Partes: 1, 2, 3

l) Los sistemas operativos Windows NT, OS/2, UNIX, etc. son vulnerables a los virus. El hecho de que no existan todavía un buen número de especies virales para ellos, se debe a que la cantidad de equipos que usan estas plataformas es sumamente inferior al de la mayoría de las PC's. Los autores de virus desean hacer daño masivos.

m) En el caso de los archivos comprimidos bajo el formato ZIP, que fueron descargados por Internet, estos deberán ser revisados inmediatamente después de haber sido desempaquetados y antes de ser ejecutados. PER ANTIVIRUS® detecta y elimina los virus contenidos en archivos en formato ZIP, sin necesidad de desempaquetarlos.

n) Este mismo tratamiento se deberá dar a los archivos anexados (adjuntos), enviados por correo electrónico, cuidándose de no abrir mensajes de origen desconocido o sospechoso. Las vacunas de PER ANTIVIRUS® detectan y eliminan automáticamente los archivos infectados con macro virus, virus enviados en VBS o en formato HTA, SHS, PIF, etc., sean éstos conocidos o desconocidos.

Cualquier medida preventiva para evitar los virus es buena aún cuando no sea la más adecuada. Sírvase leer nuestras recomendaciones de Políticas de Seguridad.

Existen sistemas costosos de hardware/software denominados Firewalls (murallas de fuego), los cuales están al alcance únicamente de las empresas o corporaciones. En esta página brindamos soluciones muy eficientes y gratuitas.

ZoneAlarm 3.x es un Firewall personal gratuito con la seguridad de un firewall dinámico, brindando control total sobre el uso de aplicaciones de Internet. Zone Alarm brinda protección contra los intrusos de la red.  Cuenta con una versión comercial para uso corporativo, que cuesta US $ 39.95, con más opciones, que bloquea y hasta identifica el IP del intruso.

AnalogX Proxy 4.12 es un pequeño y simple servidor que le permite a sus equipos en su red local, rutear sus salidas a través de un equipo central. Simplemente ejecute AnalogX Proxy en el equipo con una conexión a Internet, configure los otros equipos para ser usados como un Proxy (lea la información detallada en el archivo README) y Ud. estará navegando la web desde cualquier otra máquina en su red local.  Soporta los protocolos HTTP, HTTPS, POP3, SMTP, NNTP, FTP y Socks4/4a y parcialmente Socks5. Trabaja con Internet Explorer, Netscape, AOL, AOL Instant Messenger, Microsoft Messenger, etc.

Constantemente PER SYSTEMS® estará revisando y probando los mejores programas gratuitos de Seguridad en Internet y pondrá a disposición de los visitantes de nuestro Portal, las versiones actualizadas de éstas y otras muy útiles herramientas.

Para descomprimir estos archivos utilice PKZIP o PKUNZIP

La palabra "Troyan Horse" en inglés, significa Caballo de Troya. Los caballos de troya, o simplemente troyanos, son un término frecuentemente empleado, a nuestro criterio, sin sustento real y es nuestra intención explicar este concepto.

En 1984 el Dr. Fred Cohen clasificó a los emergentes virus de computadoras en 3 categorías: caballos de troya, gusanos y virus. Empleó el término "caballos de troya" por la forma subrepticia de ingresar a los sistemas. Este concepto fue inspirado en clara alusión a la estrategia bélica empleada en la Batalla de Troya, relatada en la obra épica griega escrita por Homero. Relata la obra que los griegos ingresaron un gran caballo de madera, a la enmurallada ciudad de Troya, haciéndoles creer que era un trofeo de guerra. Dentro de este caballo se escondieron varios soldados griegos, quienes aprovechando la noche, procedieron a abrir las puertas de la ciudad a sus tropas. Según algunos estudiosos de los virus, "los caballos de troya son programas que ejecutan acciones destructivas, bajo ciertas condiciones, borrando la información de los discos duros, colgando sistemas, etc."

