INFO SOBRE VIRUS Y MALWARES
+4
»}ê|S|ä{«Tangueta{G3}
»}ê|S|ä{«Adin»{GM}
»}e|S|a{«Pesadilla{E}
«Arte
8 participantes
Página 1 de 1.
INFO SOBRE VIRUS Y MALWARES
por «Arte Vie Ago 17, 2012 11:20 pm
Gusanos de red
Todo el mundo ha oido hablar de los gusanos infomáticos
Los gusanos pueden ser clasificados de acuerdo con el método de propagación que usan, es decir, por el modo en que se copian a los equipos de las nueva víctimas. Los gusanos pueden también ser clasificados por su método de instalación, de ejecución o de acuerdo a las características comunes a todos los programas maliciosos: polimorfismo, invisibilidad, etc.
Muchos de los gusanos capaces de causar brotes virulentos usan uno o más metodos de propagación y técnicas de infección. Estos métodos son listados a continuación:
* Gusanos de correo electrónico
* Gusanos de sistemas de mensajes instantáneos
* Gusanos de Internet
* Gusanos de IRC
* Gusanos de redes de intercambio de archivos
* Gusanos de correo electrónico
Los gusanos de correo electrónico se propagan por medio de mensajes infectados. El gusano puede estar en forma de archivo adjunto o contener un enlace a un sitio web infectado. Sin embargo, en ambos casos el vehículo es el mensaje de correo electrónico.
En el primer caso, el gusano se activa cuando el usuario abre los datos adjuntos. En el segundo caso, el gusano se activa cuando el usuario sigue el enlace que lleva al sitio infectado.
Los gusanos de correo electrónico por lo general usan uno de los siguientes métodos para propagarse:
*Conexión directa a los servidores SMTP usando una biblioteca SMTP API contenida en el gusano
*Servicios de MS Outlook
*Funciones MAPI de Windows
Los gusanos de correo electrónico recolectan direcciones en los equipos de las víctimas para seguir propagándose. Los gusanos usan una o más de las siguientes técnicas:
*Escanear la libreta de direcciones locales de MS Outlook
*Escanear la base de datos WAB
*Escanear los archivos que pueden contener direcciones de correo electrónico
*Enviar copias de sí mismo a todos los mensajes del buzón postal del usuario (los gusanos incluso pueden "responder" a mensajes que el usuario todavía no ha abierto)
Mientras estas son las técnicas más usadas, algunos gusanos son capaces hasta de construir nuevas direcciones usando listas de posibles nombres combinadas con nombres de dominio comunes.
* Gusanos de sistemas de mensajes instantáneos (ICQ y MSN)
Estos gusanos tienen sólo un método de propagación. Se propagan por medio de sistemas de mensajes instantáneos, enviando a todos los contactos locales enlaces a sitios web infectados. La única diferencia entre estos virus y los de correo electrónico, es la forma en que envían los enlaces.
* Gusanos de Internet
Los autores de virus usan otras técnicas para distribuir gusanos de ordenador, incluyendo:
* Copiar el gusano a los recursos de red compartidos
* Explotar las vulnerabilidades de los sistemas operativos para penetrar a los ordenadores o a las redes
* Penetrar las redes públicas
* Piggy-backing: usar otros programas maliciosos en calidad de portador del gusano
En el primer caso, el gusano localiza equipos remotos y se copia a sí mismo en los directorios que están abiertos a operaciones de lectura y escritura. Estos gusanos de red escanean todos los recursos de red disponibles, usando los servicios locales de los sistemas operativos y escaneando Internet en búsqueda de equipos vulnerables. A continuación, intentan conectarse a esos equipos y obtener acceso ilimitado a los mismos.
En el segundo caso, los gusanos escanean Internet buscando equipos que no han sido parchados, es decir, cuyos sistemas operativos contienen vulnerabilidades críticas aún abiertas. El gusano envía paquetes de datos o solicitudes que pueden instalar el gusano completo o una sección de su código fuente que contiene funciones de downloader. Si este código se instala con éxito, el gusano completo es posteriormente cargado. En ambos casos, una vez que el gusano se instala, empieza a ejecutar su código y el ciclo continua.
Los gusanos que usan servidores Web y FTP pertenecen a otra categoría. La infección se realiza en dos etapas. Primero, los gusanos penetran a archivos de servicio en el servidor de archivos, por ejemplo, a páginas web estáticas. Después, los gusanos esperan a que los clientes efectuen alguna acción con los archivos infectados y entonces atacan a los equipos individuales. Estos equipos-víctimas son luego usados como plataforma de lanzamiento para realizar nuevos ataques.
"Algunos creadores de virus usan gusanos o troyanos para difundir nuevos gusanos. Inicialmente, estos autores identifican a los troyanos o gusanos que instalaron puertas traseras (backdoors) en los equipos de las víctimas. En la mayoría de los casos, éstas permiten enviar instrucciones al equipo de la víctima.
Los ordenadores zombies que tienen puertas traseras instaladas, pueden usarse para descargar y ejecutar archivos, en este caso, copias de nuevos gusanos."
Muchos gusanos combinan dos o más métodos de propagación para penetrar con más eficiencia los equipos de las víctimas potenciales.
* Gusanos de IRC
Este tipo de gusanos, al igual que los gusanos de correo electrónico, usa dos formas de propagarse por los canales de IRC, similares a las descritas anteriormente. La primera es enviar un enlace que lleve a un sitio infectado. La segunda, enviar archivos infectados, es menos efectiva, ya que el destinatario tiene que confirmar la recepción, guardar el archivo y abrirlo para que el gusano penetre al equipo de la víctima.
* Gusanos de redes de intercambio de archivos (File-sharing o P2P)
Estos gusanos se copian a sí mismos en una carpeta compartida, por lo general ubicada en el equipo local. Una vez que el gusano ha logrado poner una copia de sí mismo en una carpeta compartida bajo un nombre aparentemente inofensivo, la red P2P empieza a funcionar: informa a los otros usuarios acerca del nuevo recurso y proporciona la infraestructura para cargar y ejecutar el archivo infectado.
Otros gusanos de P2P más complejos imitan el protocolo de red de redes específicas: responden afirmativamente a todas las solicitudes y "ofrecen" el gusano a todos los usuarios.
______________________________________________________________________________________________________
Virus clásicos
Los virus informáticos pueden ser clasificados de acuerdo a su entorno y método de infección. El entorno es la aplicación o sistema operativo que cualquier virus necesita para infectar archivos dentro de estos sistemas. Los métodos de infección son técnicas utilizadas para inyectar código de virus en un archivo.
Entorno
La mayoría de los virus puede encontrarse en alguno de los siguientes entornos:
* Sistemas de archivos
* Sectores de arranque
* Entornos macro
* Anfitriones script
Los virus de archivo utilizan el sistema de archivos de un determinado sistema operativo (o de más de uno) para propagarse. Los virus pueden dividirse en las siguientes categorías:
* Virus que infectan archivos ejecutable (este es el grupo más grande de virus de archivo)
* Virus que crean duplicados de archivos (virus acompañantes)
* Virus que crean copias de sí mismos en varios directorios
* Virus que utilizan características de los sistemas de archivos (virus de vínculo)
Los virus de sector de arranque se escriben a sí mismos ya sea en el sector de arranque o en el registro de inicio maestro, o reemplazan el sector de arranque activo. Estos virus fueron difundidos en los 1990s, pero casi han desaparecido desde la introducción de los procesadores de 32-bit como estándar y la disminución de los discos flexibles. Aunque es técnicamente posible escribir virus de sector de arranque para CDs y USB flash ROMs, aún no se han detectado tales virus.
Muchos procesadores de texto, aplicaciones contables, de edición y proyectos tienen scripts macros incorporados que automatizan secuencias utilizadas con frecuencia. Estos lenguajes macro a menudo son complejos e incluyen una gran variedad de instrucciones. Los virus macro se escriben en lenguajes macro e infectan aplicaciones con macros incorporados. Los virus macro se propagan aprovechando las propiedades del lenguaje macro a fin de transferirse desde un archivo infectado a otro archivo.
Métodos de Infección
Los grupos de virus enumerados arriba se pueden subdividir de acuerdo a la técnica que un virus utiliza para infectar objetos.
Virus de archivo
Los virus de archivos utilizan los siguientes métodos de infección:
* Sobreescritura
* Parasítico
* Acompañante
* Vínculos
* Módulos de objeto (OBJ, por las siglas en inglés de object modules)
* Librerías de compilación (LIB)
* Código fuente de aplicación
Sobreescritura
Este es el método de infección más simple: El virus reemplaza al código del archivo infectado con el suyo propio, borrando el código original. El archivo se vuelve inservible y no puede ser restaurado. Estos virus son de fácil detección debido a que el sistema operativo y las aplicaciones afectadas dejarán de funcionar poco después de la infección.
Parasítico
Los virus parasíticos modifican el código del archivo infectado. El archivo infectado permanece parcial o totalmente funcional.
Los virus parasíticos están agrupados de acuerdo a la sección del archivo en la que escriben su código:
* Anexado al comienzo: el código malicioso es escrito al comienzo del archivo
* Anexado al final: el código malicioso es escrito al final del archivo
* Inserto: el código malicioso es insertado a la mitad del archivo
Los virus de archivo insertos utilizan una variedad de métodos para escribir código en el medio del archivo: o mueven partes del archivo original al final, o copian su propio código en las secciones vacías del archivo objetivo. Éstos son denominados a veces virus de cavidad.
Virus anexados al comienzo
Los virus anexados al comienzo escriben su código para apuntar a archivos de dos formas. En el primer escenario, el virus mueve el código del comienzo del archivo objetivo al final y escriben su propio código en este espacio. En el segundo escenario el virus adiciona el código del archivo objetivo a su propio código.
En ambos casos, cada vez que el archivo infectado es ejecutado, el código del virus se ejecuta primero. A fin de mantener la integridad de la aplicación, puede que el virus limpie el archivo infectado, lo vuelva a ejecutar, espera a que el archivo se ejecute y una vez que se termine este proceso, el virus se copiará a sí mismo nuevamente al inicio del archivo. Algunos virus utilizan archivos temporales para almacenar versiones limpias de los archivos infectados. Algunos virus restaurarán el código de la aplicación en la memoria y reiniciarán las direcciones necesarias en el cuerpo, duplicando de este modo el trabajo del sistema operativo.
Virus anexados al final
La mayoría de los virus caen en esta categoría. Los virus anexados al final se escriben a sí mismo al final de los archivos infectados. Sin embargo, estos virus por lo general modifican los archivos (cambian el punto de entrada en el encabezado del archivo) para asegurarse de que los instrucciones contenidos en el código del virus sean ejecutados antes que los instrucciones de objeto infectados.
Virus insertados
Los creadores de virus utilizan una variedad de métodos para insertar virus en la mitad del archivo. Los métodos más simples son mover parte del código del archivo al final del archivo o hacer el código original a un lado para crear un espacio para el virus.
Los virus insertos incluyen los llamados virus de cavidad; éstos escriben su código en las secciones de los archivos que se sabe que están vacías. Por ejemplo, los virus de cavidad pueden copiarse a sí mismos en las partes no utilizadas de encabezados de archivos exe, en los vacíos que se encuentran entre secciones de archivos exe o en áreas de texto de compiladores conocidos. Algunos virus de cavidad sólo infectarán archivos donde un determinado bloque contenga cierto byte; el bloque elegido será sobrescrito con el código del virus.
