https://www.youtube.com/watch?v=Md9ergKwZ3Y
https://www.youtube.com/watch?v=m9jEtpHdCw8
https://www.youtube.com/watch?v=p7aF4rh-H14
lunes, 13 de febrero de 2017
lunes, 6 de febrero de 2017
Malware "Malicious Software"
Malware_
El malware (del inglés “malicious software”), también llamado badware, código maligno, software malicioso, software dañino o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información sin el consentimiento de su propietario. El término malware es muy utilizado por profesionales de la informática para referirse a una variedad de software hostil, intrusivo o molesto. Antes de que el término malware fuera acuñado por Yisrael Radai en 1990, el software malicioso se agrupaba bajo el término "virus informáticos" .
El software se considera malware en función de los efectos que provoque en un computador. Malware no es lo mismo que software defectuoso; este último contiene bugs peligrosos, pero no de forma intencionada.
Los resultados provisionales de Symantec publicados en el 2008 sugieren que «el ritmo al que se ponen en circulación códigos maliciosos y otros programas no deseados podría haber superado al de las aplicaciones legítimas». Según un reporte de F-Secure, «Se produjo tanto malware en 2007 como en los 20 años anteriores juntos».
Según Panda Security, durante los 12 meses del 2011 se crearon 73.000 nuevos ejemplares de amenazas informáticas por día, 10.000 más de la media registrada en todo el año 2010. De estas, el 73% fueron troyanos y crecieron de forma exponencial los del subtipo downloaders.
Existen muchísimos tipos de Malware, aunque algunos de los más comunes son los virus informático, los gusanos, los troyanos, los programas de spyware/adware o incluso los bots. Éstos programas tienen como objetivo recopilar información sobre un usuario, un PC, etc., o con los peores fines también se utilizan para dañar o estropear el ordenador (por ejemplo, usando un virus que elimine los archivos necesarios para el arranque del sistema operativo).
Dos tipos comunes de malware son los virus y los gusanos informáticos, este tipo de programas tienen en común la capacidad para auto replicarse, es decir, pueden contaminar con copias de sí mismo que en algunas ocasiones ya han mutado, la diferencia entre un gusano y un virus informático radica en que el gusano opera de forma más o menos independiente a otros archivos, mientras que el virus depende de un portador para poderse replicar.
Los gusanos informáticos son similares a los virus, pero los gusanos no dependen de archivos portadores para poder contaminar otros sistemas. Estos pueden modificar el sistema operativo con el fin de auto ejecutarse como parte del proceso de inicialización del sistema. Para contaminar otros sistemas, los gusanos explotan vulnerabilidades del objetivo o utilizan algún tipo de ingeniería social para engañar a los usuarios y poderse ejecutar.
Un programa caballo de troya es una pieza de software dañino disfrazado de software legítimo. Los caballos de troya no son capaces de replicarse por sí mismos y pueden ser adjuntados con cualquier tipo de software por un programador o puede contaminar a los equipos por medio del engaño.
Una puerta trasera(o bien Backdoor) es un software que permite el acceso al sistema de la computadora ignorando los procedimientos normales de autenticación. De acuerdo en como trabajan e infectan a otros equipos, existen dos tipos de puertas traseras. El primer grupo se asemeja a los caballos de troya, es decir, son manualmente insertados dentro de algún otro software, ejecutados por el software contaminado e infecta al sistema para poder ser instalado permanentemente. El segundo grupo funciona de manera parecida a un gusano informático, el cuál es ejecutado como un procedimiento de inicialización del sistema y normalmente infecta por medio de gusanos que lo llevan como carga.
El spyware es todo aquel software que recolecta y envía información de los usuarios. Normalmente trabajan y contaminan sistemas como lo hacen los caballos de troya.
Un exploit es aquel software que ataca una vulnerabilidad particular de un sistema operativo. Los exploits no son necesariamente maliciosos –son generalmente creados por investigadores de seguridad informática para demostrar que existe una vulnerabilidad. Y por esto son componentes comunes de los programas maliciosos como los gusanos informáticos.
