El malware ramnit está de moda, debido al ataque que con él se le ha hecho a facebook, robando las claves de acceso de miles de usuarios en Reino Unido. Empecemos diciendo que ranmit tiene varios nombres de acuerdo al antivirus que se emplee para identificarlo.
Win32.Krap.hm (Kaspersky)
SHeur3.ANKJ (AVG)
TR/Crypt.ZPACK.Gen (Avira)
Trj/Krap.Y (Panda
Win32/Zbot.A (AVG)
W32/Infector.Gen2 (Avira)
W32/Ramnit.a (McAfee). Leer mas“Malware Ramnit” »
Vamos a hablar en este artículo titulado autorun.info y raidhost.exe de dos virus o variantes de malware que afectuan nuestros equipos con una frecuencia asombrosa. Retomo dos ensayos previos y breves para estructurar una única propuesta que espero les sirva.
El virus autorun.inf de las memorias USB es bien interesante, pertinaz y difícil de lidiar si no se posee cierta experiencia o destreza.
En casa de un amigo corrimos el avast (el antivirus que él tenía funcionando en su pc) desde el arranque, detecto un troyano, parte sin novedad, reiniciamos, conectamos una memoria usb y decía que tenía el virus autorun.inf, pero igual no lo eliminaba. Bueno, plan b: descargué el ashampoo antispyware 2 y eliminó como 89 amenazas, pero en la memoria no detectaba nada extraño.Sin desesperarme, ingresé a zonavirus, el portal de Satinfo S.L., descargué unas excelentes herramientas como son EliTriIP, EliStara, EliPalevo, EliBagle (que en otras ocasiones me han ayudado en procesos de desinfección de virus de mi pc). Corri el EliStara y me informa: Detectado AUTORUN.INF en la Unidad (H) open=cold\hott\raidhost.exe. Corri todas las utilidades que normalmente funcionan y nada. Segui buscando ayuda en las utilidades Satinfo y corri una nueva para mi, el EliPen v1.9, que renombró el Autorun.inf a .old,, reinicié el ordenador y listo. Pudimos volver a accesar a la memoria sin inconveniente.
…
Pero el ejecutable causante del mal seguía ahí, vivito y coleando dentro de mi pc, nada más y nada menos que en Windows y enC:\windows\raidhost.exe, para ser más exactos. El software se identifica como tightVNC win 32 Viewer. La Compañía distribuidora, dícese llamar tightVNC group. La versión del que malware que albergaba mi ordenador, era la 1,3,10, 0 . La dichosa compañía alardea de copyright desde el 2000-2009. Internamente el archivo se reconoce como vncviewer. El malware se ubicaba en el inicio, como un programa cualquiera.
¿Cómo sé esto? Testeando antispyware en mi pc, instalé el spyware terminator quien detectaba dicho software como desconocido y de inmediato lo reconocí, le pedí el favor al programa que lo pusiera en cuarentena y luego que lo eliminara.
Amigos, mucho cuidado con el raidhost.exe, no vaya que lo eliminen de su pen drive y resulten contaminando a otras memorias usb y propagando el software malicioso. ¿Ven lo importante de un buen software antivirus afilado, actualizado y residente? ¿o de un antispyware de altas prestaciones, residente y con protección en tiempo real?
Ver también: virus mutantes y virus de archivo
En virus mutantes y virus de archivo veremos lo que hacen esta clases de virus en nuestros equipos de mesa y laptops.
Los virus de archivo son una clase de virus que consisten en un código hostil que se puede adjuntar por sí mismo a los archivos de programa.
Los virus de archivo pueden infectar programas con las extensiones de nombre de archivo .exe y .com . Tambien pueden atacar a otros archivos ejecutables un tanto menos conocidos, como los que emplean las extensiones .sys, .ovl o .drv
Los virus de archivo suelen permanecer en la memoria después de ejecutarse, y prosiguen infectando cualquier programa que inicie el usuario del equipo infectado.
Ojo. No descuide actualizar su software antivirus y así se evitará que un virus de archivo carcoma su información. Remover virus así, de esta manera, ya no es tan complicado.
