Gusano Informático
Que es el gusano Informatico
o Un gusano (también llamados IWorm por su apocope en inglés, I de Internet, Worm de
gusano) es un malware que tiene la propiedad de duplicarse a sí mismo. Los gusanos
utilizan las partes automáticas de un sistema operativo que generalmente son invisibles
al usuario.
•
•
•
o
A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino
que reside en la memoria y se duplica a sí mismo. Los gusanos casi siempre causan
problemas en la red (aunque sea simplemente consumiendo ancho de banda), mientras
que los virus siempre infectan o corrompen los archivos de la computadora que atacan.
Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su
incontrolada replicación, los recursos del sistema se consumen hasta el punto de que
las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden
ejecutarse.
Los gusanos se basan en una red de computadoras para enviar copias de sí mismos a
otros nodos (es decir, a otras terminales en la red) y son capaces de llevar esto a cabo
sin intervención del usuario propagándose, utilizando Internet, basándose en diversos
métodos, como SMTP, IRC, P2P entre otros.
Primer Gusano Informatico
o El primer gusano informático de la historia data
de 1988, cuando el gusano Morris infectó una
gran parte de los servidores existentes hasta esa
fecha. Su creador, Robert Tappan Morris, fue
sentenciado a tres años de libertad condicional,
400 horas de servicios a la comunidad y una
multa de 10.050 dólares. Fue este hecho el que
alertó a las principales empresas involucradas en
la seguridad de tecnologías de la información a
desarrollar los primeros cortafuegos.
Así es como se esparció el gusano de
Morris a través de la red:
• El gusano obtuvo acceso a un equipo UNIX
• Creó una lista de equipos conectados a éste
• Forzó la obtención de todas las contraseña de una lista de
palabras
• Se hizo pasar por un usuario de cada uno de los otros equipos
• Creó un pequeño programa en el equipo para poder
reproducirse
• Se ocultó en el equipo infectado
• y así sucesivamente.
Extensiones donde se oculta el gusano
•
•
•
•
•
•
•
•
•
•
Exe
com
bat
Pif
vbs
scr
doc
xls
msi
eml
Tipos de Gusano
•
•
•
•
Happy99
Melissa Virus
Bubbleboy Worm
Blaster Worm
Rootkits
• Un rootkit es una herramienta o un grupo de ellas, que tiene
como finalidad esconderse a sí misma y esconder
otros programas, procesos, archivos, directorios, claves
de registro, y puertos que permiten al intruso mantener el
acceso a un sistema para remotamente comandar acciones o
extraer información sensible. Existen rootkits para una amplia
variedad de sistemas operativos, como GNU/Linux, Solaris o
Microsoft Windows.
• El origen puede ser muy variado. La mayoría aparecen desde
los emuladores y descargadores de archivos mediante varios
virus lo cual se le podria decir que aparte de encubrir es un
duplicador de ellos.
Uso de los Rootkits
•
•
Un rootkit se usa habitualmente para esconder algunas aplicaciones que podrían
actuar en el sistema atacado. Suelen incluir backdoors(puertas traseras) para
ayudar al intruso a acceder fácilmente al sistema una vez que se ha conseguido
entrar por primera vez. Por ejemplo, el rootkit puede esconder una aplicación que
lance una consola cada vez que el atacante se conecte al sistema a través de un
determinadopuerto. Los rootkits del kernel o núcleo pueden contener
funcionalidades similares. Un backdoor puede permitir también que los procesos
lanzados por un usuario sin privilegios de administrador ejecuten algunas
funcionalidades reservadas únicamente al superusuario. Todo tipo de
herramientas útiles para obtener información de forma ilícita pueden ser
ocultadas mediante rootkits.
Los rootkits se utilizan también para usar el sistema atacado como «base de
operaciones», es decir, usarlo a su vez para lanzar ataques contra otros equipos.
De este modo puede parecer que es el sistema infiltrado el que lanza los ataques y
no el intruso externo. Este tipo de ataques podrían ser de denegación de servicio
(DoS), ataques mediante IRC o mediante correo electrónico (spam).
Tipos Basicos
• Los rootkits se pueden clasificar en dos grupos: los que van integrados en
el núcleo y los que funcionan a nivel de aplicación.
• Algunos troyanos han utilizado estos rootkits no-persistentes ( FU Rootkits
) que cargan en la memoria una vez que ellos se encuentran instalados.
• SuckIT
• Adore
• T0rn
• Ambient's Rootkit (ARK)
• Hacker Defender
• First 4 Internet XCP (Extended Copy Protection) DRM
• (en francés) RkU Test Rootkit & Unreal rootkits para someter a un test sus
softwares de protección.
• Rootkit de núcleo : UACd (Agrega un driver de muy bajo nivel llamado
UACd.sys)
• Rootkits de Macintosh
Detección de Un Rootkits
• El mejor método para detectar un rootkit es apagar el
sistema que se considere infectado y revisar o salvar los
datos arrancando desde un medio alternativo, como un CDROM de rescate o un PenDrive. Un rootkit inactivo no
puede ocultar su presencia. Los programas antivirus mejor
preparados suelen identificar a los rootkits que funcionan
mediante llamadas al sistema y peticiones de bajo nivel, las
cuales deben quedar intactas. Si hay alguna diferencia
entre ellas, se puede afirmar la presencia de un rootkit. Los
rootkits intentan protegerse a sí mismos monitorizando los
procesos activos y suspendiendo su actividad hasta que el
escaneo ha finalizado, de modo que el rootkit no pueda ser
identificado por un detector.
Detección de Rootkits
• Los fabricantes de aplicaciones de seguridad han ido integrando los
detectores de rootkits en los productos tradicionales de detección
de antivirus. Si un rootkit consigue esconderse durante el proceso
de detección, será identificado por el detector de rootkits, que
busca movimientos sospechosos. Si el rootkit «decide» detenerse
momentáneamente, será identificado como un virus. Esta técnica
combinada de detección puede obligar a los atacantes a
implementar mecanismos de contraataque (también llamados
retro-rutinas) en el código del rootkit, con el objetivo de eliminar
los procesos creados por el software de seguridad, eliminando así al
programa antivirus de la memoria. Al igual que con los virus
convencionales, la detección y eliminación de los rootkits será una
batalla permanente entre los creadores del rootkit y de los
programas de seguridad.
Descargar

Gusano Informatico