miércoles, 1 de octubre de 2014
Qué es un virus informático?
Los virus informáticos tienen, básicamente, la función de propagarse a través de un software, no se replican a sí mismos porque no tienen esa facultad[cita requerida] como elgusano informático, son muy nocivos y algunos contienen además una carga dañina (payload) con distintos objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil.
El funcionamiento de un virus informático es conceptualmente simple. Se ejecuta un programa que está infectado, en la mayoría de las ocasiones, por desconocimiento del usuario. El código del virus queda residente (alojado) en la memoria RAM de la computadora, incluso cuando el programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los servicios básicos del sistema operativo, infectando, de manera posterior, archivos ejecutables que sean llamados para su ejecución. Finalmente se añade el código del virus al programa infectado y se graba en el disco, con lo cual el proceso de replicado se completa.
Virus Michelangelo
Los efectos de Michelangelo son:
Metodo de infección:
- Infecta el sector de arranque de los disquetes (Boot) y el de los discos duros (Master Boot Record o MBR).
- Sustituye el sector de arranque original del disco duro por otro infectado. Esto lo consigue moviendo el sector de arranque original a otra sección del disco duro. Esta técnica se conoce como Stealth.
- Infecta todos los disquetes que se utilicen en el ordenador afectado, siempre que no estén protegidos contra escritura.
- Cuando se activa, el 6 de marzo, sobreescribe la información incluida en parte del disco duro.
- De hecho, destruye toda la información contenida en la pista 0, más concretamente los primeros 17 sectores de las cuatro primeras caras en los 250 primeros cilindros del disco infectado. Esto supone una pérdida de la información contenida en 8 MB, aproximadamente.
- En esta sección se encuentra la Tabla de Asignación de Ficheros (FAT) y la información del directorio raíz, por lo que tras la infección, el disco será inaccesible.
El método de infección de Michelangelo sigue este patrón:
- Se transmite al ordenador cuando éste se arranca con un disquete contaminado por el virus.
- Desde el disquete infectado, Michelangelo se coloca como residente en la memoria del ordenador. Concretamente, el virus ocupa 2048 Bytes en la TOM (Top of memory o memoria alta).
- Desde la memoria, Michelangelo infecta todos los disquetes que se utilicen. Para ello intercepta las interrupciones de acceso a disquetes.
- Michelangelo mueve el sector de arranque original del disco duro (del sector 0, cara 1, cilindro 0 al sector 7, cara 0, cilindro 0).
Metodo de propagación:
Michelangelo sólo se propaga a través de disquetes, del siguiente modo:
- Infecta el disco duro del ordenador, cuando éste se arranca con un disquete contaminado por el virus.
- Contagia a todos los disquetes que se utilicen en el ordenador afectado. Éstos, a su vez, infectarán a otros ordenadores.
Otros detalles:
Para que conozca un poco más a Michelangelo, aquí le reseñamos sus principales curiosidades:
- Michelangelo es un virus perteneciente a la familia (o grupo de virus) conocida como Stoned.
El
día de su activación, el 6 de marzo, coincide con la conmemoración del
cumpleaños del famoso artista italiano Miguel Ángel: 6 de marzo de 1475.
De ahí el nombre del virus.
virus Melissa
Melissa es un macrovirus que infecta documentos de Microsoft Oficce. También conocido como W97M, Simpsons (en referencia a los dibujos animados estado unidenses (en referencia a bart simpson cuando juega a poner esta palabra imaginaria en el Scrabble y debido a que en el código del virus dice ≪written by Kwyjibo≫).
Melissa fue creado por David L. Smith de Aberdem, Nueva Jersey. Él reconoció en su declaración de culpabilidad que el virus melissa causó más de 80 millones de dólares en daños a las empresas norteamericanas.
"Yo no esperaba ni anticipar la cantidad de daño que tuvo lugar, cuando publiqué el virus, que esperaba que el perjuicio económico sería menor e incidental", dijo Smith.
El virus lo creó en memoria de una bailarina topless de Florida de la cual se había enamorado.
Smith fue condenado a 10 años de prisión, pasando 20 meses en prisión y multado con 5.000 dólares.
Smith posteriormente colaboraría para ayudar al FBI en la búsqueda de Jan de Wit, el creador holandés del virus informático Anna Kournikova.Melissa se puede propagar en los procesadores de texto Microsoft Word 97 y Word 2000 y Microsoft Excel 97, 2000 y 2003. Se puede enviar así mismo por correo electrónico desde Microsoft Outlook 97 o 98, enviándolo a los primeros 50 contactos de la libreta de direcciones en un email que marca.
Melissa fue creado por David L. Smith de Aberdem, Nueva Jersey. Él reconoció en su declaración de culpabilidad que el virus melissa causó más de 80 millones de dólares en daños a las empresas norteamericanas.
