|
Controlado desde el
19/10/97 por NedStat
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
| Los métodos más utilizados por los virus | ||
|---|---|---|
VSantivirus No. 625 - Año 6 - Domingo 24 de marzo de 2002 Los métodos más utilizados por los virus http://www.vsantivirus.com/sbam-metodos.htm Por Ignacio M. Sbampato(*) webmaster@virusattack.com.ar Publicado originalmente en: http://virusattack.xnetwork.com.ar/articulos/VerArticulo.php3?idarticulo=41 22/03/2002 Durante este último tiempo hemos visto como los virus informáticos, en todos sus tipos conocidos (gusanos, troyanos, backdoors, etc.), evolucionan para encontrar nuevas e ingeniosas formas de engañar e infectar usuarios. Una de las cosas más interesantes de los virus es, justamente, la capacidad de algunos de sus programadores de aprovechar nuevas tecnologías, funcionalidades o trucos para que sus virus sean originales y puedan realizar sus acciones de manera distinta a los anteriores. A continuación, hablaremos sobre los métodos más utilizados, y los más novedosos de los últimos tiempos: W32/Myparty Este gusano de correo electrónico que deambuló por los primeros puestos de los rankings de virus más reportados en el mes de Enero y Febrero, utiliza un interesante método para hacer creer a los usuarios que el archivo adjunto al mensaje infectado es una dirección de un sitio de Internet. Para ello, quien creó el virus creo un mensaje haciendo referencia a las fotos de una fiesta y llamó al archivo con el nombre www.myparty.yahoo.com. Dicho archivo no es una página de Internet ni un acceso directo, sino un archivo ejecutable con extensión .COM, que hace creer a un usuario inexperto que se trata de la URL de un sitio de Internet. La gran masividad que alcanzó este gusano, debido a este inteligente truco, llevó a Yahoo! a incluir en su sitio información sobre él cuando un usuario intenta acceder a la dirección www.myparty.yahoo.com. W32/Magistr y sus versiones Aunque fue descubierto en Marzo del año pasado, tanto su original como su descendiente, el W32/Magistr.b, aún son reportados por usuarios de todo el mundo, y esto se debe, en gran parte, a la forma en que se reproduce por correo electrónico. Para hacer esto, selecciona su asunto y texto de archivos .DOC o .TXT que se encuentren en la carpeta Mis Documentos del equipo infectado, y adjunta uno o varios archivos que selecciona aleatoriamente, y que modifica para que contengan el virus, pero mantengan el nombre original. De esta forma, al adjuntar información que ya existía en el equipo del usuario, la misma puede ser coherente para quien lo recibe, y éste puede ejecutar los adjuntos pensando que realmente le fueron enviados por su amigo, conocido, compañero de trabajo, etc. Por ejemplo, una persona de administración de la empresa Economic Data (www.edata.es), distribuidora de productos antivirus española, se infectó por este gusano, y el Magistr envió a todos sus contactos un mensaje cuyo asunto y texto contenía información de productos de esa compañía, lo que hizo creer a muchos de quienes lo recibieron que el mensaje realmente había sido enviado por dicha persona. W32/Badtrans y versiones El W32/Badtrans.b es la segunda versión de este virus, que aún se mantiene en los primeros puestos de los rankings, debido a su ingenioso método de reproducción. El gusano, al infectar un equipo, responde todos los mensajes que se encuentran en la Bandeja de Entrada del usuario, con una copia de si mismo. Esto hace que quien lo reciba, al ver que es una respuesta de un mensaje que envió, crea que realmente se lo mandó una persona, cuando en realidad lo hizo el propio W32/Badtrans.b. Gusanos autoejecutables Existen cientos de virus (si, cientos) que aprovechan vulnerabilidades en los navegadores de Internet y en los clientes de correo electrónico para ejecutarse cuando un usuario accede a una página web o abre un mensaje de email, sin necesidad de que éste abra archivo alguno. Aunque los reportes de estos virus, como el W32/Badtrans.b, alcanzan cifras exorbitantes, no es porque sean inevitables, sino porque los usuarios no se acostumbran a actualizar sus productos. Contando con las últimas versiones de las aplicaciones que utilizamos, este tipo de virus y gusanos, nunca podrán afectarnos. Recursos compartidos Virus como el W32/Nimda, W32/Hai, Worm/Chode o el Worm/Fable, son todos gusanos que tienen una característica en común: son capaces de reproducirse a través de redes, o de Internet mismo, copiándose en aquellos equipos que tengan recursos compartidos. Estos gusanos aprovechan que muchos usuarios comparten directorios, e incluso discos enteros, con permisos de acceso total, desconociendo que esto puede ser aprovechado en forma remota por un virus o usuario malicioso. De esta forma, se copian en los equipos desprotegidos, y sin el conocimiento de sus usuarios, los infectan. La única forma de evitar esto es compartiendo los recursos con contraseña, o instalando un firewall personal que bloquee este tipo de accesos. Ingeniería social Muchos gusanos no utilizan ninguna nueva técnica para propagarse, sino que intentan engañar a las personas a fin de que éstas ejecuten el archivo adjunto. Logran esto utilizando algo que se llama Ingeniería social, y que fue discutido en el pasado en otro artículo de Virus Attack!. Un claro ejemplo de esto, es el célebre virus ILOVEYOU o VBS/LoveLetter, que simulaba ser una carta de amor, y que gracias a ello, alcanzó uno de los índices más altos de propagación de toda la historia de los virus, en apenas pocos días. En una muestra algo más reciente, otro de los tantos gusanos que aprovechan esto es el W32/Psycho, que despierta la curiosidad del usuario, a través de un mensaje sobre la "droga virtual". De alguna manera, siempre parece haber gente dispuesta para ver ese adjunto tan tentador, pero que al fin y al cabo, sólo es un gusano que puede causarle serios problemas. Los programadores de virus saben esto, y no tienen ningún remordimiento en seguir aprovechándolo. Conclusiones Como habrán podido notar, la mayoría de estos métodos son utilizados principalmente por los gusanos, una rama de los virus, que son capaces de reproducirse de equipo en equipo, y que normalmente no infectan otros archivos. El auge de Internet llevó a que este tipo de virus prevaleciera sobre otros, como los infectores de archivos o macrovirus, quienes estaban al tope de los rankings en el pasado, y una de las principales razones de esto es que los gusanos ofrecen todo un abanico de posibilidades de propagación, que aquellos virus no. Los programadores de virus son ingeniosos, y por ello sus creaciones también lo son. Por esto los virus, gusanos y troyanos evolucionan rápidamente y encuentran nuevas formas de infectar sin ser detectados rápidamente. La única defensa que tenemos contra esto somos nosotros mismos. Tomándonos en serio la seguridad informática es la única manera de que los virus, y sus nuevos trucos, no nos afecten. Más información HispaSec - Magistr sigue activo http://www.hispasec.com/unaaldia.asp?id=921 Fe de erratas 28/03/2002 - En la versión original de este artículo se mencionó que la empresa F-Secure se vio infectada por el virus Magistr, lo cual es completamente falso. La empresa que, según HispaSec, sufrió un incidente con este virus fue Economic Data (www.edata.es), distribuidora mundial de productos antivirus. La empresa F-Secure nunca se ha visto afectada por un virus informático, según nuestro conocimiento. (*)Ignacio M. Sbampato es el WebMaster y Responsable de Contenidos de Virus Attack! y es Redactor de Noticias relacionadas con virus informáticos y seguridad de DiarioRed.com (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com |
||