Según algunos estudiosos de los virus, "los caballos de troya son programas que ejecutan acciones destructivas, bajo ciertas condiciones, borrando la información de los discos duros, colgando sistemas, etc."

Los troyanos requieren que su "víctima" abra o ejecute un archivo anexado a un mensaje de correo electrónico para que de este modo el virus instale una copia de sí mismo y a partir de ello, empiece su proceso de infección.

Nosotros no estamos de acuerdo con ninguna de las teorías anteriores, debido a que el concepto de virus de computadoras a cambiado a través de los tiempos y ahora se clasifican por sus diferentes e ingeniosas técnicas de programación. 

Todos los llamados virus, gusanos o caballos de troya, pueden realizar  cualquier tipo de daño, sujetos a la intencionabilidad de sus desarrolladores.

Habría que preguntarnos, qué virus que infectan los sistema de las computadora, no ingresa a un sistema en forma subrepticia? Acaso no es la intención de los creadores de virus difundir sus especies, en forma oculta, con el claro objetivo de ocasionar el mayor daño posible? 

No es también una de las modalidades mas empleadas el enviar archivos anexados a un mensaje de correo electrónico, para la difusión masiva de los virus, cualquiera sea su técnica de programación?

Sucede que los conceptos vertidos por el Dr. Fred Cohen quedaron como un precedente importante, por haber sido el primer investigador de esta materia. A pesar de ello, y sin desmerecer al Dr. Cohen, éstos hoy día son obsoletos y sus obras han quedado en el olvido. El mismo no continuó con sus investigaciones sobre virus y hoy dirige su propia corporación denominada Fred Cohen & Associates, especializada en seguridad de la información.

Al igual que toda expresión tecnológica, cualquier persona o grupo de ellas se puede interesar en el tema y en forma repentina "surgir" como una supuesta autoridad en la materia, emitiendo libres conceptos, que fácilmente pueden ser rebatidos por lo anteriormente expuesto.

Nosotros investigamos el fenómeno de los virus informáticos desde 1986, hasta el día de hoy y hemos desarrollado un software antivirus de gran aceptación y prestigio en el mercado nacional e internacional.

Y continuamos investigando los virus, ya que ellos constituyen materia de investigación y tratamiento exclusivo en nuestro trabajo. Por estas razones, podemos afirmar que nos consideramos calificados conocedores del tema.

Debido a la influencia de los medios de prensa, las palabras virus, gusanos o caballos de troya son empleadas con frecuencia, a manera de noticias, y lamentablemente nosotros nos vemos obligados a usar estos términos para informar acerca de algunas nuevas especies virales, con la intención de no confundir a los usuarios. Lo mismo ha sucedido con el concepto de "hacker", atribuido en forma genérica a los piratas de software, intrusos de la red, crackeadores, phreakers, y hasta delincuentes informáticos.

1986 El comienzo de la gran epidemia

En 1985 la revista BYTE, de gran popularidad por los primeros años de la era de la PC, contaba con un foro de opiniones llamado BIX BBS, mediante al cual sus usuarios se conectaban via módem. Durante ese año se empezaron a reportar en el BIX, la presencia de programas que ingresaban en forma subrepticia a los sistemas y por lo cual atinaron a denominarlos Troyan Horses (caballos de Troya), en alusión al episodio de la famosa obra épica griega.

Estos programas ocasionaban extraños comportamientos y malograban el sector de boot de los diskettes.

En 1986 año se identificaron y difundieron los virus (c) Brain, Bouncing Ball y Stone, que fueron los primeros representativos de propagación masiva. Estas 3 especies virales tan sólo infectaban el sector de arranque de los diskettes.

Stone o Marihuana

Infectaba el Sector de Boot, el cual era almacenado en el el track 0, head 1, sector 3. Este viene a ser el último sector del directorio raíz de un diskette de 360Kb. Su efecto consistía en mostrar este mensaje:

• "Your computer is now stoned. Legalise marijuana!!"

