jueves, 26 de febrero de 2009

¿Qué son los virus?


Son programas que se introducen en nuestros ordenadores de formas muy diversas. Este tipo de programas son especiales ya que pueden producir efectos no deseados y nocivos. Una vez el virus se haya introducido en el ordenador, se colocará en lugares donde el usuario pueda ejecutarlos de manera no intencionada. Hasta que no se ejecuta el programa infectado o se cumple una determinada condición, el virus no actúa. Incluso en algunas ocasiones, los efectos producidos por éste, se aprecian tiempo después de su ejecución (payload).
¿Qué elementos infectan los virus?
El objetivo primordial de los virus son los ficheros que se encuentran en un medio de almacenamiento como los discos duros o disquetes. Más concretamente serán infectados todos aquellos archivos, ficheros o documentos (los tres términos indican el mismo concepto, en general) que tengan la característica de ser programas. Un programa no es más que un fichero cuya extensión es EXE o COM, que se puede ejecutar para que realice determinadas operaciones.
También existen virus que se encargan de infectar ficheros que no son programas. No obstante, estos ficheros contendrán elementos, denominados macros, incluidos en ellos. Estas macros son programas que el usuario puede incluir dentro de un determinado tipo de archivos.
Otro de los objetivos fijados por los virus para sus ataques suelen ser los propios medios de almacenamiento. De esta forma, atacando a los lugares en los que se guardan ficheros, el daño provocado afectará a toda la información contenida en ellos.
Medios de entrada más habituales para los virus
La primera pregunta que debemos plantearnos es a través de que medios un virus puede atacar o introducirse en nuestro ordenador. Si conocemos perfectamente la respuesta, seremos capaces de proteger esas posibles vías de entrada para impedir posteriores infecciones. Los virus utilizan los siguientes medios para ello:
Unidades de disco extraibles: las unidades de disco son aquellos medios de almacenamiento en los que se guarda información, mediante ficheros, documentos o archivos. Con ellos se puede trabajar en un ordenador para, posteriormente, utilizarlos en otro diferente. Algunos de estos medios de almacenamiento pueden ser los disquetes, CD-ROMs, unidades Zip y Unidades Jazz. Estos dos últimos tipos no son más que unos discos especiales con mayor capacidad que los disquetes. Si alguno de ellos se encontrase infectado y trabajásemos con él en un ordenador, éste será infectado.
Redes de ordenadores: Una red es un conjunto o sistema de ordenadores conectados entre sí físicamente, para facilitar el trabajo de varios usuarios. Esto quiere decir que existen conexiones entre cualquiera de los ordenadores que forman parte de la red, pudiendo transferirse información entre ellos. Si alguna de esta información transmitida de un ordenador a otro estuviese infectada, el ordenador en el que se recibe será infectado.
Internet: Cada día más se utilizan las posibilidades que brinda Internet para obtener información, realizar envíos y recepciones de ficheros, recibir y publicar noticias, o descargar ficheros. Todas estas operaciones se basan en la transferencia de información, así como en la conexión de diferentes ordenadores en cualquier parte del mundo. Por tanto, cualquier virus puede introducirse en nuestro ordenador al mismo tiempo que la información recibida. A través de Internet la infección podría realizarse empleando diferentes caminos como los siguientes:
Correo electrónico: En un mensaje enviado o recibido se pueden incluir documentos o ficheros (fichero adjunto o anexado, "attached"). Estos ficheros podrían estar infectados, contagiando al ordenador destinatario.
Páginas Web:Las páginas que visitamos en Internet son ficheros de texto o imágenes escritos en un lenguaje denominado HTML. No obstante también pueden contener programas denominados Controles ActiveX y Applets de Java que son programas. Estos sí pueden estar infectados y podrían infectar al usuario que se encuentre visitando esa página.

