l) Los sistemas
operativos Windows NT, OS/2, UNIX, etc. son
vulnerables a los virus. El hecho
de que no existan todavía un buen número de
especies virales para ellos, se debe a que la cantidad de equipos
que usan estas plataformas es sumamente inferior al de la
mayoría de las PC's. Los autores de virus desean hacer
daño
masivos.
m) En el caso de los archivos
comprimidos bajo el formato ZIP, que fueron descargados
por Internet, estos deberán ser revisados
inmediatamente después de haber sido desempaquetados y
antes de ser ejecutados. PER ANTIVIRUS® detecta y elimina los virus
contenidos en archivos en formato ZIP, sin necesidad de
desempaquetarlos.
n) Este mismo tratamiento se deberá dar a los
archivos anexados (adjuntos), enviados por correo
electrónico, cuidándose de no abrir mensajes de
origen desconocido o sospechoso. Las vacunas de
PER ANTIVIRUS® detectan y eliminan
automáticamente los archivos infectados con macro virus,
virus enviados en VBS o en formato HTA, SHS, PIF, etc., sean
éstos conocidos o desconocidos.
Cualquier medida preventiva para evitar los virus es
buena aún cuando no sea la más adecuada.
Sírvase leer nuestras recomendaciones de Políticas
de Seguridad.
Existen sistemas costosos
de hardware/software denominados
Firewalls (murallas de fuego), los cuales están al
alcance únicamente de las empresas o
corporaciones. En esta página brindamos soluciones muy
eficientes y gratuitas.
| ZoneAlarm 3.x es un Firewall Cuenta con una versión comercial para uso | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AnalogX Proxy 4.12 Soporta los protocolos HTTP, | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Constantemente PER SYSTEMS® estará
revisando y probando los mejores programas
gratuitos de Seguridad en Internet y pondrá a
disposición de los visitantes de nuestro Portal, las
versiones actualizadas de éstas y otras muy útiles
herramientas.
Para descomprimir estos archivos utilice PKZIP o
PKUNZIP
La palabra "Troyan Horse" en inglés,
significa Caballo de Troya. Los caballos de troya, o
simplemente troyanos, son un término frecuentemente
empleado, a nuestro criterio, sin sustento real y es nuestra
intención explicar este concepto.
En 1984 el Dr. Fred Cohen Relata la obra que los griegos ingresaron un gran Según algunos estudiosos de los virus, "los | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Según algunos estudiosos de los virus, "los
caballos de troya son programas que ejecutan acciones
destructivas, bajo ciertas condiciones, borrando la
información de los discos duros, colgando sistemas,
etc."
Los troyanos requieren que su "víctima" abra o
ejecute un archivo anexado a un mensaje de correo
electrónico para que de este modo el virus instale una
copia de sí mismo y a partir de ello, empiece su proceso de
infección.
Nosotros no estamos de acuerdo con ninguna de las
teorías
anteriores, debido a que el concepto de virus de
computadoras a cambiado a través de los tiempos y ahora se
clasifican por sus diferentes e ingeniosas técnicas
de programación.
Todos los llamados virus, gusanos o caballos de troya,
pueden realizar cualquier tipo de daño,
sujetos a la intencionabilidad de sus desarrolladores.
Habría que preguntarnos, qué virus que
infectan los sistema de las
computadora,
no ingresa a un sistema en forma subrepticia? Acaso no es la
intención de los creadores de virus difundir sus especies,
en forma oculta, con el claro objetivo de
ocasionar el mayor daño posible?
No es también una de las modalidades mas
empleadas el enviar archivos anexados a un mensaje de correo
electrónico, para la difusión masiva de los virus,
cualquiera sea su técnica de programación?
Sucede que los conceptos vertidos por el Dr. Fred Cohen
quedaron como un precedente importante, por haber sido el primer
investigador de esta materia. A
pesar de ello, y sin desmerecer al Dr. Cohen, éstos hoy
día son obsoletos y sus obras han quedado en el olvido. El
mismo no continuó con sus investigaciones
sobre virus y hoy dirige su propia corporación denominada
Fred Cohen & Associates, especializada en seguridad de
la información.
