IntroMalware

45
Seguridad Informática Roberto Gómez Cárdenas Introducción al Malware 1 Introducción al malware Dr. Roberto Gómez Cárdenas @i Roberto Gómez Cárdenas Lámina 1 rogomez@itesm.mx http://homepage.cem.itesm.mx/rogomez Contenido • Definición Vi Virus • Gusanos Caballos de troya • Backdoor Roberto Gómez Cárdenas Lámina 2

Transcript of IntroMalware

Page 1: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 1

Introducción al malware

Dr. Roberto Gómez Cárdenas@i

Roberto Gómez CárdenasLámina 1

[email protected]://homepage.cem.itesm.mx/rogomez

Contenido

• DefiniciónVi• Virus

• Gusanos• Caballos de troya• Backdoor

Roberto Gómez CárdenasLámina 2

Page 2: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 2

¿Malware?

• Consiste en un pequeño programa alojado dentro de otra aplicación (imagen archivo de música ) que seaplicación (imagen, archivo de música,…), que se instala en el sistema al ejecutar el archivo que lo contiene y que puede llegar a un ordenador por diversos medios (correo, redes P2P, paginas web, spyware, etc).

• Los códigos maliciosos o malware son capaces de

Roberto Gómez CárdenasLámina 3

Los códigos maliciosos o malware son capaces de ocasionar algún daño en una computadora o en la información, eliminando archivos o provocando que la computadora reiniciara sin consentimiento del usuario.

Características básicas del malware

• ReplicaciónMé d d l i• Métodos de ocultamiento

• Activación• Manifestación• Explotación y escalamiento de privilegios

Roberto Gómez CárdenasLámina 4

Page 3: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 3

Replicación

• La capacidad para duplicarse a si mismo.• Si un programa cuenta con esta característica se le consideraSi un programa cuenta con esta característica se le considera

virus, sin importar que tenga alguna otra característica.• Al principio, estos programas se difundían mediante dispositivos

de almacenamiento externo como disquetes, CDROMs, cintas magnéticas, etcétera y debían ser activados con la ayuda del usuario.

• Sin embargo los atacantes han aprovechado las ventajas de la

Roberto Gómez CárdenasLámina 5

• Sin embargo, los atacantes han aprovechado las ventajas de la tecnología para que sus códigos puedan expandirse y se auto-propaguen a través de todo Internet, al aprovechar principalmente fallas en los sistemas operativos, malas configuraciones y la ingenuidad de los usuarios.

Ocultamiento

• Es la capacidad que tiene el código malicioso para evadir las protecciones comunes de lospara evadir las protecciones comunes de los sistemas operativos, detectores de intrusos y sistemas antivirus– Cifrado (Polimorfismo Básico)– Polimorfismo Avanzado o Metamorfismo

Roberto Gómez CárdenasLámina 6

– Cambio de extensiones– Companion/Hidra o Multi-infector

Page 4: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 4

Activación

• Es la capacidad del código malicioso para activarse comúnmente:activarse, comúnmente:– Contador– Doble Click– Encender la computadora– Ejecutar un programa

Roberto Gómez CárdenasLámina 7

j p g– Etc.

Manifestación

• Comúnmente es la capacidad que nos hará notar que tenemos código malicioso en nuestroque tenemos código malicioso en nuestro ordenador.– Enviar un mensaje– Formatear el disco rígido– Borrar información

Roberto Gómez CárdenasLámina 8

– Modificar información– Robar Información– Deteriorar el rendimiento de la infraestructura de red– Etc.

Page 5: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 5

Daños que puede provoca

• Trivial– Solo replicarse– Solo replicarse

• Moderado– Destrucción de la Información

• Mayor– Corrupción de Archivos o Información

S

Roberto Gómez CárdenasLámina 9

• Severo– Alteración o Modificación de la Información

• Ilimitado– Robo de Información

Ejemplos de malware

• Virus• Bombas lógicas• Bombas lógicas• Macrovirus• Troyanos• Backdoors• Gusanos

Roberto Gómez CárdenasLámina 10

Page 6: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 6

Virus

• Un virus se define como una porción de código de programación cuyo objetivo es implementarsede programación cuyo objetivo es implementarse a si mismo en un archivo ejecutable y multiplicarse sistemáticamente de un archivo a otro.

