virus

Virus y otros BITchos 1

Virus informáticosy otros BITchos

Junio - 2001

Juan José Nombela


Presentación personal

Libro “Virus informático”. Paraninfo (1990) Libro “Seguridad informática”. International Thompson Publishing-Paraninfo (1996) Autor del programa DETECTOR: detección del 98% de los virus existentes (1989-1993) Autor de los primeros antivirus (freeware) para los virus: Viernes 13, Ping Pong, Brain, Traceback, Cascade, MIX1, Form, Stoned, Flip y Holocausto (1989-1993) Colaborador PC World en artículos virus, comparativas antivirus y otros temas se seguridad (1991-1993) Proyecto fin de carrera “Sistema de protección frente a virus informáticos” (1992)


El País. 13 de febrero de 2001

El virus 'Anna Kournikova' afecta a ordenadores de EE UU y EuropaDiversas empresas que operan en Internet advirtieron ayer sobre la presencia de un nuevo virus que ofrece como gancho una fotografía de la tenista rusa Anna Kournikova. El virus apareció en ordenadores de Estados Unidos y Europa y es similar a I love you, que infectó a más de 15 millones de computadoras el año pasado. Anna Kournikova ha sido descubierto en los sistemas de más de 50 compañías...

El País. 31 de marzo de 2001

Un truco informático permite asaltar ordenadores con un correo. Cualquier programa puede autoejecutarse al hacer 'clic' en el mensaje

Leer un mensaje de correo electrónico es desde ayer muy peligroso, porque cualquier programa malicioso puede ser ejecutado automáticamente sin autorización previa. El truco está en cinco líneas de código en HTML, el lenguaje de programación empleado en el diseño de páginas web, para poder, por ejemplo, borrar toda la información de un disco duro ajeno o instalar en él material de pornografía infantil.

ABC, 22 de mayo de 2001

Un 'e-mail' en cadena alerta de un falso virus y recomienda borrar un importante archivo de 'Windows'Un correo electrónico titulado "URGENTE, NUEVO VIRUS" que actualmente se distribuye en cadena por Internet causa problemas por su mensaje y no por un archivo adjunto. El correo alerta de un falso virus y pide al usuario que busque y borre el supuesto gusano denominado Sulfnbk. exe, que es en realidad un archivo que forma parte del sistema operativo 'Windows' y cuya eliminación podría causar problemas...

ABC, 22 de mayo de 2001

Detienen a joven melillense como presunto autor de peligrosos virus informáticosLa policía de Melilla y los agentes de la Unidad de Delitos Informáticos de Madrid detuvieron a un joven melillense de 18 años, cuya identidad no ha sido facilitada, como presunto autor de virus informáticos considerados peligrosos listos para emitir y tras haber causado varios daños con otros.

EL Mundo, 7 de febrero de 2001

Correos electrónicos que alertan sobre virus inexistentesEntre los miles de mensajes que, a diario, se transmiten por correo electrónico se encuentran los hoaxes que, en la mayoría de los casos, avisan sobre peligrosos virus informáticos. A pesar de que sólo se tratan de rumores falsos sin base técnica real, suelen difundirse como la pólvora debido, en gran medida, al desconocimiento de los usuarios que tras recibir este e-mail lo reenvían a otras personas.

Noticias


Contenido presentación• Desde los virus primitivos hasta los actuales• ¿Cómo funciona un virus?

– Tipos de virus. Técnicas.

