Spam I

a

Se llama spam, correo basura o mensaje basura a los mensajes no solicitados, no deseados o de remitente no conocido (correo anónimo), habitualmente de tipo publicitario, generalmente enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor. La acción de enviar dichos mensajes se denomina spamming. La palabra spam proviene de la segunda guerra mundial, cuando los familiares de los soldados en guerra les enviaban comida enlatada, entre estas comidas enlatadas, estaba una carne enlatada llamada spam, que en los Estados Unidos era y sigue siendo muy común.

Aunque se puede hacer spam por distintas vías, la más utilizada entre el público en general es la basada en el correo electrónico. Otras tecnologías de Internet que han sido objeto de correo basura incluyen grupos de noticias, usenet, motores de búsqueda, redes sociales, páginas web wiki, foros, web logs (blogs), a través de ventanas emergentes y todo tipo de imágenes y textos en la web.

El correo basura también puede tener como objetivo los teléfonos móviles (a través de mensajes de texto) y los sistemas de mensajería instantánea como por ejemplo Outlook, Lotus Notes,Windows live ,etc.

También se llama correo no deseado a los virus sueltos en la red y páginas filtradas (casino, sorteos, premios, viajes, drogas, software y pornografía), se activa mediante el ingreso a páginas de comunidades o grupos o acceder a enlaces en diversas páginas o inclusive sin antes acceder a ningún tipo de páginas de publicidad.

De todas formas, el spam ha tomado una resemantización dentro del contexto de foros, siendo considerado spam cuando un usuario publica algo que desvirtúa o no tiene nada que ver con el tema de conversación.1 También, en algunos casos, un mensaje que no contribuye de ninguna forma al tema es considerado spam. Una tercera forma de Spamming en foros es cuando una persona publica repetidamente mensajes acerca de un tema en particular en una forma indeseable (y probablemente molesta) para la mayor parte del foro. Finalmente, también existe el caso en que una persona publique mensajes únicamente con el fin de incrementar su rango, nivel o número de mensajes en el foro.

http://www.youtube.com/watch?v=apCdjFIacfU

Historia

El correo basura mediante el servicio de correo electrónico nació el 5 de marzo de 1994. Este día una firma de abogados, Canter and Siegel, publica en Usenet un mensaje de anuncio de su firma legal; el día después de la publicación, facturó cerca de 10.000 dólares por casos de sus amigos y lectores de la red. Desde ese entonces, el marketing mediante correo electrónico ha crecido a niveles impensados desde su creación.

Aunque existen otras versiones que datan su origen el 3 de mayo de 1978, cuando 393 empleados de ARPANET, el predecesor de Internet gestionado por el gobierno estadounidense, recibían con sorpresa un correo de la compañía de ordenadores DEC invitándoles al lanzamiento de un nuevo producto.

El correo basura por medio del fax (spam-fax), es otra de las categorías de esta técnica de marketing directo, y consiste en enviar faxes masivos y no solicitados a través de sistemas electrónicos automatizados hacia miles de personas o empresas cuya información ha sido cargada en bases de datos segmentadas según diferentes variables.

b

Correo masivo en diferentes medios

Spam en los blogs

Es una técnica de correo basura relativamente nueva, que surge con el auge de los blogs. Consiste en dejar un comentario en una entrada, que por lo general no tiene nada que ver con la misma sino que tiene enlaces a sitios comerciales, o promociona algún producto.

Spam en el correo electrónico

El correo masivo supone actualmente la mayor parte de los mensajes electrónicos intercambiados en Internet, siendo utilizado para anunciar productos y servicios de dudosa calidad. Rolex, eBay y viagra son los asuntos de los mensajes que compiten por el primer lugar en las clasificaciones de spam.

 c

Usualmente los mensajes indican como remitente del correo una dirección falsa. Por esta razón, no sirve de nada contestar a los mensajes de spam: las respuestas serán recibidas por usuarios que nada tienen que ver con ellos. Por ahora, el servicio de correo electrónico no puede identificar los mensajes de forma que se pueda discriminar la verdadera dirección de correo electrónico del remitente, de una falsa. Esta situación que puede resultar chocante en un primer momento, es semejante por ejemplo a la que ocurre con el correo postal ordinario: nada impide poner en una carta o postal una dirección de remitente aleatoria: el correo llegará en cualquier caso. No obstante, hay tecnologías desarrolladas en esta dirección: por ejemplo el remitente puede firmar sus mensajes mediante criptografía de clave pública.

Los filtros automáticos antispam analizan el contenido de los mensajes buscando, por ejemplo, palabras como rolex, viagra, y sex que son las más usuales en los mensajes no deseados. No se recomienda utilizar estas palabras en la correspondencia por correo electrónico: el mensaje podría ser calificado como no deseado por los sistemas automáticos anti correo masivo.