Por último, algunos virus insertos están mal escritos y simplemente sobrescriben secciones de código que son esenciales para que el archivo infectado funcione. Esto causa que el archivo quede corrompido de forma irrevocable.
Virus que ocultan su punto de entrada (Entry point obscuring - EPOs)
Existe un pequeño grupo de virus parasíticos que incluyen tanto virus anexos al comienzo y al final que no modifican la dirección del punto de entrada en los encabezados de los archivos ejecutables. Los virus EPO escriben el punteo de rutina en el cuerpo del virus, en el medio del archivo infectado. El código del virus se ejecuta entonces solamente si se llama a la rutina que contiene el virus ejecutable. Si esta rutina se utiliza rara vez, (ej., una notificación de error poco común) un virus EPO puede permanecer inactivo por mucho tiempo.
Los creadores de virus necesitan escoger el punto de entrada con cuidado: un punto de entrada mal escogido puede, corromper el archivo anfitrión o causar que el virus permanezca inactivo el tiempo suficiente como para ser borrado.
Los creadores de virus utilizan distintos métodos para encontrar puntos de entrada útiles:
* Buscar marcos y sobrescribirlos con el punto de inicio infectado
* Desmantelar el código del archivo anfitrión
* O cambiar las direcciones de las funciones de importación
Virus acompañantes
Los virus acompañantes no modifican al archivo anfitrión. En su lugar, crean un archivo duplicado que contiene el virus. Cuando se ejecuta el archivo infectado, la copia que contiene el virus se ejecutará primero.
En esta categoría se incluyen virus que cambian de nombre al archivo anfitrión, graban el nuevo nombre para futuras referencias y después sobrescriben el archivo original. Por ejemplo, un virus podría cambiar el nombre de notepad.exe a notepad.exd y escribir su propio código al archivo con el nombre original. Cada vez que el usuario de la máquina víctima ejecute notepad.exe, se ejecutará el código del virus, ejecutándose posteriormente el archivo original Notepad, notepad.exd.
Existen otros tipos de virus acompañantes que utilizan técnicas de infección originales o aprovechan vulnerabilidades en sistemas operativos específicos. Por ejemplo los virus acompañantes de ruta colocan sus copias en el directorio del sistema Windows, aprovechando el hecho de que este directorio está de primero en la lista de RUTAS; el sistema comenzará desde este directorio cuando ejecuta Windows. Muchos gusanos y troyanos contemporáneos utilizan tales técnicas de auto ejecución.
Otras técnicas de infección
Algunos virus no utilizan archivos ejecutables para infectar un ordenador, sino que simplemente se copian a sí mismos a un rango de carpetas con la esperanza de que tarde o temprano sean ejecutados por el usuario. Algunos creadores de virus nombran a sus virus como install.exe o winstart.bat para persuadir al usuario a ejecutar el archivo que contiene el virus.
Otros virus se copian a sí mismos en archivos comprimidos tales como ARJ, ZIP y RAR, mientras que otros escriben el instrucción para ejecutar un archivo infectado en un archivo BAT.
Los virus de vínculo tampoco modifican los archivos anfitriones. Sin embargo, obligan al sistema operativo a ejecutar el código del virus, modificando los campos apropiados en el sistema de archivos.
Virus de sector de arranque
Los virus de arranque son conocidos por infectar el sector de arranque de los discos flexibles y el sector de arranque del sector de arranque principal (MBR, por sus siglas en inglés, Master Boot Record) del disco duro. Los virus de arranque actúan sobre la base de algoritmos utilizados para iniciar el sistema operativo cuando el ordenador se enciende o es reiniciado. Una vez que los chequeos de memoria, discos, etc. han concluido, el programa de inicio del sistema lee/ busca el primer sector físico del disco de inicio (A:, C: o el CD-ROM, dependiendo de los parámetros configurados/ instalados en la configuración BIOS y le pasa el control a este sector.
Al infectar un disco, los virus de inicio sustituyen el código por el de un programa que adquiere control cuando se inicia el sistema. A fin de infectar al sistema, el virus obligará al sistema a leer la memoria y entregar el control, no al programa de inicio original, sino al código del virus.
Los discos flexibles solamente pueden ser infectados de una forma. El virus escribe su código en lugar del código original del sector de arranque del disco. Los discos duros pueden ser infectados de tres formas: el virus escribe su código en lugar del código MBR; el código del sector de arranque del disco de inicio o modifica la dirección del sector de libros activos en la tabla de partición del disco, en el MBR del disco duro.
En la amplia mayoría de los casos, al infectar un disco, el virus moverá el sector de arranque original (o MBR) a otro sector del disco, a menudo el primero que encuentre vacío. Si el virus es más largo que el sector, entonces el sector infectado contendrá la primera parte del código del virus y el remanente del código será colocado en otros sectores, por lo general los tres primeros.
Virus macro
Los virus macro más difundidos son para las aplicaciones de Microsoft Office (Word, Excel y PowerPoint) las cuales guardan información en formato OLE2 (Enlace e Incrustación de Objetos, en inglés Object Linking and Embedding). Los virus para otras aplicaciones son relativamente poco comunes.
La ubicación real de un virus con un archivo de MS Office depende del formato de archivo, el cual en el caso de los productos Microsoft es extremadamente complejo. Todos los documentos de WORD, Office 97 o tabla de Excel están compuestos de una secuencia de bloques de datos (cada uno de los cuales tiene su propio formato) que son unidos/ enlazados/ unidos por datos de servicio. Debido a la complejidad de los archivos de Word, Excel y Office 97, es más fácil utilizar un diagrama para mostrar la ubicación de un virus macro en tales tipos de archivo:
1-Archivo de documento o tabla sin infectar 2-Archivo de documento o tabla infectado
1-Encabezado del archivo
1-Datos de servicios (directorios, FAT)
1-Texto
1-Fuentes
1-Macros (si los hay)
1-Otros datos
2-Encabezado del archivo
2-Datos de servicios (directorios, FAT)
2-Texto
2-Fuentes
2-Macros (si los hay)
2-Macros de virus
2-Otros datos
Al trabajar con documentos y tablas, MS Office realiza varias acciones diferentes: la aplicación abre el documento, lo salva, lo imprime, lo cierra, etc. MS Word buscará y ejecutará/lanzará los macros incorporados apropiados. Por ejemplo, utilizando el instrucción Archivo/Guardar llamará al macro ArchivoGuardar, el instrucción Archivo/Guardarcomo llamará al macro ArchivoGuardarcomo, y así sucesivamente, siempre asumiendo que tales macros estén definidos/ configurados.
También existen auto macros, que serán llamados automáticamente en determinadas situaciones. Por ejemplo, cuando se abre un documento, MS Word comprobará la presencia del macro AutoAbrir en el documento. Si se encuentra el macro, Word lo ejecutará. Cuando un documento está cerrado, Word ejecutará el macro de AutoCierre, cuando Word sea iniciado, la aplicación ejecutará el Macro AutoEjec, etc. Estos macros son ejecutados de forma automática, sin ninguna acción por parte del usuario, así como los macros/ funciones que están asociados ya sea por una clave particular, o con un tiempo o fecha específico.
Como regla, los virus macro que infectan los archivos MS Office utilizan una de las técnicas antes descritas. El virus contendrá un auto macro (función automática); uno de los macros estándares del sistema (asociado con un ítem del menú) será redefinido; o, el virus macro será llamado de forma automática al apretarse una determinada tecla o combinación de teclas. Una vez que el virus macro hubiera adquirido el control, transferirá su código a otros archivos, usualmente los que estén siendo editados en el momento. En menos ocasiones, los virus buscarán en los discos otros archivos.
Virus de Script
Los virus script son un subgrupo de virus de archivo, escritos en una variedad de lenguajes script (VBS, JavaScript, BAT, PHP, etc.). Ellos infectan otros scripts, ej. archivos de instrucción y servicios de Windows o Linux, o forman parte de virus multi-componentes. Los virus script pueden infectar otros formatos de archivo, tales como HTML, si el formato de archivo permite la ejecución de scripts.
Al trabajar con documentos y tablas, MS Office realiza varias acciones diferentes: la aplicación abre el documento, lo salva, lo imprime, lo cierra, etc. MS Word buscará y ejecutará/lanzará los macros incorporados apropiados. Por ejemplo, utilizando el instrucción Archivo/Guardar llamará al macro ArchivoGuardar, el instrucción Archivo/Guardarcomo llamará al macro ArchivoGuardarcomo, y así sucesivamente, siempre asumiendo que tales macros estén definidos/ configurados.
También existen auto macros, que serán llamados automáticamente en determinadas situaciones. Por ejemplo, cuando se abre un documento, MS Word comprobará la presencia del macro AutoAbrir en el documento. Si se encuentra el macro, Word lo ejecutará. Cuando un documento está cerrado, Word ejecutará el macro de AutoCierre, cuando Word sea iniciado, la aplicación ejecutará el Macro AutoEjec, etc. Estos macros son ejecutados de forma automática, sin ninguna acción por parte del usuario, así como los macros/ funciones que están asociados ya sea por una clave particular, o con un tiempo o fecha específico.
Como regla, los virus macro que infectan los archivos MS Office utilizan una de las técnicas antes descritas. El virus contendrá un auto macro (función automática); uno de los macros estándares del sistema (asociado con un ítem del menú) será redefinido; o, el virus macro será llamado de forma automática al apretarse una determinada tecla o combinación de teclas. Una vez que el virus macro hubiera adquirido el control, transferirá su código a otros archivos, usualmente los que estén siendo editados en el momento. En menos ocasiones, los virus buscarán en los discos otros archivos.
______________________________________________________________________________________________________
Programas troyanos (Caballos de Troya)
Los troyanos se clasifican según las acciones que efectuan en los equipos de las víctimas.
* Puertas traseras (Backdoors)
* Troyanos en general
* Troyanos que roban contraseñas
* Clickers troyanos
* Descargadores troyanos (Downloaders)
* Droppers troyanos
* Proxies troyanos
* Espias troyanos
* Notificadores troyanos
* "Bombas" para compresores de archivos (ArcBombs)
* Rootkits
Puertas traseras (Backdoors)
Hoy en día, las puertas traseras son el tipo de troyanos más peligroso y difundido. Estos troyanos son utilitarios de administración remota que someten los equipos infectados a un control externo por medio de la red local o Internet. Su forma de funcionamiento es similar a la de los programas de administración remota (a distancia) usados por los administradores de sistemas. Esto hace que sea dificil detectarlos.
La única diferencia entre una herramienta de administración legal y una puerta trasera es que éstas se instalan sin que el usuario lo sepa y sin su consentimiento. Cuando la puerta trasera es ejecutada, empieza a monitorear el sistema local sin que el usuario lo note. Con frecuencia la puerta trasera no figura en el log de los programas activos.
Una vez que un utilitario de administración a distancia se instala y ejecuta, el equipo de la víctima queda a disposición del agresor. Las puertas traseras pueden:
* Enviar y recibir archivos
* Activar y eliminar archivos
* Ejecutar archivos
* Mostrar notificaciones
* Borrar datos
* Reiniciar el ordenador
En otras palabras, los autores de virus usan las puertas traseras para detectar y bajar información confidencial, ejecutar código malicioso, destruir datos, incluir el ordenador en redes bot, etc. En resumen, las puertas traseras combinan la funcionalidad de la mayoría de tipos de troyanos en un solo paquete.
La puertas traseras tienen una subclase particularmente peligrosa: las variantes que pueden propagarse como gusanos. La única diferencia es que los gusanos están programados para propagarse constantemente, en tanto que las puertas traseras móviles se propagan unicamente al recibir una instrucción específica de su "amo".
