You are on page 1of 13

ANEXOS

Unidad 1

TRUCOS DE ACTUALIDAD

Uno de los trucos más utilizados por la ingeniería social es el de incluir nombres o
frases de temas que, en el momento de su creación, se encuentran de máxima
actualidad, para así conseguir un mayor interés por el mensaje enviado. Sin ir más
lejos, uno de los últimos virus aparecidos en escena ha sido el Prestige, un nuevo
gusano de correo electrónico que hace alusión a la catástrofe del petrolero del
mismo nombre. En este caso, el mensaje de correo electrónico que recibe el
usuario y que lleva por asunto: “fotos INEDITAS del PRESTIGE en el fondo del
Atlántico”, lleva un archivo adjunto que, supuestamente, permite acceder a
material fotográfico de gran valor. Sin embargo, lo que realmente incluye dicho
fichero es un virus informático.

Uno de los hechos que más conmoción ha causado en las últimas décadas ha sido
el ataque terrorista que sufrió la ciudad de Nueva York el 11 de septiembre de
2001. Cuando se cumplía su primer aniversario, algunos hackers también
aprovecharon para desarrollar varios virus informáticos relacionados con estos
atentados. Así por ejemplo, apareció un nuevo gusano denominado Nedal, Laden
leído al revés, que se propagaba por correo electrónico y por algunos programas de
chat como el mIRC. Además, como todo gusano de correo, tenía la capacidad de
auto enviarse a todos los contactos de la libreta de direcciones del programa
Outlook.

Otros acontecimientos de actualidad, como el primer centenario de la
independencia de Filipinas, el 12 de junio de 1898; o el Mundial de Francia de 1998
también han servido de gancho para que miles y miles de internautas infecten sus
ordenadores a través de la Red.

2. PERSONAJES FAMOSOS

Otra de las formas empleadas por los creadores de virus para llamar la atención de
los internautas es utilizar el nombre de un personaje famoso, ya sea del mundo del
deporte, de la vida política o del espectáculo, para atraer a un mayor número de
víctimas. Uno de los ejemplos más famosos de este tipo es el virus Ana Kournikova,
un gusano de Internet, descubierto el 11 de febrero de 2001, que se aprovecha de
esta circunstancia para hacer creer a los usuarios que se trata de un fichero gráfico
con extensión JPG, cuando en realidad se trata de un código malicioso.

Asimismo, cantantes como Jennifer López, Shakira o Thalía, también han tenido el
dudoso honor de servir de inspiración para virus informáticos. Así por ejemplo, el
código malicioso de la cantante y actriz Jennifer López, descubierto el 31 de mayo
de 2001, era una nueva variante del famoso gusano del amor o LoveLetter y, como
novedad, hacía alusión a la artista portorriqueña, de gran popularidad en todo el
mundo.

Sin embargo, el mundo de la política tampoco se ha escapado de estos ataques y
personajes como George Bush o Hugo Chavez también han sido víctimas de estas
creaciones. Chavez, un gusano descubierto el 3 de junio de 2002, tiene la
particularidad de que se puede propagar por cualquier medio, ya sean disquetes
infectados, envío de correo de forma directa haciendo uso de servidores propios
SMTP o a través del puerto 25, vía FTP.
3. “HAPPY CHRISTMAS”

Al llegar la Navidad es habitual que proliferen e-mails que adjuntan pequeñas
aplicaciones gráficas, en forma de felicitaciones de Pascua o del nuevo año.
Conscientes de ello, los creadores de virus aprovechan para generar códigos que,
bajo un inocente aspecto, aluden a la Navidad para engañar al usuario y conseguir
que ejecute el archivo que contiene al código malicioso, contribuyendo así a su
difusión.

