Recuperado de:
https://www.infospyware.com/articulos/%C2%BFque-son-los-virus-informaticos/
jueves, 11 de abril de 2019
Todo Sobre Virus Informáticos
Los Virus Informáticos son sencillamente programas maliciosos que “infectan” a otros archivos del sistema con la intención de modificarlo o dañarlo. Dicha infección consiste en incrustar su código malicioso en el interior del archivo “víctima” (normalmente un ejecutable) de forma que a partir de ese momento dicho ejecutable pasa a ser portador del virus y por tanto, una nueva fuente de infección.
Recuperado de:
https://www.infospyware.com/articulos/%C2%BFque-son-los-virus-informaticos/
Recuperado de:
https://www.infospyware.com/articulos/%C2%BFque-son-los-virus-informaticos/
¿Como Atacan los Virus Informáticos?
Los virus son archivos escondidos en los archivos que son descargamos a nuestro computador. Cuando el virus entra a la computadora, su código se aloja en la memoria RAM. Este, entonces, se “activa”, es decir que se apodera de las funciones básicas del sistema operativo, perjudicando el ordenador. Luego pasa a lo que viene siendo el “ataque”, que trata sobre la multiplicación del virus en los demás archivos.
Recuperado de:
https://virusinformaticoskbygs.wordpress.com/en-que-afectan-los-virus-a-los-computadores/
Recuperado de:
https://virusinformaticoskbygs.wordpress.com/en-que-afectan-los-virus-a-los-computadores/
Creeper
El creeper era un virus informático, fue desarrollado en 1971 por Bob Thomas y no causaba ningún efecto negativo solo iba de computadora en computadora diciendo “Soy el Creeper, atrápame si puedes”. Este fue el primer virus creado en la historia de la informática.
Recuperado de:
Recuperado de:
Elk Cloner
A Elk Cloner se le considera el primer virus informático ya que este no fue solo una simple prueba en este lanzaba una amenaza en forma de poema la cual decía lo siguiente:
“Elk Cloner: el programa con personalidad”
“Obtendrá todos tus discos”
“Se meterá en tus chips”
“¡Sí, es Cloner!”
“Se pegará a ti como pegamento”
“Cambiara también tu RAM”
“¡Pásalo, Elk Cloner!”
Recuperado de:
“Elk Cloner: el programa con personalidad”
“Obtendrá todos tus discos”
“Se meterá en tus chips”
“¡Sí, es Cloner!”
“Se pegará a ti como pegamento”
“Cambiara también tu RAM”
“¡Pásalo, Elk Cloner!”
Recuperado de:
Blaster/Lovsan
Es un gusano de red de Windows que se aprovecha de una vulnerabilidad en el servicio DCOM para infectar a otros sistemas de forma automática. Fue detectado y liberado el día 11 de agosto de 2003. La tasa de infecciones aumentó considerablemente hasta el día 13 de agosto de 2003.
Este virus fue creado por Jeffrey Lee Parson al cual lo arrestaron el 29 de agosto de 2003 y fue sentenciado a 18 meses de prisión en enero de 2005 por crear la variante B del virus.
Sus efectos principales era infectar los sistemas vulnerables, deja una puerta trasera que permite la intrusión a terceros, haciendo que la máquina infectada sea fácilmente atacada por otros virus, o accesos remotos no autorizados. El gusano se disemina al explotar un desbordamiento de buffer en el servicio DCOM para los sistemas operativos Windows afectados, para los cuales se liberó un parche un mes antes en MS03-026 y luego en MS03-039.
El gusano tiene en su código los siguientes mensajes:
¨ ¡Solo quiero decir que te amo SAN!¨
Es por eso que a veces es llamado el gusano LoveSan o LovSan.
El segundo:
Billy Gates, ¿Por qué haces esto posible? ¡¡Deja de hacer dinero y corrige tu software!!
Es un mensaje a Bill Gates, el fundador de Microsoft, y el objetivo del gusano.
El gusano también crea la siguiente entrada en el registro para que se inicie cada vez que se inicia Windows:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ windows auto update = msblast.exe
Recuperado de:
Este virus fue creado por Jeffrey Lee Parson al cual lo arrestaron el 29 de agosto de 2003 y fue sentenciado a 18 meses de prisión en enero de 2005 por crear la variante B del virus.
Sus efectos principales era infectar los sistemas vulnerables, deja una puerta trasera que permite la intrusión a terceros, haciendo que la máquina infectada sea fácilmente atacada por otros virus, o accesos remotos no autorizados. El gusano se disemina al explotar un desbordamiento de buffer en el servicio DCOM para los sistemas operativos Windows afectados, para los cuales se liberó un parche un mes antes en MS03-026 y luego en MS03-039.
El gusano tiene en su código los siguientes mensajes:
¨ ¡Solo quiero decir que te amo SAN!¨
Es por eso que a veces es llamado el gusano LoveSan o LovSan.
El segundo:
Billy Gates, ¿Por qué haces esto posible? ¡¡Deja de hacer dinero y corrige tu software!!
Es un mensaje a Bill Gates, el fundador de Microsoft, y el objetivo del gusano.
El gusano también crea la siguiente entrada en el registro para que se inicie cada vez que se inicia Windows:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ windows auto update = msblast.exe
Recuperado de:
Klez
Es un virus gusano que se propagaba a través del correo electrónico el cual tenía un nombre de usuario el cual era así: W32.Klez.Worm@mm
El virus recupera la lista de direcciones que encontró en la libreta de direcciones de Microsoft Outlook o Eudora, como la de clientes de mensajería instantánea (ICQ).
A continuación, el virus Klez envía un correo electrónico a todos los destinatarios, mediante el uso de su propio servidor SMTP.
Debido a esto, el virus Klez puede generar correos electrónicos sin texto y con un asunto elegido de manera aleatoria de una lista de aproximadamente cien opciones pre configuradas. Adjunta al correo electrónico un archivo ejecutable que contiene una variante del virus. Los virus poseen una extensión .eml para explotar una falla de seguridad en Microsoft Internet Explorer 5.
Recuperado de:
El virus recupera la lista de direcciones que encontró en la libreta de direcciones de Microsoft Outlook o Eudora, como la de clientes de mensajería instantánea (ICQ).
A continuación, el virus Klez envía un correo electrónico a todos los destinatarios, mediante el uso de su propio servidor SMTP.
Debido a esto, el virus Klez puede generar correos electrónicos sin texto y con un asunto elegido de manera aleatoria de una lista de aproximadamente cien opciones pre configuradas. Adjunta al correo electrónico un archivo ejecutable que contiene una variante del virus. Los virus poseen una extensión .eml para explotar una falla de seguridad en Microsoft Internet Explorer 5.
Recuperado de:
Melissa La Bailarina Exotica
El virus se auto propaga por correo electrónico automáticamente de un usuario a otro. Al activarse el virus modifica los documentos del usuario e inserta comentarios de la serie de TV "Los Simpson". Y lo que es peor, puede enviar información confidencial desde el ordenador sin que lo advierta el usuario.
Funcionamiento
El virus Melissa infecta archivos de Word aprovechando su capacidad de ejecutar Scripts de Visual Basic. Sus acciones principales son las siguientes:
1. Infecta a MS Word y éste a todos los archivos que se abren.
2. Cambia ciertas configuraciones para facilitar la infección.
3. Se auto-envía por correo, como un mensaje proveniente del usuario a la primera 50 buzones de la libreta de direcciones de su correo.