ESPECIAL SOBRE EL W32/KLEZ.E

Desde su descubrimiento en enero del 2002, este virus se ha mantenido entre los primeros puestos de los ránkings de virus más reportados de todas las compañías antivirus, incluido el nuestro. Por ello, hemos preparado esta sección con información, recomendaciones y herramientas de desinfección para que los usuarios puedan prevenirse del W32/Klez.e, o en caso de estar infectados con él, quitarlo de su sistema sin problemas.
Funcionamiento
Como casi todos los gusanos de la actualidad, el W32/Klez.e se reproduce por correo electrónico, en un mensaje con asunto, contenido y nombre de archivo aleatorio, lo que hace difícil su identificación a simple vista. Todos los archivos adjuntos tienen una de las siguientes 3 extensiones: .PIF, .SCR o .EXE.
Aprovecha una vulnerabilidad en el Internet Explorer para poder ejecutarse con sólo ser abierto o visualizado en la vista previa por un usuario que no tenga correctamente actualizado su antivirus. Además, también es capaz de reproducirse a través de recursos compartidos, dado que crea copias de si mismo en todas las unidades, tanto locales como de red, de un sistema infectado.
En los sistemas infectados, el W32/Klez.e libera otro virus, denominado W98/Elkern, muy peligroso, dado que en ciertas fechas puede llegar a borrar archivos importantes y obligar a reinstalar el sistema operativo para poder volver a utilizar el equipo normalmente.
Curiosidades
El virus utiliza un curioso método para reenviarse por correo electrónico, que intenta ocultar quien es realmente la persona infectada que está enviando, sin saberlo, copias del W32/Klez.e. Para esto, el virus no se envia con la dirección de correo electrónico del usuario infectado, sino que toma aleatoriamente una dirección de alguna de las personas que se encuentren apuntadas en la libreta de direcciones del sistema infectado.
De esta manera, cuando un recibe un mensaje con el W32/Klez.e, la dirección del remitente (From:) no es del usuario infectado, sino de alguno de sus contactos, que probablemente no estén infectados por el virus. José Luis López, de VSAntivirus.com, analiza en forma excelente este tema y las consecuencias que puede contraer, en su artículo "El virus que destruyó nuestra credibilidad"
Recomendaciones
Hay dos cosas importantísimas que los usuarios deben saber sobre este virus: cómo evitarlo y cómo desinfectarse, en caso de que hayan caído víctimas de él, y empezaremos por la primera, la prevención.
El primer paso hacia la prevención de este tipo de virus autoejecutable es actualizar su sistema para corregir los agujeros de seguridad que estos aprovechan. Microsoft libera periódicamente parches acumulativos que corrigen todas las vulnerabilidades, conocidas hasta ese momento, en el Internet Explorer, y que pueden ser encontrados en nuestra sección de Parches.
Otra forma de actualizar periódicamente su sistema es el sitio Windows Update, donde, a través de la sección Actualizaciones de Productos, es posible descargar todas las actualizaciones críticas que resuelven los problemas de seguridad más importantes de nuestro sistema.
También es necesario contar con un antivirus actualizado, dado que estos pueden evitar, si están activos, que este virus se ejecute. Para actualizar tu antivirus, o descargar uno nuevo, te recomendamos revisar nuestra sección de Antivirus.
Nunca se deben abrir archivos adjuntos a mensajes no solicitados, dado que en la gran mayoría de los casos estos se tratan de virus, y esta regla es aplicable no sólo al virus al que nos referimos ahora, sino a todos aquellos que utilizan el correo electrónico para reproducirse.
En caso de estar infectados con este virus, existen algunas herramientas que permiten eliminarlo fácilmente, sin necesidad de seguir intrincados pasos. La primera de ellas, y nuestra recomendada, es el CLRAV, una herramienta de Kaspersky Labs. que elimina este y otros virus. Puede ser descargada desde aquí.
También una excelente herramienta en estos casos es el PQRemove, de Panda Software, que puede ser descargado desde su sitio. Ésta, además de eliminar el W32/Klez.e, elimina el virus W98/Elkern, liberado por el primero en todos los sistemas infectados.
Tras pasar estas herramientas, lo recomendable es chequear el sistema con un antivirus actualizado, y eliminar todo otro rastro del virus. Si no tienes un antivirus, puedes descargar alguna versión gratuita o de evaluación desde nuestra sección.

