CORECI 2006

Tecnological American
Center

Virus Informticos y Hack en

Internet

Virus informticos
Existe cierta controversia sobre la definicin de virus informtico. Quizs la ms
aceptada pertenece a Fred B. Cohen, quien en 1984 escribi su tesis doctoral acerca
de los virus, definindolos como un programa de ordenador que puede infectar otros
programas modificndolos para incluir una copia de s mismo.
Los virus informticos tienen bsicamente la funcin de propagarse, replicndose, pero
algunos contienen adems una carga daina (payload) con distintos objetivos, desde
una simple broma hasta realizar daos importantes en los sistemas, o bloquear las
redes informticas generando trfico intil.
El funcionamiento de un virus informtico es conceptualmente simple: ejecutando un
programa infectado (normalmente por desconocimiento del usuario) el cdigo del virus
queda almacenado (residente) en la memoria RAM del ordenador, aun cuando el
programa que lo contena haya terminado de ejecutarse. El virus toma entonces el
control de los servicios bsicos del sistema operativo, infectando los posteriores
ficheros ejecutables que sean abiertos o ejecutados, aadiendo su propio cdigo al del
programa infectado y grabndolo en disco, con lo cual el proceso de replicado se
completa.

Concepto de Virus
Informtico
Son los programas creados por especialistas de computacin con la
finalidad premeditada de alterar el funcionamiento normal del
computador,, presentan las siguientes caractersticas:
Se reproducen a s mismos.
Se insertan o afectan los programas ejecutables.
Se cargan a la memoria del computador pudiendo reproducirse y
copiarse en diskettes y/o software instalado en el disco duro
(infeccin)
Pueden alterar, destruir o borrar la informacin contenida en las
computadoras.

Tipos de
virus

Tipos de virus
Los virus informticos se pueden clasificar siguiendo criterios muy diversos.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.

Residentes
De accin directa
De sobreescritura
De boot
De macro
De enlace o directorio
Encriptados
Polimrficos
Multipartites
De fichero
De compaa
De FAT
Gusanos
Troyanos
Bombas lgicas
Virus falsos

Clasificac
in
Los virus se pueden clasificar en funcin de mltiples

caractersticas y criterios: segn su origen, las tcnicas que

utilizan para infectar, los tipos de ficheros que infectan, los lugares
donde se esconden, los daos que causan, el sistema operativo
o la plataforma tecnolgica que atacan, etc.
Todas estas clasificaciones tienen muchos puntos en comn, por
lo que un mismo virus puede pertenecer a varias categoras al
mismo tiempo.
Por otro lado, continuamente surgen nuevos virus que por su
reciente aparicin o por sus peculiares caractersticas no pueden
ser incluidos inicialmente en ninguna categora, aunque esto no es
lo habitual.

Virus residentes
La caracterstica principal de estos virus es que se ocultan en la memoria
RAM de forma permanente o residente. De este modo, pueden controlar e
interceptar todas las operaciones llevadas a cabo por el sistema operativo,
infectando todos aquellos ficheros y/o programas que sean ejecutados,
abiertos, cerrados, renombrados, copiados, etc.
Estos virus slo atacan cuando se cumplen ciertas condiciones definidas
previamente por su creador (por ejemplo, una fecha y hora determinada).
Mientras tanto, permanecen ocultos en una zona de la memoria principal,
ocupando un espacio de la misma, hasta que son detectados y eliminados.
Algunos ejemplos de este tipo de virus son: Randex, CMJ, Meve,
MrKlunky.

Virus de accin
directa
Al contrario que los residentes, estos virus no permanecen en
memoria. Por tanto, su objetivo prioritario es reproducirse y actuar
en el mismo momento de ser ejecutados. Al cumplirse una
determinada condicin, se activan y buscan los ficheros ubicados
dentro de su mismo directorio para contagiarlos.
Adems, tambin realizan sus acciones en los directorios
especificados dentro de la lnea PATH (camino o ruta de directorios),
dentro del fichero AUTOEXEC.BAT (fichero que siempre se encuentra
en el directorio raz del disco duro).
Los virus de accin directa presentan la ventaja de que los ficheros
afectados por ellos pueden ser desinfectados y restaurados
completamente.

