http://www.alerta-antivirus.es/virus/ver_pag.html?tema=V&articulo=6&pagina=11
“Nadie ha dicho que los escritores de virus salgamos todos del mismo molde”. Wintermute.
El objetivo de los virus, la mayoría de las veces es destructivo, pero no siempre. En ocasiones son obras maestras de la programación, que persiguen el reto de aprender o de demostrar los fallos de seguridad, de sistemas operativos o Internet. Programados en ensamblador (código de máquina) u otros lenguajes de alto nivel, los virus son cada vez más potentes y afectan a más archivos, como es el caso de el OUTLOOK.PDFWorm, el primer gusano que se presenta en un archivo PDF (Portable Document Format), el conocido formato de Adobe Acrobat. Aunque claramente, este último en la actualidad puede considerarse como un virus de laboratorio encaminado más a ser una prueba de concepto.
Cuando un virus comienza su infección, entra en acción el código, que dependiendo de su programación, será más o menos destructivo, provocando problemas al sistema informático del usuario. Se comportan a veces de forma similar a los biológicos, aunque hay una diferencia muy clara. Los virus informáticos siempre se introducen en el sistema cuando el usuario los ejecuta. Por lo tanto si tenemos un antivirus actualizado y nos abstenemos de abrir archivos de procedencia sospechosa, desconocida, podemos estar a salvo de estos, por lo menos en un porcentaje muy alto. Los biológicos es distinto, todos sabemos que nos podemos cuidar perfectamente y por el simple echo de respirar aire acondicionado contaminado nos puede entrar un virus. Pero en los creadores de estos programas informáticos víricos, en ocasiones, podemos encontrar obras de "ingeniería social" que propician que el usuario ejecute un virus sin prácticamente darse cuenta, por ejemplo al recibir un correo de una persona conocida diciéndonos “Hola cómo estás... te mando esto para tus comentarios”, tenemos la situación del conocido gusano Sircam.
Ahora bien, un troyano es un programa que crea una puerta trasera (es decir proporciona la posibilidad de un acceso no autorizado) al equipo de cómputo de la víctima, de tal forma que le abre un puerto (o canal de comunicación) por donde se puede acceder a su sistema. Como tales, suelen encontrarse pegados a otros programas mediante diversas utilidades específicamente diseñadas para ello, y ocultando su función real mediante la apariencia de un programa que aparentemente funciona bien, como podría ser un simple salva pantallas.
Algunos de ellos permiten incluso realizar funciones que de otra forma no sería factible. Existe una analogía en su funcionamiento (la cual discrepa con su origen e intención) con los programas de control remoto legítimos o legales. De hecho se diferencian únicamente en el modo de instalación y en que invariablemente no aparecen en la bandeja de sistema ni en la barra de estado.
Constan de dos partes: cliente y servidor. El servidor es quien permite que los intrusos ingresen de hecho a nuestra computadora, y que tengan incluso la posibilidad de enviar nuestra dirección IP a alguna dirección de correo electrónico, a una lista de correo, al ICQ, o a un canal de IRC. Para librarnos de ellos, lo mejor es el sentido común: No aceptarles regalos a desconocidos, ni ejecutables de ninguna clase.
Un caballo de Troya (o troyano) es un programa aparentemente útil, novedoso, o atractivo que contiene funciones ocultas que permiten, por ejemplo, obtener privilegios de usuario (siempre que el programa se ejecute), suponiendo un enorme problema de seguridad. Generalmente un caballo de Troya no tiene efecto sin la colaboración involuntaria del usuario a quien va dirigido. Los caballos de Troya son normalmente instalados por los propios usuarios inadvertidamente o bien por intrusos que han obtenido acceso sin permiso al sistema a través de otros medios. Aunque conceptualmente algunos autores consideren que no son virus como tales, estos pueden realizar acciones destructivas como algunos virus. Al constar de dos programas, un servidor y un cliente. El servidor es por ejemplo nuestro equipo (para hacernos una idea) y el cliente es quien intenta "entrar" en nuestra computadora, una vez que lo ha logrado, de acuerdo a las características de dicho troyano, bien puede borrar archivos de nuestro disco duro, formatearlo, abrir la unidad de cd-rom, realizar capturas de nuestro escritorio, de lo que tecleamos, incluso existen troyanos que "copian" el archivo .PWL que es donde el sistema Windows guarda las contraseñas y lo envían a una dirección de correo electrónico. Estos "Caballos de Troya" suelen estar contenidos en programas ejecutables y a través del chat, por ejemplo mIRC nos pueden enviar este tipo de "programas", o a través del ICQ. Normalmente suelen quedarse residentes en memoria e introducen código en el registro de Windows para que cada vez que encendamos nuestro equipo puedan quedar activados.
Mucho es lo que se ha escrito acerca de cómo erradicar los gusanos, troyanos o backdoors de un sistema. En el caso de los usuarios caseros los consejos debieran de darse con más precaución dado que se necesita entender algo sustancial del registro de Windows y otras sutilezas. Lo único que podemos remarcar es que actualmente el trabajo preventivo es asunto de tres por lo menos. Se requiere de mantener un buen antivirus bien configurado y actualizado, tener al día todas las actualizaciones de seguridad de Microsoft y conocer aunque sea de manera básica las diversas utilerías para erradicación de los troyanos más comunes. Para concluir, a los usuarios más experimentados les recomiendo evaluar con cuidado la utilidad del siguiente consejo:
"Procure siempre revisar qué programas son los que se encuentran en el inicio de Windows y ponga especial cuidado si estos tienen atributo de oculto y su función no tiene de entrada justificación".
Por Arnoldo Moreno Pérez
Si tienes comentarios o dudas, puedes enviarme un mail a arnoldo@microasist.com.mx
"Cualquier medio capaz de ampliar el alcance del hombre es lo suficientemente poderoso como para derrocar su mundo. Conseguir que la magia de ese medio trabaje para los fines de uno, antes que en contra de ellos, es alcanzar el conocimiento." Alan Kay.
"Es extraña la ligereza con que los malvados creen que todo les saldrá bien." Víctor Hugo.
