Productos Antivirus y Firewalls
Telefónica de España
Página 1
Agenda
• Antivirus
– ¿Qué es un virus?
– Componentes de un virus
– Otros programas erróneamente considerados como virus
– Tipos de virus más comunes
• Firewalls personales
– Firewalls de filtrado
– Firewalls de aplicaciones
– Firewalls personales
Telefónica de España
Página 2
Antivirus
Telefónica de España
Página 3
¿Qué es un virus?
Se puede considerar virus a todo código con capacidad
de réplica y anexo.
Un virus por tanto puede o no realizar una acción dañina
contra un PC. Existen muchos virus cuya actividad se
basa exclusivamente en la réplica y anexo a otros máquinas
y archivos.
Telefónica de España
Página 4
Componentes de un virus
• Código de copia: Código indispensable para que el código pueda ser
considerado como vírico. Es el mecanismo mediante el cual, el virus se
replica a otras máquinas y se anexa a otros archivos.
• Código de ocultación: Código opcional, se trata de mecanismos de
ocultación utilizados por los desarrolladores de virus, para que el virus se
mantenga el mayor tiempo posible oculto.
• Payload (Carga): Código opcional, se trata de la acción dañina que el
virus puede desarrollar contra una máquina infectada.
• Triggers: Código opcional, puede ser considerado como el
disparador que hace que el payload sea lanzado. Un trigger por ejemplo
puede ser una determinada fecha.
Telefónica de España
Página 5
Otros programas erróneamente
considerados como virus.
Atendiendo a la descripción de virus, “Código con capacidad de réplica y
anexo”, existen muchas “aplicaciones” que pueden ser englobadas como
malware, consideradas erróneamente como virus cuando realmente
no cumplen con la premisa que define qué es un virus.
• Gusanos
• Troyanos o caballos de troya
• Hoaxes
• y a veces ....... Bugs de aplicaciones
Telefónica de España
Página 6
Gusanos
Un gusano es una aplicación con capacidad de réplica
(de una máquina a otra), pero sin la capacidad de anexarse a otros
archivos, realmente y por tanto, no puede ser considerado como un virus.
Normalmente utilizan el correo electrónico como medio de propagación,
siendo su principal objetivo las estaciones de trabajo, si bien es cierto
que existen gusanos con capacidad de réplica vía http y cuyo objetivo son
servidores de aplicaciones.
Telefónica de España
Página 7
Troyanos o Caballos de troya
A diferencia de los virus, un troyano es una aplicación sin capacidad
de réplica ni anexo, puede ser considerado como una aplicación 100 %
payload. Su único objetivo es llevar a cabo un conjunto de acciones
dañinas pero en ningún caso el de replicarse. Podría considerarse un
troyano como un Kamikaze capaz de destruirse así mismo siempre
y cuando sea capaz de lanzar la acción para la cual fue programado.
Telefónica de España
Página 8
Hoaxes o bulos
Un hoax no dispone de código de réplica, ni anexo, ni tampoco payload.
Un hoax puede ser definido como un bulo o broma, cuyo objetivo es
conseguir la mayor propagación posible utilizando ingeniería social, de este
modo un hoax puede ser una amenaza falsa sobre un virus o un programa
de broma.
Si consideramos que el objetivo de un virus es provocar la caída de los
servicios de una organización, un hoax puede generar mucho más
downtime en un servidor de correo que un virus verdadero.
Telefónica de España
Página 9
Bugs
Sin duda un bug en un aplicación no puede ser considerado como un
virus, si bien es cierto que el funcionamiento anómalo de una
aplicación puede ser derivado de la acción de un virus. Debido a ello
muchas veces un bug puede considerarse erróneamente como la
acción provocada por un virus.
Telefónica de España
Página 10
Tipos de virus
• Virus de Sector de arranque o tabla de particiones.
• Virus de archivos ejecutables.
• Virus para Microsoft Office.
• Controles ActiveX y Applets de Java.
• Nuevas tendencias, mass mailers y Network infectors.