Los virus polimorficos son los mismos virus mutantes.Continuando con nuestro glosario de malware y virus, esta vez nos corresponde saber en que consisten los virus mutantes.Los virus mutantes son una clase de virus capaces de modificar su patron de bytes al replicarse.
Tengamos en cuenta que el autor de un virus tambien puede incorporar rutinas de cifrado que hagan que el virus parezca completamente diferente en equipos distintos o incluso en archivos infectados del mismo ordenador. Esta característica permite al virus evitar ser detectado por los programas antivirus que buscan cadenas de texto específicas en ubicaciones concretas.
Por eso es importantísimo poseer siempre instalado el mejor software antivirus, por su seguridad y la de sus datos.
Ahora bien, ¿sabe usted cual es el origen de los virus? ¿No tiene idea? Pues le vamos a hacer una corta narración histórica sobre los virus.
Rastreemos el origen de los virus informaticos. Nos tenemos que remontar al año 1949, cuando John Von Neumann, reconocido matemático y teórico de la computación, expone su teoría de programas con capacidad de multiplicarse en el artículo “Teoría y organización de un autómata complicado”.
Unos años después, en su libro “El ordenador y el cerebro”, continuaría con un estudio acerca códigos que se reproducen a sí mismos. Sin embargo, todas esas aportaciones eran teóricas, ya que estábamos en plena prehistoria de la informática.
Más tarde,durante los años 60, en los laboratorios de AT&T Bell inventaron el juego Core Wars (guerra de núcleos de ferrita o guerra nuclear).
Consistía en una batalla de dos códigos de programadores, en la que cada jugador desarrollaba un programa cuya misión consistía en acaparar la máxima memoria posible mediante la reproducción de sí mismo.
Tras un tiempo preestablecido, ganaba el que más memoria hubiera ocupado; también se podía terminar el juego si un programa se hacía con toda la memoria, destruyendo a su enemigo.
Saltamos a 1983 para proseguir con nuestra historia.
En aquel año, Core Wars vive su época de mayor esplendor como “deporte” entre hackers dentro del MIT, y en el Centro de Investigación Xerox de Palo Alto. Ese mismo año, 1983, nacía el término “virus informático”, tal y como lo entendemos hoy día. Fred Cohen, en su tesis doctoral, define “virus” como: “un programa que puede infectar a otros modificándolos para incluir una versión de sí mismos”.
En esta tesis presentó diversos experimentos que demostraban la factibilidad de estos programas, y probó las limitaciones para defendernos de ellos y la imposibilidad de diseñar un sistema de detección universal.
A fecha de hoy, todo lo que expuso Fred Cohen, incluida la definición de virus, sigue vigente. Sin embargo,no sería hasta 1986 cuando se produjo la explosión del fenómeno “virus”: se detectan las primeras infecciones masivas por parte de los virus Brain, Lehigh, y al archiconocido Viernes 13.
Brain fue escrito en 1986 por dos hermanos, Basity y Alvi Amjad Farooq, dueños de la tienda Brain Computer Services en Lahore, Paquistán.
El virus, que consistía en infectar los sectores de arranque de disquetes de 5.25 pulgadas, tenía la peculiaridad de cambiar la etiqueta de éstos con la cadena “(C) BRAIN”. La difusión del virus ha durado hasta principios de los 90, encontrándose en la Universidad de Delaware uno de los casos más sonados por infección masiva. Fue entonces cuando un ingeniero de la Providence Journal Corporation, Peter Scheildle, tras estudiar su código descubrió un mensaje oculto entre los sectores infectados. Entre los datos que pudo encontrar detuvo su atención en lo que parecía un número de teléfono. Cuando Scheildle llamó a dicho número se encontró con los hermanos Amjad, que explicaron que el propósito al escribir el virus era seguir el rastro de las copias piratas de sus programas.
En 1987 el virus Leihgh causó una infección masiva en la universidad del mismo nombre, Pensylvania. En esta ocasión el virus infectaba el fichero del sistema de los discos, Command.COM, y afectó a todos los departamentos y estudiantes de la universidad mediante los disquetes.Aunque nunca se llegó a probar, todo parece indicar que su origen parte de algún estudiante de la misma universidad.