El término es adaptación directa del inglés backdoor que comúnmente significa "puerta de atrás". A pesar de que no se consideran propiamente como virus, representan un riesgo de seguridad importante, y usualmente son desconocidas la inmensa gama de problemas que estas puedan llegar a producir. Al hablar de ellas nos referimos genéricamente a una forma "no oficial" de acceso a un sistema o a un programa.
Algunos programadores dejan puertas traseras a propósito, para poder entrar rápidamente en un sistema; en otras ocasiones existen debido a fallos o errores. Ni decir que una de las formas típicas de actuación de los piratas informáticos es localizar o introducir a los diversos sistemas una puerta trasera y entrar por ella.
Estos programas no se reproducen solos como los virus, sino que usualmente nos son enviados con el fin de tener acceso a nuestros equipos a través del correo electrónico, por lo que no son fáciles de detectar y por si solos no siempre causan daños ni efectos inmediatos por su sola presencia, por lo que pueden llegar a permanecer activos mucho tiempo sin que nos percatemos de ello. Generalmente estos programas se hacen pasar por otros, es decir, se ocultan en otro programa que les sirve de caballo de Troya para que el usuario los instale por error.
Lo peor que puede pasarle cuando está en el messanger o en el ICQ no es que contraiga su PC un virus. Lo peor es que alguien instale un backdoor en su PC. Las puertas traseras son fáciles de entender. Como todo en Internet se basa en la arquitectura cliente / servidor, sólo se necesita instalar un programa servidor en una máquina para poder controlarla a distancia desde otro equipo, si se cuenta con el cliente adecuado, ésta puede bien ser la computadora de un usuario descuidado o poco informado.
Las puertas traseras (backdoors) son programas que permiten acceso prácticamente ilimitado a un equipo de forma remota.
El problema, para quien quiere usar este ataque, es que debe convencerlo a usted de que instale el servidor. Por eso, si aparece un desconocido ofreciéndole algún programa maravilloso y tentador, no le crea de inmediato. Lo que están probablemente a punto de darle es un troyano, un servidor que le proporcionará a algún intruso acceso total a su computadora. Con todo el riesgo que esto implica, hay una forma simple y totalmente segura de evitarlo: no acepte archivos ni mucho menos ejecute programas que le hayan mandado sobre todo si son de procedencia dudosa.
Los programas que se clasifican como "backdoors" o "puertas traseras" son utilerías de administración remota de una red y permiten controlar las computadoras conectadas a ésta. El hecho que se les clasifique como software malévolo en algunos casos, es que cuando corren, se instalan en el sistema sin necesidad de la intervención del usuario y una vez instalados, no se pueden visualizar estas aplicaciones en la lista de tareas en la mayoría de los casos. Consecuentemente un backdoor puede supervisar casi todo proceso en las computadoras afectadas, desinstalar programas, descargar virus en la PC remota, borrar información, entre otras muchas cosas más.
Dada la complejidad de este tema, lo importante finalmente es comprender que si no se toman ciertas medidas mínimas, la información sensible que se encuentre en cualquier equipo, con el simple hecho de que tenga acceso a la red de redes (Internet) es suficiente para que pueda estar expuesto a ataques de diversa índole.
Concluimos esto, recomendando ciertas medidas básicas para estar a salvo de las puertas traseras y el delicado riesgo para la seguridad que estas representan. A saber:
1.- Es recomendable asegurarnos de que cada cosa que ejecutamos esté bajo nuestro control. Una buena guía para ello es el sentido común (el menos común de los sentidos).
2.- Procure no ejecutar programas de los que no sepamos su procedencia, tanto en anexos de correo, ICQ, messanger y descargas de Internet (ya sean vía Web o FTP).
3.- La información nos protege. Es recomendable enterarse un poco de las noticias de virus y programas dañinos relacionados, visitando por lo menos las páginas de las distintas empresas antivirus o suscribiéndose a algunos boletines.
4.- Es necesario instalar un antivirus y mantenerlo actualizado. En la actualidad se protege al usuario no sólo contra virus, sino también contra gusanos, programas de puerta trasera, troyanos y algunos programas maliciosos.
5.- Es bueno tener presente que existen virus y troyanos que pueden aparentar ser amigables (una simple tarjeta de San Valentín), o que provienen de gente que conoces (como es el caso del gusano Sircam). Siendo así, no confíes en ningún programa ni en nada que recibas hasta no revisarlo con el Antivirus.
6.- Mantenga al día todas las actualizaciones de seguridad de Microsoft, para todas y cada una de las distintas aplicaciones.
D. Arnoldo Moreno Pérez
Asesor de Sistemas de la Unidad de Apoyo al Cambio Estructural
Ministerio de Comunicaciones y Transportes del Gobierno Mexicano
Los anti-virus se han convertido en compañeros inseparables de nuestro trabajo diario. Hoy en día no se concibe ningún equipo conectado a Internet que carezca de una buena protección contra virus. Las situaciones de riesgo se multiplican cuando un equipo se conecta a la Red de redes.
La principal vía de infección es el correo electrónico y, en concreto, los archivos adjuntos que suelen acompañar a los mensajes. La navegación y la lectura de los correos no reviste ningún riesgo, mientras no intentemos descargar un archivo. Un virus, al fin y al cabo, es un programa que necesita ser ejecutado para poder infectar nuestro sistema. Estos programas malignos suelen esconderse en archivos con extensiones EXE o DOC. El mejor consejo que se puede dar es no abrir nunca archivos ejecutables (.EXE) que vengan adjuntos a un mensaje de correo electrónico y verificar mediante un programa anti-virus todos los archivos de Word recibidos (.DOC) antes de abrirlos. De esta manera, habremos evitado más del 90% de las situaciones de riesgo.