Advierten del envío de virus informáticos a través de falsas tarjetas de San Valentín


La directora del Equipo de Respuesta ante Incidentes de Seguridad Informática de la Comunidad Valenciana (CSIRT-CV), Lourdes Herrero, ha advertido hoy del envío de virus informáticos que ya se está produciendo a través de falsas tarjetas de San Valentín.
En este sentido ha comentado que se está constatando “cada vez más” el uso de técnicas de ingeniería social “para propagar códigos maliciosos” a través de la red. Así, ha indicado que en estas fechas de principios de febrero se produce “un clásico”, que es el envío de virus “que se ocultan detrás de falsas tarjetas” de San Valentín.
Asimismo, ha agregado que en los últimos meses se han descubierto “muchos virus y gusanos” informáticos en páginas relacionadas con “la noticia del momento”, las elecciones en Estados Unidos y el nombramiento de Barack Obama como presidente estadounidense.
AUMENTO DE CIBERDELINCUENCIA
La directora del CSIRT ha señalado , además, que en los últimos tiempos están aumentando los casos de ciberdelincuencia, “un negocio muy lucrativo que, por desgracia, está proliferando mucho”. Al respecto, ha añadido que desde hace varios años “en todo el mundo” la ciberdelincuencia “está moviendo mucho más dinero que la droga”.
Para detectar y luchar contra estos incidentes informáticos, la Generalitat Valenciana creó en 2007 el CSIRT, que elabora un listado de alertas a las que se pueden suscribir los ciudadanos para conocer los problemas de seguridad que se dan en la red y proteger de este modo sus equipos.
Así, en año y medio de funcionamiento el CSIRT ha detectado 280 incidentes informáticos, entre ellos virus, gusanos, troyanos, spam (correo no deseado) y phising, entre otros, según explicó Herrero.
CONSEJOS SEGURIDAD
La experta recomendó también no abrir “algo que no sea solicitado” y asegurarse de navegar por “páginas seguras” cuando se vayan a realizar transacciones económicas on line. En este sentido, explicó que estas páginas pueden identificarse por utilizar https en la dirección en lugar de http, y de mostrar “un pequeño candado”.
En relación al llamado ‘phising’, el CSIRT advierte de que una entidad bancaria real nunca solicitará a sus clientes las claves bancarias por internet.
Herrero explicó que el CSIRT de la Comunitat Valenciana es un centro de respuesta de incidentes “pionero”, ya que es el único en España “creado por un gobierno autonómico”. Su objetivo, dijo, es la prevención, detección, asesoramiento y seguimiento de los incidentes de la seguridad informática, como pueden ser virus, gusanos, troyanos, phising o ataques a infraestructuras de internet.

Técnicas de los virus

Cada uno de los miles de virus existentes utiliza diferentes mecanismos, tanto para realizar la infección como para ocultarse y pasar desapercibido. Estas técnicas evolucionan con el tiempo, como las técnicas utilizadas por los programas antivirus para detectarlos. En esta sección presentamos los mecanismos utilizados por los virus:
Ocultamiento (Stealth): Los virus que utilizan esta técnica intentan pasar desapercibidos ante los ojos del usuario, no levantando ninguna sospecha sobre la infección que ya ha tenido lugar. Los virus residentes son los que más la utilizan, aunque no es exclusivamente este tipo de virus quienes la aplican.
Cuando un virus infecta un determinado fichero, suele dejar signos evidentes de su actuación, como los siguientes: aumento de tamaño en el fichero infectado, modificación de la fecha y hora de creación en el fichero infectado, secciones marcadas como defectuosas, disminución de la capacidad en la memoria, ...etc. El virus se encargará de que cada una de estas pistas no puedan ser visualizadas. Para ello vigilará peticiones de información que requiere el sistema operativo acerca de estas características, interceptándolas y ofreciendo un información falseada e irreal.
Sobrepasamiento (Tunneling): Se trata de una técnica especialmente diseñada para imposibilitar la protección antivirus en cualquier momento. Mientras el análisis permanente, o residente, del programa antivirus que se encuentre instalado intenta realizar detecciones, el virus actúa en su contra. Todas las operaciones que se realizan sobre cualquiera de los archivos son inspeccionadas por el antivirus mediante la interceptación de las acciones que el sistema operativo lleva a cabo para hacerlas posible. De la misma manera, el virus interceptará estas peticiones o servicios del sistema operativo, obteniendo las direcciones de memoria en las que se encuentran. Así el antivirus no detectará la presencia del virus. No obstante, existen técnicas antivirus alternativas que permiten la detección de virus que realicen este tipo de operaciones.
Autoencriptación: Los programas antivirus se encargan de buscar determinadas cadenas de caracteres (lo que se denomina la firma del virus) propias de cada uno de los posibles virus. Estos, por su parte y mediante la técnica de autoencriptación, infectarán de forma diferente en cada ocasión. Esto significa que el virus utilizará una cadena concreta para realizar una infección, mientras que en la siguiente infección utilizará otra distinta. Por otro lado, el virus codifica o cifra sus cadenas para que al antivirus le sea difícil encontrarlo. Sin embargo, los virus que utilizan este tipo de técnicas, emplean siempre la misma rutina o algoritmo de encriptación, con lo que es posible su detección.
Polimorfismo: Basándose en la técnica de autoencriptación, el virus se codifica o cifra de manera diferente en cada infección que realiza (su firma variará de una infección a otra). Si sólo fuese así estaríamos hablando de un virus que utiliza la encriptación, pero adicionalmente el virus cifrará también el modo (rutina o algoritmo) mediante el cual realiza el cifrado de su firma. Todo esto hace posible que el virus cree ejemplares de sí mismo diferentes de una infección a la siguiente, cambiando de "forma" en cada una de ellas. Para su detección, los programas antivirus emplean técnicas de simulación de descifrado.
Armouring: Mediante esta técnica el virus impide ser examinado. Para conocer más datos sobre cada uno de ellos, éstos son abiertos como ficheros que son, utilizando programas especiales (Debugger) que permiten descubrir cada una de las líneas del código (lenguaje de programación en el que están escritos). Pues bien, en un virus que utilice la técnica de Armouring no se podrá leer el código.

