Base de conocimiento ESET

Definición de virus, códigos maliciosos y ataques remotos

La mayoría de las amenazas contra las cuales lo protegen las soluciones de seguridad ESET pueden ser clasificadas como virus, códigos maliciosos o ataques remotos. Además de los programas instalados en su equipo, este puede ser atacado por programas maliciosos (malware) o , a través de una red, por parte de alguien que opera un equipo desde una ubicación remota. Los programas maliciosos y los ataques remotos pueden causar pérdida de tiempo y dinero. Debajo encontrará descripciones de algunos de los tipos de amenazas informáticas más comunes.

Virus
Un virus es un programa informático creado para producir algún daño en el equipo y que posee, además, dos características particulares: pretende actuar de forma transparente al usuario y tiene la capacidad de reproducirse a sí mismo. Los virus pueden ingresar en su equipo desde otras computadoras infectadas, a través de medios extraíbles (CD, DVD, etc.) o por medio de una red (local o internet). Existen numerosos tipos de virus:

  1. Virus archivos: Atacan programas ejecutables, como aquellos que cuentan con extensión ".exe" y ".com"
     
  2. Virus script: Se trata de un subtipo de virus archivos, escritos en una variedad de lenguajes de scripting (VBS, JavaScript, BAT, PHP, etc.). Además infectan otros scripts (por ejemplo archivos de servicios y comando de Windows y Linux) o forman parte de virus con múltiples componentes. Los virus script tienen la capacidad de infectar archivos con otros formatos como HTML, tal formato permiten la ejecución de scripts.
     
  3. Virus Boot: Atacan los sectores de arranque (el sector de arranque de los medios extraíbles o del disco maestro) y establecen sus propias rutinas de carga en el arranque.
     
  4. Virus macro: Atacan documentos en los cuales pueden ser insertados otros comandos (macros). Estos virus habitualmente se hallan incrustados dentro de aplicaciones para procesamiento de texto o generación de hojas de cálculo, debido a que las macros se insertan fácilmente en esta clase de archivos.

Los virus también pueden ser clasificados de acuerdo al modo en que efectúan los ataques. Mientras que los virus de acción directa realizan una acción inmediatamente después de que el objeto infectado es activado, los virus residentes permanecen en el equipo y trabajan en la memoria del mismo.

Gusano
Un gusano es un programa independiente que se replica a través de una red. A diferencia de los virus (los cuales necesitan del archivo infectado para ser copiados y replicarse), el gusano se propaga activamente enviando copias de sí mismo a través de la red local o Internet, la comunicación por correo electrónico o aprovechando errores de seguridad del sistema operativo.

Además pueden propagarse junto a otros códigos maliciosos (instalando programas troyanizados-ver más abajo), aunque este comportamiento no se limita estrictamente a los gusanos. Pueden causar un gran daño -a menudo se emplean para interferir los canales de comunicación por medio de un ataque DoS). Tiene la capacidad de expandirse mundialmente, vía Internet, en minutos.

Troyano
Un troyano es un código malicioso que, a diferencia de los virus y gusanos, no puede reproducirse por sí mismo e infectar archivos. Usualmente se encuentra en forma de archivo ejecutable (.exe, .com) y no contiene ningún elemento más, a excepción del propio código del troyano. Por esta razón la única solución consiste en eliminarlo.

Posee varias funciones -desde actuar como keyloggers (se conectan y transmiten las acciones realizadas en el teclado) y eliminar archivos hasta formatear discos. Algunos contienen una funcionalidad especial que instala programas troyanizados, una aplicación cliente-servidor que garantiza al desarrollador acceso remoto a su equipo. A diferencia de muchos programas (legítimos) con funciones similares, se instalan sin consentimiento del usuario.

Adware
El adware es una abreviatura (en inglés) de programas relacionados a la propagación de mensajes publicitarios. Trabajan mostrando ventanas emergentes durante la navegación en Internet, definiendo varios sitios web como página de inicio o abriendo una ventana especial de interfaz del programa.

