PDF de programación - Seguridad Informática: Capítulo 9: Virus y antivirus

Seguridad Informática:
Capítulo 9: Virus y antivirus

Titulación: Ingeniero en Informática.
Curso 5º - Cuatrimestral (2006-2007)

Javier Jarauta Sánchez
José María Sierra
Rafael Palacios Hielscher

Contenido

• Introducción
• Definición y clasificación de virus
• Funcionamiento general de los virus
• Tipos de virus
• Protección contra virus
• Ejemplos de virus
• Resumen

2
Capítulo 7

Introducción

3
Capítulo 7

Introducción

Desconocimiento
Desconocimiento

++

mala informacióónn
mala informaci

== Confusi

Confusióónn

¿ Virus ?

4
Capítulo 7

Introducción histórica

• Década de los 60: Programadores de Bell diseñan un juego

llamado Core War (guerras de núcleo)

• 1983: Fred Cohen acuña el nombre de virus (programas

que se reproducen a si mismos)

• 1985: Aparecen los primeros troyanos disfrazados de

gráficos y juegos

• 1986: Aparece Brain (Pakistaní) y se extiende por todo el

mundo (sector de arranque de discos 5,25”)

• 1987: Stoned (sector de arranque)
• 1987: Viernes-13 o Jerusalem (primer v.residente)
• 1988: 2 de Noviembre. Gusano de Internet. Colapso en 3

horas mediante e-mail

• 199x: Auge de los virus de propagación por Internet
• 200x: Spyware y Phishing

5
Capítulo 7

Volumen de virus (McAfee, mayo 2007)

• Actualmente hay más de 180.000 amenazas

• Approximately 150 to 200 viruses, Trojans,

and other threats emerge every day

• During December 2005 there were 7.6 million

new zombies (source TechNewsWorld)
– 250,000 new infected computers per day

6
Capítulo 7

Incidencias de virus en España 2005

Nombre
Netsky.P
Netsky.B
Netsky.Q
Zafi.B
Mydoom
Bagle.AB

Peligro Fecha

Incidencias
Alta
74.175.814 (41.7%)
Alta
23.903.954 (13.4%)
Alta
14.552.235 (8.2%)
Alta
14.289.770 (8%)
7.252.897(4.1%) Media
Alta
6.649.870(3.7%)

22/03/2004
18/02/2004
29/03/2004
11/06/2004
27/01/2004
29/04/2004

En una muestra de 1.123 Millones de email analizados

el 15,8% tenían virus

7
Capítulo 7

Incidencia virus en España última semana

8
Capítulo 7

Totales Malware = 114.175 Feb 2005

120000

100000

80000

60000

40000

20000

0

1990

1992

1994

1996

1998

2000

2002

2004

Fuente: McAfee’s VirusScan statistics

Evolución en el tiempo . . .

Marzo 2005
850 Virus Sector de Arranque
40400 Virus DOS
8250 Win32 y gusanos
8600 macro viruses
18700 Troyanos
7900 BAT, scripts, HTML, script exploits
350 Virus y troyanos Linux
9 Amenazas PDA
50 Virus y troyanos MacOS
2500 Drivers de aplicación, jokes y dialers

Agosto 2005
850 Virus Sector de Arranque
44500 DOS viruses
15100 (7100 Win32/gusanos y 7900 BOTs)
8625 Virus de Macro
21200 Troyanos
8500 BAT, scripts, HTML, script exploits
380 Virus y troyanos Linux
13 Amenazas PDA
50 Virus y troyanos MacOS
3000 Drivers de aplicación, jokes y dialers

Fuente: McAfee’s VirusScan statistics

10
Capítulo 7

IRC malware (bots)

9000
8000
7000
6000
5000
4000
3000
2000
1000
0

2002
Fuente: McAfee’s VirusScan statistics

2003

2004

IRC bots

2005

11
Capítulo 7

Servidores de malware…

12
Capítulo 7

Panorama actual

Metodologías y acciones adicionales

66 66 amenazas
amenazas
caracter MedioMedio
caracter

o alto*
o alto*

(AVERT

01/03 – 10/04)

90%90%

Mass Mailer
Mass Mailer
(Email Worm)
(Email Worm)

10%10%

Worm basado
basado
Worm
en en vulnerabilidades
vulnerabilidades

Metodología de infección

inicial

100%

45%

Email
P2P
23%
Share Hopper
Remote File Copy
10%
Exploit
File Infector
Application Spoof

8%

10%

5%

73%

42%

Remote Access
Terminate Process
Download
Key Logger
Registry Delete
10%
DOS
File Deletion

17%
12%

2%

10%

100%

Exploit
Download

33%

Remote Access
DOS

17%

83%

Fuente: McAfee’s VirusScan statistics

13
Capítulo 7

Impacto en el negocio por amenazas

My Doom

$5.2B

Sasser
$3.5B

NetSky
$2.75B

$14B Perdidas
$14B Perdidas

por las principales.
por las principales.
Amenazas del 2004
Amenazas del 2004

$18B Total
$18B Total

Bagle
$1.5B

Sober
$750M

Korgo
$400M

Costes indirectos
• Perdida de

productividad

• Erosion de

marca e imagen

• Perdida de

confianza del
cliente.

Principales amenazas 2004
Principales amenazas 2004

Source: Computer Economics 12/04

14
Capítulo 7

Desde la vulnerabilidad a la amenaza

s
o
c

i
t
í
r
c
s
o
v

i
t
c
a



e
d
n
ó
i
c
i
s
o
p
x
E

Exposición a
Exposición a
la amenaza
la amenaza

Con la publicación del
exploit el riesgo de los

activos críticos

aumenta.

