jueves, 4 de marzo de 2010

VIRUS INFORMÁTICOS

W97/MELISSA



• BREVE RESEÑA HISTORICA
David L. Smith, natural de Aberdeen, New Jersey y sospechoso de ser el autor del virus Melissa se declaró culpable en segundo grado de daño a computadoras el 09 de Diciembre de 1999. El jurado pidió condenarlo a purgar una pena de 10 años en prisión.

David L. Smith, programador de computadoras, alegó su inocencia y manifestó que creó el virus en su departamento de Aberdeen en memoria de una bailarina Topless, del estado de Florida, de la cual se había enamorado, pero sus relaciones sentimentales quedaron frustradas.
El 8 de Abril de 1999, David L. Smith, de 30 años, natural de Aberdeen, New Jersey y sospechoso de ser el autor del virus Melissa hizo su primera aparición en público en la Corte Superior del condado de Monmouth para escuchar las acusaciones en su contra. Smith permaneció silencioso y cabizbajo cuando escuchó los cargos.

Las autoridades de New Jersey acusaron a Smith de interrupción de las comunicaciones públicas, conspiración para cometer el delito, intento de delito y robo de servicios de computadoras, en tercer grado. Todo esto lo haría enfrentar una posible pena de 40 años de cárcel y al pago de una multa de US $ 480,000.

Ante el Juez John Riccardi que dirige la causa, un nervioso Smith leyó el siguiente argumento:

"Sí, yo admito esos sucesos ocurridos como resultado de Ia propagación del virus Melissa. Pero yo no esperaba o anticipé la enorme cantidad de daño que ocasionó. Cuando difundí el virus yo supuse que algún daño material sería menor e incidental. De hecho, yo incluí instrucciones diseñadas para prevenir un daño substancial. No tuve idea de que habrían profundas consecuencias en contra de otros".

Cuando el Juez preguntó otra vez si Smith estaba de acuerdo de que causó significativos daños a los sistemas de computadoras en todo el país, Smith respondió:

"Yo estoy de acuerdo, por cierto. Todo ello devino en esas consecuencias sin lugar a dudas"

El delito, que incluye "interceptación de las comunicaciones de computadoras y daños a los sistemas de computadora o a su información" es castigado con una carcelería de 5 a 10 años y hasta US $150,000 de multa. Como consecuencia de la acusación, Smith ha aceptado recibir la máxima pena por el delito, pero el Juez podría ignorar esta recomendación.

Personalmente opinamos que 20 meses de prisión es una condena benévola, para tanto daño ocasionado en los sistemas y datos de millones de computadoras en el mundo.


• FUNCIONAMIENTO

El virus Melissa infecta documentos de Word y se autoenvía mediante correo electrónico a otros usuarios. Se ha propagado globalmente horas después de ser descubierto y más rápidamente que cualquier virus anterior.
Bautizado con el nombre de W97M/Melissa, el virus se autopropaga por correo electrónico automáticamente de un usuario a otro. Al activarse el virus modifica los documentos del usuario e inserta comentarios de la serie de TV "Los Simpsons". Y lo que es peor, puede enviar información confidencial desde el ordenador sin que lo advierta el usuario.

El virus fue descubierto el viernes 26 por la tarde en Europa (mañana en USA). Por esta razón el virus se propagó por USA durante el viernes. Muchas compañías multinacionales han informado la amplitud de la infección, incluyendo Microsoft e Intel. Microsoft cerró todo el sistema de correo electrónico para evitar propagarlo. El número de ordenadores infectados se estima en decenas de miles y se incrementa rápidamente.

W97M/Melissa se distribuyo inicialmente en un grupo de discusión de Internet llamado alt.sex. El virus se envió en un archivo llamado LIST.DOC, que contenía claves de acceso para websites clasificadas X. Cuando el usuario bajaba el archivo y lo abría con Microsoft Word, se ejecutaba una macro en el documento que enviaba el archivo LIST.DOC a 50 personas relacionadas en la agenda del correo electrónico del usuario. El mensaje era:

From: (nombre del usuario infectado)

Subject: Important Message From (nombre del usuario infectado)

To: (50 nombres de la agenda)

Here is that document you asked for ... don´t show anyone else;.)

Attachement: LIST.DOC
La mayoría de los receptores aceptan abrir el archivo puesto que les llega de alguien conocido
Después de enviar el documento, el virus continua infectando otros documentos Word a los que accede el usuario. Fortuitamente, estos documentos pueden acabar siendo enviados a otros usuarios, siendo potencialmente desastroso puesto que el usuario puede enviar inadvertidamente información confidencial a externos.
El virus se activa cuando el minuto de las horas coincide con el día del mes - por ejemplo a las 16:27 del día 27. Entonces, el virus insertará en el documento abierto, la siguiente frase: "Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here".
Este texto y el alias del autor del virus ("Kwyjibo") hacen referencia a la serie de dibujos animados "Los Simpsons".

