Archive for the ‘malware’ Category

SOPORTE Y ASISTENCIA TÉCNICA REMOTA ESPECIALIZADA

SOPORTE Y ASISTENCIA TÉCNICA REMOTA ESPECIALIZADA

Virus Informáticos Famosos

Para todos los que usamos la red de redes y estamos sentados en un ordenador bien sea windows, linux, mac, etc por nuestro trabajo por jobby o cualquier tarea que hagamos es bueno saber y tener presente lo que representan los virus en nuestro Pc, pero este no es con esa finalidad sino de darle un vistazo a los más famosos malwares de la historia….

virus-informatico

La siguiente lista fué publica por la compañía Trend Micro la famosa creadora de PC cilin unos de los antivirus más completos que existen…

virus-de-la-historia

1. CREEPER (1971): el primer programa gusano corrió en un equipo DEC 10 bajo el sistema operativo TOPS TEN.

2. ELK CLONER (1985): el primer virus para ordenadores personales, concretamente para los sistemas Apple II. Creado por un estudiante, el virus infectaba el sistema operativo, se copiaba en los discos flexibles y desplegaba uno o dos versos de un poema. El virus no tuvo mucha notoriedad ni provocó grandes preocupaciones, sin embargo, pocos se dieron cuenta de que iniciaría una generación de ciber criminales y, en paralelo, una industria de seguridad de la información.

3. El INTERNET WORM (1985): escrito por una persona de la Universidad Cornell que paralizó Internet.

4. PAKISTANI BRAIN (1988): el primer virus que infectó el PC de IBM y fue escrito por dos hermanos de Pakistán. Este fue el primer virus que recibió amplia cobertura de los medios, aunque los virus ya se conocían en la ciencia ficción.

5. JERUSALEM FAMILY (1990): se contabilizaron casi cincuenta variables de este virus, que se cree salió de la Universidad de Jerusalén.

6. STONED (1989): es el virus que más se propagó en la primera década de los virus. Stoned infectaba el sector de arranque/.mbr que contaba el número de reinicios desde la infección original y mostraba la frase ‘your computer is now stoned’.

7. DARK AVENGER MUTATION ENGINE (1990): fue escrito en 1988, pero se utilizó a principios de los noventa en virus como POGUE y COFFEESHOP. Este Motor de Mutación fue el primer Polimorfo real que se usó a nivel masivo y cambió para siempre la forma en que funcionan los virus.

8. MICHEANGELO (1992): una variante de STONED, con una carga destructiva. El 6 de marzo, este virus borró los primeros 100 sectores de un disco duro, dejándolo inútil. Provocó uno de los primeros pánicos mediáticos alrededor de los virus de equipos informáticos.

9. WORLD CONCEPT (1995): el primer macro virus para Microsoft Word. Word Concept escribía la frase, ‘That’s enough to prove my point’. Inició la segunda era de los virus y fue importante en el sentido de que llevó los virus a un nivel de hackers mucho menos avanzado.

10. CIH/CHERNOBYL (1998): El virus Chernobyl fue el virus más destructivo jamás visto, hasta entonces. Atacando los días 26 de cada mes (dependiendo de la versión involucrada), borraba el disco duro, y eliminaba el flash ROM BIOS de la computadora en cuestión.

11. MELISSA (1999): es el primer virus que se propagó vía correo electrónico y realmente marcó el inicio de la era de los virus de Internet. El devastador virus Melissa combinó virus y gusanos para propagarse e infectar a millones de usuarios. Si bien Melissa no fue destructivo, sí se replicaba y saturaba los buzones de correo a dondequiera que llegaba.

12. LOVEBUG (2001): es el gusano para correo electrónico más popular, motivado únicamente por la ingeniería social. Es un excelente ejemplo de esta técnica, que invitaba a las víctimas a abrir el archivo adjunto con la promesa de una carta de amor. El virus se propagó rápidamente por todo el mundo, provocando fallos en el correo electrónico y pérdidas a las compañías por varios miles de millones de dólares.

