Professional Documents
Culture Documents
Gusanos.
Contenido.
Como trabaja un gusano. Comportamiento Tpico. Vulnerabilidades Explotadas. Comportamiento Tpico de un gusano de correo. Vulnerabilidades Explotadas en clientes de correo. Acciones Preventivas. Acciones Correctivas.
25/04/2012
Gusanos.
Un gusano es un programa que puede ejecutarse independientemente, consumir los recursos de la estacin que lo alberga para poder mantenerse y puede propagar una versin completa y operativa de s mismo en otras estaciones.
25/04/2012
El primer gusano conocido apareci el 02 de Noviembre de 1988, Robert Tappan Morris Jr. fue quien elabor una teora acerca de gusanos y adems la puso en prctica El incidente fue llamado Morris Worm Incident o Internet Worm Afect servidores Unix BSD 4.2 y 4.3, y SunOS. Tom ventaja de vulnerabilidades en los servicios de Unix: sendmail, fingerd, rsh/exec y de claves dbiles de los servidores afectados (usuario y clave iguales). Se propag a todos los sistemas que pudo
25/04/2012
Cronologia.
06:00PM El gusano es activado 08:49PM Infecta una VAX 8600 de la Universidad de Utah 09:09PM Empieza a atacar a otros sistemas 09:21PM La carga promedio de los sistemas alcanza nivel 5 cuando el nivel usual es 1 09:41PM La carga promedio alcanza 7 10:01PM La carga promedio alcanza 16 10:06PM Los usuarios no pueden usar los sistemas dnde hay un gran nmero de infectados. 10:20PM Los administradores matan el gusano. 10:41PM Los sistemas son reinfectados y la carga se eleva a 27 10:49PM El administrador reinicia el sistema 11:21PM La re-infeccin eleva la carga promedio a 37
25/04/2012
Efectos.
En 90 minutos, el gusano dej miles de sistemas anulados. 6000 estaciones fueron afectadas. No hubo daos fsicos, pero las prdidas oscilaron entre $100,000 y $100000,000 por prdida de acceso a los sistemas. Conclusin: Los bichos son cosa seria.
25/04/2012
Los gusanos son programas autmatas que se propagan a travs de los sistemas que atacan. Explotan vulnerabilidades de: sistemas operativos, aplicaciones, correo electrnico, etc. El cdigo hostil puede simplemente ser hostigante, o tan peligroso como capturar informacin del usuario para enviarla a una cuenta en Internet o anular un sistema totalmente, Keylogger Una vez afectado un sistema, tratan de infectar a otros y luego de ello atacar el sistema residente. Para detenerlos, es necesario algo ms que un firewall.
25/04/2012
Comportamiento Tipico.
Escanea por sistemas con servicios vulnerables: Apache, IIS, Linux, Windows, Unix, etc. Intenta entrar. Explota la vulnerabilidad Infecta la mquina con cdigo hostil Ejecuta el cdigo hostil: borrar, modificar archivos, robar informacin, colocar troyanos, etc Trata de infectar a otros sistemas Vuelve al paso 1.
25/04/2012
Vulnerabilidades Explotadas.
Funcionalidades de las aplicaciones: ejecucin de cdigo Java, ActiveX en navegadores Recursos compartidos (NetBIOS) El usuario
25/04/2012
Se enva un e-mail infectado con un archivo anexado a la lista de contactos del cliente de correo El contacto recibe el e-mail y abre el archivo anexado Ejecuta/infecta la mquina con cdigo hostil Trata de propagarse a toda la lista de contactos de la mquina infectada. Ejecuta el cdigo hostil: borrar, modificar, colocar troyanos, etc. Vuelve al paso 1.
25/04/2012
Ejecucin de cdigo ejecutable y/o scripts incrustado en correos Ejecucin automtica de cdigo HTML incrustado en correos en el cliente configurado con vista previa. El usuario
25/04/2012
Acciones Preventivas.
A nivel de usuario:
No leer ni ejecutar archivos de dudosa procedencia (spam, etc.) hacer uso del sentido comn. No desactivar el antivirus y mantenerlo actualizado. No visitar pginas de contenido dudoso. Deshabilitar la capacidad de ejecutar macros en MS Office. Aplicar todos los parches a sus sistemas operativos (nunca se olvide de tener un backup). Configurar el correo electrnico para enviar y recibir emails en modo texto. Nunca aceptar archivos que son enviados a travs de News, IRC, e-mails, etc., cuya razn de envo no es clara, etc.
25/04/2012
Acciones Preventivas.
Ante la duda, no haga nada. No ejecutar archivos anexados en correos con nombres sugestivos: Anna Kournikova, Jennifer Lpez, La base de datos de carnivore, etc. Recuerde la Ingeniera Social. En Windows, activar la opcin de visualizacin de extensin de archivos en el Explorador. Si detecta algo extrao en su estacin y no sabe que hacer, desconctela de la red, no la toque y llame al departamento de sistemas. Utilice firmas digitales para autenticar el origen de correos. Nunca propague HOAXes, ya es suficiente con el trfico de los virus, gusanos, spam, etc. NO SEA UN VIRUS!.
25/04/2012
Acciones Preventivas.
A nivel de Servidor:
Correos: Filtrar archivos con extensiones peligrosas: doc, xls, vbs, exe, pif, cpl, ppt, bat, html, htm, mp3, sys, com, shs, ccs, cmd, etc. Correos: Deshabilitar la opcin de Relay para evitar ser el transmisor de virus. Aplicar parches, ejecutar check-lists, etc. Mantener un registro de las comunicaciones que inician los usuarios con otros y que involucran envo de archivos.
25/04/2012
Acciones Correctivas.
Aislar la computadora afectada. Efectuar la limpieza desde un disco con el antivirus. Eliminar archivos sospechosos Efectuar la limpieza a nivel de registro (Windows) Aplicar los parches que sean necesarios Instalar antivirus con firmas actualizadas Reinstalar el sistema operativo de ser necesario.
25/04/2012
25/04/2012
Fin de la Presentacin.
Gracias Por su Atencin.