Un famoso virus que se transmite a través de correo electrónico en un archivo ejecutable es el HAPPY99.EXE. Cuando se abre el archivo se ven unos fuegos artificiales felicitando el nuevo año y los usuarios se lo reenvían unos a otros creyendo ingenuamente que el programa únicamente hace esto. Sin embargo, mientras se ve la animación, el PC del usuario queda infectado. En ocasiones, se envían también archivos EXE justificando que están comprimidos, ya sea en el correo o a través de un IRC, pero debemos saber que este formato no mejora la compresión frente a un ZIP; y siempre se podía haber enviado en este último formato. Para evitar esta situación, lo mejor es no abrir nunca estos archivos. Si no se abren, aunque residan en nuestro ordenador, los virus no podrán realizar la infección.
Los archivos de Word (.DOC) son también muy peligrosos y debemos extremar las precauciones antes de abrir un archivo de este tipo. Los documentos de Word pueden incluir macros para automatizar tareas repetitivas. Estas macros, que en principio fueron diseñadas para ayudar al usuario en su trabajo diario, rápidamente y debido a su potencia, fueron utilizadas también por los virus para ejecutar códigos malignos. Si lo único que queremos enviar es un texto sencillo, siempre es preferible utilizar un archivo de texto (.TXT) antes que un archivo de Word (.DOC), o bien, incluir directamente el texto en el cuerpo del mensaje.
Otros tipos de archivos también pueden contener virus, pero su probabilidad de infección es muy inferior a los dos formatos anteriores. Para mayor seguridad, conviene tener activado un anti-virus mientras navegamos por Internet o leemos nuestros mensajes de correo. Y además, el anti-virus debe estar siempre al día, de lo contrario será tanto como no utilizar ninguna protección.
No hay que olvidar tampoco las vías tradicionales de propagación de virus y analizar con un programa anti-virus todos los disquetes que recibamos.
El objetivo de los virus es siempre reproducirse en el menor tiempo posible sin que el usuario lo advierta. En el caso de HAPPY99, se aprovechaba la ingenuidad del que recibía el mensaje para que inocentemente lo reenviase a todos sus amigos. Este es el mismo funcionamiento de Babylonia, aparecido en diciembre de 1999, el cual se esconde en un archivo ejecutable cuyo icono representa la cara de Santa Claus. Al abrir este archivo, que el usuario considera inofensivo, el virus realizará la infección. Otros virus, como Melissa, no necesitan la intervención del que lee el mensaje de correo para distribuirse: automáticamente se reenvían a las primeras direcciones de la agenda de Outlook.
¿Puede un virus destrozar mi PC? Un virus no deja de ser un programa y lo único que tiene a su alcance es modificar la información (por ejemplo, borrándola) que esté almacenada en su PC. Pero no puede dañar físicamente los componentes de su equipo. Sin embargo, existe un código que es vital para cualquier máquina y que es el responsable de que ésta pueda arrancar. Este código reside en la BIOS y, al igual que los fabricantes de placas base pueden actualizar sus código para añadir nuevas funcionalidades, también los virus pueden alterarlo, aunque con fines bien distintos. Este es el principio del funcionamiento del virus CIH y, en caso de infección, puede impedir que un PC arranque: se quedaría la pantalla negra al pulsar el botón de encendido, sin mostrar las letras del inicio.
Los troyanos, como el BackOrifice, tienen un funcionamiento completamente distinto. Se basan en dos componentes: una parte servidora y otra, cliente. La primera se instala en el equipo infectado y la segunda, en un equipo remoto. El que ha enviado el virus, desde la parte cliente, es capaz de manejar remotamente el equipo infectado y de recoger todos los códigos y contraseñas que el usuario está introduciendo en ese momento.
Los programas anti-virus permiten detectar virus antes de que se produzca la infección, o desinfectarlos, en el caso de que ya sea haya producido. Suelen tener varios módulos. El principal es el escáner, para analizar los archivos que le indiquemos. Podemos abrirlo desde el Menú Inicio o también, en la mayoría de los anti-virus, seleccionando los archivos y pulsando el botón derecho del ratón. El segundo módulo es el residente en memoria. Este programa se mantiene alerta analizando todos los archivos que abrimos en nuestro trabajo normal e informando si encuentra algún virus. Finalmente, tenemos el módulo de actualizaciones, que facilita la actualización de la base de datos de virus vía Internet.
Frente a los anti-virus existen diferentes posturas. Algunos se instalan un programa anti-virus y se olvidan de él, quedando al poco tiempo desactualizado. Otros, en su obsesión por mantener su sistema libre de virus, no se fían de uno y se instalan varios. Cualquiera de estas dos situaciones no es la deseable, la primera porque el anti-virus quedará inservible y la segunda, porque varios anti-virus harán que el equipo funcione más lentamente y produzca conflictos el uno con el otro.
Otros prefieren no utilizar ningún anti-virus residente en memoria y analizar únicamente aquellos archivos que puedan contener virus, evitando todas las situaciones de riesgo que comentamos anteriormente. "El mejor anti-virus es uno mismo", así responde José Manuel Tella, experto en sistemas operativos, cuando se le pregunta por el mejor anti-virus.
El tema de los anti-virus tiene por lo menos diez años sonando en el mercado, y actualmente todo mundo sabe que existen virus para las computadoras, quizás pocos conocen el funcionamiento de los códigos maliciosos, pero la gran mayoría de las personas que tienen acceso a una computadora, se han topado con unas cosas raras, a las que llamamos virus, que pueden provocar daños en el funcionamiento de la maquina. Por esto, saber seleccionar un buen anti-virus es fundamental, ya que la información que guardamos en el disco duro tiene un gran valor para quien la creó..
Al seleccionar un anti-virus no debemos dejarnos llevar por la mercadotecnia de algún producto en especial, ni por el hecho de que es el que todo mundo utiliza, sino que, debemos tomar en cuenta varias características con las que debe cumplir un producto para evitar una infección y con esto perder nuestra información.
1. El anti-virus debe actualizar los patrones o firmas, por lo menos una vez por semana, es decir, que yo como usuario final pueda mantener al día el anti-virus para detectar nuevos virus.
2. Debe contar con un equipo de soporte técnico con acceso a un laboratorio especializado en códigos maliciosos y un tiempo de respuesta no mayor a 48 horas, el cual me pueda orientar, en mi idioma, en caso de que yo contraiga una infección.
