Informe Sobre La Seguridad Informatica - Nuria
Informe Sobre La Seguridad Informatica - Nuria
Informe Sobre La Seguridad Informatica - Nuria
La Herramienta de eliminacin de software malintencionado de Microsoft revisa equipos que usan Windows 7, Windows Vista, Windows XP, Windows 2000 y Windows Server 2003 en busca de infecciones con software malintencionado especfico y comn, como Blaster, Sasser y Mydoom, y contribuye a eliminar las infecciones detectadas. Cuando el proceso de deteccin y eliminacin ha finalizado, la herramienta muestra un informe que describe el resultado, incluyendo, en su caso, qu malware se detect y elimin. Microsoft presenta una versin actualizada de esta herramienta el segundo martes de cada mes, y en la medida en que sea necesario para responder a incidentes de seguridad. La herramienta est disponible en Microsoft Update, Windows Update y en el Centro de descarga de Microsoft. Nota La versin de la herramienta que proporciona Microsoft Update y Windows Update se ejecuta en segundo plano y, a continuacin, informa si se detect alguna infeccin por malware. Para ejecutar esta herramienta ms de una vez al mes, use la versin de esta pgina web o instale la versin disponible en el Centro de descarga. Dado que los equipos pueden parecer funcionar con normalidad cuando estn infectados, es buena idea ejecutar esta herramienta con regularidad aunque su equipo parezca no tener ningn problema. Tambin debe usar un software antivirus actualizado, como Microsoft Security Essentials, para contribuir a proteger su equipo de otro malware. Para descargar la versin ms reciente de esta herramienta, visite el Centro de descarga de Microsoft. Tambin puede llevar a cabo un examen en lnea de su equipo usando el Microsoft Safety Scanner.
2-Caracteristicas tcnicas, definicin, clasificacin y consecuencias en los equipos informticos de los siguientes virus
Virus: I love you En qu consista I Love You? Se trataba de un correo electrnico cuyo gancho era su ttulo, 'I Love You' ('Te quiero', en ingls), as como el nombre del documento de texto asociado a l ('Love-Letter-For-You', una carta de amor para ti). Al ejecutar el fichero, el gusano modificaba los ficheros del ordenador infectado y se auto enviaba por correo electrnico a todas las direcciones de la vctima. Entonces, con una Internet prcticamente en paales, el virus se extendi rpidamente; afect a cerca de 50 millones de ordenadores en todo el planeta una semana despus de su aparicin, es decir, el 10% de las mquinas conectadas a la Red de redes. El 'virus del amor' mostr cmo combinar tcnicas de gusano con un poco de ingeniera social para distribuir 'malware' a una cantidad ingente de ordenadores en Internet. Ahora el cibercrimen es un lucrativo negocio.
"El virus del amor mostr como iban a ser los problemas de seguridad", comenta Paul Fletcher, de MessageLabs.
Virus:Zone.H
afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95] / W64 [Microsoft Windows de 64 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003] - Capacidad de residencia permanente: S. Se ejecuta automticamente en cada reinicio del sistema
Descarga ficheros maliciosos que guarda con nombres aleatorios en la carpeta de archivos temporales. A continuacin, ejecuta los ficheros anteriores y los guarda
Virus sasser.B
El virus Sasser.b apareci en mayo de 2004 y es un virus que explota un agujero de seguridad de LSASS (autoridad de seguridad local) que corresponde a un archivo ejecutable en Windows. La aparicin del primer virus en explotar la falla de seguridad en LSASS de Windows se produjo apenas dos semanas despus de que se publicara la falla y se lanzaran los primero parches correctivos.
E virus Sasser esta programas para ejecutar 128 procesos (10324) para la variante SasserC) que analizan una cantidad de direccin IP aleatorias que buscan sistemas vulnerables a la falla LSASS en el puerto 455/TCP.
El virus instala un servidor FTP en el puerto 5554 para que otros equipos infectados puedan descargarlo.
Despus, cuando encuentra un equipo vulnerable, el gusano abre un shell remoto en el equipo ( en el puerto TCO 9996) y hace que el equipo remoto descargue una copia del gusano ( denominada avserve.exe o avserve2.exe para la variante Sasser.B) en el directorio de Windows.
Sntomas de infeccin
Explotar la vulnerabilidad de LSASS provoca algunos errores en lo equipos afectados, los cuales estn relacionados con el cierre de los servicio LSASS (proceso lsass.exe).Los sistemas vulnerables tiene los siguientes sntomas:
Virus Blaster
Blaster es un gusano de red de Windows que se aprovecha de una vulnerabilidad en el servicio DCOM para infectar a otros sistemas de norma automtica,
El gusano fue detectado y liberado en el ao 2003. La tasa de infecciones aumento considerablemente dos das despus de su liberacin. Gracias al filtrado por las ISP's y la gran publicidad frente a este gusano, la infeccin pudo frenarse.
Efectos principales
El mtodo con el que infecta los sistemas vulnerables es bastante parecido a la que uso el gusano sasser, aparte, deja un puerta trasera que permite la intrusin a terceros haciendo que la maquina infectada sea fcilmente atacada por otros virus, o accesos remotos no autorizados.
El gusano se disemina al explotar un desbordamiento de buffer en el servicio DCOK para los sistemas operativos Windows afectados, para los cuales se libero un parche un mes antes.
