ANEXOS Unidad 1 TRUCOS DE ACTUALI DAD Uno de los trucos más utilizados por la ingeniería social es el de incluir nombres o frases de temas que, en el momento de su creación, se encuentran de máxima actualidad, para así conseguir un mayor interés por el mensaje enviado. Sin ir más lejos, uno de los últimos virus aparecidos en escena ha sido el P restige, un nuevo gusano de correo electrónico que hace alusión a la catástrofe del petrolero del mismo nombre. En este caso, el mensaje de correo electrónico que recibe el usuario y que lleva por asunto: “fotos INEDITAS del PRESTIGE en el fondo del Atlántico”, lleva un archivo adjunto que, supuestamente, permite acceder a material fotográfico de gran valor. Sin embargo, lo que realmente incluye dicho fichero es un virus informático. Uno de los hechos que más conmoción ha causado en las últimas décadas ha sido el ataque terrorista que sufrió la ciudad de Nueva Y ork el 11 de septiembre de 2001. Cuando se cumplía su primer aniversario, algunos hackers también aprovecharon para desarrollar varios virus informáticos relacionados con estos atentados. Así por ejemplo, apareció un nuevo gusano denominado Nedal, Laden leído al revés, que se propagaba por correo electrónico y por algunos programas de chat como el mIRC. Además, como todo gusano de correo, tenía la capacidad de auto enviarse a todos los contactos de la libreta de direcciones del programa Outlook. Otros acontecimientos de actualidad, como el primer centenario de la independencia de Filipinas, el 12 de junio de 1898; o el Mundial de Francia de 1998 también han servido de gancho para que miles y miles de internautas infecten sus ordenadores a través de la Red.
2. PERSONAJES FAMOSOS Otra de las formas empleadas por los creadores de virus para llamar la atención de los internautas es utilizar el nombre de un personaje famoso, ya sea del mundo del deporte, de la vida política o del espectáculo, para atraer a un mayor número de víctimas. Uno de los ejemplos más famosos de este tipo es el virus Ana Kournikova, un gusano de Internet, descubierto el 11 de febrero de 2001, que se aprovecha de esta circunstancia para hacer creer a los usuarios que se trata de un fichero gráfico con extensión JPG, cuando en realidad se trata de un código malicioso. Asimismo, cantantes como Jennifer López, Shakira o Thalía, también han tenido el dudoso honor de servir de inspiración para virus informáticos. Así por ejemplo, el código malicioso de la cantante y actriz Jennifer López, descubierto el 31 de mayo de 2001, era una nueva variante del famoso gusano del amor o LoveLetter y, como novedad, hacía alusión a la artista portorriqueña, de gran popularidad en todo el mundo. Sin embargo, el mundo de la política tampoco se ha escapado de estos ataques y personajes como George Bush o Hugo Chavez también han sido víctimas de estas creaciones. Chavez, un gusano descubierto el 3 de junio de 2002, tiene la particularidad de que se puede propagar por cualquier medio, ya sean disquetes infectados, envío de correo de forma directa haciendo uso de servidores propios SMTP o a través del puerto 25, vía FTP.