3. Debe contar con distintos métodos de escaneo y análisis de posibles códigos maliciosos, para que sea capaz de detectar virus desconocidos.
4. El producto debe ser modular y personalizable, no todos somos iguales, razón por la cual este se debe poder adaptar a las necesidades de diferentes usuarios.
5. Debe permitir la instalación remota tanto en una red LAN como en una WAN,
6. Debe constar de una administración centralizada, en donde se puedan recibir reportes de virus, mandar actualizaciones y personalizar a distintos usuarios.
Estas son las características principales con las que debe contar un anti-virus para resolver los problemas que yo pueda tener, al enfrentar a esos bichos malignos que puedan perjudicar y alterar el funcionamiento adecuado de mi computadora. Debemos estar conscientes que la creación de virus es exponencial y que estamos expuestos a un contagio en cualquier momento, a través del intercambio de información, ya sea vía discos, correo electrónico o Internet.
No obstante todo lo anterior: La preocupación fundamental de los usuarios es que el producto elegido sea verdaderamente efectivo para efectos de detección y eliminación correcta y exacta de los distintos virus que puedan amenazar a los sistemas. De nada sirve tener consolas que faciliten el trabajo al realizar instalaciones eficientes y rápidas en un entorno corporativo, si la calidad de la limpieza deja mucho que desear. Y en esto las certificaciones Checkmark y Virus Bulletin no constituyen ninguna garantía, ya que tradicionalmente sólo han servido para garantizar al usuario final que de una manera u otra dichos productos cumplen las normas que les permiten considerarlos como anti-virus. No hay nada mejor que ponerlos uno mismo a prueba y de acuerdo con nuestras prioridades establecer nuestras propias conclusiones.
Finalmente siempre es bueno estar enterado de las últimas alertas de virus que surgen en el mundo como amenazas reales (no HOAXES). Para ello se recomiendan las siguientes páginas de Internet:
http://www.kaspersky.com/default.asp
http://www.complex.is/cgi-bin/home_pager
http://www.antivirus.com/corporate-home.asp
http://www.nai.com/
http://www.cai.com/
http://www.norton.com/
http://www.f-secure.com/
http://www.pandasoftware.es
http://web.itasa.com.mx/
http://www.icsa.net/
http://www.hispasec.com/
http://ibrujula.com/canales/seguridad/
http://www.virusattack.com.ar
http://videosoft.tripod.com/main.htm
De igual manera se pone a su amable disposición las direcciones electrónicas virisolution_amp@yahoo.com.mx y miru@prodigy.net.mx para toda clase de inquietudes sobre el tema.
Aunque en la actualidad se están presentando casos de nuevas variantes de W97m/Groov, W97M/Thus, W97M/Marker, W97M/class, W97M/Ethan y X97M/Barisada, se puede decir con propiedad que el virus del momento es:
W95/MTX.9244 worm
Alias Iworm_MTX, I-Worm.MTX o Matrix.
D. Arnoldo Moreno Pérez
Asesor de Sistemas de la Unidad de Apoyo al Cambio Estructural
Ministerio de Comunicaciones y Transportes del Gobierno Mexicano
"Por y para Aurora y Mirushka."
Aspectos Generales
W32/Funlove es un virus que se replica bajo Sistemas Windows 9x y Windows NT. Infecta aplicaciones con extensiones EXE (programas ejecutables), SCR (protectores de pantalla) u OCX (Controles Vbasic). Lo que destaca en este virus es la nueva estrategia que posee para atacar al archivo de seguridad de los sistemas NT y la manera en que corre como un servicio dentro de estos sistemas.
El FunLove es un virus con una longitud de infección de 4009 bytes; tiene una distribución geográfica grande y un grado de contaminación medio, igual que la dificultad de eliminarlo.
Este virus se dispara al ejecutar algún archivo infectado y genera el ejecutable FLCSS.EXE estableciéndolo como un proceso regular de C: Windows System. Sus capacidades son modificar los archivos Win32 con las extensiones anteriormente mencionadas; causar inestabilidad en el sistema y a veces colapsarlo y contaminar o destruir las aplicaciones del Windows. El FunLove para desplazarse usa los sistemas NT aunque también puede desplegarse en discos locales.
El FunLove es el segundo virus que se ejecuta como un servicio en Windows NT. W32 RemoteExplore es muy similar en sus funciones al FunLove, pero este último puede trabajar en Windows 95/98 & NT. Cuando el virus ejecuta un servicio puede desplegarse en el disco local sin cargarse en la máquina. Este tipo de virus puede infectar archivos que normalmente no son accesibles antes de la carga.
FunLove es capaz de dar acceso completo a todo usuario de cada archivo sin protección, incluyendo aquellos a los que normalmente sólo tiene acceso el administrador, siendo así casi podríamos considerarlo como un troyano.
Fecha de Descubrimiento
9 de noviembre de 1999.
Características del Virus
Este virus es un parásito Win32 infector de archivos ejecutables que trabaja tanto en Win9x como en WinNT 4.0. Este infecta archivos del tipo "EXE", "SCR" y "OCX".
El virus también sobre escribe los primeros 8 bytes del código al inicio del programa con un salto al código del virus.
Cuando el virus se ejecuta por primera vez, este copia un archivo llamado fclss.exe en la carpeta %SYSTEM%, si este no existiera entonces este ejecutable se arranca y deja residente una porción del virus.
Bajo Windows9x el largo del archivo se incrementa en 4099 bytes, pero bajo Windows NT el incremento es de un mínimo de 4099 bytes y generalmente es más, en pruebas se han observado hasta 7000 bytes.
Luego el virus infecta directamente todos los archivos EXE, SCR, y OCX en las carpetas "Program Files", WINDOWS/WINNT (según corresponda), incluyendo cualquier sub-carpeta. Como el shell de Windows "Explorer.exe" se encuentra allí, el virus es re-ejecutado cada vez que el sistema es re-iniciado. Si el usuario tiene derechos administrativos en el sistema, el virus hace uso de una rutina "extraída" del virus W32/Bolzano para parchar los archivos de NT "NTOSKRNL.EXE" y "NTLDR". Esto habilita al virus (y a cualquier usuario) para tener acceso completo al sistema después de la siguiente vez que el sistema es iniciado.
