1 / 11

Gusano Informático

Gusano Informático. Que es el gusano Informatico.

kieu
Download Presentation

Gusano Informático

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Gusano Informático

  2. Que es el gusano Informatico • Un gusano (también llamados IWorm por su apocope en inglés, I de Internet, Worm de gusano) es un malware que tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario. • A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que reside en la memoria y se duplica a sí mismo. Los gusanos casi siempre causan problemas en la red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan. • Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada replicación, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse. • Los gusanos se basan en una red de computadoras para enviar copias de sí mismos a otros nodos (es decir, a otras terminales en la red) y son capaces de llevar esto a cabo sin intervención del usuario propagándose, utilizando Internet, basándose en diversos métodos, como SMTP, IRC, P2P entre otros.

  3. Primer Gusano Informatico • El primer gusano informático de la historia data de 1988, cuando el gusano Morris infectó una gran parte de los servidores existentes hasta esa fecha. Su creador, Robert Tappan Morris, fue sentenciado a tres años de libertad condicional, 400 horas de servicios a la comunidad y una multa de 10.050 dólares. Fue este hecho el que alertó a las principales empresas involucradas en la seguridad de tecnologías de la información a desarrollar los primeros cortafuegos.

  4. Así es como se esparció el gusano de Morris a través de la red: • El gusano obtuvo acceso a un equipo UNIX • Creó una lista de equipos conectados a éste • Forzó la obtención de todas las contraseña de una lista de palabras • Se hizo pasar por un usuario de cada uno de los otros equipos • Creó un pequeño programa en el equipo para poder reproducirse • Se ocultó en el equipo infectado • y así sucesivamente.

  5. Extensiones donde se oculta el gusano • Exe • com • bat • Pif • vbs • scr • doc • xls • msi • eml

  6. Tipos de Gusano • Happy99 • Melissa Virus • BubbleboyWorm • Blaster Worm

  7. Rootkits • Un rootkit es una herramienta o un grupo de ellas, que tiene como finalidad esconderse a sí misma y esconder otros programas, procesos, archivos,directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible. Existen rootkits para una amplia variedad de sistemas operativos, como GNU/Linux, Solariso Microsoft Windows. • El origen puede ser muy variado. La mayoría aparecen desde los emuladores y descargadores de archivos mediante varios virus lo cual se le podria decir que aparte de encubrir es un duplicador de ellos.

  8. Uso de los Rootkits • Un rootkit se usa habitualmente para esconder algunas aplicaciones que podrían actuar en el sistema atacado. Suelen incluir backdoors(puertas traseras) para ayudar al intruso a acceder fácilmente al sistema una vez que se ha conseguido entrar por primera vez. Por ejemplo, el rootkit puede esconder una aplicación que lance una consola cada vez que el atacante se conecte al sistema a través de un determinadopuerto. Los rootkits del kernel o núcleo pueden contener funcionalidades similares. Un backdoor puede permitir también que los procesos lanzados por un usuario sin privilegios de administrador ejecuten algunas funcionalidades reservadas únicamente al superusuario. Todo tipo de herramientas útiles para obtener información de forma ilícita pueden ser ocultadas mediante rootkits. • Los rootkits se utilizan también para usar el sistema atacado como «base de operaciones», es decir, usarlo a su vez para lanzar ataques contra otros equipos. De este modo puede parecer que es el sistema infiltrado el que lanza los ataques y no el intruso externo. Este tipo de ataques podrían ser de denegación de servicio (DoS), ataques mediante IRC o mediante correo electrónico (spam).

  9. Tipos Basicos • Los rootkits se pueden clasificar en dos grupos: los que van integrados en el núcleo y los que funcionan a nivel de aplicación. • Algunos troyanos han utilizado estos rootkits no-persistentes ( FU Rootkits ) que cargan en la memoria una vez que ellos se encuentran instalados. • SuckIT • Adore • T0rn • Ambient's Rootkit (ARK) • Hacker Defender • First 4 Internet XCP (Extended Copy Protection) DRM • (en francés) RkU Test Rootkit & Unreal rootkits para someter a un test sus softwares de protección. • Rootkit de núcleo : UACd (Agrega un driver de muy bajo nivel llamado UACd.sys) • Rootkits de Macintosh

  10. Detección de Un Rootkits • El mejor método para detectar un rootkit es apagar el sistema que se considere infectado y revisar o salvar los datos arrancando desde un medio alternativo, como un CD-ROM de rescate o un PenDrive. Un rootkit inactivo no puede ocultar su presencia. Los programas antivirus mejor preparados suelen identificar a los rootkits que funcionan mediante llamadas al sistema y peticiones de bajo nivel, las cuales deben quedar intactas. Si hay alguna diferencia entre ellas, se puede afirmar la presencia de un rootkit. Los rootkits intentan protegerse a sí mismos monitorizando los procesos activos y suspendiendo su actividad hasta que el escaneo ha finalizado, de modo que el rootkit no pueda ser identificado por un detector.

  11. Detección de Rootkits • Los fabricantes de aplicaciones de seguridad han ido integrando los detectores de rootkits en los productos tradicionales de detección de antivirus. Si un rootkit consigue esconderse durante el proceso de detección, será identificado por el detector de rootkits, que busca movimientos sospechosos. Si el rootkit «decide» detenerse momentáneamente, será identificado como un virus. Esta técnica combinada de detección puede obligar a los atacantes a implementar mecanismos de contraataque (también llamados retro-rutinas) en el código del rootkit, con el objetivo de eliminar los procesos creados por el software de seguridad, eliminando así al programa antivirus de la memoria. Al igual que con los virus convencionales, la detección y eliminación de los rootkits será una batalla permanente entre los creadores del rootkit y de los programas de seguridad.

More Related