Cetis 127

Establece la seguridad informática en los equipos de cómputo

Tipos de virus informáticos

En informática, se denomina caballo de Troya, o troyano, a un software malicioso que se presenta al usuario como un programa aparentemente legítimo e inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso remoto al equipo infectado. El término troyano proviene de la historia del caballo de Troya mencionado en la Odisea de Homero.

Los troyanos pueden realizar diferentes tareas, pero, en la mayoría de los casos, crean una puerta trasera (en inglés backdoor) que permite la administración remota a un usuario no autorizado.

Un troyano no es de por sí, un virus informático, aun cuando teóricamente pueda ser distribuido y funcionar como tal. La diferencia fundamental entre un troyano y un virus consiste en su finalidad. Para que un programa sea un "troyano" solo tiene que acceder y controlar la máquina anfitriona sin ser advertido, normalmente bajo una apariencia inocua. Al contrario que un virus, que es un huésped destructivo, el troyano no necesariamente provoca daños, porque no es ese su objetivo. Este tipo de virus crean una página negra con letras blancas que, por lo general, suelen ser trampas. No existen muchas personas capaces de eliminarlos debido a su gran potencia tecnológica, pero los que lo logran suelen ser hacks de gran nivel, capaces de crear un historial en línea bastante amplio. Éstos suelen usar claves específicas que solo ellos conocen

Propósitos de los troyanos Utilizar la máquina como parte de una botnet (por ejemplo para realizar ataques de

denegación de servicio o envío de spam). Instalación de otros programas (incluyendo otros maliciosos). Robo de información personal: información bancaria, contraseñas, códigos de

seguridad... Borrado, modificación o transferencia de archivos (descarga o subida). Ejecutar o terminar procesos. Apagar o reiniciar el equipo. Monitorizar las pulsaciones del teclado. Realizar capturas de pantalla. Ocupar el espacio libre del disco duro con archivos inútiles. Monitorización del sistema y seguimiento de las acciones del usuario. Miscelánea (acciones "graciosas" tales como expulsar la unidad de CD, cambiar la

apariencia del sistema, etc.) Sacar fotos por la webcam si tiene. Borra el disco

Características de los troyanosGeneralmente los Caballos de Troya son utilizados para robar información, en casos extremos, obtener el control remoto de la computadora, de forma que el atacante consiga

acceso de lectura y escritura a los archivos y datos privados almacenados, visualizaciones de las pantallas abiertas, activación y desactivación de procesos, control de los dispositivos y la conexión a determinados sitios de Internet desde la computadora afectada como las pornográficos. Los troyanos están compuestos principalmente por dos programas: un programa de administración, que envía las órdenes que se deben ejecutar en la computadora infectada y el programa residente situado en la computadora infectada, que recibe las órdenes del administrador, las ejecuta y le devuelve un resultado. Generalmente también se cuenta con un editor del programa residente, el cual sirve para modificarlo, protegerlo mediante contraseñas, unirlo a otros programas para disfrazarlo, configurar en que puerto deseamos instalar el servidor, etc. Atendiendo a la forma en la que se realiza la conexión entre el programa de administración y el residente se pueden clasificar en:

Conexión directa: El atacante se conecta directamente al PC infectado mediante su dirección IP. En este caso, el equipo atacante es el cliente y la víctima es el servidor.

Conexión indirecta: El equipo host o víctima se conecta al atacante mediante un proceso automático en el software malicioso instalado en su equipo, por lo que no es necesario para el atacante tener la dirección IP de la víctima. Para que la conexión está asegurada, el atacante puede utilizar una IP fija o un nombre de dominio. La mayoría de los troyanos modernos utiliza este sistema de conexión, donde el atacante es el servidor a la espera de la conexión y el equipo host es el cliente que envía peticiones de conexión constantemente hasta lograrla

Algunas señales de que nuestra computadora está infectada por un troyano

Pantalla o ventanas con mensajes poco usuales. Sin justificación aparecen, desaparecen y se modifican archivos. Comportamientos poco habituales en el funcionamiento de la computadora, como:

modificaciones en el escritorio, refrescadores de pantalla, la unidad de CD-DVD, intercambio de las funciones de los botones del ratón, alteración del volumen del reproductor de sonido.