• (su computadora está dura. Legalicen la marihuana!!)

A causa de estos virus que se difundieron muy rápidamente en todo el mundo, a su vez inspiraron a otros desarrolladores a crear múltiples variantes, aún más peligrosas. En la IBM Corporation, un equipo dirigido por Dave Chess, creó la primera vacuna individual para este primer virus:

SStoned, para el virus Stoned. Sin embargo existía un método muy sencillo para eliminar cualquiera de estos virus, el cual consistía en reiniciar el sistema con un diskette de arranque, limpio de virus en la unidad "A" y colocando al diskette infectado en la unidad "B", se digitaba:

A:\SYS B: [Enter]

Este comando renovaba los archivos ocultos del sistema y reparaba el sector de arranque. Los diskettes de formato de 1.2 DS/HD presentaron algunos problemas para esta método. Es así que en 1986 los investigadores de virus empezaron a desarrollar los programas antivirus, más allá de vacunas individuales, todas las cuales eran residentes en memoria (TSR) y ocupaban mucha memoria convencional.

La familia de virus Stoned, es muy extensa y se propagó en todo el mundo. La mayoría de estas variantes están , además de que todas ellas tienen una misma estructura de programación, que son detectadas y eliminadas con una rutina Heurística que las agrupa por familias.

PER ANTIVIRUS® posee una tecnología propia, denominada Wise Heuristics® que detecta y elimina automáticamente y en tiempo real todos los virus de Boot, aún sean éstos desconocidos, además cuenta con una opción denominada PERDisk que reconstruye el sector de arranque (Boot Sector) de los diskettes.

En Agosto de 1998 se difundió un sistema de control de redes, denominado Back Orifice, desarrollado por el grupo de hackers conocido como "El Culto de la Vaca Muerta". Concebido como una irónica demostración de la falta de seguridad en Windows® 95 y 98, (su nombre está inspirado en el MS Back Office), en esa oportunidad fue desarrollado para Windows NT y Windows 2000, con el nombre de Back Orifice 2000.

Su lanzamiento fue oficialmente anunciado el 10 de Julio de 1999, en la 7a Convención de hackers, denominada DEFCON 7,

celebrada en el hotel Alexis Park Resort de Las Vegas, Nevadas. Back Orifice 2000 fue propagado por Internet por primera vez el 11 de Julio y tuvo que ser re-lanzado 4 días después, debido a que su primera versión estaba infectada con el virus CIH. Si bien esta aplicación es un excelente sistema de control remoto de las estaciones de trabajo de una red, también se convierte en un poderosísimo Caballo de Troya. 

Sus autores comparan la eficiencia de su sistema con PC-ANYWHERE de Symantec y CARBON COPY 32 las cuales demuestran que Back Orifice 2000 es más potente y cuenta con mayores prestaciones.

Por causa de Back Orifice, Microsoft ya no podrá afirmar que sus sistemas son completamente seguros!! Sin embargo, la gran corporación expresó, su grave preocupación en una página web dedicada por completo a Back Orifice 2000.

El 19 de Julio, en la ciudad de San Francisco, The CULT OF THE DEAD COW (cDc) retó públicamente a Microsoft Corporation a retirar voluntariamente del mercado, todas las copias de su sistema de redes, Systems Management Server. Más aún, el grupo cDc invitó a la industria de antivirus de todo el mundo para realizar una búsqueda de firmas de virus en los archivos del SMS de Microsoft.

http://www.cultdeadcow.com/news/pr19990719.html

Back Orifice, en ambas versiones, de muy fácil y amigable manejo, es uno de los más temibles administradores de sistemas de redes que jamás antes se haya creado. La primera versión permitía a cualquier persona que la ejecutase, tomar el absoluto control de las demás estaciones de trabajo, con Windows 95 o Windows 98, sin que los demás usuarios de la red se percatasen y ahora repite lo mismo con Windows NT y Windows 2000.

