gusano
Short Description
Download gusano...
Description
GUSANOS INFORMATICOS por Gino Barroso Viruez UAGRM
EL
SISTEMA OPERATIVO Y LOS PROCESOS
EL
SISTEMA OPERATIVO Y LOS PROCESOS
EL SO Y LOS PROCESOS
El Sistema Operativo (SO), trabaja exclusivamente para los procesos.
En otras palabras, si un código no es un proceso, éste no podrá ser corrido por la computadora que regenta el SO.
Para que un código pueda convertirse en un proceso, debe estar anotado en un archivo ejecutable.
EL SO Y LOS PROCESOS
Un a Un arc ar rch hivo hi ivvo o ej ejec ecut utab able le,, tti tien ie ene ne un un formato que reconoce el SO. reconoce SO. E En n el caso de Windows, los los archivos ejecutables tienen nombre ccon archivos on exte ex extensiones tens nsio ione ness .exe, .e exe, xe, .com .com com o .bin .bin bin..
Entonces, cuando el usuario hace doble Entonces, doble click u otra acción del mismo efecto, el click el archivo ejecutable sube a lla archivo a RAM y es registrado por el SO. registrado SO. Así, el archivo archivo ejec ej ejecutable ecu uta tab ble se convier ertte en un PROCESO. PROCESO.
EL SO Y LOS PROCESOS Windows también ofrece otras opciones de que un archivo ejecutable se convierta en proceso, sin la participación del operador humano (Microsoft lo llama Ejecución (Microsoft Ejecución Automática): Automática): Colocar el ejecutable en subdirectorios (carpetas) especiales del sistema. Path del archivo ejecutable en Anotar la ruta Path llaves especiales del Registry. Anotar el Path del ejecutable en los archivos autorun de los discos removibles (Pen Drives - Flashs--, CD). Flashs
EJECUCIÓN
AUTOMÁTICA EN WINDOWS
La
Carpeta StartUp o Inicio
Cuando se inicia una sesión, Windows correrá los archivos ejecutables que se encuentren copiados en la carpeta ³StarUp´ de ésa sesión sesión..
La
Carpeta StartUp o Inicio
La
carpeta StartUp de la sesión actual se la puede localizar localizar fácilmente de dos maneras : Con el explorador llegar a c: \Documents and Settings \ MiNombreSesion \
Menu Inicio \
Programas \ Inicio
Posicionar el cursor Posicionar cursor del mouse en Inicio, pulsar el botón derecho seleccionar ³Abrir´ o ³Explorar´ seleccionar ³Explorar´..
Luego
navegar navegar : Programas p Inicio
y
La
Carpeta StartUp o Inicio
Haciendo lo anterior, se puede evidenciar que los demás usuarios también tienen su propia carpeta StartUp. Sin embargo, el contenido de la StartUp de ³All Users´ se ejecutará para todos los usuarios. Windows muestra estos archivos en la opción Inicio de la ficha ³Todos ³Todos los Programas´ Programas´ del botón Inicio.
La Llave
RunForever del Registro
Si se crea una entrada tipo REG_SZ* REG_SZ*, cuyo valor valor anota la Ruta (Path) de un ejecutable en la llave (Key) RunForever del registro de Windows, éste archivo se ejecutará cada vez que Windows inicie la sesión del usuario. usuario. * REG_SZ REG_SZ = cadena de caracteres terminada con el carácter carácter cuyo ASCII ASCII es cero (null). (null).
La Llave
RunForever del Registro
Se puede ingresar a esta llave, ejecutando* ejecutando * el programa Editor del Registro (RegEdit.exe) y navegando con él hasta HKE Y_LOCAL _MACHINE \
SOFTWARE \ Microsoft \\ Windows \\ CurrentVersion \ Run * Para Para ejecutar RegEdit, mantenga pulsada la tecla presione y libere R . En la ventana escriba regedit y regedit y presione ENTER.