Se activan o desactivan ventanas en la pantalla. Presencia de ficheros .TXT o sin extensión en el disco duro, preferiblemente en C:\. Lentitud en el Sistema Operativo, bloqueos continuos o se reinicia el sistema sin

que se conozcan las causas, programas que inesperadamente comienzan su ejecución o la concluyen.

El navegador de Internet accede por sí solo a determinados sitios. El navegador de Internet o el cliente de correo no reconoce nombre y contraseña o

indica que ya está siendo utilizado. En la carpeta de enviados del cliente de correo electrónico se muestran mensajes no

conocidos.

Eliminación de troyanosUna de las principales características de los troyanos es que no son visibles para el usuario. Un troyano puede estar ejecutándose en un ordenador durante meses sin que el usuario lo perciba. Esto hace muy difícil su detección y eliminación de forma manual. Algunos patrones para identificarlos son: un programa desconocido se ejecuta al iniciar el ordenador, se crean o borran archivos de forma automática, el ordenador funciona más lento de lo normal, errores en el sistema operativo.

Por otro lado los programas antivirus están diseñados para eliminar todo tipo de software malicioso, además de eliminarlos también previenen de nuevas infecciones actuando antes de que el sistema resulte infectado. Es muy recomendable tener siempre un antivirus instalado en el equipo y a ser posible también un firewall.

Tipos de troyanosBackdoors:

Un troyano de estas características, le permite al atacante conectarse remotamente al equipo infectado. Las conexiones remotas son comúnmente utilizadas en informática y la única diferencia entre estas y un backdoor es que en el segundo caso, la herramienta es instalada sin el consentimiento del usuario. La tecnología aplicada para acceder remotamente al equipo no posee ninguna innovación en particular ni diferente a los usos inofensivos con que son utilizadas estas mismas aplicaciones.

Keyloggers:

Los keyloggers (del inglés Key = Tecla y Log = Registro) son uno de los tipos más utilizados para obtener información sensible de los usuarios. Los troyanos de este tipo, instalan una herramienta para Texto en negritadetectar y registrar las pulsasiones del teclado en un sistema. Pueden capturar información como contraseñas de correos, cuentas bancarias o sitios web, entre otras, y por lo tanto atentar contra información sensible del usuario. La información capturada es enviada al atacante generalmente, en archivos de texto con la información. Estos troyanos, no son una amenaza para el sistema sino para el usuario y su privacidad. Los datos recolectados, pueden ser utilizados para realizar todo tipo de ataques, con fines económicos o simplemente malignos como modificar las contraseñas de las cuentas de acceso a algún servicio.

Downloader:

Este tipo de troyanos tiene como principal función la de descargar otros archivos maliciosos. Esta clase de amenazas no hace algún daño en sí, sino que descarga otros archivos maliciosos para el ordenador. El troyano se encarga, no solo de descargar el/los

archivos, sino también de ejecutarlos o preparar la máquina para su ejecución automática al inicio. Botnets: Los troyanos botnets, son utilizados para crear redes de equipos zombis (botnets). El atacante utiliza el troyano (generalmente combinado con herramientas de backdoors) para controlar una cantidad importante de ordenadores y así poder utilizarlos para cualquier fin maligno. Pueden ser utilizados para enviar spam o para realizar ataques de denegación de servicio (DoS); estos consisten en saturar un sitio web generando más accesos y requerimientos de los que puede soportar y provocando la baja del servicio

Proxy:

Este tipo de troyanos instalan herramientas en el ordenador que le permiten al atacante utilizar la Pc infectada como un servidor proxy. Un proxy es un servidor que da acceso a otros ordenadores a Internet a través de él. En este caso, el atacante utiliza el ordenador infectado para acceder a la web a través de él, enmascarando su identidad.

Password Stealer:

Los password Stealer se encargan de robar información introducida en los formularios en las páginas web. Pueden robar información de todo tipo, como direcciones de correo electrónico, logins, passwords, PINs, números de cuentas bancarias y de tarjetas de crédito. Estos datos pueden ser enviados por correo electrónico o almacenados en un servidor al que el delincuente accede para recoger la información robada. En la mayoría de sus versiones, utilizan técnicas keyloggers para su ejecución y son similares a estos.