13. Code RED (2001): bautizado con el nombre de un popular refresco, este virus de red se propagaba sin necesidad de un correo electrónico o una página web. Localizaba ordenadores vulnerables y los infectaba por sí mismo. Infectó casi 400.000 páginas web.

14. NIMDA (2001): llamado la ‘Navaja Suiza’ de los virus, usaba la saturación del buffer, el correo electrónico, particiones de redes y diez métodos más para entrar a una red.

15. BAGEL/NETSKY (2004): fueron virus diseñados para demostrar una competencia falsa, o una guerra entre sí. Con cientos de versiones cada uno y varias cantidades de nueva tecnología y éxito, estos dos gusanos coparon las noticias virtualmente todo el año.

16. BOTNETS (2004): estos guerreros zombis de Internet ofrecen a los criminales electrónicos una colección infinita de equipos infectados que pueden reconfigurarse en redes para enviar spam, infectar a nuevas personas, robar datos, etc.

17. ZOTOB (2005): este gusano sólo afectó a sistemas Windows 2000 que no estaban actualizados, pero logró dejar operativos a medios importantes, incluyendo la CNN y el New York Times.

18. ROOTKITS (2005): se han convertido en una de las herramientas más populares en el mundo del código malicioso. Se usa para hacer invisible a otros códigos maliciosos alterando el sistema operativo.

19. STORM WORM (2007): el virus pasó por miles de versiones, creando eventualmente la botnet más grande del mundo. En un momento se creyó que más de 15 millones de equipos fueron infectados al mismo tiempo, y que estaban bajo el control de los criminales.

20. ITALIAN JOB (2007): en lugar de una sola pieza de código malicioso, Italian Job fue un ataque coordinado que utilizaba un kit de herramientas pre-empaquetado conocido como MPACK. Corrompió a más de 10.000 sitios web, haciéndolos que implantaran el moderno Data Stealing Malware.

Keyloggers

Quizás el término esté bastante difundido por la red pero nunca está de más conocerlo un poco más……..Comúnmente conocido como capturador o registrador de pulsaciones sobre un teclado o keyboard, de ahí deriva su nombre.

captura-teclas

Esta definición no necesariamente se refiere a un software ya que el Keylogger puede ser también un dispositivo físico,  el   software está diseñado básicamente para testear los programas nuevos que se diseñan para tal fín usados en seguridad en  redes,  donde ocurran pulsaciones de este tipo capturando  todo lo que se pulsa con el teclado y son éstas memorizadas para ser enviadas a través de la red.

Los keyloggers están hechos para registrar la pulsaciones del teclado del usuario, bien desde una aplicación específica o más en general desde todo el sistema. El registro del teclado permite a los usuarios criminales buscar trozos de información en particular que puedan usarse para el robo de identidad generalmente asociado este término al phising.

keylogger_usb

Los keylogger pueden instalarse en su ordenador (Pc) a través de adjuntos de e-mail o más frecuentemente a través de virus y gusanos. También existen sitios web que instalan keyloggers automáticamente en el pc del ususario.

El registro de las pulsaciones se lleva a cabo de dos maneras: por hardware y software.

Hardware

  1. Adaptadores en línea que se intercalan en la conexión del teclado, tienen la ventaja de poder ser instalados inmediatamente. Sin embargo, mientras que pueden ser eventualmente inadvertidos se detectan fácilmente con una revisión visual detallada.
  2. Dispositivos que se pueden instalar dentro de los teclados estándares, requiere de habilidad para soldar y de tener acceso al teclado que se modificará. No son detectables a menos que se abra el cuerpo del teclado.
  3. Teclados reales del reemplazo que contienen el Keylogger ya integrado. Son virtualmente imperceptibles, a menos que se les busque específicamente.

