entrada en malware

VIRUS INFORMÁTICO

Un virus es un software que tiene por objetivo de alterar el funcionamiento normal de cualquier tipo de dispositivo informático, sin el permiso o el conocimiento del usuario principalmente para lograr fines maliciosos sobre el dispositivo. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en una computadora, aunque también existen otros más inofensivos, que solo producen molestias o imprevistos.             
Dado que una característica de los virus es el consumo de recursos, los virus ocasionan problemas tales como: pérdida de productividad, cortes en los sistemas de información o daños a nivel de datos.                                   
Hay que tener en cuenta que cada virus plantea una situación diferente

• Acciones de los virus

  Algunas de las acciones de algunos virus son:
  
  • Unirse a cualquier programa permitiendo su propagación y siendo más costoso liberarse
  • Ralentizar el dispositivo.
  • Reduciendo el espacio en el disco.
  • Mostrando ventanas de forma constante.
  • Corrompiendo archivos del dispositivo, en algunos casos archivos vitales para el funcionamiento del dispositivo.
  • Descargando archivos o programas basura
  • Apagando o reiniciando su dispositivo
  • Haciendo llamadas a tus contactos u otros
  • números con mayor costo
  • Eliminar todos los datos guardados en el disco duro

Existen dos grandes clases de contagio. En la primera, el usuario, en un momento dado, ejecuta o acepta de forma inadvertida la instalación del virus. En la segunda, el programa malicioso actúa replicándose a través de las redes. En este caso se habla de gusanos.
 
En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una serie de comportamientos anómalos o imprevistos. Dichos comportamientos pueden dar una pista del problema y permitir la recuperación del mismo.
    

Dentro de las contaminaciones más frecuentes por interacción del usuario están las siguientes

• Mensajes que ejecutan automáticamente programas (como el programa de correo que abre directamente un archivo adjunto).
• Entrada de información en discos de otros usuarios infectados.
• Ingeniería social, mensajes como «ejecute este programa y gane un premio», o, más comúnmente: «Haz 2 clics y gana 2 tonos para móvil gratis». 

COMO PROTEGERLO.

Los métodos para disminuir o reducir los riesgos asociados a los virus pueden ser los denominados activos o pasivos.

    ACTIVOS. 

Los antivirus son programas cuyo objetivo es detectar o eliminar virus informáticos. Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e internet, los antivirus han evolucionado hacia programas más avanzados que además de buscar y detectar virus informáticos consiguen bloquearlos, desinfectar archivos y prevenir una infección de los mismos. Actualmente son capaces de reconocer otros tipos de malware como spyware, gusanos, troyanos, rootkits, etc.

• Filtros de ficheros: Consiste en generar filtros de ficheros dañinos si el computador está conectado a una red. Estos filtros pueden usarse, por ejemplo, en el sistema de correos o usando técnicas de firewall. En general, este sistema proporciona una seguridad donde no se requiere la intervención del usuario, puede ser muy eficaz, y permitir emplear únicamente recursos de forma más selectiva.
• Actualización automática: Consiste en descargar e instalar las actualizaciones que el fabricante del sistema operativo lanza para corregir fallos de seguridad y mejorar el desempeño. Dependiendo de la configuración el proceso puede ser completamente automático o dejar que el usuario decida cuándo instalar las actualizaciones.

PASIVOS

• Para no infectar un dispositivo, hay que:
   
  
  • No instalar software de dudosa procedencia.
  • No abrir correos electrónicos de desconocidos ni adjuntos que no se reconozcan.
  • Usar la configuración de privacidad del navegador.
  • Usar un bloqueador de elementos emergentes en el navegador.
  • Activar el Control de cuentas de usuario.
  • Borrar la memoria caché de Internet y el historial del navegador.
  • No abrir documentos sin asegurarnos del tipo de archivo. Puede ser un ejecutable o incorporar macros en su interior.
  • TIPOS DE VIRUS.
    Existen diversos tipos de virus, varían según su función o la manera en que este se ejecuta en nuestra computadora alterando la actividad de la misma, entre los más comunes están:
    
    • Recycler: Consiste en crear un acceso directo de un programa y eliminar su aplicación original, además al infectar un pendrive convierte a toda la información en acceso directo y oculta el original de modo que los archivos no puedan ser vistos, pero con la creación de un archivo batch que modifique los atributos de los archivos contenidos en el pendrive, estos podrían ser recuperados.
    • Troyano: Consiste en robar información o alterar el sistema del hardware o en un caso extremo permite que un usuario externo pueda controlar el equipo.
    
