Your SlideShare is downloading. ×
virus  y vacunas
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

virus y vacunas

263
views

Published on

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
263
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 2012 Virus y vacunas Miguel ángel rincón Saavedra U.P.T.C 13/10/2012CODIGO 201223658
  • 2. Contenido  TEMA 1. VIRUS o GENERALIDADES o CARACTERISTICAS o COMOSE PRODUCEN o ESTRATEGIAS DE INFECCIÓN o FORMA Y PREVENCIÓN DE VIRUS.TEMA 2. ANTIRUS ° TIPOS DE ANTIVIRUS °. FORMACIÓN DELUSUARIO ° SISTEMAS OPERATIVOSMÁS ATACADOS.TEMA 3 ENCUESTA HECHA PORKARSPERKY EN EL 2012.BIBLIOGRSAFIA.VYRUS Y VACUNAS Página 2
  • 3. Virus ordenador debe cargar el virus desde la memoria delLos Virus informáticos ordenador y seguir susson programas de ordenador instrucciones. Estasque se reproducen a sí mismos instrucciones se conocene interfieren con el hardware como carga activa del virus.de una computadora o con su La carga activa puedesistema operativo (el software trastornar o modificarbásico que controla la archivos de datos, presentarcomputadora). un determinado mensaje o provocar fallos en el sistema operativo. Generalidades sobre los virus de computadoras La primer aclaración que cabeLos virus están diseñados para es que los virus dereproducirse y evitar su computadoras, sondetección. simplemente programas, yExisten otros programasinformáticos nocivos como tales, hechos porsimilares a los virus, pero que programadores. Sonno cumplen ambos requisitos programas que debido a susde reproducirse y eludir sudetección. Estos programas características particulares,se dividen en tres categorías: son especiales. Para hacer unCaballos de Troya, bombas virus de computadora, no selógicas y gusanos. Un caballo requiere capacitaciónde Troya aparenta ser algo especial, ni una genialidadinteresante e inocuo, por significativa, sinoejemplo un juego, pero cuandose ejecuta puede tener conocimientos de lenguajesefectos dañinos. de programación, de algunosComo cualquier otro temas no difundidos paraprograma informático, un público en general y algunosvirus debe ser ejecutado para conocimientos puntualesque funcione: es decir, el sobre el ambiente deVYRUS Y VACUNAS Página 3
  • 4. programación y arquitectura usuario sepa exactamente lasde las computadoras. operaciones que realiza, teniendo control sobre ellas. Los virus, por el contrario,En la vida diaria, más allá de para ocultarse a los ojos dellas especificaciones técnicas, usuario, tienen sus propiascuando un programa invade rutinas para conectarse coninadvertidamente el sistema, se los periféricos de lareplica sin conocimiento del computadora, lo que lesusuario y produce daños, garantiza cierto grado depérdida de información o inmunidad a los ojos delfallas del sistema. Para el usuario, que no advierte suusuario se comportan como presencia, ya que el sistematales y funcionalmente lo son operativo no refleja suen realidad. actividad en la computadora. Esto no es una "regla", ya que ciertos virus, especialmente los que operan bajo Windows,Los virus actúan usan rutinas y funcionesenmascarados por "debajo" operativas que se conocendel sistema operativo, como como API‟s. Windows,regla general, y para actuar desarrollado con unasobre los periféricos del arquitectura muy particular,sistema, tales como disco debe su gran éxito a lasrígido, disqueteras, Zip, CD, rutinas y funciones que pone ahacen uso de sus propias disposición de losrutinas aunque no programadores y por cierto,exclusivamente. Un programa también disponibles para los"normal" por llamarlo así, usa desarrolladores de virus. Unalas rutinas del sistema de las bases del poderoperativo para acceder al destructivo de este tipo decontrol de los periféricos programas radica en el uso dedel sistema, y eso hace que el funciones de maneraVYRUS Y VACUNAS Página 4