Dialer:

Los troyanos “Dialer” crean conexiones telefónicas en el ordenador del usuario, utilizando las funcionalidades del módem. Estas conexiones son creadas y ejecutadas de forma transparente a la víctima. Generalmente, se trata de llamados de alto costo a sitios relacionados con contenido adulto en Internet. Este tipo de troyanos crean un daño económico al usuario, el ordenador no se ve afectado por hacer una llamada telefónica.

Gusano InformáticoLos "Gusanos Informáticos" son programas que realizan copias de sí mismos, alojándolas en diferentes ubicaciones del ordenador. El objetivo de este malware suele ser colapsar los ordenadores y las redes informáticas, impidiendo así el trabajo a los usuarios. A diferencia de los virus, los gusanos no infectan archivos

Qué hacen los Gusano InformáticosEl principal objetivo de los gusanos es propagarse y afectar al mayor número de ordenadores posible. Para ello, crean copias de sí mismos en el ordenador afectado, que distribuyen posteriormente a través de diferentes medios, como el correo electrónico, programas P2P o de mensajería instantánea, entre otros.

Los gusanos suelen utilizar técnicas de ingeniería social para conseguir mayor efectividad. Para ello, los creadores de malware seleccionan un tema o un nombre atractivo con el que camuflar el archivo malicioso. Los temas más recurrentes son los relacionados con el sexo, famosos, temas morbosos, temas de actualidad o software pirata.

Además, el uso de esta técnica aumenta considerablemente en fechas señaladas como San Valentín, Navidades y Halloween, entre otras.

Cómo protegernos Para protegernos de este tipo de malware, existen una serie de consejos que

mantendrán nuestro equipo mucho más seguro frente a los gusanos: Antes de ejecutar cualquier archivo que pueda resultar sospechoso, analícelo con su

solución antivirus. Mantenga correctamente actualizado su programa antivirus, y si no dispone de

programa antivirus, instale cualquiera de las soluciones y estará totalmente protegido frente a estas amenazas.

Haga un análisis gratuito de su equipo y compruebe si está libre de gusanos.

¿Qué diferencia hay entre un troyano y un gusano?Los gusanos, que son muy parecidos a los virus pero la gran diferencia es que se propagan solos, sin la necesidad de ser ejecutados por un ser humano.

Esto hace que los gusanos sean muy peligrosos ya que tienen la capacidad de replicarse en tu sistema, haciendo que tu ordenador pueda mandar millones de copias de sí mismo haciendo que su propagación sea inminente. El daño que puede causar un gusano es que consume mucha memoria del sistema, logrando que los servidores y ordenadores no respondan.

Ahora en cuanto a los troyanos, estos tienen la particularidad de “parecer” ser un programa útil y normal, pero esto es un engaño ya que en realidad una vez que se instale en tu ordenador puede causar mucho daño. De todas formas, el daño causado por los troyanos es relativo, ya que a veces puede ser sólo molesto, por ejemplo cambiando los íconos del escritorio y otras veces más dañino llegando incluso a borrar archivos del ordenador y hasta puede destrozar información del sistema.

Los troyanos, a diferencia de los gusanos y virus no autoreproducen y no se propagan para infectar otros archivos.

¿Qué tipo de virus hay? Virus de Boot Time Bomb o Bomba de Tiempo

Lombrices, worm o gusanos Troyanos o caballos de Troya Hijackers Keylogger Zombie Virus de Macro

¿Cuál es su efecto dañino? Sin daños: En este caso los virus no realizan ninguna acción tras la infección.

Generalmente, suelen ser virus que solamente se dedican a propagarse e infectar otros elementos y/o equipos.

Daño mínimo: Solamente realizan acciones que son molestas al usuario, sin afectar a la integridad de la información, ni de otras áreas del equipo.

Daño moderado/escaso: En este caso pueden presentarse modificaciones de archivos o pérdidas moderadas de información, pero nunca serán totalmente destructivas (desaparecen algunos archivos, o el contenido de parte de ellos). Las posibles acciones realizadas por el virus, serían reparables.

Daño grave: Pérdida de grandes cantidades de información y/o archivos. Aun así, parte de los datos podrían ser recuperables, aunque el proceso sería algo complicado y tedioso.

Daño muy grave/irreparable: En este caso se podría perder toda la información contenida en las unidades de disco infectadas (incluidas las unidades de red). Se podría además perder la estructura de cada una de las unidades de disco (por lo menos de la principal), mediante el formateo de éstas. Estos daños son muy difícilmente reparables y algunos de ellos irreparables. Además, se atacarán también a otros sistemas de memoria como la RAM, la CMOS y la BIOS, así como los sistemas de arranque y todos los archivos propios del sistema.