Virus de
sobreescritura
Virus de sobreescritura
Estos virus se caracterizan por destruir la informacin contenida
en los ficheros que infectan. Cuando infectan un fichero, escriben
dentro de su contenido, haciendo que queden total o parcialmente
inservibles.
Tambin se diferencian porque los ficheros infectados no aumentan
de tamao, a no ser que el virus ocupe ms espacio que el propio
fichero (esto se debe a que se colocan encima del fichero infectado,
en vez de ocultarse dentro del mismo).
La nica forma de limpiar un fichero infectado por un virus de
sobreescritura es borrarlo, perdindose su contenido.
Algunos ejemplos de este tipo de virus son: Way, Trj.Reboot,
Trivial.88.D.

Virus de boot o de
arranque
Virus de boot o de arranque
Los trminos boot o sector de arranque hacen referencia a una seccin muy
importante de un disco (tanto un disquete como un disco duro
respectivamente). En ella se guarda la informacin esencial sobre las
caractersticas del disco y se encuentra un programa que permite arrancar el
ordenador.
Este tipo de virus no infecta ficheros, sino los discos que los contienen.
Actan infectando en primer lugar el sector de arranque de los disquetes.
Cuando un ordenador se pone en marcha con un disquete infectado, el virus de
boot infectar a su vez el disco duro.
Los virus de boot no pueden afectar al ordenador mientras no se intente poner
en marcha a ste ltimo con un disco infectado. Por tanto, el mejor modo de
defenderse contra ellos es proteger los disquetes contra escritura y no arrancar
nunca el ordenador con un disquete desconocido en la disquetera.
Algunos ejemplos de este tipo de virus son: Polyboot.B, AntiEXE.

Virus de
macro
El objetivo de estos virus es la infeccin de los ficheros creados usando
determinadas aplicaciones que contengan macros: documentos de Word (ficheros
con extensin DOC), hojas de clculo de Excel (ficheros con extensin XLS), bases
de datos de Access (ficheros con extensin MDB), presentaciones de PowerPoint
(ficheros con extensin PPS), ficheros de Corel Draw, etc.
Las macros son micro-programas asociados a un fichero, que sirven para automatizar
complejos conjuntos de operaciones. Al ser programas, las macros pueden ser
infectadas.
Cuando se abre un fichero que contenga un virus de este tipo, las macros se cargarn
de forma automtica, producindose la infeccin. La mayora de las aplicaciones que
utilizan macros cuentan con una proteccin antivirus y de seguridad especfica, pero
muchos virus de macro sortean fcilmente dicha proteccin.
Existe un tipo diferente de virus de macro segn la herramienta usada: de Word,
de Excel, de Access, de PowerPoint, multiprograma o de archivos RTF. Sin embargo,
no todos los programas o herramientas con macros pueden ser afectadas por estos
virus.
Estos son algunos ejemplos: Relax, Melissa.A, Bablas, O97M/Y2K0.

Virus de enlace o
directorio
Los ficheros se ubican en determinadas direcciones (compuestas
bsicamente por unidad de disco y directorio), que el sistema operativo
conoce para poder localizarlos y trabajar con ellos.
Los virus de enlace o directorio alteran las direcciones que indican
donde se almacenan los ficheros. De este modo, al intentar ejecutar
un programa (fichero con extensin EXE o COM) infectado por un virus
de enlace, lo que se hace en realidad es ejecutar el virus, ya que ste
habr modificado la direccin donde se encontraba originalmente el
programa, colocndose en su lugar.
Una vez producida la infeccin, resulta imposible localizar y trabajar con
los ficheros originales

Virus
encriptados
Ms que un tipo de virus, se trata de una tcnica utilizada por
algunos de ellos, que a su vez pueden pertenecer a otras
clasificaciones.
Estos virus se cifran o encriptan a s mismos para no ser
detectados por los programas antivirus. Para realizar sus
actividades, el virus se descifra a s mismo y, cuando ha
finalizado, se vuelve a cifrar.
Estos son algunos ejemplos de este tipo de virus: Elvira, Trile.