Los rootkit, son programas que son insertados en una computadora después de que algún atacante ha ganado el control de un sistema. Los rootkit generalmente incluyen funciones para ocultar los rastros del ataque, como es borrar los log de entradas o encubrir los procesos del atacante. Los rootkit pueden incluir puertas traseras, permitiendo al atacante obtener de nuevo acceso al sistema o también pueden incluir exploits para atacar otros sistemas
Fuente(s):
https://es.wikipedia.org/wiki/Malware
Propósito
Propósito
Algunos de los primeros programas infecciosos, incluido el Gusano Morris y algunos virus de MS-DOS, fueron elaborados como experimentos, como bromas o simplemente como algo molesto, no para causar graves daños en las computadoras. En algunos casos el programador no se daba cuenta de cuánto daño podía hacer su creación. Algunos jóvenes que estaban aprendiendo sobre los virus los crearon con el único propósito de demostrar que podían hacerlo o simplemente para ver con qué velocidad se propagaban. Incluso en 1999 un virus tan extendido como Melissa parecía haber sido elaborado tan solo como una travesura.
El software creado para causar daños o pérdida de datos suele estar relacionado con actos de vandalismo. Muchos virus son diseñados para destruir archivos en disco duro o para corromper el sistema de archivos escribiendo datos inválidos. Algunos gusanos son diseñados para vandalizar páginas web dejando escrito el alias del autor o del grupo por todos los sitios por donde pasan. Estos gusanos pueden parecer el equivalente informático del grafiti.
Sin embargo, debido al aumento de usuarios de Internet, el software malicioso ha llegado a ser diseñado para sacar beneficio de él, ya sea legal o ilegalmente. Desde 2003, la mayor parte de los virus y gusanos han sido diseñados para tomar control de computadoras para su explotación en el mercado negro. Estas computadoras infectadas “computadoras zombis” son usadas para el envío masivo de spam por correo electrónico, para alojar datos ilegales como pornografía infantil,7 o para unirse en ataques DDoS como forma de extorsión entre otras cosas.
Hay muchos más tipos de malware producido con ánimo de lucro, por ejemplo el spyware, el adware intrusivo y los hijacker tratan de mostrar publicidad no deseada o redireccionar visitas hacia publicidad para beneficio del creador. Estos tipos de malware no se propagan como los virus, generalmente son instalados aprovechándose de vulnerabilidades o junto con software legítimo como aplicación informática P2P.
Malware infeccioso
Malware infeccioso: virus y gusanos
Los tipos más conocidos de malware, virus y gusanos, se distinguen por la manera en que se propagan, más que por otro comportamiento particular.8
El término virus informático se usa para designar un programa que, al ejecutarse, se propaga infectando otros softwares ejecutables dentro de la misma computadora. Los virus también pueden tener un payload9 que realice otras acciones a menudo maliciosas, por ejemplo, borrar archivos. Por otra parte, un gusano es un programa que se transmite a sí mismo, explotando vulnerabilidades en una red de computadoras para infectar otros equipos. El principal objetivo es infectar a la mayor cantidad posible deusuarios, y también puede contener instrucciones dañinas al igual que los virus.
Nótese que un virus necesita de la intervención del usuario para propagarse mientras que un gusano se propaga automáticamente. Teniendo en cuenta esta distinción, las infecciones transmitidas por correo electrónico o documentos de Microsoft Word, que dependen de su apertura por parte del destinatario para infectar su sistema, deberían ser clasificadas más como virus que como gusanos.
Malware ocultos
Malware ocultos: backdoor o puerta trasera, drive-by downloads, rootkits y troyanos
Para que un software malicioso pueda completar sus objetivos, es esencial que permanezca oculto al usuario. Por ejemplo, si un usuario experimentado detecta un programa malicioso, terminaría el proceso y borraría el malware antes de que este pudiera completar sus objetivos. El ocultamiento también puede ayudar a que el malware se instale por primera vez en la computadora.
Puertas traseras o backdoors
Un backdoor o puerta trasera es un método para eludir los procedimientos habituales de autenticación al conectarse a una computadora. Una vez que el sistema ha sido comprometido (por uno de los anteriores métodos o de alguna otra forma), puede instalarse una puerta trasera para permitir un acceso remoto más fácil en el futuro. Las puertas traseras también pueden instalarse previamente al software malicioso para permitir la entrada de los atacantes.
Los crackers suelen usar puertas traseras para asegurar el acceso remoto a una computadora, intentando permanecer ocultos ante una posible inspección. Para instalar puertas traseras los crackers pueden usar troyanos, gusanos u otros métodos.
