Professional Documents
Culture Documents
NDICE
Herramientas de proteccin de equipos informticos Comparacin entre 4 virus especficos: - I love you - Zone.H - Sasser.B - Blaster Recomendaciones de algunos programas gratuitos para la proteccin del equipo: - Avast - AVG - Dr. Web - Norton - Lookout Caractersticas del virus Stuxnet.
Es un virus de tipo Worm gusano, escrito en (gusano) Visual Basic Script que Aspectos: se propaga a travs de Peligrosidad: 1 - Mnima correo electrnico y de Difusin: Baja IRC (Internet Relay Dao: --Chat). Dispersibilidad: ---Miles de usuarios de todo el mundo, entre los - No tiene capacidad para ejecutarse automticamente que se incluyen grandes multinacionales e en cada reinicio del sistema. instituciones pblicas, - S tiene capacidad de se han visto infectados propagacin. por este gusano. - Mecanismo principal de Su procedencia es difusin: MM (se enva Manila y el autor se masivamente mediante apoda Spyder. mensajes de correo electrnico). Fecha de publicacin: 01/05/2000
Zone.H
Troyano para la Troyano Cuando Zone.H se plataforma Windows que ejecuta, realiza las descarga otros archivos siguientes Aspectos: maliciosos que, a su acciones: Peligrosidad: 3 - Media vez, descargan otros 1. Crea un fichero. Difusin: Baja archivos maliciosos. 2. Se comunica con servidores Dao: Medio remotos. Dispersibilidad: Baja 3. Descarga ficheros maliciosos - No tiene capacidad de que guarda con propagacin. nombres aleatorios - S tiene capacidad de en la carpeta de ejecutarse automticamente archivos en cada reinicio del sistema temporales. 4. Crea entradas Fecha de publicacin: del registro de 09/11/2010 Windows para que estos ficheros se Plataformas afectadas: ejecuten de nuevo Microsoft Windows con cada reinicio Vista/XP/Server 2008/Server del sistema.
2003/2000/NT/Me/98/95 Microsoft Windows de 32 bits. Adems de Microsoft Windows Vista/XP/Server 2008/Server 2003 Microsoft Windows de 64 bits.
Sasser.B Nombre completo: Worm.W32/Sasser.B Aspectos: Peligrosidad: 4 - Alta Difusin: Alta Dao: Medio Dispersibilidad: Alta - No tiene capacidad para ejecutarse automticamente en cada reinicio del sistema. - S tiene capacidad de propagacin. Fecha de publicacin: 02/05/2004 Tamao: - Tamao (bytes): 15.872 Plataformas afectadas: Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 Microsoft Windows de 32 bits.
Gusano que se propaga Worm utilizando la (gusano) vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem). Se propaga a equipos sin proteger frente a dicha vulnerabilidad. Sus posibles sntomas pueden ser: aviso de reinicio del equipo en 1 minuto y trfico en los puertos TCP 445, 5554 y 9996.
El gusano se copia a s mismo en el directorio de instalacin de Windows y crea archivos. Despus inicia hilos de ejecucin para escanear direcciones IP buscando sistemas vulnerables. Provoca un desbordamiento de bfer y detecta la versin del sistema operativo para utilizar diferentes exploits. El gusano se ejecuta e infecta el ordenador.
Blaster
Nombre completo: Se trata de un virus de Worm Worm.W32/Blaster@VULN+O gran propagacin ya que (gusano) tros hace uso de una vulnerabilidad de los Aspectos: sistemas, conocido Peligrosidad: 4 - Alta como "Desbordamiento Difusin: Media de bfer en RPC DCOM ". Dao: Alto Dispersibilidad: Alta - No tiene capacidad para ejecutarse automticamente
Este gusano explota la vulnerabilidad citada en la definicin ("Desbordamiento de Bfer en RPC DCOM"), una vulnerabilidad en llamadas a procedimiento remoto (RPC)
en cada reinicio del sistema. - S tiene capacidad de autopropagacin. Se propaga usando el puerto TCP 135, que no debera estar accesible en sistemas conectados a Internet. - Mecanismo principal de difusin: VULN (se difunde aprovechando alguna vulnerabilidad, tpicamente de servicios de red) adems de otros. Fecha de publicacin: 12/08/2003 Tamao: Tamao (bytes): 11.296 Tamao comprimido (bytes): 6.176 Plataformas afectadas: Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 Microsoft Windows de 32 bits.