Periódicamente el virus revisa cualquier unidad de red compartida con acceso de escritura, e infecta cualquier archivo EXE, SCR u OCX. El virus no está encriptado y tampoco es polimorfo.
Los archivos infectados tienen una copia del archivo flcss.exe agregado al final de la última sección PE (Programa Ejecutable) y el largo del archivo se incrementa en 4099 bytes. Cuando se ejecuta bajo DOS, el archivo flcss.exe despliega el mensaje ~Fun Loving Criminal~ y entonces intenta iniciar la máquina para cargar Windows.
Indicios de Infección
Incremento en un tamaño de 4099 bytes bajo Windows 9x, bajo Windows NT el incremento es variable.
Mensajes como los descritos anteriormente.
Existencia del archivo FCLSS.EXE sobre el sistema local.
Método de Infección
La ejecución de archivos contaminados infectará directamente el sistema local y las unidades de red compartidas.
W32/Funlove es un virus que infecta archivos *.EXE, *.SCR y *.OCX en sistemas con Windows 95/98/Me y Windows NT.
Si se ejecuta un archivo infectado el virus W32/Funlove crea un archivo FLCSS.EXE en la carpeta WinNTSystem32 (Windows NT), WindowsSystem (Windows 95/98/Me) y lo ejecuta para que permanezca residente en memoria (en Windows NT el archivo FLCSS.EXE se instala como un servicio).
Una vez residente en memoria el virus infecta todos los archivos *.EXE, *.SCR y *.OCX en la carpeta Windows, WinNT, Program Files y en todas las unidades a las que tiene acceso incluyendo las de Red (C:, D:, E:, ....Z:), asimismo infecta en todos los recursos compartidos a los cuales tiene acceso.
El virus W32/FunLove es muy especial y bastante rápido en su propagación, una sola PC sin antivirus puede resultar en una infección masiva en toda la red.
Es importante conocer como infecta el virus W32/FunLove a fin de que se tomen los procedimientos adecuados para su eliminación.
Supongamos que una PC cualquiera (PC-USER) tiene acceso a las siguientes unidades de disco y/o recursos compartidos:
Unidad C: - Disco duro local
Unidad D: - Disco duro local
Unidad E: - Recurso compartido (Ej. la unidad C: de otra PC, PC-DOCUMENTOS)
Unidad F: - Recurso compartido (Ej. la carpeta C:control de otra PC,PC-REPORTES)
Unidad G: - Recurso compartido (Ej. la unidad C: del servidor, SERVIDOR)
Si se ejecuta un archivo infectado en PC-USER, el virus W32/FunLove infectará todos los archivos *.EXE, *.SCR y *.OCX en PC-USER (unidad C y D), PC-DOCUMENTOS (unidad E:), PC-REPORTES (la carpeta C:Control) y el SERVIDOR (unidad G:).
En nuestro ejemplo, el ejecutar 1 archivo infectado en un PC-USER resultará en la infección de miles de archivos en 4 diferentes PCs incluyendo el servidor.
La infección de archivos hacia PC-DOCUMENTOS, PC-REPORTES y el SERVIDOR es una infección remota, eso significa que así estas PCs tengan cualquier antivirus instalado la infección SI se produce en el archivo remoto, la vacuna en tiempo real del antivirus en estas 3 Pcs notará la infección y procederá a eliminar el virus, por cada archivo que se infecta y cura debería aparecer un mensaje de la vacuna.
Pasos para detectar y eliminar el virus W32/FunLove
IMPORTANTE: No comparta el disco duro de ninguna PC incluyendo el servidor hasta que se encuentre 100% seguro que el virus W32/FunLove ha sido totalmente erradicado de su red.
Pasos a seguir:
Para que W32/Funlove NO se pueda colocar residente en memoria cree la carpeta FLCSS.EXE en WinNTSystem32 (si es Windows NT) o WindowsSystem (si es Windows 95/98/Me).
Ej. MD C:WINNTSYSTEM32FLCSS.EXE [enter]
1- PARA EL SERVIDOR
- Desactivar cualquier recurso compartido en el servidor, ninguna estación debe tener acceso al servidor de lo contrario el servidor será reinfectado por la estación en segundos.
- Detectar y eliminar virus en el Servidor.
- Instale algún Anti-Virus "decente" (ya sea Kaspersky Anti-Virus, Command Software Anti-Virus con F-Prot Professional o Nod32 por ejemplo) para Windows NT en el servidor y explore por virus todas las unidades locales del servidor.
Después de este punto el servidor debería estar limpio.
2- PARA LAS ESTACIONES
- Desactivar cualquier recurso compartido en la estación, ninguna otra PC debe tener acceso a mi estación de lo contrario podría generarse una reinfección.
- Detectar y eliminar virus en las estaciones, dado que W32/FunLove es un virus de Windows debe ser eliminado desde el modo MS-DOS de lo contrario los archivos en uso (cargados en memoria) no pueden ser alterados (curados). Este no es un problema de los ANTIVIRUS sino una protección del sistema operativo de no poder modificar un archivo en uso.
- Una vez detectado y eliminado el virus en DOS proceda a instalar un buen Anti-Virus en la estación. Nuevamente, no comparta el disco duro de esta PC a menos que este 100% seguro que la otra PC ya está limpia y con antivirus instalado.
Si necesita obligatoriamente compartir recursos entre PCs no comparta toda la unidad sino solamente el directorio o archivo que se necesita.
El virus FunLove tiene, por lo menos, cinco versiones distintas. En primer lugar, gestiona la generación de un archivo parásito en Win32 que se encarga de infectar los archivos con extensión .EXE . SCR y .OCX en Win9x. Además, sobreescribe los primeros 8 bytes de código al iniciar cualquier programa con lo que posteriores ejecuciones del mismo significan un salto hacia el código mismo del virus.
Es importante consignar que cuando el virus es activado por primera vez, "suelta" una archivo llamado FLCSS.EXE en el directorio SYSTEM. Ese archivo es posteriormente ejecutado por el sistema y se convierte en la porción residente del virus FunLove.