– Ciclo de vida

• Efectos de los virus• Otros BITchos peligrosos (malware)• Antivirus ¿Cómo funcionan? Antivirus comerciales• El futuro de los virus y antivirus• Consejos y más consejos• Direcciones web de interés


Theory and Organization of Complicated Automata. John V. Neumann, 194x Game of Life. John Conway, 196x Core Wars (AT&T). Varios, 197x Revelación detalles Core Wars. Ken Thompson, 1983 Pseudo-virus Cookie Monster Primer virus: Brain. Amjad y Basit. Pakistan, 1986 Viernes 13. Israel, 1987 PingPong (pelotita). Italia, 1987 Gusano de Internet. Robert Morris, 1988

Desde los virus primitivos hasta los actuales


Todo comenzó hace 13 años: Brain y Viernes 13, 1988 Ping Pong, 1989 Cascade Traceback Stoned/Marihuana 405 MIX1 Fu Manchu Holocausto/Telefónica Flip/Omicron Barrotes Michel Angelo, 1992 …

Los primeros virus en España


Los últimos virus Hoy en día están catalogados más de 60.000 virus Aparecen 200 nuevos cada semana Ultimos virus destacables:

W95/CIH (1998): borra ficheros del disco duro y la CMOS W97M/Melissa (1999) W32/ExploreZip (1999) VBS/LoveLetter, I love you (2000) W32/Navidad (2000) VBS/Stages, LifeStages (2000): formato SHS, se propaga por correo e IRC W32/Hybris (2000) : modifica WSOCK32.DLL, auto-actualizable con plugins que descarga de Internet, cifrado fuerte W32/SST, Kournikova (2001): Gusano cifrado, ingeniería social W32/Hydra (2001): Elimina de memoria antivirus, reemplaza ficheros adjuntos por .EXE VBS/VBSWG2 (2001): Gusano creado con generador

Debido a internet y el correo, hoy en día no hay demasiadas diferencias en las infecciones víricas de cada país. ¿Son estos virus más peligrosos que los primitivos? Probablemente no. Ahora es más rápido actualizar el antivirus a través de Internet y hay más información


Los últimos virus. Consejo Superior de Informática


Los últimos virus. VirusAttack (9/6/2001)Nombre Tipo Severidad FechaWorm/Hydra Gusano de internet Media 09/06/2001W32/Choke Gusano de internet Baja 06/06/2001W32/MsWorld Gusano de internet Baja 05/06/2001W32/MadonnaInfector de archivosBaja02/06/2001VBS/Loveletter.CM Gusano de internet Baja 29/05/2001VBS/NastySarahGusano de internetBaja28/05/2001VBS/NopedGusano de internetBaja23/05/2001W32/WeatherGusano de internetBaja21/05/2001W32/FeverGusano de internetBaja21/05/2001W32/HlamInfector multipleBaja21/05/2001VBS/MawanellaGusano de internetMedia16/05/2001VBS/NigthflightGusano de internetMedia16/05/2001CAD/ExTaCiSMacrovirus (AUTOCAD)Baja12/05/2001Worm/PuronGusano de internetMedia09/05/2001VBS/HomepageGusano de internetMedia08/05/2001VBS/HelperGusano de internetBaja30/04/2001VBS/VBSWG2.c Gusano Baja 27/04/2001


Tipos de virus Virus de ejecutables: Se introducen en ficheros .EXE, .COM, .DLL, etc Virus de arranque: Se ubican en sectores BOOT y MBR Virus mixtos o multiparte (ejecutables+arranque) Virus de macro: Se insertan en ficheros de MS Office (Excel, Word, Powerpoint). (desarrollados en VBA) Virus de script: Suelen propagarse mediante correos electrónicos (desarrollados en VBS, SHS, JS, ...)

Técnicas Polimorfismo: Cuando el virus se reproduce varía su código (muta con distintas formas) y, a menudo, utilizan cifrado aleatorio para dificultar su búsqueda. Stealth: Engañan a los programas que intentan detectarlos sustituyendo determinadas funciones del sistema operativo (ej. Virus Brain)

¿Cómo funciona un virus?


1) Entrada al sistema. Según las estadísticas las vías son: Correo electrónico 87% Disquetes o CD-ROM 7% Internet 2% Otros 4%

2) Activación: El código del virus se ejecuta y pasa a memoria tomando el control del sistema.