"Yo no esperaba ni anticipar la cantidad de daño que tuvo lugar, cuando publiqué el virus, que esperaba que el perjuicio económico sería menor e incidental", dijo Smith.
El virus lo creó en memoria de una bailarina topless de Florida de la cual se había enamorado.
Smith fue condenado a 10 años de prisión, pasando 20 meses en prisión y multado con 5.000 dólares.
Smith posteriormente colaboraría para ayudar al FBI en la búsqueda de Jan de Wit, el creador holandés del virus informático Anna Kournikova.Melissa se puede propagar en los procesadores de texto Microsoft Word 97 y Word 2000 y Microsoft Excel 97, 2000 y 2003. Se puede enviar así mismo por correo electrónico desde Microsoft Outlook 97 o 98, enviándolo a los primeros 50 contactos de la libreta de direcciones en un email que marca.
Virus I Love You
i love (o VBS/LoveLetter) es un gusano escrito en VBscript. En mayo del 2000 infectó aproximadamente 50 millones de computadores provocando pérdidas de más de 5.500 millones de dólares.
El gusano sobrescribe con su código los archivos con extensiones .VBS y .VBE. Elimina los archivos con extensiones .JS, .JSE, .CSS, .WSH, .SCT y .HTA, y crea otros con el mismo nombre y extensión .VBS en el que introduce su código. También localiza los archivos con extensión .JPG, .JPEG, .MP3 y .MP2, los elimina, y crea otros donde el nuevo nombre está formado por el nombre y la extensión anterior más VBS como nueva extensión real.1
VBS/LoveLetter llega al usuario en un e-mail que tiene por Asunto: 'ILOVEYOU' e incluye un fichero llamado 'LOVE-LETTER-FOR-YOU. TXT.vbs'. Cuando este virus se ejecuta, crea varias copias de sí mismo en el disco duro con los siguientes nombres:
Tras esto, el virus crea varias entradas en el registro de configuración de Windows.
VBS/LovelLetter comprueba, en el directorio SYSTEM de Windows, la existencia del fichero WinFAT32.exe. Si lo encuentra genera un número aleatorio entre 1 y 5, y dependiendo del número que resulte, crea la entrada de registro 'HKCU\Software\Microsoft\InternetExplorer\Main\Start, a la que le asigna un valor para bajarse el fichero WIN-BUGSFIX. EXE.1
Tras realizar esta operación, el virus genera, en el directorio SYSTEM de Windows, el fichero LOVE-LETTER-FOR-YOU.HTM, que será el que posteriormente envíe por IRC. Después, el gusano se envía a todas las direcciones que encuentra en el libro de direcciones de Microsoft Outlook.
Cuando ya se ha enviado por correo, VBS/LoveLetter realiza su efecto destructivo. En concreto, busca en el path del disco duro y en el de todas las unidades de red archivos con extensión vbs, vbe, js, jse, css, wsh, sct y hta. Cuando los encuentra, los sobreescribe con su código, modifica su tamaño y les cambia la extensión a VBS, lo que conlleva la pérdida de toda la información contenida en los archivos. Si los archivos que encuentra poseen extensión jpg o jpeg también los sobreescribe, cambia su tamaño y les añade, al final la extensión VBS (quedando como jpg.vbs o jpeg.vbs).1
Si VBS/LoveLetter encuentra un fichero con extensión mp3 o mp2 genera una copia de sí mismo con el nombre del archivo encontrado y añade la extensión VBS ocultando los ficheros originales. El virus también comprueba si en el directorio en el que se está realizando la búsqueda se encuentra alguno de los siguientes ficheros: mirc32.exe, mlinnk32.exe, mirc.ini, scrip.ini o mirc.hlp. Si los encuentra crea el fichero 'script.ini', que será el encargado de mandar por IRC el fichero LOVE-LETTER-FOR-YOU.HTM a todo aquél que se conecte al mismo canal que él.
El gusano sobrescribe con su código los archivos con extensiones .VBS y .VBE. Elimina los archivos con extensiones .JS, .JSE, .CSS, .WSH, .SCT y .HTA, y crea otros con el mismo nombre y extensión .VBS en el que introduce su código. También localiza los archivos con extensión .JPG, .JPEG, .MP3 y .MP2, los elimina, y crea otros donde el nuevo nombre está formado por el nombre y la extensión anterior más VBS como nueva extensión real.1
VBS/LoveLetter llega al usuario en un e-mail que tiene por Asunto: 'ILOVEYOU' e incluye un fichero llamado 'LOVE-LETTER-FOR-YOU. TXT.vbs'. Cuando este virus se ejecuta, crea varias copias de sí mismo en el disco duro con los siguientes nombres:
MSKernel32.vbs (en el directorio SYSTEM de Windows)
Win32DLL.vbs (en el directorio de instalación de Windows)
LOVE-LETTER-FOR-YOU.TXT.vbs (en el directorio SYSTEM de Windows)
Tras esto, el virus crea varias entradas en el registro de configuración de Windows.