Cuando un documento de Word infectado es abierto, Melissa infecta la plantilla de documentos normal.dot, que es donde se encuentran todos los valores y macros predeterminadas del programa. A partir de este momento todos los archivos serán infectados por el virus.
Se distribuyó inicialmente en un grupo de discusión de Internet llamado alt.sex. El virus se envió en un archivo llamado LIST.DOC, que contenía claves de acceso para websites clasificadas X. Cuando el usuario bajaba el archivo y lo abría con Microsoft Word, se ejecutaba una macro en el documento que enviaba el archivo LIST.DOC a 50 personas relacionadas en la agenda del correo electrónico del usuario.
El mensaje era:
• From: (nombre del usuario infectado)
• Subject: Important Message From (nombre del usuario infectado)
• To: (50 nombres de la agenda)
• Here is that document you asked for ... don´t show anyone else ;.)
• Attachment: LIST.DOC
La mayoría de los receptores aceptan abrir el archivo puesto que les llega de alguien conocido. Después de enviar el documento, el virus continúa infectando otros documentos Word a los que accede el usuario. Fortuitamente, estos documentos pueden acabar siendo enviados a otros usuarios, siendo potencialmente desastroso puesto que el usuario puede enviar inadvertidamente información confidencial a externos.
El virus se activa cuando el minuto de las horas coincide con el día del mes - por ejemplo a las 16:27 del día 27. Entonces, el virus insertará en el documento abierto, la siguiente frase: "Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here".
Este texto y el alias del autor del virus ("Kwyjibo") hacen referencia a la serie de dibujos animados "Los Simpsons". W97M/Melissa trabaja con Microsoft Word 97, Microsoft Word 2000 y Microsoft Outlook. Puede infectar tanto usuarios Windows como Macintosh. Si el equipo infectado no tiene Outlook o acceso a Internet, el virus continuará propagándose localmente a los documentos que el usuario acceda.
Recuperado de:
Funcionamiento
El virus Melissa infecta archivos de Word aprovechando su capacidad de ejecutar Scripts de Visual Basic. Sus acciones principales son las siguientes:
1. Infecta a MS Word y éste a todos los archivos que se abren.
2. Cambia ciertas configuraciones para facilitar la infección.
3. Se auto-envía por correo, como un mensaje proveniente del usuario a la primera 50 buzones de la libreta de direcciones de su correo.
Cuando un documento de Word infectado es abierto, Melissa infecta la plantilla de documentos normal.dot, que es donde se encuentran todos los valores y macros predeterminadas del programa. A partir de este momento todos los archivos serán infectados por el virus.
Se distribuyó inicialmente en un grupo de discusión de Internet llamado alt.sex. El virus se envió en un archivo llamado LIST.DOC, que contenía claves de acceso para websites clasificadas X. Cuando el usuario bajaba el archivo y lo abría con Microsoft Word, se ejecutaba una macro en el documento que enviaba el archivo LIST.DOC a 50 personas relacionadas en la agenda del correo electrónico del usuario.
El mensaje era:
• From: (nombre del usuario infectado)
• Subject: Important Message From (nombre del usuario infectado)
• To: (50 nombres de la agenda)
• Here is that document you asked for ... don´t show anyone else ;.)
• Attachment: LIST.DOC
La mayoría de los receptores aceptan abrir el archivo puesto que les llega de alguien conocido. Después de enviar el documento, el virus continúa infectando otros documentos Word a los que accede el usuario. Fortuitamente, estos documentos pueden acabar siendo enviados a otros usuarios, siendo potencialmente desastroso puesto que el usuario puede enviar inadvertidamente información confidencial a externos.
El virus se activa cuando el minuto de las horas coincide con el día del mes - por ejemplo a las 16:27 del día 27. Entonces, el virus insertará en el documento abierto, la siguiente frase: "Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here".
Este texto y el alias del autor del virus ("Kwyjibo") hacen referencia a la serie de dibujos animados "Los Simpsons". W97M/Melissa trabaja con Microsoft Word 97, Microsoft Word 2000 y Microsoft Outlook. Puede infectar tanto usuarios Windows como Macintosh. Si el equipo infectado no tiene Outlook o acceso a Internet, el virus continuará propagándose localmente a los documentos que el usuario acceda.
Recuperado de:
I Love You
Apareció en el año 2000, desde Filipinas y fue capaz de infectar a
millones de ordenadores e importantes instituciones como el Pentágono, la CIA o
el Parlamento Británico.
Se manifestaba cuando recibías un correo diciendo esto:
Asunto: ILOVEYOU
Contenido: kindly check the
attached LOVELETTER coming from me
Archivo adjunto:
LOVE-LETTER-FOR-YOU.TXT.VB
Recuperado de:
miércoles, 10 de abril de 2019
Código Rojo II
Se sirve del mismo sistema de infección que usa Código rojo. Se trata de un agujero de seguridad en los ordenadores que tengan instalado Windows 2000 y Windows NT, así como el servidor Internet Information Server (IIS) de Microsoft.
Cómo se propaga
Del mismo modo que su predecesor: buscando ordenadores que no hayan tapado el agujero de seguridad de IIS. No obstante, el sistema de búsqueda es más preciso, puesto que rastrea primero las áreas más cercanas a la máquina infectada.
Cómo ataca
A diferencia de su predecesor, Código rojo II no está programado para lanzar un ataque contra otras máquinas.
Sus posibles efectos
Abre una puerta trasera en los ordenadores que infecta. Después de varios días de propagación, este virus podría dejar tras de sí un reguero de varios miles de ordenadores abiertos al ataque de terceras personas.
Cómo puede saberse si un ordenador ha sido infectado
El virus copia un archivo en el directorio principal del disco duro (c:explorer.exe ó d:explorer.exe). Además, incluye el archivo root .exe en las carpetas scripts y msadc del IIS.
}
Cómo se propaga
Del mismo modo que su predecesor: buscando ordenadores que no hayan tapado el agujero de seguridad de IIS. No obstante, el sistema de búsqueda es más preciso, puesto que rastrea primero las áreas más cercanas a la máquina infectada.
Cómo ataca
A diferencia de su predecesor, Código rojo II no está programado para lanzar un ataque contra otras máquinas.
Sus posibles efectos
Abre una puerta trasera en los ordenadores que infecta. Después de varios días de propagación, este virus podría dejar tras de sí un reguero de varios miles de ordenadores abiertos al ataque de terceras personas.
Cómo puede saberse si un ordenador ha sido infectado
El virus copia un archivo en el directorio principal del disco duro (c:explorer.exe ó d:explorer.exe). Además, incluye el archivo root .exe en las carpetas scripts y msadc del IIS.
}
Recuperado de:
https://elpais.com/tecnologia/2001/08/07/actualidad/997172878_850215.html
Nimda
El virus Nimda (cuyo nombre de código es W32/Nimda) es un gusano que se disemina a través del correo electrónico. También posee otras cuatro formas de difundirse:
La Web
Carpetas compartidas
Agujeros de seguridad de Microsoft IIS
Transferencia de archivos
El gusano Nimda recupera la lista de direcciones encontrada en las libretas de direcciones de Microsoft Outlook y Eudora, como también direcciones contenidas en archivos HTML que se encuentran en el disco duro del equipo infectado.
A continuación, el virus Nimda envía un correo electrónico a todos estos destinatarios sin texto y con un asunto escogido en forma aleatoria (y a menudo, muy extenso). Agrega al mensaje un adjunto llamado Readme.exe o Readme.eml (archivo que contiene un ejecutable). Los virus poseen una extensión .eml para explotar una falla de seguridad en Internet Explorer 5.