Entre los gusanos que aprovechan el mencionado recurso destaca Klez.l, debido a
su capacidad para variar los asuntos de los mensajes en los que se envía. Esta
característica, que dificulta su identificación por parte de los usuarios, le permite
generar los asuntos de los e-mails en los que se propaga a partir de las palabras
que aparecen en alguno de los archivos que se encuentran en el ordenador al que
ha afectado. Debido a las fechas en las que nos hallamos, muchos archivos de los
usuarios aluden, de forma expresa, a la Navidad. Esto explica que, en los últimos
días, se hayan notificado incidencias de e-mails que incluyen la variante “I” de Klez,
que ha utilizado como asunto de dichos mensajes textos como: “Happy Christmas”,
“Happy excite Christmas”, “Happy funny Christmas”, etc.

Por su parte, el código Bride.B también aprovecha la Navidad para atraer la
atención del usuario incluyendo la siguiente frase: “I wish you a merry Christmas
and a happy new year” (“Te deseo unas felices navidades y un feliz año nuevo”).
Para impedir que estos virus camuflados en felicitaciones navideñas infecten los
equipos, el Centro de Alerta Antivirus aconseja no bajar la guardia y extremar las
precauciones con los mensajes de correo electrónico que se reciban. Asimismo,
recomiendan actualizar regularmente sus soluciones de seguridad y evitar ejecutar
ficheros adjuntos a mensajes de correo sin haberlos analizado previamente con un
antivirus.

Unidad 3

3.2.2.2. Detección mediante un escaneado on-line

Este tipo de escaneo se realiza de forma instantánea a través de páginas web que
contienen herramientas capaces de chequear nuestro ordenador.

La siguiente tabla muestra la dirección de algunas páginas desde las cuales es
posible realizar un escaneo de este tipo.

PÁGINAS EN CASTELLANO

http://www.upseros.com/portscan.php Permite seleccionar entre el escaneo de
puertos y un test de la velocidad de
conexión. Seleccionando la opción
Scanner de puertos se realiza
directamente un escaneo remoto de los
'puertos bien conocidos' de la máquina
analizada. Detecta el proxy.
Muestra el resultado en el propio
navegador, indicando en que estado se
encuentra cada uno de los puertos
estudiados.
http://onlinecheck.emsisoft.org/es/ Permite realizar cuatro tipos de chequeo:
de puertos, de seguridad, de falencias y
del navegador. Seleccionando únicamente
la primera opción, el servidor realiza un
escaneo remoto de los puertos más
conocidos, comprobando cuáles están
cerrados. El resultado se presenta en el
navegador y se puede imprimir o guardar
en un archivo. Exige la desactivación del
cortafuegos.
PÁGINAS EN INGLÉS

http://scan.sygate.com/prequickscan.html Presenta varias opciones. La primera de
ellas se activa seleccionando Quickscan y
haciendo clic sobre el botón Scan. Realiza
un escaneo desde un sistema remoto de
los puertos más comunes, los utilizados
por algunos troyanos y los protocolos,
sólo del sistema local, clasificándolos
como abiertos, cerrados o bloqueados. El
estado ideal de los puertos debe ser de
bloqueo, equivalente al estado de sigilo,
en el cual, los puertos no sólo están
cerrados sino que además permanecen
ocultos a cualquier escaneo. Si el sistema
sale a Internet a través de un proxy,
chequea los puertos de este y no los de la
máquina correcta.
http://www.blackcode.com/scan/index.php Hay que activar la casilla que da permiso
para escanear nuestra máquina y hacer
clic sobre el botón START SCAN. El
escaneo se realiza en dos pasos: en
primer lugar se escanean los puertos más
comunes y después los que suelen ser
utilizados por determinados troyanos.
Devuelve el resultado en el navegador
desde el que se activó el escaneo.
La operación tarda unos minutos.
https://grc.com/x/ne.dll?bh0bkyd2 Tras hacer clic sobre el segundo botón
Proceed se visualiza la herramienta
Shields Up Services que, mediante la
opción Common Ports realiza un análisis
en remoto del estado de los primeros
1056 puertos. El resultado se muestra a
través del navegador en forma de tabla
donde no deben aparecer cuadros de
color rojo (puertos abiertos). Text
Summary es un archivo de texto que
recoge el resultado.
http://www.hackerwatch.org/probe/ Permite la realización de varios test, entre
ellos, uno sencillo (Simple probe) y otro
de los puertos más utilizados (Port Scan).
El resultado se muestra en lapantalla del
navegador.