Según el efecto que producen encontramos: Lentitud: el ordenador trabaja mucho más despacio de lo normal (abriendo

aplicaciones, programas, etc.). Desaparición de archivos y carpetas: pueden desaparecer archivos e incluso

carpetas completas porque el virus las ha borrado. Imposibilidad de acceder al contenido de archivos: Cuando se intenta abrir un

archivo se muestra un mensaje de error o simplemente no se abre. Puede ser que el virus haya modificado la Tabla de Asignación de Archivos, perdiéndose así las direcciones en las que éstos comienzan

Mensajes de error inesperados y no habituales: Aparecen cuadros de diálogo con mensajes absurdos, jocosos, hirientes, agresivos,… etc, que generalmente no aparecen en situaciones normales.

Disminución de espacio en la memoria y el disco duro: El tamaño libre en el disco duro disminuye considerablemente. Esto podría indicar que el virus ha

infectado una gran cantidad de archivos y que se está extendiendo dentro del computador. Cuando ejecutamos algún programa, además aparecen mensajes indicando que no tenemos memoria suficiente para hacerlo.

Sectores defectuosos: Se indica que alguna sección del disco en el que estamos trabajando, tiene errores y que es imposible guardar un archivo, o realizar cualquier tipo de operación en ella.

Alteración en las propiedades de los archivos: El virus modifica alguna o todas las características del archivo al que infecta. De esta manera, podremos apreciar, que la fecha/hora asociada a él es incorrecta, se han modificado sus atributos, el tamaño ha cambiado, etc.

Errores del sistema operativo: Al realizar ciertas operaciones -normales y soportables por el sistema operativo en otro tipo de circunstancias- aparecen mensajes de error, se realizan otras acciones no deseadas, o simplemente no ocurre nada.

Archivos duplicados: Si existe un archivo con extensión EXE, aparecerá otro con el mismo nombre que éste, pero con extensión COM (también programa). El archivo con extensión COM será el virus. El virus lo hace así porque, si existen dos archivos con el mismo nombre, el sistema operativo ejecutaría siempre en primer lugar el que tenga extensión COM.

¿Cómo se contrarrestan o combaten?Para evitar que tu equipo sea infectado por los virus, debes instalar un buen software antivirus y actualizarlo de forma regular. De hecho, cada disquete y CD-ROM que insertes en tu equipo, cada mail que recibas y cada archivo que te descargues deben ser verificados, aunque provenga de una persona de confianza. Él o ella pueden estar enviando virus sin saberlo.

Los buenos softwares antivirus previenen casi todo riesgo de infección. Pero si algún virus lograra infectar al equipo, el software podrá reparar los daños y evitar lo peor. Los antivirus tienen varias funciones:

• El escáner "en acceso" permite el análisis en tiempo real de un fichero o un e-mail; está activo de forma permanente y escanea todo lo que intentes abrir justo antes de que hayas accedido. Cuando el escaneo en acceso está activo, el ordenador te lo señala con un pequeño icono en la parte de abajo a la derecha de la pantalla. Si haces clic sobre el icono, accedes a una pantalla en la que puedes establecer las propiedades del antivirus. Dependiendo de cómo tengas configurado el antivirus (frecuencia de actualización, frecuencia de escaneo…), puede influir en la velocidad de tu PC, sobre todo si es un poco antiguo.

• El escáner por petición no funciona si no se lo indicas. Puedes analizar un archivo, un dossier o un disco sospechoso. O hacer un análisis de todo tu disco duro para localizar virus eventuales. La mayor parte de los antivirus permiten programar esta petición, por ejemplo, cada sábado por la noche (elige una hora en la que no sueñas estar frente al ordenador). Pero es necesario que el equipo esté encendido. En función del número de ficheros presentes en tu disco duro, la operación puede durar unos minutos o unas horas.

Referenciashttps://es.wikipedia.org/wiki/Troyano_(inform%C3%A1tica)

http://www.pandasecurity.com/mexico/homeusers/security-info/classic-malware/worm/

http://www.diferencia-entre.com/diferencia-entre-virus-gusano-y-troyano/