Troyanos en general
Esta amplia categoría incluye una gran variedad de troyanos que causan daños a los equipos de las víctimas, amenazan la integridad de sus datos o perjudican el funcionamiento del equipo de la víctima.
Los troyanos multifuncionales también se incluyen en este grupo, ya que algunos creadores de virus prefieren crear troyanos multifuncionales antes que paquetes de troyanos.
Troyanos que roban contraseñas
Esta familia de troyanos se dedica a robar contraseñas, por lo general, las contraseñas para entrar al sistema de los equipos de las víctimas. Estos troyanos buscan los archivos del sistema que contienen información confidencial tales como contraseñas y números de acceso a Internet para luego enviar esta información a una dirección de correo elctrónico contenida en el cuerpo del troyano. La información secuestrada será usada por el "amo" o usuario del programa ilegal.
Algunos troyanos pueden robar otro tipo de información:
* Detalles de la configuración del sistema (memoria, espacio libre, detalles del sistema operativo)
* Detalles del cliente de correo electrónico
* Direcciones IP
* Detalles de inscripción
* Contraseñas de juegos en línea
Los troyanos AOL son ladrones de contraseñas de America Online. Los hemos puesto en subgrupos porque son demasiado numerosos.
Clickers troyanos
Esta familia de troyanos remite los equipos de las víctimas a determinados sitios web o recursos de Internet. Los clickers también envían a los navegadores determinadas instrucciones o reemplazan los archivos del sistema dónde se guardan las direcciones de Internet (por ejemplo, los archivos "hosts" en MS Windows.
Los clickers suelen usarse para:
* Elevar la posición de determinados sitios en las clasificaciones con objetivos publicitarios
* Organizar ataques DoS contra el servidor o sitio especificado
* Para conducir a la víctima hacia un recurso infectado, donde será atacada por otros programas maliciosos (virus o troyanos).
Descargadores troyanos (Downloaders)
Esta familia de troyanos descarga e instala nuevos programas maliciosos o publicitarios en el equipo de la víctima. Luego el downloader ejecuta los nuevos programas maliciosos o los registra para ser ejecutados automáticamente, de conformidad con las exigencias del sistema operativo local. Todo esto se hace sin que el usuario se dé cuenta y sin su consentimiento.
Los nombres y las ubicaciones de los programas maliciosos a bajar se incrustan en el troyano o se bajan desde determinados sitios web o Internet.
Droppers troyanos
Se utilizan para instalar otros programas maliciosos en los equipos de las víctimas sin que el usuario se dé cuenta. Los droppers instalan su carga útil sin mostrar ninguna notificación o bien mostrando un mensaje falso sobre un error en un archivo comprimido o en el sistema operativo. El nuevo programa malicioso es dejado en una ubicación específica o en un disco local para luego ser ejecutado.
Por lo general los droppers tienen la siguiente estructura:
Archivo principal
contiene la "carga útil" del troyano
File 1
primera carga útil
File 2
segunda carga útil
...
el programador puede incluir todos los archivos que desee
El dropper contiene un código que instala y ejecuta todos los archivos de la carga útil.
En la mayor parte de los casos, la carga útil contiene otros troyanos y por lo menos un hoax o maniobra de distración: chistes, juegos, gráficos o algo por el estilo. El hoax distrae la atención del usuario o pretende probar que la actividad causada por el dropper es inofensiva, pero en realidad sirve para disimular la instalación de la carga útil peligrosa.
Los hackers usan estos programas para alcanzar dos objetivos:
1-Ocultar o disimular la instalación de otros troyanos o virus
2-Engañar a las soluciones antivirus que son incapaces de analizar todos los componentes
Home / Virus / Enciclopedia de virus / Descripciones de los programas maliciosos / Programas troyanos (Caballos de Troya)
Programas troyanos (Caballos de Troya)
Los troyanos se clasifican según las acciones que efectuan en los equipos de las víctimas.
Puertas traseras (Backdoors)
Troyanos en general
Troyanos que roban contraseñas
Clickers troyanos
Decargadores troyanos (Downloaders)
Droppers troyanos
Proxies troyanos
Espias troyanos
Notificadores troyanos
"Bombas" para compresores de archivos (ArcBombs)
Rootkits
Puertas traseras (Backdoors)
Hoy en día, las puertas traseras son el tipo de troyanos más peligroso y difundido. Estos troyanos son utilitarios de administración remota que someten los equipos infectados a un control externo por medio de la red local o Internet. Su forma de funcionamiento es similar a la de los programas de administración remota (a distancia) usados por los administradores de sistemas. Esto hace que sea dificil detectarlos.
La única diferencia entre una herramienta de administración legal y una puerta trasera es que éstas se instalan sin que el usuario lo sepa y sin su consentimiento. Cuando la puerta trasera es ejecutada, empieza a monitorear el sistema local sin que el usuario lo note. Con frecuencia la puerta trasera no figura en el log de los programas activos.
Una vez que un utilitario de administración a distancia se instala y ejecuta, el equipo de la víctima queda a disposición del agresor. Las puertas traseras pueden:
Enviar y recibir archivos
Activar y eliminar archivos
Ejecutar archivos
Mostrar notificaciones
Borrar datos
Reiniciar el ordenador
En otras palabras, los autores de virus usan las puertas traseras para detectar y bajar información confidencial, ejecutar código malicioso, destruir datos, incluir el ordenador en redes bot, etc. En resumen, las puertas traseras combinan la funcionalidad de la mayoría de tipos de troyanos en un solo paquete.
La puertas traseras tienen una subclase particularmente peligrosa: las variantes que pueden propagarse como gusanos. La única diferencia es que los gusanos están programados para propagarse constantemente, en tanto que las puertas traseras móviles se propagan unicamente al recibir una instrucción específica de su "amo".
Troyanos en general
Esta amplia categoría incluye una gran variedad de troyanos que causan daños a los equipos de las víctimas, amenazan la integridad de sus datos o perjudican el funcionamiento del equipo de la víctima.
Los troyanos multifuncionales también se incluyen en este grupo, ya que algunos creadores de virus prefieren crear troyanos multifuncionales antes que paquetes de troyanos.
Troyanos que roban contraseñas
Esta familia de troyanos se dedica a robar contraseñas, por lo general, las contraseñas para entrar al sistema de los equipos de las víctimas. Estos troyanos buscan los archivos del sistema que contienen información confidencial tales como contraseñas y números de acceso a Internet para luego enviar esta información a una dirección de correo elctrónico contenida en el cuerpo del troyano. La información secuestrada será usada por el "amo" o usuario del programa ilegal.
Algunos troyanos pueden robar otro tipo de información:
Detalles de la configuración del sistema (memoria, espacio libre, detalles del sistema operativo)
Detalles del cliente de correo electrónico
Direcciones IP
Detalles de inscripción
Contraseñas de juegos en línea
Los troyanos AOL son ladrones de contraseñas de America Online. Los hemos puesto en subgrupos porque son demasiado numerosos.
Clickers troyanos
Esta familia de troyanos remite los equipos de las víctimas a determinados sitios web o recursos de Internet. Los clickers también envían a los navegadores determinadas instrucciones o reemplazan los archivos del sistema dónde se guardan las direcciones de Internet (por ejemplo, los archivos "hosts" en MS Windows.
Los clickers suelen usarse para:
Elevar la posición de determinados sitios en las clasificaciones con objetivos publicitarios
Organizar ataques DoS contra el servidor o sitio especificado
Para conducir a la víctima hacia un recurso infectado, donde será atacada por otros programas maliciosos (virus o troyanos).
Descargadores troyanos (Downloaders)
Esta familia de troyanos descarga e instala nuevos programas maliciosos o publicitarios en el equipo de la víctima. Luego el downloader ejecuta los nuevos programas maliciosos o los registra para ser ejecutados automáticamente, de conformidad con las exigencias del sistema operativo local. Todo esto se hace sin que el usuario se dé cuenta y sin su consentimiento.
Los nombres y las ubicaciones de los programas maliciosos a bajar se incrustan en el troyano o se bajan desde determinados sitios web o Internet.
Droppers troyanos
Se utilizan para instalar otros programas maliciosos en los equipos de las víctimas sin que el usuario se dé cuenta. Los droppers instalan su carga útil sin mostrar ninguna notificación o bien mostrando un mensaje falso sobre un error en un archivo comprimido o en el sistema operativo. El nuevo programa malicioso es dejado en una ubicación específica o en un disco local para luego ser ejecutado.
Por lo general los droppers tienen la siguiente estructura:
Archivo principal
contiene la "carga útil" del troyano
File 1
primera carga útil
File 2
segunda carga útil
...
el programador puede incluir todos los archivos que desee
El dropper contiene un código que instala y ejecuta todos los archivos de la carga útil.
En la mayor parte de los casos, la carga útil contiene otros troyanos y por lo menos un hoax o maniobra de distración: chistes, juegos, gráficos o algo por el estilo. El hoax distrae la atención del usuario o pretende probar que la actividad causada por el dropper es inofensiva, pero en realidad sirve para disimular la instalación de la carga útil peligrosa.
Los hackers usan estos programas para alcanzar dos objetivos:
Ocultar o disimular la instalación de otros troyanos o virus
Engañar a las soluciones antivirus que son incapaces de analizar todos los componentes
Proxies troyanos
Funcionan como servidores proxy y proporcionan acceso anónimo a Internet desde los equipos de las víctimas. Hoy en día estos troyanos son muy populares entre los spammers que siempre necesitan de equipos adicionales para hacer sus envíos masivos. Los programadores de virus con frecuencia incluyen proxies-troyanos en sus paquetes de troyanos y venden las redes de equipos infectados a los spammers.
Trojan Spies
Esta familia incluye un variedad de programas espías y key loggers, que monitorean la actividad del usuario en el equipo afectado y luego envían esta información a su "amo". Los espías troyanos recolectan varios tipos de información:
>
* Textos introducidos por medio del teclado
* Capturas de pantalla (screenshots)
* Logs de las aplicaciones activas
* Otras acciones de los usuarios
Estos troyanos están siendo cada vez más utilizados para robar información bancaria y financiera que pueda servir de soporte para fraudes en línea.
Notificadores troyanos
Estos troyanos envían informes acerca del equipo infectado a su "amo". Los notificadores confirman que un equipo ha sido infectado y envía información sobre la dirección IP, los puertos abiertos, las direcciones de correo electrónico y otros datos del equipo de la víctima. Esta información se puede enviar por correo electrónico, al sitio web del "amo" o por ICQ.
Por lo general, los notificadores se incluyen en los paquetes troyanos y se usan solamente para informar al "amo" que el troyano ha sido instalado con éxito en el equipo de la víctima.
Rootkits
Un rootkit es una colección de programas usados por un hacker para evitar ser detectados mientras buscan obtener acceso no autorizado a un ordenador. Esto se logra de dos formas: reemplazando archivos o bibliotecas del sistema; o instalando un módulo de kernel. El hacker instala el rootkit después, obteniendo un acceso similar al del usuario: por lo general, crakeando una contraseña o explotando una vulnerabilidad, lo que permite usar otras credenciales hasta conseguir el acceso de raiz o administrador.
A pesar de que el término tiene su origen en el mundo de Unix, ha sido usado para denominar las técnicas utilizados por los autores de troyanos para Windows. El uso de rootkits para enmascarar las actividades de los troyanos está creciendo, ya que muchos de los usuarios de Windows ingresan al sistema con credenciales de administrador.