La siguiente tabla muestra el resultado obtenido con el escaneo de la página
http://www.upseros.com/portscan.php
La siguiente tabla ha sido obtenida con la herramienta QuickScan de la página de
Sygate.
Unidad 4

RANKING DE GUSANOS

Según una famosa empresa española, famosa por sus antivirus, el ranking de los
gusanos más destacados a lo largo de todo el año 2004 es el siguiente:

1- El más dañino fue Sasser, que no sólo ocasionó una de las epidemias más
graves que se recuerdan, sino que, además, sus efectos son terriblemente molestos
para los usuarios, que se ven imposibilitados de utilizar sus equipos debido a
continuos reinicios del ordenador.
Aprovecha un desbordamiento de buffer en el servicio LSASS de Windows para
infectar a otros sistemas de forma automática. A diferencia de los gusanos
convencionales que se propagan por correo electrónico, y que esperan que un
usuario ejecute el archivo adjunto infectado, Sasser es capaz de infectar los
sistemas vulnerables automáticamente, al estilo del conocido Blaster, y deja una
puerta trasera que permite la intrusión a terceros.

Sasser puede infectar sistemas Windows 2000 y Windows XP que no hayan aplicado
el macroparche MS04-011 que Microsoft distribuyó en abril de 2004.

Los ordenadores infectados por Sasser abren un servicio FTP en el puerto TCP/5554
para permitir la descarga del ejecutable del gusano. Para infectar a otros sistemas,
el gusano realiza un barrido de direcciones IP semialeatorio, intentando conectar
con el puerto TCP/445 de cada una de ellas (puerto por defecto donde se encuentra
el servicio LSSAS vulnerable).

El 25% de las direcciones IP a las que se dirige pertenecen a la misma clase A que
la dirección IP del ordenador infectado, otro 25% corresponderá a la misma clase B,
mientras que el 50% restante son calculadas completamente al azar.

Cada vez que consigue contactar con el puerto TCP/445 en alguna de las IPs, envía
código para explotar la vulnerabilidad LSASS, de forma que si el sistema es
vulnerable logra abrir un shell en el puerto TCP/9996. Desde ese shell fuerza una
conexión al puerto TCP/5554 del ordenador infectado desde el que realizó el
barrido, para descargar por FTP el ejecutable del gusano. El nombre del archivo
descargado será [numero]_up.exe, donde [numero] equivale a una serie de dígitos
al azar, por ejemplo 23983_up.exe.

En el nuevo sistema el gusano se copia en la carpeta de Windows como
avserve.exe con un tamaño de 15.872 bytes, y añade la siguiente clave en el
registro de Windows para asegurarse su ejecución en cada inicio de sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"avserve.exe"="%Windir%\avserve.exe"

El nuevo sistema infectado actuará entonces como otro punto de distribución,
iniciando un nuevo barrido de IPs en busca de otros sistemas vulnerables a los que
infectar.

Síntomas

Además de detectar la entrada en el registro, el archivo avserve.exe en la carpeta
de Windows, o el proceso avserve.exe en memoria, otro síntoma que nos puede
indicar que un sistema se encuentra infectado es una ralentización general, que
será provocada por el consumo de CPU que provocan los 128 hilos de ejecución que
el gusano lanza para realizar los barridos de IPs.

Otras evidencias visibles a primera vista son las ventanas de Windows alertando de
problemas en LSA Shell o de errores en lsass.exe y el reinicio del sistema,
provocados por la explotación del desbordamiento de buffer del servicio LSASS.

Desinfección

Como primera medida de prevención para no volver a infectarnos por el gusano,
debemos instalar el parche MS04-011. A continuación podemos finalizar el proceso
avserve.exe de la memoria con el administrador de tareas, eliminar el ejecutable
avserve.exe de la carpeta de Windows, así como la entrada del registro que hace
referencia a él, comentada con anterioridad. Adicionalmente, también puede
borrarse el archivo win.log de la raíz de la unidad C:, creado por el gusano.

