2. Contenidos
1. Software malicioso
2. Clasificación del malware
2.1. Métodos de infección
3. Protección y desinfección
3.1. Clasificación del software antimalware
3.2. La mejor herramienta antimalware
2
4. Software Malicioso
MALWARE = Malicius software
Virus, gusanos, troyanos y, en general, todos los tipos de programas para
acceder a ordenadores sin autorización y producir efectos no deseados.
EVOLUCIÓN HISTÓRICA
Comienzos:
- Motivación principal de creadores de virus: reconocimiento público.
- Cuanta + relevancia tuviera el virus, + reconocimiento para su creador.
- Las acciones a realizar por el virus debían ser visibles por el usuario y
suficientemente dañinas (ej: formatear DD, eliminar ficheros importantes…)
Actualmente:
- Malware como negocio muy lucrativo.
- Los creadores de virus han pasado a tener una motivación económica.
4
5. Software Malicioso
EVOLUCIÓN HISTÓRICA (II)
1987-1999: Virus clásicos, los creadores no tenían ánimo de lucro,
motivación intelectual y protagonismo.
2000-2004: explosión de los gusanos en Internet, propagación por
correo electrónico, aparición de las botnets.
2005-2009: claro ánimo de lucro, profesionalización del malware,
explosión de troyanos bancarios y programas espías.
2010-… : casos avanzados de ataques dirigidos, espionaje industrial y
gubernamental, ataque a infraestructuras críticas, proliferación de
infecciones en dispositivos móviles.
5
6. Software Malicioso
¿Cómo obtener un beneficio económico?
Robar información sensible del ordenador infectado: datos personales,
contraseñas, credenciales de acceso a diferentes entidades, mail, banca
online, etc…
Crear una red de ordenadores infectados (botnet o red zombi).
El atacante puede manipularlos todos simultáneamente y vender servicios: envío
de spam, mensajes de phishing, acceder a cuentas bancarias, realizar DoS, etc.
Vender falsas soluciones de seguridad (rogueware o fakeAV).
Ej: Falsos antivirus que muestran mensajes con publicidad informando que el
ordenador está infectado la infección es el falso antivirus.
Cifrar el contenido de los ficheros del ordenador y solicitar un rescate
económico para recuperar la información (criptovirus o ransomware)
6
8. Clasificación del Malware
Clásica
o Virus
Infectan otros archivos (como los virus reales).
Generalmente son ejecutables: .exe, .src, .com, .bat.
Infectan a un sistema cuando se ejecuta el fichero infectado.
o Gusano
Característica principal: realizar el máximo nº de copias posible de sí mismos
para facilitar su propagación. No infecta a otros programas.
Métodos de propagación: correo electrónico, archivos falsos descargados P2P,
mensajería instantánea, etc.
o Troyano
Código malicioso con capacidad de crear una puerta trasera (backdoor), que
permita la administración remota a un usuario no autorizado.
Formas de infección: al visitar una web maliciosa, descargado por otro malware,
dentro de otro programa que simula ser inofensivo, etc.
8
9. Clasificación del Malware
Clasificaciones genéricas que engloban varios tipos de malware:
o Ladrones de información (infostealers)
Roban información del equipo infectado.
Capturadores de pulsaciones de teclado (keyloggers), espías de hábitos de uso e
información de usuario (spyware) y ladrones de contraseñas (PWstealer).
o Código delictivo (crimeware)
Realizan una acción delictiva en el equipo con fines lucrativos.
Ladrones de contraseñas bancarias (phising) propagados por spam con clickers a
falsas páginas bancarias, estafas electrónicas (scam), venta de falsas herramientas
de seguridad (rogueware), cifra de documentos y archivos para pagar un rescate
(ransomware), puertas traseras (backdoor) o redes zombi (botnets).
o Greyware (o grayware)
Inofensivo. Realizan alguna acción que no es dañina, sólo molesta o no deseable.
Visualización de publicidad no deseada (adware), espías (spyware) que roban
información de costumbres del usuario para publicidad (páginas por las que
navegan, tiempo que navegan…), bromas (joke) y bulos (hoax).
9
11. Métodos de infección
¿Cómo llega al ordenador el malware y cómo prevenirlos?