Como bombardear un correo con spam:

http://www.youtube.com/watch?v=S6QColBKsOg&feature=fvwp&NR=1

http://www.youtube.com/watch?v=m1gRPs5zZH8

Spam en foros

El spam, dentro del contexto de foros, es cuando un usuario publica algo que desvirtúa o no tiene nada que ver con el tema de conversación. También, en algunos casos, un mensaje que no contribuye de ninguna forma al tema es considerado spam. Una tercera forma de Spamming en foros es cuando una persona publica repetidamente mensajes acerca de un tema en particular en una forma indeseable (y probablemente molesta) para la mayor parte del foro. Finalmente, también existe el caso en que una persona publique mensajes únicamente con el fin de incrementar su rango, nivel o número de mensajes en el foro.

d

El spam en un foro de Internet también se produce cuando un usuario pública comentarios que contienen enlaces o algún tipo de referencia hacia algún sitio web o foro similar, de igual contenido, o incluso ajeno al mismo, así como cualquier otro objetivo típico de publicidad, con el objetivo de atraer más usuarios y visitantes al mismo.
Últimamente se están abriendo hilos especiales dedicados al spam, para que los usuarios que quieran postear no ralenticen los demás hilos. Estos hilos dedicados al spam han cobrado verdadera importancia y resultan muy usados, tanto es así que algunos foros después de tenerlos largo tiempo decidieron eliminarlos debido al hecho de que en muchas ocasiones estos subforos o temas eran muchos más usados que el resto de partes del foro principal, es decir, mientras que en spam se posteaban más de 50 mensajes diarios, en algunos casos, en el resto de apartados apenas se lograban 2 ó 3 publicaciones. De aquí, se han despertado nuevos movimientos, que han desarrollado comunidades en línea dedicadas 100% al spam, como spamloco, spamfestuy y espamearte, entre los más añejos.

Reclamo de un spamer de foros: http://www.youtube.com/watch?v=Nb1VSocHYYo

Spam en las redes sociales

Es una nueva forma de correo basura que consiste en enviar publicidad, ofertas de empleo, publicidad directamente a los usuarios de redes sociales profesionales sin que éstos lo hayan solicitado o en los foros de la red social.

Dos ejemplos de correo no deseado corporativo en este sector son el envío de invitaciones no solicitadas a los contactos de usuarios de Facebook, y la “respuesta automática” con publicidad que aleatoriamente se hace desde MSN Hotmail cuando alguien envía un mensaje a un buzón de dicha corporación.

Spam en redes de IRC

Tan antiguo como el propio protocolo de IRC, el correo basura en redes de charlas en línea toma auge a raíz de la masificación de dicho medio de comunicación. Los mensajes no deseados en redes de IRC tiene un coste irrisorio y por lo tanto son objetivo principal de redes de distribución de contenidos. Los mensajes más habituales suelen tener por objetivo la visita de otros canales de chat, la visita de webs y la difusión en general de contenidos de pago. Recientemente se constata la aparición de una nueva modalidad de spam que busca que el usuario perceptor de la publicidad use la telefonía móvil para contratar servicios de elevado coste. Esta práctica esta penada por la Ley. En muchas ocasiones esta actividad es realizada por robots bajo seudónimos atractivos para llamar la atención del usuario. Son habituales los nombres como ‘joven_guapa’ o ‘busco_amor’.

Spam en correo postal

La técnicas de bombardeo publicitario han llegado también a los medios convencionales de comunicación. La enorme bajada relativa de los costes de impresión en papel, desde un folletos de una sola página hasta un catálogo publicitario de varias decenas han hecho que también el envío de correo no solicitado llegue por medio de correo postal. De forma análoga a como ocurre en los medios electrónicos, donde un usuario interesado en un producto que remite sus datos a una empresa puede verse bombardeado por publicidad no deseada de esa u otra empresa, hay empresas especializadas en el buzoneo masivo e indiscriminado de publicidad. Es habitual encontrar en el buzón postal, publicidad no solicitada introducida masivamente por empresas especializadas o por los propios distribuidores finales. Estas acceden a los buzones tanto en la vía pública así como buzones situados en zonas privativas.

Spam en la vía pública

En la vía pública son también comunes las prácticas de spam, sobre todo en las ciudades. La colocación de publicidad en lugares no preparados para ello supone un grave deterioro del medio urbano: paredes, postes, vehículos son invadidos por publicidad no solicitada que no en pocos casos acaba en el suelo. Las corporaciones municipales pierden mucho dinero por estas prácticas ilegales exentas de control fiscal y además invierten grandes cantidades de dinero en la retirada y limpieza del material publicitario dispersado en el medio. En los últimos años se ha extendido el llamado “pegatinazo”, práctica consistente en colocar pegatinas con publicidad sobre el mobiliario urbano y las edificaciones (servicios de cerrajería, fontanería y electricidad son los más comunes) utilizando pegatinas con adhesivos muy potentes y que se rompen si se intentan retirar dificultando y encareciendo su retirada.

Spam en los Wikis

En los Wikis, los usuarios frecuentan a hacer Spam en las discusiones de otros usuarios, blogs (tanto crearlos como comentarlos) o en comentarios en la página de discusión de un artículo. Principalmente esto se trata de vandalismo, pero algunas veces los usuarios están pidiendo ayuda para que otro Wiki progrese. La mala intención no aparece siempre, como ven, pero no deja de ser molesto para los demás.