Esta situación reviste suma peligrosidad, por cuanto sus autores distribuyen el código fuente en la página web de El Culto de la Vaca Muerta, lo cual permitirá que el programa sea modificado, para disfrazar su apariencia, pero sin perder sus poderosas y peligrosas capacidades.  Back Orifice 2000, tiene una interfaz estándar de Windows, lo que le permite controlar varias estaciones al mismo tiempo:

Back Orifice 2000 es mucho más difícil de detectar, sin embargo PER ANTIVIRUS®, a partir de su versión 5.3, no solamente lo detecta y advierte su presencia en cualquier equipo, sino que además impide su ejecución y lo elimina eficientemente.

Las 2 caras de Back Orifice 2000

Compuesto por 2 módulos básicos: Cliente y Servidor, su accionar es totalmente esquizofrénico, ya que después de ser una verdadera y muy eficiente herramienta de control para los sistemas de redes, permite que cualquier usuario que lo ejecute como Cliente desde su estación de trabajo, haga lo que le venga en gana con las demás estaciones, a las cuales convierte en Servidores, pudiendo modificar, renombrar, borrar archivos, desconfigurar atributos y privilegios, modificar el registro, generar molestosos sonidos continuos, o hasta bloquear los sistemas remotos, etc., etc.

Esta nueva versión incluye un encriptamiento de seguridad que permite al "administrador eventual" usar esta herramienta para diagnósticos remotos, sin embargo puede ser usado por otros usuarios que también tomarán control del sistema, pudiendo llegar a provocar un CAOS total en los sistemas de redes NT.

Su Wizard de configuración le permite crear un componente de Servidor Back Orifice con apenas 140 Kb, que necesita ser desplegado en los sistemas remotos para que una vez instalado en los mismos, el "Cliente" tome el control de los eventuales "Servidores".

Su gran peligrosidad reside en el hecho que con ciertos "Plug ins" que permiten usar el protocolo TCP/IP, un hacker experto puede controlar a través de Internet a cualquier otro servidor fuera de su locación, que haya sido "contagiado", debido a que es sumamente fácil conocer las direcciones IP de cualquier servidor en el mundo.  

Nuevos posibilidades escondidas de daño

Una de las más resaltantes capacidades de Back Orifice 2000, es la de convertir cualquier directorio, en un directorio compartido, con el objeto de controlar estaciones de trabajo en Windows NT. Esta posibilidad es sumamente peligrosa en el caso de que empleados resentidos que sientan deseos de ocasionar daños, en forma furtiva, a cualquier estación o al propio servidor central.

Otra nueva capacidad es la de ejercer un poderoso control remoto en el propio Servidor Back Orifice. Ello permite no solamente realizar cambios sino además agregar otros "Plug ins" a los sistemas remotos sin necesidad de reinstalar el servidor.

"Sir Dystic", el hacker autor del programa original Back Orifice, lanzado en 1998, da a conocer el lanzamiento de su nueva versión para Windows 2000 y NT. "El Culto de la Vaca Muerta" conformada en Texas, tiene su propia página web en Internet, debido a que la Constitución de  los Estados Unidos, permite una irrestricta libertad de expresión mientras no se demuestre un daño ocasionado a terceros, debidamente denunciada y probada ante una Corte de Justicia. Para evitar ser sorprendidos por el FBI, esta página web con frecuencia desaparece y vuelve a aparecer en otras locaciones.

PER ANTIVIRUS® detecta este Troyano/backdoor, impide su ejecución y lo elimina eficientemente.

Este peligroso virus ha sido llamado por varios nombres, tales como "CIH", "NetworkNuke" y "Chernobyl".