Además, en Microsoft Windows el virus Nimda se puede diseminar por carpetas de red compartidas, infectando de esta forma archivos ejecutables que allí se encuentran.
Navegar por sitios web en servidores infectados con Nimda puede ocasionar una infección cuando un usuario visita páginas con el navegador Microsoft Internet Explorer 5, que es vulnerable.
El virus Nimda también puede tomar el control del servidor Web de Microsoft IIS, mediante la explotación de ciertos agujeros de seguridad.
La Web
Carpetas compartidas
Agujeros de seguridad de Microsoft IIS
Transferencia de archivos
El gusano Nimda recupera la lista de direcciones encontrada en las libretas de direcciones de Microsoft Outlook y Eudora, como también direcciones contenidas en archivos HTML que se encuentran en el disco duro del equipo infectado.
A continuación, el virus Nimda envía un correo electrónico a todos estos destinatarios sin texto y con un asunto escogido en forma aleatoria (y a menudo, muy extenso). Agrega al mensaje un adjunto llamado Readme.exe o Readme.eml (archivo que contiene un ejecutable). Los virus poseen una extensión .eml para explotar una falla de seguridad en Internet Explorer 5.
Además, en Microsoft Windows el virus Nimda se puede diseminar por carpetas de red compartidas, infectando de esta forma archivos ejecutables que allí se encuentran.
Navegar por sitios web en servidores infectados con Nimda puede ocasionar una infección cuando un usuario visita páginas con el navegador Microsoft Internet Explorer 5, que es vulnerable.
El virus Nimda también puede tomar el control del servidor Web de Microsoft IIS, mediante la explotación de ciertos agujeros de seguridad.
Recuperado de:
SQL slammer/ Zafiro
En enero del 2003, Slammer probó que tan dañino podía ser un gusano para los servicios públicos y privados. El gusano liberaba una avalancha de paquetes de red, y la cantidad de datos que transmitía a través del Internet causó que varios servidores suspendieran actividades casi inmediatamente. Entre las víctimas del gusano se encontraron Bank of America, el servicio de emergencias estadounidense 911 y una planta.
La historia de Slammer comenzó el 25 de enero de 2003, cuando en un plazo de apenas diez minutos consiguió infectar a decenas de miles de servidores en todo el mundo, colapsando Internet de manera global. La reaparición de este gusano de apenas 376 bytes, que había permanecido prácticamente inactivo desde 2003.
Los intentos de ataque detectados se dirigieron a un total de 172 países, con el 26% de las ofensivas hacia redes estadounidenses. Además, las direcciones IP que iniciaron el mayor número de asaltos relacionados con el SQL Slammer están registradas en China, Vietnam, México y Ucrania.
Método de Infección
Slammer realiza el siguiente proceso de infección:
Llega al ordenador procedente de otro servidor SQL y queda residente en memoria.
Carga tres funciones API de la Winsock (estándar de gestión de redes):
Socket y Sendto (WSW_32.DLL), para su envío.
GetTickCount (KERNELL32.DLL), para obtener la IP aleatoria del servidor al que intentará atacar.
Comienza a enviar masivamente archivos de 376 Bytes con el código del gusano a través del puerto 1434.
Debido a este proceso continuo y los múltiples envíos se llega a generar un ataque de tipo DDoS (denegación de servicios distribuido) sobre dicho puerto.
Slammer no crea ni modifica ficheros. Tampoco modifica el registro de Windows.
Método de propagación
Llega al servidor procedente de otro servidor SQL. Una vez en el equipo, busca otras máquinas que actúen como servidores de SQL, para infectarlas. Para ello aprovecha una vulnerabilidad de tipo Desbordamiento de búfer, que existe en aquellos servidores que no tengan instalado el Service Pack 3.
Recuperado de:
MyDoom
Es un virus informático,de tipo gusano que ha infectado a más de un millón de computadoras. Persigue colapsar los parques informáticos de las compañías, impidiendo a los trabajadores usar el ordenador y paralizando la producción. Mydoom se reenvía automáticamente a los contactos de las libretas de direcciones de los equipos, se le considera la peor epidemia de la red hasta el momento.
Se asoma a los buzones de correo electrónico desde ayer con encabezados del tipo de "Mail Delivery System", "Test" o "Mail Transaction Failed". El cuerpo del mensaje contiene un fichero ejecutable (.exe) y una frase en inglés que reza "Este mensaje contiene caracteres de tipo Unicode y se ha enviado como un archivo binario". El gusano persigue colapsar los parques informáticos de las compañías, impidiendo a los trabajadores usar el ordenador y paralizando la producción. Mydoom.A se reenvía automáticamente a los contactos de las libretas de direcciones de los equipos. Además, abre el puerto TCP 3127 del ordenador afectado, permitiendo su control desde el exterior, lo que abre las puertas a cualquier hacker malicioso con intención de entrar, robar, manipular o destruir todo tipo de información en su interior. Mydoom ha sido diseñado para afectar a redes corporativas de cualquier tamaño, que es capaz de colapsar simulando ser el benigno mensaje de error de un correo no entregado. Sin embargo, basta que los administradores de sistemas lo abran para que infecte directamente toda la red corporativa, "comiéndose su ancho de banda". Es un gusano que se propaga a través del correo y redes P2P, como Kazaa, con técnicas de ingeniería social que engañan al usuario. Se viste de texto mal descifrado y se auto envía, una vez abierto, a todos los contactos del sistema infectado. Por si fuera poco, tiene capacidad de puerta trasera, lo que permitiría tomar control del equipo por un pirata informático. Entre el 1 y el 12 de febrero, está preparado para lanzar ataques de denegación de servicio (DoS) al sitio de SCO (www.sco.com), compañía que tiene varios litigios abiertos sobre propiedad intelectual del sistema de código abierto y gratuito Linux.
Se asoma a los buzones de correo electrónico desde ayer con encabezados del tipo de "Mail Delivery System", "Test" o "Mail Transaction Failed". El cuerpo del mensaje contiene un fichero ejecutable (.exe) y una frase en inglés que reza "Este mensaje contiene caracteres de tipo Unicode y se ha enviado como un archivo binario". El gusano persigue colapsar los parques informáticos de las compañías, impidiendo a los trabajadores usar el ordenador y paralizando la producción. Mydoom.A se reenvía automáticamente a los contactos de las libretas de direcciones de los equipos. Además, abre el puerto TCP 3127 del ordenador afectado, permitiendo su control desde el exterior, lo que abre las puertas a cualquier hacker malicioso con intención de entrar, robar, manipular o destruir todo tipo de información en su interior. Mydoom ha sido diseñado para afectar a redes corporativas de cualquier tamaño, que es capaz de colapsar simulando ser el benigno mensaje de error de un correo no entregado. Sin embargo, basta que los administradores de sistemas lo abran para que infecte directamente toda la red corporativa, "comiéndose su ancho de banda". Es un gusano que se propaga a través del correo y redes P2P, como Kazaa, con técnicas de ingeniería social que engañan al usuario. Se viste de texto mal descifrado y se auto envía, una vez abierto, a todos los contactos del sistema infectado. Por si fuera poco, tiene capacidad de puerta trasera, lo que permitiría tomar control del equipo por un pirata informático. Entre el 1 y el 12 de febrero, está preparado para lanzar ataques de denegación de servicio (DoS) al sitio de SCO (www.sco.com), compañía que tiene varios litigios abiertos sobre propiedad intelectual del sistema de código abierto y gratuito Linux.
