Glosario de Virus y Troyanos

Amvo No permite ver los archivos ocultos

Avpo No permite ver los archivos ocultos

WORM_VB.CIU Se propaga a través de unidades extraíbles.

El diseño de estos especímenes, que deberíamos catalogar como “gusanos” en vez de “virus” puesto que se reproducen con copias de sí mismos pero no pueden infectar a otros ficheros, es realmente simple. Toda la lógica se basa en aprovechar la funcionalidad AutoRun de Windows que automáticamente interpreta y ejecuta el archivo autorun.inf si se lo encuentra en el raíz de un medio removible, como un CD, DVD u otro tipo de memorias, incluyendo USB.

Los creadores de malware están aprovechando esta funcionalidad por defecto de Windows Explorer. Han diseñado para que lance a su vez un ejecutable con el código del gusano. El gusano se instala en el sistema e intenta copiar la pareja de ficheros, autorun.inf y ejecutable del gusano, en todas las unidades existentes. Esta forma de expandirse un tanto indiscriminada abarca la infección de discos duros, unidades de red, dispositivos removibles, etc, por lo que este tipo de gusanos se pueden encontrar más allá de las propias memorias USB.

Las buenas noticias son que hay formas de intentar mitigar este tipo de gusanos configurando Windows para evitar el AutoRun automático. Sin embargo se ha detectado que la configuración de ese valor no es suficiente en Windows Vista para prevenir la ejecución, debido a AutoPlay, otra funcionalidad por defecto.

Otro método más efectivo consiste en “trucar” Windows para que haga caso omiso de los archivos autorun.inf, indicándole que en vez de interpretar los comandos que incluya en su interior utilice unos valores alternativos, en concreto unos valores no existentes. Por lo que Windows no ejecutará nada.

Para ello se debe configurar una entrada en el registro de Windows.

La forma más simple es copiar las siguientes líneas en el bloc

de notas y guardarlas con la extensión .REG, por ejemplo: noautorun.reg.

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@=”@SYS:DoesNotExist”

VBS/Redlof Gusano, Polimórfico. Infecta FOLDER.HTT y DESKTOP.INI

Enlaces Interesantes

Buscador de ejecutables

Base de datos con la información de muchos ejecutables que pueden estar presentes en nuestro sistema
Firewall Leak Tester

This website, on one hand, enables you to test your software personal firewall thanks to different test programs (‘leaktests’), and on the other hand, shows a global vulnerabilities view of the most common personal firewalls in a summary page. Firew
Herramientas Removedoras

Provistas por ESET, para eliminar virus específicos
Medir Velocidad de bajada y de subida

Medir el ancho de banda – Test de velocidad
Security Focus
Manual para el Diseño de Redes (Lan)
Utilidad Removedora de Norton
Hackemate Security Store

Contraseguridad Informática
¿A qué país pertenece la IP?
Uniformed

Articulos Publicados

  • Eliminando Virus en Winlogon

    Me encuentro en la necesidad (y encuentro la respuesta) de eliminar un virus que se aprovecha de nuestro proceso winlogon.exe. En este articulo en ingles detallan los pasos que podríamos seguir para batallar con este problema, el cual traduzco para que puedan acceder a la misma información.
    Introduccion

    Winlogon.exe es un proceso utilizado por los creadores de virus para ocultarse.
    Winlogon es el programa responsable de la autenticación de usuarios de windows. Este es el proceso que es responsable de mostrarnos la ventana de los usuarios al inicio de Windows.


    Ultima actualizacion: 4 de Junio del 2010
  • Ficción o Realidad

    La otra noche andaba ociosa (para variar) y me puse a mirar unos mails de los que me envian siempre mis amigos. Entre ellos encontre uno que quiero compartirlo con ustedes; es algo que siempre supe pero que a veces ni uno mismo lo recuerda. Les pongo el texto:

    TODOS TIENEN QUE LEER ESTO Y HACER QUE SUS HIJOS, SOBRINOS, O CUANTO CHICAS (OS) LO LEAN TAMBIÉN!!!!!!

    Tras dejar sus libros en el sofá ella decidió tomar un bocadillo y meterse online.
    Se conectó con su nombre en pantalla:

    Dulzura14. Revisó su lista de amigos y vio que Meteoro123 estaba enganchado. Ella le envió un mensaje instantáneo:

    Dulzura14: Hola. Qué suerte que estás! Pensé que alguien me seguía a casa hoy. Fue raro en serio!
    Meteoro123: RISA. Ves mucha TV. Por qué alguien te seguiría? No vives en un barrio seguro?
    Dulzura14: Claro que sí. RISA. Creo que me lo imagine porque no vi a nadie cuando revisé.
    Meteoro123: A menos que hayas dado tu nombre online. No lo hiciste, verdad?


    Ultima actualizacion: 26 de Mayo del 2009
  • Conficker – Virus Mutante del 1 de Abril del 2009

    Seguramente muchos ya habrán leído la noticia acerca de este virus polimorfo que haría una catástrofe el 1 de abril del 2009, pues bien tal catástrofe aun no sucedió. Pero lo que si es seguro es que el virus existe y es particularmente difícil de detectar por su característica polimorfa.