El virus Viernes 13 hizo su aparición en diciembre de 1987 en la Universidad de Jerusalem.
Es uno de los virus más famosos. Atacaba tanto a ficheros con extensión COM como EXE, aumentando su tamaño en 1.808 bytes.Tenía en su código un error que hacía que el virus se copiara en los ficheros EXE aunque éstos ya estuvieran infectados, lo que provocaba que crecieran hasta que fueran tan grandes que no cabían en memoria.Uno de sus efectos, que le dio nombre, fue que si la fecha del sistema era viernes 13 el virus borraba cualquier programa que se ejecutara. Más tarde se sucedieron numerosas versiones de este virus, donde se corregían los errores en su código, y lo hacían más difícil de localizar.
A raíz de estos virus se produce un autentico fenómeno social en torno a estos engendros informáticos. A muchos programadores les encanta la idea de que un programa creado por ellos tenga “vida propia” y surge una corriente de escritores de virus.A partir de entonces comienza una carrera,con incrementos geométricos, agravado por la proliferación de los virus de macro que son muy fáciles de programar a diferencia de los binarios escritos en su mayoría en ensamblador.
Ver también: seguridad informática
Software antivirus estuvo fragmentado en varios artículos pequeños, alojado en la plataforma blogger. Ahora hemos juntado sus partes y lo compartimos de nuevo a ustedes.Vamos a elegir software antivirus. ¿Qué necesitamos saber para elegir el mejor programa antivirus ?
En primer lugar cuestionarnos, ¿Necesito un antivirus personal o uno para una red?
¿Es compatible el programa antivirus con mi versión de Windows? ¿Tiene mi ordenador la memoria RAM recomendada para correr dicho sotware ? ¿El procesador mínimo?
Hay que evaluar la facilidad de instalación, la ayuda para hacerlo. ¿Necesitamos reiniciar el pc después de instalar? ¿Incluye desinstalador (uninstaller)?
¿Que funciones cubre el sotware antivirus? En esta categoría caben antispyware, antispam, antiphising, firewall, control parental, protección en tiempo real, copias de seguridad, número de licencias y detección proactiva. ¿Cuantas veces se actualizan las definiciones de virus?*
¿Qué compresores son capaces de explorar?
¿Se integra con mi firewall personal o corporativo? ¿Se puede configurar este software antivirus para que se actualice automáticamente? ¿Cuanto cuesta el software? ¿Existe una versión de prueba?
¿Está certificado el software antivirus por ICSA Labs? Wait a minute. ¿Qué es ICSA Labs? Es un reconocido comprobador independiente de los antivirus comerciales, que basa sus certificaciones en dos parametros fundamentales: un programa debe detectar el 100 % de los virus conocidos y el 90% de los virus creados en laboratorios.¿Funciona la Heuristica del antivirus? ..Ah, creo conveniente explicar que es heurística para interpretar mejor la pregunta anterior: La heuristica es un estilo de detección y búsqueda de virus por cuenta del software antivirus, tomando como fundamento unas pautas sospechosas (es decir,en función de su comportamiento).
En teoría este tipo de análisis heurístico puede detener un virus nuevo incluso antes de que el desarrollador del software antivirus haya actualizado los archivos de signatura (patrones o deficiniciones) del programa. No obstante, la heuristica a veces falla y presenta falsas alarmas, cuando un programa en el que se confía se comporta de manera similar a un virus (al menos así, lo “lee” el antivirus”).
A la hora de elegir software antivirus, se nos viene a la cabeza como alternativas a evaluar: Avast, Nod 32, Avg, Kaspery, McAfee, Panda software, Norton, F-Secure, bitdefener, zonelarm, CA, Pc-cillin, Bullguard, sophos, pc tools, webroot, command, Antivir, Radialpoint, Virusbuster. ¿Cual otro antivirus incluiría para tener dentro de los elegibles para usar en nuestro pc o en el de la empresa?