Virus
polimrficos
Son virus que en cada infeccin que realizan se cifran o
encriptan de una forma distinta (utilizando diferentes
algoritmos y claves de cifrado).
De esta forma, generan una elevada cantidad de copias de s
mismos e impiden que los antivirus los localicen a travs de la
bsqueda de cadenas o firmas, por lo que suelen ser los virus
ms costosos de detectar.
Algunos ejemplos de este tipo de virus son: Elkern, Marburg,
Satan Bug, Tuareg.

Virus
multipartites
Virus muy avanzados, que pueden realizar mltiples
infecciones, combinando diferentes tcnicas para
ello. Su objetivo es cualquier elemento que pueda ser
infectado: archivos, programas, macros, discos, etc.
Se consideran muy peligrosos por su capacidad de
combinar muchas tcnicas de infeccin y por los
dainos efectos de sus acciones.
Algunos ejemplos de estos virus son: Ywinz.

Virus de
compaa
Son virus de fichero que al mismo tiempo pueden ser
residentes o de accin directa. Su nombre deriva de que
"acompaan" a otros ficheros existentes en el sistema
antes de su llegada, sin modificarlos como hacen los virus
de sobreescritura o los residentes.
Para efectuar las infecciones, los virus de compaa pueden
esperar ocultos en la memoria hasta que se lleve a cabo la
ejecucin de algn programa, o actuar directamente
haciendo copias de s mismos.
Algunos ejemplos de este tipo de virus son: Stator, Asimov
.1539, Terrax.1069.

Gusanos
Worms
(W32/)
Gusanos (Worms)
De un modo estricto, los gusanos no se consideran virus porque no necesitan
infectar otros ficheros para reproducirse. A efectos prcticos, son tratados
como virus y son detectados y eliminados por los antivirus.
Bsicamente, los gusanos se limitan a realizar copias de s mismos a la
mxima velocidad posible, sin tocar ni daar ningn otro fichero. Sin embargo,
se reproducen a tal velocidad que pueden colapsar por saturacin las redes en
las que se infiltran.
Las infecciones producidas por estos virus casi siempre se realizan a travs del
correo electrnico, las redes informticas y los canales de Chat (tipo IRC o ICQ)
de Internet. Tambin pueden propagrase dentro de la memoria del ordenador.
Estos son algunos ejemplos de gusanos: PSWBugbear.B, Lovgate.F, Trile.C,
Sobig.D, Mapson.

Troyanos o caballos
de Troya
(trjn/)
Tcnicamente, los Troyanos tampoco se consideran virus, ya que no se reproducen
infectando otros ficheros. Tampoco se propagan haciendo copias de s mismo como
hacen los gusanos. A efectos prcticos, son tratados como virus y son detectados y
eliminados por los antivirus.
El objetivo bsico de estos virus es la introduccin e instalacin de otros
programas en el ordenador, para permitir su control remoto desde otros equipos.
Su nombre deriva del parecido en su forma de actuar con los astutos griegos de la
mitologa: llegan al ordenador como un programa aparentemente inofensivo. Sin
embargo, al ejecutarlo instalar en nuestro ordenador un segundo programa, el
troyano.
Los efectos de los Troyanos pueden ser muy peligrosos. Al igual que los virus, tienen
la capacidad de eliminar ficheros o destruir la informacin del disco duro. Pero adems
pueden capturar y reenviar datos confidenciales a una direccin externa o abrir
puertos de comunicaciones, permitiendo que un posible intruso controle nuestro
ordenador de forma remota.
Estos son algunos ejemplos de Troyanos: IRC.Sx2, Trifor.