El adware frecuentemente es instalado en conjunto con programas de descarga gratuita y el cliente es informado de ello -en la mayoría de los casos- en el acuerdo de licencia del usuario final. Los mensajes publicitarios permiten a los desarrolladores de programas gratuitos obtener ingresos ofreciendo funcionalidades del programa que se encuentran disponibles solo en la versión comercial. En la mayoría de los casos la instalación de adware se encuentra dentro de los lineamientos legales -existen muchos programas de publicidad legítima.
Sin embargo, cuestiones como la asertividad de los anuncios, así como su contenido, resultan en que la legalidad de algunos adware sea cuestionable.

Rogue
Rogue es un programa que, simulando ser una aplicación anti-malware (o de seguridad), ocasiona los efectos contrarios a esta: instala códigos maliciosos. Por lo general, se trata de ataques que muestran en la pantalla del usuario advertencias llamativas respecto a la existencia de infecciones en su equipo. La persona es invitada a descargar una solución o, en algunos casos, a pagar por ella. Los objetivos varían desde instalar códigos maliciosos en el equipo para obtener información confidencial o dinero a través del ataque.

Vocabulario informal, palabras escritas en mayúscula, descripción detallada de las consecuencias e invitaciones a adquirir un producto, son algunas de las principales características de esta amenaza.

Muchas variantes de rogue, además, simulan hacer un análisis del sistema, con barra de progreso incluida y minuciosos detalles respecto a la extensa cantidad de amenazas que se encuentran en el equipo. Los resultados nunca son alentadores y obviamente siempre se encuentra un número de amenazas importante para la computadora y, además, se detallan las peligrosas consecuencias en caso de no solucionar el problema con rapidez.

Es importante tener en cuenta que los mensajes de amenazas deben provenir únicamente de la solución anti-malware instalada en el equipo. Por lo general, las empresas de seguridad no utilizan carteles extremadamente llamativos y poco formales para indicar la presencia de amenazas.

Spyware
El spyware es un programa que se vale de Internet para recolectar piezas de información sensible del usuario sin su conocimiento. Algunos de estos programas buscan información tal como la referente a aplicaciones instaladas y al historial de sitios web visitados. Otros programas del tipo spyware son creados con un objetivo mucho más peligroso: la recolección de información financiera o personal para el robo de identidad.

Riskware
Esta clase de código malicioso incluye todas las aplicaciones que incrementan los riesgos de seguridad. Del mismo modo que la instalación de spyware y adware, la instalación del riskware puede ser confirmada por un acuerdo de licencia. Los "dialers"-programas que desvían la conexión a un número pago preestablecido- son un ejemplo común de riskware. Estos programas pueden ser empleados para realizar el pago de servicios a través de Internet pero frecuentemente son mal utilizados y el desvío de información se produce sin el conocimiento del usuario.

Aplicaciones peligrosas
Se define como aplicación peligrosa a aquel programa legítimo que, habiendo sido instalado por el usuario, podría exponerlo a este a riesgos de seguridad. Ejemplos de estas aplicaciones incluyen keyloggers comerciales o programas para captura de pantalla, herramientas de acceso remoto, programas de pruebas de seguridad y robo de contraseñas.

Hoax
Se denomina hoax a la desinformación deliberada enviada por correo electrónico, y que es difundida con la ayuda de público desprevenido o desinformado. Son diseñados para incitar al usuario a que realice una acción que no debería ejecutar. Los hoaxes maliciosos a menudo aconsejan a los usuarios eliminar archivos válidos del sistema operativo, argumentando que tal archivo es un virus.

En muchos casos remiten a una institución/compañía confiable con el objetivo de llamar la atención del lector. Por ejemplo, " Microsoft advierte que..." o "La OMS anunció..." Estos mensajes habitualmente advierten acerca de consecuencias desastrosas e incluso catastróficas y cuentan con un elemento común - instan al usuario a enviar los mensajes a todos sus contactos, lo cual perpetúa el ciclo vital del hoax. 99.99 % de esta clase de mensajes son engaños.