  • 5. "sigilosa", se oculta a los conjunto de instruccionesojos del usuario común. que ejecuta un ordenador o computadora. Es dañino: Un virusLa clave de los virus radica informático siempre causajustamente en que son daños en el sistema queprogramas. Un virus para ser infecta, pero vale aclarar queactivado debe ser ejecutado y el hacer daño no significa quefuncionar dentro del sistema vaya a romper algo. El dañoal menos una vez. Demás está puede ser implícito cuando lodecir que los virus no que se busca es destruir o"surgen" de las computadoras alterar información o puedenespontáneamente, sino que ser situaciones con efectosingresan al sistema negativos para lainadvertidamente para el computadora, como consumousuario, y al ser ejecutados, de memoria principal, tiempo dese activan y actúan con la procesador.computadora huésped. Es auto reproductor: La característica más importante de este tipo de programas es la de crear copias de sí mismos, cosa que ningún otro programa convencional hace.Las características de los Imaginemos que si todosagentes víricos: tuvieran esta capacidad podríamos instalar un procesador de textos y un par de días más tarde tendríamosSon programas de tres de ellos o más.computadora: En informáticaprograma es sinónimo de Es subrepticio: Esto significaSoftware, es decir el que utilizará varias técnicasVYRUS Y VACUNAS Página 5
  • 6. para evitar que el usuario se Los virus informáticos sedé cuenta de su presencia. La difunden cuando las instrucciones o códigoprimera medida es tener un ejecutable que hacentamaño reducido para poder funcionar los programasdisimularse a primera vista. pasan de un ordenador a otro. Una vez que un virus estáPuede llegar a manipular el activado, puede reproducirseresultado de una petición al copiándose en discossistema operativo de mostrar flexibles, en el disco duro, en programas informáticosel tamaño del archivo e legítimos o a través de redesincluso todos sus atributos. informáticas. Estas infecciones son mucho másLas acciones de los virus son frecuentes en lasdiversas, y en su mayoría computadoras que en sistemas profesionales de grandesinofensivas, aunque algunas ordenadores, porque lospueden provocar efectos programas de lasmolestos y, en ciertos, casos computadoras se intercambianun grave daño sobre la fundamentalmente a través de discos flexibles o de redesinformación, incluyendo informáticas no reguladas.pérdidas de datos. Hay virusque ni siquiera estándiseñados para activarse, por Los virus funcionan, se reproducen y liberan suslo que sólo ocupan espacio en cargas activas sólo cuando sedisco, o en la memoria. Sin ejecutan. Por eso, si unembargo, es recomendable y ordenador está simplemente conectado a una redposible evitarlos. informática infectada o se limita a cargar un programa¿Cómo se producen las infectado, no se infectaráinfecciones? necesariamente. Normalmente, un usuario no ejecuta conscientemente un código informático potencialmente nocivo; sin embargo, los virus engañan frecuentemente al sistema operativo de la computadora o al usuarioVYRUS Y VACUNAS Página 6
  • 7. informático para que ejecute electrónico que millones deel programa viral. computadoras han sido afectadas creando pérdidas económicas incalculables.Algunos virus tienen lacapacidad de adherirse aprogramas legítimos. Esta Hay personas que piensan queadhesión puede producirse con tan sólo estar navegandocuando se crea, abre o en la Internet no se van amodifica el programa legítimo. contagiar porque no estánCuando se ejecuta dicho bajando archivos a susprograma, ocurre lo mismo ordenadores, pero la verdadcon el virus. Los virus también es que están muy equivocados.pueden residir en las partes Hay algunas páginas endel disco duro o flexible que Internet que utilizan objetoscargan y ejecutan el sistema ActiveX que son archivosoperativo cuando se arranca ejecutables que el navegadorel ordenador, por lo que de Internet va ejecutar endichos virus se ejecutan nuestras computadoras, si enautomáticamente. En las redes el ActiveX se le codifica algúninformáticas, algunos virus se tipo de virus este va a pasar aocultan en el software que nuestra computadoras conpermite al usuario conectarse