Otros tipos de virus o engaos

Bombas lgicas
Tampoco se consideran estrictamente virus, ya que no se reproducen. Ni
siquiera son programas independientes, sino un segmento camuflado dentro
de otro programa.
Tienen por objetivo destruir los datos de un ordenador o causar otros
daos de consideracin en l cuando se cumplen ciertas condiciones.
Mientras este hecho no ocurre, nadie se percata de la presencia de la bomba
lgica. Su accin puede llegar a ser tremendamente destructiva
Virus falsos
Al margen de las divisiones anteriores, existen ciertos tipos de mensajes o
programas que en ciertos casos son confundidos con virus, pero que no son
virus en ningn sentido.
El principal componente de este grupo son los hoaxes o bulos. Los hoaxes
no son virus, sino mensajes de correo electrnico engaosos, que se
difunden masivamente por Internet sembrando la alarma sobre supuestas
infecciones vricas y amenazas contra los usuarios.
Los hoaxes tratan de ganarse la confianza de los usuarios aportando datos
que parecen ciertos y proponiendo una serie de acciones a realizar para
librarse de la supuesta infeccin.
Si se recibe un hoax, no hay que hacer caso de sus advertencias e
instrucciones: lo ms aconsejable es borrarlo sin prestarle la ms mnima
atencin y no reenviarlo a otras personas.

Nuevos Riesgos en
Internet
Entre varios de los nuevos riesgos que
encontramos en la actualidad en Internet se
encuentran los siguientes:
El Spyware
El malware
Dialers
Ransonware
backdoors
El Spam
El Phishing
Los cookies
El Adware

Spyware
Los programas espa, tambin conocidos como spyware, son
aplicaciones informticas que recopilan informacin personal del
usuario sin su consentimiento, como por ejemplo software presente
en el ordenador, hbitos de uso de Internet, pginas visitadas, etc.
Posteriormente, transmiten esta informacin a terceros, tales como
empresas de publicidad u otras compaas interesadas en dichos
datos, con la consiguiente violacin de la privacidad.
Los programas espa llegan al ordenador a travs de distintas vas:
mediante un troyano, que los instala sin consentimiento del usuario;
cuando se visita una pgina Web que incluye determinados controles
ActiveX o cdigo que explota una determinada vulnerabilidad.
Generalmente, el spyware se instala en el ordenador sin
conocimiento del usuario, o aportando informacin confusa que no
advierte claramente de las acciones que realizar, de forma que el
usuario no es consciente de qu trminos acepta.
Adems de las acciones descritas, el spyware tiene una serie de
efectos colaterales: consume recursos del sistema, ralentiza el
funcionamiento del ordenador, causa fallos en el sistema, etc.

Ransonware
El Ransonware es una de las mas modernas tcnicas de delito informtico,
consiste en el rapto o captura de datos confidenciales para luego pedir un
rescate por ellos usando plataforma de Internet.
El usuario navega por una pagina Web insegura que contiene troyanos que
descargan Ransonware camuflados en aplicaciones aparentemente
beneficiosas o tiles al usuario, cuando se pulsa en un enlace a una de estas
supuestas aplicaciones, se descarga un programa (Ransonware) que tiene
como objetivo de comprimir todo el contenido de la carpeta mis
documentos y luego de esto crea una segunda carpeta donde encierra toda
la carpeta anteriormente comprimida para protegerla bajo contrasea, una
vez conseguido esto el usuario recibe una nota de restace, donde se le
solicita dinero o comprar en una tienda en linea a cambio de la contrasea,
es decir es un programa que se encarga de secuestrar datos confidenciales
de las Pcs a las cuales se introduce para luego pedir rescate por ellos. Se
calcula que el indice de ataques producidos por este tipo de fuentes aun es
bastante poco, pero segn se va analizando su efectividad quizas la tasa
vaya en aumento por el desconocimiento de su tecnica y metodos de
infeccion.

Adware
Originalmente, el adware es un modo de licencia de programas, en la
cual se ofrece una aplicacin de forma gratuita o ms barata, con el
nico coste de visualizar una serie de mensajes publicitarios durante
su uso. El usuario tiene la posibilidad de adquirir una versin registrada
de dicha aplicacin, en la que no estn incluidos los anuncios.
Sin embargo, con el paso del tiempo, este concepto de adware ha
evolucionado.
Actualmente, los programas adware son los que muestran publicidad
en ventanas emergentes, o a travs de banners, sin que el usuario
los haya instalado ni pertenezcan a una aplicacin til.
Algunos adware recogen informacin personal del usuario, como
por ejemplo pginas visitadas, tiempo de estancia en las mismas,
enlaces en los que se pulsa, etc., y la envan a terceros, sin
conocimiento ni consentimiento del usuario.