mediante el modelo de objetos distribuidos (DCOM). Esta vulnerabilidad permite que un atacante remoto obtenga acceso total al sistema y ejecute sobre l un cdigo arbitrario. Los efectos destructivos consisten en lanzar ataques de denegacin de servicio con el web de Microsoft "windows update" y quizs provocar inestabilidad en el sistema infectado.
el control remoto del ordenador infectado. Es el primer rootkit conocido. Tanto su difusin, como los daos que provoca, y su dispersibilidad son bajos. An as ha sido muy importante. La principal va de infeccin es a travs de llaves USB, por lo que no es complicado infectar el equipo. Al adentrarse crea una serie de ficheros que son visibles con Windows Explorer , aunque una vez que se infecta lel equipo, los ficheros .tmp y .lnk de las llaves USB quedan ocultos., por lo que no quedan cabos sin atar. Stuxnet utiliza certificados legtimos de RealTek y Jmicron, necesarios para lograr instalar los drivers mrxcls y mrxnet en Windows Vista y Windows 7, ya que Windows 7 rechaza instalar drivers que no estn firmados con un certificado confiable, y Windows Vista te pregunta si deseas instalar programas que no estn firmados de esta forma. Los certificados son legtimos aunque ya han sido revocados. De esta forma ampl sus permisos de acceso a cualquier sistema operativo y as propagarse, sin tener ningn inconveniente. Otras vas de infeccin son a travs de recursos de red compartidos. Stuxnet tiene como objetivo los hosts que ejecutan el HMI de WinCC. Todos los componentes de WinCC utilizan en el mismo ordenador una base de datos para almacenar datos de configuracin. WinCC utiliza una contrasea "hardcodeada" (y conocida) para acceder a la base de datos. As, Stuxnet aprovecha esta grave vulnerabilidad de WinCC para lanzar consultas SQL y extraer informacin de direcciones IP y nmero de puertos utilizados en otras mquinas WinCC conectadas en el sistema de control, lo que le supone otra gran ventaja. Adems, Stuxnet instala un wrapper para la librera s7otbxdx.dll que es la utilizada por el SCADA WinCC para la comunicacin con los PLCs en campo. En realidad, cada vez que el sistema de control hace uso de esta librera, el gusano intercepta las llamadas a las funciones, y en algunos casos pasa directamente la llamada a la funcin de la dll legtima y en otros casos altera los datos enviados antes de pasrselos a la correspondiente funcin. Todas sus funciones estn relacionadas con la programacin de PLCs. Si este programa fuera alterado, el wrapper podra llegar a ocultar las modificaciones realizadas, de tal manera que los usuarios que tratasen de examinar el programa del PLC, desde un host Windows comprometido, ni se dieran cuenta de dicha modificacin. De este modo el gusano est afectando a tu ordenador pero tu no te das cuenta, lo que le ofrece ventajas a la hora de adentrarse en el equipo con tranquilidad. Adems Stuxnet puede alterar dicho programa. Conclusin: Se trata de un ataque bien dirigido que requiere amplios conocimientos de distintas disciplinas: robo de certificados, conocimiento del SCADA WinCC de Siemens, las vulnerabilidades 0-day, etc. Parece por tanto un ataque largamente planificado, y por alguien o algo con bastantes recursos. Esto provoca que gente normal que no tenga o no conozca los recursos suficientes para combatirlo. Al ser un virus tan complejo supone un avance en el desarrollo de virus, ya que conocer y trabajar con virus de este tipo supone, obviamente la apertura de conocimientos, y la incitacin a superarse y mejorar. Como queda demostrado por cuestiones anteriores lo consiguen.