• Además de esta función primaria de "invasión" o

Roberto Gómez CárdenasLámina 11

p"reproducción", los virus están diseñados para realizar una acción concreta en los sistemas informáticos

Ejemplos de virus

• Pakistani brain (1988) • Natas (1999)• Cascada (1997)• Alabama (1989) • Jerusalén (1987)• Miguel Angel (1992)

• Stoned (1987) • Dark Aveger (1990)• Ping pong (1987) • I love you (2000)

Roberto Gómez CárdenasLámina 12

• Vienna (1988) • AnnaKournikova

(2001)

• Chernobyl (1998 )• Disk killer (1989)

Page 7: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 7

Imágenes virus

Roberto Gómez CárdenasLámina 13

http://www.viruslist.com/sphttp://www.probertencyclopaedia.com/L21.HTM

El virus I love you

Roberto Gómez CárdenasLámina 14

Page 8: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 8

Variantes relacionadas con virus

• En ocasiones de habla de estas variantes como si de virus se tratara cuando en realidad sonde virus se tratara, cuando en realidad son conceptualmente diferentes.

• Algunos antivirus pueden detectarlos.• Estas variantes son:

– Gusanos

Roberto Gómez CárdenasLámina 15

Gusanos– Troyanos– Backdoors– Bomba lógica

Es un programa que produce copias de sí i d i t t t é d l d

Los gusanos

mismo de un sistema a otro a través de la red; en las máquinas que se instala, produce enormes sobre-cargas de procesamiento que reducen la disponiblidad de los sistemas afectados.

Roberto Gómez CárdenasLámina 16

Page 9: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 9

El gusano navidad.exe (1)

Roberto Gómez CárdenasLámina 17

El gusano navidad.exe (2)

Roberto Gómez CárdenasLámina 18

Page 10: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 10

El gusano navidad.exe (3)

Roberto Gómez CárdenasLámina 19

Gusanos conocidos

• Gusanos que afectaron la operación de todo InternetInternet– Primer gusano: Morris (1988)– Code Red (2001)– Nimda (2001)– Blaster (2003)

Roberto Gómez CárdenasLámina 20

( )– Slammer (2003)– Sasser (2004)– Conficker (2008)– Stuxnet (2010)

Page 11: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 11

Gusano de Morris

• Daño: 6000 computadoras en unas pocas horas.• Tráfico de red incrementado por la propagación• Tráfico de red incrementado por la propagación.• ¿Qué hacia?

– Solo se copiaba a si mismo, no tocaba datos• Exploits utilizados

– Buffer overflow en fingerd (Unix)S d il d b d

Roberto Gómez CárdenasLámina 21

– Sendmail debug mode • Ejecución de comandos arbitrarios tales como copiar un gusano a otra

máquina

– Diccionario de 432 passwords frecuentemente usados para usarse con rexec, rsh

Lecciones aprendidas con Gusano de Morris

• La diversidad es buena– Homogeneidad de Sistemas Operativos hace que un mismo código no g p q g

afecte a todos.– Morris afectaba a sistemas Unix BSD no a Unix V.

• Programas grandes son más vulnerables a ser atacados– Sendmail– Fingerd

• Limitar características limite hoyos

Roberto Gómez CárdenasLámina 22

y– La opción de debug de sendmail debe desactivarse.

• La comunidad debe poder comunicarse para saber que esta pasando– Creación del CERT

Page 12: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 12

Code Red

• Año: 2001• Explotó:• Explotó:

– Buffer Overflow del Servidor Web IIS – De forma aleatoria busca direcciones IP para conectarse a

otros servidores IIS.• Se esparció de forma rápida: más de 2,000 hosts/min.• Evadió detección automática

Roberto Gómez CárdenasLámina 23

• Evadió detección automática– Más fácil detectarlo por humanos que por scanners.– Solo reside en memoria, no escribe en disco.