"Bombas" para compresores de archivos
Estos troyanos son archivos comprimidos programados para sabotear al programa de descompresión cuando éste intente abrir el archivo comprimido infectado. El equipo víctima puede ralentizarse o colapsar cuando la bomba troyana explota, o el disco duro se puede llenar de datos sin sentido. Las ArcBombs representan un especial peligro para los servidores, sobre todo cuando los datos entrantes son procesados de forma automática. En casos como éste, una ArcBomb puede hacer que el servidor colapse.
Hay tres tipos de ArcBombs: los que contienen un encabezamiento incorrecto, datos repetitivos o varios ficheros idénticos en el archivo.
Un encabezamiento incorrecto, o la presencia de datos corruptos pueden causar que el programa de descompresión colapse cuando intente abrir y descomprimir el archivo infectado.
Un archivo grande que contiene datos repetitivos puede ser comprimido en un archivo diminuto: 5 gigabytes pueden convertirse en 200KB si se usa RAR y en 480 KB si se usa ZIP.
Además, existen tecnologías especiales que permiten empaquetar un enorme número de archivos idénticos en un solo fichero sin afectar significativamente el tamaño del archivo en sí mismo: así, es posible empaquetar 10100 archivos idénticos en un archivo RAR de 30 KB o en un ZIP de 230 KB.
Otros programas maliciosos
Esta sección incluye un serie de programas que no afectan directamente a los ordenadores, pero que se usan para crear virus, troyanos o para realizar actividades ilegales como ataques DoS y penetrar en otros ordenadores.
* Herramientas para realizar ataques DoS y DDoS
* Exploits y herramientas para hackers
* Flooders
* Constructores de virus y VirTools
* Nukers
* Codificadores de archivos y policodificadores (FileCryptors y PolyCryptors)
* Polimotores (PolyEngines)
Herramientas para realizar ataques DoS y DDoS
Estos programas atacan los sitios web enviando gran cantidad de solicitudes a un determinado servidor, provocando con frecuencia que los servidores colapsen ante una excesiva cantidad de solicitudes. Si el servidor no está respaldado por recursos adicionales, dará señales de la falla negándose a procesar más solicitudes. Esta es la razón porque estos ataques se conocen como ataques de negación de servicio, DoS, Deny of Service.
Los programas de DoS conducen estos ataques desde un solo ordenador, con el consentimiento del usuario. Los ataques de negación de servicio distribuidos (DdoS) usan un gran número de equipos infectados sin el conocimiento ni el consentimiento de sus propietarios. Los programas DdoS pueden ser cargados al equipo víctima usando varios métodos. Después, empiezan un ataque basado en una fecha incluida en el código o cuando el "propietario" envía la orden de atacar.
Los gusanos pueden ser portadores de procedimientos DoS como parte de su carga útil. Por ejemplo, el 20 de agosto de 2001 el gusano CodeRed tuvo éxito en el lanzamiento de un ataque contra el sitio web oficial del Presidente de los E.E.U.U. (www.whitehouse.gov). Mydoom.a contenía un código DDoS dirigido directamente al sitio web corporativo de SCO. La compañía, un desarrollador de Unix, cerró el sitio el 1 de febrero de 2004, poco después del inicio del ataque DDoS y se trasladó a otro URL.
Exploits y herramientas para hackers
Estas utilidades son diseñadas para penetrar los equipos remotos para usarlos como zombies (usando puertas traseras) o para descargar otros programas maliciosos a los equipos víctimas.
Los exploits usan las vulnerabilidades de los sistemas operativos y de las aplicaciones para lograr el mismo resultado.
Flooders
Estas utilidades se usan para inundar (flood) los canales de datos con paquetes y mensajes de correo electrónico inútiles.
Constructores de virus y VirTools
Los creadores de virus usan utilidades de construcción para crear nuevos programas maliciosos y troyanos. Se sabe de la existencia de constructores de virus para Windows y macrovirus. Los constructores se pueden usar para generar el código de los virus, módulos de objetos y archivos infectados.
Algunos constructores vienen con un interfaz del usuario donde un menú permite elegir el tipo de virus, los objetos a atacar, las opciones de codificación, la protección contra debuggers y desensambladores, etc. Los constructores menos complejos no tienen interfaz y obtiene la información sobre el virus a crear de un archivo de configuración.
Las herramientas VirTools son utilidades creadas para simplificar la escritura de virus. También se pueden utilizar para analizar virus y ver cómo usarlos en ataques piratas.
Nukers
Los hackers usan estas utilidades para hacer colapsar los equipos atacados enviándoles solicitudes codificadas. Esas solicitudes explotan las vulnerabilidades de las aplicaciones y los sistemas operativos para causar errores fatales.
Codificadores de archivos y policodificadores (FileCryptors y PolyCryptors)
Son utilidades de hackers que los creadores de virus usan para codificar programas maliciosos con el fin de evitar que sean detectados por los programas antivirus.
Programas afines a los programas maliciosos
Esta categoría es difícil de definir, ya que incluye cualquier programa legal que los hackers pueden usar para penetrar a un ordenador. Es imposible predecir qué programas entrarán en esta categoría, ya que todo depende del ingenio que demuestre la comunidad informática clandestina. Una vez que un hacker identifica un programa que puede serle útil, puede cargarlo sin el conocimiento o consentimiento del usuario a su equipo y tomar el control del mismo, sin ser detectado por los antivirus u otro software de seguridad. Si se usa hábilmente un programa legal para fines ilegales, puede ser en extremo difícil detectarlo.
* Marcadores (dialers)
* Descargadores (downloaders)
* Servidores FTP
* Servidores proxy
* Servidores Telnet
* Servidores Web
* Clientes de IRC
* Herramientas de recuperación de contraseñas (PSWTool)
* Herramientas de administración remota (RemoteAdmin)
* Herramientas
* Crackers
* Bromas pesadas y mensajes falsos
Marcadores (dialers)
Estos programas no causan daño al equipo en que son instalados. Sin embargo, si no son detectados y eliminados, pueden causar serias consecuencias financieras. Los propietarios de sitios web usan estos programas para hacer que los equipos infectados efectúen llamadas a sitios (teléfonos) de pago. Con gran frecuencia son sitios pornográficos. Aunque no se causan daños al ordenador, una gran factura de teléfono hace que estos programas no sean del agrado de los propietarios de ordenadores y redes.
Los marcadores son de dos tipos: Marcadores troyanos y marcadores maliciosos. Los marcadores troyanos se instalan sin el conocimiento ni el consentimiento del usuario y hacen llamadas a sitios de pago de forma automática. Los marcadores peligrosos, por otra parte, notifican al usuario sobre las llamadas que se están haciendo y su coste. Estos marcadores pueden ser desinstalados usando procedimientos estándard. Se puede clasificar como malicioso a este segundo grupo, ya que la instalación inicial ocurre sin el consentimiento del usuario. Sin embargo, dan al usuario la posibilidad de decidir las acciones a realizar.
Descargadores (downloaders)
Incluso los gestores de descarga (downloaders) pueden ser peligrosos, porque por lo general se programan para funcionar en segundo plano, sin la intervención directa del usuario. Para un hacker es fácil sustituir los enlaces para dirigir al programa hacia recursos infectados, haciendo que los programas maliciosos sean descargados al equipo víctima sin que el usuario se dé cuenta.
Servidores FTP
Son utilidades que se pueden usar para obtener acceso a archivos remotos. Una vez que un hacker las instala en un sistema, hace posible que los usuarios remotos descarguen cualquier archivo del equipo víctima y monitoreen las actividades en el ordenador infectado.
Servidores proxy
Estas utilidades en un principio se diseñaron para proteger las redes internas, separando las direcciones internas de los usuarios externos. No obstante, los hackers las usan para conectarse a Internet de forma anónima. La dirección real del hacker se sustituye por la dirección del servidor proxy.
Servidores Telnet
Estas utilidades se diseñaron para proporcionar acceso remoto a los recursos ubicados en otros equipos. Los hackers las usan para obtener acceso total a los equipos víctimas.
Servidores Web
Los servidores web proporcionan acceso a las páginas web ubicadas en un área determinada del sistema de archivos. Los hackers las usan para obtener acceso irrestricto al sistema de archivos del equipo de la víctima.
Clientes de IRC
Estas utilidades proporcionan acceso a los canales de IRC. Muchos clientes de IRC, en particular mIRC, incorporan potentes lenguajes de script que automatizan al cliente IRC. Esta prestación se puede explotar para escribir troyanos y gusanos de IRC. Mientras instalan un troyano IRC en un equipo víctima, los hackers con frecuencia también instalan un cliente IRC.
Monitor
Son utilidades legales que monitorean las actividades del ordenador y del usuario. En el mercado existen versiones comerciales de este tipo de utilidad. Normalmente, la información de las actividades se guarda en el disco duro o se envía a las direcciones de correo electrónico especificadas. Los programas de monitoreo se diferencian de los troyanos espías sólo en que éstos no disimulan su presencia en el sistema y es posible desinstalarlos.
Herramientas de recuperación de contraseñas (PSWTool)
Sirven para recuperar contraseñas perdidas u olvidadas. Por lo general, muestran información sobre la contraseña en la pantalla, o la guardan en el disco duro. Cuando se realiza un ataque, esta información es enviada al atacante remoto.
Herramientas de administración remota (RemoteAdmin)
Estas herramientas de administración remota proporcionan a los hackers un control completo sobre el equipo víctima.
Herramientas
Esta categoría incluye otros programas gratuitos o comerciales que con frecuencia se usan con fines maliciosos.
Crackers
Estos programas no son virus ni troyanos, sino herramientas que usan los hackers para "piratear" diferentes tipos de software. Por lo general no representan peligro para los programas instalados y su función se reduce a eliminar la protección contra copia o introducir una clave "pirateada" en los programas.
Bromas pesadas y mensajes falsos (Hoaxes)
Este grupo incluye programas que no causan ningún daño directo a los equipos que infectan. No obstante, muestran advertencias falsas sobre supuestos daños ocurridos o por ocurrir. Pueden ser mensajes advirtiendo a los usuarios de que los discos se han formateado, que se ha encontrado un virus o se han detectado síntomas de infección. Las posibilidades son limitadas sólo por el sentido del humor del autor del virus.
Todo el mundo ha oido hablar de los gusanos infomáticos
Los gusanos pueden ser clasificados de acuerdo con el método de propagación que usan, es decir, por el modo en que se copian a los equipos de las nueva víctimas. Los gusanos pueden también ser clasificados por su método de instalación, de ejecución o de acuerdo a las características comunes a todos los programas maliciosos: polimorfismo, invisibilidad, etc.
Muchos de los gusanos capaces de causar brotes virulentos usan uno o más metodos de propagación y técnicas de infección. Estos métodos son listados a continuación:
* Gusanos de correo electrónico
* Gusanos de sistemas de mensajes instantáneos
* Gusanos de Internet
* Gusanos de IRC
* Gusanos de redes de intercambio de archivos
* Gusanos de correo electrónico
Los gusanos de correo electrónico se propagan por medio de mensajes infectados. El gusano puede estar en forma de archivo adjunto o contener un enlace a un sitio web infectado. Sin embargo, en ambos casos el vehículo es el mensaje de correo electrónico.
En el primer caso, el gusano se activa cuando el usuario abre los datos adjuntos. En el segundo caso, el gusano se activa cuando el usuario sigue el enlace que lleva al sitio infectado.
