Descargar la presentación
La descarga está en progreso. Por favor, espere
1
Virus autoinstalables1 David Navarro Arnao
2
Virus autoinstalables2 Objetivos Describir las vulnerabilidades y procedimientos que usan los virus autoinstalables. Complementar el tema de seguridad en la asignatura. Proponer unas pautas para evitar la infección.
3
Virus autoinstalables3 Motivación La curiosidad: ¿Cómo?.
4
Virus autoinstalables4 Metodología Punto de partida: Bugs del Outlook Express. Seguir hilo informativo de páginas y portales de seguridad. (Links,Nombres) Páginas de compañías antivirus.
5
Virus autoinstalables5 Descripción del trabajo Criterios de clasificación de los virus Clasificación de los virus Ejemplo: el gusano Nimda Descripción del bug de Cuartango Notas sobre el bug de Guninski
6
Virus autoinstalables6 Descripción del trabajo Criterios de clasificación de los virus Clasificación de los virus Ejemplo: el gusano Nimda Descripción del bug de Cuartango Notas sobre el bug de Guninski
7
Virus autoinstalables7 Criterios de clasificación de los virus: - Medio de infección. - Técnicas usadas. - Tipo de ocultación. - Lugar donde residen. - Sistema operativo.
8
8 Clasificación de los virus: ResidentesTroyanos De Acción DirectaBombas Lógicas De SobreescrituraEncriptados De CompañíaMultipartites BootPolimórficos MacroVirus de fichero Gusanos
9
Virus autoinstalables9 Descripción del trabajo Criterios de clasificación de los virus Clasificación de los virus Ejemplo: el gusano Nimda Descripción del bug de Cuartango Notas sobre el bug de Guninski
10
Virus autoinstalables10 Ejemplo: el gusano Nimda Descripción Modos de propagación ¿Por qué es peligroso? Puertos utilizados
11
Virus autoinstalables11 Ejemplo: el gusano Nimda Descripción –18 de Septiembre de 2001 –W32/Nimda-A –Afecta a Windows 95, 98, ME, NT, 2000 –Copyright: R.P. China Modos de propagación ¿Por qué es peligroso? Puertos utilizados
12
Virus autoinstalables12 Modos de propagación Email Ataque al Web Server (IIS) Código Web Recursos compartidos
13
Virus autoinstalables13 ¿Por qué es peligroso? (I) Degrada el funcionamiento de la red Crea cuenta de invitado con todos los permisos. Garantiza acceso a C:\ como recurso compartido de red Infecta ejecutables y DLL Añade código JavaScript en archivos HTM, HTML y ASP
14
Virus autoinstalables14 ¿Por qué es peligroso? (I) Degrada el funcionamiento de la red Crea cuenta de invitado con todos los permisos. Garantiza acceso a C:\ como recurso compartido de red Infecta ejecutables y DLL Añade código JavaScript en archivos HTM, HTML y ASP
15
Virus autoinstalables15 Infecta ejecutables y DLL readme.exe readme.eml admin.dll mmc.exe load.exe riched20.dll
16
Virus autoinstalables16 ¿Por qué es peligroso? (I) Degrada el funcionamiento de la red Garantiza acceso a C:\ como recurso compartido de red Infecta ejecutables y DLL Añade código JavaScript en archivos HTM, HTML y ASP
17
Virus autoinstalables17 Añade código JavaScript en archivos HTM, HTML y ASP Este es el JavaScript que ejecuta readme.eml: windows.open(readme.emlnull,resizable=no, top=6000)
18
Virus autoinstalables18 ¿Por qué es peligroso? (II) Borra las claves del registro de Windows: SYSTEM\CurrentControlSet\Services\lanmanserver\ Shares\Security Modifica System.ini
19
Virus autoinstalables19 Puertos utilizados TCP 137-139,445: NetBIOS TCP 80: HTTP TPC 25: SMTP UDP 69: TFTP
20
Virus autoinstalables20 Descripción del trabajo Criterios de clasificación de los virus Clasificación de los virus Ejemplo: el gusano Nimda Descripción del bug de Cuartango Notas sobre el bug de Guninski
21
Virus autoinstalables21 Descripción del bug de Cuartango 30-3-2001 (Nimda 18-9-2001) Afecta: Outlook, Outlook Express 5, Windows Media Player 6, IE 5 Permite introducir cualquier programa de forma oculta IE interpreta *.eml para previsualizar
22
Virus autoinstalables22 Ejemplo de bug Cuartango From: *bill@gates.com* To: *mi@victima.com* Subject: mail Date: Thu, 2 Nov 2000 13:27:33 +0100 MIME-Version: 1.0 Content-Type: multipart/related; type="multipart/alternative"; boundary="1" X-Priority: 3 X-MSMail-Priority: Normal X-Unsent: 1
23
Virus autoinstalables23 I will execute a program
24
Virus autoinstalables24 --1 Content-Type: audio/x-wav; name="hello.exe" Content-Transfer-Encoding: base64 Content-ID: TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAA AAA... AAAAAAAAAAAAAAAAAAAAAAA= --1
25
Virus autoinstalables25 Solución aportada Instalar Windows Media Player 7 o Real Audio. Descargarse parche de Microsoft
26
Virus autoinstalables26 Descripción del trabajo Criterios de clasificación de los virus Clasificación de los virus Ejemplo: el gusano Nimda Descripción del bug de Cuartango Notas sobre el bug de Guninski
27
Virus autoinstalables27 Vulnerabilidad de IE 5.5 / Outlook / Outlook Express que permite ejecutar cualquier programa mediante un objeto Java: –Com.ms.activeX.ActiveXComponent
28
Virus autoinstalables28 Conclusiones Actualización del software Antivirus Leer correo off-line Desconfiar de los adjuntos Usar antivirus para los emails
29
Virus autoinstalables29 Bibliografia (II) Kriptópolis: www.kriptopolis.com Portal de seguridad y divulgación. The Wild List Organitation International: www.wildlist.org Organización de alerta sobre virus CyruxNET: www.cjb.net Portal sobre fallos informáticos. guninski: http://www.guninski.com/javaea.html Cazador de bugs.
30
Virus autoinstalables30 Bibliografia (II) securityfocus: http://www.securityfocus.com Portal sobre seguridad. Microsoft: www.microsoft.com Pandasoftware: www.pandasoftware.es Slipstick Systems: www.slipstick.com Empresa de software de antivirus.
31
Virus autoinstalables31 Bibliografia (III) hacksoft: www.hacksoft.com.pe Empresa peruana de antivirus. CERT: www.cert.org Centro de seguridad en internet GFI: www.gfisoftware.com Empresa de software de seguridad cknown: www.cknow.com Idem.
Presentaciones similares