3. “HAP PY CHRISTMAS” Al llegar la Navidad es habitual que proliferen e-mails que adjuntan pequeñas aplicaciones gráficas, en forma de felicitaciones de Pascua o del nuevo año. Conscientes de ello, los creadores de virus aprovechan para generar códigos que, bajo un inocente aspecto, aluden a la Navidad para engañar al usuario y conseguir que ejecute el archivo que contiene al código malicioso, contribuyendo así a su difusión. Entre los gusanos que aprovechan el mencionado recurso destaca Klez.l, debido a su capacidad para variar los asuntos de los mensajes en los que se envía. Esta característica, que dificulta su identificación por parte de los usuarios, le permite generar los asuntos de los e-mails en los que se propaga a partir de las palabras que aparecen en alguno de los archivos que se encuentran en el ordenador al que ha afectado. Debido a las fechas en las que nos hallamos, muchos archivos de los usuarios aluden, de forma expresa, a la Navidad. Esto explica que, en los últimos días, se hayan notificado incidencias de e-mails que incluyen la variante “I” de Klez, que ha utilizado como asunto de dichos mensajes textos como: “Happy Christmas”, “Happy excite Christmas”, “Happy funny Christmas”, etc. Por su parte, el código Bride.B también aprovecha la Navidad para atraer la atención del usuario incluyendo la siguiente frase: “I wish you a merry Christmas and a happy new year” (“Te deseo unas felices navidades y un feliz año nuevo”). Para impedir que estos virus camuflados en felicitaciones navideñas infecten los equipos, el Centro de Alerta Antivirus aconseja no bajar la guardia y extremar las precauciones con los mensajes de correo electrónico que se reciban. Asimismo, recomiendan actualizar regularmente sus soluciones de seguridad y evitar ejecutar ficheros adjuntos a mensajes de correo sin haberlos analizado previamente con un antivirus. Unidad 3
3.2.2.2. 3.2.2.2. Detección media nte un escaneado on-line Este tipo de escaneo se realiza de forma instantánea a través de páginas web que contienen herramientas capaces de chequear nuestro ordenador. La siguiente tabla muestra la dirección de algunas páginas desde las cuales es posible realizar un escaneo de este tipo.
PÁGI NAS EN CASTELLANO CASTELLANO
http:// / ww w .upseros http: upseros..com/ portscan. portscan.php php
Permite seleccionar entre el escaneo de puertos y un test de la velocidad de conexión. Seleccionando la opción Scanner de puertos se realiza directamente un escaneo remoto de los 'puertos bien conocidos' conocidos ' de la máquina analizada. Detecta el proxy. Muestra el resultado en el propio navegador, indicando en que estado se encuentra cada uno de los puertos estudiados.
http:// / onlinec http: onlinecheck. heck.emsisoft emsisoft..org/ es/
Permite realizar cuatro tipos de chequeo: de puertos, de seguridad, de falencias y del navegador. Seleccionando únicamente la primera opción, el servidor realiza un escaneo remoto de los puertos más conocidos, comprobando cuáles están cerrados. El resultado se presenta en el navegador y se puede imprimir o guardar en un archivo. Exige la desactivación del cortafuegos.
PÁ GINAS EN INGLÉS INGLÉS
http:// / scan.sygate. http: scan.sygate.com/ com/ prequickscan.html
Presenta varias opciones. La primera de ellas se activa seleccionando Quickscan y haciendo clic sobre el botón Scan. Scan. Realiza un escaneo desde un sistema remoto de los puertos más comunes, los utilizados por algunos troyanos y los protocolos, sólo del sistema local, clasificándolos como abiertos, cerrados o bloqueados. El estado ideal de los puertos debe ser de bloqueo, equivalente al estado de sigilo, en el cual, los puertos no sólo están cerrados sino que además permanecen ocultos a cualquier escaneo. Si el sistema sale a Internet a través de un proxy, chequea los puertos de este y no los de la máquina correcta.
http:// / ww w .blackcod http: blackcode. e.com/ com/ scan/ index. index.php php Hay que activar la casilla que da permiso para escanear nuestra máquina y hacer clic sobre el botón START SCAN. SCAN. El escaneo se realiza en dos pasos: en primer lugar se escanean los puertos más comunes y después los que suelen ser utilizados por determinados troyanos. Devuelve el resultado en el navegador desde el que se activó el escaneo. La operación tarda unos minutos.
https:// / grc. https: grc.com/ com/ x/ ne. ne.dll?bh0b dll?bh0bkyd2 kyd2
Tras hacer clic sobre el segundo botón Proceed se visualiza la herramienta Shields Up Services que, mediante la opción Common Ports realiza un análisis en remoto del estado de los primeros 1056 puertos. El resultado se muestra a través del navegador en forma de tabla donde no deben aparecer cuadros de color rojo (puertos abiertos). Text Summary es un archivo de texto que recoge el resultado.
http: htt p:// / ww w.hac w.hackerwatc kerwatch. h.org/probe/ org/probe/
Permite la realización de varios test, entre ellos, uno sencillo (Simple probe) y otro de los puertos más utilizados (Port Scan). El resultado se muestra en lapantalla del
navegador. La siguiente tabla muestra el resultado obtenido con el escaneo de la página http://www.upseros.com/portscan.php
La siguiente tabla ha sido obtenida con la herramienta QuickScan de la página de Sygate. Sygate.