• Modificaba página hogar o servidor infectado

Ejemplo de Web Server afectado

Roberto Gómez CárdenasLámina 24

Page 13: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 13

El gusano Nimda

• Año: 2001• Vector de propagación: método por el cual un gusano• Vector de propagación: método por el cual un gusano

“se propaga” a otra máquina.• Payload: datos que el gusano carga cuando viaja.• Se propagó rápidamente, lo que hizo al gusano peor.

– Uso de múltiples vectores de propagación.S ió d id id ( C d R d)

Roberto Gómez CárdenasLámina 25

– Se esparció de servidor a servidor (como CodeRed).– Pero también de servidor a cliente

• Archivos bajados de browser venían infectados.

– Infectó envío de correos electrónicos de clientes con el código del gusano como payload.

El gusano Blaster

• Año: 2003• Explotó• Explotó

– Buffer Overflow en Microsoft OS: atacó el servicio DCOM– Se contaba con el parche pero varios usuarios no lo tenían

instalado.• Causaba que la máquina se apagará.• Seguido de un DDoS contra el sitio de Windows Update

Roberto Gómez CárdenasLámina 26

• Seguido de un DDoS contra el sitio de Windows Updatepara prevenir que los usuarios obtuvieran el parche.

• Desarrollado en lenguaje C.

Page 14: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 14

Blaster en acción

Roberto Gómez CárdenasLámina 27

SQL Slammer

• Año: 2003• Se aprovecho de otro buffer overflow• Se aprovecho de otro buffer overflow

– Solo requería de un paquete UDP de 376 bytes.– UDP es orientado no conexión: se disemino rápidamente.– Infecto 75,000: 90% w/en 10 minutos.

• Ataco Microsoft SQL Server DB D h bilit b l id b di i IP l

Roberto Gómez CárdenasLámina 28

• Deshabilitaba el servidor y escaneaba direcciones IPs al azar para infectar.

• Impacto– Tráfico excesivo debido a la propagación del gusano.– Aerolíneas cancelarón y retardarón vuelos.

Page 15: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 15

Conficker

• Aprovecha vulnerabilidad en el servicio de red en Windows (MS08-067)Windows (MS08 067)

• Intenta esparcirse copiándose en folders compartidos en redes e infectando USBs.

• Existen cinco variantes: A, B, C, D y E– También conocido como W32.DownadupQ é l h t i l?

Roberto Gómez CárdenasLámina 29

• ¿Qué lo hace tan especial?– Inusualmente sofisticado– No se conoce su propósito– La escala de infección fue grande– Ha cambiado y evolucionado.

Propagación Conficker

Roberto Gómez CárdenasLámina 30

Page 16: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 16

El exploit (A y B)

Roberto Gómez CárdenasLámina 31

Stuxnet

• Descubierto en julio 2010 pero se confirma que ha existido por al menos un año.p

• Explota cuatro vulnerabilidades distintas de “día cero”.– Dos para propagación– Dos para elevación de privilegios

• Dirigido contra Sistemas de control industrial Simatic WinCC SCADA

Roberto Gómez CárdenasLámina 32

S at c W CC SC– Se instala en PLCs

• Hace uso de dos certificados válidos• Contiene un rootkit.

Page 17: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 17

Replicación

• Se autoreplica a través de memorias USB aprovechándosememorias USB aprovechándose de una vulnerabilidad en los archivos de “atajo”

• Se propaga en una LAN por una vulnerabilidad en el Windows Print Spooler.

Roberto Gómez CárdenasLámina 33

p• Se propaga a través de SMB

aprovechandose de una vulnerabilidad del Microsoft Windows Server Service RPC

Stuxnet

“Este programa malicioso no ha sido diseñadoEste programa malicioso no ha sido diseñado para robar dinero, bombardear con spam o acceder a datos personales; ha sido diseñado para sabotear plantas y causar daños en entornos industriales. Mucho me temo que estamos asistiendo al nacimiento de un nuevo mundo.Los 90 fueron la década de los cibervándalos, la década del 2000 fue la de los cibercriminales y

Roberto Gómez CárdenasLámina 34

década del 2000 fue la de los cibercriminales, y tengo la sensación de que estamos entrando en la nueva era de las ciberguerras y el ciberterrorismo”

Eugene Karspersky

Page 18: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 18

Timeline

Roberto Gómez CárdenasLámina 35

El Caballo de Troya

• Objetivo principal: recuperación información fid i l d i iconfidencial de un organismo o un usuario.