Prevenir la infección resulta relativamente fácil conociéndolas:
Explotando una vulnerabilidad software
Desarrolladores de malware aprovechan vulnerabilidades de
versiones de SO o programa para tomar el control. Solución:
actualizar versiones periódicamente.
Ingeniería social
Técnicas de abuso de confianza para hacer que el usuario realice
determinada acción, fraudulenta o que busca un beneficio
económico.
Por un archivo malicioso
Archivos adjuntos en spam, ejecución de aplicaciones web,
archivos de descargas P2P, generadores de claves y cracks de
SW pirata, etc.
11
12. Métodos de infección (y 2)
¿Cómo llega al ordenador el malware y cómo prevenirlos?
Prevenir la infección resulta relativamente fácil conociéndolas:
Dispositivos extraíbles
Muchos gusanos dejan copias en dispositivos extraíbles, que
mediante la ejecución automática cuando el dispositivo se
conecta a un ordenador, pueden ejecutarse e infectar el
nuevo equipo y a nuevos dispositivos que se conecten) .
Cookies maliciosas
Pequeños ficheros de texto en carpetas temporales del
navegador al visitar páginas web que almacenan información
facilitando la navegación del usuario. Las cookies maliciosas
monitorizan y registran las actividades del usuario en internet
con fines maliciosos (capturar datos del usuario, contraseñas
de acceso a determinadas webs, vender los hábitos de
navegación a empresas de publicidad, etc.) 12
13. Práctica 1. Keylogger.
Revealer Keylogger
Software de recuperación de pulsaciones de teclado.
Se ejecuta al inicio y se encuentra oculto.
Permite controlar y grabar todos los textos que se introducen por teclado en un
ordenador (textos como páginas web, conversaciones e incluso usuarios y contraseñas).
13
15. Protección y desinfección
Recomendaciones de seguridad
Mantente informado sobre las novedades y alertas de seguridad.
Mantén actualizado tu equipo, sistema operativo y aplicaciones.
Haz copias de seguridad con cierta frecuencia, guárdalas en lugar y soporte seguro.
Utiliza software legal, que suele ofrecer mayor garantía y soporte.
Utiliza contraseñas fuertes en todos los servicios.
Crea diferentes usuarios en tu sistema, cada uno de ellos con los permisos mínimos
necesarios para poder realizar las acciones permitidas.
Utiliza herramientas de seguridad antimalware actualizadas periódicamente.
Analiza el sistema de ficheros con varias herramientas (contraste).
Realiza periódicamente escaneo de puertos, test de velocidad y de las conexiones
de red para analizar si las aplicaciones que las emplean son autorizadas.
No fiarse de todas las herramientas antimalware. Ojo con el rogueware.
Acceder a servicios de Internet que ofrezcan seguridad (HTTPS) y en ordenadores
de confianza y seguros.
15
16. Clasificación del software antimalware
Las herramientas antimalware se encuentran más desarrolladas para
entornos más utilizados por usuarios no experimentados y, por tanto,
más vulnerables usualmente entornos Windows.
Cada vez son mayor el número de infecciones en archivos
alojados en servidores GNU/Linux y aplicaciones cada vez
más usadas como el navegador web Mozilla Firefox.
16
17. Clasificación del software antimalware
Antivirus
o Programa informático diseñado para detectar, bloquear y eliminar códigos maliciosos.
o Existen versiones gratuitas y de pago, los fabricantes suelen tener distintas versiones
para que se puedan probar sus productos de forma gratuita, y en ocasiones para
poder desinfectar será necesario comprar sus licencias.
o Variantes:
Antivirus de escritorio. Instalado como una aplicación, permite el control del antivirus
en tiempo real o del sistema de archivos.
Antivirus en línea. Aplicación web que permite, mediante la instalación de plugins en
el navegador, analizar el sistema de archivos completo. Ej: Panda.
Análisis de ficheros en línea. Servicio gratuito para el análisis de ficheros sospechosos
mediante el uso de múltiples motores antivirus. Ej: Hispasec.
Antivirus portable. No requieren instalación en el sistema. Consumen pocos recursos.
Antivirus Live. Arrancable y ejecutable desde USB, CD o DVD. Ej: AVG.
17
18. Clasificación del software antimalware
Otras herramientas específicas:
Antispyware
Spyware = programas espía, son aplicaciones que recopilan información del
sistema para enviarla a través de Internet, generalmente a empresas de publicidad.