Recuperado de:
Sasser
Apareció en mayo de 2004 y es un virus que explota un agujero de seguridad de LSASS (Autoridad de seguridad local), que corresponde al archivo ejecutable lsass.exe) en Windows. La aparición del primer virus en explotar la falla de seguridad en LSASS de Windows se produjo apenas dos semanas después de que se publicara la falla y se lanzaran los primeros parches correctivos. Windows NT 4.0, 2000, XP y (en menor grado) Windows Server 2003 están todos afectados.
Está programado para ejecutar 128 procesos (1024 para la variante SasserC) que analizan una cantidad de direcciones IP aleatorias que buscan sistemas vulnerables a la falla LSASS en el puerto 455/TCP.
El virus instala un servidor FTP en el puerto 5554 para que otros equipos infectados puedan descargarlo.
Después, cuando encuentra un equipo vulnerable, el gusano abre un shell remoto en el equipo (en el puerto TCO 9996) y hace que el equipo remoto descargue una copia del gusano (denominada avserve.exe o avserve2.exe para la variante Sasser.B) en el directorio de Windows.
Una vez que se descargó el archivo, el virus crea un archivo llamado win.log (o win2.log para la variante Sasser.B) en el directorio c:\ que registra la cantidad de equipos que pueden estar infectados. A continuación, crea entradas en el registro para reiniciarse cada vez que el equipo se reinicie:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve.exe o
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve.exe -> C:\%WINDIR%\avserve.exe
El virus ejecuta "AbortSystemShutdown" para evitar que el usuario u otros virus reinicien el equipo (o lo desactiven).
Recuperado de:
https://es.ccm.net/contents/750-el-gusano-sasser
Está programado para ejecutar 128 procesos (1024 para la variante SasserC) que analizan una cantidad de direcciones IP aleatorias que buscan sistemas vulnerables a la falla LSASS en el puerto 455/TCP.
El virus instala un servidor FTP en el puerto 5554 para que otros equipos infectados puedan descargarlo.
Después, cuando encuentra un equipo vulnerable, el gusano abre un shell remoto en el equipo (en el puerto TCO 9996) y hace que el equipo remoto descargue una copia del gusano (denominada avserve.exe o avserve2.exe para la variante Sasser.B) en el directorio de Windows.
Una vez que se descargó el archivo, el virus crea un archivo llamado win.log (o win2.log para la variante Sasser.B) en el directorio c:\ que registra la cantidad de equipos que pueden estar infectados. A continuación, crea entradas en el registro para reiniciarse cada vez que el equipo se reinicie:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve.exe o
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve.exe -> C:\%WINDIR%\avserve.exe
El virus ejecuta "AbortSystemShutdown" para evitar que el usuario u otros virus reinicien el equipo (o lo desactiven).
Recuperado de:
https://es.ccm.net/contents/750-el-gusano-sasser
Leap.A/Oompa.A
Un
virus que demuestra que los usuarios de Mac no están a salvo de esta amenaza, a
pesar de que Apple se enorgullece de que su sistema operativo está blindado
ante los virus. Leap-A se expandió en 2006 a través del programa de mensajería
iChat, donde mandaba un archivo corrupto con formato de imagen a todos los
contactos. No causó gran daño, pero demostró que Apple también puede ser
vulnerable.
Recuperado
de:
https://www.baquia.com/emprendedores/los-diez-virus-mas-letales-de-todos-los-tiempos
Brain
Fue creado en 1986 por Basit y Alvi Amjad, de Pakistán, según afirmaron con un propósito totalmente distinto al empleado; estos virtuosos desarrolladores de software crearon a Brain con la única intención de proteger, ante el emergente "pirateo", los programas que ellos mismos creaban y comercializaban en su tienda Brain Computer Services.
No es hasta el 16 de mayo de 1988 cuando se detectó por primera vez y se hizo público. Un periodista del Journal-Bulletin de Providence, Rhode Island, fue quien detectó la presencia de Brain en un disquete al no poder recuperar un fichero donde había almacenado un trabajo durante meses; pensó que el disquete estaba deteriorado y lo presentó al fabricante, detectando tras diversos análisis la presencia de un virus en el Boot de la unidad de almacenamiento.
Efectos y propagación
Rara vez dañaba los archivos que infectaba, como sucede en la mayor parte de las versiones y actualizaciones de este virus, exceptuando algunos que pueden llegar a eliminar una importante cantidad de datos almacenados en el disco duro, y además dejaba su tarjeta de visita. Ashar estaba limitado casi exclusivamente a emitir un mensaje donde indicaba lo siguiente (el mensaje podía variar según la versión del virus):
"Welcome to the Dungeon ... (c) 1986 Brain & Amjads (pvt) Ltd ... 430791.443248.280530 VIRUS_SHOE RECORD V9.0 ... Dedicated to the dynamic memories of millions of virus who are no longer with us today - Thanks GOODNESS !! ... BEWARE OF THE er... IRUS...".
Una traducción aproximada podría ser la siguiente:
"Bienvenido a la Mazmorra... (c) 1986 Brain & Amjads (pvt) Ltd... 430791.443248.280530 VIRUS_SHOE RECORD V9.0 ... Dedicado a las memorias dinámicas de los millones de virus que ya no están con nosotros - ¡GRACIAS A DIOS! ... CUIDADO CON EL em... VIRUS...".
No es hasta el 16 de mayo de 1988 cuando se detectó por primera vez y se hizo público. Un periodista del Journal-Bulletin de Providence, Rhode Island, fue quien detectó la presencia de Brain en un disquete al no poder recuperar un fichero donde había almacenado un trabajo durante meses; pensó que el disquete estaba deteriorado y lo presentó al fabricante, detectando tras diversos análisis la presencia de un virus en el Boot de la unidad de almacenamiento.
Efectos y propagación
Rara vez dañaba los archivos que infectaba, como sucede en la mayor parte de las versiones y actualizaciones de este virus, exceptuando algunos que pueden llegar a eliminar una importante cantidad de datos almacenados en el disco duro, y además dejaba su tarjeta de visita. Ashar estaba limitado casi exclusivamente a emitir un mensaje donde indicaba lo siguiente (el mensaje podía variar según la versión del virus):
"Welcome to the Dungeon ... (c) 1986 Brain & Amjads (pvt) Ltd ... 430791.443248.280530 VIRUS_SHOE RECORD V9.0 ... Dedicated to the dynamic memories of millions of virus who are no longer with us today - Thanks GOODNESS !! ... BEWARE OF THE er... IRUS...".
Una traducción aproximada podría ser la siguiente:
"Bienvenido a la Mazmorra... (c) 1986 Brain & Amjads (pvt) Ltd... 430791.443248.280530 VIRUS_SHOE RECORD V9.0 ... Dedicado a las memorias dinámicas de los millones de virus que ya no están con nosotros - ¡GRACIAS A DIOS! ... CUIDADO CON EL em... VIRUS...".
Recuperado de:
Jerusalem Family
El virus Jerusalem o Jerusalén, también conocido como Viernes 13, es uno de los más destacados en la historia de los virus informáticos. Su descubrimiento y aislamiento en 1987 por la Universidad Hebrea de Jerusalén tuvo en vela a cientos de usuarios, que desconocían por completo que los computadores también podían ser enfermados por “virus”.