VBS/LovelLetter comprueba, en el directorio SYSTEM de Windows, la existencia del fichero WinFAT32.exe. Si lo encuentra genera un número aleatorio entre 1 y 5, y dependiendo del número que resulte, crea la entrada de registro 'HKCU\Software\Microsoft\InternetExplorer\Main\Start, a la que le asigna un valor para bajarse el fichero WIN-BUGSFIX. EXE.1
Tras realizar esta operación, el virus genera, en el directorio SYSTEM de Windows, el fichero LOVE-LETTER-FOR-YOU.HTM, que será el que posteriormente envíe por IRC. Después, el gusano se envía a todas las direcciones que encuentra en el libro de direcciones de Microsoft Outlook.
Cuando ya se ha enviado por correo, VBS/LoveLetter realiza su efecto destructivo. En concreto, busca en el path del disco duro y en el de todas las unidades de red archivos con extensión vbs, vbe, js, jse, css, wsh, sct y hta. Cuando los encuentra, los sobreescribe con su código, modifica su tamaño y les cambia la extensión a VBS, lo que conlleva la pérdida de toda la información contenida en los archivos. Si los archivos que encuentra poseen extensión jpg o jpeg también los sobreescribe, cambia su tamaño y les añade, al final la extensión VBS (quedando como jpg.vbs o jpeg.vbs).1
Si VBS/LoveLetter encuentra un fichero con extensión mp3 o mp2 genera una copia de sí mismo con el nombre del archivo encontrado y añade la extensión VBS ocultando los ficheros originales. El virus también comprueba si en el directorio en el que se está realizando la búsqueda se encuentra alguno de los siguientes ficheros: mirc32.exe, mlinnk32.exe, mirc.ini, scrip.ini o mirc.hlp. Si los encuentra crea el fichero 'script.ini', que será el encargado de mandar por IRC el fichero LOVE-LETTER-FOR-YOU.HTM a todo aquél que se conecte al mismo canal que él.
El virus Klez
El virus Klez, que surgió a principios de 2002,
todavía está en todas las redes y el riesgo que presenta es cada vez
mayor debido a las nuevas variaciones que siguen apareciendo (como
Klez.e, Klez.g, Klez.h, Klez.i, Klez.k, etc.). Las nuevas versiones del
virus incluyen mecanismos de distribución cada vez más ingeniosos, los
cuales le permiten esparcirse aun más fácilmente. El virus KLEZ (cuyo
nombre de código es W32.Klez.Worm@mm) es un gusano que se disemina a través del correo electrónico. También posee otras 4 formas de difundirse:
- La Web
- Carpetas compartidas
- Agujeros de seguridad de Microsoft IIS
- Transferencia de archivos
Qué hace el virus
El gusano Klez recupera la lista de
direcciones que encontró en la libreta de direcciones de Microsoft
Outlook o Eudora, como la de clientes de mensajería instantánea (ICQ).
A continuación, el virus Klez envía un correo electrónico a todos los destinatarios, mediante el uso de su propio servidor SMTP.
Debido
a esto, el virus Klez puede generar correos electrónicos sin texto y
con un asunto elegido de manera aleatoria de una lista de
aproximadamente cien opciones preconfiguradas. Adjunta al correo
electrónico un archivo ejecutable que contiene una variante del virus.
Los virus poseen una extensión .eml para explotar una falla de seguridad en Microsoft Internet Explorer 5.
Las versiones más recientes del virus incluso poseen herramientas para volver obsoletos a los programas antivirus más comunes.
Lo
que es peor, sus propios creadores programaron una medida correctiva
falsa para el virus enviada a las víctimas en un correo electrónico
titulado Worm Klez.E immunity. El correo electrónico también
envía mensajes de error falsos que muestran que el mensaje no se pudo
enviar. Estos mensajes contienen otra copia del virus como archivo
adjunto.
Además, en Microsoft Windows el virus
Klez se puede diseminar por carpetas de red compartidas, infectando así
archivos ejecutables que allí se encuentran.
Navegar
por sitios Web en servidores infectados con el virus Klez puede causar
una infección cuando un usuario visita páginas con el navegador
Microsoft Internet Explorer 5, el cual es vulnerable.
El
virus Nimda también es capaz de tomar el control del servidor Web de
Microsoft IIS, al explotar ciertos agujeros de seguridad.
Finalmente,
como sus primos, el virus infecta archivos ejecutables encontrados en
el equipo infectado. Esto significa que también puede difundirse por
transferencias de archivos.