Los gusanos de correo electrónico por lo general usan uno de los siguientes métodos para propagarse:
*Conexión directa a los servidores SMTP usando una biblioteca SMTP API contenida en el gusano
*Servicios de MS Outlook
*Funciones MAPI de Windows
Los gusanos de correo electrónico recolectan direcciones en los equipos de las víctimas para seguir propagándose. Los gusanos usan una o más de las siguientes técnicas:
*Escanear la libreta de direcciones locales de MS Outlook
*Escanear la base de datos WAB
*Escanear los archivos que pueden contener direcciones de correo electrónico
*Enviar copias de sí mismo a todos los mensajes del buzón postal del usuario (los gusanos incluso pueden "responder" a mensajes que el usuario todavía no ha abierto)
Mientras estas son las técnicas más usadas, algunos gusanos son capaces hasta de construir nuevas direcciones usando listas de posibles nombres combinadas con nombres de dominio comunes.
* Gusanos de sistemas de mensajes instantáneos (ICQ y MSN)
Estos gusanos tienen sólo un método de propagación. Se propagan por medio de sistemas de mensajes instantáneos, enviando a todos los contactos locales enlaces a sitios web infectados. La única diferencia entre estos virus y los de correo electrónico, es la forma en que envían los enlaces.
* Gusanos de Internet
Los autores de virus usan otras técnicas para distribuir gusanos de ordenador, incluyendo:
* Copiar el gusano a los recursos de red compartidos
* Explotar las vulnerabilidades de los sistemas operativos para penetrar a los ordenadores o a las redes
* Penetrar las redes públicas
* Piggy-backing: usar otros programas maliciosos en calidad de portador del gusano
En el primer caso, el gusano localiza equipos remotos y se copia a sí mismo en los directorios que están abiertos a operaciones de lectura y escritura. Estos gusanos de red escanean todos los recursos de red disponibles, usando los servicios locales de los sistemas operativos y escaneando Internet en búsqueda de equipos vulnerables. A continuación, intentan conectarse a esos equipos y obtener acceso ilimitado a los mismos.
En el segundo caso, los gusanos escanean Internet buscando equipos que no han sido parchados, es decir, cuyos sistemas operativos contienen vulnerabilidades críticas aún abiertas. El gusano envía paquetes de datos o solicitudes que pueden instalar el gusano completo o una sección de su código fuente que contiene funciones de downloader. Si este código se instala con éxito, el gusano completo es posteriormente cargado. En ambos casos, una vez que el gusano se instala, empieza a ejecutar su código y el ciclo continua.
Los gusanos que usan servidores Web y FTP pertenecen a otra categoría. La infección se realiza en dos etapas. Primero, los gusanos penetran a archivos de servicio en el servidor de archivos, por ejemplo, a páginas web estáticas. Después, los gusanos esperan a que los clientes efectuen alguna acción con los archivos infectados y entonces atacan a los equipos individuales. Estos equipos-víctimas son luego usados como plataforma de lanzamiento para realizar nuevos ataques.
"Algunos creadores de virus usan gusanos o troyanos para difundir nuevos gusanos. Inicialmente, estos autores identifican a los troyanos o gusanos que instalaron puertas traseras (backdoors) en los equipos de las víctimas. En la mayoría de los casos, éstas permiten enviar instrucciones al equipo de la víctima.
Los ordenadores zombies que tienen puertas traseras instaladas, pueden usarse para descargar y ejecutar archivos, en este caso, copias de nuevos gusanos."
Muchos gusanos combinan dos o más métodos de propagación para penetrar con más eficiencia los equipos de las víctimas potenciales.
* Gusanos de IRC
Este tipo de gusanos, al igual que los gusanos de correo electrónico, usa dos formas de propagarse por los canales de IRC, similares a las descritas anteriormente. La primera es enviar un enlace que lleve a un sitio infectado. La segunda, enviar archivos infectados, es menos efectiva, ya que el destinatario tiene que confirmar la recepción, guardar el archivo y abrirlo para que el gusano penetre al equipo de la víctima.
* Gusanos de redes de intercambio de archivos (File-sharing o P2P)
Estos gusanos se copian a sí mismos en una carpeta compartida, por lo general ubicada en el equipo local. Una vez que el gusano ha logrado poner una copia de sí mismo en una carpeta compartida bajo un nombre aparentemente inofensivo, la red P2P empieza a funcionar: informa a los otros usuarios acerca del nuevo recurso y proporciona la infraestructura para cargar y ejecutar el archivo infectado.
Otros gusanos de P2P más complejos imitan el protocolo de red de redes específicas: responden afirmativamente a todas las solicitudes y "ofrecen" el gusano a todos los usuarios.
______________________________________________________________________________________________________
Virus clásicos
Los virus informáticos pueden ser clasificados de acuerdo a su entorno y método de infección. El entorno es la aplicación o sistema operativo que cualquier virus necesita para infectar archivos dentro de estos sistemas. Los métodos de infección son técnicas utilizadas para inyectar código de virus en un archivo.
Entorno
La mayoría de los virus puede encontrarse en alguno de los siguientes entornos:
* Sistemas de archivos
* Sectores de arranque
* Entornos macro
* Anfitriones script
Los virus de archivo utilizan el sistema de archivos de un determinado sistema operativo (o de más de uno) para propagarse. Los virus pueden dividirse en las siguientes categorías:
* Virus que infectan archivos ejecutable (este es el grupo más grande de virus de archivo)
* Virus que crean duplicados de archivos (virus acompañantes)
* Virus que crean copias de sí mismos en varios directorios
* Virus que utilizan características de los sistemas de archivos (virus de vínculo)
Los virus de sector de arranque se escriben a sí mismos ya sea en el sector de arranque o en el registro de inicio maestro, o reemplazan el sector de arranque activo. Estos virus fueron difundidos en los 1990s, pero casi han desaparecido desde la introducción de los procesadores de 32-bit como estándar y la disminución de los discos flexibles. Aunque es técnicamente posible escribir virus de sector de arranque para CDs y USB flash ROMs, aún no se han detectado tales virus.
Muchos procesadores de texto, aplicaciones contables, de edición y proyectos tienen scripts macros incorporados que automatizan secuencias utilizadas con frecuencia. Estos lenguajes macro a menudo son complejos e incluyen una gran variedad de instrucciones. Los virus macro se escriben en lenguajes macro e infectan aplicaciones con macros incorporados. Los virus macro se propagan aprovechando las propiedades del lenguaje macro a fin de transferirse desde un archivo infectado a otro archivo.
Métodos de Infección
Los grupos de virus enumerados arriba se pueden subdividir de acuerdo a la técnica que un virus utiliza para infectar objetos.
Virus de archivo
Los virus de archivos utilizan los siguientes métodos de infección:
* Sobreescritura
* Parasítico
* Acompañante
* Vínculos
* Módulos de objeto (OBJ, por las siglas en inglés de object modules)
* Librerías de compilación (LIB)
* Código fuente de aplicación
Sobreescritura
Este es el método de infección más simple: El virus reemplaza al código del archivo infectado con el suyo propio, borrando el código original. El archivo se vuelve inservible y no puede ser restaurado. Estos virus son de fácil detección debido a que el sistema operativo y las aplicaciones afectadas dejarán de funcionar poco después de la infección.
Parasítico
Los virus parasíticos modifican el código del archivo infectado. El archivo infectado permanece parcial o totalmente funcional.
Los virus parasíticos están agrupados de acuerdo a la sección del archivo en la que escriben su código:
* Anexado al comienzo: el código malicioso es escrito al comienzo del archivo
* Anexado al final: el código malicioso es escrito al final del archivo
* Inserto: el código malicioso es insertado a la mitad del archivo
Los virus de archivo insertos utilizan una variedad de métodos para escribir código en el medio del archivo: o mueven partes del archivo original al final, o copian su propio código en las secciones vacías del archivo objetivo. Éstos son denominados a veces virus de cavidad.
Virus anexados al comienzo
Los virus anexados al comienzo escriben su código para apuntar a archivos de dos formas. En el primer escenario, el virus mueve el código del comienzo del archivo objetivo al final y escriben su propio código en este espacio. En el segundo escenario el virus adiciona el código del archivo objetivo a su propio código.
En ambos casos, cada vez que el archivo infectado es ejecutado, el código del virus se ejecuta primero. A fin de mantener la integridad de la aplicación, puede que el virus limpie el archivo infectado, lo vuelva a ejecutar, espera a que el archivo se ejecute y una vez que se termine este proceso, el virus se copiará a sí mismo nuevamente al inicio del archivo. Algunos virus utilizan archivos temporales para almacenar versiones limpias de los archivos infectados. Algunos virus restaurarán el código de la aplicación en la memoria y reiniciarán las direcciones necesarias en el cuerpo, duplicando de este modo el trabajo del sistema operativo.
Virus anexados al final
La mayoría de los virus caen en esta categoría. Los virus anexados al final se escriben a sí mismo al final de los archivos infectados. Sin embargo, estos virus por lo general modifican los archivos (cambian el punto de entrada en el encabezado del archivo) para asegurarse de que los instrucciones contenidos en el código del virus sean ejecutados antes que los instrucciones de objeto infectados.
Virus insertados
Los creadores de virus utilizan una variedad de métodos para insertar virus en la mitad del archivo. Los métodos más simples son mover parte del código del archivo al final del archivo o hacer el código original a un lado para crear un espacio para el virus.
Los virus insertos incluyen los llamados virus de cavidad; éstos escriben su código en las secciones de los archivos que se sabe que están vacías. Por ejemplo, los virus de cavidad pueden copiarse a sí mismos en las partes no utilizadas de encabezados de archivos exe, en los vacíos que se encuentran entre secciones de archivos exe o en áreas de texto de compiladores conocidos. Algunos virus de cavidad sólo infectarán archivos donde un determinado bloque contenga cierto byte; el bloque elegido será sobrescrito con el código del virus.
Por último, algunos virus insertos están mal escritos y simplemente sobrescriben secciones de código que son esenciales para que el archivo infectado funcione. Esto causa que el archivo quede corrompido de forma irrevocable.
Virus que ocultan su punto de entrada (Entry point obscuring - EPOs)
Existe un pequeño grupo de virus parasíticos que incluyen tanto virus anexos al comienzo y al final que no modifican la dirección del punto de entrada en los encabezados de los archivos ejecutables. Los virus EPO escriben el punteo de rutina en el cuerpo del virus, en el medio del archivo infectado. El código del virus se ejecuta entonces solamente si se llama a la rutina que contiene el virus ejecutable. Si esta rutina se utiliza rara vez, (ej., una notificación de error poco común) un virus EPO puede permanecer inactivo por mucho tiempo.
Los creadores de virus necesitan escoger el punto de entrada con cuidado: un punto de entrada mal escogido puede, corromper el archivo anfitrión o causar que el virus permanezca inactivo el tiempo suficiente como para ser borrado.
Los creadores de virus utilizan distintos métodos para encontrar puntos de entrada útiles:
* Buscar marcos y sobrescribirlos con el punto de inicio infectado
* Desmantelar el código del archivo anfitrión
* O cambiar las direcciones de las funciones de importación
Virus acompañantes
Los virus acompañantes no modifican al archivo anfitrión. En su lugar, crean un archivo duplicado que contiene el virus. Cuando se ejecuta el archivo infectado, la copia que contiene el virus se ejecutará primero.
En esta categoría se incluyen virus que cambian de nombre al archivo anfitrión, graban el nuevo nombre para futuras referencias y después sobrescriben el archivo original. Por ejemplo, un virus podría cambiar el nombre de notepad.exe a notepad.exd y escribir su propio código al archivo con el nombre original. Cada vez que el usuario de la máquina víctima ejecute notepad.exe, se ejecutará el código del virus, ejecutándose posteriormente el archivo original Notepad, notepad.exd.