Al igual que toda expresión tecnológica,
cualquier persona o
grupo de ellas
se puede interesar en el tema y en forma repentina "surgir" como
una supuesta autoridad en
la materia, emitiendo libres conceptos, que fácilmente
pueden ser rebatidos por lo anteriormente expuesto.
Nosotros investigamos el fenómeno de los virus
informáticos desde 1986, hasta el día de
hoy y hemos desarrollado un software antivirus de gran
aceptación y prestigio en el mercado nacional
e internacional.
Y continuamos investigando los virus, ya que ellos
constituyen materia de investigación y tratamiento exclusivo en
nuestro trabajo. Por
estas razones, podemos afirmar que nos consideramos calificados
conocedores del tema.
Debido a la influencia de los medios de
prensa, las palabras virus, gusanos o caballos de troya son
empleadas con frecuencia, a manera de noticias, y
lamentablemente nosotros nos vemos obligados a usar estos
términos para informar acerca de algunas nuevas especies
virales, con la intención de no confundir a los usuarios.
Lo mismo ha sucedido con el concepto de "hacker",
atribuido en forma genérica a los piratas de
software, intrusos de la red, crackeadores,
phreakers, y hasta delincuentes
informáticos.
1986 El comienzo
de la gran epidemia
En 1985 la revista
BYTE, de gran popularidad por los primeros años de
la era de la PC, contaba con un foro de opiniones llamado BIX
BBS, mediante al cual sus usuarios se conectaban via
módem. Durante ese año se empezaron a reportar en
el BIX, la presencia de programas que ingresaban en forma
subrepticia a los sistemas y por lo cual atinaron a denominarlos
Troyan Horses (caballos de Troya), en alusión al episodio
de la famosa obra épica griega.
Estos programas ocasionaban extraños
comportamientos y malograban el sector de boot de los
diskettes.
En 1986 año se identificaron y difundieron los
virus (c) Brain, Bouncing Ball y Stone, que
fueron los primeros representativos de propagación masiva.
Estas 3 especies virales tan sólo infectaban el sector de
arranque de los diskettes.
Stone o Marihuana
Infectaba el Sector de Boot, el cual era almacenado en
el el track 0, head 1, sector 3. Este viene a ser el
último sector del directorio raíz de un diskette de
360Kb. Su efecto consistía en mostrar este
mensaje:
"Your computer is now stoned. Legalise
marijuana!!"(su computadora está dura. Legalicen la
marihuana!!)
A causa de estos virus que se difundieron muy
rápidamente en todo el mundo, a su vez inspiraron a otros
desarrolladores a crear múltiples variantes, aún
más peligrosas. En la IBM Corporation, un equipo dirigido
por Dave Chess, creó la primera vacuna individual para
este primer virus:
SStoned, para el virus Stoned. Sin embargo
existía un método muy
sencillo para eliminar cualquiera de estos virus, el cual
consistía en reiniciar el sistema con un diskette de
arranque, limpio de virus en la unidad "A" y colocando al
diskette infectado en la unidad "B", se digitaba:
A:SYS B: [Enter]
Este comando renovaba los archivos ocultos del sistema y
reparaba el sector de arranque. Los diskettes de formato de 1.2
DS/HD presentaron algunos problemas para
esta método. Es así que en 1986 los investigadores
de virus empezaron a desarrollar los programas antivirus,
más allá de vacunas individuales, todas las cuales
eran residentes en memoria
(TSR) y ocupaban mucha memoria convencional.
La familia de virus
Stoned, es muy extensa y se propagó en todo el
mundo. La mayoría de estas variantes están ,
además de que todas ellas tienen una misma estructura de
programación, que son detectadas y eliminadas con una
rutina Heurística que las agrupa por familias.