W97M/Melissa trabaja con Microsoft Word 97, Microsoft Word 2000 y Microsoft Outlook. Puede infectar tanto usuarios Windows como Macintosh. Si el equipo infectado no tiene Outlook o acceso a Internet, el virus continuará propagándose localmente a los documentos que el usuario acceda.

• ELIMINACIÓN

La eliminación de este virus es muy simple puesto que es antiguo y se encuentra en todas las bases de datos de definiciones de los antivirus. Así que se puede utilizar cualquier Antivirus actual para eliminarlo (AVG, KASPERSKY, AVIRA, etc.)

VIRUS LOVE LETTER


• BREVE RESEÑA HISTORICA

Jueves 4 de mayo de 2000. Al comienzo del día llega a los centros de alertas y a las principales compañías antivirus, el primer reporte de infección del gusano llamado LoveLetter o I LOVE YOU, el cuál se propaga por Internet a través del e-mail y el mIRC a una gran velocidad. A las pocas horas miles de computadoras han sido infectadas. AVP, Symantec, Sophos y Panda son los primeros en reaccionar y casi inmediatamente sus equipos de expertos liberan actualizaciones de sus productos. En los días siguientes las variantes florecen como hongos, y con la misma velocidad los fabricantes de antivirus actualizan sus productos (al momento muchos son capaces de identificar incluso variantes en forma genérica).

Martes 9 de mayo de 2000. En Filipinas, se detiene al presunto autor del virus. Pero tras horas de interrogatorios, los investigadores filipinos resuelven liberarlo por falta de pruebas. Ahora siguen la pista de otras diez personas presuntamente relacionadas con este tema, todas ellas involucradas con una academia de computación de Manila.

Miércoles 10 de mayo de 2000. Circuló en Manila información de que dos estudiantes de un centro de docencia cibernética en Filipinas: Onel de Guzmán y Michael Buen, habían escrito varios programas que podrían haber sido utilizados en la creación del virus informático 'ILOVEYOU'. Los dos forman parte de un grupo de expertos en computadoras que ofrecen servicios de programación a pequeñas y medianas empresas. El programa elaborado por de Guzmán era capaz de robar contraseñas y fue escrito como parte de una proyecto de tesis en la universidad. La tesis fue rechazada con la advertencia que era "ilegal". En el proyecto, Guzmán escribió que el programa "sería de enorme ayuda para mucha gente, especialmente usuarios de Internet que buscan obtener contraseñas y pasar más tiempo en Internet sin tener que pagar". Las autoridades filipinas encaminaron su investigación hacia la escuela tras recibir de agentes del FBI estadounidense una decena de nombres en código, que estaban insertados en el virus.

Jueves 11 de mayo de 2000. Onel de Guzmán, el presunto culpable, se presentó ante las autoridades junto con su hermana, Irene de Guzmán, y su abogado, Rolando Quimbo, diciendo en una conferencia de prensa que pudo "haber activado accidentalmente el programa". A los dos se los buscaba para interrogarlos. Sin embargo, Onel de Guzmán no dijo claramente si él había escrito el virus. Al preguntársele si lo había activado, repuso: "Es posible". "No está realmente seguro de que el acto que se le imputa fue cometido por él", dijo su abogado. Quimbo afirmó que si no se había violado ninguna ley, ningún delito se había cometido. (Información de CNN, Associated Press y Reuters).

Viernes 19 de mayo de 2000. Una variante llamada NewLove, más peligrosa que el LoveLetter por lo que hace, y por ser polimórfica (cambiar de nombre, tamaño, etc.), es descubierta "in the wild", o sea activa. Salvo esto, la forma de propagarse y las precauciones a tener en cuenta, son las mismas que para cualquier otro virus que se trasmite vía e-mail: JAMAS ABRA UN ARCHIVO ADJUNTO NO SOLICITADO.

• FUNCIONAMIENTO

Se tuvo constancia de la primera incidencia a las 9:00 a.m. del 4 de mayo de 2000 en Noruega y hacia las 13:00 p.m ya se había difundido en más de 20 países.

LoveLetter se activa al ejecutar el archivo que viene atachado al e-mail de referencia “ILOVEYOU” y sobreescribe los archivos de gráficos y de música en las unidades locales y de red. Todos los archivos con las extensiones JPG, JPEG, MP3 y MP2 son sobreescritos y, por lo tanto, es necesario recuperarlos de backups.