    He tenido el agrado de encontrarme con dicho bichito y leyendo un poco en Internet veo que:

    1.- Conficker es un virus relativamente nuevo y es bastante viable que hayan tantas máquinas infectadas como se indican en las distintas fuentes de Internet. Incluso Microsoft ha publicado un articulo de como Detener la propagación de Conficker mediante la directiva de grupo


    Ultima actualizacion: 18 de Junio del 2010
  • Usando wheel para proteger SU

    El uso del grupo wheel para usuarios “poderosos” es una tradición en los Unix estilo BSD, y que ha sido adoptada en otros sistemas operativos Unix-like. No es una obligación hacerlo, pero es una de las tantas formas en las cuales puede mejorarse la seguridad de un sistema Linux.

    El programa su permite cambiar la identidad de un usuario a otro; generalmente se asocia con “convertirse en root”, pero puede ser empleado para convertirse en cualquier otro usuario. Esto es obviamente peligroso, de modo que es conveniente regular el acceso de los usuarios comunes a un programa como éste.


    Ultima actualizacion: 21 de Agosto del 2009
  • Rookits

    En esta oportunidad hablaré sobre el tema de rookits y las herramientas que podemos emplear para combatirlos. Para quien no sepa un rookit es otro tipo de amenaza, y lo malo de estos es que se ocultan de tal forma que hacen creer a nuestro sistema que son parte del mismo e incluso.

    Un rootkit es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder a otros programas, procesos, archivos, directorios, llaves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible, a menudo con fines maliciosos o destructivos. Son insertados en una computadora después de que algún atacante ha ganado el control de un sistema.


    Ultima actualizacion: 5 de Junio del 2010
  • Clasificación de Troyanos

    Los troyanos pueden ser clasificados de acuerdo a las acciones que realizan en las máquinas que atacan.

    * Backdoors
    * Troyanos en General
    * Troyanos PSW
    * Troyanos Clickers
    * Troyanos Downloaders
    * Troyanos Droppers
    * Troyanos Proxies
    * Troyanos Espias
    * Troyanos Notifiers
    * ArcBombs
    * Rootkits


    Ultima actualizacion: 5 de Junio del 2010
  • Programas espias – spyware

    Los espías (spyware) son programas que se suelen introducir a nuestra PC al hace click en un enlace (sobre todo de Web pornográficas y de warez), instalar un programa, buscar fondos de escritorio, visitar anuncios. Estos programas copian los datos que el internauta introduce en formularios y registros de la red. Son como caballos de troya y hay de diferentes tipos:

    * Dataminer: espían la navegación
    * Secuestradores (hijackers): cambian la página de inicio del navegador o lo dirigen a donde quieren.
    * Ad-aware: muestran anuncios (pop-ups) incluso sin estar navegando en Internet. Algunas compañías proveen software gratuito a cambio de estos anuncios en el ordenador.
    * Cookies maliciosas: roban datos introducidos en formularios, como la dirección de correo.


    Ultima actualizacion: 5 de Junio del 2010
  • Antivirus

    Listado de las Casas Fabricantes de Antivirus y herramientas de seguridad – Veamos cuales son los antivirus que existen en el mercado:


    Ultima actualizacion: 20 de Julio del 2010
  • Uso adecuado del correo electrónico

    Poner mucha atención

    Este mensaje tiene unos cuantos consejos acerca del uso del E-Mail. Es para tu beneficio y de todos los demás.

    Por favor tómate unos minutos para leerlo. Es muy importante.

    1) ¿Qué es SPAM?
    Spam son los mensajes publicitarios y cosas del estilo “hágase millonario mientras duerme”. Por definición son mensajes NO SOLICITADOS


    Ultima actualizacion: 5 de Junio del 2010
  • Cerrar Puertos 135 – 137 – 138 – 139 – 445 – 5000 – 1900

    En esta guía, no se trata el tema de crear reglas y configurar los cortafuegos, la mayoría ya bloquean estos puertos, aquí solo se explica como cerrar los puertos que normalmente no usamos pero están activados por defecto y son vulnerables, lo que añade una doble seguridad a la ya proporcionada por el cortafuegos, ya que el cortafuego no los cierra, solo le pone una barrera volviendolos invisibles, pero si la barrera cae (vulnerabilidad en el cortafuegos) y hay algo abierto………

    Si se tiene red local, es mejor que los bloquee con el firewall ya que si los cierra es posible que tenga problemas en su red local, pero por probar no pasa nada, son retornables.


    Ultima actualizacion: 5 de Junio del 2010
  • Recuperar clave del Zyxel 645

    He confeccionado este breve documento que trata sobre cómo recuperar el acceso a un Zyxel Prestige 642R por haber olvidado la contraseña.

    El método que propongo, requiere que dispongamos de una copia de seguridad de la configuración.

    Si algún lector de este grupo, está en esta situación pero no dispone de dicha copia de seguridad, dispongo de una con los datos borrados y la contraseña establecida a “1234″. Si la quiere usar, que me responda por correo y se la haré llegar, pero que tenga en cuenta que deberá configurar el acceso con su ISP.


    Ultima actualizacion: 22 de Octubre del 2006
  • Anti-espias que agregan Espias

    Navegando en la red encontre este foro que esta muy bueno para lo que trata, y en particular me intereso este tópico:
    Eliminar programas antiespias que agregan espias asi como este otro AntiSpywares sospechosos y no confiables


    Ultima actualizacion: 21 de Octubre del 2006