Síntomas de infección
El virus Klez utiliza todos los recursos que puede tomar del equipo infectado. Si su equipo reacciona lentamente o de manera extraña, lo primero que debe hacer es analizar sus discos duros con su software antivirus, teniendo en cuenta que el virus pudo haber alterado el programa antivirus para no ser detectado.
Virus Sircam
El virus Sircam (cuyo nombre de código es W32.Sircam.Worm@mm, Backdoor.SirCam o Troj_Sircam.a) es un gusano
que se difunde por correo electrónico. Los usuarios que corren mayor
riesgo son aquellos que utilizan Microsoft Outlook en Windows 95, 98,
Millenium y 2000. El gusano Sircam selecciona aleatoriamente un documento (con las extensiones .gif, .jpg, .mpg, .jpeg, .mpeg, .mov, .pdf, .png, .ps o .zip) encontrado en el directorio c:\Mis documentos\ en el equipo infectado. A continuación envía automáticamente un correo electrónico cuyo asunto es el nombre de ese documento.
El virus Sircam adjunta una copia de sí mismo cuyo nombre es el del archivo encontrado en el disco duro del usuario, con un .vbs doble como su extensión de archivo.
El virus Sircam adjunta una copia de sí mismo cuyo nombre es el del archivo encontrado en el disco duro del usuario, con un .vbs doble como su extensión de archivo.
El gusano Sircam también puede eliminar todos los archivos de su disco duro el 16 de octubre de cada año si su equipo usa el formato de fecha europeo (día/mes/año).
Sircam también agrega texto al archivo c:\recycled\sircam.sys cada vez que se reinicia su equipo, lo cual puede llenar potencialmente espacio disponible en el disco C:\.
SQL Slammer es un gusano informático que provocó una Denegación de servicio en algunos servidores de Internet
e hizo dramáticamente más lento el tráfico de Internet en general, a
partir de las 05:30 GMT del 25 de enero de 2003. Se extendió
rápidamente, infectando a la mayoría de sus 75.000 víctimas dentro de
los diez minutos. Llamado así por Christopher J. Rouland, director de
tecnología de la ISS, Slammer primero fue traído a la atención del público por Michael Bacarella (ver notas abajo). Aunque titulado "gusano SQL Slammer", el programa no utilizó el lenguaje SQL; se aprovechó de un error de desbordamiento de buffer en los productos de motor de base de datos de Microsoft SQL Server y los productos Microsoft SQL Server Data Engine,
para el cual se había lanzado un parche seis meses antes en MS02-039.
Otros nombres incluyen W32.SQLExp.Worm, DDOS.SQLP1434.A, el gusano
Sapphire, SQL_HEL, W32/SQLSlammer y Helkern.
El gusano se basa en pruebas de concepto mostrado en las Black Hat Briefings organizadas por David Litchfield, quien inicialmente había descubierto la vulnerabilidad de desbordamiento de búfer que el gusano explotaba.2 Se trata de un pequeño trozo de código que hace poco más que generar al azar direcciones IP y enviarse a sí mismo a esas direcciones. Si una dirección seleccionada pasa a pertenecer a un host que ejecuta una copia sin parches de servicio de resolución de Microsoft SQL Server escucha en el puerto UDP 1434, el anfitrión inmediatamente se infecta y empieza a rociar la Internet con más copias del programa de gusano.
Los PCs del hogar en general no son vulnerables a este gusano a menos que hayan instalado MSDE. El gusano es tan pequeña que no contiene código para escribir en el disco en sí, por lo que sólo permanece en la memoria, y es fácil de eliminar. Por ejemplo, Symantec ofrece una herramienta gratuita de eliminación (ver enlace externo abajo), o incluso puede ser eliminado reiniciando SQL Server (aunque la máquina es probable que se infecta de nuevo inmediatamente).
El gusano fue posible gracias a una vulnerabilidad de seguridad en el software de SQL Server reportado por primera vez por Microsoft el 24 de julio de 2002. Un parche había estado disponible desde Microsoft durante seis meses antes del lanzamiento del gusano, pero muchas instalaciones no habían sido parchadas - incluyendo muchas en Microsoft.