Por defecto, las extensiones .VBS en los sistemas Windows no son visibles y los usuarios puede abrir el archivo adjunto LOVE.LETTER-FOR-YOU.TXT.vbs. por error pensando que es un inofensivo archivo .txt. Si el receptor abre el archivo, el virus utilizará Microsoft Outlook (si está instalado) para enviar un mensaje a todas las direcciones de la agenda, incluyendo aquellas de acceso global de la empresa, las cuales normalmente tienen cientos o miles de direcciones. El mensaje es como se muestra a continuación:



De: Nombre-del-usuario- infectado

Para: Nombre aleatorio de la agenda de Outlook

Asunto:ILOVEYOU

Kindly check the attached LOVELETTER coming from me.

Archivo adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs

Como las agendas contienen normalmente direcciones de grupos, el resultado de la activación del virus dentro de una empresa es que el primer infectado envía el mensaje a todo el mundo dentro de la organización. Después de esto, otros usuarios abrirán el mensaje y lo volverán a reenviar de nuevo a toda la gente de la empresa. El efecto inmediato es que el servidor de correo puede verse rápidamente colapsado.
Además de enviar un email a todas las direcciones, el virus sobreescribe los scripts locales y los archivos HTML con su propio código.
El virus es probablemente de procedencia filipina. Está escrito en lenguaje VBScript. Por defecto, los programas escritos en VBScript operan solo bajo Windows 98 y Windows 2000. No obstante, los usuarios con Windows 95 y NT también son vulnerables si tienen instalada la versión 5 de Microsoft Internet Explorer.

• ELIMINACIÓN

La eliminación de este virus es muy simple puesto que es antiguo y se encuentra en todas las bases de datos de definiciones de los antivirus. Así que se puede utilizar cualquier Antivirus actual para eliminarlo (AVG, KASPERSKY, AVIRA, etc.)


VIRUS RECYCLER


• BREVE RESEÑA HISTORICA

Famoso virus Recycler es un troyano de rango menor y muy poco dañino que se ha extendido como la espuma por millones de computadoras en todo el mundo, gracias a que usa para transportarse algunas propiedades de losa archivos de configuración de inicio de Windows (conocido como Autorun.inf), logrando infiltrarse en cualquier medio extraíble que se conecte a la computadora.

Cuando una computadora se encuentra infectada por el virus recycler, este se aloja en la carpeta "Recycler" dentro del disco duro, mismo lugar en donde se almacena toda la "basura" (archivos y carpetas que eliminamos) de la la carpeta de reciclaje cuando ésta no se ha vaciado o restaurado. El virus toma posesión de la carpeta y se esconde dentro de otra subcarpeta simulando ser una parte de los archivos de la papelera de Reciclaje, pero desde ésta ubicación reproduce múltiples copias de si mismo y llena de basura el registro de Windows. Lamentablemente, al alojarse en un directorio de sistema, muy pocos son los antivirus que han podido eliminarlo sin que el virus deje rastro.

A pesar de que se puede acceder hasta la ubicación del archivo para eliminarlo, al tener por defecto los permisos restringidos, este se vuelve casi imposible de eliminar por el usuario, a no ser que se intente eliminarlo desde la línea de comandos de Windows.

• FUNCIONAMIENTO

Se camufla en la carpeta RECYCLER del Sistema con lo que logra que no se pueda eliminarlo fácilmente por las restricciones a Carpetas del Sistema.

Acapara mucha RAM aunque este se encuentre en funcionamiento no se muestra en el visor de procesos del Administrador de Tareas.


• ELIMINACIÓN


1. Abrir una ventana de comandos (Se puede hacer con el comando "cmd" en Inicio -> Ejecutar). A continuación, los comandos que aparecen en cursiva deben teclearse dentro de la linea de comandos de cmd.

2. Finalizar el proceso del explorador (explorer.exe):

taskkill /f /im explorer.exe

3. Movernos a la carpeta del virus, con:

cd \Recycler

4. Quitar los atributos de la carpeta \S-1-5-21-1482476501-1644491937-682003330-1013\ con el comando:

attrib -h -r -s S-1-5-21-1482476501-1644491937-682003330-1013

5. Ahora debemos renombrar la carpeta, con cualquier nombre (en el ejemplo usamos "virus":

ren S-1-5-21-1482476501-1644491937-682003330-1013 virus

6. Reiniciar el explorador de windows con el comando:

explorer.exe.

