última generación de gusanos que ha hecho su aparición. Este tipo de virus no necesitan de ningún soporte para propagarse desde un ordenador a otro, ya que su táctica consiste en buscar puertos de comunicaciones desprotegidos para introducirse en los equipos de forma oculta para el usuario. Ejemplos: Hai y Opaserv. Otros gusanos como el Nimda, tienen capacidad para colocar su código en una página web, propagando la infección con el simple hecho de que uno la visite sin la protección adecuada (un buen antivirus bien configurado y debidamente actualizado). Para que esto sea factible, este gusano aprovecha un fallo de seguridad del navegador Internet Explorer (misma que ya ha sido resuelta por Microsoft), en sus versiones anteriores a la 6.0, lo cual le permite activarse automáticamente al entrar a la página infectada o al ver el mensaje de correo. electrónico
‚
Como ya se estudió en la UNIDAD 1 las técnicas de ingeniería social intentan engañar al usuario con el objetivo de conseguir que ejecute el archivo que contiene el código malicioso. Sin duda, LoveLetter es el mejor representante de este tipo de virus que, con una frase tan simple como I Love You, fue capaz de infectar y colapsar cientos de miles de ordenadores de todo el
SEGURIDAD EN INTERNET
257
Unidad 4
VIRUS TROYANOS Y GUSANOS
mundo. Se trata de una técnica muy utilizada, ya que, por desgracia, aún se muestra muy efectiva. En cualquier caso debería tenerse en cuenta que muchos gusanos no utilizan una única vía de propagación, sino que suelen combinar varías de ellas. Es el caso del gusano Klez.I que, además de hacer uso de la ingeniería social, aprovecha una vulnerabilidad de Internet Explorer para ejecutarse de forma automática.
Aunque los gusanos actuales son cada vez más sofisticados y difíciles de detectar no hay que desanimarse e intentar protegernos de este tipo de código malicioso que, como por desgracia muchos usuarios han podido comprobar, puede resultar desastroso para nuestros ordenadores. A continuación se citan algunas medidas de seguridad a tener en cuenta. ‚
‚
‚
‚
‚
‚
258
La mayoría de los antivirus pueden configurarse para explorar automáticamente nuestro ordenador así como para detectar, identificar y proteger contra los daños que pueda causar un virus, pero también es muy importante actualizar el software antivirus periódicamente y mantenerlo activo en todo momento, sobre todo porque de esta forma detectará los mensajes de correo contaminados. El hardware o software de servidores de seguridad es la primera barrera de defensa contra los piratas informáticos o intrusos. Servicios de navegación de Internet como SBC Yahoo! DSL y Dial ofrecen un software para servidores de seguridad que ayuda a rastrear el origen de las intrusiones de los piratas informáticos y protege tu ordenador contra accesos no autorizados. Es conveniente habituarse a no abrir ningún mensaje de correo electrónico si desconoces al remitente. Además, ten cuidado al abrir archivos que recibas con las extensiones ".vbs", ".exe", ".bat" o ".scr." Si estos mensajes son enviados desde correos electrónicos que no conoces, desde una dirección que pareciera la tuya o no son solicitados, bórralos inmediatamente de tu buzón. Algunos de estos virus y gusanos son muy hábiles al tratar de hacerse pasar como correos genuinos y hasta pueden aparentar ser enviados por personas conocidas o amistosas. Usa disquetes y CDs con precaución, sobre todo los que se usan en diversos ordenadores, ya que pueden contener virus. Tampoco confíes totalmente en los que compres nuevos, aún si están en paquetes sellados. Nuevos virus y gusanos informáticos o alertas falsas acerca de ellos aparecen frecuentemente, así que es bueno saber de antemano para proteger tu sistema, tomar medidas para eliminarlos o para saber que se trata de un informe falso. Periódicamente guarda datos importantes en disquetes o CDs. Así, en caso de que tu ordenador se infecte con un virus, evitarás la pérdida de información. Esta es buena SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
‚
Unidad 4
práctica a seguir también por cualquier otra eventualidad como fluctuaciones de corriente o apagones los cuales son causas comunes de pérdida de datos. . Cuando se trata de obtener o descargar programas de Internet como juegos y otros, asegúrate de que estos provengan de un sitio fiable. Es prudente filtrar cualquiera de estos programas por tu software antivirus, ya sea desde el ordenador de tu casa u oficina, como desde cuentas de correo electrónico gratuitas de Internet por ejemplo Yahoo! Mail o Hotmail.