Antispyware = Herramientas de escritorio y en línea, que analizan nuestras
conexiones de red, en busca de conexiones no autorizadas.
Herramientas de bloqueo web
Informan de la peligrosidad de los sitios web que visitamos.
Varios tipos: los que realizan un análisis en línea, los que se descarga como una
extensión/plugin de la barra del navegador, y los que se instalan como una
herramienta de escritorio.
18
19. Práctica 2. Antimalware.
Windows: Malwarebytes
Busca, detecta y elimina todo tipo de malware.
Herramienta muy útil frente a rootkits.
Para entornos Windows, descarga gratuita en www.malwarebytes.org
19
20. Práctica 2. Antimalware.
GNU/Linux: ClamAv y Clamtk
Instalación: sudo aptitude install clamav
sudo aptitude install clamtk
Actualización online: sudo freshclam
ClamAv. Escaneo: sudo clamscan –r –i /home
Clamtk. Ejecución gráfica: sudo clamtk
ClamAv y Clamtk nos ofrecen
la posibilidad de escanear un
sistema de archivos Windows
sin arrancar el SO propio.
20
21. La mejor herramienta antimalware
¿Qué herramienta se ajusta mejor a mis necesidades?
Empresas desarrolladoras de antimalware muestran estudios en sus
propias web demostrando que son mejores que la competencia. Los estudios
pierden
Los usuarios pueden realizar estudios, pero la muestra de virus suele validez
ser pequeña o se pueden malinterpretar los resultados.
La tasa de detección puede variar de mes a mes por el gran número
de malware que se crea.
Ningún antivirus es perfecto (no existe el 100% de detección)
Los estudios con más validez, hechos por empresas o laboratorios independientes:
AV Comparatives (www.av-comparatives.org)
AV-Test.org (www.av-test.org)
ICSA Labs (www.icsalabs.com )
Virus Bulletin (www.virusbtn.com)
West Coast Labs (www.westcoastlabs.org) 21
22. La mejor herramienta antimalware
En ocasiones, las herramientas antimalware no suponen una solución a una infección:
detectan posibles amenazas pero no corrigen el problema.
En estos casos, es más efectivo un control a fondo de los procesos de arranque,
los que se encuentran en ejecución y los archivos que hagan uso de las
conexiones de red .
Para Windows:
Control de procesos de arranque automático en el inicio: msconfig.
Suite de herramientas de control de procesos: Sysinternals.
Herramientas de control a fondo del sistema: HiJackThis de Trend Micro.
Control de conexiones de red: comando netstat.
22
23. Enlaces de interés
Blog de la seguridad de la información:
http://www.inteco.es/blogs/inteco/Seguridad/BlogSeguridad/ultimos_articulos/
Web sobre software antimalware: http://www.antivirusgratis.com.ar/
SiteAdvisor McAfee. Valida el nivel de seguridad y confiabilidad de las URL visitadas:
http://www.siteadvisor.com/
Foro de InfoSpyware. Listado con malware y antimalware falso (rogue o fakeavs):
http://www.forospyware.com/
Artículo para prevenir y curar virus en el arranque de dispositivos USB:
http://www.cristalab.com/tutoriales/como-eliminar-virus-autorun.inf-de-un-
dispositivo-usb-c76436l/
Artículo sobre la cronología de los virus informáticos:
http://www.nod32-la.com/tutorials/cronologia_de_los_virus_informaticos.pdf
Historia del malware:
http://www.pandasecurity.com/spain/homeusers/security-info/classic-malware/
23
24. Enlaces de interés
SOFTWARE
Útiles gratuitos de seguridad informática (CERT – INTECO):
http://cert.inteco.es/software/Proteccion/utiles_gratuitos/
Revealer Keylogger: http://www.logixoft.com/
Antivirus para entornos GNU/Linux (ClamAv y ClamTk) y ClamWin:
http://es.clamwin.com/
AVG Rescue CD (distribución arrancable desde USB y CD):
http://www.avg.com/ww-es/avg-rescue-cd
Sysinternals. Paquete de herramientas de análisis a bajo nivel para Windows:
http://technet.microsoft.com/es-es/sysinternals/default
HiJackThis. Analizador de aplicaciones, servicios activos, cambios de configuración
producidos por malware, en Windows. Producto de Trend Micro.
http://free.antivirus.com/hijackthis/
24