Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: Tiburciano polainas en 16 de Mayo de 2004, 04:34:26 pm
-
Lo cuelgo por que eres tú... que si no!!!! :lol: :lol: :lol:
Correo recibido de Pandasoftware que por su interés (creo) copio y pego :wink:
Técnicas de activación del malware -
Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)
Madrid, 13 de mayo de 2004 - Hoy, en Oxygen3 24h-365d vamos a referirnos a
las técnicas más empleadas por el malware(*) para activarse.
En una primera época, los códigos maliciosos se activaban en los sistemas
cuando un usuario ejecutaba un archivo infectado o, en el caso de los virus
del sector de arranque, cuando se leía un disco infectado.
En el caso de los archivos, el ejemplar vírico intentaba introducirse en
todos los ejecutables que encontraba en las unidades, incluidos los del
sistema operativo, de forma que al iniciarse el sistema, o al lanzar
cualquier aplicación, el virus podía activarse en memoria y seguir su
actividad. Un caso típico de virus clásico que se asegura su activación cada
vez que se inicia el sistema es "Lehigh", que únicamente infecta al
COMMAND.COM, el intérprete de comandos que inicia MS/DOS.
El caso de los virus de boot es similar al anteriormente explicado, ya que
al leerse un disquete infectado el virus se activa y procede a infectar el
sector de arranque del disco duro. Cada vez que, a posteriori, se inicia el
sistema operativo desde el disco duro, el virus se activa en memoria
dispuesto a infectar cualquier disquete que se introduzca.
Con la aparición de Windows descendió la aparición de virus que basaban su
propagación en las dos técnicas mencionadas. En la actualidad, los
ejemplares de malware que más proliferan son gusanos de Internet y troyanos
con capacidades de backdoor que aseguran su activación en cada inicio de
sistema, mediante la inserción -en la clave del registro de Windows que
aparece a continuación- de una referencia al ejecutable infectado:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
En la citada clave se encontrarán referencias a aplicaciones legítimas que
se ejecutan cada vez que iniciamos Windows, y también podría hallarse la
llamada a algún troyano o gusano. Un caso reciente lo encontramos en el
gusano "Sasser.B", que se activaba con la siguiente entrada:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avserve2.exe = %windir%\avserve2.exe
Para poder visualizar o eliminar entradas en esta clave podemos recurrir a
la aplicación REGEDIT.EXE, que permite recorrer todo el árbol de claves del
registro de Windows.
(*) Malware: cualquier programa, documento o mensaje susceptible de causar
perjuicios a los usuarios de sistemas informáticos
-
jejejeje ese Tiburrrrrrr :D
Esto me parece muy interesante y mas teniendo en cuenta que está explicado de manera sencilla y que los novatos lo entenderemos bien.
Va a ser muy útil, porque así aprendemos todos a "investigar" un poquito cuando notemos cosas raras en el pc... y ya sabemos un sitio más donde podemos buscar.
Muchas gracias Tibur, un besote amigo... siempre al pie del cañón!!
:wink:
-
Totalmente de acuerdo con Insci, muy interesante la info Tibur, gracias ;)
-
interesante amigo 8)
-
Continuamos :wink:
Evolución de los virus informáticos -
Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)
Madrid, 2 de junio de 2004 - Hoy, en Oxygen3 24h-365d vamos a referirnos a
cómo la evolución de Internet puso, en el punto de mira de los autores de
virus, la información confidencial que los usuarios guardaban en sus
equipos.
En los primeros tiempos de la informática personal, los ordenadores
susceptibles de contener información de "riesgo" -como, por ejemplo, un
número de tarjeta de crédito o cualquier otro dato de esta índole- eran muy
pocos. De hecho, pertenecían, en su gran mayoría, a empresas importantes que
ya habían dado el paso de incorporar la informática a sus rutinas de
trabajo.
Aunque la citada información se encontraba almacenada en una máquina, no
corría demasiado peligro, a no ser que estuviese conectada a una red a
través de la cual podía transmitirse. Por supuesto, hubo excepciones y se
dieron casos de hackers que llegaron a realizar estafas a partir de datos
almacenados en sistemas informáticos. Sin embargo, lo consiguieron mediante
técnicas típicas de ataques hacker, sin emplear ningún tipo de virus.