*Definiciones de virus alude a los signos que identifican el contenido y el comportamiento de los troyanos, virus y gusanos específicos. También son conocidos como signaturas o patrones de virus. Todos los desarrolladores de software antivirus utilizan definiciones para detectar virus, y actualizan sus archivos de definición de virus regularmente conforme se descubren variaciones. Sin un archivo de definiciones (“fichero de firmas”) actualizado, el software antivirus no sería efectivo y podría ser peligroso por la falsa sensación de seguridad que transmite.
Hablemos un poco sobre los nombres de virus, una temática interesante para comprender el funcionamiento de este tipo de software dañino para nuestro pc.
El nombre de un virus es asunto de alta importancia , puesto que su nombre oficial debe determinar no solo su identidad sino tambien su comportamiento y su modo de transmisión, de tal forma que nos permita a mediano plazo desarrollar opciones de bloqueo para el mismo.
La entidad mundial que coordina y tiene la ultima palabra en esto de los nombres de los virus, es la CARO (Computer Anti-Virus Researches Organization); dicha entidad dicta las normas generales a la hora de etiquetar a un virus, pero las empresas especializadas en software antivirus, puden añadir sus propios prefijos y sufijos para vender mejor sus antivirus.
Pero cuidado, la prensa alude generalmente a virus, gusanos y malware en general por su nombre común, en tanto que la información técnica está debidamente organizada utilizando nombres estandarizados.
El nombre de un virus se compone de varios elementos:
1-) Un prefijo, que identifica el tipo de virus o malware. Casi todos los virus que atacan al sistema Windows poseen el prefijo W32 (Virus de Windows de 32 bits)o Win32, I-Worm (gusano de internet), JS (Java Script) o VBS (virus de Visual Basic Script).Es normal un prefijo Troj par los troyanos, worm que es un gusano de la web y OM que es un virus macro de Microsoft Office.W97M, WM, X2KM son otros prefijos de virus de macro. El prefijo casi siempre va separado del nombre por un guión.
2-) Un nombre de familia, que por lo general se obtiene del propio código del virus.
3-) Una versión principal. Si aparece este sufijo, será un número que identifica el tamaño de archivo del virus. Este elemento lo omiten casi todos los desarrolladores de software antivirus.
4-) Una versión secundaria. Este sufijo suele ser una letra que distingue versiones alternativas de un mismo virus que está en circulación.
Otra forma de decirlo, los nombres de virus se componen de un prefijo, un sufijo y un nombre como tal.En su orden primero el prefijo luego el nombre del malware como tal; por último va el sufijo que contiene un componente alfabético en orden descendente de acuerdo a su descubrimiento, cuando se acaba el alfabeto y hay más variantes, entonces se añade aa, ab y así sucesivamente. El sufijo va separado del nombre del virus normalmente por un punto o un guión.
Y para rematar este articulo sobre el nombre de un virus, recordemos que, algunos nombres emplean los modificadores @m y @mm para identificar virus que se distribuyen por correo electronico o envios masivos, el @dl para identificar los virus en gestores de descargas.
Pero ni se crea que pese a estos estándares cuando usted busca información sobre una amenaza la va a encontrar con el mismo nombre; los fabricantes de antivirus emplean por lo general nombres distintos, luego vale la pena buscar la amenaza seguida del nombre del vendedor del antivirus (no del señor que suministró la licencia sino la empresa de software como Norton, avg, avast, etc).
Solo espero que esta información básica sobre los nombres de los virus haya sido de utilidad para mis amigos lectores.
Ver también: seguridad informática, que son troyanos
¿Que son troyanos? Es la pregunta que intentaremos resolver en este espacio.La analogía del nombre les viene del caballo de troya, ¿recuerdan? Ese artilurgio que los griegos lograron introducir con engaños dentro de la ciudad para después tomarla a sangre y fuego desde adentro con solo un puñado de hombres.
Los troyanos (trojans), en sistemas informaticos, son conocidos tambien como caballos de Troya o programas “de puerta trasera”. Vienen siendo fragmentos de sofware hostil que actuan como servidores ocultos, permitiendo a los intrusos asumir el control de un equipo remoto sin el conocimiento del propietario.