Cookie
Las cookies son pequeos archivos de texto que el navegador
almacena en el ordenador del usuario, cuando se visitan pginas
Web.
Las cookies almacenan informacin que se utiliza con varios
fines:

Para personalizar la pgina Web y su navegacin para cada usuario.

Para recoger informacin demogrfica sobre cuntos usuarios visitan la
pgina y su tiempo de estancia en ella.
Para realizar un seguimiento de qu banners se muestran al usuario, y
durante cunto tiempo.

Estos usos no tienen un carcter malicioso, al menos en principio. Sin

embargo, es necesario tener en cuenta que toda informacin personal
que se introduzca en una pgina Web se puede almacenar en una
cookie, incluyendo el nmero de la tarjeta de crdito.
Adems, las cookies tambin se pueden utilizar para formar un
perfil del usuario, con informacin que ste no controla, y que
despus puede ser enviada a terceros, con la consiguiente amenaza
para la privacidad.

Cmo se si tengo un programa espa y

como me protejo contra ellos?
Es difcil adivinar a simple vista si un ordenador est siendo vctima de alguna de estas
amenazas. La certeza slo se consigue usando un buen paquete integrado de seguridad
correctamente actualizado.
Sin embargo, hay ciertos sntomas que delatan la posible presencia de programas
espa o adware (aunque tambin pueden deberse a otros problemas ajenos a los
mismos):
La aparicin, sin motivo aparente, de ventanas emergentes, banners publicitarios
o nuevas barras de herramientas en el navegador que el usuario no ha aadido.
El cambio repentino en la pgina de inicio del navegador de Internet.
El bloqueo inesperado del navegador de Internet.
La lentitud no habitual con la que repentinamente funciona un ordenador, sin
ninguna causa aparente, puede deberse a varios motivos: muchos programas
trabajando al mismo tiempo o problemas de red, pero tambin a un programa espa
o adware.
El ordenador se bloquea (se queda colgado) en momentos de carga excesiva, pero
tambin puede bloquearse por el malfuncionamiento de una programa espa o
adware. Esto es especialmente claro cuando se estn realizando operaciones
sencillas que no suponen demasiado trabajo para el ordenador.

Para mantenerse protegido

frente a los programas espa,
adware y dialers, tenga en
cuenta los siguientes consejos:
Aumente el nivel de seguridad de su navegador para no permitir la ejecucin
automtica de scripts y de cdigo ActiveX.
Tenga especial cuidado con los programas que descarga desde Internet:
Mantenga las aplicaciones instaladas en su ordenador siempre
actualizadas, instalando los parches de seguridad desarrollados al efecto por
sus fabricantes.
Instale una buena solucin antimalware en su ordenador que detecte no
slo virus, sino tambin otras amenazas como programas espa, adware o
dialers.
Mantenga su solucin antimalware actualizada. Si su solucin admite las
actualizaciones automticas, configrelas para que funcionen siempre as.
Tenga activada la proteccin permanente de su programa antimalware en
todo momento.

Spam
El spam es el correo electrnico no solicitado, normalmente
con contenido publicitario, que se enva de forma masiva.
Un SPAM es cualquier mensaje, destinado a una audiencia en
general (o sea, un comunicado de masas) que se enva a la
gente por e-mail sin que lo soliciten. Es el equivalente de los
anuncios impresos que le llegan a uno a la casa. Generalmente
el SPAM se trabaja con listas de direcciones "robadas" (o sea, de
direcciones que sacan de la gente que enva mensajes por
USENET u otras reas publicas de discusin), por lo cual
representa una violacin de la privacidad del usuario

Algunas de las caractersticas ms

comunes que presentan este tipo de
mensajes de correo electrnico son:

La direccin que aparece como remitente del mensaje no resulta conocida para el
usuario, y es habitual que est falseada.
El mensaje no suele tener direccin Reply.
Presentan un asunto llamativo.
El contenido es publicitario: anuncios de sitios Web, frmulas para ganar dinero
fcilmente, productos milagro, ofertas inmobiliarias, o simplemente listados de
productos en venta en promocin.
La mayor parte del spam est escrito en ingls y se origina en Estados Unidos o
Asia, pero empieza a ser comn el spam en espaol.