 

Fuentes:

http://en.wikipedia.org/wiki/Wikipedia:Spam

http://www.segu-info.com.ar/malware/spam.htm

http://www.viruslist.com/sp/spam

Anuncios

Spam II

Técnicas de spam

Obtención de direcciones de correo

Los spammers (individuos o empresas que envían correo no deseado) utilizan diversas técnicas para conseguir las largas listas de direcciones de correo que necesitan para su actividad, generalmente a través de robots o programas automáticos que recorren internet en busca de direcciones. Algunas de las principales fuentes de direcciones para luego enviar el correo basura son:

  • Los propios sitios web, que con frecuencia contienen la dirección de su creador, o de sus visitantes (en foros, blogs, etc.).
  • Los grupos de noticias de usenet, cuyos mensajes suelen incluir la dirección del remitente.
  • Listas de correo: les basta con apuntarse e ir anotando las direcciones de sus usuarios.
  • Correos electrónicos con chistes, cadenas, etc. que los usuarios de internet suelen reenviar sin ocultar las direcciones, y que pueden llegar a acumular docenas de direcciones en el cuerpo del mensaje, pudiendo ser capturadas por un troyano o, más raramente, por un usuario malicioso.
  • Páginas en las que se solicita tu dirección de correo (o la de “tus amigos” para enviarles la página en un correo) para acceder a un determinado servicio o descarga.
  • Entrada ilegal en servidores.
  • Por ensayo y error: se generan aleatoriamente direcciones, y se comprueba luego si han llegado los mensajes. Un método habitual es hacer una lista de dominios, y agregarles “prefijos” habituales. Por ejemplo, para el dominio wikipedia.org, probar info@wikipedia.org, webmaster@wikipedia.org, staff@wikipedia.org, etc.13

Envío de los mensajes

e

Ciclo del SPAM
(1): Sitio web de Spammers
(2): Spammer
(3): Spamware
(4): ordenadores infectados
(5): Virus o troyanos
(6): Servidores de correo
(7): Usuarios
(8): Tráfico Web.

Una vez que tienen una gran cantidad de direcciones de correo válidas (en el sentido de que existen), los spammers utilizan programas que recorren la lista enviando el mismo mensaje a todas las direcciones. Esto supone un costo mínimo para ellos, pero perjudica al receptor (pérdidas económicas y de tiempo) y en general a Internet, por consumirse gran parte del ancho de banda en mensajes basura.

Verificación de la recepción

Además, es frecuente que el remitente de correo basura controle qué direcciones funcionan y cuáles no por medio de web bugs o pequeñas imágenes o similares contenidas en el código HTML del mensaje. De esta forma, cada vez que alguien lee el mensaje, su ordenador solicita la imagen al servidor de susodicho remitente, que registra automáticamente el hecho. Son una forma más de spyware. Otro sistema es el de prometer en los mensajes que enviando un mensaje a una dirección se dejará de recibirlos: cuando alguien contesta, significa no sólo que lo ha abierto, sino que lo ha leído.

Troyanos y ordenadores zombis

Recientemente, han empezado a utilizar una técnica mucho más perniciosa: la creación de virus troyanos que se expanden masivamente por ordenadores no protegidos (sin cortafuegos). Así, los ordenadores infectados son utilizados por el remitente de correo masivo como “ordenadores zombis”, que envían correo basura a sus órdenes, pudiendo incluso rastrear los discos duros o correos nuevos (sobre todo cadenas) en busca de más direcciones. Esto puede causar perjuicios al usuario que ignora haber sido infectado (que no tiene por qué notar nada extraño), al ser identificado como spammer por los servidores a los que envía spam sin saberlo, lo que puede conducir a que no se le deje acceder a determinadas páginas o servicios.Así,con la potencia de cálculo de todos los ordenadores infectados,pueden mandar el spam fácilmente sin que se enteren los propios usuarios,y pueden incluso mandar un virus al ordenador de una empresa importante.

Actualmente, el 40% de los mensajes no deseados se envían de esta forma.

Servidores de correo mal configurados

Los servidores de correo mal configurados son aprovechados también por los remitentes de correo no deseado. En concreto los que están configurados como Open Relay. Estos no necesitan un usuario y contraseña para que sean utilizados para el envío de correos electrónicos. Existen diferentes bases de datos públicas que almacenan los ordenadores que conectados directamente a Internet permiten su utilización por susodichos remitemtes. El más conocido es la Open Relay DataBase.

Legislación

En España el correo electrónico no solicitado está terminantemente prohibido por la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), publicada en el BOE del 12 de julio de 2002, salvo lo dispuesto en el art. 19.2. “En todo caso, será de aplicación la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y su normativa de desarrollo, en especial, en lo que se refiere a la obtención de datos personales, la información a los interesados y la creación y mantenimiento de ficheros de datos personales.”

De hecho, las sentencias en España referidas al correo electrónico no solicitado están relacionadas con esta ley; sin embargo, dicha ley no hace mención de la palabra “Spam”, sino al nombre “comunicaciones comerciales enviadas por medios electrónicos”.

En Estados Unidos se promulgó la ley CAN-SPAM, que ha sido prácticamente inefectiva.

España

f

En España es posible la denuncia del correo masivo ante la Agencia Española de Protección de Datos que a pesar de ser incompetente para juzgar contorversias entre personas, se ha constituido como una instancia parajudicial, juez y parte para sancionar en favor de la administración mediante multas abusivas, en vez de indemnizar a los afectados. Esta práctica está sancionada en el el Art.19.2 que dispone que a todo lo referente al envío de comunicaciones electrónicas será aplicable la LOPD y el artículo 21 de la Ley 34/2002, de 11 de Julio de Servicios de la Sociedad de Información y Comercio Electrónico (LSSI) que dispone:

Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.