El verdadero peligro de los hoax

Desde hace ya varios años, Internet, y en especial el correo electrónico, ha servido como escenario para la difusión de los denominados virus hoax, es decir, mensajes con falsas alarmas sobre virus informáticos que se distribuyen en cadena a través del correo electrónico.Normalmente, estas cadenas van involucrando cada vez a un mayor número de usuarios, debido a que el mensaje sugiere al receptor reenviar la información a todas las direcciones de correo posibles, a fin de que se haga extensiva la supuesta advertencia de un nuevo virus. Esta rápida propagación se debe, fundamentalmente, a la inexperiencia e ingenuidad de los internautas, ya que al no saber distinguir un hoax de un virus, los usuarios envian dicha información como un acto de buena fe. A pesar de que no son realmente virus, sin duda alguna, este tipo de amenazas son consideradas dañinas ya que muchas veces implican pérdida de productividad y tiempo de las personas que reciben estas alertas. Asimismo hay que contar con la saturación de información que producen en la Red, debido a la gran cantidad de información que tienen que procesar los servidores. Y es que, algunos de los hoax más populares llevan más de tres años distribuyéndose de usuario en usuario, a pesar de los esfuerzos y recursos empleados por importantes organizaciones para desmentirlos. Características comunesHabitualmente, la gran mayoría de estos mensajes tienen en común una serie de particularidades propias dentro de sus textos. Así por ejemplo, siempre incluye frases o expresiones catastrofistas del tipo: "Alerta", "No existe cura"o "Destruye todos los archivos irremediablemente". Por otro lado, un gran número de estos mensajes suelen citar a empresas de prestigio del sector, ya sean fabricantes de hardware o software o empresas de seguridad, para dar mayor credibilidad al supuesto virus. Asimismo, muchos de ellos aseguran en su texto que el virus no es mentira y la mayoría pide que se reenvíe al mayor número de personas posible.Objetivos de los hoax En la gran mayoría de los casos estos rumores surgen de los propios ordenadores de internautas bromistas (de ahí la traducción al español de hoax: "trampa, broma, bulo...)", cuya finalidad es crear alarma entre los cibernautas, recopilar gran cantidad de direcciones de correo, incitar al propio receptor a causar daños en su ordenador o la simple notoriedad del receptor. Sin embargo, en algunas ocasiones, el rumor suele coincidir con hechos o situaciones que se dan en la vida cotidiana. Así por ejemplo, suele ser muy común la distribución de un determinado hoax antes del estreno de una producción cinematográfica o cualquier producto comercial, aunque esto sólo son especulaciones, ya que nos encontramos ante un mundo muy incierto. Entre los hoax más famosos de la historia de Internet destaca el "Good Times", que comenzó en 1994 a alertar sobre un ejecutable inexistente que destruía el disco duro y el procesador del ordenador. Este hoax fue creado por dos bromistas que se aprovecharon de la ignorancia de los usuarios que mandaban el mensaje a sus amigos como un acto de buena fe. Otro de los hoax que más se han propagado a través de la Red es el "Penpal Greetings", denominado así porque insta al cibernauta a reenviar el mensaje a todos sus contactos para evitar así ejecutar archivos contenidos en mensajes que lleven este título.Sin embargo, algunos de estos bulos si pueden llegar a causar daños más serios en los equipos informáticos de los usuarios. Un claro ejemplo fue el hoax "Sulfnbk.exe", nacido en portugués y muy pronto traducido a varios idiomas, que fue el primero en conseguir que los internautas dañaran sus propios ordenadores sin saberlo. Este hoax alertaba a los usuarios de la existencia de un nuevo virus, denominado "Sulfnbk.exe", y aconsejaba que todo ordenador que tuviera dicho archivo debía eliminarlo del disco duro. El problema radica en que sulfnbk.exe es realmente un archivo que existe en todos los ordenadores con sistema operativo Windows, cuya misión es ayudar a reconocer versiones cortas de nombres largos de archivo, luego mucha gente, creyendo que era realmente un código maligno, lo borró de su equipo.¿Qué hacer?Si en alguna ocasión recibimos un mensaje con estas características, hay que comprender que la persona que lo ha enviado seguramente ignora su falsedad, por lo que es importante informarle inmediatamente de tal situación.Si no se conoce la autenticidad de dicho mensaje, lo más aconsejable es tratar de averiguarlo a través de las páginas de Internet de las diferentes compañías de seguridad y, si se decide reenviarlo, es aconsejable ocultar las direcciones de correo para que los receptores no reciban el resto de contactos. En general, casi todas las compañías de seguridad disponen en sus direcciones web de toda la información relativa a este tipo de bulos. Asimismo, el Centro de Alerta Antivirus publica en su web toda la información sobre los hoax que van apareciendo en la Red.