PER ANTIVIRUS® posee una tecnología propia,
denominada Wise Heuristics® que detecta y
elimina automáticamente y en tiempo real todos los
virus de Boot, aún sean éstos desconocidos,
además cuenta con una opción denominada
PERDisk que reconstruye el sector de arranque (Boot
Sector) de los diskettes.
En Agosto de 1998 se difundió un sistema de Concebido como una irónica |
| |||||
Su lanzamiento fue oficialmente anunciado el 10 de Julio
de 1999, en la 7a Convención de hackers,
denominada DEFCON 7,
celebrada en el hotel Alexis Park Resort de Las Vegas,
Nevadas. Back Orifice 2000 fue propagado por Internet por
primera vez el 11 de Julio y tuvo que ser re-lanzado 4
días después, debido a que su primera
versión estaba infectada con el virus CIH. Si bien esta
aplicación es un excelente sistema de control remoto de
las estaciones de trabajo de una red, también se convierte
en un poderosísimo Caballo de Troya.
Sus autores comparan la eficiencia de su
sistema con PC-ANYWHERE de Symantec y CARBON COPY
32 las cuales demuestran que Back Orifice 2000 es más
potente y cuenta con mayores prestaciones.
Por causa de Back Orifice, Microsoft ya no podrá
afirmar que sus sistemas son completamente seguros!! Sin
embargo, la gran corporación expresó, su grave
preocupación en una página web
dedicada por completo a Back Orifice 2000.
El 19 de Julio, en la ciudad de San Francisco, The
CULT OF THE DEAD COW (cDc) retó públicamente a
Microsoft Corporation a retirar voluntariamente del mercado,
todas las copias de su sistema de redes, Systems Management
Server. Más aún, el grupo cDc invitó a la
industria de
antivirus de todo el mundo para realizar una búsqueda de
firmas de virus en los archivos del SMS de Microsoft.
http://www.cultdeadcow.com/news/pr19990719.html
Back Orifice, en ambas versiones, de muy fácil y
amigable manejo, es uno de los más temibles
administradores de sistemas de redes que jamás antes se
haya creado. La primera versión permitía a
cualquier persona que la ejecutase, tomar el absoluto control de
las demás estaciones de trabajo, con Windows 95 o Windows 98,
sin que los demás usuarios de la red se percatasen y ahora
repite lo mismo con Windows NT y Windows 2000.
Esta situación reviste suma peligrosidad, por
cuanto sus autores distribuyen el código
fuente en la página web de El Culto de la Vaca
Muerta, lo cual permitirá que el programa sea
modificado, para disfrazar su apariencia, pero sin perder sus
poderosas y peligrosas capacidades. Back Orifice 2000,
tiene una interfaz estándar de Windows, lo que le permite
controlar varias estaciones al mismo tiempo:
Back Orifice 2000 es mucho más difícil de
detectar, sin embargo PER ANTIVIRUS®, a partir de su
versión 5.3, no solamente lo detecta y advierte su
presencia en cualquier equipo, sino que además impide su
ejecución y lo elimina eficientemente.
Las 2 caras de Back Orifice 2000
Compuesto por 2 módulos básicos: Cliente y
Servidor, su accionar es totalmente esquizofrénico, ya que
después de ser una verdadera y muy eficiente herramienta
de control para los sistemas de redes, permite que cualquier
usuario que lo ejecute como Cliente desde su estación de
trabajo, haga lo que le venga en gana con las demás
estaciones, a las cuales convierte en Servidores,
pudiendo modificar, renombrar, borrar archivos, desconfigurar
atributos y privilegios, modificar el registro, generar
molestosos sonidos continuos, o hasta bloquear los sistemas
remotos, etc., etc.
Esta nueva versión incluye un encriptamiento de
seguridad que permite al "administrador
eventual" usar esta herramienta para diagnósticos remotos,
sin embargo puede ser usado por otros usuarios que también
tomarán control del sistema, pudiendo llegar a provocar un
CAOS total en los sistemas de redes NT.