  1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
  2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

El régimen sancionador de la LSSI clasifica las infracciones por SPAM en:

r

  • Infracciones graves:

c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21.

  • Infracciones leves:

d) El envío de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21 y no constituya infracción grave.

Y finalmente dispone las sanciones siguientes:

  • Artículo 39. Sanciones.

1. Por la comisión de las infracciones recogidas en el artículo anterior, se impondrán las siguientes sanciones: a) Por la comisión de infracciones muy graves, multa de 150.001 hasta 600.000 euros. b) Por la comisión de infracciones graves, multa de 30.001 hasta 150.000 euros. c) Por la comisión de infracciones leves, multa de hasta 30.000 euros.

  • Artículo 45. Prescripción, respecto a la prescripción de las infracciones:

Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves a los seis meses, las sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestas por faltas graves a los dos años y las impuestas por faltas leves al año.

Fuentes

http://en.wikipedia.org/wiki/Wikipedia:Spam

http://www.segu-info.com.ar/malware/spam.htm

http://www.viruslist.com/sp/spam

Virus informatico II

Vectores y huéspedes

4

Los virus se han dirigido a diferentes tipos de medios de transmisión o hosts. Entre ellos se encuentran:

  • Binarios ejecutables(como archivos COM y archivos EXE de MS-DOS, archivos ejecutables portables en Microsoft Windows, el formato Mach-O en OSX, y archivos ELF  en Linux)
  • Registros, volumen de arranque de los disquetes y particiones de disco duro
  • El registro de inicio maestro(MBR) de un disco duro
  • Archivos script de propósito general (como archivos por lotes de MS-DOS y Windows de Microsoft, VBScript y scripts de shell en Unix).
  • Específicos de la aplicación de archivos script (como Telix-scripts)
  • Específicos del sistema de autorun, archivos script (como Autorun.inf archivo necesario por Windows para ejecutar automáticamente el software almacenado en dispositivos USB de almacenamiento de memoria).
  • Los documentos que pueden contener macros (como Microsoft Word , documentos de Microsoft Excel hojas de cálculo, documentos AmiPro y Microsoft Access archivos de base de datos)
  • Cross-site scripting vulnerabilidades en aplicaciones web (ver gusano XSS )
  • Archivos arbitrarios informáticos. Un explotable desbordamiento de búfer , cadena de formato , condición de carrera u otro fallo explotable en un programa que lea el archivo, este puede ser usado para activar la ejecución de código oculto en su interior. La mayoría de los errores de este tipo pueden ser más difíciles de explotar en arquitecturas con características de protección tales como un bit de desactivación de ejecución y / o dirección de la aleatorización espacio de diseño .

PDFs y  HTML , puede tener un enlace al código malicioso. PDF también pueden ser infectados con código malicioso.

En los sistemas operativos que utilizan extensiones de archivo para determinar la asociación de programas (como Microsoft Windows), las extensiones pueden ser ocultadas al usuario de forma predeterminada. Esto hace que sea posible crear un archivo que sea de un tipo diferente del que se muestra al usuario. Por ejemplo, un archivo ejecutable puede ser crearse con el nombre “picture.png.exe”, en el que el usuario sólo ve “picture.png” y por lo tanto asume que el archivo es una imagen , si se abre se ejecuta el ejecutable en la máquina cliente.

Otro método consiste en generar el código del virus a partir de piezas existentes de archivos del sistema operativo mediante los CRC16/CRC32 datos. El código inicial puede ser bastante pequeño (decenas de bytes) y desempaquetar un virus bastante grande. Esto es análogo a un “prion” biológico en la forma en que funciona, pero es vulnerable a la detección basada en firmas. Este ataque no se ha visto “in the wild”.

Estrategias de infección

Con el fin de evitar la detección por los usuarios, algunos virus emplean diferentes tipos de engaño. Algunos virus antiguos, especialmente en la plataforma MS-DOS, se aseguran de que la fecha de “última modificación” de un archivo de host se mantiene tras la infección. Este enfoque no engaña al software antivirus, especialmente a aquellos que mantienen  fecha y comprobaciones de redundancia cíclica sobre los cambios del archivo.

Algunos virus pueden infectar archivos sin aumentar su tamaño o dañar los archivos. Logran esto al sobrescribir las áreas no utilizadas de los archivos ejecutables. Son los llamados virus de cavidad. Por ejemplo, el virus CIH o Chernobyl virus , infectan archivos ejecutables portables. Debido a que estos archivos tienen muchos huecos vacíos, el virus, que era 1 KB de longitud, no aumentan el tamaño del archivo.

Algunos virus intentan evitar la detección mediante la eliminación de las tareas asociadas con el software antivirus antes de que pueda detectarlos.

Mientras que los orednadores y sistemas operativos se hacen más grandes y más complejos, las técnicas antiguas y escondites necesitan ser actualizadas o reemplazadas. La defensa de un equipo frente a los virus puede exigir que el sistema de archivos implemente un sistema de permisos explícitos y detallados para cada tipo de acceso a archivos.

