Se le llama troyano (o caballo de Troya, traducción fiel del inglés Trojan horse aunque no tan utilizada) a un programa malicioso capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a través de una red local o de Internet, con el fin de recabar información o controlar remotamente a la máquina anfitriona.
Un troyano no es en sí un virus, aún cuando teóricamente pueda ser distribuido y funcionar como tal. La diferencia fundamental entre un troyano y un virus consiste en su finalidad. Para que un programa sea un "troyano" sólo tiene que acceder y controlar la máquina anfitriona sin ser advertido, normalmente bajo una apariencia inocua. Al contrario que un virus, que es un huésped destructivo, el troyano no necesariamente provoca daños porque no es su objetivo.
Suele ser un programa alojado dentro de una aplicación, una imagen, un archivo de música u otro elemento de apariencia inocente, que se instala en el sistema al ejecutar el archivo que lo contiene. Una vez instalado parece realizar una función útil (aunque cierto tipo de troyanos permanecen ocultos y por tal motivo los antivirus o anti troyanos no los eliminan) pero internamente realiza otras tareas de las que el usuario no es consciente, de igual forma que el Caballo de Troya que los griegos regalaron a los troyanos.
Habitualmente se utiliza para espiar, usando la técnica para instalar un software de acceso remoto que permite monitorizar lo que el usuario legítimo de la computadora hace (en este caso el troyano es un spyware o programa espía) y, por ejemplo, capturar las pulsaciones del teclado con el fin de obtener contraseñas (cuando un troyano hace esto se le cataloga de keylogger u otra información sensible.
La mejor defensa contra los troyanos es no ejecutar nada de lo cual se desconozca el origen y mantener software antivirus actualizado y dotado de buena heurística; es recomendable también instalar algún software anti troyano, de los cuales existen versiones gratis aunque muchas de ellas constituyen a su vez un troyano. Otra solución bastante eficaz contra los troyanos es tener instalado un firewall.
Otra manera de detectarlos es inspeccionando frecuentemente la lista de procesos activos en memoria en busca de elementos extraños, vigilar accesos a disco innecesarios, etc.
Lo peor de todo es que últimamente los troyanos están siendo diseñados de tal manera que, es imposible poder detectarlos excepto por programas que a su vez contienen otro tipo de troyano, inclusive y aunque no confirmado, existen troyanos dentro de los programas para poder saber cual es el tipo de uso que se les da y poder sacar mejores herramientas al mercado llamados también "troyanos sociales"
Los troyanos están actualmente ilegalizados, pero hay muchos crackers que lo utilizan.
Formas de infectarse con troyanos
La mayoría de infecciones con troyanos ocurren cuando se engaña al usuario para ejecutar un programa infectado – por ello se avisa de no abrir datos adjuntos de correos electrónicos desconocidos -. El programa es normalmente una animación interesante o una foto llamativa, pero tras la escena, el troyano infecta la computadora una vez abierta, mientras el usuario lo desconoce totalmente. El programa infectado no tiene por qué llegar exclusivamente en forma de e-mail. Puede ser enviado en forma de mensaje instantáneo, descargado de una página de internet o un sitio FTP, o incluso estar incluído en un CD o un diskette (La infección por vía física es poco común, pero de ser un objetivo específico de un ataque, sería una forma sencilla de infectar tu sistema) Es más, un programa infectado puede venir de alguien que utiliza tu equipo y lo carga manualmente. Las probabilidades de recibir un virus de este tipo por medio de mensajería instantánea son mínimas, y normalmente, como se ha dicho, el modo más común de infectarse es por medio de una descarga.
Por medio de sitios web: Tu ordenador puede infectarse mediante visitas a sitios web poco confiables.
Correo electrónico: Si usas Microsoft Outlook, eres vulnerable a la mayoría de problemas de protección contra programas de este tipo que tiene Internet Explorer, incluso si no usas IE directamente.
Puertos abiertos: Los ordenadores que ejecutan sus propios servidores (HTTP, FTP, o SMTP, por ejemplo), permitiendo la compartición de archivos de Windows, o ejecutando programas con capacidad para compartir archivos, como los de mensajería instantánea (AOL's AIM, MSN Messenger, etc.) pueden tener vulnerabilidades similares a las descritas anteriormente. Estos programas y servicios suelen abrir algún puerto de red proporcionando a los atacantes modos de interacción con estos programas mediantes ellos desde cualquier lugar. Este tipo de vulnerabilidades que permiten la entrada remota no autorizada a los sistemas se encuentran regularmente en muchos programas, de modo que estos deberían evitarse en lo posible o asegurarse de que se ha protegido el equipo mediante software de seguridad.