La ralentización fue causada por el colapso de numerosos routers bajo el bombardeo con muy alto tráfico desde los servidores infectados. Normalmente, cuando el tráfico es demasiado alto para que los routers lo manejen, se supone que los routers demoran o detienen temporalmente el tráfico de red. En cambio, algunos routers fallaron (se convirtieron en inservibles), y los routers "vecinos" se dieron cuenta de que estos routers se habían detenido y no debían ser contactados (también conocido como "eliminados de la tabla de enrutamiento"). Así, estos routers comenzaron a enviar avisos a estos efectos a otros routers cercanos de lo que sabían. La avalancha de avisos de actualización de tabla de enrutamiento causó que algunos routers adicionales fallaran, lo que agravó el problema. Eventualmente los operadores de los routers fallados los reiniciaron, causando nuevas olas de actualizaciones de la tabla de enrutamiento. Pronto una parte significativa del ancho de banda de Internet se consumió por los routers que se comunicaban entre sí para actualizar sus tablas de enrutamiento, y el tráfico de datos ordinario se ralentizó o en algunos casos se detuvo por completo. Irónicamente, debido a que el gusano SQL Slammer era tan pequeño en tamaño, a veces era capaz de pasar a través aún cuando el tráfico legítimo no lo lograba. Dos aspectos claves contribuyeron a la rápida propagación del SQL Slammer. El gusano infectaba nuevos huéspedes a través del protocolo sin sesión UDP, y todo el gusano (sólo 376 bytes) cabe dentro de un solo paquete.3 4 Como resultado, cada host infectado podía simplemente "disparar y olvidar" los paquetes con la mayor rapidez posible (generalmente cientos por segundo).
El gusano se basa en pruebas de concepto mostrado en las Black Hat Briefings organizadas por David Litchfield, quien inicialmente había descubierto la vulnerabilidad de desbordamiento de búfer que el gusano explotaba.2 Se trata de un pequeño trozo de código que hace poco más que generar al azar direcciones IP y enviarse a sí mismo a esas direcciones. Si una dirección seleccionada pasa a pertenecer a un host que ejecuta una copia sin parches de servicio de resolución de Microsoft SQL Server escucha en el puerto UDP 1434, el anfitrión inmediatamente se infecta y empieza a rociar la Internet con más copias del programa de gusano.
Los PCs del hogar en general no son vulnerables a este gusano a menos que hayan instalado MSDE. El gusano es tan pequeña que no contiene código para escribir en el disco en sí, por lo que sólo permanece en la memoria, y es fácil de eliminar. Por ejemplo, Symantec ofrece una herramienta gratuita de eliminación (ver enlace externo abajo), o incluso puede ser eliminado reiniciando SQL Server (aunque la máquina es probable que se infecta de nuevo inmediatamente).
El gusano fue posible gracias a una vulnerabilidad de seguridad en el software de SQL Server reportado por primera vez por Microsoft el 24 de julio de 2002. Un parche había estado disponible desde Microsoft durante seis meses antes del lanzamiento del gusano, pero muchas instalaciones no habían sido parchadas - incluyendo muchas en Microsoft.
La ralentización fue causada por el colapso de numerosos routers bajo el bombardeo con muy alto tráfico desde los servidores infectados. Normalmente, cuando el tráfico es demasiado alto para que los routers lo manejen, se supone que los routers demoran o detienen temporalmente el tráfico de red. En cambio, algunos routers fallaron (se convirtieron en inservibles), y los routers "vecinos" se dieron cuenta de que estos routers se habían detenido y no debían ser contactados (también conocido como "eliminados de la tabla de enrutamiento"). Así, estos routers comenzaron a enviar avisos a estos efectos a otros routers cercanos de lo que sabían. La avalancha de avisos de actualización de tabla de enrutamiento causó que algunos routers adicionales fallaran, lo que agravó el problema. Eventualmente los operadores de los routers fallados los reiniciaron, causando nuevas olas de actualizaciones de la tabla de enrutamiento. Pronto una parte significativa del ancho de banda de Internet se consumió por los routers que se comunicaban entre sí para actualizar sus tablas de enrutamiento, y el tráfico de datos ordinario se ralentizó o en algunos casos se detuvo por completo. Irónicamente, debido a que el gusano SQL Slammer era tan pequeño en tamaño, a veces era capaz de pasar a través aún cuando el tráfico legítimo no lo lograba. Dos aspectos claves contribuyeron a la rápida propagación del SQL Slammer. El gusano infectaba nuevos huéspedes a través del protocolo sin sesión UDP, y todo el gusano (sólo 376 bytes) cabe dentro de un solo paquete.3 4 Como resultado, cada host infectado podía simplemente "disparar y olvidar" los paquetes con la mayor rapidez posible (generalmente cientos por segundo).
Virus Código rojo
'Código Rojo' es el virus que, desde la semana pasada, parece estar programando a miles de ordenadores ociosos para lanzar ataques cibernéticos conjuntos al sitio web de la Casa Blanca , según han informado expertos de seguridad.
'Código Rojo' da instrucciones a los equipos infectados de lanzar un ataque de negación de servicio similar al que atacó los portales de Yahoo y e-Bay en febrero del año pasado. El bacilo descompone los sitios del web en lengua inglesa de las computadoras que infecta y despliega el anuncio "¡Pirateado por chinos!", explicaron los analistas.