Est programado para realizar un ataque organizado de denegacin de servicio al puerto 80 de windowsupdate.com sin embargo, los daos fueron mnimos debido a que el sitio era redirigido a "windowsupdate.microsoft.com". Aparte Microsoft apago sus servicios para minimizar los efectos.
Efectos secundarios
En algunas versiones de Windows, puede generar inestabilidad del sistema, e incluso una ventana que advierte al usuario de que debe reiniciar el ordenador.
3.-Elabora un informe con la informacin obtenida, realiza una comparativa de los virus indicados con los restantes tipos de virus fijndote sin son los que causaran un mayor dao a la seguridad de nuestro equipo o que podran tener peores consecuencias en la informacin almacenada, justificando la respuesta en el informe.
ZONE.H
SASSER.B
BLASTER
Troyano
Gusano informtico
Virus
Ao 2000
Mensaje de correo electrnico con el asunto: I love you y el archivo adjunto: "LOVELETTER-FORYOU.TXT.vbs"
Si
No
Si
Si
El gusano modificaba los ficheros del ordenador infectado y se auto enviaba por correo electrnico a todas las direcciones de la vctima.
Crea el fichero "%UserProfile%\Application Data\lsass.ex e Se comunica con unos servidores remotos desde los que descarga ficheros maliciosos que guarda con nombres aleatorios en la carpeta de archivos temporales. A continuacin, ejecuta los ficheros anteriores y los guarda con unos nombres predeterminados. Crea a continuacin entradas del registro de Windows para que estos ficheros se ejecuten de nuevo con cada reinicio del sistema y a su vez descargan nuevos archivos
El gusano se copia a s mismo en el directorio de instalacin de Windows con el nombre c:\windows\avserve2.e xe Crea los siguientes archivos: c:\win2.log y varias copias de c:\windows\system32\# _up.exe (donde # es un nmero de cinco dgitos)Para ejecutarse automticamente cada vez que el sistema es reiniciado, el gusano aade a una clave del registro de Windows, el valor antes indicado. El gusano inicia 128 hilos de ejecucin para escanear direcciones
Este gusano explota la vulnerabilidad conocida como "Desbordamiento de Bfer en RPC DCOM", una vulnerabilidad en llamadas a procedimiento remoto (RPC) mediante el modelo de objetos distribuidos (DCO M). Esta vulnerabilidad permite qu e un atacanteremoto obtenga acceso total al sistema atacado y ejecute sobre l cdigo arbitrario
maliciosos.
IP seleccionadas al azar por el puerto TCP/445, buscando sistemasvulnerables. ( 1. ) . Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.El gusano provoca un desbordamiento de bfer en LSASS.EXE , lo que hace que dicho programa falle y requiera el reinicio deWindows
peligrosidad
Los peores virus que nos pueden afectar son Sasser.b y Blaster ya que son los mas peligrosos y son los que como no se pueden auto propagar afectan en mayor rango a nuestros datos almacenados en nuestro ordenador.
4.-Recomienda programas gratuitos para instalar en el equipo para protegerlo, generando un pster o collage con los tiles seleccionados y sus principales caractersticas. http://www.glogster.com/nuritayataco/myglogster
5.-Averigua las caractersticas del virus Stunex. Por qu ha sido tan importante?, Crees que supone un salto cualitativo en el desarrollo del virus? Por qu?
Stunex es detectado por primera vez el 17 de junio de 2010 por la empresa antivirus Bielorrusa VirusBlokada. Inicialmente se le considera un gusano ya que aprovecha ciertas vulnerabilidades para propagarse e infectar distintas maquinas. Es capaz de modificar el comportamiento normal de distintos componentes del sistema de control y oculta su presencia para no ser detectado. La propagacin de Stuxnet la principal va de infeccin es a travs de llaves USB . Stuxnet aprovecha la ya famosa vulnerabilidad 0day en el manejo de ficheros: LNK, por la que con solo visualizar en Windows Explorer los ficheros de acceso directo, en concreto en el caso de Stuxnet unos ficheros .tmp que contienen los binarios de stuxnet. Otras vas de infeccin son a travs de recursos de red compartidos en los que la maquina infectada tiene permiso de escritura, y a travs de una vieja conocida, la vulnerabilidad de RPC usada por Conficker y otros gusanos.
Funcionamiento Una vez infectada la mquina, stuxnet contacta con su C&C y enva de forma cifrada, informacin bsica sobre el host comprometido utilizando la URL http://<C&C server address>/index.php?data=<encrypted data>. Esta informacin incluye: Informacin de la versin de Windows.
nombre del host Un flag indicativo de si el software de WinCC est o no instalado Direcciones IP de todas las interfaces de red Por lo visto, el C&C puede responder bien enviado la orden de ejecutar una llamada a un procedimiento en el host comprometido o descargando una nueva DLL para que Stuxnet la cargue. Las funciones a las que se puede acceder remotamente son: Lectura de un fichero Escritura en un fichero Borrado de un fichero Creacin de un proceso Inyeccin de una DLL en el proceso lsass.exe (proceso que se encarga del funcionamiento de los protocolos de seguridad que maneja Windows) Carga de alguna DLL adicional Inyeccin de cdigo en otro proceso Actualizar los datos de configuracin del gusano