Este virus se autoinstalaba en la RAM de los computadores, tomando el control de las interrupciones entre las 8:00 y las 21:00. Desde allí afectaba únicamente a los archivos .EXE y COM.
Su descubrimiento se produjo gracias a un fallo en la estructura vírica por la que Jerusalén no detectaba los archivos .exe que ya había infectado, por lo que se enzarzaba en un bucle, re-infectando una y otra vez los mismos archivos. Cada vez que el usuario abría un archivo, Jerusalén se incorporaba a él, haciendo que este aumentara su peso en 2 KB, creciendo cada vez más hasta que el sistema operativo MS-DOS fuera incapaz de soportarlo, ya que en esa época la RAM no sobrepasaba los 640 kB y los discos duros promediaban entre los 20 y 30 MB.
Aparentemente, los efectos del virus Jerusalén no parecían devastadores, pues solo ralentizaban los procesos realizados por el usuario mientras trabajaba con archivos instalados en su ordenador.
Recuperado de:
https://es.wikipedia.org/wiki/Jerusalem_(virus_inform%C3%A1tico)
Este virus se autoinstalaba en la RAM de los computadores, tomando el control de las interrupciones entre las 8:00 y las 21:00. Desde allí afectaba únicamente a los archivos .EXE y COM.
Su descubrimiento se produjo gracias a un fallo en la estructura vírica por la que Jerusalén no detectaba los archivos .exe que ya había infectado, por lo que se enzarzaba en un bucle, re-infectando una y otra vez los mismos archivos. Cada vez que el usuario abría un archivo, Jerusalén se incorporaba a él, haciendo que este aumentara su peso en 2 KB, creciendo cada vez más hasta que el sistema operativo MS-DOS fuera incapaz de soportarlo, ya que en esa época la RAM no sobrepasaba los 640 kB y los discos duros promediaban entre los 20 y 30 MB.
Aparentemente, los efectos del virus Jerusalén no parecían devastadores, pues solo ralentizaban los procesos realizados por el usuario mientras trabajaba con archivos instalados en su ordenador.
Recuperado de:
https://es.wikipedia.org/wiki/Jerusalem_(virus_inform%C3%A1tico)
Stoned
es el nombre de un sector de arranque virus informático creado en 1987.
Es uno de los primeros virus y se cree que ha sido escrito por un estudiante universitario en Wellington, Nueva Zelanda.
Debido al año en el que fue creado con la tecnología de antes era mucho más difícil rastrear o saber con exactitud el origen del virus pero se sabe que viene desde Nueva Zelanda por un estudiante universitario sin saber quién fue pero al parecer este virus se difundió por toda Nueva Zelanda en muy poco tiempo.
En 1989 se había extendido ampliamente en Nueva Zelanda y Australia, y las variantes se hicieron muy comunes en todo el mundo a principios de 1990.
Un equipo infectado con la versión original tenía un uno de cada ocho probabilidad que la pantalla declararía: "Su PC está ahora Drogado!" , Una frase que se encuentra en los sectores de arranque infectados de disquetes infectados y los registros de arranque maestro de discos duros infectados, junto con la frase "legaliza la marihuana " . Variantes posteriores producen una gama de otros mensajes.
¿QUE ES LO QUE HACE?
Se transmite al ordenador cuando éste se arranca con un disquete contaminado por el virus.
Se coloca como residente en la memoria del ordenador, desde un disquete infectado.
Desde su posición en memoria, infecta todos los disquetes que se utilicen en el ordenador afectado.
¿COMO SE TRANSMITÍA?
Infecta el disco duro del ordenador, cuando éste se arranca con un disquete contaminado por el virus.
Es uno de los primeros virus y se cree que ha sido escrito por un estudiante universitario en Wellington, Nueva Zelanda.
Debido al año en el que fue creado con la tecnología de antes era mucho más difícil rastrear o saber con exactitud el origen del virus pero se sabe que viene desde Nueva Zelanda por un estudiante universitario sin saber quién fue pero al parecer este virus se difundió por toda Nueva Zelanda en muy poco tiempo.
En 1989 se había extendido ampliamente en Nueva Zelanda y Australia, y las variantes se hicieron muy comunes en todo el mundo a principios de 1990.
Un equipo infectado con la versión original tenía un uno de cada ocho probabilidad que la pantalla declararía: "Su PC está ahora Drogado!" , Una frase que se encuentra en los sectores de arranque infectados de disquetes infectados y los registros de arranque maestro de discos duros infectados, junto con la frase "legaliza la marihuana " . Variantes posteriores producen una gama de otros mensajes.
¿QUE ES LO QUE HACE?
Se transmite al ordenador cuando éste se arranca con un disquete contaminado por el virus.
Se coloca como residente en la memoria del ordenador, desde un disquete infectado.
Desde su posición en memoria, infecta todos los disquetes que se utilicen en el ordenador afectado.
¿COMO SE TRANSMITÍA?
Infecta el disco duro del ordenador, cuando éste se arranca con un disquete contaminado por el virus.
Recuperado de:
Dark Avenger Mutation Engine
Salió a la luz en 1990 pero el código fue escrito en 1988 y se utilizó a principios de los noventa en virus como POGUE y COFFEESHOP. Este Motor de Mutación fue el primer Polimorfo real que se usó a nivel masivo y cambió para siempre la forma en que funcionan los virus.
Recuperado de:
Recuperado de:
jueves, 4 de abril de 2019
Michelangelo
Es un virus informático primero descubierto el 4
de febrero de 1991 en Australia. El virus se diseñó para infectar sistemas de
DOS, pero no entabló el sistema operativo o hizo cualquier llamada de OS.
Michelangelo, como todos los virus del sector de arranque, básicamente hechos
funcionar al nivel del BIOS. El virus permaneció inactivo hasta el 6 de marzo
de 1992, aniversario del nacimiento del artista del Renacimiento Michelangelo.
No hay ninguna referencia al artista en el virus, y es dudoso que el escritor
del virus quisiera a Michelangelo para referirse al virus. Michelangelo es una
variante del virus Apedreado ya endémico.
Recuperado de:
Recuperado de:
World Concept
Fue desarrollado en 1995 y fue el primer macro
virus para Microsoft Word. Word Concept escribía
la frase, "That's enough to prove my point". Inició la segunda era de los virus y fue importante en el sentido de que
llevó los virus a un nivel de hackers mucho menos avanzado.
Recuperado de:
Recuperado de:
Code Red
Comparado al malware moderno Code Red parece no ser tan peligroso, sin embargo en el 2001 sorprendió a expertos de seguridad en línea al utilizar una falla en el Servidor de Información de Microsoft, logrando bajar y cambiar algunos sitios web. El más memorable quizá fue el sitio de la Casa Blanca: whitehouse.gov y obligó también a otros sitios gubernamentales a bajar sus páginas momentáneamente.
Características
Virus CodeRed.worm, Alias: W32/Bady, CODERED.A, HBC, W32/Bady.worm es un Gusano de tamaño aproximadamente 4 Kb. Una de las características más singulares de este gusano, es que el mismo no modifica ninguna página HTML, ni copia archivo alguno con su código en la máquina infectada. Funciona siempre residente en memoria, e intercepta las funciones normales del servidor, para mostrar en lugar de la página HTML solicitada, la suya, creada a partir del código residente en la memoria. Esto hace que pueda ser sacado fácilmente, simplemente reiniciando la computadora infectada.