• Se basa en substituir un programa de servicio común por uno alterado por el intruso para recuperar información.

Roberto Gómez CárdenasLámina 36

recuperar información.

Page 19: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 19

Un ejemplo de caballo de Troya

• El Caballo de Troya por login es uno de los más comunescomunes.

• En este ataque, el usuario encuentra su estación de trabajo con una pantalla solicitándole su login.

• El usuario inadvertido teclea su login y su password como de costumbre; esta vez recibiendo un mensaje de error

Roberto Gómez CárdenasLámina 37

error.login: mbuiPassword:Login incorrect

Continuación del ejemplo

• En el segundo intento, el usuario logrará acceder al sistemaal sistema.

• El no sabe que su password fue almacenado en algún archivo donde, más tarde, el creador del Caballo de Troya lo recuperará.

• El falso programa de login, después de

Roberto Gómez CárdenasLámina 38

El falso programa de login, después de almacenar el password robado, invoca el verdadero programa de login, dejando al usuario actuar con una nueva sesión de login.

Page 20: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 20

El troyano SubSeven

• ¿Qué hace?P it t l t d Wi d– Permite control remoto de Windows

• Archivos• Monitoreo• Red

Roberto Gómez CárdenasLámina 39

Troyano SubSeven

NT Server

Router HubWorkstation

InternetAtacante

Roberto Gómez CárdenasLámina 40

Laptop

Linux Server

Controls system Controls system from remote locationfrom remote location

Page 21: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 21

GUI de SubSeven

Roberto Gómez CárdenasLámina 41

Ejemplo información capturada por SubSeven

Roberto Gómez CárdenasLámina 42

Page 22: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 22

Trapdoors, backdoors o puertas traseras

• Es frecuentemente creado por el diseñador pdel sistema; sin embargo, en ocasiones existe por accidente.

• Algunas veces es creado durante las pruebas de implementación de un sistema y después es olvidado.

Roberto Gómez CárdenasLámina 43

• Otras veces, es usado por el proveedor para “atar” al cliente que compro dicho sistema.

Ejemplo puerta trasera: Back Orifice

• Creado por la gente del “Cult of the dead cow”• Permito control remoto de WindowsPermito control remoto de Windows

– Sistema Archivos - Passwords– Registros - Red– Sistema - Procesos

• Controles de multimedia– Captura imágenes de la pantalla

R i t i fid i l

Roberto Gómez CárdenasLámina 44

– Registra conversaciones confidenciales• Vaciado (dumping) de contraseñas NT y Win9x Screen Saver.• La mayor parte de los antivirus los detectan.• Completamente Open Source (cualquier persona lo pueden

modificar).

Page 23: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 23

Back Orifice 2000

NT Server

Router

NT Server

HubIAttacker

Roberto Gómez CárdenasLámina 45

LaptopW2K Server

Controls system from remote location

InternetAttacker

••Capture audio or video from Capture audio or video from the victims system if a the victims system if a microphone or camera is microphone or camera is attached.attached.

••You could record You could record confidential meetings held confidential meetings held

Roberto Gómez CárdenasLámina 46

behind closed doors.behind closed doors.

Page 24: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 24

¿Qué vio la víctima?

Roberto Gómez CárdenasLámina 47

¿Qué vio el atacante?

Roberto Gómez CárdenasLámina 48

Page 25: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 25

Los easter eggs

Roberto Gómez CárdenasLámina 49

http://www.eeggs.com/

Precauciones a tomar en cuenta

• Estar seguros de que en realidad se necesita el softwaresoftware

• No pueden proporcionarmelo en el área de sistemas.

• Preguntar si alguien más lo ha usado y si ha tenido problemas.