El spam es un fenmeno que va en aumento da a da, y representa un elevado

porcentaje del trfico de correo electrnico total.
Adems, a medida que surgen nuevas soluciones y tecnologas ms efectivas para
luchar contra el spam, los spammers (usuarios maliciosos que se dedican
profesionalmente a enviar spam) se vuelven a su vez ms sofisticados, y modifican sus
tcnicas con objeto de evitar las contramedidas desplegadas por los usuarios.

Phishing
El phishing consiste en el envo de correos electrnicos que,
aparentando provenir de fuentes fiables (por ejemplo, entidades
bancarias), intentan obtener datos confidenciales del usuario. Para
ello, suelen incluir un enlace que, al ser pulsado, lleva a pginas Web
falsificadas. De esta manera, el usuario, creyendo estar en un sitio de
toda confianza, introduce la informacin solicitada que, en realidad, va a
parar a manos del estafador.
Existe un amplio abanico de software y aplicaciones de toda ndole que
quedan clasificados dentro de la categora de robo de informacin
personal o financiera, algunas de ellas realmente complejas, como el
uso de una ventana Javascript flotante sobre la barra de direcciones del
navegador con el fin de confundir al usuario. A nivel de la plataforma de
Internet se utiliza este mismo mtodo para capturar datos confidenciales
a nivel de correo electrnico, como claves de acceso para luego ser
vendidas en la Web al mejor postor o ser utilizados a beneficio del
intruso capturador de dichos datos, tambin es conocido que existen
personas que venden sus servicios a cambio de realizar trabajos con
Phishing.

Algunas de las caractersticas

ms comunes que presentan
este tipo de mensajes de
correo electrnico son:
Uso de nombres de compaas ya existentes.
Utilizar el nombre de un empleado real de una
empresa como remitente del correo falso
Direcciones Web con la apariencia correcta.
Factor miedo.

Cmo puedo reconocer

un mensaje de phishing?
Distinguir un mensaje de phishing de otro legtimo puede no resultar fcil para
un usuario que haya recibido un correo de tales caractersticas, especialmente cuando
es efectivamente cliente de la entidad financiera de la que supuestamente proviene el
mensaje.
El campo De: del mensaje muestra una direccin de la compaa en cuestin. No
obstante, es sencillo para el estafador modificar la direccin de origen que se
muestra en cualquier cliente de correo.
El mensaje de correo electrnico presenta logotipos o imgenes que han sido
recogidas del sitio Web real al que el mensaje fraudulento hace referencia.
El enlace que se muestra parece apuntar al sitio Web original de la compaa,
pero en realidad lleva a una pgina Web fraudulenta, en la que se solicitarn datos de
usuarios, contraseas, etc.
Normalmente estos mensajes de correo electrnico presentan errores gramaticales
o palabras cambiadas, que no son usuales en las comunicaciones de la entidad por
la que se estn intentando hacer pasar.

En este ejemplo, el propio correo incluye un formulario en lugar de ofrecer un enlace a

una pgina falsa. Si el usuario introduce sus datos y enva el formulario, estos son
finalmente recogidos en un servidor ubicado en Taiwn.

Cmo puedo protegerme

del phishing?
Verifique la fuente de la informacin. No conteste automticamente a ningn
correo que solicite informacin personal o financiera.
Escriba usted mismo la direccin en su navegador de Internet. En lugar de
hacer clic en el hipervnculo proporcionado en el correo electrnico, escriba la
direccin web (URL) directamente en el navegador o utilice un marcador que haya
creado con anterioridad.
Refuerce su seguridad.
Compruebe que la pgina Web en la que ha entrado es una direccin segura :
ha de empezar con https:// y un pequeo candado cerrado debe aparecer en la
barra de estado de nuestro navegador.
Haga doble clic sobre dicho candado para tener acceso al certificado digital
que confirma que la Web se corresponde con la que est visitando.
Revise peridicamente sus cuentas. Los extractos mensuales son especialmente
tiles para detectar transferencias o transacciones irregulares, tanto operaciones
que no haya realizado y se vean reflejadas en el extracto, como operaciones
realizadas online y que no aparezcan en el extracto.

gracias
CORECI 2006
Tecnological American
Center
Edicion Julio Cornejo-TAC-Peru