    
    • Bombas lógicas o de tiempo: Son programas que se activan al producirse un acontecimiento determinado. La condición suele ser una fecha (bombas de tiempo), una combinación de teclas, o ciertas condiciones técnicas (bombas lógicas). Si no se produce la condición permanece oculto al usuario.
    • Gusano: Tiene la propiedad de duplicarse a sí mismo.

TROYANO

En informática, se denomina caballo de Troya, o troyano, a un malware que se presenta al usuario como un programa aparentemente legítimo e inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso remoto al equipo infectado.​ El término troyano proviene de la historia del caballo de Troya mencionado en la Odisea de Homero.

Los troyanos pueden realizar diferentes tareas, pero, en la mayoría de los casos, crean una puerta trasera (en inglés backdoor) que permite la administración remota a un usuario no autorizado.

Un troyano es un tipo de malware. Para que un malware sea un troyano solo tiene que acceder y controlar la máquina anfitriona sin ser advertido, bajo una apariencia inocua.

Hay ciertas fuentes que lo descatalogan como malware debido a que aparentemente no causa daños en los sistemas pero causan también otra clase de perjuicios como el robo de datos personales, etc.

Propósitos de los troyanos

Los troyanos están diseñados para permitir a un individuo el acceso remoto a un sistema. Una vez en ejecución, el atacante puede acceder al sistema de forma remota y realizar diferentes acciones sin necesitar permiso.​ Las acciones que el atacante puede realizar en el equipo remoto dependen de los privilegios que tenga el usuario atacado en ese equipo y de las características del troyano.

Algunas de las operaciones mas comunes son:

• Utilización la máquina como parte de una botnet (por ejemplo, para realizar ataques de denegación de servicio o envío de spam).
• Instalación de otros programas (incluyendo aplicaciones maliciosas).
• Robo de información personal: información bancaria, contraseñas, códigos de seguridad, etcétera.
• Borrado, modificación o transferencia de archivos (descarga o subida).
• Borrado completo del disco.
• Ejecución o finalización de procesos.
• Apagado o reiniciado del equipo.
• Capturas de pantalla.
• Llenado del disco duro con archivos inútiles.
• Monitorización del sistema y seguimiento de las acciones del usuario.
• Captura de imágenes o videos a través de la webcam, si tiene.
• Acciones inocuas desde el punto de vista de la seguridad, destinadas a sorprender al usuario, tales como expulsar la unidad de CD, cambiar la apariencia del sistema, etc.

  Algunas señales de que nuestra computadora está infectada por un troyano

  • Pantalla o ventanas con mensajes poco usuales.
  • Sin justificación aparecen, desaparecen y se modifican archivos.
  • Comportamientos poco habituales en el funcionamiento de la computadora, como: modificaciones en el escritorio, refrescadores de pantalla, la unidad de CD-DVD, intercambio de las funciones de los botones del ratón, alteración del volumen del reproductor de sonido.
  • El navegador de Internet accede por sí solo a determinados sitios.
  • El navegador de Internet o el cliente de correo no reconoce nombre y contraseña o indica que ya está siendo utilizado.
  • En la carpeta de enviados del cliente de correo electrónico se muestran mensajes no conocidos.