Telefónica de España
Página 11
Virus de Sector de arranque
Tienen la capacidad de infectar el sector de arranque de
disquetes o en el caso de discos duros, el sector de
arranque o/y la tabla de particiones.
El simple hecho de arrancar una máquina con un disquete
infectado, anexará el virus al equipo. Cualquier disquete
introducido con posterioridad, será infectado.
Telefónica de España
Página 12
Virus de archivos ejecutables
Este tipo de virus, normalmente está desarrollado en
ensamblador, básicamente lo que hacen es incorporarse
dentro del archivo EXE o COM infectándolo.
Existen distintas metodologías de infección en función de la
plataforma para la cual fue desarrollado el ejecutable en
cuestión.
Así pues, existen virus que atacan archivos ejecutables tipo
Windows 32, EXE (DOS, W3X), COM, etc...
Telefónica de España
Página 13
Virus para Microsoft Office
Son virus que consiguen replicarse a los documentos
mediante la utilización de macros automáticas (Macros
que se ejecutan en el momento de crear o abrir un
archivo).
Estas macros en el caso de Ms Word son almacenadas en
la plantilla normal.dot, mientras que en el caso de Ms
Excell se almacenan en la carpeta \XLSTART.
Telefónica de España
Página 14
Controles ActiveX y Applets de Java.
Se tratan de aplicaciones que se ejecutan en la máquina a
través del navegador.
Cada día los servicios WEB son más dinámicos, este
dinamismo se consigue a través de la aceptación de
ejecución de aplicaciones que podrían ser nocivas. Esta
apertura en el nivel de protección podría ser utilizado por un
virus.
Telefónica de España
Página 15
Nuevas tendencias
La nuevas tendencias en cuanto a virus, demuestran
desarrollos con capacidad de replicarse mucho más
rápido que los antiguos virus.
Así pues un Network Infector, utilizará la red para
replicarse a todos los hosts a los que tenga acceso,
mientras que un Mass Mailer utilizará el correo para
llegar en el menor tiempo posible al mayor número de
máquinas posibles.
Estas tendencias, fuerzan a los fabricantes antivirus al
desarrollo de soluciones donde el mantenimiento y la
configuración de los productos antivirus no sea un
problema
Telefónica de España
Página 16
Firewalls
Telefónica de España
Página 17
Firewalls
Definición de un Firewall
–
Sistema diseñado para prevenir accesos no autorizados desde o hacia una red privada.
–
Los Firewalls pueden estar diseñados en HW/SW o ambos.
Firewalls de filtrado de paquetes
– Comprueba la cabecera de cada paquete entrante o saliente y lo acepta o rechaza de
acuerdo con reglas definidas por el usuario.
– Firewalls muy efectivos y transparentes para los usuarios, aunque son difíciles de
configurar.
– Suceptibles a IP Spoofing
Firewalls de aplicación
– Examina no sólo la cabecera, sino también el contenido del paquete elevándolo a nivel
de aplicación.
– Ofrece visibilidad sobre cómo las aplicaciones interactúan con la red.
Telefónica de España
Página 18
Firewalls en pasarelas
Internet
Hacker
Firewall
Red Interna
Firewalls en pasarelas
- La localización tradicional de un Firewall
- Normalmente implementado para proteger la red interna (trusted) de la externa
(normalmente internet)
- Aunque necesario, más de 60% de los ataques provienen de usuarios internos.
Telefónica de España
Página 19
Firewalls personales
Hacker
Internet
Firewall
Red Interna
Firewalls personales
- Aumentan el nivel de seguridad contra posibles ataques originados tanto por usuarios
internos como externos.
- Normalmente implementados para proteger el host sobre el que se instala.
- Lógicamente no sustituyen a los FW de pasarelas sino que lo complementan.
Telefónica de España
Página 20
Resumen de conceptos
• Antivirus
– ¿Qué es un virus?
– Componentes de un virus
– Otros programas erróneamente considerados como virus
– Tipos de virus más comunes
• Firewalls personales
– Firewalls de filtrado
– Firewalls de aplicaciones
– Firewalls personales
Telefónica de España
Página 21
Descargar

Module 1: VirusScan Installation