UNIDAD 4
Práctica 1
I. Utilizando el Internet intenta encontrar un ejemplo de cada tipo de virus definido previamente:
* Virus de archivo: Virus de Bug-ware : Es el término dado a programas informáticos legales diseñados para para realizar funciones concretas, debido a una inadecuada comprobación de errores o una programación fallida, causan daños al hardware y/o al software de sistema.
* Virus residentes: Randex, CMJ, Meve, MrKlunky
*Virus de Macro: Relax, Melissa.A, Bablas, 097M/Y2K.
* Un troyano keylogger: Es el virus troyano encargado de monitorear y registrar todo lo que se teclea. Está especializado en el robo de información confidencial, y varios de estos virus tienen la capacidad de hacer capturas de pantallas.
* El gusano: Sobing Worm: Es un gusano de envío masivo de correo, y su propagación se realiza a todas las direcciones electrónicas encontradas en en ficheros de extensiones: .txt, .eml, .html, .htm, .dbx, y .wab y hace copias de sí mismo en otras computadoras a través de el recurso compartido de redes.
II. Investiga el virus Klez :
1.-¿Cuál es su "carga destructiva" (payload)?
R=
Carga (payload) La acción que realiza el virus. No tiene por qué ser destructivo: puede ser mostrar una ventana, un mensaje, etc. Entre los payload destructivos o perjudiciales
pueden encontrarse desde el borrado de ficheros hasta el envío de información
confidencial a destinos no autorizados.
2.- El virus Klez es muy conocido por su técnica de SPOOFING. ¿Qué es SPOOFING y cómo es utilizado por el virus Eles?
R= El spoofing es una técnica fraudulenta que consiste en la suplantación de identidad, y puede ser de distintos tipos: de IP, Web, DNS, emai. En el caso de un spoofing de email: suplantación de la dirección de correo, normalmente para el envío de spam, hoax (bulos o noticias falsas) y phishing.
3.- Acabas de enterarte que tu ordenador está infectado con el virus Klez. Investiga cómo eliminar el virus.
R= El virus intentará sobrevivir el máximo tiempo posible e infectar
al mayor número de ficheros y/o ordenadores
Para eliminar el virus Klez, el mejor método es, en primer lugar, desconectar el equipo infectado de la red y después utilizar un software antivirus actualizado o la herramienta de desinfección de Symantec (preferentemente, reiniciando el equipo en modo a prueba de errores)
III. Mediante Internet encuentra un ejemplo de troyanos y spyware:
R= Troyano drooper: se caracteriza por ejecutar otros códigos maliciosos al momento de su ejecución.
Internet Optimizer: sus autores se adueñan de las páginas de error del navegador (por ejemplo, las que aparecen cuando se trata de entrar a una dirección inexistente) y las redireccionan a las que ellos controlan.
UNIDAD 4
Práctica 2
Ejercicios: Investiga en Internet o en libros lo siguiente:
*Las acciones del gusano SippedFiles: probablemente el más peligroso de los gusanos del correo electrónico los cuales suelen ejecutar acciones ocultas e indeseables.
*La propagación y acciones del gusano Bubbleboy: El gusano se propaga de forma extremadamente rápida, utilizando una técnica que le hace singular. Se propagar aprovechando un agujero de seguridad de Internet Explorer 5. Debido a ello le es posible realizar sus infecciones enviando mensajes de correo electrónico en los que NO se adjunta o incluye ningún tipo de archivo. Por este motivo, basta con visualizarlo desde Outlook 98, o Outlook Express 5 para que el gusano pueda crear el archivo UPDATE.HTA. No es necesario extraer ni ejecutar ningún archivo incluido en los mensajes, como ocurre con otros gusanos de Internet.
Estos mensajes se envían a TODAS las direcciones que se encuentren almacenadas en la Libreta de Direcciones de Microsoft Outlook. Tras haberse producido la infección en un determinado computador, VBS/Bubbleboy se envía a sí mimo, en el siguiente arranque o inicio del sistema.
El hecho de que el código script no sea visible en los mensajes y que cada uno de ellos no lleve ningún archivo adjunto o incluido, hace extremadamente difícil darse cuenta de que el mensaje está infectado.