Su Wizard de configuración le permite crear un
componente de Servidor Back Orifice con apenas 140 Kb, que
necesita ser desplegado en los sistemas remotos para que una vez
instalado en los mismos, el "Cliente" tome el control de los
eventuales "Servidores".
Su gran peligrosidad reside en el hecho que con ciertos
"Plug ins" que permiten usar el protocolo
TCP/IP, un
hacker experto puede controlar a través de Internet a
cualquier otro servidor fuera de su locación, que haya
sido "contagiado", debido a que es sumamente fácil
conocer las direcciones IP de cualquier servidor en el
mundo.
Nuevos posibilidades escondidas de
daño
Una de las más resaltantes capacidades de Back
Orifice 2000, es la de convertir cualquier directorio, en un
directorio compartido, con el objeto de controlar estaciones de
trabajo en Windows NT. Esta posibilidad es sumamente peligrosa en
el caso de que empleados resentidos que sientan deseos de
ocasionar daños, en forma furtiva, a cualquier
estación o al propio servidor central.
Otra nueva capacidad es la de ejercer un poderoso
control remoto en el propio Servidor Back Orifice. Ello permite
no solamente realizar cambios sino además agregar otros
"Plug ins" a los sistemas remotos sin necesidad de reinstalar el
servidor.
"Sir Dystic", el hacker autor del programa "El Culto de la Vaca Muerta" conformada en Texas, Para evitar ser sorprendidos por el FBI, esta | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
PER ANTIVIRUS® detecta este Troyano/backdoor,
impide su ejecución y lo elimina
eficientemente.
Este peligroso virus ha sido llamado por varios nombres,
tales como "CIH", "NetworkNuke" y "Chernobyl".
El virus W32.CIH, se detectó en
Taiwán a principios de
Junio de 1998 y al cabo de una semana ya estaba expandido
en todo el mundo, según la versión del mismo, puede
ser activado el día 26 de Abril, o los días 26 de
cada mes (o sea que se puede tener el virus sin consecuencias
directas, más que el contagio, hasta esa fecha). El virus
infecta los archivos ejecutables de 32 bits de
Windows®95/98 e infectará todos los archivos de
este tipo que encuentre. Si se ejecuta un archivo infectado, el
virus quedará residente en la memoria e
infectará los archivos que sean copiados o
abiertos.
Los archivos infectados serán del mismo
tamaño que los originales, debido a las técnicas
especiales que utiliza dicho virus, lo cual hace más
difícil la detección del mismo. Este virus busca
espacios vacíos dentro del archivo y los va llenando con
su propio código viral, en pequeños segmentos. De
todas formas el virus tiene algunos bugs que hacen que pueden
bloquear la PC cuando se ejecutan archivos infectados.
Todas las variantes de este virus borran los primeros
2048 sectores del disco duro,
esencialmente, y luego formateándolo, además
intenta re-escribir el BIOS de la
computadora, dejándola inutilizable hasta el cambio de
BIOS o de placa
madre. Este último tan solamente ocurre con placas madres
que tienen un BIOS sobre-escribible (Flash-Bios).
El virus tiene dos consecuencias en la fecha de
activación: La primera es que borra o sobre-escribe la
información del disco duro usando llamadas de escritura
directa, saltándose las protecciones antivirus de BIOS,
sobre-escribiendo asimismo el MBR
(MASTER BOOT RECORD) y el sector del BOOT.
Estas son sus características
básicas:
El CIH está programado para activarse el 26
de Abril (aniversario del accidente en Chernobyl).Algunas variantes de este virus se activarán
el 26 de Junio y la versión 1.4 lo hará el dia
26 de cualquier mes.Este virus infecta los archivos ejecutables de
Windows®95/98 (archivos .EXE)Su código viral se integra como parte del
archivo EXE ocupando un espacio no usado para de este modo
evitar su detección.Trabaja bajo la modalidad de "disparo", que le
permite no evidenciarse hasta que se activa en la fecha
indicada.El virus CIH destruye archivos en el disco duro y la
memoria del BIOS en computadoras que cuentan con un Flash
BIOS con capacidad de ser actualizable y que que se encuentre
configurado como write-enabled.