El origen del virus aún no está claro. El sitio web de la Casa Blanca, página matriz del gobierno del presidente George W. Bush, estaba aún inaccesible el jueves por la tarde. Sin embargo, la portavoz de la mansión presidencial, Jeannie Mamo, ha asegurado que "la Casa Blanca ha tomado medidas preventivas para minimizar todo el impacto del bacilo Código Rojo".
Un ataque de negación de servicio tiene como objetivo hacer un sitio inaccesible al tráfico regular, inundándolo de peticiones de información. 'Código Rojo' también podría afectar al trafico de Internet en general por el tráfico masivo de mensajes de las computadoras infectadas, explicó Marc Maiffret, de e-Eye Digital Security, una compañía de seguridad informática con sede en la localidad californiana de Aliso Viejo.
Maiffret calculó que 12.000 computadoras de todo el mundo han sido infestadas por este virus. Un segundo cálculo emitido por El Instituto de Administración de Sistemas, Redes y Seguridad (una emrpesa de investigación de Bethesda, Maryland) ha establecido el número de computadoras infestadas en alrededor de 200.000.
Los sistemas infectados probablemente vean una degradación de las operaciones de su red como resultado de las actividades de pirateo del virus, explica un comunicado de Computer Emergency Response Team (CERT) de la Universidad Carnegie Mellon. El virus 'Código Rojo' explota una vulnerabilidad en los programas Microsoft Internet Information Server 4.0 y 5.0, y afecta a las computadoras con sistemas operativos Windows NT 4.0 y Windows 2000, dijo CERT.
Maiffret y sus colegas descubrieron la vulnerabilidad en junio y Microsoft desarrolló una actualización, que impediría que un ordenador fuese afectado por el virus. Pero "incluso si uno lo ha hecho todo correctamente, la conexión de la red puede ser derribada debido a la cantidad de datos que vienen de otros que no han actualizado sus sistemas y quedaron infectados por este virus", explicó Maiffret.
Un segundo virus descubierto esta semana, llamado 'W32.Sircam', envía copias de sí mismo a todas las direcciones de correo electrónico registradas en el ordenador infectado y puede borrar archivos y directorios, llenar el disco duro y enviar archivos por Internet, informaron comunicados de Symantec Corp. y Network Associates Inc. 'Sircam', que tiene versiones en inglés y en español, fue encontrado en más de 50 redes corporativas de todo el mundo, según Network Associates.
Virus Bugbear
"Bugbear" hostiga a cientos de miles de
computadoras.El virus informático Bugbear sigue multiplicándose y podría
infectar a cientos de miles de computadoras en todo el mundo.
Claves de Bugbear
Sólo afecta a computadoras con Windows Aprovecha vulnerabilidad de Outlook y Outlook Express para reproducirse Puede bloquear antivirus y cortafuegos Deja el sistema vulnerable al ataque de hackers.Utiliza la lista de contactos de e-mail.Siempre llega como un archivo adjunto de 50.688 bytes.El mensaje del asunto es en inglés, y siempre cambia.
Aún no hay estimaciones de los daños que ha causado el programa dañino, detectado por primera vez el 29 de septiembre en Malasia.
Según la firma de seguridad informática MessageLabs, hasta el momento se han encontrado 60 mil copias del virus de tipo "gusano", y que se transmite por los mensajes de correo electrónico como un archivo adjunto. Asimismo, el Centro de Alerta Temprana sobre seguridad informática de España, aumentó el índice de peligrosidad del virus de 3 a 4, en una escala con un máximo de 5.
Los usuarios de Australia, EE.UU. y el Reino Unido han sido los más afectados; el virus ya se ha detectado en más de 100 países.
Virus esquizofrénico
El Bugbear es particularmente difícil de detectar, ya que llega disfrazado como un archivo adjunto, aparentemente enviado por un amigo.
A diferencia de otros virus, el mensaje del "asunto" o "subject" nunca es el mismo, aunque siempre está en inglés.
Según la firma Symantec, fabricante del antivirus "Norton", el Bugbear infecta sólo a aquellas computadoras que utilizan el sistema operativo Windows de Microsoft, y los programas de correo electrónico Outlook o Outlook Express.
Si la máquina no cuenta con un antivirus actualizado, y el "gusano" finalmente penetra al sistema, el mismo se auto-enviará a todas las direcciones de correo electrónico incluidas en la agenda de la "víctima".
A su vez, elegirá un contacto al azar como remitente, lo que luego hace casi imposible averiguar quién infectó a quién.
Una vez cumplida su tarea reproductora, el virus permanece en el sistema, bloquea el funcionamiento de programas antivirus y cortafuegos (especie de muralla cibernética).
De esta forma, permite que piratas informáticos o hackers eventualmente tomen el control de la máquina, y tengan acceso a información confidencial como números de tarjeta de crédito.