La aparición de los servicios asociados a Internet -como la banca
electrónica, o las compras online- conllevó un importante cambio en la
mentalidad de los creadores de virus. En concreto, algunos autores empezaron
a desarrollarlos no con el ánimo de infectar muchos equipos, sino para robar
los datos confidenciales asociados a dichos servicios y obtener un beneficio
económico personal. Para alcanzar dicho objetivo necesitaban poder generar
virus que infectasen muchos equipos de forma silenciosa. La respuesta a cómo
podían conseguir alcanzar su meta la obtuvieron en 1986, de la mano del que
se denominó genéricamente "caballo de troya", o más comúnmente "troyano".
Concretamente, llevaba por nombre PC-Write y se presentaba como una supuesta
versión shareware de un procesador de textos. Si era ejecutado, un
procesador de textos funcional se presentaba en pantalla. El problema era
que, al tiempo que el usuario escribía, el troyano se encargaba de borrar y
corromper archivos del disco duro.
A partir de PC-Write, este tipo de código malicioso evolucionó rápidamente
convirtiéndose en los troyanos que hoy conocemos. Por eso, en la actualidad,
muchos de los creadores de troyanos diseñados para robar datos no son
autores de virus propiamente dichos, sino simples ladrones que en lugar de
utilizar sopletes o dinamita utilizan virus para cometer sus robos. Ejemplos
de ello pueden ser Ldpinch.W, o las familias de troyanos Bancos o Tofger.
Más información sobre las amenazas informáticas mencionadas u otras en la
Enciclopedia de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/
-
Perfect Tibur... te seguimos ;)
-
Sigo leyendo Tibur.... :lol:
-
Según lleguen... iré subiendo más :wink:
En el presente Oxygen3 24h-365d, y en
posteriores entregas, nos referiremos a los diferentes lenguajes de
programación que los autores de virus han ido empleando a lo largo de la
historia de la informática.
- Los precursores de los virus: Core Wars.
Unos programas denominados Core Wars -y desarrollados por ingenieros de una
importante empresa de telecomunicaciones- son considerados los precursores
de los virus modernos. La informática estaba en sus inicios y los lenguajes
de programación apenas se habían desarrollado. Por esa razón, sus autores
emplearon un lenguaje prácticamente igual al código máquina para
programarlo.
Uno de los programadores de Core Wars fue Robert Thomas Morris, cuyo hijo
creó -años después- el "gusano de Morris". Este código malicioso se hizo
extraordinariamente famoso debido a que fue capaz de infectar 6.000
ordenadores, cifra nada desdeñable para el año 1988.
- Los nuevos gurús de los 8 bits y el lenguaje ensamblador.
Los nombres Altair, IMSAI y Apple en USA, así como Sinclair, Atari y
Commodore en Europa hacen recordar tiempos pasados en los que una incipiente
generación de apasionados por la informática "peleaban" por hacerse un hueco
en el mundo de la programación. Ser el mejor requería un profundo
conocimiento de código máquina y ensamblador, ya que los intérpretes de
lenguajes de alto nivel(*) consumían demasiado tiempo de ejecución. Por
ejemplo, BASIC era un lenguaje relativamente fácil de aprender. Es más,
desarrollar un programa con este lenguaje resultaba cómodo y rápido.
Sin embargo, BASIC tenía muchas limitaciones, lo que originó que surgieran
dos ramas de programadores. Una de ellas estaba conformada por aquellos que
utilizaban ensamblador, y la otra por quienes se decantaron por lenguajes de
alto nivel. Ciertamente, los aficionados a la informática de esa época
disfrutaban más haciendo software útil que malware. Sin embargo, en 1981
aparece el que puede considerarse el primer virus de 8 bits. Su nombre era
"Elk Cloner", y estaba programado en código máquina. Era capaz de infectar
sistemas Apple II y, además, mostraba un mensaje en el momento en que
infectaba un equipo.
(*)Los lenguajes de programación pueden dividirse en "alto nivel" y bajo
nivel", en función de que su sintaxis sea más comprensible para el
programador o para la máquina. Las expresiones que usan los lenguajes de
"bajo nivel" están más cercanas al código máquina, pero resultan muy
difíciles de entender para cualquier persona que no haya participado en el
proceso de programación. Uno de los lenguajes de este tipo más conocidos -y
más potentes que existen- es el ensamblador.