Se ha afirmado, cada vez con mayor frecuencia, que los fabricantes de ordenadores preinstalan puertas traseras en sus sistemas para facilitar soporte técnico a los clientes, pero no ha podido comprobarse con seguridad.10
Drive-by downloads
El término puede referirse a las descargas de algún tipo de malware que se efectúa sin consentimiento del usuario, lo cual ocurre al visitar un sitio web, al revisar un mensaje de correo electrónico o al entrar a una ventana pop-up, la cual puede mostrar un mensaje de error. Sin ser su verdadera intención, el usuario consiente la descarga de software indeseable o de malware, y estas vulnerabilidades se aprovechan.
El proceso de ataque Drive-by Downloads se realiza de manera automática mediante herramientas que buscan en el sitio web alguna vulnerabilidad. Una vez encontrada, insertan un script malicioso dentro del código HTML del sitio violado. Cuando un usuario visita el sitio infectado, este descargará dicho script en el sistema del usuario, y a continuación realizará una petición a un servidor Hop Point, donde se solicitarán nuevos scripts con exploits encargados de comprobar si el equipo tiene alguna vulnerabilidad que pueda ser explotada, intentando con ellas hasta que tienen éxito, en cuyo caso se descargará un script que descarga el archivo ejecutable (malware) desde el servidor.
En la mayor parte de los navegadores se están agregando bloqueadores antiphishing y antimalware que contienen alertas que se muestran cuando se accede a una página web dañada, aunque no siempre dan una total protección.
Rootkits
Las técnicas conocidas como rootkits modifican el sistema operativo de una computadora para permitir que el malware permanezca oculto al usuario. Por ejemplo, los rootkits evitan que un proceso malicioso sea visible en la lista de procesos del sistema o que sus ficheros sean visibles en el explorador de archivos. Este tipo de modificaciones consiguen ocultar cualquier indicio de que el ordenador está infectado por un malware. Originalmente, un rootkit era un conjunto de herramientas instaladas por un atacante en un sistema Unix donde el atacante había obtenido acceso de administrador (acceso root). Actualmente, el término es usado generalmente para referirse a la ocultación derutinas en un programa malicioso.
Algunos programas maliciosos también contienen rutinas para evitar ser borrados, no solo para ocultarse. Un ejemplo de este comportamiento puede ser:
- “Existen dos procesos-fantasmas corriendo al mismo tiempo. Cada proceso-fantasma debe detectar que el otro ha sido terminado y debe iniciar una nueva instancia de este en cuestión de milisegundos. La única manera de eliminar ambos procesos-fantasma es eliminarlos simultáneamente, cosa muy difícil de realizar, o provocar un error el sistema deliberadamente.”14
Uno de los rootkits más famosos fue el que la empresa Sony BMG Music Entertainment. Secretamente incluyó, dentro de la protección anticopia de algunos CD de música, el software “Extended Copy Protection (XCP) y MediaMax CD-3”,15 los cuales modificaban a Windows para que no lo pudiera detectar y también resultar indetectable por los programas anti-virus y anti-spyware. Actuaba enviando información sobre el cliente, además abrió la puerta a otros tipos de malware que pudieron infiltrarse en las computadoras, además de que si se detectaba, no podía ser eliminado, pues se dañaba el sistema operativo.
Mikko Hypponen, jefe de investigación de la empresa de seguridad, F-Secure con sede en Finlandia, consideró a este rootkit como uno de los momentos fundamentales de la historia de los malware.16
Troyanos
El término troyano suele ser usado para designar a un malware que permite la administración remota de una computadora, de forma oculta y sin el consentimiento de su propietario, por parte de un usuario no autorizado. Este tipo de malware es un híbrido entre un troyano y una puerta trasera, no un troyano atendiendo a la definición.
A grandes rasgos, los troyanos son programas maliciosos que están disfrazados como algo inocuo o atractivo que invitan al usuario a ejecutarlo ocultando un software malicioso. Ese software, puede tener un efecto inmediato y puede llevar muchas consecuencias indeseables, por ejemplo, borrar los archivos del usuario o instalar más programas indeseables o maliciosos.
Una de las formas más comunes para distribuir spyware es mediante troyanos unidos a software deseable descargado de Internet. Cuando el usuario instala el software esperado, el spyware es puesto también. Los autores de spyware que intentan actuar de manera legal pueden incluir unos términos de uso, en los que se explica de manera imprecisa el comportamiento del spyware, que los usuarios aceptan sin leer o sin entender.