Añadidura o empalme
El código del virus se agrega al final del archivo a infectar, modificando las estructuras de arranque del archivo de manera que el control del programa pase por el virus antes de ejecutar el archivo. Esto permite que el virus ejecute sus tareas específicas y luego entregue el control al programa. Esto genera un incremento en el tamaño del archivo lo que permite su fácil detección.
Inserción

El código del virus se aloja en zonas de código no utilizadas o en segmentos de datos para que el tamaño del archivo no varíe. Para esto se requieren técnicas muy avanzadas de programación, por lo que no es muy utilizado este método.

jnjno

Reorientación

Es una variante del anterior. Se introduce el código principal del virus en zonas físicas del disco rígido que se marcan como defectuosas y en los archivos se implantan pequeños trozos de código que llaman al código principal al ejecutarse el archivo. La principal ventaja es que al no importar el tamaño del archivo el cuerpo del virus puede ser bastante importante y poseer mucha funcionalidad. Su eliminación es bastante sencilla, ya que basta con reescribir los sectores marcados como defectuosos.
Polimorfismo

Este es el método mas avanzado de contagio. La técnica consiste en insertar el código del virus en un archivo ejecutable, pero para evitar el aumento de tamaño del archivo infectado, el virus compacta parte de su código y del código del archivo anfitrión, de manera que la suma de ambos sea igual al tamaño original del archivo. Al ejecutarse el programa infectado, actúa primero el código del virus descompactando en memoria las porciones necesarias. Una variante de esta técnica permite usar métodos de encriptación dinámicos para evitar ser detectados por los antivirus.
Sustitución
Es el método mas tosco. Consiste en sustituir el código original del archivo por el del virus. Al ejecutar el archivo deseado, lo único que se ejecuta es el virus, para disimular este proceder reporta algún tipo de error con el archivo de forma que creamos que el problema es del archivo.

Evitar los archivos de cebo y otros huéspedes no deseados

Un virus necesita infectar a los anfitriones con el fin de difundirse. En algunos casos, puede ser una mala idea infectar ciertos programas. Por ejemplo, muchos programas antivirus realizar una comprobación de la integridad de su propio código. La infección de estos programas por lo tanto aumentará la probabilidad de que el virus sea detectado. Por esta razón, algunos virus están programados para no infectan programas que se sabe que son parte del software antivirus. Otro tipo de host que a veces evitan los virus son archivos de cebo. Esto archivos (o archivos de cabra) son archivos que están especialmente creados por el software antivirus, o por profesionales del sector, con el fin de que sean infectados por un virus. Estos archivos se pueden crear por diversas razones, todas relacionadas con la detección del virus:

 7

  • Antivirus Profesionales puede utilizar archivos de cebo para tomar una muestra de un virus (es decir, una copia de un archivo de programa que está infectado por el virus). Es más práctico almacenar e intercambiar un archivo pequeño, cebo infectado, que el intercambio de una aplicación de gran tamaño que ha sido infectada por el virus.
  • Antivirus Profesionales pueden utilizar archivos de cebo para estudiar el comportamiento de un virus y evaluar los métodos de detección. Esto es especialmente útil cuando el virus es polimórfico. En este caso, se puede hacer para infectar un gran número de archivos de cebo. Los archivos infectados se puede utilizar para comprobar si un programa antivirus detecta todas las versiones del virus.
  • Algunos programas antivirus emplean archivos de cebo que se accede con regularidad. Cuando estos archivos son modificados, el software antivirus advierte al usuario de que un virus esta probablemente activo en el sistema.

 5

Puesto que los archivos de cebo se utilizan para detectar el virus, o para hacer posible la detección, un virus no puede beneficiarse de ellos. Los virus suelen evitar programas sospechosos, tales como pequeños archivos de programa o programas que contengan ciertos patrones de “Instrucciones basura”.

Fuentes:

http://en.wikipedia.org/wiki/Computer_virus

http://www.monografias.com/trabajos/estudiovirus/estudiovirus.shtml

http://bienveni2alblogdamili.blogspot.com.es/2012/01/virus-de-computadoras.html

Virus informatico I

1

Un virus informático es un programa informático que puede replicarse a sí mismo y propagarse de un ordenador a otro. El término común es “virus”, pero se utiliza erróneamente para referirse a otros tipos de programas maliciosos, incluyendo pero no limitado a adware y spyware programas que no tienen una capacidad reproductiva.

Malware incluye virus, gusanos informáticos, troyanos , la mayoría de los rootkits , spyware , adware deshonesto y otro software malicioso o no deseado, incluidos los virus verdaderos. Los virus se confunden a veces con gusanos y caballos de Troya, que son técnicamente diferentes. Un gusano puede explotar la seguridad y vulnerabilidades para propagarse automáticamente a otros ordenadores a través de redes, mientras que un caballo de Troya es un programa que parece inocuo pero esconde funciones maliciosas. Los gusanos y caballos de Troya, como los virus, pueden dañar los datos de un sistema informático o el rendimiento. Algunos virus y otros programas maliciosos presentan síntomas perceptibles para el usuario de la computadora, pero muchos son subrepticia o simplemente no hacer nada que llame la atención. Algunos virus no hacer nada más allá de reproducirse.