-
que tiempos :lol:
-
En la presente entrega de Oxygen3 24h-365d,
relativa a la historia de los virus, vamos a continuar refiriéndonos a cómo
incidió en ellos el desarrollo de los lenguajes de programación y la
aparición de elementos de hardware cada vez más potentes.
En 1981, casi al mismo tiempo que Elk Kloner -el primer virus para
procesadores de 8 bits- entra en escena un nuevo sistema operativo que
comienza a hacerse muy popular. Su nombre completo era Microsoft Disk
Operating System, aunque pronto los aficionados a la informática de todo el
mundo lo conocerían por sus siglas: DOS.
El desarrollo de DOS se produce paralelamente al de nuevos y potentes
elementos hardware. Poco a poco, los ordenadores personales van ganando
espacio entre las herramientas de uso cotidiano, permitiendo que muchas más
personas tengan acceso a ellos, y que más usuarios se planteen la
posibilidad de crear un virus.
En este periodo comienzan a aparecer los primeros virus y troyanos para DOS
escritos en lenguaje ensamblador, lo que demuestra cierta pericia por parte
de sus autores. Pocos programadores conocen el lenguaje ensamblador en
comparación con aquellos que dominan los lenguajes de alto nivel, mucho más
fáciles de aprender. De esa manera, comienzan a aparecer códigos maliciosos
escritos en Fortran, Basic, Cobol, C o Pascal. Los dos últimos, por su
amplia difusión y potencia, son los más utilizados, sobre todo en sus
versiones TurboC y Turbo Pascal. Esto, finalmente, tiene como consecuencia
la aparición de "familias de virus", es decir, de virus a los que siguen
infinidad de ejemplares con leves modificaciones respecto al original.
Por su parte, también hay otros usuarios maliciosos que se decantan por
crear virus destructivos que no exigen grandes conocimientos de
programación, por lo que empiezan a aparecer los virus en ficheros de
procesos por lotes, más conocidos como virus de BAT.
Virus para Win16
El desarrollo de los procesadores de 16 bits da paso a una nueva era para la
informática. La primera consecuencia es el nacimiento de Windows que, por
aquella época, es sólo una aplicación para hacer más sencillo el manejo de
DOS a través de una interfaz gráfica.
La estructura de los archivos de Windows 3.xx es difícil de entender y la
codificación en ensamblador complicada, por lo que son pocos los
programadores que se atreven a desarrollar virus para esta plataforma. Pero
este problema queda resuelto en un breve espacio de tiempo gracias al
desarrollo de herramientas de programación para lenguajes de alto nivel,
sobre todo Visual Basic. Tal es la efectividad de esta aplicación que muchos
creadores de virus la adoptan como "herramienta de trabajo habitual". Hacer
un virus ya es una tarea muy sencilla, y comienzan a crearse por cientos. A
esto se une la aparición de los primeros troyanos capaces de robar
passwords. El resultado es que, por ejemplo, se contabilizan más de 500
variantes de la familia de troyanos AOL, diseñados para robar información
personal de los ordenadores afectados.
-
Seguimos atentos....... :lol: :wink:
-
muy util :!:
-
Más pa leer :lol:
Vamos a referirnos a cómo incidieron en los virus la evolución de Windows
y de Visual Basic.
Mientras Windows pasaba de ser sólo una aplicación para hacer más sencillo
el manejo de DOS a convertirse en una plataforma de 32 bits y en un
verdadero sistema operativo, los creadores de virus volvían a adoptar
ensamblador como el principal lenguaje de programación de virus.
Visual Basic (VB), por su parte, evolucionaba a las versiones 5 y 6,
afianzándose junto a Borland Delphi (la evolución de Pascal al entorno de
Windows) como una de las herramientas preferidas de los creadores de
troyanos y gusanos. Visual C, un entorno potente de desarrollo en C para
Windows, es adoptado para crear virus, troyanos o gusanos. Este último tipo
de malware cobra una fuerza inusitada desplazando, casi totalmente, a los
virus. Aunque las características de los gusanos varían a lo largo de su
evolución, todos tienen el mismo objetivo: propagarse al mayor número de
equipos en el menor tiempo posible.
Con el paso del tiempo, Visual Basic cosecha un gran éxito, y Microsoft
implementa parte de la funcionalidad de este lenguaje, como un intérprete
capaz de ejecutar ficheros con script de sintaxis similar.