Existen otros tipos de virus acompañantes que utilizan técnicas de infección originales o aprovechan vulnerabilidades en sistemas operativos específicos. Por ejemplo los virus acompañantes de ruta colocan sus copias en el directorio del sistema Windows, aprovechando el hecho de que este directorio está de primero en la lista de RUTAS; el sistema comenzará desde este directorio cuando ejecuta Windows. Muchos gusanos y troyanos contemporáneos utilizan tales técnicas de auto ejecución.
Otras técnicas de infección
Algunos virus no utilizan archivos ejecutables para infectar un ordenador, sino que simplemente se copian a sí mismos a un rango de carpetas con la esperanza de que tarde o temprano sean ejecutados por el usuario. Algunos creadores de virus nombran a sus virus como install.exe o winstart.bat para persuadir al usuario a ejecutar el archivo que contiene el virus.
Otros virus se copian a sí mismos en archivos comprimidos tales como ARJ, ZIP y RAR, mientras que otros escriben el instrucción para ejecutar un archivo infectado en un archivo BAT.
Los virus de vínculo tampoco modifican los archivos anfitriones. Sin embargo, obligan al sistema operativo a ejecutar el código del virus, modificando los campos apropiados en el sistema de archivos.
Virus de sector de arranque
Los virus de arranque son conocidos por infectar el sector de arranque de los discos flexibles y el sector de arranque del sector de arranque principal (MBR, por sus siglas en inglés, Master Boot Record) del disco duro. Los virus de arranque actúan sobre la base de algoritmos utilizados para iniciar el sistema operativo cuando el ordenador se enciende o es reiniciado. Una vez que los chequeos de memoria, discos, etc. han concluido, el programa de inicio del sistema lee/ busca el primer sector físico del disco de inicio (A:, C: o el CD-ROM, dependiendo de los parámetros configurados/ instalados en la configuración BIOS y le pasa el control a este sector.
Al infectar un disco, los virus de inicio sustituyen el código por el de un programa que adquiere control cuando se inicia el sistema. A fin de infectar al sistema, el virus obligará al sistema a leer la memoria y entregar el control, no al programa de inicio original, sino al código del virus.
Los discos flexibles solamente pueden ser infectados de una forma. El virus escribe su código en lugar del código original del sector de arranque del disco. Los discos duros pueden ser infectados de tres formas: el virus escribe su código en lugar del código MBR; el código del sector de arranque del disco de inicio o modifica la dirección del sector de libros activos en la tabla de partición del disco, en el MBR del disco duro.
En la amplia mayoría de los casos, al infectar un disco, el virus moverá el sector de arranque original (o MBR) a otro sector del disco, a menudo el primero que encuentre vacío. Si el virus es más largo que el sector, entonces el sector infectado contendrá la primera parte del código del virus y el remanente del código será colocado en otros sectores, por lo general los tres primeros.
Virus macro
Los virus macro más difundidos son para las aplicaciones de Microsoft Office (Word, Excel y PowerPoint) las cuales guardan información en formato OLE2 (Enlace e Incrustación de Objetos, en inglés Object Linking and Embedding). Los virus para otras aplicaciones son relativamente poco comunes.
La ubicación real de un virus con un archivo de MS Office depende del formato de archivo, el cual en el caso de los productos Microsoft es extremadamente complejo. Todos los documentos de WORD, Office 97 o tabla de Excel están compuestos de una secuencia de bloques de datos (cada uno de los cuales tiene su propio formato) que son unidos/ enlazados/ unidos por datos de servicio. Debido a la complejidad de los archivos de Word, Excel y Office 97, es más fácil utilizar un diagrama para mostrar la ubicación de un virus macro en tales tipos de archivo:
1-Archivo de documento o tabla sin infectar 2-Archivo de documento o tabla infectado
1-Encabezado del archivo
1-Datos de servicios (directorios, FAT)
1-Texto
1-Fuentes
1-Macros (si los hay)
1-Otros datos
2-Encabezado del archivo
2-Datos de servicios (directorios, FAT)
2-Texto
2-Fuentes
2-Macros (si los hay)
2-Macros de virus
2-Otros datos
Al trabajar con documentos y tablas, MS Office realiza varias acciones diferentes: la aplicación abre el documento, lo salva, lo imprime, lo cierra, etc. MS Word buscará y ejecutará/lanzará los macros incorporados apropiados. Por ejemplo, utilizando el instrucción Archivo/Guardar llamará al macro ArchivoGuardar, el instrucción Archivo/Guardarcomo llamará al macro ArchivoGuardarcomo, y así sucesivamente, siempre asumiendo que tales macros estén definidos/ configurados.
También existen auto macros, que serán llamados automáticamente en determinadas situaciones. Por ejemplo, cuando se abre un documento, MS Word comprobará la presencia del macro AutoAbrir en el documento. Si se encuentra el macro, Word lo ejecutará. Cuando un documento está cerrado, Word ejecutará el macro de AutoCierre, cuando Word sea iniciado, la aplicación ejecutará el Macro AutoEjec, etc. Estos macros son ejecutados de forma automática, sin ninguna acción por parte del usuario, así como los macros/ funciones que están asociados ya sea por una clave particular, o con un tiempo o fecha específico.
Como regla, los virus macro que infectan los archivos MS Office utilizan una de las técnicas antes descritas. El virus contendrá un auto macro (función automática); uno de los macros estándares del sistema (asociado con un ítem del menú) será redefinido; o, el virus macro será llamado de forma automática al apretarse una determinada tecla o combinación de teclas. Una vez que el virus macro hubiera adquirido el control, transferirá su código a otros archivos, usualmente los que estén siendo editados en el momento. En menos ocasiones, los virus buscarán en los discos otros archivos.
Virus de Script
Los virus script son un subgrupo de virus de archivo, escritos en una variedad de lenguajes script (VBS, JavaScript, BAT, PHP, etc.). Ellos infectan otros scripts, ej. archivos de instrucción y servicios de Windows o Linux, o forman parte de virus multi-componentes. Los virus script pueden infectar otros formatos de archivo, tales como HTML, si el formato de archivo permite la ejecución de scripts.
Al trabajar con documentos y tablas, MS Office realiza varias acciones diferentes: la aplicación abre el documento, lo salva, lo imprime, lo cierra, etc. MS Word buscará y ejecutará/lanzará los macros incorporados apropiados. Por ejemplo, utilizando el instrucción Archivo/Guardar llamará al macro ArchivoGuardar, el instrucción Archivo/Guardarcomo llamará al macro ArchivoGuardarcomo, y así sucesivamente, siempre asumiendo que tales macros estén definidos/ configurados.
También existen auto macros, que serán llamados automáticamente en determinadas situaciones. Por ejemplo, cuando se abre un documento, MS Word comprobará la presencia del macro AutoAbrir en el documento. Si se encuentra el macro, Word lo ejecutará. Cuando un documento está cerrado, Word ejecutará el macro de AutoCierre, cuando Word sea iniciado, la aplicación ejecutará el Macro AutoEjec, etc. Estos macros son ejecutados de forma automática, sin ninguna acción por parte del usuario, así como los macros/ funciones que están asociados ya sea por una clave particular, o con un tiempo o fecha específico.
Como regla, los virus macro que infectan los archivos MS Office utilizan una de las técnicas antes descritas. El virus contendrá un auto macro (función automática); uno de los macros estándares del sistema (asociado con un ítem del menú) será redefinido; o, el virus macro será llamado de forma automática al apretarse una determinada tecla o combinación de teclas. Una vez que el virus macro hubiera adquirido el control, transferirá su código a otros archivos, usualmente los que estén siendo editados en el momento. En menos ocasiones, los virus buscarán en los discos otros archivos.
______________________________________________________________________________________________________
Programas troyanos (Caballos de Troya)
Los troyanos se clasifican según las acciones que efectuan en los equipos de las víctimas.
* Puertas traseras (Backdoors)
* Troyanos en general
* Troyanos que roban contraseñas
* Clickers troyanos
* Descargadores troyanos (Downloaders)
* Droppers troyanos
* Proxies troyanos
* Espias troyanos
* Notificadores troyanos
* "Bombas" para compresores de archivos (ArcBombs)
* Rootkits
Puertas traseras (Backdoors)
Hoy en día, las puertas traseras son el tipo de troyanos más peligroso y difundido. Estos troyanos son utilitarios de administración remota que someten los equipos infectados a un control externo por medio de la red local o Internet. Su forma de funcionamiento es similar a la de los programas de administración remota (a distancia) usados por los administradores de sistemas. Esto hace que sea dificil detectarlos.
La única diferencia entre una herramienta de administración legal y una puerta trasera es que éstas se instalan sin que el usuario lo sepa y sin su consentimiento. Cuando la puerta trasera es ejecutada, empieza a monitorear el sistema local sin que el usuario lo note. Con frecuencia la puerta trasera no figura en el log de los programas activos.
Una vez que un utilitario de administración a distancia se instala y ejecuta, el equipo de la víctima queda a disposición del agresor. Las puertas traseras pueden:
* Enviar y recibir archivos
* Activar y eliminar archivos
* Ejecutar archivos
* Mostrar notificaciones
* Borrar datos
* Reiniciar el ordenador
En otras palabras, los autores de virus usan las puertas traseras para detectar y bajar información confidencial, ejecutar código malicioso, destruir datos, incluir el ordenador en redes bot, etc. En resumen, las puertas traseras combinan la funcionalidad de la mayoría de tipos de troyanos en un solo paquete.
La puertas traseras tienen una subclase particularmente peligrosa: las variantes que pueden propagarse como gusanos. La única diferencia es que los gusanos están programados para propagarse constantemente, en tanto que las puertas traseras móviles se propagan unicamente al recibir una instrucción específica de su "amo".
Troyanos en general
Esta amplia categoría incluye una gran variedad de troyanos que causan daños a los equipos de las víctimas, amenazan la integridad de sus datos o perjudican el funcionamiento del equipo de la víctima.
Los troyanos multifuncionales también se incluyen en este grupo, ya que algunos creadores de virus prefieren crear troyanos multifuncionales antes que paquetes de troyanos.
Troyanos que roban contraseñas
Esta familia de troyanos se dedica a robar contraseñas, por lo general, las contraseñas para entrar al sistema de los equipos de las víctimas. Estos troyanos buscan los archivos del sistema que contienen información confidencial tales como contraseñas y números de acceso a Internet para luego enviar esta información a una dirección de correo elctrónico contenida en el cuerpo del troyano. La información secuestrada será usada por el "amo" o usuario del programa ilegal.
Algunos troyanos pueden robar otro tipo de información:
* Detalles de la configuración del sistema (memoria, espacio libre, detalles del sistema operativo)
* Detalles del cliente de correo electrónico
* Direcciones IP
* Detalles de inscripción
* Contraseñas de juegos en línea
Los troyanos AOL son ladrones de contraseñas de America Online. Los hemos puesto en subgrupos porque son demasiado numerosos.
Clickers troyanos
Esta familia de troyanos remite los equipos de las víctimas a determinados sitios web o recursos de Internet. Los clickers también envían a los navegadores determinadas instrucciones o reemplazan los archivos del sistema dónde se guardan las direcciones de Internet (por ejemplo, los archivos "hosts" en MS Windows.
Los clickers suelen usarse para:
* Elevar la posición de determinados sitios en las clasificaciones con objetivos publicitarios
* Organizar ataques DoS contra el servidor o sitio especificado
* Para conducir a la víctima hacia un recurso infectado, donde será atacada por otros programas maliciosos (virus o troyanos).