Impresoras poseídas
Sin embargo, un fallo en la programación del virus hace que el mismo "confunda" impresoras con computadoras.
Por lo tanto, si su impresora comienza a trabajar de forma inusual, como si estuviera endemoniada, podría ser una señal de que su computadora está infectada con el Bugbear.
Graham Cluley, de la firma antivirus Sophos, señaló a la BBC que es más probable que este virus afecte a usuarios individuales que no hayan tomado la precaución de proteger sus equipos con software antivirus, o que los mismos no estén al día.
Otra pista para detectar el virus es que el tamaño del archivo adjunto es siempre el mismo: 50.688 bytes.
Claves de Bugbear
Sólo afecta a computadoras con Windows Aprovecha vulnerabilidad de Outlook y Outlook Express para reproducirse Puede bloquear antivirus y cortafuegos Deja el sistema vulnerable al ataque de hackers.Utiliza la lista de contactos de e-mail.Siempre llega como un archivo adjunto de 50.688 bytes.El mensaje del asunto es en inglés, y siempre cambia.
Aún no hay estimaciones de los daños que ha causado el programa dañino, detectado por primera vez el 29 de septiembre en Malasia.
Según la firma de seguridad informática MessageLabs, hasta el momento se han encontrado 60 mil copias del virus de tipo "gusano", y que se transmite por los mensajes de correo electrónico como un archivo adjunto. Asimismo, el Centro de Alerta Temprana sobre seguridad informática de España, aumentó el índice de peligrosidad del virus de 3 a 4, en una escala con un máximo de 5.
Los usuarios de Australia, EE.UU. y el Reino Unido han sido los más afectados; el virus ya se ha detectado en más de 100 países.
Virus esquizofrénico
El Bugbear es particularmente difícil de detectar, ya que llega disfrazado como un archivo adjunto, aparentemente enviado por un amigo.
A diferencia de otros virus, el mensaje del "asunto" o "subject" nunca es el mismo, aunque siempre está en inglés.
Según la firma Symantec, fabricante del antivirus "Norton", el Bugbear infecta sólo a aquellas computadoras que utilizan el sistema operativo Windows de Microsoft, y los programas de correo electrónico Outlook o Outlook Express.
Si la máquina no cuenta con un antivirus actualizado, y el "gusano" finalmente penetra al sistema, el mismo se auto-enviará a todas las direcciones de correo electrónico incluidas en la agenda de la "víctima".
A su vez, elegirá un contacto al azar como remitente, lo que luego hace casi imposible averiguar quién infectó a quién.
Una vez cumplida su tarea reproductora, el virus permanece en el sistema, bloquea el funcionamiento de programas antivirus y cortafuegos (especie de muralla cibernética).
De esta forma, permite que piratas informáticos o hackers eventualmente tomen el control de la máquina, y tengan acceso a información confidencial como números de tarjeta de crédito.
Impresoras poseídas
Sin embargo, un fallo en la programación del virus hace que el mismo "confunda" impresoras con computadoras.
Por lo tanto, si su impresora comienza a trabajar de forma inusual, como si estuviera endemoniada, podría ser una señal de que su computadora está infectada con el Bugbear.
Graham Cluley, de la firma antivirus Sophos, señaló a la BBC que es más probable que este virus afecte a usuarios individuales que no hayan tomado la precaución de proteger sus equipos con software antivirus, o que los mismos no estén al día.
Otra pista para detectar el virus es que el tamaño del archivo adjunto es siempre el mismo: 50.688 bytes.
Virus Blaster
Blaster, (o también llamado Lovsan o LoveSan 3a1) es un gusano de red de Windows que se aprovecha de una vulnerabilidad en el servicio DCOM para infectar a otros sistemas de forma automática.
El gusano fue detectado y liberado el día 11 de agosto de 2003. La tasa de infecciones aumentó considerablemente hasta el día 13 de agosto de 2003.[cita requerida] Gracias al filtrado por las ISP's y la gran publicidad frente este gusano, la infección pudo frenarse.
El 29 de agosto de 2003, Jeffrey Lee Parson, de 18 años de Hopkins, Minnesota fue arrestado por crear la variante B del gusano Blaster; admitió ser el responsable y fue sentenciado a 18 meses en prisión en enero de 2005.
El gusano se disemina al explotar un desbordamiento de buffer en el servicio DCOM para los sistemas operativos Windows afectados, para los cuales se liberó un parche un mes antes en el boletín 0261 y luego en el boletin 039.2
Está programado para realizar un ataque organizado de denegación de servicio al puerto 80 de "windowsupdate.com". sin embargo, los daños fueron mínimos debido a que el sitio era redirigido a "windowsupdate.microsoft.com". Aparte, Microsoft apagó sus servidores para minimizar los efectos.