La Llave
RunForever del Registro
Una vez dentro de la llave, se puede crear una nueva entrada, pulsando el botón derecho del mouse (en la sección derecha) y seleccionando Nuevo p Valor alfanumérico
La Llave
RunForever del Registro
Proporcione un nombre al nuevo (Por ejemplo : MiEditor ) y pulse ENTER (Por
valor valor
La Llave
RunForever del Registro
Presione nuevamente ENTER sobre el nuevo valor e introduzca el Path del ejecutable deseado. (Por ejemplo c: c:\\windows windows\\notepad.exe notepad.exe))
La Llave
RunForever del Registro
Pulse ENTER y la próxima vez que inicie sesión en Windows, el programa especificado se ejecutará ejecutará..
Los
archivos AutoRun.inf
Un archivo ³AutoRun. ³AutoRun.inf´, es un archivo texto que contiene instrucciones que interpreta el SHELL* de Windows. Windows. * El El Shell es un programa que permite la interacción del del humano con el Sistema Operativo.. En Windows, este programa se Operativo llama ³Explorer. ³Explorer .exe´
Los
archivos AutoRun.inf
Un archivo AutoRun.inf será interpretado automáticamente si se encuentra en el directorio (carpeta) raíz de un dispositivo removible (Flash, CD), al momento de conectarse al computador y/o hacer dobledoble-click sobre él. El lenguaje de un archivo .inf se divide en secciones, siendo la más importante la sección [AutoRun]. Por Ejemplo:
Los
archivos AutoRun.inf
[AutoRun] Open = MiPractico.doc ;Abrir ShellExecute = uagrm.exe ;Ejecutar
Cuando el dispositivo que contiene a este AutoRun.inf se conecta, el Shell abre (con Word) el archivo ³MiPractico.doc´ y ejecuta el programa ³uagrm.exe´. Los
comentarios empiezan con punto y coma y terminan al final de la línea.
VIRUS INFORMATICOS
VIRUS INFORMATICOS Por un abuso del lenguaje, a todos los programas dañinos (Malwares) se les llama Virus. Sin embargo, según su comportamiento, podemos distinguir tres tipos de malwares: V irus ( V irus)
±tienen clonación clonaciónclonaciónTroyanos (Trojan) ±sin clonación clonaciónGusanos (Worm) ±tienen clonación
Los Virus Un virus es un código que se adhiere a un ejecutable y logra ser ejecutado cuando su archivo anfitrión lo hace. hace. El virus modifica la estructura del ejecutable anfitrión, logrando que cada vez que se corra el anfitrión el primero en recibir la CPU sea el código del virus. virus. El virus logra su independencia de ejecución solicitando memoria para él y convirtiéndose en un subproceso del ejecutable anfitrión. anfitrión.
Los Virus Archivo Anfitrión
RAM
JUEGO.EXE
VIRUS
Cuando el archivo anfitrión se ejecuta el virus logra su ³independencia´ , creándose como un subproceso.
JUEGO.EXE
VIRUS
Los Virus El problema con este esquema, es que si el programa anfitrión finaliza, también lo hará el virus. Para solucionar este problema, los creadores, propusieron que el virus cree en el disco una imagen ejecutable (.exe, .com o .bin), llamarla desde el anfitrión y asunto resuelto. Sin querer éstos maliciosos crearon el concepto de GUSANO.
Los Virus Archivo Anfitrión
RAM
JUEGO.EXE
VIRUS
JUEGO.EXE
VIRUS Virus.exe
El virus crea su propia imagen ejecutable . Luego la sube a la RAM, convirtiéndose así en un PROCESO independiente.
VIRUS.EXE
Los Troyanos Son programas que aparentan ser buenos, buenos, y se comportan como tales a la vista del usuario.. Sin embargo, mientras el humano usuario los usa ellos ejecutan código malicioso. malicioso. En los últimos tiempos, los troyanos se presentan como juegos -u otra aplicación de pasatiempo--. Pero cuando son ejecutados pasatiempo hacen de espías (spyware), borran archivos, liberan un gusano, gusano, etc. etc.