Se pueden usar un determinado tipo de programas llamados cortafuegos para controlar y limitar el acceso a los puertos abiertos en un equipo. Los cortafuegos se utilizan ampliamente y ayudan a mitigar los problemas de entrada remota de troyanos por medio de puertos de red abiertos, pero en cualquier caso no existe ninguna solución perfecta e impenetrable.
Algunos troyanos modernos se distribuyen por medio de mensajes. Se presentan al usuario como mensajes de aspecto realmente importante o avisos críticos del sistema, pero contienen troyanos, en los que el archivo ejecutable es el mismo o aparenta ser el propio sistema operativo, ayudando a su camuflaje. Algunos procesos de este tipo son:
Svchost32.exe
Svhost.exe
back.exe
http://es.wikipedia.org/wiki/Caballo_de_Troya_(inform%C3%A1tica)#Formas_de_infectarse_con_troyanos
sábado, 3 de enero de 2009
Gusano o Iworm
Un gusano (también llamados IWorm por su apocope en inglés, I = Internet, Worm = Gusano) es un Malware que tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario.
A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que reside en la memoria y se duplica a sí mismo. Los gusanos casi siempre causan problemas en la red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan.
Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada replicación, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse.
Los gusanos se basan en una red de computadoras para enviar copias de sí mismos a otros nodos (es decir, a otras terminales en la red) y son capaces de llevar esto a cabo sin intervención del usuario propagándose, utilizando Internet, basándose en diversos métodos, como SMTP, IRC, P2P entre otros.
El nombre gusano proviene de The Shockwave Rider, una novela de ciencia ficción publicada en 1975 por John Brunner. Los investigadores John F. Shoch y John A. Hupp de Xerox PARC eligieron el nombre en un artículo publicado en 1982; The Worm Programs, Comm ACM, 25(3):172-180
El primer gusano informático de la historia data de 1988, cuando el gusano Morris infectó una gran parte de los servidores existentes hasta esa fecha. Su creador, Robert Tappan Morris, fue sentenciado a tres años de libertad condicional, 400 horas de servicios a la comunidad y una multa de USD 10050. Fue este hecho el que alentó a las principales empresas involucradas en la seguridad de tecnologías de la información a desarrollar los primeros cortafuegos.
Nótese que el término inglés worm también tiene otra acepción dentro del mundo de la informática:
Worm (de write once, read many), perteneciente a las tecnologías de almacenamiento de datos. No debe ser confundido con el de gusano informático.
Detección [editar]
Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada replicación, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse.
Protegerse contra gusanos informáticos [editar]
Los gusanos se distribuyen principalmente aprovechándose de las vulnerabilidades de los sistemas operativos, que generalmente son invisibles al usuario, o engañando a los usuarios para que los ayuden.
Todos los vendedores proveen actualizaciones frecuentes de seguridad[1] y si se las instala, la mayoría de los gusanos no tendrían posibilidad de distribuirse. Si un vendedor reconoce una vulnerabilidad, pero aún tiene que lanzar una actualización de seguridad para emparcharlo, puede darse un ataque de día cero, pero son poco comunes.
Los usuarios deben ser cautelosos al abrir correos electrónicos no esperados y no deberían bajo ningún concepto ejecutar archivos adjuntos o programas o visitar sitios web indicados en tales mensajes. Sin embargo, como el gusano ILOVEYOU ya demostró y los ataques de phishing continúan demostrando, el engaño a un porcentaje de usuarios siempre es posible.
Los programas anti-virus y anti-spyware son de ayuda, pero se los debe mantener actualizados con nuevos patrones de archivos periódicamente.
A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que reside en la memoria y se duplica a sí mismo. Los gusanos casi siempre causan problemas en la red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan.
Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada replicación, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse.
Los gusanos se basan en una red de computadoras para enviar copias de sí mismos a otros nodos (es decir, a otras terminales en la red) y son capaces de llevar esto a cabo sin intervención del usuario propagándose, utilizando Internet, basándose en diversos métodos, como SMTP, IRC, P2P entre otros.