7. Ya en el explorador de Windows, debemos ir a la carpeta Recycler y veremos nuestra carpeta llamada virus. Accedemos a la carpeta y simplemente eliminamos todo su contenido: ise.exe, isee.exe y desktop.ini.

8. Opcionalmente podemos también limpiar la ruta del registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512}. Para ello, accedemos al registro de Windows con el comando "regedit" desde Incio -> Ejecutar.

VIRUS EXPLORER


• BREVE RESEÑA HISTORICA

Madrid, 8 de abril de 2002. - Panda Software informa de la aparición del nuevo virus W32/Explorer. Se trata de un gusano programado en Borland Delphi que, además de propagarse mediante correo electrónico, tiene la capacidad de introducirse en otros equipos a través de un servidor y una página web que crea en el ordenador afectado.

El gusano llega incluido en un fichero denominado psecure20x-cgi-install.version6.01.bin.hx.com, adjunto a un mensaje de correo electrónico que lleva por asunto: "."

Si el usuario hace click sobre el mencionado archivo, el gusano crea un fichero con 0 bytes de tamaño llamado IPHIST.DAT en el mismo directorio donde se ejecuta. Al mismo tiempo, genera el fichero EXPLORER.EXE -y que en realidad es una copia de W32/Explorer- en el directorio System de Windows. Una vez hecho esto, el gusano borra el fichero de la ruta desde la que se ejecutó y permanece residente en memoria instalando su propio servidor web en el ordenador afectado.

Por otra parte, W32/Explorer envia mensajes, a través de la aplicación de chat IRC, con el texto FREE PORN:..http://free:porn@x.x.x.x:8180 (donde x.x.x. representa la dirección IP del ordenador afectado por el gusano). Si se lleva a cabo la conexión a través del navegador de Internet, aparecerá la siguiente pantalla:



<<...OLE_Obj...>>

De esta forma, intenta conseguir que otros usuarios descarguen a su vez el gusano en su equipo. Finalmente, crea una entrada en el registro de Windows con el fin de ejecutarse cada vez que se arranque el ordenador.

Panda Software ya ha puesto a disposición de los usuarios la correspondiente actualización de sus antivirus para la detección y eliminación de W32/Explorer, que puede ser descargada en http://www.pandasoftware.es. Además, ha publicado información técnica detallada sobre este gusano en la Enciclopedia de Virus de Panda Software, en la dirección http://service.pandasoftware.es/enciclopedia/fichaVirus.jsp?Virus=W32/Explorer.

Sobre el Laboratorio de Virus de Panda Software

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

• ELIMINACIÓN
El virus puede ser eliminado con el Kaspersky Anti-Virus 2009 o superior.


TROYANOS O BACKDOORS


• BREVE RESEÑA HISTORICA

Antes de nada hemos de aclarar el concepto básico de troyano: se conoce por ese nombre a todo programa que lleva oculta una funcionalidad determinada que será usada con fines maliciosos y en contra del usuario que lo instala.

Se diferencia de los virus en que el troyano forma parte del código fuente del programa instalado y se compila junto con él, mientras que el virus simplemente se añade o suplanta al programa original.

Se llamó así a estos programas por el conocido Caballo de Troya, que se entregó como un regalo de buena fe y en cuyo interior se escondían los soldados enemigos.

En sus orígenes, los programadores que creaban conscientemente un troyano lo hacían con alguna finalidad determinada, ya fuese para fastidiar o incluso para garantizarse el cobro de la factura por el trabajo realizado, por ejemplo, un programa que caducara una fecha determinada y destruyera u ocultara la base de datos del trabajo realizado con él y que, en el caso de que el cliente pagara, actualizarle con una "revisión" del producto libre del troyano. Esta utilidad "oculta" si se programaba especialmente para ello, podía permitir a un usuario con conocimiento de ella tener privilegios sobre el programa, por ejemplo que al pulsar una determinada combinación de teclas, nos apareciera una ventana de configuración con opciones no accesibles por el programa principal.
Con la aparición de Internet y su rápida expansión a nivel mundial, el concepto de Red de ordenadores se convirtió en algo atractivo y novedoso lleno de protocolos de comunicaciones, permisos de acceso a redes y passwords que había que investigar.
Pronto aparecieron los primeros troyanos cuya funcionalidad oculta era posibilitar el acceso a la máquina instalada sin necesidad de introducir contraseña de acceso creando lo que se conoce como una puerta trasera (Backdoor). Estos troyanos representaban un concepto nuevo de programa malicioso fruto de la rápida expansión de la red Internet, por lo tanto debía tener un nombre, como todas las cosas. Así, el concepto Backdoor-Troyano se asoció.
En seguida proliferaron en número y su nivel de sofisticación y potencia fue en aumento, llegando a convertirse en verdaderos programas de acceso y administración remotos (RAT Remote Administration Tool).