Software

  1. Basado en núcleo: Este método es el más difícil de escribir, y combatir. Tales keyloggers residen en el nivel del núcleo y son así prácticamente invisibles. Derriban el núcleo del OS y tienen casi siempre el acceso autorizado al hardware que los hace de gran alcance. Un keylogger que usa este método puede actuar como conductor del teclado por ejemplo, y accede así a cualquier información mecanografiada en el teclado mientras que va al sistema operativo.
  2. Enganchados: Tales keyloggers enganchan el teclado con las funciones proporcionadas por el sistema operativo. El sistema operativo los activa en cualquier momento en que se presiona una tecla y realiza el registro.
  3. Métodos creativos: Aquí el programador utiliza funciones como GetAsyncKeyState, GetForegroundWindow, etc. Éstos son los más fáciles de escribir, pero como requieren la revisión el estado de cada tecla varias veces por segundo, pueden causar un aumento sensible en uso de la CPU y pueden ocasionalmente dejar escapar algunas pulsaciones de teclas.

Fuente original del artículo: http://es.wikipedia.org/wiki/Keylogger

teclado-vulnerado

Cómo evitar un Keylogger

Evitar un keylogger no es tarea fácil sobretodo si usas windows, ya que este pequeño programa se oculta de tal manera que es casi indetectable para usuarios normales.

Lo ideal es estar preparado para lo peor si usas un sistema win, debido a las muchas vulnerabilidades del mismo y a la poca eficacia en la protección de su sistema de archivo. Mientras más programas uses para estar protegido ante cualquier ataque más procesos usará tu pc y más lenta ésta se tornará.

La más útil y mejor medida anti keylogger es tener una contraseña lo más robusta posible…es decir una contraseña de máxima seguridad, de dificil compresión y de alto nivel de  encriptación.

Para usuarios no avanzados es recomendado tener la siguiente lista de programas aunque a mí juicio particular lo considero poco eficiente tener tantos porgramas instalados en un ordenador para estar seguro y en lo menos esperado te infectas con el antivirus más actualizado de la fecha, ha ha ha son cosas que pasan y son inevitables por eso lo digo.

Antivirus actualizado sin consume menos recursos mejor para ustedes

Antispyware actualizado son muy útiles particularmente en windows es lo único que uso 😛

Fireware: nunca me ha gustado recomandar los cortafuegos debido a los desastres que este tipo de programas provocan en usuarios inexpertos y a veces en usuarios avanzados, ya que este tipo de programa tienden a bloquear cualquier cantidad de aplicaciones si no se le da la correcta configuración por supuesto sólo hago incapié en los cortafuegos más complejos.

Monitor de puertos nunca está de más ver que puertos compartimos y cuales están open o close.

Antitroyano recomiendo uno muy bueno Trojan hunter…

-Y como no podia faltar su contraparte este el antikeylogger.

anti-keyloggerelite33

Particularmente recomiendo tener el registro de windows siempre limpio y tener back up de las claves más importantes y por supuesto tener toda su data bien encriptada.

Nota curiosa: La mayoría de los keyloggers pueden ser engañados, ya sea mediante mecanografiar las credenciales de la conexión o mecanografiar caracteres en alguna parte en la ventana del foco. De la misma manera, uno puede mover su cursor usando el ratón y usar el teclado, haciendo que los golpes del teclado registrados estén en el orden incorrecto.

Artículo completo en: http://es.wikipedia.org/wiki/Keylogger


Programas extras para detección de keyloggers: snoopfree, trojan hunter…

Agujeros de Seguridad

Agujeros de seguridad físicos


Cuando el problema potencial, es debido al hecho de dar a personas, sin autorización, acceso físico a la máquina, siempre que esto les permita realizar cosas que no deberían ser capaces de hacer.

agujero-negro

Un buen ejemplo podría ser una sala pública, con estaciones de trabajo, donde sería facilísimo reinicializar una máquina en modo mono-usuario y trastear con los archivos de la estación de trabajo, si no se hubieran tomado precauciones.

Otro ejemplo sería la necesidad de restringir el acceso a cintas backup confidenciales, que de otro modo podrían ser leídas por cualquier usuario que disponga de una unidad lectora, independientemente de que tenga o no permiso.


Agujeros de Seguridad en el Software.


Es cuando el problema está causado por una mala escritura de partes “privilegiadas” de software (daemons, cronjobs) que pueden estar comprometidos a realizar tareas que no deberían.