Finalmente, no es necesario adoptar una actitud hipocondríaca cuando se trata de protegernos contra virus o gusanos informáticos. Lo mejor es "prevenir y no lamentar".
A veces, el antivirus instalado descubre un troyano que no es capaz ni de curar ni de eliminar. Así, por ejemplo, la figura 4.24 muestra la detección del gusano Mydoom.M realizada por AntiVir, que no es capaz de eliminarlo ni borrarlo.
Para obtener información sobre este gusano, introducimos su nombre en la página de Alerta-Antivirus, ver dirección en el apartado de materiales de la mesa de trabajo, y aparece la información mostrada en la figura 4.25.
SEGURIDAD EN INTERNET
259
Unidad 4
VIRUS TROYANOS Y GUSANOS
La lectura detenida de las soluciones ofrecidas por diferentes fabricantes proporciona varias herramientas puntuales, entre ellas Stinger. Tras descargarla e instalarla se realiza un escaneo de la carpeta donde se encuentra el archivo infectado y se procede a la eliminación del mismo. Las figuras 4.26 y 4.27 ilustran la detección y el informe obtenidos.
260
SEGURIDAD EN INTERNET
VIRUS TROYANOS Y GUSANOS
Unidad 4
Posiblemente los dos gusanos más destructivos hayan sido I love You y Mydoom. Busca en Internet información sobre ellos y la forma de curarlos.
SEGURIDAD EN INTERNET
261
Unidad 4
‚
‚ ‚
‚ ‚
‚ ‚ ‚
‚ ‚
‚
‚
‚ ‚ ‚ ‚
VIRUS TROYANOS Y GUSANOS
Un virus informático es, simplemente, un programa elaborado accidental o intencionadamente y cuyo objetivo es instalarse y replicarse en el ordenador de un usuario sin el conocimiento o el permiso de este”. No son virus, aunque pueden tener los síntomas de un virus, los bugs, las falsas alarmas y los programas corruptos. Posiblemente, el objetivo de los programadores de virus no es de tipo económico sino más bien de satisfacción personal: que el programa se propague al mayor número posible de ordenadores y redes de ordenadores, obteniendo así el reconocimiento de otros programadores de virus. Las cinco etapas de la vida de un virus son: creación, reproducción, activación, descubrimiento, asimilación y erradicación. Los tipos de virus más significativos son: de archivo, del sector de arranque, mixtos, de BIOS, de compañía, macrovirus, retrovirus, de sobrescritura, parçasitos, mutantes, EPO, de enlace, de objeto, java y javascript, Active X, bat, de dependencia, en estado salvaje, en el zoo, generadores de virus y bombas de tiempo. Las características generales de los virus son: latencia, tipo de residencia, forma de infección y composición. Para medir los efectos de un virus se utilizan los tres parámetros siguientes: índice de peligrosidad, grado de propagación y ratio de infección. Entre las estrategias de infección de un virus destacan: el medio de propagación, añadidura o empalme, inserción, reorientación, polimorfismo, sustitución. Las tres formas de solución antivirus son: licencia, escaneo on-line y antivirus gratuitos. Una definición de troyanos es: “Conjunto de instrucciones no autorizadas incrustadas en el código fuente de un programa legal que ejecutan funciones desconocidas para el usuario y no deseadas por el mismo”. La información sensible que puede obtenerse con un troyano puede ser: números de tarjetas de crédito, dirección IP, cuentas bancarias, dirección de email, fotografías, teléfonos, documentos o direcciones confidenciales,. Los tipos de troyanos más usuales son los: de control remoto, que envían datos, destructivos, de ataque DoS, proxy, FTP y deshabilitadotes de software de seguridad. Los dos métodos más comunes de infección de troyanos son: infección mediante adjuntos e infección por descarga de archivos. Son antitroyanos específicos los siguientes: The Cleaner, Anti-trojan y Trojan Remover. Un gusano (worm) es un tipo de virus cuya característica principal consiste en la capacidad de poder reenviarse a sí mismo. Dependiendo del método utilizado para su propagación, los gusanos se clasifican en: gusanos que se propagan a través de una LAN, a través de programas P2P, a través del correo electrónico, a través del IRC y la mensajería instantánea, qusanos que aprovechan las vulnerabilidades del software instalado, gusanos VBS, gusanos Win32, gusanos que se envían utilizando su propio motor de SMTP, que se propagan por Internet, que utilizan técnicas de ingeniería social.
262
SEGURIDAD EN INTERNET