Los profesionales de antivirus no aceptan el concepto de los virus benévolos, como cualquier función deseada puede llevarse a cabo sin la participación de un virus. Cualquier virus, por definición, realiza cambios no autorizados en un ordenador, lo que no es deseable, incluso si no se hace daño.

2

Clasificación

Con el fin de replicarse a sí mismo, un virus debe ser permitido para ejecutar código y escribir en la memoria. Por esta razón, muchos virus se unen a archivos ejecutables que pueden ser parte de los programas legítimos (inyección de codigo). Si un usuario intenta iniciar un programa infectado, el código del virus pueden ser ejecutados simultáneamente. Los virus pueden ser divididos en dos tipos según su comportamiento cuando se ejecutan. Los virus no residentes inmediatamente buscar otros hosts que puedan ser infectados, infectar a esos objetivos y, finalmente, transferir el control a la aplicacion que infecta. Los virus residentes no buscan anfitriones cuando se inician. En cambio, un virus residente se carga en la memoria de ejecución y transfiere el control al programa de acogida. El virus permanece activo en segundo plano e infecta a nuevos huéspedes cuando otros programas o el sistema operativo acceden a los archivos infectados.

Los virus no residentes

Virus no residentes se pueden considerar como un conjunto de un módulo buscador y un módulo de replicación. El módulo buscador es responsable de encontrar nuevos archivos a infectar. Para cada nuevo archivo ejecutable encontrado por el módulo buscador este llama al módulo de replicación para infectar a ese archivo.

Los virus residentes

Virus residentes contienen un módulo de replicación que es similar al que emplean los virus residentes. Este módulo, sin embargo, no es llamado por un módulo buscador. El virus se carga el módulo de replicación en memoria cuando se ejecuta y se asegura de que este módulo se ejecuta cada vez que se llama al sistema operativo para realizar una determinada operación. El módulo de replicación puede ser llamado, por ejemplo, cada vez que el sistema operativo ejecuta un archivo. En este caso el virus infecta cada programa susceptible de ser infectado que se ejecuta en el ordenador.

3

Los virus residentes a veces se subdivide en una categoría de colonizadores rapidos y una categoría de colonizadores lentos. Los colonizadores rapidos están diseñados para infectar los archivos a medida que sea posible. Un colonizador rapido, por ejemplo, puede infectar a todos los archivos de acogida potencial al que se accede. Esto plantea un problema especial cuando se utiliza software antivirus, ya que un escáner de virus tendrá acceso a todos los archivos de acogida potencial en un equipo cuando se realiza un análisis de todo el sistema. Si el escáner de virus no se da cuenta de que un virus está presente en la memoria, el virus puede “piggy-back”(subirse a la espalda) del escáner y de esta manera infectar todos los archivos que son escaneados. Los colonizadores rapidos confían en su rápida tasa de infección para propagarse. La desventaja de este método es que infecta muchos archivos puede hacer la detección más rapida, ya que el virus puede ralentizar el ordenador o realizar muchas acciones sospechosas que detecta con facilidad el software antivirus. Los colonizadores lentos, por otro lado, están diseñados para infectar a los anfitriones con poca frecuencia. Algunos infecciones lentas se producen, por ejemplo, cuando se copian archivos. Otros colonizadores lentos están diseñados para evitar la detección mediante la limitación de sus acciones: son menos propensos a retrasar un equipo notablemente y con poca frecuencia son detectados por el. El enfoque colonizadores lentos, sin embargo, no parece ser muy exitoso.

 

Fuentes:

http://en.wikipedia.org/wiki/Computer_virus

http://bienveni2alblogdamili.blogspot.com.es/2012/01/virus-de-computadoras.html

http://www.monografias.com/trabajos/estudiovirus/estudiovirus.shtml

Spoofing

Hoy seguimos hablando de un nuevo ataque en materia de seguridad informática. Un gran desconocido: el spoofing.

¿Qué es?

En el ámbito de la seguridad de redes, se conoce con el nombre de spoofing, a la suplantación de identidad con fines maliciosos (o de investigación. La idea es que el atacante quiere conseguir determinada información de ciertos equipos a los que no tiene acceso y para ello se hace pasar por un usuario distinto. Según el Código Penal, la suplantación de identidad no constituye un delito en sí misma, sin embargo, la utilización de malware o la infiltración en sistemas de información sí está recogida como un delito de descubrimiento y revelación de secretos. Aunque como veremos, a continuación hay muchas formas de poner en práctica este ataque a menudo se emplea el termino Spoofing para referirnos concretamente al IP Spoofing.

¿En qué consiste?

En un ataque de este tipo, intervienen tres equipos distintos, el atacante, el atacado y el suplantado, y la misión del primero es conseguir comunicarse con su objetivo haciéndose pasar por el equipo suplantado, y a la vez, evitar que el equipo suplantado intervenga en la comunicación para no ser descubierto. Para esto ultimo lo más común es lanzar ataques de denegación de servicio inundando el sistema atacado e inhabilitándolo. Esta parte del ataque suele ser un Ataque Smurf.

Tipos de Spoofing

Para llevar a cabo un ataque de spoofing se pueden emplear muy diversas técnicas. Según estas técnicas, se distinguen varios tipos de spoofing, como por ejemplo:

IP Spoofing

IP_spoofing

click para ver mas grande

En este tipo de ataque interfieren tres máquinas,  la victima, el atacante y el intermediario.