  • Eliminación de troyanos

    Una de las principales características de los troyanos es que no son visibles para el usuario. Un troyano puede estar ejecutándose en un ordenador durante meses sin que el usuario lo perciba. Esto hace muy difícil su detección y eliminación de forma manual. Algunos patrones para identificarlos son: un programa desconocido se ejecuta al iniciar el ordenador, se crean o borran archivos de forma automática, el ordenador funciona más lento de lo normal, errores en el sistema operativo.
    
    Por otro lado los programas antivirus están diseñados para eliminar todo tipo de software malicioso, además de eliminarlos también previenen de nuevas infecciones actuando antes de que el sistema resulte infectado. Es muy recomendable tener siempre un antivirus instalado en el equipo y a ser posible también un firewall.
    

    Gusano informático

    Un gusano informático (también llamado IWorm por su apócope en inglés, "I" de Internet, Worm de gusano) es un malware que tiene la propiedad de duplicarse a sí mismo.
    Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario.
    Los gusanos informáticos se propagan de computadora a computadora, pero a diferencia de un virus, tiene la capacidad a propagarse sin la ayuda de una persona. Lo más peligroso de los worms o gusanos informáticos es su capacidad para replicarse en el sistema informático, por lo que una computadora podría enviar cientos o miles de copias de sí mismo, creando un efecto devastador a gran escala.
    A diferencia de un virus, un gusano no necesita alterar los archivos de programas, sino que se encuentra en la memoria RAM y se duplica a sí mismo. Los gusanos casi siempre causan problemas en la red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan a las personas.
    Los gusanos se basan en una red de computadoras para enviar copias de sí mismos a otros nodos (es decir, a otras terminales en la red) y son capaces de llevar esto a cabo sin intervención del usuario, propagándose utilizando Internet, basándose en diversos métodos, como SMTP, IRC, P2P, entre otros.
    

    Bomba lógica

    Una bomba lógica es una parte de código insertada intencionalmente en un programa informático que permanece oculto hasta cumplirse una o más condiciones preprogramadas, en ese momento se ejecuta una acción maliciosa. Por ejemplo, un programador puede ocultar una pieza de código que comience a borrar archivos cuando sea despedido de la compañía (en un disparador de base de datos, es decir, un trigger; que se dispare al cambiar la condición de trabajador activo del programador).
    El software que es inherentemente malicioso, como virus o gusanos informáticos, frecuentemente contiene bombas lógicas que ejecutan algún programa en un tiempo predefinido o cuando cierta condición se cumple. Esta técnica puede ser usada por un virus o un gusano para ganar ímpetu y para esparcirse antes de ser notado. Muchos virus atacan sus sistemas huéspedes en fechas específicas, tales como un viernes 13, el April fools’ day (‘día de los tontos en abril’) o el Día de los Inocentes (28 de diciembre). Los troyanos que se activan en ciertas fechas son llamados frecuentemente «bombas de tiempo».
    Para ser considerado una bomba lógica, la acción ejecutada debe ser indeseada y desconocida al usuario del software. Por ejemplo los programas demos, que desactivan cierta funcionalidad después de un tiempo prefijado, no son considerados como bombas lógicas.
    

    Algunos ejemplos de acciones que puede realizar una bomba lógica

    • Borrar información del disco duro
    • Mostrar un mensaje
    • Reproducir una canción
    • Enviar un correo electrónico
    • Apagar el monitor

    Bomba lógica exitosa

    • Se ha divulgado que en 1982 el incidente del gasoducto transiberiano ocurrió debido a una bomba lógica. Un operativo de la KGB dijo haber robado los planos para un sofisticado sistema de control y su software de una firma canadiense, para el uso en su gasoducto siberiano. La CIA supuestamente fue notificada por documentos en el Farewell Dossier e hizo a la compañía insertar una bomba lógica en el programa para propósitos de sabotaje.​ Esto finalmente resultó en «la más monumental explosión no nuclear y el primer fuego jamás visto desde el espacio»​ Desde entonces se ha divulgado que este informe inicial fue una broma del April Fools' Day.​