Recuperado de:
Bagle
Fue un gusano informático de correo masivo que afecta a Microsoft Windows. La primera cepa, Bagle.A, no se propagó ampliamente. Una segunda variante, Bagle.B, fue considerablemente más virulenta.
Bagle utilizó su propio motor SMTP para enviarse por correo masivo como archivo adjunto a los destinatarios recopilados de la computadora infectada. Se copia al directorio del sistema de Windows (Bagle.A como bbeagle.exe, Bagle.B como au.exe) y abre una puerta trasera en el puerto TCP 6777 (Bagle.A) o 8866 (Bagle.B). No se envía a las direcciones que contienen ciertas cadenas como "@ hotmail.com", "@ msn.com", "@microsoft" o "@avp".
Bagle utilizó su propio motor SMTP para enviarse por correo masivo como archivo adjunto a los destinatarios recopilados de la computadora infectada. Se copia al directorio del sistema de Windows (Bagle.A como bbeagle.exe, Bagle.B como au.exe) y abre una puerta trasera en el puerto TCP 6777 (Bagle.A) o 8866 (Bagle.B). No se envía a las direcciones que contienen ciertas cadenas como "@ hotmail.com", "@ msn.com", "@microsoft" o "@avp".
Recuperado de:
Netsky
Es un gusano que se propaga a través del envío masivo de correos electrónicos a direcciones que están en el sistema infectado, con lo que se sirve del propio motor de envío SMTP del equipo. Su función es intentar realizar ataques DoS (Denegación de Servicio) contra distintas páginas web.
El mensaje que aparece al recibirlo es inglés y sus características pueden variar. El virus se activa automáticamente solo con ver el mensaje en la vista previa de Outlook. Para activarse se sirve de la vulnerabilidad de Internet Explorer, que permite ejecutar automáticamente los archivos del correo. La dirección del remitente del mensaje será falsa y las extensiones del archivo adjunto podrán ser: .exe, .pif, .scr, o .zip. También se puede propagar a través del intercambio de ficheros P2P.
Netsky.Q está formado por 2 componentes: El descargador (dropper), comprimido con la utilidad “Petite” y el componente de envío masivo, una librería DLL comprimida con UPX, que se inicia por el descargador.
El mensaje que aparece al recibirlo es inglés y sus características pueden variar. El virus se activa automáticamente solo con ver el mensaje en la vista previa de Outlook. Para activarse se sirve de la vulnerabilidad de Internet Explorer, que permite ejecutar automáticamente los archivos del correo. La dirección del remitente del mensaje será falsa y las extensiones del archivo adjunto podrán ser: .exe, .pif, .scr, o .zip. También se puede propagar a través del intercambio de ficheros P2P.
Netsky.Q está formado por 2 componentes: El descargador (dropper), comprimido con la utilidad “Petite” y el componente de envío masivo, una librería DLL comprimida con UPX, que se inicia por el descargador.
Recuperado de:
Botnets
Es un término que hace referencia a un conjunto o red de robots informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota.
Formación de una Botnet
En los sistemas Windows y macOS la forma más habitual de expansión de los "bots" suele ser en la distribución de software ilícito, pese a que se puede expandir mediante cualquier software sospechoso. Este tipo de software suele contener malware el cual, una vez el programa se ejecuta, puede escanear su red de área local, disco duro, puede intentar propagarse usando vulnerabilidades conocidas de Windows, etc.
En otros entornos como UNIX, GNU/Linux o BSD la forma más clásica de ataque a servidores para construir y expandir una Botnet es por telnet o SSH por medio del sistema prueba-error: probando usuarios comunes y contraseñas al azar contra todas las IPs que se pueda de forma sistemática o bien mediante ataques a bugs muy conocidos, que los administradores pueden haber dejado sin enmendar.
Las Botnets normalmente usan servicios gratuitos de DNS para IP's dinámicas como DynDns.org, No-IP.com, & Afraid.org para apuntar a un subdominio al cual el creador puede conectarse en caso que le cierren el servidor de IRC. En muchas ocasiones basta con avisar a estos proveedores para que cancelen su cuenta y de esta manera desarticular la Botnet completa.
Formación de una Botnet
En los sistemas Windows y macOS la forma más habitual de expansión de los "bots" suele ser en la distribución de software ilícito, pese a que se puede expandir mediante cualquier software sospechoso. Este tipo de software suele contener malware el cual, una vez el programa se ejecuta, puede escanear su red de área local, disco duro, puede intentar propagarse usando vulnerabilidades conocidas de Windows, etc.
En otros entornos como UNIX, GNU/Linux o BSD la forma más clásica de ataque a servidores para construir y expandir una Botnet es por telnet o SSH por medio del sistema prueba-error: probando usuarios comunes y contraseñas al azar contra todas las IPs que se pueda de forma sistemática o bien mediante ataques a bugs muy conocidos, que los administradores pueden haber dejado sin enmendar.
Las Botnets normalmente usan servicios gratuitos de DNS para IP's dinámicas como DynDns.org, No-IP.com, & Afraid.org para apuntar a un subdominio al cual el creador puede conectarse en caso que le cierren el servidor de IRC. En muchas ocasiones basta con avisar a estos proveedores para que cancelen su cuenta y de esta manera desarticular la Botnet completa.
Recuperado de:
Zotob
"El gusano Zotob y varias de sus variantes, conocidas como Rbot.cbq, SDBot.bzh y Zotob.d, infectaron computadoras en empresas como ABC, CNN, The Associated Press, The New York Times y Caterpillar Inc. - Business Week, 16 de agosto de 2005.
Zotob es un gusano informático que explota las vulnerabilidades de seguridad de los sistemas operativos de Microsoft como Windows 2000, incluyendo la vulnerabilidad plug-and-play MS05-039. Se sabe que este gusano se ha propagado en el puerto 445 de Microsoft-ds o TCP.
Se declaró que los gusanos Zotob cuestan un promedio de $97,000, así como 80 horas de limpieza por empresa afectada.
Zotob es un gusano informático que explota las vulnerabilidades de seguridad de los sistemas operativos de Microsoft como Windows 2000, incluyendo la vulnerabilidad plug-and-play MS05-039. Se sabe que este gusano se ha propagado en el puerto 445 de Microsoft-ds o TCP.
Se declaró que los gusanos Zotob cuestan un promedio de $97,000, así como 80 horas de limpieza por empresa afectada.
Recuperado de:
Rootkits
Es un conjunto de herramientas usadas
frecuentemente por los intrusos informáticos o crackers que consiguen acceder
ilícitamente a un sistema informático. Estas herramientas sirven para esconder
los procesos y archivos que permiten al intruso mantener el acceso al sistema,
a menudo con fines maliciosos. Hay rootkits para una amplia variedad de
sistemas operativos, como Linux, Solaris o Microsoft Windows. Por ejemplo, el
rootkit puede esconder una aplicación que lance una consola cada vez que el
atacante se conecte al sistema a través de un determinado puerto. Los rootkits
del kernel o núcleo pueden contener funcionalidades similares.
Un backdoor puede permitir también que los
procesos lanzados por un usuario sin privilegios de administrador ejecuten
algunas funcionalidades reservadas únicamente al usuario. Todo tipo de
herramientas útiles para obtener información de forma ilícita pueden ser
ocultadas mediante rootkits
¿Cuáles son sus objetivos?