Actualmente es un ataque común aunque y se basa en suplantar las IP de de un equipo procediendo a mandar paquetes TCP/IP de este modo se consiguen la IP de la máquina que va a servir para acceder a recursos de una tercer máquina, es decir, la víctima. Este tipo  de ataque es a ciegas , porque el atacante manda paquetes a su victima para comunicarse, pero como la victima no sabe que esta siendo atacada su maquina responde con paquetes que llegan a la maquina que esta suplantando el atacante en lugar de al propio atacante, por lo que este debe tratar de predecir las reacciones de la victima, ya que ésta podría cortar la comunicación al notar que está recibiendo paquetes que no ha pedido.

ARP Spoofing

thermos-voip7

click para ver mas grande

Este tipo de ataque se encarga de suplantar las tramas ARP, de esta manera consiguen enviar los equipos atacados a un host en el cual lo datos de nuestras máquinas estarán a merced de un delincuente.

Para conseguir su objetivo la persona conseguirá duplicar las tablas que contienen las tramas ACR. Esto permitirá forzar a enviar paquetes a un host , que estará controlado por el atacante evitando que lleguen al lugar de destino correcto.

DNS Spoofing

spoofing-attack-1

click para ver mas grande

Este ataque es similar al pharming, del que ya se habló en la entrada de phising.

No es otra cosa que falsificar una IP para mediante un nombre DNS conseguir una IP. Esta se puede obtener ve varias maneras. Podría ser comprometiendo un servidor que infecte la caché de otro o  modificando las entradas del servidor así podrían falsificar las relaciones IP-nombre.

Web Spoofing

index_image002

click para ver mas grande

Se encarga de suplantar una pagina real por otra falsa para de esa forma conseguir recabar datos de las victimas que ajenas a todo pondrán sus datos sin ningún tipo de seguridad. Aunque se parezca al phising no es exactamente lo mismo.

La página web falsa actúa a modo de proxy,  así es posible solicitar  información pedida por la víctima a cada servidor original llegando incluso a evitar la protección SSL

e-mail Spoofing

click para ver mas grande

click para ver mas grande

El último tipo de spoofing que vamos a tratar es el de email, teniendo en cuenta que los fraudes por spoofing son suplantaciones parece intuitivo llegar a la conclusión de que este tipo de estafas se basa en suplantar una dirección de correo electrónico.

este tipo de ataques es fácil de identificar, ya que lo más probable es que enviemos e-mails a nuestros contactos sin que seamos consciente de ello.

Os dejo un video que muestra como  suplantar un email:

Y aquí os pongo el enlace a la página, pero no lo useis con fines malvados:

http://emkei.cz/

¿Cómo evitarlo?

Este tipo de ataque es bastante mas complejo, y si el atacante “se te cuela” y consigue el acceso que necesita sin ser descubierto el ataque es difícilmente evitable. Además, las medidas a tomar al respecto no son aplicables por usuarios que no estén familiarizados con las redes y ciertos términos empleados en ese mundillo, por lo que podríamos decir que es un ataque bastante peligroso. No obstante, son muchos los blogs y sitios en la web que coinciden en recomendar una serie de medidas para hacer frente a los ataques de spoofing. Esas medidas son:

  1. Utilizar la autenticacion basada en el intercambio de claves entre máquinas en la red (Por ejemplo IPsec)
  2. Negar tráfico de direcciones ip privadas (utilizando ACLs)
  3. Configurar los routers para que denieguen trafico dentro de la red que debería darse fuera y al revés.
  4. Establecer sesiones cifradas (mediante VPNs)  con los routers frontera de la LAN, con el objetivo de habilitar el acceso a servidores locales de máquinas externas.

Escrito por: jessicamartinjabon y javiermmm

Fuentes:

http://www.inteco.es/wikiAction/Seguridad/Observatorio/area_juridica_seguridad/Enciclopedia/Articulos_1/spoofing_es

http://www.slideshare.net/yopis116/ataques-spoofing-y-botnet

http://www.slideshare.net/DaliaKarinaReyesVargas/spoofing-9548872

http://seguridadinformaticaufps.wikispaces.com/file/view/IP+Spoofing.pdf

http://es.wikipedia.org/wiki/Spoofing

http://delanover.com/2010/08/17/tipos-de-spoofing-ip-spoofing-arp-spoofing-y-email-spoofing/

http://www.zonavirus.com/articulos/que-es-el-spoofing.asp

Botnet (III)¿Cómo se crean las botnet?

Ésta es la última entrada sobre botnets, y en ella me gustaría hablaros de cómo se crean, además os pongo links a páginas que dicen paso a paso como crearlas, asi que por favor, no intentéis dominar el mundo  😀

Crearlas varía en función del S.O. que se quiera infectar.

Si pensamos en Windows la forma más fácil es a través de malware, que no es otra cosa que software pero cuya funcionalidad es la de dañar y generalmente está presente en aquel software descargado de manera ilegal, bien sea porque el mismo software tiene .exe dañinos o porque directamente aquello que nos hemos descargado no es lo que queríamos sino un virus.

En los sistemas UNIX/Linux es más común metiéndose por grietas de seguridad que son conocidas y que no se han controlado por los administradores, también se utiliza las pruebas de ensayo-error para conseguir reventar las contraseñas de los equipos y así poderse hacer con el control de los mismos.