Los troyanos (trojans) se enmascaran de programas benignos y “utilizan” a usuarios crédulos que los instalan. El codigo hostil se puede disfrazar detrás de un protector de pantalla, un juego, un parche de windows o de internet explorer, de utilidad de descarga, etc.
El caballo de troya podrá instalar un programa inofensivo como parte de su rutina de instalación o podría fingir un fallo, mostrando un mensaje de error al usuario. Pero ojo, el trabajo sucio se realiza en segundo plano, cuando el troyano instala sus archivos ejecutables modificando entradas del registro de windows y cambia las configuraciones de su sistema operativo.
-Pero los troyanos son exclusivos de Windows. Noooo. El Ms-Dos, Unix, Linux, Mac OS, OS/2 y Palm OS tambien son perjudicables por los caballos de troya informaticos.
¿Que daños puede causar un troyano?
El atacante puede modificar o eliminar archivos; puede robar información de tarjetas de crédito, contraseñas y archivos confidenciales del usuario; obtener acceso a otros equipos de la red local de la victima o de internet.
El nombre dado a los equipos bajo el control de un troyano generalmente se les dice “zombies” y se usan para ataques masivos que casi siempre pretenden bloquear sitios web (Denegación del servicio), al inundar uno o varios servidores con cantidades masivas de datos y bloqueando eficazmente el tráfico legal, como sucedio no hace mucho con Twitter, facebook y otras empresas web.
Un ordenador infectado con troyanos suele funcionar como un servidor de red, aceptando las conexiones entrantes en un número de puerto específico.
Los troyanos, virus y gusanos, hacen parte de algo llamado software malicioso. No es raro que un ataque de este software malicioso incluya tecnicas mixtas. Un buen antivirus con herramientas anti troyanos, es recomendable y/o una poderosa herramienta para eliminar spyware(spyware remover).Ah y no olvidar tener instalado y en funcionamiento un óptimo firewall o cortafuegos.¿Tiene en mente alguna marca en especial?
Ver: Seguridad informática, virus y gusanos
Virus y gusanos fue un articulo que tení colgado en la plataforma blogger, donde empecé a crecer y que ahora, remozado presento a ustedes en este blog.
Los virus y gusanos son un lugar comun en nuestros dias y en nuestros computadoras. ¿Que es un virus? Un virus es un fragmento de código que se replica adheriéndose a otro objeto (generalmente sin consentimiento ni conocimiento del usuario), sin obligatoriamente ser un programa de autocontenido. Es más, la mayoría de brotes de virus nuevos, generalmente son versiones reescritas de código de virus antiguo.
Muchos virus infectan el registro de Windows, reemplazan archivos del sistema y toman el control de los programas de correo electrónico, intentando duplicarse a sí mismo. Otros virus pueden destruir o corromper archivos de datos, borrar programas instalados o dañar el propio sistema operativo.
¿Cuando apareció el primer virus informatico? El primer virus de ordenador apareció en el año de 1981, mucho antes de la aparición de Microsoft Windows. ¿Cómo era este primer virus de computadora? Era un virus disfrazado de videojuego y su objetivo destructivo fue la Apple II ;su propagación, si bien fue lenta, se hizo por medio de disquetes infectados.
Actualmente los autores de virus son sofisticados, con configuraciones inteligentes, mecanismos sofisticados de cifrado, plug-ins descargables y actualizaciones automaticas basadas en la web.
Hay virus polimórficos mutan a medida que infectan los archivos de un nuevo equipo, aparentando ser dos virus diferentes y no dos instancias del mismo virus.
Otra clase de virus, los virus invisibles, se disfrazan de tal forma que los antivirus no los detecten en primera instancia.
Pero vale la pena reseñar también los virus de macro. Muchas aplicaciones incorporan sus propios lenguajes de programación para que los usuarios diseñen programas que automaticen ciertas tareas repetitivas.
Los virus de macro aprovechan estos lenguajes de programación para infectar a otros documentos de esa misma aplicación.
Suelen ser muy fáciles de programar, en comparación con el ensamblador .
Uno de los casos más extendidos es el de Office de Microsoft.
Si la configuración de seguridad del programa permite que se ejecute el virus de macro mientras el documento esa abierto, el virus puede causar daños y replicarse a otros documentos.
