Gusanos

El gusano: ILOVEYOU (VBS/Loveletter o Love Bug worm)

Es un virus de tipo gusano, escrito en Visual Basic Script que se propaga a través
de correo electrónico y de IRC (Internet Relay Chat). Miles de usuarios de todo el
mundo, entre los que se incluyen grandes multinacionales e instituciones públicas-
se han visto infectados por este gusano.
Su apariencia en forma de correo es un mensaje con el tema: “ILOVEYOU” y el
fichero adjunto LOVE-LETTER-FOR-YOU.TXT.vbs aunque la extensión “vbs”
(Visual Basic Script) puede quedar oculta en las configuraciones por defecto de
Windows, por lo cual la apariencia del anexo es la de un simple fichero de texto.
Cuando se abre el archivo infectado el gusano infecta nuestra máquina y se
intenta autoenviar a todo lo que tengamos en las agendas de OutLook (incluidas
las agendas globales corporativas).
Su procedencia es Manila Filipinas y el autor se apoda Spyder.

El gusano: Blaster (Lovsan o Lovesan)

Se trata de un virus con una capacidad de propagación muy elevada. Esto lo

consigue porque hace uso de una vulnerabilidad de los sistemas Windows NT,
2000 XP y 2003 (que son los únicos afectados) conocida como “Desbordamiento
de búfer en RPC DCOM “.
Se trata de una vulnerabilidad para la que hay parche desde Junio de 2003, todos
los usuarios que no hayan actualizado su sistema desde esa fecha deberían
hacerlo inmediatamente. Por otra parte se propaga usando el puerto TCP 135, que
no debería estar accesible en sistemas conectados a Internet con un cortafuego
correctamente configurado.
Los efectos destructivos consisten en lanzar ataques de denegación de servicio
con el web de Microsoft “windows update” y quizás provocar inestabilidad en el
sistema infectado.

El gusano: Sobig Worm

Un worm o gusano informático es similar a un virus por su diseño, y es

considerado una subclase de virus. Los gusanos informáticos se propagan de
ordenador a ordenador, pero a diferencia de un virus, tiene la capacidad a
propagarse sin la ayuda de una persona. Un gusano informático se aprovecha
de un archivo o de características de transporte de tu sistema, para viajar.
Gusano de envío masivo de correo cuya propagación se realiza a todas las
direcciones electrónicas encontradas dentro de los ficheros de extensiones: .txt,
.eml, .html, .htm, .dbx, y .wab. El correo en el que se propaga el gusano parece
como si fuese enviado por “big@boss.com”.
También realiza copias de sí mismo en máquinas remotas a través de recursos
compartidos en red.

El gusano: Code Red

Este virus al atacar configuraciones más complejas, que no son implementadas

por el usuario final, tuvo menor impacto que el Sircam. Cabe destacar las 2
mutaciones basadas en este virus que circulan por Internet, Codered.C y el
Codered. De que utilizan su misma técnica variando su carga destructiva.

El gusano CodeRed se propaga, escaneando servidores que corran IIS 5.0

(Internet Information Server), desde una lista de direcciones IP generada
aleatoriamente. Cuando encuentra un servidor en alguna de esas direcciones, el
gusano intenta ingresar al sistema a través del puerto 80, explotando la
mencionada vulnerabilidad.

Cuando ingresa en una computadora vulnerable, el gusano examina la existencia

de un archivo C:\NOTWORM, (creado por el propio gusano bajo ciertas
condiciones, si la máquina ya ha sido infectada). Si no existe, el gusano continúa
su labor, de lo contrario puede permanecer residente.

Solo infecta sistemas que se estén ejecutando en idioma inglés (Windows NT y

2000). Si se cumple esta condición, el gusano permanece latente por unas dos
horas antes de dar sus siguientes pasos.

El gusano: Klez

El virus Klez, que surgió a principios de 2002, todavía está en todas las redes y el
riesgo que presenta es cada vez mayor debido a las nuevas variaciones que
siguen apareciendo (como Klez.e, Klez.g, Klez.h, Klez.i, Klez.k, etc.). Las nuevas
versiones del virus incluyen mecanismos de distribución cada vez más ingeniosos,
los cuales le permiten esparcirse aun más fácilmente. El virus KLEZ (cuyo nombre
de código es W32.Klez.Worm@mm) es un gusano que se disemina a través del
correo electrónico. También posee otras 4 formas de difundirse:
 La Web
 Carpetas compartidas
 Agujeros de seguridad de Microsoft IIS
 Transferencia de archivos

Este virus explota una vulnerabilidad en el Internet Explorer por la cual es capaz
de auto ejecutarse con solo visualizar el correo electrónico en el que llega como
adjunto. El virus es capaz de impedir el arranque del sistema y de inutilizar ciertos
programas.
 Troyanos
NETBUS
Es un troyano que forma parte de un programa empleado para la administración
remota de sistemas, desde otros ordenadores. Permite que un usuario (el
atacante) acceda a los recursos del ordenador correspondiente de otro usuario
(atacado), a través de una conexión IP (bien a Internet o el acceso a una Intranet).