Malware para obtener beneficios
Malware para obtener beneficios
Durante los años 1980 y 1990, se solía dar por hecho que los programas maliciosos eran creados como una forma de vandalismo o travesura. Sin embargo, en los últimos años la mayor parte del malware ha sido creado con un fin económico o para obtener beneficios en algún sentido. Esto es debido a la decisión de los autores de malware de sacar partido monetario a los sistemas infectados, es decir, transformar el control sobre los sistemas en una fuente de ingresos.
Mostrar publicidad: Spyware, Adware y Hijacking
Los programas spyware son creados para recopilar información sobre las actividades realizadas por un usuario y distribuirla a agencias de publicidad u otras organizacionesinteresadas. Algunos de los datos que recogen son las páginas web que visita el usuario y direcciones de correo electrónico, a las que después se envía spam. La mayoría de los programas spyware son instalados como troyanos junto a software deseable bajado de Internet. Otros programas spyware recogen la información mediante cookies de terceros o barra de herramientas instaladas en navegadores web. Los autores de spyware que intentan actuar de manera legal se presentan abiertamente como empresas de publicidad e incluyen unos términos de uso, en los que se explica de manera imprecisa el comportamiento del spyware, que los usuarios aceptan sin leer o sin entender.
Los Spyware tienen como objetivo recopilar informacion del equipo en el que se encuentra y transmitírselo a quien lo ha introducido en el equipo. Suele camuflarse tras falsosprogramas, por lo que el usuario raramente se da cuenta de ello. Sus consecuencias son serias y van desde robos bancarios, suplantaciones de identidad hasta robo de información.21
Por otra parte los programas adware muestran publicidad al usuario de forma intrusiva en forma de ventana emergente (pop-up) o de cualquier otra forma. Esta publicidad aparece inesperadamente en el equipo y resulta muy molesta. Algunos programas shareware permiten usar el programa de forma gratuita a cambio de mostrar publicidad, en este caso el usuario consiente la publicidad al instalar el programa. Este tipo de adware no debería ser considerado malware, pero muchas veces los términos de uso no son completamente transparentes y ocultan lo que el programa realmente hace.
Los hijackers son programas que realizan cambios en la configuración del navegador web. Por ejemplo, algunos cambian la página de inicio del navegador por páginas web de publicidad o página pornográfica, otros redireccionan los resultados de los buscadores hacia anuncios de pago o páginas de phishing bancario. El pharming es una técnica que suplanta al DNS, modificando el archivo hosts, para redirigir el dominio de una o varias páginas web a otra página web, muchas veces una web falsa que imita a la verdadera. Esta es una de las técnicas usadas por los hijackers o secuestradores del navegador de Internet. Esta técnica también puede ser usada con el objetivo de obtener credenciales y datos personales mediante el secuestro de una sesión.
Robar información personal: Keyloggers y Stealers
Cuando un software produce pérdidas económicas para el usuario de un equipo, también se clasifica como crimeware22 o software criminal, término dado por Peter Cassidy para diferenciarlo de los otros tipos de software malicioso. Estos programas están encaminados al aspecto financiero, la suplantación de personalidad y el espionaje.
Los keyloggers y los stealers son programas maliciosos creados para robar información sensible. El creador puede obtener beneficios económicos o de otro tipo a través de su uso o distribución en comunidades underground. La principal diferencia entre ellos es la forma en la que recogen la información.
Los keyloggers monitorizan todas las pulsaciones del teclado y las almacenan para un posterior envío al creador. Por ejemplo al introducir un número de tarjeta de crédito el keylogger guarda el número, posteriormente lo envía al autor del programa y este puede hacer pagos fraudulentos con esa tarjeta. Si las contraseñas se encuentran recordadas en el equipo, de forma que el usuario no tiene que escribirlas, el keylogger no las recoge, eso lo hacen los stealers. La mayoría los keyloggers son usados para recopilar contraseñas de acceso pero también pueden ser usados para espiar conversaciones de chat u otros fines.
Los stealers también roban información privada pero solo la que se encuentra guardada en el equipo. Al ejecutarse comprueban los programas instalados en el equipo y si tienen contraseñas recordadas, por ejemplo en los navegadores web o en clientes de mensajería instantánea, descifran esa información y la envían al creador.