Chen Ing-Hou, el creador del virus CIH, que "El no es un criminal aquí, mientras que no Por esos motivos, Chen fue inmediatamente puesto | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Cuando Chen creó el virus era un estudiante de
Ingeniería de Computación en el Instituto
Tecnológico de Taipé y después
graduarse, está cumpliendo el Servicio
Militar Obligatorio en su país.
PER ANTIVIRUS® detecta y elimina
eficientemente este virus, así como sus
variantes.
Creative, Prolin, Shockwave,
W32/Prolin@mm,
TROJ_SHOCKWAVE,
TROJ_PROLIN
Creative o Prolin es un gusano que se
propaga a través de mensajes de correo, con un archivo
anexado
CREATIVE.EXE y se auto-envía usando MS Outlook .
Este archivo ejecutable de 37 KB está desarrollado en
Visual Basic y
emplea la técnica estándar del virus "Melissa"
auto-enviándose a cada una de estas
direcciones.
Una vez infectado un sistema, el gusano envía un
mensaje a su autor, informándole acerca de una nueva
infección a un sistema:
Luego el gusano se auto-instala en el sistema, dos (2)
veces, en una computadora infectada. Una copia es enviada al
directorio raíz C: y la otra es creada en el
sub-directorio C:Windows Start Menu:
C:creative.exe
C:WINDOWSStart
MenuProgramsStartUpcreative.exe
La segunda copia es colocada en un sub-directorio
"auto-run", y será activada en cada sesión de
Windows.
Este gusano tiene un "payload" muy peligroso que busca
en todas las unidades de disco, obtiene los archivos ZIP,
MP3, y JPG y
los renombra a la unidad C: con el nombre:
C:%victimfile%change atleast now to
LINUX
Por ejemplo, GRAFICO.JPG e INFORME.ZIP son
movidos y renombrados:
C:GRAFICOS.JPGchange atleast now to
LINUX
C:INFORME.ZIPchange atleast now to
LINUX
Creative o Prolin también crea un
archivo de texto
"messageforu.txt" en el directorio raiz C: donde escribe
algún texto y agrega una lista de los archivos
renombrados:
Hi, guess you have got the message. I have kept a list
of files that I have infected under this. If you are
smart enough just reverse back the process. i could
have done far better damage, i could have even
completely wiped your harddisk. Remember this is a warning
& get it sound and clear… – The
Penguin
C:WINDOWSSYSTEMOOBEIMAGEXBGAMEX.JPG
C:BACKUPDATA.ZIP
Hola, creo que recibiste el mensaje. He guardado una
lista de archivos que he infectado. Si eres lo
suficientemente listo simplemente retrocede el
proceso.
Pude haberte hecho un daño mayor, yo pude
aún borrar tu disco duro por completo.
Recuerda esta advertencia y deja que suene y
claro… – El Pinguino
C:WINDOWSSYSTEMOOBEIMAGEXGRAFICO.JPG
C:BACKUPINFORME.ZIP
Usando la lista de archivos renombrados, manualmente
pueden ser restaurados a sus ubicaciones originales, siempre y
cuando la computadora infectada no haya sido re-iniciada. De lo
contrario el gusano remueve la lista de los archivos renombrados
al archivo "messageforu.txt".
PER ANTIVIRUS® detecta este gusano, impide su
ejecución y lo elimina
Definición de Seguridad |
La seguridad Técnicamente es imposible Existen dos tipos de seguridad con |
Autor:
Ing. Dumar Suarez G.
Coordinador General y Propietario Del Instituto
Técnico Manuela Beltrán Granada – Meta
– Colombia
 Página anterior | Volver al principio del trabajo | Página siguiente  |