Historia
Se escribió en Delphi por Carl-Fredrik Neikter, un programador sueco, en marzo
de 1998, este programa estaba destinado a ser usado para bromas, no para
irrumpinformáticos ir ilegalmente en los sistemas)

Programa cliente
Que es instalado en el ordenador desde el que se desea realizar el ataque.

Programa servidor
Que se instala (automáticamente) en el equipo al que se pretende atacar.
• Se invierten las funciones de los botones del ratón. Es decir, el botón derecho del
ratón adquirirá las funciones que le corresponderían al botón izquierdo y
viceversa.

Efectos
• Una vez que el programa servidor se instala en el equipo afectado, Netbus.160
abre una serie de puertos de comunicación, a través de los cuales recibe órdenes
del programa cliente.
• Permite a un hacker llevar a cabo las siguientes acciones en el ordenador
afectado:
Realizar un volcado de la pantalla donde se ejecuta el servidor.
Capturar pulsaciones de teclado que el usuario atacado realiza.
Desactivar ventanas en el equipo servidor.
Obtener información sobre el usuario.
Enviar y recibir archivos.
Intercambiar las funciones correspondientes a los botones del ratón.
Ejecutar programas.

Back Orifice
Es un programa de control remoto de ordenadores que funciona bajo un servidor y
un cliente. Si colocamos el servidor a otro ordenador remoto, es posible desde el
cliente, gobernar cualquier función del ordenador remoto, entre los que destaca
abrir y cerrar programas, controlar el CD-ROM, leer y modificar ficheros o borrar
parte del disco duro.
Para ello el servidor se auto ejecuta y se borra cada vez que el ordenador ajeno se
enciende, nuestro cliente escanea el puerto elegido y cuando éste está abierto
actúa a través de él, desde un menú repleto de pestañas y opciones de control
remoto. El sistema es bueno para controlar un ordenador u ordenadores dentro de
nuestra red LAN, aunque dejar este puerta abierta para Windows es toda una
amenaza.
Back Orifice fue diseñado con una arquitectura cliente-servidor. Un pequeño y
discreto programa servidor es instalado en una máquina, la cual es controlada
remotamente por un programa cliente a través de una interfaz gráfica desde otro
ordenador. Los dos componentes se comunican usando los protocolos de red TCP
y UDP. Normalmente el programa usa el puerto 31337? .
Back Orifice fue seguido de Back Orifice 2000, que fue presentado el 10 de julio
de 1999 en el DEF CON 7. El código original fue escrito por Dildog, un miembro de
grupo de hackers estadounidenses Cult of the dead cow (cDc). Fue el sucesor de
la herramienta de administración remota Back Orifice, liberada el año anterior.
Mientras que el Back Orifice original estaba limitado a Windows 95 y Windows 98,
BO2K también soporta Windows NT. Además, el código fuente de BO2K fue
liberado.

Sub7, o SubSeven
es el nombre de un software de administración remota para sistemas Microsoft
Windows a través del Internet, es también categorizado como troyano o Puerta
trasera por ciertas características similares a las de un Virus informático. Es usado
para acceder y controlar de forma remota una computadora sin el consentimiento
del usuario, en donde es el usuario que mantiene en su poder al Cliente del
software por medio del Servidor que permite que el sistema comprometido sea
controlado de forma remota. También puede ser usado para actividades de
espionaje, Hacking, y a veces hasta criminales o robo de información sensible. El
nombre del software deriva de otro software de la misma categoría llamado
NetBus cuya escritura a la inversa es suBteN en la que sustituyendo la sílaba ten
por seven que formaría la palabra SubSeven.

Sus funciones básicas son:

 Captura del teclado: obtiene las pulsaciones del teclado.
 Chat: Le da la posibilidad de chatear al usuario remoto o de otros clientes
que ya están conectados a la misma computadora.
 Chat Matrix: Le permite chatear con el usuario remoto al estilo "matrix", al
usuario remoto se le abrirá una ventana totalmente negra con letras verdes
fosforescentes y cubre toda la pantalla del computador, obligándolo a solo
chatear con el usuario que usa el cliente de SubSeven,.
 MSG Manager (Administrador de mensajes de alertas): Esta opción sirve
para configurar y enviar una notificación de alerta de Microsoft Windows
con un mensaje personalizable por parte del Cliente.
 Instant Messenger Spy (Espía de Mensajería Instantánea): Característica
que posibilita ver en tiempo real conversaciones del usuario remoto en las
diferentes aplicaciones de Mensajería instantánea como lo son: Windows
Live Msn, ICQ, AIM , etc.
 FileManager (Administrador de Archivos): Esta característica permite
explorar en disco duro remoto por medio del sistema de ficheros del
windows, usted puede cargar / descargar / modificar / eliminar cualquier
archivo que desee. Básicamente, es como el Explorador de Windows pero
en forma remota.
  Windows Manager (Administrador de Ventanas): Aquí usted puede
controlar cualquier ventana abierta en el computador remotamente, por
ejemplo, bloquear, cerrar, minimizar y maximizar una de sus ventanas de su
explorador web, Bloc de notas, o algún otro programa abierto.
 Process Manager (Administrador de tareas): Con esta opción, podrá ver los
procesos en ejecución, y detalles de esos archivos, como su peso ,
consumo de memoria de la Unidad central de procesamiento, etc.
 Clipboard Manager (Administrador del Porta papeles): Captura cualquier
texto grabado en el portapapeles del computador.

Carberp
es un troyano totalmente modular, desarrollado para robar información, capaz de
descargar y ejecutar nuevos plugins con nuevas funciones, comunicarse con una
lista de servidores C&C (comando y control) cifrando todo el tráfico, utilizar
técnicas de rootkit para ocultarse, puede ejecutarse por completo en modo de
usuario, incluso dentro de las cuentas limitadas y pudiendo ser controlado a
distancia convirtiendo la PC infectada de la víctima en un PC Zombi y parte de su
Botnet.
Carberp es capaz de detectar y bloquear el Antivirus que esté utilizando la victima
al igual que irónicamente limpiar el equipo víctima de cualquier otro malware
similar a el como ser: ZeuS, Zbot, Limbo, Barracuda, Adrenalin, MyLoader,
BlackEnergy, SpyEye.
Carberp ha entrado por la puerta de atrás sin hacer mucho ruido y se espera que
se riegue mucho más durante el 2011, convirtiéndose en una de las mayores
amenazas de robo de información.

Así funciona SpyEye

* Algo curioso de SpyEye es su panel de control y los métodos para robar datos y
realizar fraudes. El más llamativo sin duda es "Create task for Billings". Este
método permite hacer que los datos de tarjetas de crédito robados sean usados
directamente para realizar compras en los lugares que el atacante elige cada
cierto tiempo y utilizando los datos robados de las víctimas. Así, el atacante recibe
un beneficio directo y el delito es más difícil de ser rastreado.
* Create Task for Loader permite al atacante indicarle a los zombies que carguen
alguna página y cuántas veces deben hacerlo. Si se configura los zombis para que
visiten anuncios o banners publicitarios, el atacante obtendrá un beneficio directo.
También puede ser utilizado para que descarguen malware.
* Virtest. Es una página europea que permite a los usuarios registrados analizar un
binario por varios motores antivirus. Con este plugin el binario puede ser enviado
cómodamente desde el panel de control de SpyEye.
* FTP backconnect y Socks5: Permite conectarse a cualquier zombi para subir
archivos, por ejemplo o usarlo como proxy.
* La opción "settings" del panel de recopilación de datos permite configurar una
cuenta de correo donde los datos serán comprimidos, enviados y borrados cada
cierto tiempo. En caso de caída del C&C, el atacante cuenta con este respaldo.

En resumen, SpyEye es muy cómodo para los atacantes. Se diferencia de Zeus

fundamentalmente en que se centra mucho más en la comodidad para
aprovecharse de los datos robados. Zeus simplemente recopilaba datos, y dejaba
a la imaginación del atacante cómo utilizarlos.

Antivirus

Antivirus NOD32:
ESET NOD32 es un programa antivirus desarrollado por la empresa ESET, de
origen eslovaco. El producto está disponible para Windows, Linux, FreeBSD,
Solaris, Novell y Mac OS X, y tiene versiones para estaciones de trabajo,
dispositivos móviles (Windows Mobile y Symbian), servidores de archivos,
servidores de correo electrónico, servidores gateway y una consola
de administración remota.

ESET también cuenta con un producto integrado llamado ESET Smart

Security que además de todas las características de ESET NOD32, incluye
un cortafuegos y un antispam.

Protección
Este antivirus protege contra Virus, Troyanos, programas espías y Adware, así
como de amenazas desconocidas gracias a su excelente Heurística.