El ejemplo más famoso sería el bug del sendmail que podía permitir a un cracker pillar una shell root, pudiéndolo utilizar para borrar archivos, crear nuevas cuentas, copiar el fichero de passwords….. cualquier cosa.

Nota: Contrariamente a lo que la gente piensa, los ataques vía sendmail no estaban sólo restringidos al infame “Gusano de Internet” (Internet Worm) – cualquier cracker podía hacer esto Telneteando al puerto 25 de la víctima.


Nuevos agujeros como este aparecen todos los días, los mejores métodos para prevenirlos son:

Tratar de estructurar el sistema de forma que el menor software posible con privilegios root/daemon/bin corra en la máquina, y que el que lo haga sea robusto con toda seguridad.

Suscribirse a listas de correo para poder tener lo antes posible información con detalles acerca de problemas y/o parches, y actuar en cuanto esté disponible.

Cuando se instala/actualiza un sistema, tratar de instalar/habilitar solo aquellos paquetes de software cuya necesidad sea inmediata o previsible. Muchos paquetes incluyen daemons o utilidades que pueden revelar información a extraños. Por ejemplo, el paquete de contabilidad del Unix System V de AT&T incluye acctcom(1), que podría permitir (por omisión) a cualquier usuario el revisar los datos de las cuentas diarias de cualquier otro usuario. Muchos paquetes TCP/IP instalan/cargan automáticamente programas tales como rwhod, fingerd, y (ocasionalmente) tftpd, pudiendo todos ellos presentar problemas de seguridad.

Una administración cuidadosa del sistema es la solución. Muchos de estos programas son inicializados/iniciados en el arranque; sería deseable cambiar los scripts de arranque (normalmente en los directorios /etc, /etc/rc, /etc/rcX.d) para prevenir su ejecución y eliminar algunas utilidades que no se vayan a utilizar, bastando (en algunos casos) un simple chmod(1) puede prevenir el acceso de usuarios no autorizados

Resumiendo, no confíes en los scripts/programas de instalación! Tales utilidades tienden a instalar/cargar todo lo que hay en el paquete sin pedir confirmación. Muchos manuales de instalación incluyen listas de “los programas incluidos en este paquete”; asegúrate de revisarlo.


Agujeros de Seguridad por Incompatibilidades.


Se da cuando, por falta de experiencia, o por descuido, el administrador del sistema hace funcionar software sobre un hardware para el que no está optimizado, dando lugar a posibles resultados inesperado y fallos que pueden dañar seriamente la seguridad del sistema. Es la incompatibilidad entre software y hardware la que crea agujeros de seguridad.

Problemas como este son muy difíciles de encontrar una vez que el sistema esta montado y funcionando, de manera que es muy conveniente el leer atentamente la documentación del software y del hardware que se va a montar (o que pretendemos atacar) y estar muy atento a cualquier noticia o actualización.


Elección y Mantenimiento de Filosofía de Seguridad


El cuarto problema de seguridad es el de la percepción y el entendimiento. Software perfecto, hardware protegido, y componentes compatibles no funcionan a menos que se haya elegido una política de seguridad correcta y que se hayan puesto en marcha las partes del sistema que la refuerzan.

Tener el mejor mecanismo de password del mundo es inútil si los usuarios creen que la última parte del nombre de su login es un buen password! La seguridad esta relacionada con una política (o conjunto de políticas/normas) y el funcionamiento del sistema conforme a dicha política.

Tienes un Grayware . . . ?

¿   Que son los Graywares   ?

“Grayware” es un término relativamente nuevo que comienza a aparecer en las pantallas de radar de los profesionales de informática y de seguridad. Muchos usuarios finales sólo conocen vagamente acerca del “Grayware” y su impacto potencial en sus computadoras.

grayware


“Grayware” es un término que abarca un amplio rango de programas que son instalados en la computadora de un usuario para dar seguimiento o reportar cierta información a un tercero. Estas aplicaciones son usualmente instaladas y “corren” sin autorización alguna  del usuario de la PC.