tan solo estar observandoal sistema. esa página.La propagación de los virus Cuando uno está recibiendoinformáticos a las correos electrónicos, debecomputadoras personales, ser selectivo en los archivosservidores o equipo de que uno baja en nuestrascomputación se logra computadoras. Es más seguromediante distintas formas, bajarlos directamente acomo por ejemplo: a través de nuestra computadora paradisquetes, cintas magnéticas, luego revisarlos con unCD o cualquier otro medio de antivirus antes queentrada de información. El ejecutarlos directamente demétodo en que más ha donde están. Un virusproliferado la infección con informático puede estarvirus es en las redes de oculto en cualquier sitio,comunicación y más tarde la cuando un usuario ejecutaInternet. Es con la Internet y algún archivo con extensiónespecialmente el correo .exe que es portador de unVYRUS Y VACUNAS Página 7
  • 8. algún virus todas las de ese modo a informacióninstrucciones son leídas por privada de la computadora,la computadora y procesadas como el archivo de claves, ypor ésta hasta que el virus es pueden remotamentealojado en algún punto del desconectar al usuario deldisco duro o en la memoria del canal IRC.sistema. Luego ésta va pasandode archivo en archivoinfectando todo a su alcance Virus Falsos (Hoax):añadiéndole bytes adicionalesa los demás archivos ycontaminándolos con el virus.Los archivos que son Un último grupo, queinfectados mayormente por decididamente no puede serlos virus son tales cuyas considerado virus. Se trata deextensiones son: .exe, .com, las cadenas de e-mails que.bat, .sys, .pif, .dll y .drv. generalmente anuncian la amenaza de algún virus "peligrosísimo" (que nunca existe, por supuesto) y que porESTRATEGIAS DE INFECCIÓN temor, o con la intención deUSADAS POR LOS VIRUS prevenir a otros, se envían y re-envían incesantemente. Esto produce un estado de pánico sin sentido y genera un molesto tráfico deEl código del virus se agrega información innecesaria.al final del archivo a infectar,mod ¿CÓMO SABER SI TENEMOS UN VIRUS? La mejor forma de detectar un virus es, obviamente con un antivirus, pero en ocasiones los antivirus pueden fallar en la detección. Puede ser que no detectemos nada y aún seguirCausa que el "script.ini" con problemas. En esos casosoriginal se sobre escriba con "difíciles", entramos enel "script.ini" maligno. Los terreno delicado y ya esautores de ese script acceden conveniente la presencia de un técnico programador. MuchasVYRUS Y VACUNAS Página 8
  • 9. veces las fallas atribuidas a realizarlas en el soporte quevirus son en realidad fallas de desee, disquetes, unidades dehardware y es muy importante cinta, etc. Mantenga esas copiasque la persona que verifique en un lugar diferente del ordenador y protegido de camposel equipo tenga profundos magnéticos, calor, polvo yconocimientos de personas no autorizadas.arquitectura de equipos,software, virus, placas dehardware, conflictos de Copias de programas originaleshardware, conflictos deprogramas entre sí y bugs ofallas conocidas de losprogramas o por lo menos de No instale los programas desdelos programas más los disquetes originales. Haga copia de los discos y utilícelosimportantes. Las para realizar las instalaciones.modificaciones del Setup,cambios de configuración deWindows, actualización dedrivers, fallas de RAM, No acepte copias de origen dudosoinstalaciones abortadas,rutinas de programas conerrores y aún oscilaciones enla línea de alimentación del Evite utilizar copias de origenequipo pueden generar dudoso, la mayoría de las infecciones provocadas porerrores y algunos de estos virus se deben a discos de origensíntomas. Todos esos desconocido.aspectos deben ser analizadosy descartados para llegar a laconclusión que la falla Utilice contraseñasproviene de un virus nodetectado o un virus nuevoaún no incluido en las basesde datos de los antivirus más Ponga una clave de acceso a suimportantes. computadora para que sólo usted pueda acceder a ella.FORMAS DE PREVENCIÓN YELIMINACIÓN DEL VIRUSCopias de seguridadRealice copias de seguridad desus datos. Éstas puedenVYRUS Y VACUNAS Página 9