2- El más sofisticado resultó ser Noomy.A, un virus que construye páginas web
infectadas por doquier y envía mensajes a canales de chat como si de un usuario
real se tratase.

Este gusano se envía en forma masiva por correo electrónico, a todas las
direcciones extraídas de archivos con las siguientes extensiones de la máquina
infectada:

.dbx
.htm
.html
.php

Se propaga en mensajes con los siguientes asuntos:

Re: eCard Delivery Error:
Re: VoiceMail to
- Delivery Error You`ve got 1 new eCard!
bad request server not found!
One new VoiceMail! ID:
One new eCard! ID:
New eCard in your inbox!
You got one VoiceMail!
See online!
Num: One new eCard from
Num: One new voicemail from
Mail Delivery (error )
Re: Message Error! mail:
Bad Request Server not found!
Re: Mail System Error - Returned Mail
Extended mail system error:
Re: Mail Delivery Error!
Protected Mail Server invalid!
Re: Mail Delivery: - Error
Re: mail error num:
- Returned mail: see transcript for details
Warning!!!
Why you SPAM?
Last notice!
Re: Regard ! Please read...
This is not OK !
Don't spam!!!!!
Question about YOUR SPAM!!
Information!You spam this email:
Last chance!STOP SPAM THIS EMAIL:

Utiliza nombres de archivos adjuntos seleccionados al azar, y cuando se ejecuta
muestra un mensaje de error falso con el siguiente texto:

CRC error: 5418#223 Close file
El gusano utiliza la interfase Winsock para enviarse. Ello requiere que el archivo
MSWINSCK.OCX esté presente en el sistema. Si no lo encuentra, el gusano
intentará descargarlo de un sitio predeterminado de Internet.

Crea una carpeta llamada SYSTEMBCK dentro de Windows, y se copia en ella con
varios nombres, además de copiarse en la carpeta del sistema:

c:\windows\sysconf32.exe
c:\windows\systembck\[nombres al azar]

El gusano crea también los siguientes archivos:

c:\windows\emls.tmp
\ReAd_ThiS_ShiT.txt
\StpLogs.vbs
\Pingme.bat

EMLS.TMP es una copia del mensaje enviado. Para ejecutarse automáticamente en
cada reinicio, el gusano crea la siguiente entrada en el registro de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows HTML file reader = c:\windows\sysconf32.exe

El gusano también puede propagarse enviando otros mensajes en forma de spam a
través del correo electrónico, o de los canales de IRC (Internet Relay Chat). Los
mensajes invitan al usuario a descargar archivos de un servidor HTML oculto en los
equipos infectados. Este servidor da acceso a los usuarios engañados a la carpeta
C:\WINDOWS\SYSTEMBCK\ que contiene copias del propio gusano con diferentes
nombres.

El servidor HTML también permite a un intruso registrar y visualizar varios aspectos
del equipo infectado. Existe una opción para eliminar todos los archivos con
extensión .SYS de la carpeta raíz, lo que puede dificultar el reinicio de Windows. El
intruso puede además, instalar otros programas maliciosos en el sistema.

El archivo PINGME.BAT liberado en la carpeta raíz, contiene las instrucciones para
intentar un ataque de denegación de servicio (DoS), a los siguientes sitios de
Internet:
www.kaspersky.com
www.microsoft.com
www.sophos.com

3- El más musical fue Netsky, que cuando infecta un ordenador emite una melodía
muy peculiar durante tres horas seguidas. La siguiente dirección muestra las
características de Netsky P, una variante de este gusano, así como el método de
desinfección:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=3713

4- El “premio” al más camuflado correspondió a las variantes del gusano Bagle que
se envían comprimidas en archivos ZIP con contraseña, lo que evita que los
antivirus puedan analizarlos cuando entran en los equipos.