* Acciones del troyano SirCan y en qué país se escribió: Los troyanos están compuestos principalmente por dos programas: un cliente, que envía las órdenes que se deben ejecutar en la computadora infectada, un servidor situado en la computadora infectada, que recibe las órdenes del cliente, las ejecuta y casi siempre devuelve un resultado al programa cliente y, por último, un editor del servidor, el cual sirve para modificarlo, protegerlo mediante contraseñas, unirlo a otros programas para que, al abrir el programa también se ejecute el servidor, configurar en que puerto deseamos instalar el servidor, etc. Atendiendo a la forma en la que se realiza la conexión entre el cliente y el servidor se pueden clasificar en:
- Conexión directa (el cliente se conecta al servidor).
- Conexión inversa (el servidor se conecta al cliente).
La conexión inversa tiene claras ventajas sobre la conexión directa, esta traspasa algunos firewalls (la mayoría de los firewall no analizan los paquetes que salen de la computadora, pero que sí analizan los que entran), pueden ser usados en redes situadas detrás de un router sin problemas (no es necesario redirigir los puertos) y no es necesario conocer la dirección IP del servidor.
Cabe destacar que existen otro tipo de conexiones, que no son de equipo víctima a equipo atacante, sino que utilizan un servidor intermedio, normalmente ajeno a ambos, para realizar el proceso de control. Se suele utilizar para este propósito el protocolo IRC o incluso FTP, HTTP u otros
* La plataforma que ataca el gusano Slapper: El gusano puede infectar servidores Linux con software de Red Hat, Mandrake, Caldera, Slackware o Debian, cuyos protocolos SSL (Secure Sockets Layer) de OpenSSL Group's no hayan sido actualizados a la versión 0.9.6g. Esta versión soluciona la falla reportada en julio en OpenSSL, lo cuál impide el funcionamiento del gusano.El gusano explota un desbordamiento de búfer del software OpenSSL, para ejecutar un shell en el sistema infectado. El gusano intenta conectarse a través del puerto 80 (petición HTML normal) con instrucciones GET inválidas, para detectar el sistema (servidor Apache en Linux). Luego, intentará una conexión a través del puerto TCP 443, enviando códigos que le permiten monitorear la presencia de un servicio SSL en la máquina infectada. El código usado por el gusano en el Shell creado en Linux, solo funciona en procesadores de Intel. También requiere que el shell se encuentre en la ubicación /bin/sh para poder ejecutarse. El gusano crea una copia uuencodeada de si mismo en /tmp/.uubugtraq, y utilizando su propia rutina de desencriptación (comando UU encoding), se descodifica en el archivo /tmp/.buqtraq.C. La única manera de mostrar el archivo ".bugtraq.c" con el comando "ls" es si se usa con el parámetro "-a" (ls -a). Luego, el gusano utiliza el compilador "gcc" para crear una copia ejecutable de si mismo en /tmp/.bugtraq. Este binario es ejecutado con una dirección IP como parámetro. Esta dirección corresponde a la máquina del atacante y se utiliza para crear una red de sistemas infectados por el gusano con el propósito de ejecutar ataques de denegación de servicio. Cada sistema comprometido, queda a la escucha por el puerto UDP 2002, esperando otras instrucciones. El gusano utiliza una tabla propia para generar direcciones IP de clase A, lo que le permite acceder a nuevas máquinas que estén corriendo servidores Apache.
* ¿Qué es un Rootkit?: Un rootkit es un programa que permite un acceso de privilegio continuo a una computadora pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones. El término proviene de una concatenación de la palabra inglesa “root” que significa raíz (nombre tradicional de la cuenta privilegiada en los sistemas operativos Unix) y de la palabra inglesa “kit” que significa conjunto de herramientas (en referencia a los componentes de software que implementan este programa). El término “rootkit” tiene connotaciones negativas ya que se lo asocia al malware.