Roberto Gómez CárdenasLámina 50

tenido problemas.• De preferencia que sea software recomendado

por la misma marca del browser.

Page 26: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 26

Virus, backdoors y caballos troya

• Diferencias que hay que tomar en cuenta para protegernos mejorp g j

• Virus– el programa por sí solo se ejecuta– vive dentro de otro programa– escala en memoria

• Backdoor

Roberto Gómez CárdenasLámina 51

– después de que alguien “entró” al sistema lo deja para seguir con el control sobre el sistema.

• Caballo de troya– se le envía al usuario para que lo ejecute

Bombas lógicas

• Una bomba lógica es una modificación en un programa que lo obliga a ejecutarse de maneraprograma que lo obliga a ejecutarse de manera diferente bajo ciertas circunstancias

• Bajo condiciones normales, el programa se comporta como previsto y, la bomba no puede ser detectada.

Roberto Gómez CárdenasLámina 52

• Un ejemplo de pseudocódigo es:IF Profesor = jvazquez THEN salario == Horas * Rango * 1.1

ELSE salario == Horas * Rango

Page 27: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 27

Rootkits

• Programa malicioso que pretende ser un programa normalprograma normal.

• También se refiere a programas que:– Se hacen pasar por “posibles” programas.– Hacen todo lo posible por eliminar evidencia de su

presencia en el sistema.

Roberto Gómez CárdenasLámina 53

p– Para su instalación es necesario que el atacante

cuente con privilegios.

Técnicas más comunes

• Windows Rootkits & Malware– DLL InjectionDLL Injection– Process Injection– User-land / Kernel-land Attacks

• Linux / *BSD Rootkits– User-land Rootkit– Kernel-land Rootkit

Roberto Gómez CárdenasLámina 54

Kernel land Rootkit• Mac OSX Rootkits

– User-land Rootkit– Kernel-land Rootkit

Page 28: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 28

Detección

• Uso de huellas digitales– TRIPWIRE– TRIPWIRE– Advanced Intrusion Detection Environment (AIDE)– Downloadable on Internet– http://www.cs.tut.fi/~rammer/aide.html.

• Chkrootkit– chkrootkit is available at:

Roberto Gómez CárdenasLámina 55

chkrootkit is available at: http://www.chkrootkit.org

• AIDE– Open Source Product– Can support multiple Integrity Checking Algorithms

Hoax (engaño, burla, petardo)

• Tipicamente son alertas de peligro, o peticiones de p p g payuda, empezadas por gente maliciosa - y divulgadas por usuarios inocentes que piensan que estan ayudando a la comunidad al espacir la advertencia.

• El incremento de virus y programas troyanos

Roberto Gómez CárdenasLámina 56

muchos usuarios han usado Internet como un medio para alertar a amigos y colegas de trabajo acerca de estos menesteres.

Page 29: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 29

Algunos ejemplos de hoax

• A Virtual Card For You• A I D S Virus Hoax

• Celulares Hoax• D@fit HoaxA.I.D.S. Virus Hoax

• ANTHRAX Virus Hoax• Anticristo Virus Hoax• AOL4FREE• ASPARTAME HOAX• Big Brother Hoax

D@fit Hoax• Dangerous HIV Hoax• Death Ray• Deeyenda Virus Hoax • NEW YORK BIG DIRT

HOAX

Roberto Gómez CárdenasLámina 57

g• BLOAT VIRUS HOAX• BUDSAVER.EXE• SULFNBK Hoax• Win A Holiday

• Perrin Hoax• PIKACHUS BALL

HOAX• PKZ300 Warning

1er. ejemplo Hoax

Mr. Xxxxx wrote:Unanse a esta buena causa:SE TRATA DE LA PEQUEDA LLAMADA JESSICA MYDEK TIENE SIETE ANOSSE TRATA DE LA PEQUEDA LLAMADA JESSICA MYDEK TIENE SIETE ANOS

DE EDAD Y SUFRE DE UN AGUDO Y MUY RARO CASO DE CARCINOMA CEREBRAL ESTA ENFEREMEDAD TERMINAL PROVOCA LA APARICION DE DIVERSOS TUMORES MALIGNOS EN EL CEREBRO.