Coincidiendo con la implantación de la plataforma Win32 aparecen los
primeros virus de script: malware dentro de un simple fichero con texto. Se
basan en que no sólo el código ejecutable (los .EXE y los .COM) puede
contener virus. Como ya se demostrara con los virus de BAT, existen otros
medios de propagación, haciéndose realidad la máxima de que "todo aquello
que pueda ejecutarse directamente o mediante un programa intérprete, puede
ser utilizado como malware". En concreto, surgen los primeros virus dentro
de macros de Microsoft Office. De esta manera, Word, Excel, Access y Power
Point se vuelven vías de propagación de "armas letales", que destruyen la
información de los usuarios cuando estos abren un simple documento.
-
leido y archivado... :wink: Gracias tibur.....
un saludo
-
lo linkare desde la portada de la web como una reseña a los foros :wink:
-
:lol: :wink:
Por si acaso...... Todos estan cogidos de la referencia que puse en el primer post :lol: ...¡¡no sea que....!!!! :lol: :lol: :wink:
-
bien bien, como debe ser hermano 8)
-
- (IX) Evolución de los virus informáticos -
Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)
Madrid, 13 de agosto de 2004 - Hoy, en Oxygen3 24h-365d vamos a referirnos a
cómo los autores de virus comenzaron a aprovechar vulnerabilidades -o fallos
de seguridad- de los programas más utilizados, para conseguir difundir sus
creaciones al mayor número posible de equipos.
El aprovechamiento de vulnerabilidades de software, por parte de los códigos
maliciosos, empezó en 1998 con Back Orifice. Este troyano utilizaba puertos
de comunicaciones desprotegidos para introducirse en los sistemas y dejarlos
a merced de hackers, que podían controlarlos de forma remota. Tras él, en
1999, apareció el gusano BubbleBoy que, aprovechando un agujero de seguridad
de Internet Explorer, se activaba de forma automática simplemente con
visualizar el mensaje de correo en el que llegaba al equipo. Esto mismo
también lo hacía el gusano Kak, cuyo código se ocultaba en la autofirma de
los mensajes generados con Microsoft Outlook Express.
Casi siempre, el aprovechamiento de una vulnerabilidad de software por parte
de un virus se hace a través de un exploit, que ha sido previamente
programado por otros usuarios y, raramente, por el propio autor del código
malicioso. Técnicamente, un exploit es un bloque de código que se ejecuta si
en la máquina objeto del ataque se produce un error esperado y muy concreto,
es decir, en el caso de que la máquina presente la vulnerabilidad que el
exploit trata de utilizar.
La incorporación de exploits a virus o gusanos informáticos puede
considerarse el inicio de una "nueva era" de los códigos maliciosos. Si se
trata de un problema de seguridad que afecta a un sistema operativo, como
puede ser Windows, supone que millones de equipos de todo el mundo son
víctimas potenciales de sus ataques.
Los códigos maliciosos que incorporan exploits suelen tener una velocidad de
propagación extremadamente rápida, ya que nada se interpone en su camino.
Así, por ejemplo, los que aprovechan una vulnerabilidad -para introducirse
en los ordenadores a través de un puerto de comunicación desprotegido- son
detectados y eliminados por el software antivirus cuando ya se encuentran
dentro del equipo. Sin embargo, el antivirus no podrá evitar que vuelvan a
entrar una y otra vez, hasta que se instale la actualización que resuelve la
vulnerabilidad empleada. Klez.I, Blaster, Mydoom y Sasser son algunos
ejemplares que han utilizado, con gran éxito, dicho recurso, que les ha
permitido seguir afectando equipos de todo el mundo, mucho tiempo después de
su aparición.
-
Gracias Tibur... Muy oportuno.. tema mydoom etc..
-
y que lo digas, el jodido mydoom :twisted:
-
Pues ni Mydoom ni ninguno........ :cry: :cry: :cry: ¡¡no me quiere ningún virus!!!
Si exceptuamos a mi amado Netsky en sus multiples variedades :P
-
todo un clasico 8)
-
¡¡no me quiere ningún virus!!!
Deja deja Tibur, que los muy joíos no son de fiar :lol: :lol:
Gracias por la continuación ;)