El virus W32.CIH, se detectó en Taiwán a principios de Junio de 1998 y al cabo de una semana ya estaba expandido en todo el mundo, según la versión del mismo, puede ser activado el día 26 de Abril, o los días 26 de cada mes (o sea que se puede tener el virus sin consecuencias directas, más que el contagio, hasta esa fecha). El virus infecta los archivos ejecutables de 32 bits de Windows®95/98 e infectará todos los archivos de este tipo que encuentre. Si se ejecuta un archivo infectado, el virus quedará  residente en la memoria e infectará los archivos que sean copiados o abiertos.

Los archivos infectados serán del mismo tamaño que los originales, debido a las técnicas especiales que utiliza dicho virus, lo cual hace más difícil la detección del mismo. Este virus busca espacios vacíos dentro del archivo y los va llenando con su propio código viral, en pequeños segmentos. De todas formas el virus tiene algunos bugs que hacen que pueden bloquear la PC cuando se ejecutan archivos infectados.

Todas las variantes de este virus borran los primeros 2048 sectores del disco duro, esencialmente, y luego formateándolo, además intenta re-escribir el BIOS de la computadora, dejándola inutilizable hasta el cambio de BIOS o de placa madre. Este último tan solamente ocurre con placas madres que tienen un BIOS sobre-escribible (Flash-Bios).

El virus tiene dos consecuencias en la fecha de activación: La primera es que borra o sobre-escribe la información del disco duro usando llamadas de escritura directa, saltándose las protecciones antivirus de BIOS, sobre-escribiendo asimismo el MBR (MASTER BOOT RECORD) y el sector del BOOT.

Estas son sus características básicas:

• El CIH está programado para activarse el 26 de Abril (aniversario del accidente en Chernobyl).

• Algunas variantes de este virus se activarán el 26 de Junio y la versión 1.4 lo hará el dia 26 de cualquier mes.

• Este virus infecta los archivos ejecutables de Windows®95/98 (archivos .EXE)

• Su código viral se integra como parte del archivo EXE ocupando un espacio no usado para de este modo evitar su detección.

• Trabaja bajo la modalidad de "disparo", que le permite no evidenciarse hasta que se activa en la fecha indicada.

• El virus CIH destruye archivos en el disco duro y la memoria del BIOS en computadoras que cuentan con un Flash BIOS con capacidad de ser actualizable y que que se encuentre configurado como write-enabled.

Chen Ing-Hou, el creador del virus CIH, que lleva sus iniciales, muestra su amplia sonrisa en el Criminal Investigation Bureau en Taipei, Taiwan. Manifiesta  que siente mucho por lo desbastante de su creación viral, pero ello fue motivado por una venganza en contra de los que llamó "incompetentes desarrolladores de software antivirus". "El no es un criminal aquí, mientras que no exista una denuncia formal", dijo un vocero de la policía y "todo lo que sabemos acerca del virus es por las noticias provenientes del extranjero."  Chen fue posteriormente acusado de ser sospechoso de haber esparcido en Internet un virus de computadora y de probársele los cargos podría enfrentar una pena de 3 años de prisión, además de daños y perjuicios reaclamados por posibles víctimas. Por esos motivos, Chen fue inmediatamente puesto en libertad.

Cuando Chen creó el virus era un estudiante de Ingeniería de Computación en el Instituto Tecnológico de Taipé y después graduarse,  está cumpliendo el Servicio Militar Obligatorio en su país.

PER ANTIVIRUS® detecta y elimina eficientemente este virus, así como sus variantes.

Creative, Prolin, Shockwave, W32/Prolin@mm,

TROJ_SHOCKWAVE, TROJ_PROLIN

Creative o Prolin es un gusano que se propaga a través de mensajes de correo, con un archivo anexado CREATIVE.EXE y se auto-envía usando MS Outlook . Este archivo ejecutable de 37 KB está desarrollado en Visual Basic y emplea la técnica estándar del virus "Melissa" auto-enviándose a cada una de estas direcciones. 