Unidad 4
RANKI NG DE GUSANOS GUSANOS Según una famosa empresa española, famosa por sus antivirus, el ranking de los gusanos más destacados a lo largo de todo el año 2004 es el siguiente: 1- El más dañino fue Sasser , que no sólo ocasionó una de las epidemias más graves que se recuerdan, sino que, además, sus efectos son terriblemente molestos para los usuarios, que se ven imposibilitados de utilizar sus equipos debido a continuos reinicios del ordenador.
Aprovecha un desbordamiento de buffer en el servicio LSASS de Windows para infectar a otros sistemas de forma automática. A diferencia de los gusanos convencionales que se propagan por correo electrónico, y que esperan que un usuario ejecute el archivo adjunto infectado, Sasser es capaz de infectar los sistemas vulnerables automáticamente, al estilo del conocido Blaster, Blaster, y deja una puerta trasera que permite la intrusión a terceros. Sasser puede infectar sistemas Windows 2000 y Windows XP que no hayan aplicado el macroparche MS04-011 que Microsoft distribuyó en abril de 2004. Los ordenadores infectados por Sasser abren un servicio FTP en el puerto TCP/5554 para permitir la descarga del ejecutable del gusano. Para infectar a otros sistemas, el gusano realiza un barrido de direcciones IP semialeatorio, intentando conectar con el puerto TCP/445 de cada una de ellas (puerto por defecto donde se encuentra el servicio LSSAS vulnerable). El 25% de las direcciones IP a las que se dirige pertenecen a la misma clase A que la dirección IP del ordenador infectado, otro 25% corresponderá a la misma clase B, mientras que el 50% restante son calculadas completamente al azar. Cada vez que consigue contactar con el puerto TCP/445 en alguna de las IP s, envía código para explotar la vulnerabilidad LSASS, de forma que si el sistema es vulnerable logra abrir un shell en el puerto TCP/9996. Desde ese shell fuerza una conexión al puerto TCP/5554 del ordenador infectado desde el que realizó el barrido, para descargar por FTP el ejecutable del gusano. El nombre del archivo descargado será [numero]_up.exe, donde [numero] [numero] equivale a una serie de dígitos al azar, por ejemplo 23983_up.exe. En el nuevo sistema el gusano se copia en la carpeta de Windows como avserve.exe con un tamaño de 15.872 bytes, y añade la siguiente clave en el registro de Windows para asegurarse su ejecución en cada inicio de sistema: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window s\CurrentVersion\Run \Run "avserve.exe"="%Windir%\avserve.exe" El nuevo sistema infectado actuará entonces como otro punto de distribución, iniciando un nuevo barrido de IPs en busca de otros sistemas vulnerables a los que infectar. Síntomas Además de detectar la entrada en el registro, el archivo avserve.exe en la carpeta de Windows, o el proceso avserve.exe en memoria, otro síntoma que nos puede indicar que un sistema se encuentra infectado es una ralentización general, que será provocada por el consumo de CPU que provocan los 128 hilos de ejecución que el gusano lanza para realizar los barridos de IPs. Otras evidencias visibles a primera vista son las ventanas de Windows alertando de problemas en LSA Shell o de errores en lsass.exe y el reinicio del sistema, provocados por la explotación del desbordamiento de buffer del servicio LSASS. Desinfección Como primera medida de prevención para no volver a infectarnos por el gusano, debemos instalar el parche MS04-011. A continuación podemos finalizar el proceso
avserve.exe de la memoria con el administrador de tareas, eliminar el ejecutable avserve.exe de la carpeta de Windows, así como la entrada del registro que hace referencia a él, comentada con anterioridad. Adicionalmente, Adicionalmente, también puede borrarse el archivo win.log de la raíz de la unidad C:, creado por el gusano. 2- El más sofisticado resultó ser Noo m y.A , un virus que construye páginas web infectadas por doquier y envía mensajes a canales de chat como si de un usuario real se tratase. Este gusano se envía en forma masiva por correo electrónico, a todas las direcciones extraídas de archivos con las siguientes extensiones de la máquina infectada: .dbx .htm .html .php Se propaga en mensajes con los siguientes asuntos: Re: eCard Delivery Error: Re: VoiceMail to - Delivery Error You`ve got 1 new eCard! bad request server not found! One new VoiceMail! ID: One new eCard! ID: New eCard in your inbox! You got one VoiceMail! See online! Num: One new eCard from Num: One new voicemail from Mail Delivery (error ) Re: Message Error! mail: Bad Request Server not found! Re: Mail System Error - Returned Mail Extended mail system error: Re: Mail Delivery Error! Protected Mail Server invalid! Re: Mail Delivery: - Error Re: mail error num: - Returned mail: see transcript for details Warning!!! Why you SPAM? Last notice! Re: Regard ! Please read... This is not OK ! Don't spam!!!!! Question about YOUR SPAM!! Information!You spam this email: Last chance!STOP SPAM THIS EMAIL: Utiliza nombres de archivos adjuntos seleccionados al azar, y cuando se ejecuta muestra un mensaje de error falso con el siguiente texto: CRC error: 5418#223 Close file