El gusano tiene en su código los siguientes mensajes:
El gusano fue detectado y liberado el día 11 de agosto de 2003. La tasa de infecciones aumentó considerablemente hasta el día 13 de agosto de 2003.[cita requerida] Gracias al filtrado por las ISP's y la gran publicidad frente este gusano, la infección pudo frenarse.
El 29 de agosto de 2003, Jeffrey Lee Parson, de 18 años de Hopkins, Minnesota fue arrestado por crear la variante B del gusano Blaster; admitió ser el responsable y fue sentenciado a 18 meses en prisión en enero de 2005.
Efectos principales
El método con el que infecta los sistemas vulnerables es bastante parecido a la que usó el gusano Sasser, aparte, deja una puerta trasera que permite la intrusión a terceros, haciendo que la máquina infectada sea fácilmente atacada por otros virus, o accesos remotos no autorizados.El gusano se disemina al explotar un desbordamiento de buffer en el servicio DCOM para los sistemas operativos Windows afectados, para los cuales se liberó un parche un mes antes en el boletín 0261 y luego en el boletin 039.2
Está programado para realizar un ataque organizado de denegación de servicio al puerto 80 de "windowsupdate.com". sin embargo, los daños fueron mínimos debido a que el sitio era redirigido a "windowsupdate.microsoft.com". Aparte, Microsoft apagó sus servidores para minimizar los efectos.
El gusano tiene en su código los siguientes mensajes:
I just want to say LOVE YOU SAN!!)es por eso que a veces es llamado el gusano LoveSan o LovSan. El segundo:
billy gates why do you make this possible ? Stop making money and fix your software!!Es un mensaje a Bill Gates, el fundador de Microsoft, y el objetivo del gusano.
(Billy Gates, ¿Porqué haces esto posible? ¡¡Deja de hacer dinero y corrige tu software!!)
Efectos secundarios
En algunas versiones de Windows, puede generar inestabilidad del sistema, e incluso una ventana que advierte al usuario de que se debe reiniciar el ordenador:Apagando el sistema:
Se está apagando el sistema. Guarde todo trabajo en progreso y cierre la sesión. Cualquier cambio sin guardar se perderá. El apagado fue ordenado por NT AUTHORITY\SYSTEM
tiempo Restante: hh:mm:ss
Mensaje:
Windows debe reiniciar ahora porque Remote Procedure Call
(RPC) Service Terminó inesperadamente.
Virus Sobig
Sobig.F
ha conseguido ser el virus que más se ha propagado en menos tiempo , en
toda la historia de la informática. Esto se debe, a que está siendo
enviado a modo de “spam” a través de máquinas infectadas. De esta
manera, la posibilidad de que un ordenador sufra el ataque de este
gusano es muy alta. Por este motivo, un equipo infectado por Sobig.F se
convierte en un auténtico “generador de spam” infectado por el gusano,
lo que consigue que, en pocos minutos, una red de ordenadores pueda
quedar totalmente colapsada.
Blaster
y sus variantes, así como el gusano Nachi.A, se dedican a atacar,
fundamentalmente, los equipos de usuarios particulares, debido a que
hacen uso de la vulnerabilidad RPC DCOM del sistema operativo Windows.
Hasta el momento, el número de equipos infectados por estos gusanos en
todo el mundo es extremadamente elevado, según los datos recogidos por
la red internacional de servicio de Soporte Técnico de Panda Software.
En
palabras de Luis Corrons, director del Laboratorio de Virus de Panda
Software: “La aparición en tan poco tiempo de todos estos códigos
maliciosos hace que la probabilidad de que un ordenador quede infectado
haya aumentando hasta extremos alarmantes. La única manera de luchar
contra esto es mediante la utilización de programas antivirus
actualizados y cortafuegos; si los usuarios se conciencian de ello, la
amenaza irá menguando paulatinamente”.
Así,
la excepcional capacidad de propagación del gusano Sobig.F está
afectando a importantes empresas e instituciones. Según ha informado
ZDNET News, en un solo día el proveedor de servicios de Internet AOL
(America Online) ha recibido 11,5 millones de mensajes de correo
electrónico infectados por el gusano. También señala que un gran número
de empresas e instituciones como el Instituto Tecnológico de
Massachusetts y el Departamento de Defensa de USA están siendo afectadas
por Sobig.F
Incluso
se tienen noticias de que la compañía ferroviaria CSX, la más
importante de USA, ha tenido que suspender sus servicios en el área
metropolitana de Washington D.C, debido a la acción de un virus
informático.
Sin
embargo, no solamente los equipos usuarios particulares son
susceptibles a los ataques de Blaster y Nachi.A; éste último ha
provocado que la compañía aérea Air Canada esté sufriendo importantes
retrasos y cancelaciones de vuelos, según informa CNN.
Suscribirse a:
Entradas (Atom)