En otras palabras, usualmente se lo asocia con malware, que se esconde a sí mismo y a otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a una amplia variedad de sistemas operativos como pueden ser GNU/Linux, Solaris o Microsoft Windows para remotamente comandar acciones o extraer información sensible.La detección del rootkit es dificultosa pues es capaz de corromper al programa que debería detectarlo. Los métodos de detección incluyen utilizar un sistema operativo alternativo confiable; métodos de base conductual; controles de firma, controles de diferencias y análisis de volcado de memoria. La eliminación del rootkit puede ser complicada o prácticamente imposible, especialmente en los casos en que el rootkit reside en el núcleo; siendo a veces la reinstalación del sistema operativo el único método posible que hay para solucionar el problema.
El programa que quieres descargar se descargará a través de Softonic Downloader, aumentando la velocidad del proceso de descarga.
UNIDAD 4
Práctica 3
* Investiga sobre software antivirus gratuito en la Internet: NORTON ANTIVIRUS 2013
* Investiga sobre el antivirus NOD32 2.5: ESET NOD32 es un programa antivirus desarrollado por la empresa ESET, de origen eslovaco. El producto está disponible para Windows, Linux, FreeBSD, Solaris, Novell y Mac OS X, y tiene versiones para estaciones de trabajo, dispositivos móviles (Windows Mobile y Symbian), servidores de archivos, servidores de correo electrónico, servidoresgateway y una consola de administración remota.
ESET también cuenta con un producto integrado llamado ESET Smart Security que además de todas las características de ESET NOD32, incluye un cortafuegos y un antispam.
* Investiga otras medidas para proteger tu equipo de contagio por software malicioso:
1. Sí asegúrese de que su computadora tiene software de seguridad integral.
· Su software de seguridad, como mínimo debe incluir: funcionalidades antivirus, un firewall bidireccional, contra programas espía, contra fraude electrónico y de búsqueda segura.
2. Sí revise si su software de seguridad se actualiza automáticamente o requiere que usted lo actualice.
· Los nuevos virus, programas espía, troyanos y programas maliciosos requieren nuevas actualizaciones de software. McAfee, la única empresa dedicada cien por ciento a la seguridad, controla nuevos virus las 24 horas del día, los 365 días del año y proporciona actualizaciones automáticas a medida que se necesitan para que los usuarios no tengan que recordar actualizar el software ellos mismos.
3. Sí utilice el correo electrónico con precauciones.
· El correo electrónico es una excelente forma de mantenerse en contacto con los amigos y la familia, pero tenga en cuenta que aunque tenga un buen software de seguridad en su computadora, sus amigos y familia tal vez no tengan la protección adecuada.
4. Sí tenga cuidado con los fraudes electrónicos.
· Los fraudes electrónicos utilizan correos electrónicos y sitios Web fraudulentos, disfrazados de empresas legítimas, para atraer a usuarios confiados para que revelen información de cuentas privadas o de inicio de sesión.
5. Sí eduque a su familia y preste atención a las actividades en línea de sus hijos.
· Mantenga su computadora en un área común y analice cuál información es adecuada para compartir en línea y cuál no lo es, como direcciones, números de teléfono y otra información privada.
6. Sí cree contraseñas seguras y poco usuales.
· Cree una contraseña segura al incorporar mayúsculas, números, caracteres especiales y usar más de cinco caracteres. Un ejemplo de una contraseña segura es: Go1dM!n3.
7.Sí busque y compre con seguridad
· De acuerdo con la encuesta de servidores Web de noviembre de 2008 de Netcraft, hay más de 185 millones de nombres de dominio registrados que hacen casi imposible saber cuáles sitios Web son seguros y cuáles son riesgosos (Netcraft, http://www.netcraft.com.)
8. Sí haga copias de seguridad de la información crítica.
· Asegúrese de tener copias de seguridad de la información crítica por si ocurriera el peor de los casos.
9.Sí use los programas de mensajería instantánea (IM) con precauciones.
· Cuando use un programa IM para comunicarse con sus amigos y familiares, tenga cuidado al enviar información personal y protéjase usando un apodo como nombre en la pantalla de IM.
10. Sí diviértase con los juegos en línea.
· Los jugadores en línea son el segundo blanco más grande de los desarrolladores de malware, que con frecuencia atacan con troyanos que roban contraseñas. Éste es un buen motivo para asegurarse de que su software de seguridad esté actualizado.