El gusano utiliza la interfase Winsock para enviarse. Ello requiere que el archivo MSWINSCK.OCX esté presente en el sistema. Si no lo encuentra, el gusano intentará descargarlo de un sitio predeterminado de Internet. Crea una carpeta llamada SYSTEMBCK dentro de Windows, y se copia en ella con varios nombres, además de copiarse en la carpeta del sistema: c:\windows\sysconf32.exe c:\windows\systembck\[nombres c:\windows\systembck\ [nombres al azar] El gusano crea también los siguientes archivos: c:\windows\emls.tmp \ReAd_ThiS_ShiT.txt \StpLogs.vbs \Pingme.bat EMLS.TMP es una copia del mensaje enviado. Para ejecutarse automáticamente en cada reinicio, el gusano crea la siguiente entrada en el registro de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Windows HTML file reader = c:\windows\sysconf32.exe c:\windows\sysconf32.exe El gusano también puede propagarse enviando otros mensajes en forma de spam a través del correo electrónico, o de los canales de IRC (Internet Relay Chat). Los mensajes invitan al usuario a descargar archivos de un servidor HTML oculto en los equipos infectados. Este servidor da acceso a los usuarios engañados a la carpeta C:\WINDOWS\SYSTEMBCK\ que contiene copias del propio gusano con diferentes nombres. El servidor HTML también permite a un intruso registrar y visualizar varios aspectos del equipo infectado. Existe una opción para eliminar todos los archivos con extensión .SYS de la carpeta raíz, lo que puede dificultar el reinicio de Windows. El intruso puede además, instalar otros programas maliciosos en el sistema. El archivo PINGME.BAT liberado en la carpeta raíz, contiene las instrucciones para intentar un ataque de denegación de servicio (DoS), a los siguientes sitios de Internet: www.kaspersky.com www.microsoft.com www.sophos.com 3- El más musical fue N e t s k y , que cuando infecta un ordenador emite una melodía muy peculiar durante tres horas seguidas. La siguiente dirección muestra las características de Netsky P, P, una variante de este gusano, así como el método de desinfección: http://alerta-antivirus.red.es/virus/detalle_virus. http://alerta-antivirus.re d.es/virus/detalle_virus.html?cod=3713 html?cod=3713 4- El “premio” al más camuflado correspondió a las variantes del gusano Bagle que se envían comprimidas en archivos ZIP con contraseña, lo que evita que los antivirus puedan analizarlos cuando entran en los equipos. Una amplia información sobre de una de sus variantes de este gusano (Bagle.AT) puede obtenerse en la siguiente dirección: http://alerta-antivirus.red.es/virus/detalle_virus. http://alerta-antivirus.re d.es/virus/detalle_virus.html?cod=4414 html?cod=4414
4- Z a f i . D es el más oportunista y políglota. Por una parte se disfraza como una felicitación de Navidad, aprovechándose de la cercanía de tan entrañables fechas y, por otra, se envía en una gran variedad de idiomas. Para más información, visitar la siguiente página: http://alerta-antivirus.red.es/virus/detalle_virus. http://alerta-antivirus.re d.es/virus/detalle_virus.html?cod=4554 html?cod=4554 5- T a s i n . C ataca a los amantes de la pornografía. Descarga una imagen de un personaje muy conocido en España con “escasa” indumentaria. Obtuvo el diploma de más pícaro. Amplia información de este gusano en la siguiente página: http://alerta-antivirus.red.es/virus/detalle_virus. http://alerta-antivirus.re d.es/virus/detalle_virus.html?cod=4492 html?cod=4492 6- El título de más esquizofrénico se lo ganó el gusano B e r e b . C, capaz de utilizar 442 nombres distintos para propagarse a través de aplicaciones P2P. Se supone que ni siquiera su autor se acordará cómo se llamaba el archivo original que contenía el gusano. Información en: http://alerta-antivirus.red.es/virus/detalle_virus. http://alerta-antivirus.re d.es/virus/detalle_virus.html?cod=3434 html?cod=3434
Unidad 5
FABRICANTES DE DE SPY SPY WA RE La siguiente tabla contiene una relación de los nombres de las principales empresas fabricantes de spyware y de sus páginas Web.