Luego, se encarga de infectar todos los archivos con las extensiones que ya mencionamos en el primer párrafo y que se encuentran agrupadas bajo la carpeta ARCHIVOS DE PROGRAMA, incluyendo todas las subcarpetas.
Cada vez que el sistema es reiniciado, el virus se reejecuta, aunque no se trata de uno encriptado o polimórfico.
Cuando es ejecutado bajo DOS, el archivo FLCSS.EXE despliega el mensaje "~Fun Loving Criminal~" y trata de resetear la máquina con la intención de cargar Windows.
Lista de otros nombres para el mismo virus
FLCSS.EXE, Funlove, PE_FUNLOVE.4099 (Trend), W32.FunLove.4099 (NAV), W32.Funlove.int (NAV), W32/Flcss (Sophos), W32/Funlove.4099.dr (VirusScan), W32/FunLove.gen (VirusScan), W95/FunLove.4099 (F-Prot), Win32.FLC, Win32.FunLove.4070 (AVP).
Existen varias utilerías que ayudan a erradicar este virus, las cuales valdría la pena evaluar. Las direcciones son:
http://videosoft.tripod.com/funlove.htm
ftp://ftp.f-secure.com/anti-virus/tools/
http://www.avp-mx.com/
http://www.mcafeeb2b.com/naicommon/avert/avert-research-center/tools.asp
http://www.symantec.com/avcenter/venc/data/dos.funlove.4099.fix.tool.html
http://www.sophos.com/support/faqs/flcss.html
D. Arnoldo Moreno Pérez
Asesor de Sistemas de la Unidad de Apoyo al Cambio Estructural
Ministerio de Comunicaciones y Transportes del Gobierno Mexicano
Miro a mi alrededor veo que la tecnología ha sobrepasado nuestra humanidad, espero que algún día nuestra humanidad sobrepase la tecnología". Albert Einstein.
“Sin duda ha habido muchas teorías con respecto al inicio de la corriente vírica, una de ellas apunta a que fueron las casas fabricantes de software para evitar la copia ilegal de sus programas. Sin embargo esto no tiene mucho sentido, ya que esas mismas casas tendrían que reponer miles de copias de sus productos y estarían de esta forma tirando piedras contra su propio tejado”. Luis de la Iglesia Rodríguez.
Los virus informáticos y las diversas variantes de código malicioso (llamado también Malware) pueden ser temibles para usuarios que nunca los hayan encontrado antes. Estos a veces reaccionan con pánico o de manera impulsiva ocasionando más problemas que soluciones, pues los virus no afectan solamente a la información de las computadoras, afectan a los usuarios, la presencia de un virus en la computadora provoca un daño a su propietario. Puede ser perjuicio económico o acentuado estrés, y hasta crisis nerviosas cuando ocurren pérdidas que se presumen irreparables.
La noción usual (digamos clásica) de virus informático fue establecida en el año 1984, durante la conferencia IFIC/SEC´84 por el Doctor Fred Cohen quien lo definió como un “software maligno capaz de reproducirse a sí mismo” y estableció paralelismos entre los virus biológicos y los informáticos para justificar la adopción de dicha terminología. Con la palabra Malware definimos todo código cuyo fin es llevar a cabo acciones nocivas contra un sistema informático.
Existen actualmente diversas variantes de código malicioso. A saber:
i). – Los virus (en el sentido estricto del término), que para reproducirse utilizan archivos a los cuales inoculan su código.
ii). – Los gusanos, los cuales generan copias de sí mismos y viajan a través de una red, o incluso a través de Internet.
iii) .- Las bombas lógicas, que son pequeños programas camuflados dentro de otros y se activan de acuerdo a determinadas circunstancias como pueden ser una fecha, una combinación de teclas o algún tipo de contador.
iv). – Los Caballos de Troya (o Troyanos), los cuales son programas de apariencia completamente normal pero que en realidad incorporan código que puede dañar a una computadora, instalar una puerta trasera (acceso ilegítimo o no autorizado) o cualquier otra acción perjudicial para el usuario.
Dada esta diversificación, es como los antivirus ya no solamente se ocupan de los virus sino que se orientan a prevenir todas estas variantes de Malware. Curiosamente les seguimos llamando antivirus y no “antimalware”, aunque sería más lógico actualizar la noción de virus y en los tiempos actuales no considerar “un abuso de lenguaje” utilizarla como sinónimo de malware. De hecho, en el escenario actual las amenazas son mayormente los gusanos y los troyanos seguidos de los virus y las bombas lógicas.
Todo lo anterior fue necesario precisarlo, pues los virus tan temibles a los que se suelen referir los medios en los dos últimos años, constituyen en realidad la familia de gusanos (y troyanos) del nuevo milenio. De esta manera la responsabilidad del usuario ya no se limita solamente a mantener su antivirus actualizado y bien configurado, sino que se requiere mantener al día la instalación de los distintos parches de Seguridad de Microsoft, pues los gusanos y troyanos suelen explotar las vulnerabilidades que éstos permiten cerrar.
Finalmente, se recomienda la consulta directa de las Enciclopedias de Virus que pueden hallarse en las páginas Web de las distintas Empresas de Antivirus y estar pendiente de las Alertas que estas emiten. Del mismo modo, se recomienda no hacer caso a los mensajes que se reciben por correo haciendo alusión a virus catastróficos y apoyándose en que tal o cual firma antivirus lo dice, sin antes cotejar las fuentes directamente, siempre es mejor suscribirse a los boletines de información de las empresas y así mantenerse bien informado.
Arnoldo Moreno Pérez
Asesor Independiente en Temas de Seguridad Informática y colaborador de ZONAVirus.com
http://microasist.com.mx/noticias/internet/ampin0603.shtml
Por Arnoldo Moreno Pérez
"No es que falte seguridad en Internet. Sencillamente no hay seguridad alguna". Padgett Peterson.