    Malware

    El malware (del inglés malicious software), programa malicioso​ o programa maligno, también llamado badware, código maligno, software malicioso, software dañino o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información. El término malware es muy utilizado por profesionales de la informática para referirse a una variedad de software hostil, intrusivo o molesto.​Antes de que el término malware fuera acuñado por Yisrael Radai en 1990, el software malicioso se agrupaba bajo el término «virus informático».
    Un software se cataloga como un programa malicioso en función de los efectos que provoque en un computador. El malware no es lo mismo que «software defectuoso»; este último contiene errores peligrosos, pero no de forma intencionada.
    Algunos de los primeros programas maliciosos, incluido el gusano Morris y algunos virus de MS-DOS, fueron elaborados como experimentos, como bromas o simplemente como algo molesto, no para causar graves daños en las computadoras. En algunos casos el programador no se daba cuenta de cuánto daño podía hacer su creación. Algunos jóvenes que estaban aprendiendo sobre los virus los crearon con el único propósito de demostrar que podían hacerlo o simplemente para ver con qué velocidad se propagaban. Incluso en 1999 un virus tan extendido conocido como Melissa parecía haber sido elaborado tan solo como una travesura.
    El software creado para causar daños o pérdida de datos suele estar relacionado con actos delictivos. Muchos virus son diseñados paredes
    uir archivos en disco duro o para corromper el sistema de archivos escribiendo datos inválidos. Algunos gusanos son diseñados para vandalizar páginas web dejando escrito el alias del autor o del grupo por todos los sitios por donde pasan. Estos gusanos pueden parecer el equivalente informático del grafiti.
    

    Malware oculto: puerta trasera, drive-by downloads, rootkits y troyanos

    Para que un software malicioso pueda completar sus objetivos, es esencial que permanezca oculto al usuario. Por ejemplo, si un usuario experimentado detecta un programa malicioso, terminaría el proceso y borraría el malware antes de que este pudiera completar sus objetivos. El ocultamiento también puede ayudar a que el malware se instale por primera vez en la computadora.
    

    Puertas traseras

    Una puerta trasera (en inglés, backdoor) es un método para eludir los procedimientos habituales de autenticación al conectarse a una computadora. Una vez que el sistema ha sido comprometido (por uno de los anteriores métodos o de alguna otra forma), puede instalarse una puerta trasera para permitir un acceso remoto más fácil en el futuro. Las puertas traseras también pueden instalarse previamente al software malicioso para permitir la entrada de los atacantes.
    Los crackers suelen usar puertas traseras para asegurar el acceso remoto a una computadora, intentando permanecer ocultos ante una posible inspección. Para instalar puertas traseras los crackers pueden usar troyanos, gusanos u otros métodos.
    Se ha afirmado, cada vez con mayor frecuencia, que los fabricantes de ordenadores preinstalan puertas traseras en sus sistemas para facilitar soporte técnico a los clientes, pero no ha podido comprobarse con seguridad.
    Un malware en Skype está siendo el problema reciente en la seguridad, debido a que a mayo del 2013, existían ya 750 mil afectados siendo el 67 % en Latinoamérica. El código malicioso afecta al equipo y se propaga entre los contactos a través de este mismo medio de comunicación.
    

    Drive-by download

    El término puede referirse a las descargas de algún tipo de malware que se efectúa sin consentimiento del usuario, lo cual ocurre al visitar un sitio web, al revisar un mensaje de correo electrónico o al entrar a una ventana emergente, la cual puede mostrar un mensaje de error. Sin ser su verdadera intención, el usuario consiente la descarga de software indeseable o de malware, y estas vulnerabilidades se aprovechan.
    El proceso de ataque Drive-by Downloads se realiza de manera automática mediante herramientas que buscan en el sitio web alguna vulnerabilidad. Una vez encontrada, insertan un script malicioso dentro del código HTML del sitio violado. Cuando un usuario visita el sitio infectado, este descargará dicho script en el sistema del usuario, y a continuación realizará una petición a un servidor Hop Point, donde se solicitarán nuevos scripts con exploits encargados de comprobar si el equipo tiene alguna vulnerabilidad que pueda ser explotada, intentando con ellas hasta que tienen éxito, en cuyo caso se descargará un script que descarga el archivo ejecutable (malware) desde el servidor.
    