Los hoaxes no tienen la capacidad de distribuirse por sí mismos. La única manera de protegerse es verificar la autenticidad de cualquier mensaje de correo electrónico antes de realizar cualquier acción que le sea recomendada en el mismo.

Scams
En términos generales se define al scam como engaño perpetrado hacia los usuarios de computadoras con el propósito de obtener ganancias financieras o para efectuar un robo de identidad. Uno de los scams más comunes incluye mensaje vía fax no solicitado, un mensaje de correo electrónico o carta proveniente de Nigeria u otra nación de África occidental. Este mensaje aparentará ser una propuesta de negocios legítima pero requerirá un pago por adelantado. La propuesta obviamente es fraudulenta y cualquier pago realizado por el usuario es inmediatamente robado.

Otra forma habitual de scamming incluye la técnica de phishing a través de mensajes de correo electrónico y de sitios web. El propósito del scam es acceder a información sensible, como número de cuenta bancaria, código PIN, etc.
El acceso usualmente es obtenido a través del envío de correos electrónicos en el cual el delincuente se hace pasar por una persona de confianza o de negocios (institución financiera, compañía de seguros)

El correo electrónico (o sitio web al cual el usuario es direccionado) puede verse como genuino y contener gráficos y elementos que podrían provenir de la fuente a la cual remite. Al usuario se le requerirá el ingreso de datos personales, número de cuenta bancaria o nombres de usuario y contraseñas. Toda esta información, si es enviada, puede ser fácilmente robada y ser objeto de abuso.

Es importante notar que los bancos, las compañías de seguros, entre otras, nunca interrogan al usuario en busca de nombres de usuarios y contraseñas en un correo no solicitado. Para obtener mayor información acerca de hoaxes, scamming y phishing haga clic aquí.

Ataques remotos
Técnicas especiales que permiten a los atacantes comprometer sistemas remotos. Se dividen en varias categorías:

Ataques DoS

DoS, o Denegación de Servicios, es un intento de deshabilitar un equipo o red para el uso de sus usuarios habituales. Los ataques DoS obstruyen las comunicaciones entre los usuarios afectados, impidiendo que continúen siendo funcionales. Un método frecuente de ataque implica la saturación del equipo vulnerado con solicitudes de comunicaciones externas, de modo que este no pueda responder al tráfico legítimo o lo haga con tal lentitud que se la considere no diponible. Estos ataques usualmente conducen a una sobrecarga del servidor. Los equipos expuestos a ataques suelen requerir el reinicio para así poder funcionar apropiadamente.

Los objetivos de los ataques DoS son los servidores web y el propósito es que permanezcan inhabilitados para los usuarios durante un período determinado.

Envenenamiento de DNS 

Valiéndose del envenenamiento de DNS (Domain Name Server) los hackers pueden engañar al servidor DNS de cualquier equipo logrando fingir que la información falsa es legítima y auténtica. Esta última es almacenada por un período determinado, permitiendo a los atacantes reescribir las respuestas de DNS de las direcciones IP. Como resultado, los usuarios que intentan acceder a los sitios web cuyos DNS fueron envenenados descargarán en sus equipos virus o gusanos en lugar del contenido originalmente publicado.

Análisis de puertos

El análisis de puertos  se emplea para determinar cuáles de los puertos del equipo se encuentran abiertos en un host de red. Se trata de un programa diseñado para encontrar tales puertos.

El puerto de un equipo es un punto virtual que maneja la información entrante y saliente – esto es crucial desde un punto de vista ligado a la seguridad. En una red extensa, la información reunida por los analizadores de puertos podrá ayudar a identificar vulnerabilidades importantes. Tal utilización es legítima.