Una vez infectado un sistema, el gusano envía un mensaje a su autor, informándole acerca de una nueva infección a un sistema:

Luego el gusano se auto-instala en el sistema, dos (2) veces, en una computadora infectada. Una copia es enviada al directorio raíz C:\ y la otra es creada en el sub-directorio C:\Windows \Start Menu\:

C:\creative.exe

C:\WINDOWS\Start Menu\Programs\StartUp\creative.exe

La segunda copia es colocada en un sub-directorio "auto-run", y será activada en cada sesión de Windows.

Este gusano tiene un "payload" muy peligroso que busca en todas las unidades de disco, obtiene los archivos ZIP, MP3, y JPG y los renombra a la unidad C: con el nombre:

C:\%victimfile%change atleast now to LINUX

Por ejemplo, GRAFICO.JPG e INFORME.ZIP son movidos y renombrados:

C:\GRAFICOS.JPGchange atleast now to LINUX

C:\INFORME.ZIPchange atleast now to LINUX

Creative o Prolin también crea un archivo de texto "messageforu.txt" en el directorio raiz C:\ donde escribe algún texto y agrega una lista de los archivos renombrados:

Hi, guess you have got the message. I have kept a list of files that I have infected under this. If you are smart enough just reverse back the process. i could have done far better damage, i could have even completely wiped your harddisk. Remember this is a warning & get it sound and clear... - The Penguin

C:\WINDOWS\SYSTEM\OOBE\IMAGEX\BGAMEX.JPG

C:\BACKUP\DATA.ZIP

Hola, creo que recibiste el mensaje. He guardado una lista de archivos que he infectado. Si eres lo suficientemente listo simplemente retrocede el proceso.

Pude haberte hecho un daño mayor, yo pude aún borrar tu disco duro por completo. Recuerda esta advertencia y deja que suene y claro... - El Pinguino

C:\WINDOWS\SYSTEM\OOBE\IMAGEX\GRAFICO.JPG

C:\BACKUP\INFORME.ZIP

Usando la lista de archivos renombrados, manualmente pueden ser restaurados a sus ubicaciones originales, siempre y cuando la computadora infectada no haya sido re-iniciada. De lo contrario el gusano remueve la lista de los archivos renombrados al archivo "messageforu.txt".

PER ANTIVIRUS® detecta este gusano, impide su ejecución y lo elimina

Definición de Seguridad informática

La seguridad informática es una disciplina que se relaciona a diversas técnicas, aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la información de un sistema informático y sus usuarios. Técnicamente es imposible lograr un sistema informático ciento por ciento seguro, pero buenas medidas de seguridad evitan daños y problemas que pueden ocasionar intrusos.Seguridad con respecto a la naturaleza de la amenaza Existen dos tipos de seguridad con respecto a la naturaleza de la amenaza:* Seguridad lógica: aplicaciones para seguridad, herramientas informáticas, etc.* Seguridad física: mantenimiento eléctrico, anti-incendio, humedad, etc.Amenazas a un sistema informáticoAmenazas a la seguridad de un sistema informático o computadora:* Programas malignos: virus, espías, troyanos, gusanos, phishing, spamming, etc.* Siniestros: robos, incendio, humedad, etc. pueden provocar pérdida de información.* Intrusos: piratas informáticos pueden acceder remotamente (si está conectado a una red) o físicamente a un sistema para provocar daños. * Operadores: los propios operadores de un sistema pueden debilitar y ser amenaza a la seguridad de un sistema no sólo por boicot, también por falta de capacitación o de interés.Implementación de barreras de seguridadTécnicas, aplicaciones y dispositivos para la seguridad informática:* Utilización de aplicaciones de protección: cortafuegos, antivirus, antiespías, etc. * Encriptación de la información y uso de contraseñas. * Capacitación a los usuarios de un sistema.* Capacitación a la población general sobre las nuevas tecnologías y las amenazas que pueden traer. Ver analfabetismo informático.

 

 

 

 

 

 

Autor:

Ing. Dumar Suarez G.

Coordinador General y Propietario Del Instituto Técnico Manuela Beltrán Granada – Meta – Colombia