LOS DOCTORES LE HAN PRONOSTICADO A JESSICA SEIS MESES DE VIDA, Y COMO PARTE DE SUS ULTIMOS DESEOS ELLA QUIZO INICIAR UNA CADENA DE E-MAILS INFORMANDO DE SU CONDICION Y ENVIAR EL MENSAJE A LA GENTE PARA QUE VIVA AL MAXIMO Y DISFRUTEN DE CADA MOMENTO DE SU VIDA, UNA OPORTUNIDAD QUE ELLA NUNCA TENDRA.

Roberto Gómez CárdenasLámina 58

ADICIONALMENTE, LA SOCIEDAD AMERICANA DE LUCHA CONTRA EL CANCER, JUNTO CON OTRAS EMPRESAS PATROCINADORAS, ACORDARON DONAR TRES CENTAVOS QUE SERAN DESTINADOS A LA INVESTIGACION DEL CANCER POR CADA PERSONA QUE ENVIE ESTE MENSAJE. POR FAVOR, DENLE A JESSICA Y A TODAS LAS VICTIMAS DEL CANCER UNA OPORTUNIDAD.

Page 30: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 30

1er. ejemplo Hoax (cont)

Lo unico que tienen que hacer para incrementar el numero de personas en esta cadena es:q q p p

Primero: dirija este e-mail a [email protected]: en la parte donde dice CC agregue los e-mails de todos los amigos y colegas que

conozca

Saludos cordiales,Alfonso

Roberto Gómez CárdenasLámina 59

¿Y para qué quiero direcciones electrónicas?

Roberto Gómez CárdenasLámina 60

Page 31: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 31

¿Y cuánto cuesta?

Roberto Gómez CárdenasLámina 61

Este reenvio lo recibí de un amigo hoy y es verdad lo busqué con estas instrucciones y lo encontré,lo tenía sin saberlo.No lo detecta el Norton 2001 ni McAfee los tengo instalados y pasó

2do. ejemplo hoax

No lo detecta el Norton 2001 ni McAfee, los tengo instalados y pasó igual. Un virus está llegando a través de los mails de modo oculto.Gracias a un aviso pude detectarlo (lo tenía sin saberlo) y eliminarlo.Buscarlo del siguiente modo:

1.Ir a Inicio 2.Luego: Buscar 3.Archivo o carpeta

Roberto Gómez CárdenasLámina 62

p4.Tipear el archivo: sulfnbk.exe 5.Eliminar (NO ABRIRLO) 6.Eliminar de la papelera de reciclaje

Gracias a estas instruciones lo eliminé..suerte..

Page 32: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 32

Spam

• Intento de entregar un mensaje, a t é d I t ttravés de Internet, a una persona que de otra forma no hubiera elegido recibirlo.

• Cada vez recibimos más correos no deseados:– Ventas.

Roberto Gómez CárdenasLámina 63

– Insultos.– Bombardeos.– Pornografía– Hoax

Ejemplo spam

Roberto Gómez CárdenasLámina 64

Page 33: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 33

Aclaración sobre SPAM

Roberto Gómez CárdenasLámina 65

El spim

• La versión del spam para mensajería instantánea• Se presenta interrumpiendo conversaciones en MSN• Se presenta interrumpiendo conversaciones en MSN

Messenger o AIM, en forma de información no solicitada o mensajes publicitarios

• La mayoría de los mensajes spim, son – publicidad de sitios pornográficos, o

tros hacen publicidad de formulas para hacerse rico

Roberto Gómez CárdenasLámina 66

– tros hacen publicidad de formulas para hacerse rico rápidamente,

– el resto se refieren a productos o créditos financieros

Page 34: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 34

Consecuencias del spim

• Se considera que el spim es más intrusivo que el spam– pues se abren en forma de pop up justo después de que el

usuario se haya autentificado, por lo que, es imposible cerrarlos sin verlos

• Causas crecimiento spim– enorme crecimiento de la utilización de los sistemas de

mensajería instantánea, que han pasado de 10 millones de usuarios en 2.002 a una estimación de 182 millones en

Roberto Gómez CárdenasLámina 67

2.007.– la proliferación de filtros y sistemas antivirus se esta

convirtiendo en un problema para los ""spammers" profesionales, que tienen que buscar otros campos de actividad

¿Qué hacer con los hoaxes/spams?