  • 10. agujero anunciado por Peterson. Una nueva variedad de virus había nacido.Los nuevos virus e Internet Para ser infectado por el BubbleBoy, sólo es necesarioHasta la aparición del programa que el usuario reciba un mailMicrosoft Outlook, era infectado y tenga instaladosimposible adquirir virus mediante Windows 98 y el programael correo electrónico. Los e- gestor de correo Microsoftmails no podían de ninguna Outlook. La innovaciónmanera infectar una tecnológica implementada porcomputadora. Solamente si se Microsoft y que permitiríaadjuntaba un archivo susceptible mejoras en la gestión delde infección, se bajaba a la correo, resultó una vez más encomputadora, y se ejecutaba, agujeros de seguridad quepodía ingresar un archivo vulneraron las computadoras deinfectado a la máquina. Esta desprevenidos usuarios.paradisíaca condición cambió depronto con las declaraciones dePadgett Peterson, miembro deComputer Antivirus Research Las mejoras que provienen de losOrganization, el cual afirmó la lenguajes de macros de la familiaposibilidad de introducir un virus Microsoft facilitan la presenciaen el disco duro del usuario de de "huecos" en los sistemas queWindows 98 mediante el correo permiten la creación de técnicaselectrónico. Esto fue posible y herramientas aptas para laporque el gestor de correo violación nuestros sistemas. LaMicrosoft Outlook 97 es capaz gran corriente de creación dede ejecutar programas escritos virus de Word y Excel, conocidosen Visual Basic para Aplicaciones como Macro-Virus, nació como(antes conocido como Visual consecuencia de la introducciónLanguaje, propiedad de del Lenguaje de MacrosMicrosoft), algo que no sucedía WordBasic (y su actual sucesoren Windows 95. Esto fue negado Visual Basic para Aplicaciones),por el gigante del software y se en los paquetes de Microsoftintentó ridiculizar a Peterson de Office. Actualmente losdiversas maneras a través de Macrovirus representan el 80 %campañas de marketing, pero del total de los virus quecomo sucede a veces, la verdad circulan por el mundo.no siempre tiene que ser probada.A los pocos meses del anuncio,hizo su aparición un nuevo virus, Hoy en día también existenllamado BubbleBoy, que archivos de páginas Web queinfectaba computadoras a través pueden infectar unadel e-mail, aprovechándose delVYRUS Y VACUNAS Página 10
  • 11. computadora. El boom de sistema un programa que permitaInternet ha permitido la "abrir la puerta" de la conexiónpropagación instantánea de virus para permitir el acceso dela todas las fronteras, haciendo intruso o directamente el envíosusceptible de ataques a de la información contenida encualquier usuario conectado. La nuestro disco. En realidad,red mundial de Internet debe ser hackear un sistema Windows esconsiderada como una red ridículamente fácil. La clave deinsegura, susceptible de esparcir todo es la introducción de talprogramas creados para programa, que puede enviarse enaprovechar los huecos de un archivo adjunto a un e-mailseguridad de Windows y que que ejecutamos, un disquete quefaciliten el "implante" de los recibimos y que contiene unmismos en nuestros sistemas. Los programa con el virus, o quizá unvirus pueden ser programados simple e-mail. El concepto depara analizar y enviar nuestra virus debería ser ampliado ainformación a lugares remotos, y todos aquellos programas quelo que es peor, de manera de alguna manera crean nuevasinadvertida. El protocolo puertas en nuestros sistemas queTCP/IP, desarrollado por los se activan durante la conexión acreadores del concepto de Internet para facilitar el accesoInternet, es la herramienta más del intruso o enviar directamenteflexible creada hasta el nuestra información privada amomento; permite la conexión de usuarios en sitios remotos.cualquier computadora concualquier sistema operativo. Estemaravilloso protocolo, que Entre los virus que más fuertecontrola la transferencia de la han azotado a la sociedad en