Descargadores troyanos (Downloaders)
Esta familia de troyanos descarga e instala nuevos programas maliciosos o publicitarios en el equipo de la víctima. Luego el downloader ejecuta los nuevos programas maliciosos o los registra para ser ejecutados automáticamente, de conformidad con las exigencias del sistema operativo local. Todo esto se hace sin que el usuario se dé cuenta y sin su consentimiento.
Los nombres y las ubicaciones de los programas maliciosos a bajar se incrustan en el troyano o se bajan desde determinados sitios web o Internet.
Droppers troyanos
Se utilizan para instalar otros programas maliciosos en los equipos de las víctimas sin que el usuario se dé cuenta. Los droppers instalan su carga útil sin mostrar ninguna notificación o bien mostrando un mensaje falso sobre un error en un archivo comprimido o en el sistema operativo. El nuevo programa malicioso es dejado en una ubicación específica o en un disco local para luego ser ejecutado.
Por lo general los droppers tienen la siguiente estructura:
Archivo principal
contiene la "carga útil" del troyano
File 1
primera carga útil
File 2
segunda carga útil
...
el programador puede incluir todos los archivos que desee
El dropper contiene un código que instala y ejecuta todos los archivos de la carga útil.
En la mayor parte de los casos, la carga útil contiene otros troyanos y por lo menos un hoax o maniobra de distración: chistes, juegos, gráficos o algo por el estilo. El hoax distrae la atención del usuario o pretende probar que la actividad causada por el dropper es inofensiva, pero en realidad sirve para disimular la instalación de la carga útil peligrosa.
Los hackers usan estos programas para alcanzar dos objetivos:
1-Ocultar o disimular la instalación de otros troyanos o virus
2-Engañar a las soluciones antivirus que son incapaces de analizar todos los componentes
Home / Virus / Enciclopedia de virus / Descripciones de los programas maliciosos / Programas troyanos (Caballos de Troya)
Programas troyanos (Caballos de Troya)
Los troyanos se clasifican según las acciones que efectuan en los equipos de las víctimas.
Puertas traseras (Backdoors)
Troyanos en general
Troyanos que roban contraseñas
Clickers troyanos
Decargadores troyanos (Downloaders)
Droppers troyanos
Proxies troyanos
Espias troyanos
Notificadores troyanos
"Bombas" para compresores de archivos (ArcBombs)
Rootkits
Puertas traseras (Backdoors)
Hoy en día, las puertas traseras son el tipo de troyanos más peligroso y difundido. Estos troyanos son utilitarios de administración remota que someten los equipos infectados a un control externo por medio de la red local o Internet. Su forma de funcionamiento es similar a la de los programas de administración remota (a distancia) usados por los administradores de sistemas. Esto hace que sea dificil detectarlos.
La única diferencia entre una herramienta de administración legal y una puerta trasera es que éstas se instalan sin que el usuario lo sepa y sin su consentimiento. Cuando la puerta trasera es ejecutada, empieza a monitorear el sistema local sin que el usuario lo note. Con frecuencia la puerta trasera no figura en el log de los programas activos.
Una vez que un utilitario de administración a distancia se instala y ejecuta, el equipo de la víctima queda a disposición del agresor. Las puertas traseras pueden:
Enviar y recibir archivos
Activar y eliminar archivos
Ejecutar archivos
Mostrar notificaciones
Borrar datos
Reiniciar el ordenador
En otras palabras, los autores de virus usan las puertas traseras para detectar y bajar información confidencial, ejecutar código malicioso, destruir datos, incluir el ordenador en redes bot, etc. En resumen, las puertas traseras combinan la funcionalidad de la mayoría de tipos de troyanos en un solo paquete.
La puertas traseras tienen una subclase particularmente peligrosa: las variantes que pueden propagarse como gusanos. La única diferencia es que los gusanos están programados para propagarse constantemente, en tanto que las puertas traseras móviles se propagan unicamente al recibir una instrucción específica de su "amo".
Troyanos en general
Esta amplia categoría incluye una gran variedad de troyanos que causan daños a los equipos de las víctimas, amenazan la integridad de sus datos o perjudican el funcionamiento del equipo de la víctima.
Los troyanos multifuncionales también se incluyen en este grupo, ya que algunos creadores de virus prefieren crear troyanos multifuncionales antes que paquetes de troyanos.
Troyanos que roban contraseñas
Esta familia de troyanos se dedica a robar contraseñas, por lo general, las contraseñas para entrar al sistema de los equipos de las víctimas. Estos troyanos buscan los archivos del sistema que contienen información confidencial tales como contraseñas y números de acceso a Internet para luego enviar esta información a una dirección de correo elctrónico contenida en el cuerpo del troyano. La información secuestrada será usada por el "amo" o usuario del programa ilegal.
Algunos troyanos pueden robar otro tipo de información:
Detalles de la configuración del sistema (memoria, espacio libre, detalles del sistema operativo)
Detalles del cliente de correo electrónico
Direcciones IP
Detalles de inscripción
Contraseñas de juegos en línea
Los troyanos AOL son ladrones de contraseñas de America Online. Los hemos puesto en subgrupos porque son demasiado numerosos.
Clickers troyanos
Esta familia de troyanos remite los equipos de las víctimas a determinados sitios web o recursos de Internet. Los clickers también envían a los navegadores determinadas instrucciones o reemplazan los archivos del sistema dónde se guardan las direcciones de Internet (por ejemplo, los archivos "hosts" en MS Windows.
Los clickers suelen usarse para:
Elevar la posición de determinados sitios en las clasificaciones con objetivos publicitarios
Organizar ataques DoS contra el servidor o sitio especificado
Para conducir a la víctima hacia un recurso infectado, donde será atacada por otros programas maliciosos (virus o troyanos).
Descargadores troyanos (Downloaders)
Esta familia de troyanos descarga e instala nuevos programas maliciosos o publicitarios en el equipo de la víctima. Luego el downloader ejecuta los nuevos programas maliciosos o los registra para ser ejecutados automáticamente, de conformidad con las exigencias del sistema operativo local. Todo esto se hace sin que el usuario se dé cuenta y sin su consentimiento.
Los nombres y las ubicaciones de los programas maliciosos a bajar se incrustan en el troyano o se bajan desde determinados sitios web o Internet.
Droppers troyanos
Se utilizan para instalar otros programas maliciosos en los equipos de las víctimas sin que el usuario se dé cuenta. Los droppers instalan su carga útil sin mostrar ninguna notificación o bien mostrando un mensaje falso sobre un error en un archivo comprimido o en el sistema operativo. El nuevo programa malicioso es dejado en una ubicación específica o en un disco local para luego ser ejecutado.
Por lo general los droppers tienen la siguiente estructura:
Archivo principal
contiene la "carga útil" del troyano
File 1
primera carga útil
File 2
segunda carga útil
...
el programador puede incluir todos los archivos que desee
El dropper contiene un código que instala y ejecuta todos los archivos de la carga útil.
En la mayor parte de los casos, la carga útil contiene otros troyanos y por lo menos un hoax o maniobra de distración: chistes, juegos, gráficos o algo por el estilo. El hoax distrae la atención del usuario o pretende probar que la actividad causada por el dropper es inofensiva, pero en realidad sirve para disimular la instalación de la carga útil peligrosa.
Los hackers usan estos programas para alcanzar dos objetivos:
Ocultar o disimular la instalación de otros troyanos o virus
Engañar a las soluciones antivirus que son incapaces de analizar todos los componentes
Proxies troyanos
Funcionan como servidores proxy y proporcionan acceso anónimo a Internet desde los equipos de las víctimas. Hoy en día estos troyanos son muy populares entre los spammers que siempre necesitan de equipos adicionales para hacer sus envíos masivos. Los programadores de virus con frecuencia incluyen proxies-troyanos en sus paquetes de troyanos y venden las redes de equipos infectados a los spammers.
Trojan Spies
Esta familia incluye un variedad de programas espías y key loggers, que monitorean la actividad del usuario en el equipo afectado y luego envían esta información a su "amo". Los espías troyanos recolectan varios tipos de información:
>
* Textos introducidos por medio del teclado
* Capturas de pantalla (screenshots)
* Logs de las aplicaciones activas
* Otras acciones de los usuarios
Estos troyanos están siendo cada vez más utilizados para robar información bancaria y financiera que pueda servir de soporte para fraudes en línea.
Notificadores troyanos
Estos troyanos envían informes acerca del equipo infectado a su "amo". Los notificadores confirman que un equipo ha sido infectado y envía información sobre la dirección IP, los puertos abiertos, las direcciones de correo electrónico y otros datos del equipo de la víctima. Esta información se puede enviar por correo electrónico, al sitio web del "amo" o por ICQ.
Por lo general, los notificadores se incluyen en los paquetes troyanos y se usan solamente para informar al "amo" que el troyano ha sido instalado con éxito en el equipo de la víctima.
Rootkits
Un rootkit es una colección de programas usados por un hacker para evitar ser detectados mientras buscan obtener acceso no autorizado a un ordenador. Esto se logra de dos formas: reemplazando archivos o bibliotecas del sistema; o instalando un módulo de kernel. El hacker instala el rootkit después, obteniendo un acceso similar al del usuario: por lo general, crakeando una contraseña o explotando una vulnerabilidad, lo que permite usar otras credenciales hasta conseguir el acceso de raiz o administrador.
A pesar de que el término tiene su origen en el mundo de Unix, ha sido usado para denominar las técnicas utilizados por los autores de troyanos para Windows. El uso de rootkits para enmascarar las actividades de los troyanos está creciendo, ya que muchos de los usuarios de Windows ingresan al sistema con credenciales de administrador.
"Bombas" para compresores de archivos
Estos troyanos son archivos comprimidos programados para sabotear al programa de descompresión cuando éste intente abrir el archivo comprimido infectado. El equipo víctima puede ralentizarse o colapsar cuando la bomba troyana explota, o el disco duro se puede llenar de datos sin sentido. Las ArcBombs representan un especial peligro para los servidores, sobre todo cuando los datos entrantes son procesados de forma automática. En casos como éste, una ArcBomb puede hacer que el servidor colapse.
Hay tres tipos de ArcBombs: los que contienen un encabezamiento incorrecto, datos repetitivos o varios ficheros idénticos en el archivo.
Un encabezamiento incorrecto, o la presencia de datos corruptos pueden causar que el programa de descompresión colapse cuando intente abrir y descomprimir el archivo infectado.
Un archivo grande que contiene datos repetitivos puede ser comprimido en un archivo diminuto: 5 gigabytes pueden convertirse en 200KB si se usa RAR y en 480 KB si se usa ZIP.
Además, existen tecnologías especiales que permiten empaquetar un enorme número de archivos idénticos en un solo fichero sin afectar significativamente el tamaño del archivo en sí mismo: así, es posible empaquetar 10100 archivos idénticos en un archivo RAR de 30 KB o en un ZIP de 230 KB.
Otros programas maliciosos
Esta sección incluye un serie de programas que no afectan directamente a los ordenadores, pero que se usan para crear virus, troyanos o para realizar actividades ilegales como ataques DoS y penetrar en otros ordenadores.