Tratan de encubrir a otros procesos que están
llevando a cabo acciones maliciosas en el sistema. Por ejemplo, si en el
sistema hay una puerta trasera para llevar a cabo tareas de espionaje, el
rootkit ocultará los puertos abiertos que delaten la comunicación; o si hay un
sistema para enviar spam, ocultará la actividad del sistema de correo.
Recuperado de:
Storm Worm
Es un troyano de puerta trasera que afecta a las computadoras que usan sistemas operativos de Microsoft , descubierto el 17 de enero de 2007. El gusano también se conoce como:
Small.dam o Trojan-Downloader.Win32.Small.dam ( F-Secure )
CME-711 ( MITRE )
W32 / Nuwar @ MM y Downloader-BAI (variante específica) ( McAfee )
Troj / Dorf y Mal / Dorf ( Sophos )
Trojan.DL.Tibs.Gen! Pac13
Trojan.Downloader-647
Trojan.Peacomm ( Symantec )
TROJ_SMALL.EDW ( Trend Micro )
Win32 / Nuwar ( ESET )
Win32/Nuwar.N@MM!CME-711 ( Windows Live OneCare )
W32 / Zhelatin ( F-Secure y Kaspersky )
Trojan.Peed , Trojan.Tibs ( BitDefender )
El Storm Worm comenzó a atacar a miles de computadoras (en su mayoría privadas) en Europa y los Estados Unidos el viernes 19 de enero de 2007, utilizando un mensaje de correo electrónico con una línea de asunto sobre un desastre climático reciente, "230 muertos como tormentas en Europa" . Durante el fin de semana hubo seis oleadas posteriores del ataque. A partir del 22 de enero de 2007, el Storm Worm representó el 8% de todas las infecciones de malware a nivel mundial.
Small.dam o Trojan-Downloader.Win32.Small.dam ( F-Secure )
CME-711 ( MITRE )
W32 / Nuwar @ MM y Downloader-BAI (variante específica) ( McAfee )
Troj / Dorf y Mal / Dorf ( Sophos )
Trojan.DL.Tibs.Gen! Pac13
Trojan.Downloader-647
Trojan.Peacomm ( Symantec )
TROJ_SMALL.EDW ( Trend Micro )
Win32 / Nuwar ( ESET )
Win32/Nuwar.N@MM!CME-711 ( Windows Live OneCare )
W32 / Zhelatin ( F-Secure y Kaspersky )
Trojan.Peed , Trojan.Tibs ( BitDefender )
El Storm Worm comenzó a atacar a miles de computadoras (en su mayoría privadas) en Europa y los Estados Unidos el viernes 19 de enero de 2007, utilizando un mensaje de correo electrónico con una línea de asunto sobre un desastre climático reciente, "230 muertos como tormentas en Europa" . Durante el fin de semana hubo seis oleadas posteriores del ataque. A partir del 22 de enero de 2007, el Storm Worm representó el 8% de todas las infecciones de malware a nivel mundial.
Conficker
Apareció en octubre de 2008 y que estaba diseñado para propagarse explotando una vulnerabilidad en el servidor de Windows que permite ejecutar remotamente código arbitrario. Se trata de la vulnerabilidad MS08-067.
Conficker.C es difícil de reconocer a simple vista, ya que no muestra mensajes o avisos que alerten sobre su presencia. Si la fecha del sistema es mayor que el 1 de enero de 2009, intenta conectarse a cierta página web para descargar y ejecutar otro tipo de malware en el ordenador afectado.
Por una parte, reduce considerablemente el nivel de protección del ordenador, ya que impide que, tanto el usuario como el ordenador, puedan conectarse a numerosas páginas web relacionadas con programas antivirus.
Por otra, utiliza contraseñas débiles para acceder a las cuentas de usuario del ordenador afectado y modificar sus políticas de seguridad.
Conficker.C es difícil de reconocer a simple vista, ya que no muestra mensajes o avisos que alerten sobre su presencia. Si la fecha del sistema es mayor que el 1 de enero de 2009, intenta conectarse a cierta página web para descargar y ejecutar otro tipo de malware en el ordenador afectado.
Por una parte, reduce considerablemente el nivel de protección del ordenador, ya que impide que, tanto el usuario como el ordenador, puedan conectarse a numerosas páginas web relacionadas con programas antivirus.
Por otra, utiliza contraseñas débiles para acceder a las cuentas de usuario del ordenador afectado y modificar sus políticas de seguridad.
Recuperado de:
viernes, 29 de marzo de 2019
Nivdort
Es una de estas amenazas que sí son serias y que usan Whatsapp como uno de los medios de propagación, a parte del email. Nivdort es un malware que ataca tanto a smartphones como a ordenadores, y del que ya alertan organizaciones contra SPAM y asociaciones de seguridad online como Comodo Labs.
El virus intenta entrar a nuestros aparatos a través de una campaña de phishing muy básica y rudimentaria aunque muy eficaz ante internautas o usuarios de móviles desprevenidos en cuanto a seguridad. Millones de usuarios están recibiendo correos falsos de “Whats App” – notese ese espacio entre Whats y App- en los que se les indica que tienen mensajes de voz por leer, vídeos por recibir o conversaciones pendientes (todo en inglés), y se les proporciona un enlace por el que descargar un archivo .ZIP en el que han introducido el virus. Pero, ¿Qué hace el virus NivDort?
El archivo .ZIP una vez descargado se comporta como un ejecutable y empieza a llenar de archivos perniciosos tu PC o tu smartphone. El objetivo de estos archivos descomprimidos e instalados en tus equipos es recabar información personal de los usuarios de esos terminales, bien sean PC’s o smartphones.
Recuperado de:
El virus intenta entrar a nuestros aparatos a través de una campaña de phishing muy básica y rudimentaria aunque muy eficaz ante internautas o usuarios de móviles desprevenidos en cuanto a seguridad. Millones de usuarios están recibiendo correos falsos de “Whats App” – notese ese espacio entre Whats y App- en los que se les indica que tienen mensajes de voz por leer, vídeos por recibir o conversaciones pendientes (todo en inglés), y se les proporciona un enlace por el que descargar un archivo .ZIP en el que han introducido el virus. Pero, ¿Qué hace el virus NivDort?
El archivo .ZIP una vez descargado se comporta como un ejecutable y empieza a llenar de archivos perniciosos tu PC o tu smartphone. El objetivo de estos archivos descomprimidos e instalados en tus equipos es recabar información personal de los usuarios de esos terminales, bien sean PC’s o smartphones.
Recuperado de:
Zeroaccess
Es un malware de computadora de caballo de Troya que afecta a los sistemas operativos de Microsoft Windows. Se utiliza para descargar otro malware en una máquina infectada desde una botnet mientras permanece oculto usando técnicas de rootkit .
Historia y propagación
La botnet ZeroAccess se descubrió al menos alrededor de mayo de 2011. Se estima que el rootkit ZeroAccess responsable de la propagación de la botnet ha estado presente en al menos 9 millones de sistemas. Las estimaciones del tamaño de la botnet varían según las fuentes; El proveedor de antivirus Sophos estimó el tamaño de la botnet en aproximadamente 1 millón de máquinas activas e infectadas en el tercer trimestre de 2012, y la firma de seguridad Kindsight estimó 2.2 millones de sistemas infectados y activos.
El propio bot se propaga a través del rootkit ZeroAccess a través de una variedad de vectores de ataque. Un vector de ataque es una forma de ingeniería social , donde se persuade a un usuario para que ejecute código malicioso ya sea disfrazándolo como archivo legítimo o incluyéndolo oculto como una carga adicional en un ejecutable que se anuncia como, por ejemplo, evitando la protección de derechos de autor.