Todas las aplicaciones que provocan estos comportamientos molestos, no deseados o imprevistos de los programas que se ejecutan normalmentee nuestra pc son asociados a este término.

Los grayware no poseen las mismas capacidades de reproducción que los virus sin embargo se pueden contagiar con estos elementos muy fácilmente desde redes de intercambio de programas P2P, correos electrónicos que lo adjunten y páginas hostiles que descargan este tipo de código malicioso.

mystery-shopper1Cito desde Wikipedia:

Grayware (o greyware) es un término general que se utiliza a veces como una clasificación para las aplicaciones que se comportan de una manera que sea molesto o indeseable y, sin embargo, menos graves o molestos que los programas maliciosos. Grayware abarca spyware, adware, dialers, programas de broma, herramientas de acceso remoto, y cualquier otro archivo inoportunos  y programas, aparte de los virus que están diseñados para dañar el desempeño de las computadoras en su red. El término ha sido utilizado desde al menos en septiembre del 2004.

Clasificación


A diferencia del malware, el grayware no está clasificado dentro de la categoría de amenazas más importantes. El grayware no afecta a las operaciones básicas del sistema.

espias-usuarios-pc-np

Clasificación de malwares o programas malignos


AdwareDialerExploitGraywareGusanoGusano de internetHijackerLadilla virtualRansomware (criptovirus) • RiskwareRootkitScumwareSpywareTroyanoVirus

Lo que más tiene en común el software clasificado como grayware es la actividad de recopilación de información sobre el comportamiento del usuario. Estos datos se venden posteriormente o se utiliza para mostrar anuncios específicos según los hábitos del usuario.


Síntomas, causas y posibles soluciones a los Graywares


Suelen afectar el rendimiento de la computadora. También a menudo los grayware suelen realizar acciones que son molestas para los usuarios, como ventanas pop-up con publicidad, entre otras.

virus-stop-np

  • El desempeño de su computador en bajo.
  • Su computador desplega ventanas molestas de anuncios pop-ups cuando no está conectada a internet o cuando el navegador no está “corriendo”
  • La página de inicio de su navegador se cambió sin que usted lo solicitara. Si usted cambia a la página de inicio que usted desea, esta se vuelve a cambiar a otro sitio Web.
  • La barra de búsqueda del navegador fue cambiada. Por ejemplo si usted usa Google como su buscador preferido, le aparece en su navegador otro sitio de búsqueda distinto a Google.
  • Su programa de Antivirus, Anti-spyware u otros programas de seguridad dejan de trabajar.
  • Reducción del rendimiento de la computadora
  • Incremento de los cuelgues en aplicaciones y errores fatales
  • Reducen la eficiencia del usuario
  • Degradan el ancho de banda de la red o de internet
  • Pueden producir pérdida de información
  • Pérdida de privacidad del usuario que emplea la computadora infectada.


Causas

  • “Bajar” software de internet o archivos de redes peer to peer como kazaa.
  • Abrir correos electrónicos infectados.
  • Hacer clic sobre un anuncio tipo pop-up

Recomendaciones

  • Educación del usuario final. Como todas las amenazas provenientes de internet, se debe iniciar con el desarrollo, comunicación y cumplimiento de para guiar el comportamiento del usuario. Esto puede ser tan simple como educar a los empleados acerca del peligro del “Grayware” y establecer políticas que prohíban hacer downloads de internet e instalar aplicaciones que no son aprobadas por la compañía.
  • Programas anti-spyware. Existen en el mercado programas especializados que detectan, remueven y bloquean “spyware”. El problema con estas aplicaciones es que introducen en el computador más uso de recursos como memoria y CPU, lo que puede impactar el desempeño de la misma.
  • Gateways Anti-Grayware. Estos nuevos dispositivos instalados en lo que se conoce como el “perímetro” o en esa frontera que representa la conexión de la red de una empresa al internet público. Estos equipos identifican, alertan y bloquean el “Grayware” antes de que la red interna sea infectada, logrando que los usuarios finales estén protegidos.