GUSANOS
GUSANOS Un gusano o WORM es un archivo ejecutable que se clona -se copia a si mismo-- a lugares especiales del sistema mismo logrando que su clon sea ejecutado con o sin la participación del usuario humano. Por lugares especiales del sistema, nos referimos a almacenamientos extraíbles (Flash, CD), discos de otras computadoras de la red, a la bandeja de adjunto del correo, etc.
GUSANOS El comportamiento de un Gusano durante su ejecución puede variar según su creador, sin embargo la gran mayoría tiene esta característica:: característica Ejecución infinita. Es decir, mientras el usuario esté en sesión, el gusano seguirá en ejecución. Clonación repetitiva. El gusano se clonará cada vez que lo juzgue conveniente y repetirá las clonaciones cada determinado tiempo. Una sola instancia. instancia. No hay dos procesos del gusano en ejecución. Acción. Efectuará su código malware.
GUSANOS - CLONACION El gusano efectúa la clonación:
Cuando ingresa al sistema. Crea un Valor en el RunForever para un clon, se copia a la carpeta StartUp y/o crea una clave en el Registry para ser considerado servicio del sistema. sistema. Luego se clona a los drives removibles que están conectados. Cuando un nuevo disco removible se conecta a la computadora. Si es un Pen Drive Flash Flash--, creará un autorun.inf para el clon.
GUSANOS - CLONACION El gusano efectúa la clonación:
Para crear cebos. Crea clones con íconos llamativos o conocidos, con el propósito de que el usuario los ejecute. Para repetir la clonación. El gusano repite todas las clonaciones anteriores cada cierto tiempo determinado por él. Con esto se asegura que los clones borrados vuelvan a cobrar vida.
GUSANOS - ACCION ACCION Las acciones de un gusano son completamente ideadas por el creador. Algunos gusanos conocidos realizan estas acciones:
Borran archivos conocidos: .mp3, .jpg, etc. Muestran un mensaje diabólico acompañado de sonidos de ultratumba a la medianoche. Realizan el trabajo de espía en el computador (SpyWare). Borran totalmente el contenido de los discos duros en una fecha determinada.
EJEMPLIFICACIÓN: El
Gusano ³Worm-UAGRM´
Clonación al ingreso
Se clona a los flashs conectados, con el nombre de uagrm.exe, creando el respectivo autorun.inf. Crea un clon Vacio.exe en la carpeta StartUp. Construye un Valor UAGRM en la llave RunForever cuyo contenido tiene la ruta del clon c:\ c:\WINDOWS\ WINDOWS\ms_linux.exe
Clonación de Cebos con repetición Crea un clon Leeme.exe en el escritorio cada 5 minutos. Crea un clon Top secret.exe en Mis Documentos cada 5 minutos. Cada 10 minutos, crea una carpeta compartida Eventos la la cual se observará en la red como Fiestas Fiestas en cuyo interior se deposita el clon Cumpleaños.exe.
Clonación por eventos y repetición Cada vez que el usuario conecta un flash, se clona con el nombre uagrm.exe, creando el respectivo autorun.inf.
Repite la clonación inicial (StartUp, Drives conectados y RunForever) cada minuto.
Acciones del WormWorm -UAGRM
Las acciones del gusano solo se activaran los días Lunes y Viernes o a la medianoche de cada día.
Acción 1. Cambia el papel tapiz del escritorio cada 30 minutos. Cuando se ponga el logo del Congreso, se minimizaran todas las ventanas.
Accion 2. Ejecutar los sonidos de Windows a la hora en punto en intervalos de 30 segundos.
PREVENCION
PREVENCION Revise de vez en cuando las carpetas StartUp de todos y cada uno de los usuarios usuarios.. Normalmente estas carpetas están vacías, por eso si observa algún ejecutable por sospechoso ahí, bórrelo. bórrelo. Revise periódicamente la llave RunForever RunForever.. Antes Antes de borrar algún Valor Valor sospechoso, compruebe que el ejecutable al que hace mención es o no un malware, corriéndolo desde su Path Path..
View more...
Comments