Recuperado de:
https://www.osi.es/es/servicio-antibotnet/info/zeroaccess
Historia y propagación
La botnet ZeroAccess se descubrió al menos alrededor de mayo de 2011. Se estima que el rootkit ZeroAccess responsable de la propagación de la botnet ha estado presente en al menos 9 millones de sistemas. Las estimaciones del tamaño de la botnet varían según las fuentes; El proveedor de antivirus Sophos estimó el tamaño de la botnet en aproximadamente 1 millón de máquinas activas e infectadas en el tercer trimestre de 2012, y la firma de seguridad Kindsight estimó 2.2 millones de sistemas infectados y activos.
El propio bot se propaga a través del rootkit ZeroAccess a través de una variedad de vectores de ataque. Un vector de ataque es una forma de ingeniería social , donde se persuade a un usuario para que ejecute código malicioso ya sea disfrazándolo como archivo legítimo o incluyéndolo oculto como una carga adicional en un ejecutable que se anuncia como, por ejemplo, evitando la protección de derechos de autor.
Recuperado de:
https://www.osi.es/es/servicio-antibotnet/info/zeroaccess
Zeus
Es un paquete de malware troyano que se ejecuta en versiones de Microsoft Windows. Se puede utilizar para llevar a cabo muchas tareas maliciosas y delictivas, a menudo se utiliza para robar información bancaria mediante el registro de teclas del navegador y el acaparamiento de formularios. También se usa para instalar el ransomware CryptoLocker.
Zeus se propaga principalmente a través de descargas drive-by y esquemas de phishing. Identificado por primera vez en julio de 2007 cuando se utilizó para robar información del Departamento de Transporte de los Estados Unidos, se generalizó en marzo de 2009. En junio de 2009, la empresa de seguridad Prevx descubrió que Zeus había comprometido más de 74,000 cuentas de FTP en sitios web de empresas como la Bank of America,
Recuperado de:
Zeus se propaga principalmente a través de descargas drive-by y esquemas de phishing. Identificado por primera vez en julio de 2007 cuando se utilizó para robar información del Departamento de Transporte de los Estados Unidos, se generalizó en marzo de 2009. En junio de 2009, la empresa de seguridad Prevx descubrió que Zeus había comprometido más de 74,000 cuentas de FTP en sitios web de empresas como la Bank of America,
Recuperado de:
Mirai
Es un malware de la familia de las botnets destinada a infectar los equipos conformantes del IoT. El objetivo principal de este malware es la infección de routers y cámaras IP, usando estos para realizar ataques de tipo DDoS. La botnet Mirai ha sido utilizada en algunos de los ataques del tipo DDoS más grandes y bruscos de la historia, dentro de los que se incluyen el realizado al sitio web de Brian Krebs , y al proveedor Dyn en octubre de 2016.
El funcionamiento de Mirai es conocido gracias a la publicación de su código fuente en varios foros de hacking, lo que ha permitido que sus técnicas sean adaptadas a otros proyectos.
Mirai escanea continuamente los dispositivos enlazados a IoT y los infecta accediendo mediante telnet con las credenciales de acceso que vienen por defecto, cargando su código malicioso en la memoria principal del dispositivo, de esta forma queda infectado hasta que es reiniciado. Mirai incluye una tabla de máscaras de red a las cuales no infecta, dentro de las que se encuentran redes privadas y direcciones pertenecientes al Servicio Postal de los Estados Unidos, el Departamento de Defensa, IANA, Hewlett-Packard y General Electric.
El funcionamiento de Mirai es conocido gracias a la publicación de su código fuente en varios foros de hacking, lo que ha permitido que sus técnicas sean adaptadas a otros proyectos.
Mirai escanea continuamente los dispositivos enlazados a IoT y los infecta accediendo mediante telnet con las credenciales de acceso que vienen por defecto, cargando su código malicioso en la memoria principal del dispositivo, de esta forma queda infectado hasta que es reiniciado. Mirai incluye una tabla de máscaras de red a las cuales no infecta, dentro de las que se encuentran redes privadas y direcciones pertenecientes al Servicio Postal de los Estados Unidos, el Departamento de Defensa, IANA, Hewlett-Packard y General Electric.
Recuperado de:
Elex
Es un irritante de la infección. Clasificado como un adware virus, esta plaga provoca un interminable montón de pop-ups. Patrocinado pop-ups, para ser precisos. Es por eso que adware parásitos de tipo get desarrollado en el primer lugar para generar tráfico web.
jueves, 28 de marzo de 2019
¿Qué es un antivirus?
Son programas cuyo objetivo es detectar y eliminar virus informáticos. Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e internet, los antivirus han evolucionado hacia programas más avanzados que además de buscar y detectar virus informáticos consiguen bloquearlos, desinfectar archivos y prevenir una infección de los mismos. Actualmente son capaces de reconocer otros tipos de malware como spyware, gusanos, troyanos, rootkits, etc.
Antivirus Mcafee
¿Cuáles son sus beneficios?
Es fácil de usar, es rápido y detecta el 99.9 de los virus.
Costo(licencia por un año):$449.90
Es fácil de usar, es rápido y detecta el 99.9 de los virus.
Costo(licencia por un año):$449.90
Antivirus Panda
¿Cuáles son sus beneficios?
Proteccion contra el spyware,Protección contra amenazas desconocidas,Protección contra todo tipo de malware,Acceso remoto,Navegación segura,Copias de seguridad,Modo multimedia/juego,USB Vaccine.
Costo(licencia por un año):$658.99
Proteccion contra el spyware,Protección contra amenazas desconocidas,Protección contra todo tipo de malware,Acceso remoto,Navegación segura,Copias de seguridad,Modo multimedia/juego,USB Vaccine.
Costo(licencia por un año):$658.99
miércoles, 27 de marzo de 2019
Antivirus Avast
¿Cuáles son sus beneficios?
Tiene una versión gratuita muy completa, puede competir perfectamente con los grandes antivirus que se pagan y muchas veces sale ganando,protección web, de correo electrónico, protección P2P,firewall,etc, se actualiza muy frecuentemente, es bastante liviano y en general ocupa pocos recursos.
Costo(licencia por un año):
$599
Tiene una versión gratuita muy completa, puede competir perfectamente con los grandes antivirus que se pagan y muchas veces sale ganando,protección web, de correo electrónico, protección P2P,firewall,etc, se actualiza muy frecuentemente, es bastante liviano y en general ocupa pocos recursos.
$599
Antivirus Kaspersky
¿Cuáles son sus beneficios?
Fácil uso con menús claros, análisis rápido o completo, perfil para juegos, disco de rescate, revisión de enlaces URL
Costo(licencia por un año):
$449.10
Fácil uso con menús claros, análisis rápido o completo, perfil para juegos, disco de rescate, revisión de enlaces URL
$449.10
Antivirus Norton
¿Cuáles son los beneficios?
Brinda protección contra virus, spyware, software malicioso y otras amenazas en línea, también protege su identidad y las transacciones en línea.
Costo(licencia por un año): $500
Brinda protección contra virus, spyware, software malicioso y otras amenazas en línea, también protege su identidad y las transacciones en línea.
Costo(licencia por un año): $500
Hecho por Sebastian Siliceo y Javier Guzmán
Suscribirse a:
Entradas (Atom)