Realizar llamadas telefónicas: Dialers
Los dialers son programas maliciosos que toman el control del módem dial-up, realizan una llamada a un número de teléfono de tarificación especial, muchas veces internacional, y dejan la línea abierta cargando el coste de dicha llamada al usuario infectado. La forma más habitual de infección suele ser en páginas web que ofrecen contenidos gratuitos pero que solo permiten el acceso mediante conexión telefónica. Suelen utilizar como señuelos videojuegos, salva pantallas, pornografía u otro tipo de material.
Actualmente la mayoría de las conexiones a Internet son mediante ADSL y no mediante módem, lo cual hace que los dialers ya no sean tan populares como en el pasado.
Ataques distribuidos: Botnets
Las botnets son redes de computadoras infectadas, también llamadas “zombis”, que pueden ser controladas a la vez por un individuo y realizan distintas tareas. Este tipo de redes son usadas para el envío masivo de spam o para lanzar ataques DDoS contra organizaciones como forma de extorsión o para impedir su correcto funcionamiento. La ventaja que ofrece a los spammers el uso de ordenadores infectados es el anonimato, que les protege de la persecución policial.
En una botnet cada computadora infectada por el malware se loguea en un canal de IRC u otro sistema de chat desde donde el atacante puede dar instrucciones a todos los sistemas infectados simultáneamente. Las botnets también pueden ser usadas para actualizar el malware en los sistemas infectados manteniéndolos así resistentes ante antivirus u otras medidas de seguridad.
Otros tipos: Rogue software y Ransomware
Los rogue software hacen creer al usuario que la computadora está infectada por algún tipo de virus u otro tipo de software malicioso, esto induce al usuario a pagar por un software inútil o a instalar un software malicioso que supuestamente elimina las infecciones, pero el usuario no necesita ese software puesto que no está infectado.23
Los Ransomware
También llamados criptovirus o secuestradores, son programas que cifran los archivos importantes para el usuario, haciéndolos inaccesibles, y piden que se pague un “rescate” para poder recibir la contraseña que permite recuperar los archivos.
InfoSpyware reporta en su blog que a partir de mayo del 2012, han existido 2 nuevas variantes del llamado “virus de la policía” o “Virus Ukash”, que es producido por el troyano Ransom.ab, que con el pretexto de que se entró a páginas de pornografía infantil, se les hace pagar una supuesta multa para poder desbloquear sus equipos,24 actualmente también utilizando la propia cámara Web del equipo hacen unas supuestas tomas de vídeo que anexan en su banner de advertencia, para asustarlos más al hacerlos pensar que están siendo observado y filmado por la policía, siendo Rusia, Alemania, España y Brasil los países más afectados ó la versión falsa del antivirus gratuito “Microsoft Security Essentials” que dice bloquear el equipo por seguridad y que para poder funcionar adecuadamente se ofrece un módulo especial que se tiene que pagar.25
La Brigada de Investigación Tecnológica de la Policía Nacional de España, junto con Europol e Interpol, desmantelaron en febrero del 2013, a la banda de piratas informáticos creadores del “Virus de la Policía”, responsables de estafar alrededor de 1 millón de euros al año.26
A pesar de ello, han ido surgiendo nuevas versiones y variantes con características propias de unidades policiales de países de Latinoamérica, siendo los países afectados Argentina, Bolivia, Ecuador, Uruguay y México, en este último saca la imagen de la desaparecida Policía Federal Preventiva.27
Grayware o greynet
Grayware o greynet
Los términos grayware (o greyware) y graynet (o greynet) (del inglés gray o grey, “gris”) suelen usarse para clasificar aplicaciones o programas de cómputo que se instalan sin la autorización del departamento de sistemas de una compañía; se comportan de modo tal que resultan molestos o indeseables para el usuario, pero son menos peligrosos que los malware. En este rubro se incluyen: adware, dialers, herramientas de acceso remoto, programas de bromas (Virus joke), programas para conferencias, programa de mensajería instantánea, spyware y cualesquiera otros archivos y programas no bienvenidos que no sean virus y que puedan llegar a dañar el funcionamiento de una computadora o de una red. El término grayware comenzó a utilizarse en septiembre del 2004.
Suscribirse a:
Entradas (Atom)