EMPRESA
PÁGINA WEB
EMPRESA
PÁGINA WEB
Adserver
www.adserver.com
Gator
www.gator.com
Adforce
www.adforce.com
GoHip
www.gohip.com
Adsmart
www.adsmart.net
Matchlogic
www.matchlogic.com
AdSoftware
www.adsoftware.net
OnFlow-Player
Alexa
Qualcomm Radiate (Aureate) w w w .cexx. cexx.org/ org/ conduce conducent. nt.htm htm Real Networks
Adware Conducent
www.qualcomm.com www.cexx.org/aureate.htm www.realnetworks.com
CometCursor www.cometcursor.com Cydoor www.cydoor.com
Teknosurf TimeSink
www.teknosurf.com
Doubleclick
w w w .doublecl doubleclick. ick.com/ com/ us/
Web3000
www.web3000.com
DSSAgent
www.cexx.org/dssagent.htm Webferret
www.webferret.com
EverAd
www.everad.com
Webhancer
www.webhancer.com
Flycast
www.Flyswat.com
Worldonline
www.worldonline.com
Para ver una lista completa de fabricantes y comerciales, lo mejor es visitar el sitio http://www.spywareguide.com y seleccionar la sección List of Companies. Companies .
PROGRAMAS
UNIDAD 1 •
•
a2 Guard http://www.emsisoft.org/es/ Ad-aw are SE Person al Edition http://www.lavasoftusa.com/software/adaware/ Plugins para la traducción al castellano de Ad-Aware: - llangs.exe - Plmessengerctrl.exe
UNIDAD 2 •
•
EasyCleaner - Prog rama EasyCleaner_2_0.exe - Parche de traducción al castellano EasyCleaner_esp.zipMindSoft Utilities 8.0 8.0 MUT8.zipMBSA MBSASetup-en.msiTrust Setter Trust-setter.zipAnonymity 4 Proxi - Programa Program a a4proxy.exe - Parche de traducción al castellano a4languages.zip Compresores - IZArc IZArc35.exe - WinZip winzip90.exe
UNIDAD 3 •
•
PCSuper Scanner pcscanner.exe Advanced Po rt Scanner Scanner pscan11.exe Superscan superscan.exeEthereal ethereal-setup-0.10.12.exeManual Agnitum Outpost Pro agnitum.zipManual Kerio kerio.zip Manual ZoneAlarm zonealarm.zip
UNIDAD 4 •
•
Antivir Personal Edition avwinsfx.exeAVG Free Edition avg70free_322a531.exe Process Explorer Process Explorer.zip Stinger stinger.zip
UNIDAD 5 •
•
EarthLink EarthLinkToolbar.exeCheckdialer checkdialer.exeSpybot spybotsd14.exeBugnosis bugnosis1-3.exerestIE restIE.exe Spyware Doctor Spyware Doctor 3.2.0.342 Serial.rar SpywareBlaster spywareblastersetup34.exe
UNIDAD 6 • •
Cryptainer cryle-esp.exeHashCalc hashcal.zip PGP 8 PGP8.zip
UNIDAD 7 •
Manual SSL.pdf SSL.pdf manual de ssl.zip