Virus de ejecutable: por ejecución directa del programa infectado (se encuentra oculto dentro de otro programa, incitación a su ejecución con ingeniería social) o aprovechando fallos del navegador o cliente de correo Virus de macro: apertura de fichero con macro (en Word al abrir un documento infectado el virus se copia a la plantilla Normal.dot y de ahí a otros documentos) Virus de arranque: arranque desde disco infectado.

3) Propagación: Crea copias de si mismo y las introduce en otros programas (los que se ejecutan, se abren para ser escaneados, los de un directorio visualizado (infectores rápidos), etc.), documentos, se auto-envía a las direcciones de correo de nuestra libreta o se propaga a través de un canal IRC.

4) Manifestación: Puesta en marcha de sus efectos (carga o payload), en muchos casos destructivos o, como poco, molestos.

Ciclo de vida de un virus


PayloadDesde visualizar un mensaje hasta ... Borrado de ficheros Corrupción de ficheros Borrado del contenido de la configuración en la CMOS Formateado del disco duro Pérdida de confidencialidad (virus que envían por correo o en forma de paquete documentos contenidos en nuestro disco) Establecimiento de puertas traseras

Efectos laterales Fallos en el sistema y bloqueos No disponibilidad de los sistemas/Bloqueo de servidores (Melissa y LoveLetter provocaron la desconexión de servidores Exchange e incluso redes corporativas completas) Ralentización del sistema

Efectos de los virus


Otros BITchos peligrosos (malware)

• Gusanos (Gusano de Internet, 1988) / i-worms (Melissa)

• Caballos de Troya• Puertas traseras (Backdoors)• Virus Manuales• Virus en PDAs y telefonía móvil • Bulos (Hoaxes)


Virus Manuales• Virus Manolo

“Soy un virus muy pobre porque mi creador no tiene experiencia en programación. Por favor, borra todos tus ficheros por mí y envíame a todos tus amigos y miembros de tu lista de correo.Gracias por tu colaboraciónManolo”

• Virus Pacheco

“Soy un virus arrepentido que he provocado daños y molestias a muchos usuarios en las últimas semanas. Por favor, avisa a tus amigos envíandoles este correo y después bórralo para evitar más daños.

Perdón por las molestias que haya podido ocasionar.”

• Virus Manual: Normalmente son correos donde se indica que para eliminar un nuevo virus muy peligroso hay que borrar un determinado fichero. En realidad, el fichero es un programa crítico del sistema operativo que al borrarlo provoca la imposibilidad de arrancar posteriormente el ordenador(por ejemplo: W32/Magistr: Invita a que se borre el fichero de Windows SULFNBK.EXE)


Virus en PDAs y telefonía móvil (GSM, WAP, GPRS, UMTS)

• PDAs: – Virus para Palm: Liberty, Phage.A, Vapor A.

– ViruScan Wireless de McAfee protege dispositivos PalmOS, Windows CE y Symbian (www.nai.com)

– Antivirus gratuito para Palm OS 3.0 y superior de Computer Associates (www.ca.com)

• GSM: Spam de mensajes cortos (SMS) (p.e. Timofónica)• WAP: Antivirus de McAfee para dispositivos Nokia Communicator, Ericsson R380 y Handspring VisorPhone (www.nai.com). Chequeos en pasarelas WAP


Hoaxes


Antivirus ¿Cómo funcionan?. Detección de virus

Detección en disco (correos, ficheros y sectores) de virus conocidos (recomendable buscar primero en memoria):

Búsqueda de fragmentos/patrones de código característicos (cadenas bytes) Virus polimórficos Búsqueda de múltiples cadenas para cada virus Si el virus recurre a cifrado con clave aleatoria Búsqueda del código que se encarga de descifrar (decryptor) o utilización de emulador Virus stealth Si está activo, intentará engañar al buscador de cadenas