    Rootkits

    Las técnicas conocidas como rootkits modifican el sistema operativo de una computadora para permitir que el malware permanezca oculto al usuario. Por ejemplo, los rootkits evitan que un proceso malicioso sea visible en la lista de procesos del sistema o que sus ficheros sean visibles en el explorador de archivos. Este tipo de modificaciones consiguen ocultar cualquier indicio de que el ordenador está infectado por un malware. Originalmente, un rootkit era un conjunto de herramientas instaladas por un atacante en un sistema Unix donde el atacante había obtenido acceso de administrador (acceso root). Actualmente, el término es usado generalmente para referirse a la ocultación de rutinas en un programa malicioso.
    Algunos programas maliciosos también contienen rutinas para evitar ser borrados, no solo para ocultarse. Un ejemplo de este comportamiento puede ser:
    
    

    “Existen dos procesos-fantasmas corriendo al mismo tiempo. Cada proceso-fantasma debe detectar que el otro ha sido terminado y debe iniciar una nueva instancia de este en cuestión de milisegundos. La única manera de eliminar ambos procesos-fantasma es eliminarlos simultáneamente, cosa muy difícil de realizar, o provocar un error el sistema deliberadamente.”

     Uno de los rootkits más famosos fue el que la empresa Sony BMG Music Entertainment. Secretamente incluyó, dentro de la protección anticopia de algunos CD de música, el software “Extended Copy Protection (XCP) y MediaMax CD-3”,​ los cuales modificaban a Windows para que no lo pudiera detectar y también resultar indetectable por los programas anti-virus y anti-spyware. Actuaba enviando información sobre el cliente, además abrió la puerta a otros tipos de malware que pudieron infiltrarse en las computadoras, además de que si se detectaba, no podía ser eliminado, pues se dañaba el sistema operativo.
    

    Robar información personal: keyloggers y stealers

    Cuando un software produce pérdidas económicas para el usuario de un equipo, también se clasifica como crimeware​ o software criminal, término dado por Peter Cassidy para diferenciarlo de los otros tipos de software malicioso. Estos programas están encaminados al aspecto financiero, la suplantación de personalidad y el espionaje.
    Los keyloggers y los stealers son programas maliciosos creados para robar información sensible. El creador puede obtener beneficios económicos o de otro tipo a través de su uso o distribución en comunidades underground. La principal diferencia entre ellos es la forma en la que recogen la información.
    Los keyloggers monitorizan todas las pulsaciones del teclado y las almacenan para un posterior envío al creador. Por ejemplo al introducir un número de tarjeta de crédito el keylogger guarda el número, posteriormente lo envía al autor del programa y este puede hacer pagos fraudulentos con esa tarjeta. Si las contraseñas se encuentran recordadas en el equipo, de forma que el usuario no tiene que escribirlas, el keylogger no las recoge, eso lo hacen los stealers. La mayoría los keyloggers son usados para recopilar contraseñas de acceso pero también pueden ser usados para espiar conversaciones de chat u otros fines.
    

    Otros tipos: Rogue software y ransomware

    El rogue software hace creer al usuario que la computadora está infectada por algún tipo de virus u otro tipo de software malicioso, esto induce al usuario a pagar por un software inútil o a instalar un software malicioso que supuestamente elimina las infecciones, pero el usuario no necesita ese software puesto que no está infectado.
    