El nombre gusano proviene de The Shockwave Rider, una novela de ciencia ficción publicada en 1975 por John Brunner. Los investigadores John F. Shoch y John A. Hupp de Xerox PARC eligieron el nombre en un artículo publicado en 1982; The Worm Programs, Comm ACM, 25(3):172-180
El primer gusano informático de la historia data de 1988, cuando el gusano Morris infectó una gran parte de los servidores existentes hasta esa fecha. Su creador, Robert Tappan Morris, fue sentenciado a tres años de libertad condicional, 400 horas de servicios a la comunidad y una multa de USD 10050. Fue este hecho el que alentó a las principales empresas involucradas en la seguridad de tecnologías de la información a desarrollar los primeros cortafuegos.
Nótese que el término inglés worm también tiene otra acepción dentro del mundo de la informática:
Worm (de write once, read many), perteneciente a las tecnologías de almacenamiento de datos. No debe ser confundido con el de gusano informático.
Detección [editar]
Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada replicación, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse.
Protegerse contra gusanos informáticos [editar]
Los gusanos se distribuyen principalmente aprovechándose de las vulnerabilidades de los sistemas operativos, que generalmente son invisibles al usuario, o engañando a los usuarios para que los ayuden.
Todos los vendedores proveen actualizaciones frecuentes de seguridad[1] y si se las instala, la mayoría de los gusanos no tendrían posibilidad de distribuirse. Si un vendedor reconoce una vulnerabilidad, pero aún tiene que lanzar una actualización de seguridad para emparcharlo, puede darse un ataque de día cero, pero son poco comunes.
Los usuarios deben ser cautelosos al abrir correos electrónicos no esperados y no deberían bajo ningún concepto ejecutar archivos adjuntos o programas o visitar sitios web indicados en tales mensajes. Sin embargo, como el gusano ILOVEYOU ya demostró y los ataques de phishing continúan demostrando, el engaño a un porcentaje de usuarios siempre es posible.
Los programas anti-virus y anti-spyware son de ayuda, pero se los debe mantener actualizados con nuevos patrones de archivos periódicamente.
Virus infórmatico
Un virus informático es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un ordenador, aunque también existen otros más "benignos", que solo se caracterizan por ser molestos.
Los virus informáticos tienen, básicamente, la función de propagarse, no se replican a sí mismos por que no tienen esa facultad como el gusano informatico, depende de un software para propagarse, son muy dañinos y algunos contienen además una carga dañina (payload) con distintos objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil.
El funcionamiento de un virus informático es conceptualmente simple. Se ejecuta un programa que está infectado, en la mayoría de las ocasiones, por desconocimiento del usuario. El código del virus queda residente (alojado) en la memoria RAM de la computadora, aun cuando el programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los servicios básicos del sistema operativo, infectando, de manera posterior, archivos ejecutables que sean llamados para su ejecución. Finalmente se añade el código del virus al del programa infectado y se graba en disco, con lo cual el proceso de replicado se completa.
Los virus informáticos tienen, básicamente, la función de propagarse, no se replican a sí mismos por que no tienen esa facultad como el gusano informatico, depende de un software para propagarse, son muy dañinos y algunos contienen además una carga dañina (payload) con distintos objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil.
El funcionamiento de un virus informático es conceptualmente simple. Se ejecuta un programa que está infectado, en la mayoría de las ocasiones, por desconocimiento del usuario. El código del virus queda residente (alojado) en la memoria RAM de la computadora, aun cuando el programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los servicios básicos del sistema operativo, infectando, de manera posterior, archivos ejecutables que sean llamados para su ejecución. Finalmente se añade el código del virus al del programa infectado y se graba en disco, con lo cual el proceso de replicado se completa.
Antivirus
Los antivirus son programas cuya función es detectar y eliminar Virus informáticos y otros programas maliciosos (a veces denominados malware).
Básicamente, un antivirus compara el código de cada archivo con una base de datos de los códigos (también conocidos como firmas o vacunas) de los virus conocidos, por lo que es importante actualizarla periódicamente a fin de evitar que un virus nuevo no sea detectado.
Actualmente a los antivirus se les ha agregado funciones avanzadas, como la búsqueda de comportamientos típicos de virus (técnica conocida como Heurística) o la verificación contra virus en redes de computadoras.
Normalmente un antivirus tiene un componente que se carga en memoria y permanece en ella para verificar todos los archivos abiertos, creados, modificados y ejecutados en tiempo real. Es muy común que tengan componentes que revisen los adjuntos de los correos electrónicos salientes y entrantes, así como los scripts y programas que pueden ejecutarse en un navegador web (ActiveX, Java, JavaScript).