Técnica heurística para detección de virus desconocidos Búsqueda de código común en los virus (escritura en ejecutables o sectores, cifrado del código, búsqueda de ficheros, etc.). Problema de los falsos-positivos. Emuladores: ejecución de virus en una especie de máquina virtual para que se descifren y queden expuestos a su detección por las técnicas anteriores Detección de determinadas actividades u operaciones sospechosas en el sistema (escritura en ficheros ejecutables, modificación del sector de arranque, cambio vectores de interrupción, etc) Registro de características de los ficheros (tamaño, checksum, fecha de creación, etc.) y comparación posterior con el estado pregrabado


¿Cómo funciona un antivirus?. Eliminación de virus Virus de fichero. Opciones:

Eliminar ficheros infectados Intentar extirpar la parte infectada y reconstruir el fichero.

Ejemplo: Fichero .EXE Hay que encontrar la dirección donde comenzaba a ejecutarse el programa antes de estar infectado y restablecerla en la “cabecera”. Además truncar el fichero para eliminar el virus que está al final. Eliminación básica en fichero .EXE:

PUSH DS

PUSH AX

CMP AH, 2

CMP DS:[ 10F8], DL

…

<fin programa>

10F2 PUSH DS

PUSH AX

CMP AH, 2

CMP DS:[ 10F8], DL

…

<fin programa>

CMP AH, E0

MOV AX, 300

CMP AH, DD

…

JMP 10F2

10F2

7CF5

Infección Desinfección

PUSH DS

PUSH AX

CMP AH, 2

CMP DS:[ 10F8], DL

…

<fin programa>

CMP AH, E0

MOV AX, 300

CMP AH, DD

…

JMP 10F2

7CF5

Virus de arranque (BOOT y MBR): Buscar el sector original (tiene que estar almacenado en algún sitio) y reemplazar el infectado por este.

Virus de macro: Eliminar macro del fichero infectado

10F2

Cabecera: Dirección

comienzo 10F2Cabecera: Nueva

dir. comienzo 7CF5

Cabecera: Restablecer d. comienzo original 10F2

Código

del virusSalto a dirección

original de comienzo

del programa


Software antivirusMejor Antivirus

• Hispasec (comparativa PC Actual Abril 2001): Antiviral Toolkit Pro (5.000 pts)

• PC World (comparativa Abril 2001): Norton Antivirus 2001

Antivirus VB100% (April 2001) Computer Associates InoculateIT v4.53, Vet Anti-Virus v10.2.10.0

Frisk F-Prot v3.09

NAI VirusScan v4.5.0.534

Norman Virus Control v5.0

Panda AntiVirus Platinum v6.23.00

Sophos Anti-Virus v3.43

Symantec Norton AntiVirus v7.50.846


Chequeos online frente a virus


Los nombres de los virus• No existe una convención para dar nombres a los virus• A veces el mismo virus es identificado con nombres muy diferentes• Sin embargo, algunos prefijos son comunmente adoptados:

– W32 Windows 95, 98, NT– W95 Windows 95– WNT Windows NT– W2K Windows 2000– WM Macro en cualquier MS Word– W97M Macro en MS Word 97– XM Macro en MS Excel– AM Macro en MS Access– VBS Script de Visual Basic– JS JavaScript– Worm, Trojan, BackDoor, ...


Consejos de protección frente a virusInternet y correo electrónico• Ser precavidos cuando se descarguen ficheros desde Internet Asegurarse de que provengan de sitios web fiables (tendrán antivirus incluso mucho más actualizados que los nuestros)• Poner un nivel de seguridad Mediano o Alto en el navegador de Internet• Actualizar nuestros programas con los parches que sacan los fabricantes para tapar agujeros de seguridad (principalmente nuestro navegador y cliente de correo)• No reenviar por correo alertas sobre virus que no provengan de una fuente fiable. De otra forma, podemos estar distribuyendo un Hoax. Si sospechamos, enviar al administrador• No abrir ficheros incluidos en los correos que provengan de fuentes desconocidas o sospechosas• No abrir ficheros incluidos en los correos si se desconoce lo que son aunque provengan de fuentes conocidas (muchos gusanos utilizan la lista de direcciones personales para reenviarse por lo que nos llegarán de personas conocidas)• No ocultar las extensiones para los tipos de archivos conocidos