Dentro de los virus macro, fue muy famoso el Melissa, para Word que se transmitía rápidamente por correo electrónico.
Pendientes entonces de los virus macro; que su antivirus este al dia y residente en memoria.
¿Que son los gusanos informaticos?Los gusanos son programas independientes que se duplican a si mismo copiandose de un equipo a otro, generalmente como archivos adjuntos en un mensaje de correo electronico. Casi siempre los gusanos poseen codigo de tipo virus que pueden dañar datos o consumir tantos recursos del sistema hasta inutilizar el sistema operativo.
Gran cantidad de virus y gusanos se propagan en archivos adjuntos de los correos electronicos, retransmitiendose a si mismos a cualquier dirección que encuentren en el equipo.
Otros virus activos se ocultan en archivos adjuntos de correo electronico intentando camuflarse, añadiendo una extensión de archivo adicional al nombre del archivo infectado. Esta estragegia se funda en que la mayoría de usuarios tienen la configuración predeterminada que oculta las extensiones de los archivos conocidos.
Pero virus y gusanos (frangmentos de codigo malicioso) se pueden transmitir tambien a máquinas desprotegidas mediante recursos compartidos, scripts y controles de Active X. Ojo con las páginas pornográficas, software ilegal y juegos que son el caldo de cultivo de virus y gusanos potencialmente peligrosos.
¡Ah! Y es muy sutil la diferencia entre virus y gusanos. Muchos expertos en seguridad informatica aun los confunden.
¿Que hacer para prevenir la infección con virus o gusanos? Instalar un software antivirus y mantenerlo actualizado. ¿A que llamamos un buen software antivirus? Al que supervisa todo el software que se descarga y todos los adjuntos de los correos electrónicos en tiempo real, sin esperar ordenes manuales. Debemos asegurarnos que dicho antivirus se actualice frecuentemente y, no confiarnos en un software antivirus desactualizado que transmite falsa confianza y nos puede conducir a la pérdida de datos.
Además de esto, tenga su firewall o cortafuegos, debidamente activado.
Virus y gusanos, una faceta del software malicioso que puede perjudicar nuestro diario transcurrir frente a ordenadores e internet.
Ver también seguridad informática , sistemas de almacenamiento
Después de tanto esquivar el tema, voy a hablar del google pack. Y digo evadir la temática proque honestamente pensaba que estaba mandado a recoger y que tal vez no existiera en la actualidad. Lamento decirlo (¿o me alegra?) pero google pack está vivo. Consiste básicamente en un conjunto de programas, de software recomendado por google para usar en nuestros ordenadores, generalmente gratuito (freeware) y fácil de instalar. Por ejemplo, luego de dar guerra contra los virus y mi antivirus tradicional, mirando en el google pack ví que recomendaban usar avast antivirus, entonces me rasqué la cabeza a deducir: si lo recomiendan es por algo…nada…toca. Otros programas que recomiendan: google chrome; firefox, barra con google; spyware doctor con antivirus; adobe reader; real player; skype; google desktop; google apps; google earth; barra google para IE; google picasa. Varios de esos programas ya los usaba sin saber que estaban avalados por google y menos que desde una única interfase podía descargarlos (y yo dando tumbos buscando cada página web del fabricante para tener sus programas) y tenerlos actualizados gracias a la tecnología google update. De pronto no le encontré mucho sentido a tener un acceso directo a google apps en mi escritorio, ni me llaman la atención por ahora google earth o google desktop. Hechas estas excepciones, el google pack es una gran utilidad que todo el mundo debería aprovechar pues agiliza procesos. ¿Cómo es esto? Si una persona solo sabe navegar en internet explorer, definitivamente le conviene probar google chrome que abrumadoramente más veloz; si emplea antivirus piratas o ilegales, qué mejor que probar un antivirus gratis, legal y eficiente como avast; si está cansado que su reproductor de windows no lea ciertos formatos, que se “atore” por no poder actualizarse por x o y motivos, vale la pena descubrir real player…y así sucesivamente. Google pack, a tener en cuenta.
Leer: Bing-google