Discovery
Discovery

Remedio
Remedio

Descubrimiento
de la vulnerabilidad

Anunciao

de la vulnerabilidad

Exploit
Publico

Exploit

automatizado

Fuente: McAfee’s VirusScan statistics

15
Capítulo 7

Informe de sophos trimestre 1,2007

• En el último año se ha duplicado el número de

nuevas amenazas malware.

• En el primer trimestre de 2007 se detectaron
24.000 malware, frente a 10.000 en el primer
trimestre de 2006.

• La web (navegador) es el principal medio de

transmisión. Hay más conciencia de seguridad
en el correo.

• De enero a marzo de 2007 una media de

5000 nuevas páginas web con capacidad de
infección (el 70% son páginas legítimas donde
el atacante ha tomado el control).

16
Capítulo 7

Definición y clasificación
de virus

17
Capítulo 7

Definición y propiedades

• Un virus es una secuencia de instrucciones (programa)

– De código máquina compilado, o
– De código fuente interpretado

• Es capaz de

– Realizar copias reiteradas de si mismo (propagarse)
– Añadir su código al de otros programas (infectar)

• Infecta a programas normales a través de

– La ejecución involuntaria y parasitaria de un programa

previamente infectado

18
Capítulo 7

Definición y propiedades

• Intentan controlar el entorno en el que actúan para

– Poder propagarse
– Permanecer oculto al usuario

• Por este motivo suelen ser residentes en memoria,
aunque existen tipos de virus que no son residentes

• Utilizan técnicas de ocultación
• Sus especificaciones dificultan el funcionamiento

normal del ordenador al que infectan

• Generalmente provocan daños

19
Capítulo 7

Definición y propiedades

• Toman el nombre de los virus biológicos y se

establecen ciertas analogías:
– Virus biológico entra en el cuerpo e infecta las células. El

virus informático entra en el ordenador e infecta los archivos.

– Ambos virus se reproducen y se propagan dentro del sistema.

También se propagan a otros sistemas transmitiendo la
infección.

– Los virus biológicos son microorganismos y los virus

informáticos son micro-programas.

– Los primeros programas para eliminar virus se llamaron

vacunas, aunque ahora se llaman antivirus.

20
Capítulo 7

Definiciones de programas peligrosos

• Virus: Programa difícil de detectar que se replica y
extiende. En determinados momento puede causar
daños importantes

• Worm (gusano): programa que se replica y extiende.
No necesita infectar otros programas para extenderse,
normalmente se extiende por la red produciendo
mucho tráfico.

• Trojans (caballos de Troya): programa que aparenta

ser inofensivo mientras realiza su tarea.

21
Capítulo 7

Definiciones de mensajes de correo

• Hoaxes (trampas): no son virus, son falsos mensajes
que causan alarma y desconcierto. En algunos casos
pueden engañar al usuario para modificar parámetros
del sistema y tener efectos parecidos a los de un
virus.

• Spam: mensajes de correo no solicitado. No suelen

ser dañinos sino que causan pérdida de tiempo y
sobrecargan la red.

• Phishing: técnica moderna de engañar a los usuarios

para conseguir información personal.

22
Capítulo 7

Clasificación

• Los virus se pueden clasificar por varios criterios:

– Técnicas utilizadas
– Dónde se esconden
– Tipo de archivos que infectan
– Tipo de daños que causan
– Tipo de plataforma que atacan
– Mecanismo de propagación
– etc.

23
Capítulo 7

Clasificación

• Lo más extendido es clasificarlos atendiendo

fundamentalmente al lenguaje de programación
– W32 Viruses targetted at all 32-bit versions of Windows (all

versions from Windows 95 on).

– VBS Viruses written in Visual Basic Script.
– WM, W95, W97M, W2KM: Word macro viruses
– AM, A97M, A2KM: Access macro virus
– OM, O97M, O2KM: Office macro virus
– JS Attacks written in JavaScript.
– Worm
– Trojan

24
Capítulo 7

Clasificación

TrendMicro
ActiveX Control
Backdoor
Batch File
Boot
DOS
Elf Executable
File Infector
Html
IRC Script
Java Applet
JavaScript
Joke
Macro
Not a Virus
Others
Shell Script
Trojan
VBScript
Visio 5
VXD
Worm

25
Capítulo 7

Clasificación

• De cada virus suelen aparecer variantes a los pocos

días (sufijos .A, .B,...)

Symantec marzo/2004

26
Capítulo 7

Funcionamiento general
de los virus

27
Capítulo 7

Ciclo de vida de un virus

1.- Diseño y
desarrollo

7.- Reingeniería

6.- Obsolescencia y

recaída


VirusVirus

5.- Descubrimiento y

análisis

2.- Infección

inicial

3.- Infecciones
sucesivas-
Mutación
4.- Activación

Pay-Load

28
Capítulo 7

Infección Inicial

• Al abrir un documento

infectado

• Al ejecutar un

programa
infectado






RAMRAM



29
Capítulo 7

Medios de contagio

• Intercambio de programas
• Circulación de disquetes, CDs, Flash USB
• Download de ficheros (FTP, HTTP)
• Agujeros de seguridad
• Otras redes públicas y correo electrónico

(attachments)

• Revistas en o con disquete o CD-ROM
• Marketing en disquete o CD-ROM

30
Capítulo 7

Propagación e infecciones sucesivas

Al ejecutar un
programa
limpio

Al abrir o salvar
un documento

limpio

Acceso a
dispositivos de
almacenamiento
externo o carpetas
compartidas




RAMRAM







31
Capítulo 7

Técnicas de ocultación

• Procedimientos que utilizan los virus para no ser

detectados por

• Los usuarios
• Los programas