• No redireccionar mensajes de este tipo.– sistema correo puede colapsar debido al redireccionamiento de– sistema correo puede colapsar debido al redireccionamiento de

este tipo de mensajes• Los corporativos pueden confrontar este tipo de

problemas, con un politicas del estilo:– usuarios finales no deben difundir alertas de viurs– cualquier informe de virus se debe enviar al departamento de

Roberto Gómez CárdenasLámina 68

q psistemas de información

Page 35: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 35

Ingeniería Social.

• Es una de las formas más comunes para penetrarEs una de las formas más comunes para penetrar sistemas de “alta seguridad”.

• Uso de trucos psicologicos, por parte de un atacante externo, sobre usuarios legitimos de un sistema para obtener información (usenames y passwords) necesaria para acceder a un sistema.

Roberto Gómez CárdenasLámina 69

p• Se basa en ataques como: usurpación de identidad,

pepena, inocencia de la gente, relaciones humanas, etc.

Ejemplo ingeniería social

"Hi Bev, this is Sam from the IS Department. We just got in a new corporate screensaver and since you’re the VP’s secretary you will get it first. It’s really cool wait ‘till you see it. All I need is your password so I can log on to your PC from the computer center and install it

Roberto Gómez CárdenasLámina 70

computer center and install it.

Oh Great!!!!!! My password is rover. I can’t wait to see that new screen saver!!!!!"

Page 36: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 36

Otro ejemplo

Roberto Gómez CárdenasLámina 71

Spyware y adware

• Spyware– tecnología de recolección de información acerca de una– tecnología de recolección de información acerca de una

persona u organización sin su conocimiento– a nivel usuario la información se usa para los publicistas

• Adware– aplicación en la que banners de publicidad son

desplegados mientras el programa se ejecuta

Roberto Gómez CárdenasLámina 72

– empieza en programas tipo shareware– autores aplicaciones incluyen código adicional que entrega

la publicidad que puede ser vista a través de ventanas pop-up o través de una barra que se despliega en pantalla

Page 37: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 37

El phishing

• Suplantación de páginas y/o sitios de Internet, que permite al estafador, mediante el engaño, conocer los datos privados y personales que usted utiliza para la realización de operaciones económicas.

• Habitualmente usa correo electrónico para enviar mensajes supuestamente originados en una entidad de confianza

• Pedir datos necesarios para poder realizar operaciones

Roberto Gómez CárdenasLámina 73

• Pedir datos necesarios para poder realizar operaciones en las cuentas de la entidad: – usuario, Clave de acceso, ClavePersonal, Firma, etc.

• Correo electrónico, Ingeniería Social y el Spam son los grandes aliados del “phishing”

El inicioEstimado cliente de Banamex

Durante nuestro programado mantenimiento regular y procesos de verificación, hemos detectado un error en la información que tenemos registrada de su cuenta.E d b l d fEsto se debe a algunos de estos factores:

1. Un cambio reciente en su información personal2. Que se haya proporcionado información invalida durante su proceso inicial de registro con bancanet o que usted aun no haya realizado dicho registro.3. La inhabilidad de verificar con exactitud la opción de su elección concerniente a su forma preferente de pago y manejo de cuenta debido a un error técnico interno dentro de nuestros servidores al momento del registro.