Así pues, el nombre Troyano quedó asignado al Backdoor, y cuando hoy se habla de troyanos, generalmente se hace referencia a programas que instalan puertas traseras para que accedan a nuestro PC sin necesidad de nuestro consentimiento.

Espero haber dejado claro los conceptos de Troyano (en sus orígenes) y Backdoor (troyano en la actualidad).

También cabe aclarar otra cosa: cuando se realiza un programa nuevo, para una determinada tarea, éste se somete a fases de depurado (comprobación y mejora de su funcionamiento) antes de su distribución, en las que se pretende minimizar el número de errores de programación, ya que se sobreentiende que el programa perfecto y sin errores no existe, así que se intenta depurar al máximo. Pues bien, en muchos casos, éstos errores de programación que pasan inadvertidos en la fase de depurado se convierten en "Backdoors" potenciales a la espera de que alguien los descubra y los explote. A esto se conoce popularmente con el nombre de BUG (bicho) y en ámbitos de seguridad informática :Vulnerabilidad, y las soluciones que se presentan para corregir el fallo se denominan Parches.
• FUNCIONAMIENTO

Aquí hemos de diferenciar algunas fases:

Infección: A diferencia de los virus (y hasta el momento, por suerte) los troyanos no tienen capacidad para reproducirse por su cuenta y la infección ha de pasar por manos del usuario incauto que, mediante engaños, ejecuta el fichero con el troyano.
El fichero puede llegar por cualquier sistema de transferencia de archivos: e-mail, MSN, ICQ, IRC, FTP, descargado de la WEB, etc. Y estará "maquillado" para que no se note lo que en realidad es, por ejemplo, en un fichero que lleve una doble extensión: "tenniswithKournikova.avi.exe", ¿por qué con doble extensión?, pues por una sencilla y buena razón: El Windows, por defecto, está configurado para que oculte la extensión de los ficheros conocidos, con lo cual, ese fichero aparecerá en nuestro sistema como: "tenniswithKournikova.avi" y claro, convencidos de que se trata de una interesante animación, ejecutaremos el fichero...
También se nos puede hacer creer que el fichero es una actualización de un programa o una utilidad nueva y muy recomendable de uso, y que en realidad está "preparada" para instalarnos en la máquina un precioso troyano, en éste caso no hará falta usar la técnica de la doble extensión... ;-) Incluso se nos puede "hackear" la máquina mediante alguna Vulnerabilidad del sistema e introducirnos el troyano directamente, sin que notemos nada.

En definitiva, la idea es que el usuario a infectar ejecute el fichero para que se instale la parte "servidor" del troyano. La metodología que se usa para ello depende del ingenio del atacante.
Asegurando posiciones: En el momento que el troyano es ejecutado, éste modificará el sistema para garantizar su ejecución cada vez que arranquemos nuestro PC, esto es: modificará los ficheros y registros del sistema que crea necesarios para que automáticamente Windows lo ejecute
ELIMINACIÓN

Normalmente el troyano está diseñado para pasar desapercibido y para ocultarse en el sistema infectado, así que se valdrá de las herramientas que el sistema tiene para instalarse y tomar el control. Por lo tanto, nosotros podemos usar "las mismas herramientas" para removerlo de nuestro sistema. Esto hay que aclararlo un poco, y es que, para remover un troyano totalmente del sistema hemos de conocer, a parte de las "zonas" de nuestro PC donde se puede instalar un troyano, qué zonas usará dicho bichejo para infectarnos, pues no todos usarán las mismas.
Es correcto pensar que si conocemos todas las secciones de nuestro PC donde un troyano se puede instalar y las revisamos, podemos estar "seguros", pero claro, cabe la posibilidad que el troyano esté dentro de un programa que usamos normalmente y que no lo sepamos. Mejor es que vayamos por partes:
Llegada del fichero: Hemos de tener estar alerta con los ficheros que nos llegan de Internet. Ya sea vía e-mail, IRC, MSN, WEB, etc. Antes de permitir instalar nada es mejor escanearlo con un buen antivirus y, en algunos casos, con un buen antitroyanos. Por regla general, y mientras no nos demuestre lo contrario, hemos de desconfiar de cualquier fichero que nos llegue, aunque lo hayamos solicitado, ¡y sobre todo si lleva doble extensión! El primer paso para nuestra protección es ser conscientes de nuestros actos. ;-)
Puntos del sistema donde se instala: Pueden darse 2 casos: a) Que el troyano esté dentro de un programa que usamos normalmente y que nosotros no lo sepamos. En este caso pasaremos al punto 3. b) Si es un fichero independiente que se instala y oculta en nuestro sistema, una vez ejecutado el troyano o su instalador, se copiará un fichero (que se llama servidor del troyano) en cualquier parte del disco duro, normalmente en "C:\WINDOWS" ó "C:\WINDOWS\SYSTEM", y modificará algunos puntos para poder ejecutarse cada vez que se inicie Windows. Por ejemplo:

Puede crear un acceso directo en el menú inicio de Windows.
O una entrada en los ficheros de inicio:

CONFIG.SYS

AUTOEXEC.BAT

WIN.INI

SYSTEM.INI


O modificar el registro de Windows, dentro de la rama:

KEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion

las llaves: Run, RunOnce, RunServices y RunServicesOnce.

Chequeo del PC: Visto lo anterior, vamos a definir un proceso para chequear nuestro PC, que nos garantice a un 90-95% la limpieza de nuestro sistema. Lo dividiremos en 3 Fases:

Revisión manual del PC:
- Lo primero de todo, y siguiendo los pasos del guión anterior, si acabamos de instalar un nuevo programa o de haber ejecutado un fichero adjunto, hemos de chequear qué ficheros nuevos se han creado en nuestro sistema:



Vamos a :"INICIO \ Buscar \ Archivos o carpetas", seleccionamos como nombre de archivo a buscar *.*, marcaremos que busque en todos los discos duros y en fecha, elegiremos la que nos parezca más adecuada: (Si sospechamos de un fichero de hace una semana, pues eso... Si acabamos de ejecutarlo, pues desde el día de hoy).

Esto nos sacará un listado de los ficheros que se han creado / modificado a partir de la fecha seleccionada, y dependerá de nosotros el identificar el(los) sospechoso(s). En principio, una foto de un amigo/a no debe provocar la creación de un fichero tipo: "C:\WINDOWS\SYSTEM\MSINIT.EXE" (por poner un ejemplo...).
- Luego procederemos a chequear el inicio de Windows: vamos a "INICIO \ Ejecutar" y escribimos "MSCONFIG", que nos abrirá el programa de configuración del sistema:
Sobre todo, y antes de modificar nada, "a saco", hagamos una copia de seguridad haciendo 'clic' en el botón "Crear copia de seguridad" de la pestaña "General", y automáticamente nos la creará. Esta copia la podremos restaurar con el botón "Restaurar copia de seguridad".
Procedamos:

La pestaña "General" la dejamos tal cual, por defecto.
Config.sys contiene los comandos iniciales de configuración del sistema, generalmente el "display", el "country" y el "Setver" que define la versión de Windows. Cualquier otra cosa no significa que sea malo, pero sí sospechosa, así que nuestra labor es informarnos sobre qué es eso que pone en el config y no sabemos para qué es. El conocimiento es la base del progreso.
Autoexec.bat es otro fichero de arranque del PC. Aquí se configuran el teclado, modo de pantalla, rutas (PATH) de búsqueda de ficheros (cuando se manda a ejecutar un fichero sin especificar el sub-directorio donde está), las variables de entorno, etc.

Lo mismo que para el CONFIG.SYS: Revisemos, informémonos y actuemos en consecuencia.
System.ini: Expandimos la rama "[boot]" haciendo clic en el "+" de la izquierda y revisamos que las entradas:
shell=Explorer.exe

y
user.exe=user.exe
Estén escritas de esta manera, que es como deben de estar, y cualquier otro contenido sería sospechoso.
Win.ini: Expandimos la rama "[windows]" haciendo clic en el "+" de la izquierda y revisamos que las entradas:
load=
y
run=

Si. Deben de estar vacías. Eso sería lo correcto.
Inicio: Aquí se listan los programas que arrancan al inicio, permitiéndonos activar o desactivar del arranque los que deseemos, mediante la casilla correspondiente. No hay más que hacer que revisar los programas y preguntar sobre los que no conozcamos. Tengamos en cuenta que la mayoría son de sistema, aunque tengan un nombre "raro".
- Ahora vamos al registro del sistema: "INICIO \ Ejecutar" y escribimos "REGEDIT". Aquí también recomiendo hacer una copia de seguridad antes de continuar.