Una amplia información sobre de una de sus variantes de este gusano (Bagle.AT)
puede obtenerse en la siguiente dirección:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4414
4- Zafi.D es el más oportunista y políglota. Por una parte se disfraza como una
felicitación de Navidad, aprovechándose de la cercanía de tan entrañables fechas y,
por otra, se envía en una gran variedad de idiomas. Para más información, visitar la
siguiente página:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4554

5- Tasin.C ataca a los amantes de la pornografía. Descarga una imagen de un
personaje muy conocido en España con “escasa” indumentaria. Obtuvo el diploma
de más pícaro. Amplia información de este gusano en la siguiente página:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4492

6- El título de más esquizofrénico se lo ganó el gusano Bereb.C, capaz de utilizar
442 nombres distintos para propagarse a través de aplicaciones P2P. Se supone
que ni siquiera su autor se acordará cómo se llamaba el archivo original que
contenía el gusano. Información en:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=3434

Unidad 5

FABRICANTES DE SPYWARE

La siguiente tabla contiene una relación de los nombres de las principales empresas
fabricantes de spyware y de sus páginas Web.

EMPRESA PÁGINA WEB EMPRESA PÁGINA WEB

Adserver www.adserver.com Gator www.gator.com
Adforce www.adforce.com GoHip www.gohip.com
Adsmart www.adsmart.net Matchlogic www.matchlogic.com

AdSoftware www.adsoftware.net OnFlow-Player

Alexa Qualcomm www.qualcomm.com
Radiate
Adware www.cexx.org/aureate.htm
(Aureate)
Conducent www.cexx.org/conducent.htm Real Networks www.realnetworks.com
CometCursor www.cometcursor.com Teknosurf www.teknosurf.com
Cydoor www.cydoor.com TimeSink

Doubleclick www.doubleclick.com/us/ Web3000 www.web3000.com
DSSAgent www.cexx.org/dssagent.htm Webferret www.webferret.com

EverAd www.everad.com Webhancer www.webhancer.com

Flycast www.Flyswat.com Worldonline www.worldonline.com

Para ver una lista completa de fabricantes y comerciales, lo mejor es visitar el sitio
http://www.spywareguide.com y seleccionar la sección List of Companies.
PROGRAMAS

UNIDAD 1
• a2 Guard http://www.emsisoft.org/es/ Ad-aware SE Personal Edition
http://www.lavasoftusa.com/software/adaware/
• Plugins para la traducción al castellano de Ad-Aware:
- llangs.exe
- Plmessengerctrl.exe

UNIDAD 2
• EasyCleaner
- Programa EasyCleaner_2_0.exe
- Parche de traducción al castellano EasyCleaner_esp.zipMindSoft Utilities 8.0
MUT8.zipMBSA MBSASetup-en.msiTrust Setter Trust-setter.zipAnonymity 4 Proxi
- Programa a4proxy.exe
- Parche de traducción al castellano a4languages.zip
• Compresores
- IZArc IZArc35.exe
- WinZip winzip90.exe

UNIDAD 3
• PCSuper Scanner pcscanner.exe Advanced Port Scanner pscan11.exe Superscan
superscan.exeEthereal ethereal-setup-0.10.12.exeManual Agnitum Outpost Pro
agnitum.zipManual Kerio kerio.zip
• Manual ZoneAlarm zonealarm.zip

UNIDAD 4
• Antivir Personal Edition avwinsfx.exeAVG Free Edition avg70free_322a531.exe
Process Explorer Process Explorer.zip
• Stinger stinger.zip

UNIDAD 5
• EarthLink EarthLinkToolbar.exeCheckdialer checkdialer.exeSpybot
spybotsd14.exeBugnosis bugnosis1-3.exerestIE restIE.exe Spyware Doctor
Spyware Doctor 3.2.0.342 Serial.rar
• SpywareBlaster spywareblastersetup34.exe

UNIDAD 6
• Cryptainer cryle-esp.exeHashCalc hashcal.zip
• PGP 8 PGP8.zip

UNIDAD 7
• Manual SSL.pdf manual de ssl.zip