Los virus, gusanos, spyware,... son programas informáticos que se ejecutan normalmente sin el consentimiento del legítimo propietario y que tienen la características de ejecutar recursos, consumir memoria e incluso eliminar o destrozar la información.
Una característica adicional es la capacidad que tienen de propagarse. Otras características son el robo de información, la pérdida de esta, la capacidad de suplantación, que hacen que reviertan en pérdidas económicas y de imagen.
Básicamente, un antivirus compara el código de cada archivo con una base de datos de los códigos (también conocidos como firmas o vacunas) de los virus conocidos, por lo que es importante actualizarla periódicamente a fin de evitar que un virus nuevo no sea detectado.
Actualmente a los antivirus se les ha agregado funciones avanzadas, como la búsqueda de comportamientos típicos de virus (técnica conocida como Heurística) o la verificación contra virus en redes de computadoras.
Normalmente un antivirus tiene un componente que se carga en memoria y permanece en ella para verificar todos los archivos abiertos, creados, modificados y ejecutados en tiempo real. Es muy común que tengan componentes que revisen los adjuntos de los correos electrónicos salientes y entrantes, así como los scripts y programas que pueden ejecutarse en un navegador web (ActiveX, Java, JavaScript).
Los virus, gusanos, spyware,... son programas informáticos que se ejecutan normalmente sin el consentimiento del legítimo propietario y que tienen la características de ejecutar recursos, consumir memoria e incluso eliminar o destrozar la información.
Una característica adicional es la capacidad que tienen de propagarse. Otras características son el robo de información, la pérdida de esta, la capacidad de suplantación, que hacen que reviertan en pérdidas económicas y de imagen.
Spywares
Los programas espías o spywares son aplicaciones que recopilan información sobre una persona u organización sin su conocimiento. La función más común que tienen estos programas es la de recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas, pero también se han empleado en círculos legales para recopilar información contra sospechosos de delitos, como en el caso de la piratería de software. Además pueden servir para enviar a los usuarios a sitios de internet que tienen la imagen corporativa de otros, con el objetivo de obtener información importante. Dado que el spyware usa normalmente la conexión de una computadora a Internet para transmitir información, consume ancho de banda, con lo cual, puede verse afectada la velocidad de transferencia de datos entre dicha computadora y otra(s) conectada(s) a Internet.
Pueden tener acceso por ejemplo a: el correo electrónico y el password; dirección IP y DNS; teléfono, país; páginas que se visitan, qué tiempos se está en ellas y con qué frecuencia se regresa; qué software está instalado en el equipo y cuál se descarga; qué compras se hacen por internet; tarjeta de crédito y cuentas de banco.
Los programas espía pueden ser instalados en un ordenador mediante un virus, un troyano que se distribuye por correo electrónico, como el programa Magic Lantern desarrollado por el FBI, o bien puede estar oculto en la instalación de un programa aparentemente inocuo. Bajar programas desde sitios "NO OFICIALES" también puede ser de alto riesgo, muchos sitios web ofrecen programas que crean instaladores con spyware a fin de darte lo que buscabas pero a su vez vigilarte y bombardearte con publicidad que ellos venden.
Los programas de recolección de datos instalados con el conocimiento del usuario no son realmente programas espías si el usuario comprende plenamente qué datos están siendo recopilados y a quién se distribuyen.
Los cookies son archivos en los que almacena información sobre un usuario de internet en su propio ordenador, y se suelen emplear para asignar a los visitantes de un sitio de Internet un número de identificación individual para su reconocimiento subsiguiente. La existencia de los cookies y su uso generalmente no están ocultos al usuario, quien puede desactivar el acceso a la información de los cookies; sin embargo, dado que un sitio Web puede emplear un identificador cookie para construir un perfil de un usuario y que dicho usuario éste no conoce la información que se añade a este perfil, se puede considerar al software que transmite información de las cookies, sin que el usuario consienta la respectiva transferencia, una forma de spyware. Por ejemplo, una página con motor de búsqueda puede asignar un número de identificación individual al usuario la primera vez que visita la página, y puede almacenar todos sus términos de búsqueda en una base de datos con su número de identificación como clave en todas sus próximas visitas (hasta que el cookie expira o se borra). Estos datos pueden ser empleados para seleccionar los anuncios publicitarios que se mostrarán al usuario, o pueden ser transmitidos (legal o ilegalmente) a otros sitios u organizaciones.
http://es.wikipedia.org/wiki/Antispyware#Programas_antiesp.C3.ADas
Pueden tener acceso por ejemplo a: el correo electrónico y el password; dirección IP y DNS; teléfono, país; páginas que se visitan, qué tiempos se está en ellas y con qué frecuencia se regresa; qué software está instalado en el equipo y cuál se descarga; qué compras se hacen por internet; tarjeta de crédito y cuentas de banco.