* Herramientas para realizar ataques DoS y DDoS
* Exploits y herramientas para hackers
* Flooders
* Constructores de virus y VirTools
* Nukers
* Codificadores de archivos y policodificadores (FileCryptors y PolyCryptors)
* Polimotores (PolyEngines)
Herramientas para realizar ataques DoS y DDoS
Estos programas atacan los sitios web enviando gran cantidad de solicitudes a un determinado servidor, provocando con frecuencia que los servidores colapsen ante una excesiva cantidad de solicitudes. Si el servidor no está respaldado por recursos adicionales, dará señales de la falla negándose a procesar más solicitudes. Esta es la razón porque estos ataques se conocen como ataques de negación de servicio, DoS, Deny of Service.
Los programas de DoS conducen estos ataques desde un solo ordenador, con el consentimiento del usuario. Los ataques de negación de servicio distribuidos (DdoS) usan un gran número de equipos infectados sin el conocimiento ni el consentimiento de sus propietarios. Los programas DdoS pueden ser cargados al equipo víctima usando varios métodos. Después, empiezan un ataque basado en una fecha incluida en el código o cuando el "propietario" envía la orden de atacar.
Los gusanos pueden ser portadores de procedimientos DoS como parte de su carga útil. Por ejemplo, el 20 de agosto de 2001 el gusano CodeRed tuvo éxito en el lanzamiento de un ataque contra el sitio web oficial del Presidente de los E.E.U.U. (www.whitehouse.gov). Mydoom.a contenía un código DDoS dirigido directamente al sitio web corporativo de SCO. La compañía, un desarrollador de Unix, cerró el sitio el 1 de febrero de 2004, poco después del inicio del ataque DDoS y se trasladó a otro URL.
Exploits y herramientas para hackers
Estas utilidades son diseñadas para penetrar los equipos remotos para usarlos como zombies (usando puertas traseras) o para descargar otros programas maliciosos a los equipos víctimas.
Los exploits usan las vulnerabilidades de los sistemas operativos y de las aplicaciones para lograr el mismo resultado.
Flooders
Estas utilidades se usan para inundar (flood) los canales de datos con paquetes y mensajes de correo electrónico inútiles.
Constructores de virus y VirTools
Los creadores de virus usan utilidades de construcción para crear nuevos programas maliciosos y troyanos. Se sabe de la existencia de constructores de virus para Windows y macrovirus. Los constructores se pueden usar para generar el código de los virus, módulos de objetos y archivos infectados.
Algunos constructores vienen con un interfaz del usuario donde un menú permite elegir el tipo de virus, los objetos a atacar, las opciones de codificación, la protección contra debuggers y desensambladores, etc. Los constructores menos complejos no tienen interfaz y obtiene la información sobre el virus a crear de un archivo de configuración.
Las herramientas VirTools son utilidades creadas para simplificar la escritura de virus. También se pueden utilizar para analizar virus y ver cómo usarlos en ataques piratas.
Nukers
Los hackers usan estas utilidades para hacer colapsar los equipos atacados enviándoles solicitudes codificadas. Esas solicitudes explotan las vulnerabilidades de las aplicaciones y los sistemas operativos para causar errores fatales.
Codificadores de archivos y policodificadores (FileCryptors y PolyCryptors)
Son utilidades de hackers que los creadores de virus usan para codificar programas maliciosos con el fin de evitar que sean detectados por los programas antivirus.
Programas afines a los programas maliciosos
Esta categoría es difícil de definir, ya que incluye cualquier programa legal que los hackers pueden usar para penetrar a un ordenador. Es imposible predecir qué programas entrarán en esta categoría, ya que todo depende del ingenio que demuestre la comunidad informática clandestina. Una vez que un hacker identifica un programa que puede serle útil, puede cargarlo sin el conocimiento o consentimiento del usuario a su equipo y tomar el control del mismo, sin ser detectado por los antivirus u otro software de seguridad. Si se usa hábilmente un programa legal para fines ilegales, puede ser en extremo difícil detectarlo.
* Marcadores (dialers)
* Descargadores (downloaders)
* Servidores FTP
* Servidores proxy
* Servidores Telnet
* Servidores Web
* Clientes de IRC
* Herramientas de recuperación de contraseñas (PSWTool)
* Herramientas de administración remota (RemoteAdmin)
* Herramientas
* Crackers
* Bromas pesadas y mensajes falsos
Marcadores (dialers)
Estos programas no causan daño al equipo en que son instalados. Sin embargo, si no son detectados y eliminados, pueden causar serias consecuencias financieras. Los propietarios de sitios web usan estos programas para hacer que los equipos infectados efectúen llamadas a sitios (teléfonos) de pago. Con gran frecuencia son sitios pornográficos. Aunque no se causan daños al ordenador, una gran factura de teléfono hace que estos programas no sean del agrado de los propietarios de ordenadores y redes.
Los marcadores son de dos tipos: Marcadores troyanos y marcadores maliciosos. Los marcadores troyanos se instalan sin el conocimiento ni el consentimiento del usuario y hacen llamadas a sitios de pago de forma automática. Los marcadores peligrosos, por otra parte, notifican al usuario sobre las llamadas que se están haciendo y su coste. Estos marcadores pueden ser desinstalados usando procedimientos estándard. Se puede clasificar como malicioso a este segundo grupo, ya que la instalación inicial ocurre sin el consentimiento del usuario. Sin embargo, dan al usuario la posibilidad de decidir las acciones a realizar.
Descargadores (downloaders)
Incluso los gestores de descarga (downloaders) pueden ser peligrosos, porque por lo general se programan para funcionar en segundo plano, sin la intervención directa del usuario. Para un hacker es fácil sustituir los enlaces para dirigir al programa hacia recursos infectados, haciendo que los programas maliciosos sean descargados al equipo víctima sin que el usuario se dé cuenta.
Servidores FTP
Son utilidades que se pueden usar para obtener acceso a archivos remotos. Una vez que un hacker las instala en un sistema, hace posible que los usuarios remotos descarguen cualquier archivo del equipo víctima y monitoreen las actividades en el ordenador infectado.
Servidores proxy
Estas utilidades en un principio se diseñaron para proteger las redes internas, separando las direcciones internas de los usuarios externos. No obstante, los hackers las usan para conectarse a Internet de forma anónima. La dirección real del hacker se sustituye por la dirección del servidor proxy.
Servidores Telnet
Estas utilidades se diseñaron para proporcionar acceso remoto a los recursos ubicados en otros equipos. Los hackers las usan para obtener acceso total a los equipos víctimas.
Servidores Web
Los servidores web proporcionan acceso a las páginas web ubicadas en un área determinada del sistema de archivos. Los hackers las usan para obtener acceso irrestricto al sistema de archivos del equipo de la víctima.
Clientes de IRC
Estas utilidades proporcionan acceso a los canales de IRC. Muchos clientes de IRC, en particular mIRC, incorporan potentes lenguajes de script que automatizan al cliente IRC. Esta prestación se puede explotar para escribir troyanos y gusanos de IRC. Mientras instalan un troyano IRC en un equipo víctima, los hackers con frecuencia también instalan un cliente IRC.
Monitor
Son utilidades legales que monitorean las actividades del ordenador y del usuario. En el mercado existen versiones comerciales de este tipo de utilidad. Normalmente, la información de las actividades se guarda en el disco duro o se envía a las direcciones de correo electrónico especificadas. Los programas de monitoreo se diferencian de los troyanos espías sólo en que éstos no disimulan su presencia en el sistema y es posible desinstalarlos.
Herramientas de recuperación de contraseñas (PSWTool)
Sirven para recuperar contraseñas perdidas u olvidadas. Por lo general, muestran información sobre la contraseña en la pantalla, o la guardan en el disco duro. Cuando se realiza un ataque, esta información es enviada al atacante remoto.
Herramientas de administración remota (RemoteAdmin)
Estas herramientas de administración remota proporcionan a los hackers un control completo sobre el equipo víctima.
Herramientas
Esta categoría incluye otros programas gratuitos o comerciales que con frecuencia se usan con fines maliciosos.
Crackers
Estos programas no son virus ni troyanos, sino herramientas que usan los hackers para "piratear" diferentes tipos de software. Por lo general no representan peligro para los programas instalados y su función se reduce a eliminar la protección contra copia o introducir una clave "pirateada" en los programas.
Bromas pesadas y mensajes falsos (Hoaxes)
Este grupo incluye programas que no causan ningún daño directo a los equipos que infectan. No obstante, muestran advertencias falsas sobre supuestos daños ocurridos o por ocurrir. Pueden ser mensajes advirtiendo a los usuarios de que los discos se han formateado, que se ha encontrado un virus o se han detectado síntomas de infección. Las posibilidades son limitadas sólo por el sentido del humor del autor del virus.
«Arte- Mensajes : 380
Fecha de inscripción : 23/02/2012
Localización : cordoba
Re: INFO SOBRE VIRUS Y MALWARES
por »}e|S|a{«Pesadilla{E} Sáb Ago 18, 2012 12:02 am
ME IMAGINO QUE COPIASTE Y PEGASTE? JJAJAJ BUEN POST AUQUE LEI EL TITULO NOMAS GG
»}e|S|a{«Pesadilla{E}- Mensajes : 950
Fecha de inscripción : 27/02/2012
Localización : La Plata
Re: INFO SOBRE VIRUS Y MALWARES
por »}ê|S|ä{«Adin»{GM} Sáb Ago 18, 2012 12:22 am
la lpm que tremendo texto no me gusta leer 
»}ê|S|ä{«Adin»{GM}- Mensajes : 819
Fecha de inscripción : 12/03/2012
Localización : chile (aysen)
Re: INFO SOBRE VIRUS Y MALWARES
por »}ê|S|ä{«Tangueta{G3} Dom Ago 19, 2012 11:11 pm
no lei un carajo ajajaj... buen post igual.
»}ê|S|ä{«Tangueta{G3}- Mensajes : 740
Fecha de inscripción : 16/02/2011
Localización : Buenos Aires
Re: INFO SOBRE VIRUS Y MALWARES
por ObiOne Lun Ago 20, 2012 7:04 pm
Ta madre san loko diria leemelo explicamelo kon tus palabras
ObiOne- Mensajes : 577
Fecha de inscripción : 10/11/2011
Re: INFO SOBRE VIRUS Y MALWARES
por Rabiiosa Mar Ago 21, 2012 12:55 am
FUAAAAA ESCRIBITE ALGO ARTERIX 
Rabiiosa- Mensajes : 169
Fecha de inscripción : 23/09/2011
Re: INFO SOBRE VIRUS Y MALWARES
por «Arte Mar Ago 21, 2012 2:42 am
Fue copia y pega jaja
no pense que iva a quedar tan largo perdonen!
Igual esta copado la info si alguien se copa a leer
saludos a todos gracias por visitar el post
no pense que iva a quedar tan largo perdonen!
Igual esta copado la info si alguien se copa a leer
saludos a todos gracias por visitar el post
«Arte- Mensajes : 380
Fecha de inscripción : 23/02/2012
Localización : cordoba
Re: INFO SOBRE VIRUS Y MALWARES
por »}ê|S|ä{«kakashi»{G2} Mar Ago 21, 2012 2:45 am
daa q ptt lo leere su puta madre 
»}ê|S|ä{«kakashi»{G2}- Mensajes : 1072
Fecha de inscripción : 22/02/2011
Localización : piura-peru
Re: INFO SOBRE VIRUS Y MALWARES
por »}ê|S|ä{«Netview{L} Mar Ago 21, 2012 8:26 am
ctrl + c y ctrl + v = no lei un carajo jajaja buen post
»}ê|S|ä{«Netview{L}- Lider
- Mensajes : 1580
Fecha de inscripción : 16/09/2011
Localización : Parana
Temas similaresPágina 1 de 1.
Permisos de este foro:
No puedes responder a temas en este foro.|
|
|