    Ransomware

    También llamados criptovirus o secuestradores, son programas que cifran los archivos importantes para el usuario, haciéndolos inaccesibles, y piden que se pague un «rescate» para poder recibir la contraseña que permite recuperar los archivos.
    InfoSpyware reporta en su blog que a partir de mayo del 2012, han existido dos variantes del llamado «virus de la policía» o «Virus Ukash», que es producido por el troyano Ransom.ab, que con el pretexto de que se entró a páginas de pornografía infantil, se les hace pagar una supuesta multa para poder desbloquear sus equipos, actualmente también utilizando la propia cámara Web del equipo hacen unas supuestas tomas de vídeo que anexan en su banner de advertencia, para asustarlos más al hacerlos pensar que están siendo observado y filmado por la policía, siendo Rusia, Alemania, España y Brasil los países más afectados o la versión falsa del antivirus gratuito Microsoft Security Essentials que dice bloquear el equipo por seguridad y que para poder funcionar adecuadamente se ofrece un módulo especial que se tiene que pagar.
    

    Programas anti-malware

    Como los ataques con malware son cada vez más frecuentes, el interés ha empezado a cambiar de protección frente a virus y spyware, a protección frente al malware, y los programas han sido específicamente desarrollados para combatirlos.
    Los programas anti-malware pueden combatir el malware de dos formas:
    

    1. Proporcionando protección en tiempo real (real-time protection) contra la instalación de malware en una computadora. El software anti-malware escanea todos los datos procedentes de la red en busca de malware y bloquea todo lo que suponga una amenaza.
    2. Detectando y eliminando malware que ya ha sido instalado en una computadora. Este tipo de protección frente al malware es normalmente mucho más fácil de usar y más popular.​ Este tipo de programas anti-malware escanean el contenido del registro de Windows, los archivos del sistema operativo, la memoria y los programas instalados en la computadora. Al terminar el escaneo muestran al usuario una lista con todas las amenazas encontradas y permiten escoger cuales eliminar.La protección en tiempo real funciona idénticamente a la protección de los antivirus: el software escanea los archivos al ser descargados de Internet y bloquea la actividad de los componentes identificados como malware. En algunos casos, también pueden interceptar intentos de ejecutarse automáticamente al arrancar el sistema o modificaciones en el navegador web. Debido a que muchas veces el malware es instalado como resultado de exploits para un navegador web o errores del usuario, usar un software de seguridad para proteger el navegador web puede ser una ayuda efectiva para restringir los daños que el malware puede causar.
       

       Métodos de protección

       Siguiendo algunos sencillos consejos se puede aumentar considerablemente la seguridad de una computadora, algunos son:
       
       • Tener el sistema operativo y el navegador web actualizados.
       • Tener instalado un antivirus y un firewall y configurarlos para que se actualicen automáticamente de forma regular ya que cada día aparecen nuevas amenazas.
       • Utilizar una cuenta de usuario con privilegios limitados, la cuenta de administrador solo debe utilizarse cuándo sea necesario cambiar la configuración o instalar un nuevo software.
       • Tener precaución al ejecutar software procedente de Internet o de medio extraíble como CD o memorias USB. Es importante asegurarse de que proceden de algún sitio de confianza.
       • Una recomendación en tableta, teléfono celular y otros dispositivos móviles es instalar aplicaciones de tiendas muy reconocidas como App Store, Google Play o Tienda Windows, pues esto garantiza que no tendrán malware.​Existe además, la posibilidad de instalar un antivirus para este tipo de dispositivos.
       • Evitar descargar software de redes P2P, ya que realmente no se sabe su contenido ni su procedencia.
       • Desactivar la interpretación de Visual Basic Script y permitir JavaScript, ActiveX y cookies solo en páginas web de confianza.
       • Utilizar contraseñas de alta seguridad para evitar ataques de diccionario.
       Es muy recomendable hacer copias de respaldo regularmente de los documentos importantes a medios extraíbles como CD, DVD o Disco duro externo, para poderlos recuperar en caso de infección por parte de algún malware, pero solamente si se está 100% seguro que esas copias están limpias.
       Nota: El método de restauración de sistema de windows, podría restaurar también archivos infectados, que hayan sido eliminados anteriormente por el antivirus, por tanto es necesario, desactivar esta función antes de desinfectar el sistema, y posteriormente reactivarla.