Infección masiva de ordenadores por el gusano Downadup (Conficker)


En los últimos días se está detectando una infección masiva de ordenadores producida por el gusano Downadup, también conocido como Conficker.
La infección se puede realizar de tres formas:
Aprovechando la vulnerabilidad CVE-2008-4250, solucionada por Microsoft en su parche extraordinario de Octubre MS08-067.
A través de carpetas compartidas en red protegidas con contraseñas débiles.
A través de dispositivos extraíbles, por ejemplo, lápices USB, creando un fichero con nombre autorun.inf cuya acción sea autoejecutar la copia del gusano cada vez que un usuario conecta el dispositivo extraíble a un ordenador.
No se descarta que en los próximos días el gusano pueda mutar e intentar acceder a los ordenadores a través de nuevas formas de acceso.
Es importante mencionar que, aunque un ordenador tenga instalado el parche MS08-067, también se puede quedar infectado si se conecta en el equipo un dispositivo extraíble infectado o mediante las carpetas compartidas en red de Microsoft.
Los mecanismos de propagación utilizados por Downadup son muy comunes y se basan en la relajación de los usuarios para seguir unas pautas de buenas prácticas. Recomendamos a todos los usuarios que sigan estos consejos para evitar la infección:
Actualizar el Sistema Operativo, asegurándose especialmente de tener instalado el parche MS08-067, que soluciona la vulnerabilidad explotada por el gusano.
Tener instalado un antivirus actualizado en el ordenador, el siguiente enlace contiene un listado de antivirus de escritorio gratuitos.
Proteger con contraseñas fuertes las carpetas compartidas (más información sobre las carpetas compartidas para Windows Vista y Windows XP).
Asegurarse de que todos los dispositivos extraíbles que se vayan a conectar al equipo están libres de virus, para ello conviene analizarlos con un antivirus actualizado antes de que se ejecute su contenido.
Para evitar problemas de seguridad y prevenir las infecciones más comunes, seguir nuestros Consejos de Seguridad.
Entre las acciones de Downadup está la de acceder a determinadas direcciones de Internet que tiene en su código, F-Secure ha sacado el siguiente listado de direcciones de control hasta el 31 de enero y un nuevo listado dominios hasta 28 de febrero. El gusano aprovecha el acceso a estas páginas para descargarse otros programas maliciosos, aunque no se descarta que, de este modo, el servidor remoto cree un listado de las direcciones infectadas y que en un futuro se utilicen estos ordenadores comprometidos para crear una red zombie (botnet).