El rápido avance científico y tecnológico conlleva a una incesante aparición de nuevas palabras, o acepciones de otras ya conocidas, que en pocos años han tomado fuerza en la disciplina específica en la que han aparecido. Sin embargo, la inesperada y rápida difusión del término "Cortafuegos" (traducción directa y poco afortunada de FIREWALL) y su reciente acepción como dispositivo de defensa de una red privada o computadora personal frente a ataques lanzados desde el exterior, o sea Internet, no es lo usual. Actualmente ningún profesional de la seguridad o de las redes desconoce el término, aun cuando su aparición no data de antes de 1994, y eran pocos los que hace tan sólo dos años habían siquiera oído hablar de estos.
En términos informáticos un Cortafuegos o "FIREWALL" es un programa que puede estar residente en la propia máquina o en otra, y su función es proteger nuestro equipo o red de incursiones ajenas, sean estas automáticas (troyanos o derivados) o manuales. El inconveniente de un Cortafuegos es que si bien proporciona defensa, también requiere conocimientos y complica el tráfico y actividad de los diferentes programas de uso normal en caso de que el usuario no lo configure adecuadamente.
Un Cortafuegos (FIREWALL) es el mecanismo básico de prevención contra amenazas por intrusión externa y sus principales funciones son el control de acceso (tanto de entrada como de salida), la autenticación de usuarios, el registro de eventos, la auditoría y la generación de alarmas. Se puede considerar un sistema frontera entre nuestro equipo o red privada y el mundo exterior. Controla quién llama, lo autentifica y atiende las peticiones debidamente autorizadas, además de realizar la oportuna comprobación para que quien pretenda visitar nuestra computadora no nos deje ningún "regalo inesperado".
Los Cortafuegos personales son programas que se instalan de forma residente en nuestra computadora y que permiten filtrar y controlar la conexión a la red. En general necesitan un conocimiento adecuado de nuestra computadora, pues en la actualidad son muchos los programas que realizan conexiones a la red y que son necesarios. Es por ello que no son recomendables para usuarios inexpertos ya que podrían bloquear programas necesarios (incluso hasta la propia posibilidad de navegación por Internet), aunque siempre se tenga a mano la posibilidad de desactivarlos.
La instalación de un Cortafuegos requiere además un proceso de "entrenamiento para usarlo" ya que al principio deberemos ir elaborando las reglas de acceso en función del empleo que le damos a la red. Así lo normal es que nuestro FIREWALL Personal nos pregunte que si queremos dar permiso a distintos programas de red a medida que los usamos. Esto al principio puede resultar un poco complicado o incluso hasta molesto.
Un FIREWALL Personal no impide por sí solo que entren troyanos, virus y gusanos a nuestro sistema. Lo ideal es que también tengamos instalado un buen antivirus residente en memoria, actualizado y bien configurado. Adicionalmente es deseable tener al día todas las actualizaciones de Seguridad de Microsoft que se requieran. Ahora bien, no necesariamente nos servirá para evitar que ingresen a nuestro sistema contenidos no deseados.
En general, junto con un antivirus lo que debe esperar de un buen FIREWALL Personal son las siguientes características:
1.- Que proteja su sistema de acceso no autorizado a través de Internet.
2.- Capacidad de alertar de intentos de intrusión y mantener un registro para seguir sus pistas.
Cierto grado de protección frente a virus a través del correo electrónico.
3.- Bloqueo de contenido peligroso en Internet: applets de Java, controles ActiveX, cookies, etc.
Filtrado al nivel de aplicación para conexiones hacia el exterior (usadas por caballos de Troya).
Cierta facilidad de instalación, configuración y uso.
"Si tienes comentarios o dudas, puedes enviarme un mail a arnoldo@microasist.com.mx"
Por Arnoldo Moreno Pérez
" Usted puede tener la mejor tecnología, firewalls, sistemas de detección de ataques, dispositivos biométricos, etc. Lo único que se necesita es un llamado a un empleado desprevenido e ingresan sin más. Tienen todo en sus manos." Kevin Mitnick.
"La gente quiere ser agradable y no pretende armar un escándalo, pero es importante enseñarles a decir no. No debe haber sutilezas cuando lo que está en juego son nuestros ingresos."Allan Vance
Bajo el nombre de Ingeniería Social (literalmente traducido del inglés Social Engineering) se encuentran comprendidas todas aquellas conductas útiles para conseguir información de las personas cercanas a una computadora. Es una disciplina que consiste, ni más ni menos en sacar información a otra persona sin que esta sé de cuenta de que te esta revelando "información sensible".
Hoy en día sólo son necesarias las malas intenciones y una conexión a Internet para sembrar el caos. Ya no es cuestión de conocimientos, sobre todo teniendo en cuenta que en los sistemas operativos más populares, se antepone la comodidad a la seguridad del sistema mismo. La mayoría de los ataques a la seguridad se deben a errores humanos y no a fallas electrónicas. Los intrusos usan "ingeniería social" para acceder a los sitios, y siempre alguien los deja entrar sin ningún problema.
Tradicionalmente, los intrusos se han valido de los engaños para conseguir atacar al eslabón más débil de la cadena de usuarios y responsables de un equipo de cómputo o de una red. De nada vale encriptar las comunicaciones, sellar los accesos, diseñar un buen esquema de seguridad para las distintas estaciones de trabajo y jerarquizar convenientemente los accesos a los mismos si no contamos con un personal que se halle lo suficientemente preparado para hacerle frente los engaños externos.
La principal herramienta que manejan actualmente los creadores de virus es la que se ha dado en llamar ingeniería social. Con este curioso término se engloba una serie de tretas, artimañas y engaños elaborados cuyo fin es confundir al usuario o, peor todavía, lograr que comprometa seriamente la seguridad de sus sistemas. Esto no es un conocimiento exacto pero, al ponerse en práctica con un grupo tan elevado de posibles víctimas, el éxito casi siempre está garantizado. Aprovechando sentimientos tan variados como la curiosidad, la avaricia, el sexo, la compasión o el miedo, el vándalo interesado consigue su objetivo, una acción por parte del usuario.