Expandimos la rama "HKEY_LOCAL_MACHINE" clicando en el "+" de la izquierda, y también las sub-ramas: "Software", "Microsoft", "Windows" y "CurrentVersion". Hemos de comprobar lo que haya definido dentro de:
Run

RunOnce

RunServices

RunServicesOnce
Tengamos en cuenta que muchos programas instalados en nuestro PC, así como los del propio sistema estarán colocados aquí, así que antes de alterar nada, investiguemos, preguntemos lo que no sepamos, etc.
En principio esta sería una buena revisión manual del sistema, que nos permitiría saber si nuestro PC tiene un troyano activo. Pero en el caso de no haber encontrado indicios, no podemos estar seguros al 100% (nunca lo estaremos, como mucho yo diría un 95%), así que seguiremos chequeando...
Revisión automática: Un buen sistema de chequeo complementario al realizado manualmente, y que sin duda será más cómodo, es la utilización de programas encargados a chequear nuestro PC en busca de troyanos, como antivirus, antitroyanos, etc.:
- Antivirus: Algunos programas antivirus también tienen en sus bases de datos las definiciones de algunos troyanos, así que nuestro programa antivirus también nos puede echar una mano en esta tarea. Hemos de tenerlo siempre actualizado, a ser posible, con fecha de hoy, para tener una mayor fiabilidad.

Escaneamos nuestro PC con él, para ver que nos encuentra.

Antivirus recomendables: DrWEB, AVP, NOD32, Panda, McAfee, Norton... y un largo etc.
- Antitroyanos: En principio podría creerse que un antitroyanos es lo mismo que un antivirus, pero eso no es así. Un antitroyanos está más orientado a la detección de los troyanos, como su nombre indica, y siempre será más fiable que un antivirus. Por supuesto, también se debe tener actualizado.

Procedemos al escaneo con él.

Antitroyanos que recomiendo: The Cleaner (este tiene una característica de monitor del sistema que me agrada bastante. La explico más abajo.), Trojan Remover, y otro largo etc.



Decidir cual de estos programas es el mejor o el peor es algo que no voy a hacer. Comparativas se han hecho muchas, y hay expertos que se dedican a ello, bien por trabajo o por hobbie.
Chequeo del funcionamiento del PC:

No contentos con los chequeos anteriores, aún podemos hacer más. Se trata de revisar que nuestro PC no esté haciendo nada que no debiera, por ejemplo, que tengamos un troyano instalado y esté en la fase de comunicación con el "cliente".

Esto lo podemos testear con un sistema de monitoreo de puertos, aquí os explicaré 2 programas, uno que viene con el Windows y otro que es "Freeware":
NETSTAT: Es una utilidad que viene con Windows y que nos permite conocer qué puertos tenemos activos, con qué IP se están comunicando y el protocolo.

Abrimos una ventana de MS-DOS y en ella tecleamos: "NETSTAT -n", aparecerá un listado como el que sigue:
En él podemos observar 4 columnas:
Proto: Especifica el protocolo que se está usando en esa conexión. (TCP o UDP)
Dirección local: Aquí vemos la dirección IP nuestra y el nº de puerto que se está usando. En éste caso, yo estaba conectado a Internet con la IP 62.82.34.18 y, además, mi IP de Red (porque tengo una mini-red en casa) era la 192.168.0.1.

El número de puerto local estará entre el rango 1024 - 65535, pues los primeros 1024 (0 - 1023) están reservados.
Dirección remota: Lo mismo que la dirección local, pero en este caso corresponde con la máquina a la que se ha conectado. Así por ejemplo, ese día yo estaba conectado a la IP 194.221.112.194 por el puerto 80 que es el destinado al protocolo http para descargar páginas WEB.
Estado: Nos indica como está la conexión en ese momento, pudiendo ser:
Listening: Permanece el puerto abierto y a la escucha en espera de una conexión externa (Red local o Internet)
Syn-Sent: Esperando una petición de conexión igual, después de haber enviado una.
Syn-Received: Esperando una confirmación de la petición de conexión después de haber recibido y enviado ambas máquinas una petición de conexión.
Established: Conectado actualmente.
Fin-Wait-1: En espera de una petición de fin de conexión desde la máquina remota o una confirmación de la petición de fin enviada anteriormente.
Fin-Wait-2: Esperando una petición de fin de conexión desde la máquina remota.
Close Wait: Esperando una petición de cierre de la conexión por parte de la máquina local.
Closing: Esperando una respuesta remota confirmando el cierre de la conexión.
Last-Ack: Esperando una confirmación de la petición de cierre de la conexión enviada anteriormente a la máquina remota, que incluye también una confirmación de su petición de cierre.
Time Wait: Puerto a la espera de que transcurra el suficiente tiempo como para garantizar que la máquina remota ha recibido la confirmación de cierre de la conexión.
Closed: Desconectado actualmente.
Podemos también jugar con los siguientes comandos:
"NETSTAT -an", que muestra todas las conexiones y puertos a la escucha.