Los programas espía pueden ser instalados en un ordenador mediante un virus, un troyano que se distribuye por correo electrónico, como el programa Magic Lantern desarrollado por el FBI, o bien puede estar oculto en la instalación de un programa aparentemente inocuo. Bajar programas desde sitios "NO OFICIALES" también puede ser de alto riesgo, muchos sitios web ofrecen programas que crean instaladores con spyware a fin de darte lo que buscabas pero a su vez vigilarte y bombardearte con publicidad que ellos venden.
Los programas de recolección de datos instalados con el conocimiento del usuario no son realmente programas espías si el usuario comprende plenamente qué datos están siendo recopilados y a quién se distribuyen.
Los cookies son archivos en los que almacena información sobre un usuario de internet en su propio ordenador, y se suelen emplear para asignar a los visitantes de un sitio de Internet un número de identificación individual para su reconocimiento subsiguiente. La existencia de los cookies y su uso generalmente no están ocultos al usuario, quien puede desactivar el acceso a la información de los cookies; sin embargo, dado que un sitio Web puede emplear un identificador cookie para construir un perfil de un usuario y que dicho usuario éste no conoce la información que se añade a este perfil, se puede considerar al software que transmite información de las cookies, sin que el usuario consienta la respectiva transferencia, una forma de spyware. Por ejemplo, una página con motor de búsqueda puede asignar un número de identificación individual al usuario la primera vez que visita la página, y puede almacenar todos sus términos de búsqueda en una base de datos con su número de identificación como clave en todas sus próximas visitas (hasta que el cookie expira o se borra). Estos datos pueden ser empleados para seleccionar los anuncios publicitarios que se mostrarán al usuario, o pueden ser transmitidos (legal o ilegalmente) a otros sitios u organizaciones.
http://es.wikipedia.org/wiki/Antispyware#Programas_antiesp.C3.ADas
Firewall
Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra. Un uso típico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a información confidencial.
Un firewal es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso. Para permitir o denegar una comunicación el firewal examina el tipo de servicio al que corresponde, como pueden ser el web, el correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no. Además, el firewall examina si la comunicación es entrante o saliente y dependiendo de su dirección puede permitirla o no.
De este modo un firewall puede permitir desde una red local hacia Internet servicios de web, correo y ftp, pero no a IRC que puede ser innecesario para nuestro trabajo. También podemos configurar los accesos que se hagan desde Internet hacia la red local y podemos denegarlos todos o permitir algunos servicios como el de la web, (si es que poseemos un servidor web y queremos que accesible desde Internet). Dependiendo del firewall que tengamos también podremos permitir algunos accesos a la red local desde Internet si el usuario se ha autentificado como usuario de la red local.
Un firewall puede ser un dispositivo software o hardware, es decir, un aparatito que se conecta entre la red y el cable de la conexión a Internet, o bien un programa que se instala en la máquina que tiene el modem que conecta con Internet. Incluso podemos encontrar ordenadores computadores muy potentes y con softwares específicos que lo único que hacen es monitorizar las comunicaciones entre redes.
Un firewal es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso. Para permitir o denegar una comunicación el firewal examina el tipo de servicio al que corresponde, como pueden ser el web, el correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no. Además, el firewall examina si la comunicación es entrante o saliente y dependiendo de su dirección puede permitirla o no.
De este modo un firewall puede permitir desde una red local hacia Internet servicios de web, correo y ftp, pero no a IRC que puede ser innecesario para nuestro trabajo. También podemos configurar los accesos que se hagan desde Internet hacia la red local y podemos denegarlos todos o permitir algunos servicios como el de la web, (si es que poseemos un servidor web y queremos que accesible desde Internet). Dependiendo del firewall que tengamos también podremos permitir algunos accesos a la red local desde Internet si el usuario se ha autentificado como usuario de la red local.
Un firewall puede ser un dispositivo software o hardware, es decir, un aparatito que se conecta entre la red y el cable de la conexión a Internet, o bien un programa que se instala en la máquina que tiene el modem que conecta con Internet. Incluso podemos encontrar ordenadores computadores muy potentes y con softwares específicos que lo único que hacen es monitorizar las comunicaciones entre redes.
Suscribirse a:
Entradas (Atom)