El los MAC se consiguió a través de una vulnerabilidad del motor Java, que había implementado Apple y no Oracle, por éste motivo han tenido que sacar parches, que sólo son válidos para el OS X si posees leopard o tiger, debo decirte que Apple no va a sacar parches para ellos.

En los dispositivos android una manera muy sencilla es descargándonos aplicaciones desde en Google Play. De esta manera tan simple la gente crea app´s las sube y cuando tú te las descargas realmente te estás descargando un malware que controla tu dispositivo sin que tu lo sepas.

Pero en general, hay varias maneras de conseguirlo, mediante IRC (Internet Relay Chat), consiguiendo que todos los ordenadores se conecten a un mismo canal en el que esperan para recibir órdenes.

El procedimiento es simple, creas un servidor IRC y un canal de chat y un cliente IRC, de este modo puedes infectar las máquinas que accedan al canal del chat. Debo decir, que hay bastantes tutoriales que te enseñan pasoa apaso como hacer una botnet

Mediante HTTP, es este caso los zombies que se creen serán redirigidos a un host. Esta manera es más complicada de seguir que cuando se utiliza el ICR, ya que se confunde con el tráfico habitual, por éste motivo los firewall no son muy eficientes. La estrategia es encontrar algún puerto abierto, generalmente el :80.

Si es por una aplicación de escritorio serán redirigidos a algún subdominio DNS.

Espero que estas tres entradas os hallan servido para aprender un poco sobre una de las muchas amenazas que acechan en la red.

Páginas de referencia:

http://www.antrax-labs.org/2011/12/taller-de-malwares-4-botnets.html

http://www.opensecurity.es/android-counterclank-infecta-millones-de-dispositivos-con-android/

http://www.securitybydefault.com/2012/04/flashback-botnet-vulnerabilidad-de-java.html

http://www.abc.es/20120619/tecnologia/abci-redes-ordenadores-zombi-reinventadas-201206191313.html

http://es.norton.com/botnet/promo

http://cert.inteco.es/Formacion/Amenazas/botnets/

Botnet(II) Cómo saber si mi ordenador es un bot y cómo evitarlo

Botnet– ¿Puedo saber si mi ordenador es un “zombie”?

Pues la verdad es que sí.

Y desde mi punto de vista es bastante simple, algunos de los indicios que te harán pensar que tu ordenador está infectado son:

  • Páginas web se te abren aunque tengas el navegador apagado, además suelen ser webs de publicidad
  • No podemos realizar actualizaciones ni del antivirus ni de los software que tenemos instalado
  • Mandamos emails a nuestros contactos sin saberlo.
  • Enviamos Spam.
  • Escribimos mensajes en nuestras redes sociales .
  • Nuestro PC va más lento o incluso falla.

Tal vez hallamos sufrido alguno de estos molestos síntomas o incluso nos esté pasando y no le hayamos dado importancia.

Páginas de referencia

http://es.wikipedia.org/wiki/Botnet

– ¿Cómo evitar que mi ordenador se convierta en un “zombie”?

No hace falta echarle agua bendita ni colgarle crucifijos, la manera más sencilla es tener un buen antivirus, así como mantenerle actualizado, al igual que todos los software que tengas instalado, también es necesario tener un firewall y anti-spyware.

Las actualizaciones no son otra cosas que parches que las empresas deben ir sacando para tapar las vulnerabilidades que los hacker encuentran, pero queda más bonito llamarlo actualización en lugar de fallo que cometimos al implementarlo.

El antivirus se encargará no sólo de detectar los virus sino que también los eliminará.

El anti-spyware se encargará de encontrar software espía, para así evitar que datos pasen a terceros sin nuestro conocimiento ni consentimiento.

El firewall o cortafuegos será el encargado de evitar la intrusión de otros a accesos no autorizados.

Pero sobretodo, es el usuario el que debe evitar descargarse software cuya procedencia sea sospechosa, o incluso tener cuidado con los periféricos que conectamos a ordenadores que no sean nuestros ya que podemos infectar nuestro USB, por ejemplo, y cuando lo insertamos en nuestro ordenador ya tenemos el virus.

En el caso de los dispositivos móviles es más complejo, aun así Google tiene gente trabajando en seguridad para encontrar las aplicaciones que vulneran la privacidad de los usuarios.

Todos los días se crean nuevos virus, cuya variedad es casi infinita, con el paso del tiempo se han ido creando nuevas modalidades como el adware, que no es otra cosa que un malware diseñado para mostrar publicidad.

Es difícil evitar infectarse, pero siguiendo estos consejos, resultará más difícil a los hackers tomar el control de nuestro equipo.

 

Páginas de referencia:

http://www.antrax-labs.org/2011/12/taller-de-malwares-4-botnets.html

http://www.opensecurity.es/android-counterclank-infecta-millones-de-dispositivos-con-android/

http://www.securitybydefault.com/2012/04/flashback-botnet-vulnerabilidad-de-java.html

http://www.abc.es/20120619/tecnologia/abci-redes-ordenadores-zombi-reinventadas-201206191313.html

http://es.norton.com/botnet/promo

http://cert.inteco.es/Formacion/Amenazas/botnets/