Virus autoinstalables1 David Navarro Arnao
Virus autoinstalables2 Objetivos Describir las vulnerabilidades y procedimientos que usan los virus autoinstalables. Complementar el tema de seguridad en la asignatura. Proponer unas pautas para evitar la infección.
Virus autoinstalables3 Motivación La curiosidad: ¿Cómo?.
Virus autoinstalables4 Metodología Punto de partida: Bugs del Outlook Express. Seguir hilo informativo de páginas y portales de seguridad. (Links,Nombres) Páginas de compañías antivirus.
Virus autoinstalables5 Descripción del trabajo Criterios de clasificación de los virus Clasificación de los virus Ejemplo: el gusano Nimda Descripción del bug de Cuartango Notas sobre el bug de Guninski
Virus autoinstalables6 Descripción del trabajo Criterios de clasificación de los virus Clasificación de los virus Ejemplo: el gusano Nimda Descripción del bug de Cuartango Notas sobre el bug de Guninski
Virus autoinstalables7 Criterios de clasificación de los virus: - Medio de infección. - Técnicas usadas. - Tipo de ocultación. - Lugar donde residen. - Sistema operativo.
8 Clasificación de los virus: ResidentesTroyanos De Acción DirectaBombas Lógicas De SobreescrituraEncriptados De CompañíaMultipartites BootPolimórficos MacroVirus de fichero Gusanos
Virus autoinstalables9 Descripción del trabajo Criterios de clasificación de los virus Clasificación de los virus Ejemplo: el gusano Nimda Descripción del bug de Cuartango Notas sobre el bug de Guninski
Virus autoinstalables10 Ejemplo: el gusano Nimda Descripción Modos de propagación ¿Por qué es peligroso? Puertos utilizados
Virus autoinstalables11 Ejemplo: el gusano Nimda Descripción –18 de Septiembre de 2001 –W32/Nimda-A –Afecta a Windows 95, 98, ME, NT, 2000 –Copyright: R.P. China Modos de propagación ¿Por qué es peligroso? Puertos utilizados
Virus autoinstalables12 Modos de propagación Ataque al Web Server (IIS) Código Web Recursos compartidos
Virus autoinstalables13 ¿Por qué es peligroso? (I) Degrada el funcionamiento de la red Crea cuenta de invitado con todos los permisos. Garantiza acceso a C:\ como recurso compartido de red Infecta ejecutables y DLL Añade código JavaScript en archivos HTM, HTML y ASP
Virus autoinstalables14 ¿Por qué es peligroso? (I) Degrada el funcionamiento de la red Crea cuenta de invitado con todos los permisos. Garantiza acceso a C:\ como recurso compartido de red Infecta ejecutables y DLL Añade código JavaScript en archivos HTM, HTML y ASP
Virus autoinstalables15 Infecta ejecutables y DLL readme.exe readme.eml admin.dll mmc.exe load.exe riched20.dll
Virus autoinstalables16 ¿Por qué es peligroso? (I) Degrada el funcionamiento de la red Garantiza acceso a C:\ como recurso compartido de red Infecta ejecutables y DLL Añade código JavaScript en archivos HTM, HTML y ASP
Virus autoinstalables17 Añade código JavaScript en archivos HTM, HTML y ASP Este es el JavaScript que ejecuta readme.eml: windows.open(readme.emlnull,resizable=no, top=6000)
Virus autoinstalables18 ¿Por qué es peligroso? (II) Borra las claves del registro de Windows: SYSTEM\CurrentControlSet\Services\lanmanserver\ Shares\Security Modifica System.ini
Virus autoinstalables19 Puertos utilizados TCP ,445: NetBIOS TCP 80: HTTP TPC 25: SMTP UDP 69: TFTP
Virus autoinstalables20 Descripción del trabajo Criterios de clasificación de los virus Clasificación de los virus Ejemplo: el gusano Nimda Descripción del bug de Cuartango Notas sobre el bug de Guninski
Virus autoinstalables21 Descripción del bug de Cuartango (Nimda ) Afecta: Outlook, Outlook Express 5, Windows Media Player 6, IE 5 Permite introducir cualquier programa de forma oculta IE interpreta *.eml para previsualizar
Virus autoinstalables22 Ejemplo de bug Cuartango From: To: Subject: mail Date: Thu, 2 Nov :27: MIME-Version: 1.0 Content-Type: multipart/related; type="multipart/alternative"; boundary="1" X-Priority: 3 X-MSMail-Priority: Normal X-Unsent: 1
Virus autoinstalables23 I will execute a program
Virus autoinstalables Content-Type: audio/x-wav; name="hello.exe" Content-Transfer-Encoding: base64 Content-ID: TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAA AAA... AAAAAAAAAAAAAAAAAAAAAAA= --1
Virus autoinstalables25 Solución aportada Instalar Windows Media Player 7 o Real Audio. Descargarse parche de Microsoft
Virus autoinstalables26 Descripción del trabajo Criterios de clasificación de los virus Clasificación de los virus Ejemplo: el gusano Nimda Descripción del bug de Cuartango Notas sobre el bug de Guninski
Virus autoinstalables27 Vulnerabilidad de IE 5.5 / Outlook / Outlook Express que permite ejecutar cualquier programa mediante un objeto Java: –Com.ms.activeX.ActiveXComponent
Virus autoinstalables28 Conclusiones Actualización del software Antivirus Leer correo off-line Desconfiar de los adjuntos Usar antivirus para los s
Virus autoinstalables29 Bibliografia (II) Kriptópolis: Portal de seguridad y divulgación. The Wild List Organitation International: Organización de alerta sobre virus CyruxNET: Portal sobre fallos informáticos. guninski: Cazador de bugs.
Virus autoinstalables30 Bibliografia (II) securityfocus: Portal sobre seguridad. Microsoft: Pandasoftware: Slipstick Systems: Empresa de software de antivirus.
Virus autoinstalables31 Bibliografia (III) hacksoft: Empresa peruana de antivirus. CERT: Centro de seguridad en internet GFI: Empresa de software de seguridad cknown: Idem.