Favor de actualizar y verificar la información de su cuenta haciendo clic en la siguiente liga. Será redirigido a la pagina principal de nuestro sitio en Internet donde podrá actualizar su información personal.http://banamex.com.mx/eng/personal/login.html

Roberto Gómez CárdenasLámina 74

p g p g

Si la información en su cuenta no se actualiza en las siguientes 48 horas algunos servicios en el uso y acceso de su cuenta serán restringidos hasta que esta infamación sea verificada y actualizada.De antemano agradezco su pronta atención este asunto

Departamento de Validación

“D.R. © Copyright 2005, Derechos Reservados. Banco Nacional de México, S.A., integrante de Grupo Financiero Banamex. Isabel la Católica 44. Col. Centro Histórico. Del. Cuauhtémoc. C.P. 06000, México, Distrito Federal, México

Page 38: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 38

Página redireccionada

Roberto Gómez CárdenasLámina 75

Página original

Roberto Gómez CárdenasLámina 76

Page 39: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 39

Actores y elementos

• El usuario– computadora personal

• El atacante– montar un sitio web– enviar los correos electrónicos

• El banco– notificación del aviso.

• Mulas

Roberto Gómez CárdenasLámina 77

u as– son los intermediarios mas o menos inocentes que facilitan el

blanqueo de los fondos estafados. – si conocen cual es su papel están participando en un delito.

Auto Whaler Spears Phishers

Roberto Gómez CárdenasLámina 78

Page 40: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 40

¿Y que se obtiene?

Roberto Gómez CárdenasLámina 79

SCAM

• Uso de correo electrónico para engañar y estafar a las personaspersonas.

• Donación a recibir, lotería o premio al que se accede previo envío de dinero.

• Las cadenas de mail engañosas pueden ser scams si hay pérdida monetaria y hoax cuando sólo hay engaño.

• No solo se refiere a estafas por correo electrónico

Roberto Gómez CárdenasLámina 80

• No solo se refiere a estafas por correo electrónico, también se le llama Scam a sitios web que tienen como intención ofrecer un producto o servicio que en realidad es falso, por tanto una estafa.

Page 41: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 41

Primer ejemplo SCAM

Asunto: ofrecemos trabajo bien pagadoDe: Btrus, [email protected], p @Para: xxxx@xxxxx

Buenos dias!

Nuestra compañía se llama "Btrus" (Business Travel Russia).Nuestra compañía busca a personas en España para conducir operaciones bancarias.Para colaborar Usted tiene que tener una cuenta en un banco español.

Roberto Gómez CárdenasLámina 81

Para colaborar Usted tiene que tener una cuenta en un banco español.El pago se comete sin retraso. Le pagamos a Usted 300-700 euro por cada operación (recepción y remisión del dinero).Si esta Usted interesado en nuestra proposición, puede recibir mas detalles por e-mail:[email protected]

Segundo ejemplo SCAM

Roberto Gómez CárdenasLámina 82

Page 42: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 42

Distribución del malware

• La mayor parte de la distribución se hace vía downloadsdownloads.– Instalación automática de binarios cuando se visita

un sitio web.– Usa modelos pull-based (e.g. ligas)– Maximiza exposición tomando cuantas ligas como

sea posible para distribuir malware.

Roberto Gómez CárdenasLámina 83

– Algunas páginas son marcadas como maliciosas para prevención.

• Otra fuente de propagación son las memorias USBs

Propagación USB

Roberto Gómez CárdenasLámina 84

Page 43: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 43

Propagación vía Web

Roberto Gómez CárdenasLámina 85

Reconocimiento página peligrosa

Roberto Gómez CárdenasLámina 86

Page 44: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 44

APWG (www.antiphishing.org)

Fuente: Websense, Inc.

Roberto Gómez CárdenasLámina 87

Más datos

Roberto Gómez CárdenasLámina 88

Page 45: IntroMalware

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 45

Nombramiento malware

• Desde 1991, los miembros de CARO (Computer Antivirus Researchers Organization) designaron unAntivirus Researchers Organization) designaron un nombramiento (COMPUTER MALWARE NAMING SCHEME) para su uso en antivirus.

Roberto Gómez CárdenasLámina 89

<tipo de malware>://<plataforma>/<nombredefamilia>.<nombredegrupo>.<tamañodeinfector>.<variante><devolución><modificadores>

Introducción al malware

Dr. Roberto Gómez Cárdenas@i

Roberto Gómez CárdenasLámina 90

[email protected]://homepage.cem.itesm.mx/rogomez