Asimismo, el análisis de puertos es utilizado frecuentemente por los hackers que intentan comprometer la seguridad. El primer paso consiste en enviar paquetes a todos los puertos. Dependiendo del tipo de respuesta, es posible determinar cuáles son los puertos que se hallan en uso. El análisis por sí mismo no casusa daño alguno, pero tenga en cuenta que esta actividad puede revelar vulnerabilidades potenciales y permitir a los atacantes la toma del control de equipos remotos.

A los administradores de redes se les aconseja bloquear todos los puertos no utilizados y proteger del acceso no autorizado a aquellos que si se utilizan.

Desincronización de TCP

La desincronización de TCP es una técnica empleada en ataques de de "secuestro" de TCP. Se desencadena mediante un proceso en el cual el número secuencial en los paquetes entrantes difiere del número secuencial esperado. Los paquetes que tienen un número secuencial diferente son rechazados (o guardados en un búfer de almacenamiento si se encuentran presentes en la ventana de comunicación actual).

En la desincronización, ambos puntos de comunicación desestiman los paquetes recibidos, lo cual habilita a los atacantes remotos a infiltrar y proveer paquetes con un número secuencial correcto. De ese modo pueden manipular o modificar la comunicación.

Los ataques de "secuestro" de TCP propician la interrupción de las comunicaciones entre servidor-cliente y/o peer-to-peer. Muchos ataques pueden ser evitados mediante el uso de autenticación para cada segmento TCP. También se aconseja utilizar las configuraciones recomendadas para sus dispositivos de red. 

Relay SMB

SMBRelay y SMBRelay2 son programas especiales que poseen la capacidad de llevar a cabo ataques contra equipos remotos. Los programas aprovechan el archivo de protocolo de uso compartido que se encuentra en NetBIOS. Un usuario que comparte cualquier carpeta o directorio localizado dentro de la red LAN probablemente utilice este archivo de protocolo compartido. Dentro de la comunicación de la red local, las contraseñas son intercambiadas.

SMBRelay recibe una conexión sobre el puerto UDP 139 y 445,  transmite los paquetes intercambiados entre un cliente y el servidor y los modifica. Luego de conectarse y autenticarse, el cliente es desconectado. SMBRelay crea una nueva dirección IP virtual. Esta puede ser accedida mediante el comando “net use \\192.168.1.1“.  La dirección puede emplearse por cualquiera de las funciones de red de Windows. SMBRelay transmite la comunicación del protocolo SMB exceptuando la inherente a negociación y autenticación. Los atacantes remotos pueden usar la dirección IP mientras el equipo cliente se encuentre conectado.

SMBRelay2 trabaja con el mismo principio que SMBRelay, exceptuando que utiliza los nombres NetBIOS en lugar de direcciones IP. Ambos pueden llevar a cabo ataques “man-in-the- middle”. Estos ataques permiten a los atacantes remotos leer, insertar y modificar mensajes intercambiados entre dos puntos de comunicación sin ser notificados. Los equipos expuestos a esta clase de ataques suelen dejar de responder o reiniciarse inesperadamente. Para evitar los ataques recomendamos que utilice contraseñas o claves de autenticación.

Ataques ICMP

ICMP (siglas en Inglés de Protocolo de Mensaje de Control de Internet) es un protocolo de Internet popular y ampliamente utilizado, principalmente por equipos puestos en red, para enviar varios mensajes de error.

Los atacantes remotos intentan explotar la debilidad del protocolo ICMP, el cual fue diseñado para comunicaciones de una sola dirección que no requieren autenticación. Esta condición habilita a los atacantes a desencadenar ataques DoS (Denegación de Servicios), o ataques que brindan a individuos no autorizados acceso a los paquetes entrantes y salientes.

Ejemplos recurrentes de un ataque ICMP son los ataques por flujo de ping, por flujo ICMP_ECHO y de "pitufos". Los equipos expuestos a un ataque ICMP experimentarán muy bajo rendimiento en aplicaciones que utilizan Internet, además de problemas de conexión.

Para aprender más acerca de amenazas y códigos maliciosos visite nuestro Centro de amenazas.