No abrir/ejecutar ficheros sospechosos


No ocultar extensiones de tipos de archivos conocidos

Se podría

también

detectar por

el icono puesto

que si fuese

una imagen

este sería:

El nombre completo del fichero adjunto (un gusano en realidad) tiene el nombre AnnaKournikova.jpg.vbs

pero al ser .vbs una extensión conocida no se muestra. Aparece pues como AnnaKournikova.jpg como si

fuese una imagen (foto de la tenista) para engañar al usuario y conseguir que la abra sin temor.


Otros consejos de protección• Actualizar nuestro antivirus frecuentemente (ficheros .DAT y Scan Engines)• Activar la protección antivirus en macros de ficheros de MS Office (Excel, Powerpoint, Word)• Mantener disquetes protegidos contra escritura cuando sólo se vaya a leer de ellos• Establecer secuencia de arranque con el disco duro (C:) como primera opción• Tener un disquete de arranque libre de virus para poder arrancar desde él en caso de infección o sospecha de la misma• Si sospechamos que podemos tener un virus (el sistema va muy lento, hay algunos ficheros extraños, aumento de tamaño de algunos ficheros, etc), buscar síntomas en alguna de las web que tienen enciclopedia de virus. Enviar ficheros sospechosos al fabricante del antivirus• Estar informado de los nuevos virus y sus efectos (lista de suscripción, alertas)• Efectuar copias de seguridad frecuentemente de toda la información importante (no olvidar Favoritos de internet, ficheros de agenda , ficheros de correos, etc.) y mantener en las copias varias versiones de los documentos más importantes


Direcciones web de interés• Virus Attack (virusattack.xnetwork.com.ar): La información más completa sobre virus.

• VirusProt (www.virusprot.com): Calendario de virus, boletín de noticias, historia de los virus, alertas...

• Hispasec (www.hispasec.com): Comparativa antivirus, alertas, información general seguridad...

• Consejo Superior de Informática (www.map.es/csi/pg7060.htm): Centro de alerta temprana de virus

• Security Portal (securityportal.com/virus): Top 20, Hoaxes, glosario de términos...

•Virus Bulletin (www.virusbtn.com): Calificación antivirus VB100%

•ICSA (www.icsa.net): Estudios impacto virus, evaluación antivirus...

• Kriptopolis (www.kriptopolis.com/vir/index.html): Información general seguridad

• Criptonomicón (www.iec.csic.es/criptonomicon): Información general seguridadOtros

• Virus Encyclopedia (www.commandcom.com/virus/joe_wells.html)

• A List of Viruses in the Wild (www.wildlist.org)

• Naming Conventions (www.symantec.com/avcenter/venc/vnameinfo.html)

• PakCert Virus Alert News (pakcert.com.pk/pages/Virus_Database_pakcert2.htm)

• SecurityFocus (www.securityfocus.com/frames/index.html?focus=virus)


Direcciones web Antivirus• Antivirus Sophos (www.sinutec.com y www.sophos.com)

• Antiviral Toolkit Pro (www.kaspersky.com)

• Antivirus Doctor Web (www.espanadir.com/drwebsp/index.shtml)

• Computer Associates (www.cai.com)

• F-secure (www.f-secure.com)

• Network associates (www.nai.com)

• Panda Antivirus (www.pandasoftware.es): Chequeos online gratuitos, alertas...

• Symantec (www.symantec.com): Enciclopedia de virus

• Trend Micro (www.antivirus.com): Chequeos on-line gratuitos, enciclopedia de virus, alertas, lista Top 10, hoax

Technology

virus