"NETSTAT -a", lo mismo que la anterior pero, al no llevar la opción "-n", mostrará el nombre de la máquina a la que nos conectamos (si éste estuviera accesible).
RED SPIDER: Es una utilidad Freeware que nos permite monitorizar conexiones TCP y UDP bajo Windows.
Muestra la tabla de conexiones TCP / UDP del sistema de manera similar a NETSTAT y la actualiza cada diez segundos, (pudiendo refrescarse a voluntad pulsando F5). También ofrece la posibilidad de resolver las direcciones IP a nombres, e incluso, en win XP, nos mostrará el proceso del sistema que controla una determinada conexión.
Una característica que lo hace muy atractivo y que me agrada mucho es la posibilidad de cerrar una determinada conexión, o todas si nos interesara, con un simple clic del ratón sobre la conexión y "terminate".
Otra cosa que podemos hacer para completar nuestra monitorización del sistema es activar un programa que nos detecte cualquier intento de modificación en los ficheros del sistema, WIN.INI, SYSTEM.INI, AUTOEXEC.BAT. REGISTRO DE WINDOWS, etc. Y nos permita editar la modificación que se produjo.

Esto es posible, por ejemplo, con la utilidad TCMONITOR incuida en el antitroyanos The Cleaner, la cual permanece en memoria alertando si uno de estos archivos es modificado. Así podremos saber si algún programa que no debiera se está instalando en nuestro sistema:
The Cleaner también tiene una utilidad para monitorear los procesos activos del sistema, permitiéndote terminarlos a voluntad. Esta es TCActive!:

Para activar éstas opciones, en The Cleaner hemos de marcar las casillas "Run TCActive! At startup" y "Run TCMonitor at startup":
Y así se ejecutarán cuando arranque el sistema.

Creo que con esto podemos decir que tenemos un 95% de seguridad de que en nuestro sistema no está ejecutándose un troyano. El otro 5% está provocado por los innumerables agujeros de seguridad que tienen los programas que normalmente usamos y que en algunos casos pueden permitir a un atacante ejecutar código malicioso en nuestra máquina. Este código puede ser el de un troyano de su nueva invención y que hasta ahora no se conozca, por lo que podríamos estar infectados sin saberlo.
Más recomendaciones sobre detección de bichos nuevos... yo sugeriría que nos mantengamos informados de todo lo nuevo que aparece, ya sean virus, troyanos, agujeros de seguridad etc. Pues muchas veces estudiando las técnicas que usan estos bichos, podemos detectar manualmente si hay uno o no.

En definitiva, y como muchas veces se ha dicho, el factor humano es una medida de seguridad esencial.

OTROS VIRUS FAMOSOS
1. CREEPER (1971): El primer programa gusano corrió en un equipo DEC 10 bajo el sistema operativo TOPS TEN.
2. ELK CLONER (1985): El primer virus para ordenadores personales, concretamente para los sistemas Apple II. Creado por un estudiante, el virus infectaba el sistema operativo, se copiaba en los discos flexibles y desplegaba uno o dos versos de un poema. El virus no tuvo mucha notoriedad ni provocó grandes preocupaciones, sin embargo, pocos se dieron cuenta de que iniciaría una generación de ciber criminales y, en paralelo, una industria de seguridad de la información.

3. El INTERNET WORM (1985): Escrito por una persona de la Universidad Cornell que paralizó Internet.
4. PAKISTANI BRAIN (1988): El primer virus que infectó el PC de IBM y fue escrito por dos hermanos de Pakistán. Este fue el primer virus que recibió amplia cobertura de los medios, aunque los virus ya se conocían en la ciencia ficción.

5. STONED (1989): Es el virus que más se propagó en la primera década de los virus. Stoned infectaba el sector de arranque/.mbr que contaba el número de reinicios desde la infección original y mostraba la frase "your computer is now stoned".
6. JERUSALEM FAMILY (1990): Se contabilizaron casi cincuenta variables de este virus, que se cree salió de la Universidad de Jerusalén.

7. DARK AVENGER MUTATION ENGINE (1990): Fue escrito en 1988, pero se utilizó a principios de los noventa en virus como POGUE y COFFEESHOP. Este Motor de Mutación fue el primer Polimorfo real que se usó a nivel masivo y cambió para siempre la forma en que funcionan los virus.

No hay comentarios:

Publicar un comentario