Optimiza el rendimiento de tu PC con cualquiera de nuestras soluciones

Bloquea ransomware y virus
Protege tu identidad
Bloqueo de exploits
Disfruta de un soporte técnico gratuito
Protección de la webcam y router doméstico
Compra por Internet con seguridad
Evita que los cibercriminales accedan a tu equipo
Mantén a tus hijos seguros en Internet
Protección contra botnets
Almacena las contraseñas de forma segura y cifra la información
Una única licencia para Windows, Mac o Android

Avast
Es un programa antivirus muy completo que detecta y elimina malware y virus de
su ordenador o dispositivo móvil. Aunque avast! es gratuito para usos no
comerciales en un ordenador personal o doméstico, es necesario registrar la copia
gratuita después de la instalación.
Es sin duda uno de los mejores antivirus para eliminar ciertos virus específico
(troyanos, gusanos, y spyware).

Barra de herramientas: donde encontrarás todas las funciones del software.

Ventana principal: desde aquí efectuarás toda clase de acción (análisis
automáticos y personalizados, programaciones, configuraciones avanzadas).
  Máxima protección para su navegación en internet
 Asegura sus compras y transacciones bancarias en línea
 Protege su identidad y sus datos
 Filtra el SPAM y el e-mail fraudulentos.
 Bloquea los virus y el spyware
 Impide ataque de hackers
 Protege su dirección IP

Kaspersky Anti-Virus.
Es un antivirus que realiza una excelente combinación de protección reactiva y
preventiva, protegiéndote eficazmente de virus, troyanos y todo tipo de programas
malignos. Adicionalmente, dentro del grupo de programas malignos, Kaspersky
Anti-Virus también se encarga de proteger tu Registro y todo tu sistema contra
programas potencialmente peligrosos como los spyware.

Kaspersky Anti-Virus cuenta con una merecida fama de ser uno de los antivirus
que posee un mejor análisis en 'busca y captura' de virus. Eso sí, Kaspersky
realiza un análisis muy a fondo con lo que suele tardar bastante. Soluciónalo
programando el análisis en una hora en la que no necesites el PC. En cuanto a las
novedades de Kaspersky Anti-Virus, cabe destacar el Gadget para Windows
7 y Windows Vista, que facilita el acceso a las funciones de forma rápida y
cómoda, así como la posibilidad de instalarlo incluso en programas ya infectados.

Funciones mejoradas de detección de virus

El administrador de tareas rediseñado facilita la consulta del estado de los
procesos de análisis y de cómo los procesos de seguridad de Kaspersky utilizan
los recursos de tu ordenador.
El galardonado software antivirus de Kaspersky protege tu PC frente a todo tipo de
malware, entre ellos:

 Virus informáticos
 Troyanos
 Gusanos
 Rootkits
 Spyware
 Bots… y mucho más

Panda antivirus Global protection.

Panda antivirus un producto anti-malware era una de las mejores marcas de
software para proteger el pc. Hoy en dia software como por ejemplo SpyHunter
son evaluados con una mejor nota. Este producto ofrece la seguridad completa
para las amenazas en internet.
 La nueva obra maestra de Panda antivirus se llama Panda Global Protection.
Este programa innovador contiene una nueva tecnología que protege contra todos
los tipos de amenazas: hackers, gusánanos, virus, fraude, robo de identidad,
spam, spyware y todo los malware más actuales. Panda antivirus Global Protecion
contiene todas las características de que un buen escáner de virus deba tener.
¡Este producto ofrece mucho más!
Panda antivirus Global Protecion contiene TruPrevent & Genetic Heuristic anti
malware con Collective Intelligence tecnología para proteger, de una forma
proactiva, contra malware y otros virus.

 Proteja sus dispositivos contra virus y otras amenazas

 Navegar por la Web de forma segura
 Descargar y compartir archivos sin sorpresas desagradables
 Optimice y aproveche al máximo sus dispositivos
 Compre y pague en línea sin riesgo
 Proteja a los niños de sitios peligrosos

AVG
es un software antivirus desarrollado por la empresa checa AVG Technologies,
disponible para sistemas operativos Windows, Linux, Android, iOS y Windows
Phone, entre otros.

AVG destaca la mayor parte de las funciones comunes disponibles en el antivirus

moderno y programas de seguridad de Internet, incluyendo escaneos periódicos,
escaneos de correos electrónicos enviados y recibidos (incluyendo la adición de
anexos de página a los correos electrónico que indican esto), la capacidad de
reparar algunos archivos infectados por virus, y una bóveda de virus donde los
archivos infectados son guardados, un símil a una zona de cuarentena.

Funciones
Detenga virus, spyware, ransomware y otros tipos de malware.
Bloquee enlaces, descargas y archivos adjuntos de correo electrónico inseguros
Analice el PC para encontrar problemas de rendimiento
Obtenga actualizaciones de seguridad en tiempo real
Disfrute de un nivel extra de protección contra ransomware para sus carpetas
personales
Mantenga a los hackers alejados con un firewall mejorado
Evite los sitios web falsos para realizar pagos más seguros