* Investiga que es un rootkit : Un rootkit es un programa que permite un acceso de privilegio continuo a una computadora pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones. El término proviene de una concatenación de la palabra inglesa “root” que significa raíz (nombre tradicional de la cuenta privilegiada en los sistemas operativos Unix) y de la palabra inglesa “kit” que significa conjunto de herramientas (en referencia a los componentes de software que implementan este programa). El término “rootkit” tiene connotaciones negativas ya que se lo asocia al malware.
En otras palabras, usualmente se lo asocia con malware, que se esconde a sí mismo y a otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a una amplia variedad de sistemas operativos como pueden ser GNU/Linux, Solaris o Microsoft Windows para remotamente comandar acciones o extraer información sensible.La detección del rootkit es dificultosa pues es capaz de corromper al programa que debería detectarlo. Los métodos de detección incluyen utilizar un sistema operativo alternativo confiable; métodos de base conductual; controles de firma, controles de diferencias y análisis de volcado de memoria. La eliminación del rootkit puede ser complicada o prácticamente imposible, especialmente en los casos en que el rootkit reside en el núcleo; siendo a veces la reinstalación del sistema operativo el único método posible que hay para solucionar el problema.
* Investiga que es una bomba lógica: Una bomba lógica es una parte de código insertada intencionalmente en un programa informático que permanece oculto hasta cumplirse una o más condiciones preprogramadas, en ese momento se ejecuta una acción maliciosa. Por ejemplo, un programador puede ocultar una pieza de código que comience a borrar archivos cuando sea despedido de la compañía (en un disparador de base de datos (trigger) que se dispare al cambiar la condición de trabajador activo del programador).
El software que es inherentemente malicioso, como virus o gusanos informáticos, frecuentemente contiene bombas lógicas que ejecutan algún programa en un tiempo predefinido o cuando cierta condición se cumple. Esta técnica puede ser usada por un virus o un gusano para ganar ímpetu y para esparcirse antes de ser notado. Muchos virus atacan sus sistemas huéspedes en fechas específicas, tales como un viernes 13, el April fools’ day (‘día de los tontos en abril’) o el Día de los Inocentes (28 de diciembre). Los troyanos que se activan en ciertas fechas son llamados frecuentemente «bombas de tiempo». 
Para ser considerado una bomba lógica, la acción ejecutada debe ser indeseada y desconocida al usuario del software. Por ejemplo los programas demos, que desactivan cierta funcionalidad después de un tiempo prefijado, no son considerados como bombas lógicas. Ejemplos de bombas logicas:
- Borrar información del disco duro
- Mostrar un mensaje
- Reproducir una canción
- Enviar un correo electrónico
- Apagar el monitor
* Investiga que es un Firewall y para que sirve: Cuando la red privada de una empresa es conectada al Internet, esta red, se está conectando físicamente a más de 50,000 redes desconocidas y a todos sus usuarios. Mientras dichas conexiones abren la puerta a muchas aplicaciones útiles y proveen grandes oportunidades para el intercambio de información, muchas de las redes privadas contienen información que no debe de ser compartida con usuarios externos a ella. Además, no todos los usuarios del internet mantienen actividades legales. Por estas razones, cualquier empresa que contempla conectarse al internet, se ve forzado a lidiar con el tema de la seguridad de la red..Un firewall es un sistema diseñado para prevenir acceso no autorizado hacia o desde una red privada. Provee un punto de defensa entre dos redes – protege una red de otra. Usualmente, un firewall protege la red privada de una empresa de las redes públicas o compartidas a las que se conecta. Un firewall puede ser tan simple como un ruteador que filtra paquetes o tan complejo como varias computadoras o varios ruteadores que combinan el filtrado de paquetes conservicios proxy a nivel aplicación. Los firewalls pueden ser implementados tanto en el hardware como en el software, o bien combinando los dos. Los firewalls generalmente se usan para evitar el acceso no autorizado a usuarios del internet hacia redes privadas que están conectadas a Internet, sobre todo aquellas que son Intranets. Todos los mensajes que entran o salen de la intranet pasan a través del firewall, el cual examina cada mensaje y bloquea aquellos que no cumplen las políticas de seguridad especificados. Las políticas de seguridad son el conjunto de reglas de seguridad, convenciones y procedimientos que gobiernan las comunicaciones dentro y fuera de una red.