Un claro ejemplo de Ingeniería Social más común es el de alguien que llama por teléfono a una empresa para decir que necesita ayuda o hablar con el administrador de la red porque hay que modificar algún aspecto de la configuración. Durante la conversación, y a través de escogidas y cuidadas preguntas, el atacante obtendrá los datos (como los códigos de acceso a los equipos) que necesita para vulnerar la seguridad de todo el corporativo.
La ingeniería social es una acción muy simple, pero peligrosa. Los "hackers" llaman a los centros de datos y fingen ser un cliente que perdió su contraseña, o se dirigen a un sitio y esperan que alguien deje la puerta abierta. Otras formas de ingeniería social no son tan obvias. Los "hackers" son conocidos por crear sitios Web, concursos o cuestionarios falsos que piden a los usuarios que ingresen una contraseña. Si un usuario escribe la misma contraseña que usa en su trabajo, el hacker puede ingresar en las instalaciones sin tener que descifrar ni siquiera una línea de código.
Con el objetivo de infectar el mayor número posible de equipos, cada vez son más los gusanos que recurren a la Ingeniería Social, habitualmente empleada por los creadores de código malicioso para engañar a los usuarios. En la Ingeniería Social no se emplea ningún programa de software o elemento de hardware, sólo grandes dosis de ingenio, sutileza y persuasión para así lograr obtener información a través de otra persona sin que se dé cuenta de que está revelando información importante con la que, además, el atacante puede dañar su computadora.
En la práctica, los autores de virus (gusanos o troyanos) emplean la Ingeniería Social para que sus creaciones se propaguen rápidamente. Para ello atraen la atención del usuario y consiguen que realice alguna acción que, normalmente, consiste en inducirlo a que abra algún archivo que es el que procede a realizar la infección. De hecho, la mayoría de las pérdidas provocadas por los efectos de los códigos maliciosos tienen su origen en la ignorancia u omisión de políticas de seguridad.
El personal de una empresa debería de seguir las siguientes recomendaciones para evitar caer víctima de las trampas de la Ingeniería Social:
1. - Antes de abrir los correos analizarlos con un antivirus eficaz y debidamente actualizado, ya que cualquier mensaje de correo electrónico puede contener códigos maliciosos aunque no le acompañe el símbolo de datos adjuntos.
2. - Nunca ejecutar un programa de procedencia desconocida, aun cuando previamente sea verificado que no contiene virus. Dicho programa puede contener un troyano o un sniffer que reenvíe nuestra clave de acceso.
3. - Los usuarios no necesitan tener acceso a todo tipo de ficheros ya que no todos son necesarios para su trabajo habitual, por ello puede ser conveniente por parte del administrador bloquear la entrada de ficheros con extensiones ".exe",".vbs", etc.
4. - Nunca informe telefónicamente de las características técnicas de la red, sus localizaciones espaciales o personas a cargo de la misma. En su lugar lo propio es remitirlos directamente al responsable del sistema.
5.- Controlar los accesos físicos al lugar donde se hallan los servidores o terminales desde los que se puede conectar con los servicios centralizados de control.
6.- Nunca tirar documentación técnica a la basura, sino destruirla.
7.- Verificar previamente la veracidad de la fuente que solicite cualquier información sobre la red, su localización en tiempo y espacio y las personas que se encuentran al frente de la misma.
8.- En caso de existir, instalar los parches de actualización de software que publican las compañías para solucionar vulnerabilidades. De esta manera se puede hacer frente a los efectos que puede provocar la ejecución de archivos con códigos maliciosos.
10.- Controlar que las anteriores instrucciones se cumplen sistemáticamente.
"Si tienes comentarios o dudas, puedes enviarme un mail a arnoldo@microasist.com.mx"
Por Arnoldo Moreno Pérez
"Es solo una cuestión de tiempo el que los programadores de virus se interesen en esta aplicación. Si esta tecnología se vuelve tan popular como el correo electrónico, ciertamente veremos multitud de gusanos". Denis Zenkin
Los virus informáticos (virus, troyanos o backdoors) se pueden transmitir de varias formas: a través de mensajes de correo electrónico, en disquetes y, cada vez más a menudo, a través de aplicaciones de mensajería como MSN Messenger y el ICQ
Además de la evidente pérdida de productividad provocada por los programas de mensajería instantánea en las empresas y corporaciones, ahora se une la amenaza de los virus informáticos. Especialistas de diversos países han advertido a las compañías de que el aumento en el uso de servicios de mensajería instantánea facilita los ataques víricos así como la intercepción de mensajes.
Si esta tecnología se vuelve cada vez más utilizada (como lo es hoy en día el correo electrónico), ciertamente veremos multitud de nuevos gusanos". Muchas instituciones han prohibido el uso del software de mensajería instantánea debido al miedo a que mensajes infectados logren evadir las medidas de seguridad así como por el descenso en la productividad de los empleados.
Se tienen casos típicos como el del gusano W32/Hello.Worm que constituye un ejemplo ya clásico de virus que se transmite a través de MSN Messenger. Este consiste en recibir un mensaje instantáneo del tipo "Tengo un archivo para ti. Es realmente divertido" y una invitación donde se nos pide que aceptemos un archivo llamado Hello.exe.
Si usted es un usuario asiduo de servicios de mensajería. Llámese MSN Messanger, Yahoo Messanger, AOL, etc. Es el momento de reflexionar acerca de ciertas prevenciones mínimas a tomar en cuenta al hacer uso de estos:
1.- Debe saber con seguridad quién le está transfiriendo archivos y de qué archivos se trata antes de aceptarlos.
2.- Ejecute un programa antivirus en todos los archivos recibidos para asegurarse de que no estén infectados.
3.- Asegúrese de que el programa antivirus esté actualizado. Diríjase al sitio Web de la empresa fabricante del programa antivirus o póngase en contacto con ellos para obtener más información.
4.- Haga copias de seguridad de los datos del disco duro regularmente.
5.- Mantenga al día todas la actualizaciones de Seguridad de Microsoft para todos y cada uno de sus programas.
"Si tienes comentarios o dudas, puedes enviarme un mail a arnoldo@microasist.com.mx"
Waldylei Yépez by DarkisX.Com
http://darkisx.com/staticpages/index.php/amp2