losinformación, al mismo tiempo, últimos dos años se puedenvuelve sumamente vulnerable de mencionar:violación a toda la red.Cualquier computadoraconectada a la red, puede serlocalizada y accedida Sircamremotamente si se siguen algunoscaminos que no analizaremos por Code Redrazones de seguridad. Lo cierto Nimdaes que cualquier persona conconocimientos de acceso al Magistrhardware por bajo nivel, puedenmonitorear una computadora Melissaconectada a Internet. Durante la Klezconexión es el momento en el queel sistema se vuelve vulnerable y LoveLetterpuede ser "hackeado". Sólo esnecesario introducir en elVYRUS Y VACUNAS Página 11
  • 12. Los antivirus Comparación por firmas: son vacunas que comparan las firmasEn informática los antivirus son de archivos sospechosos paraprogramas cuyo objetivo es saber si están infectados.detectar y/o eliminar virusinformáticos. Nacieron durante Comparación de firmas dela década de1980. archivo: son vacunas que comparan las firmas de losCon el transcurso del tiempo, la atributos guardados en tuaparición de sistemas operativos equipo.más avanzados e Internet, hahecho que los antivirus hayan Por métodos heurísticos: sonevolucionado hacia programas vacunas que usan métodosmás avanzados que no sólo heurísticos para compararbuscan detectar virus archivos.informáticos, sino bloquearlos,desinfectarlos y prevenir una Invocado por el usuario: soninfección de los mismos, y vacunas que se activanactualmente ya son capaces de instantáneamente con el usuario.reconocer otros tipos de Invocado por la actividad delmalware, como spyware, sistema: son vacunas que serootkits, etc. activan instantáneamente por la actividad del sistema operativo.Tipos de vacunasSólo detección: Son vacunas quesólo actualizan archivosinfectados sin embargo nopueden eliminarlos odesinfectarlos. PlanificaciónDetección y desinfección: sonvacunas que detectan archivos La planificación consiste eninfectados y que pueden tener preparado un plan dedesinfectarlos. contingencia en caso de que una emergencia de virus se produzca,Detección y aborto de la acción: así como disponer al personal deson vacunas que detectan la formación adecuada paraarchivos infectados y detienen reducir al máximo las accioneslas acciones que causa el virus que puedan presentar cualquierVYRUS Y VACUNAS Página 12
  • 13. tipo de riesgo. Cada antivirus 3. Métodos de instalaciónpuede planear la defensa de una rápidos. Para permitir lamanera, es decir, un antivirus reinstalación rápida en caso depuede hacer un escaneado contingencia.completo, rápido o devulnerabilidad según elija el 4. Asegurar licencias.usuario. Determinados softwares imponen métodos de instalación de unaConsideraciones de software vez, que dificultan la reinstalación rápida de la red.El software es otro de los Dichos programas no siempreelementos clave en la parte de tienen alternativas pero ha deplanificación. Se debería tener en buscarse con el fabricantecuenta la siguiente lista de métodos rápidos de instalación.comprobaciones para tuseguridad: 5. Buscar alternativas más1. Tener el software seguras. Existe software que esimprescindible para el famoso por la cantidad defuncionamiento de la actividad, agujeros de seguridad quenunca menos pero tampoco más. introduce. Es imprescindibleTener controlado al personal en conocer si se puede encontrarcuanto a la instalación de una alternativa que proporcionesoftware es una medida que va iguales funcionalidades peroimplícita. Asimismo tener permitiendo una seguridad extra.controlado el software asegurala calidad de la procedencia delmismo (no debería permitirsesoftware pirata o sin garantías). Consideraciones de la redEn todo caso un inventario de Disponer de una visión clara delsoftware proporciona un método funcionamiento de la red permitecorrecto de asegurar la poner puntos de verificaciónreinstalación en caso de filtrada y detección ahí donde ladesastre. incidencia es más claramente2. Disponer del software de identificable. Sin perder de vistaseguridad adecuado. Cada otros puntos de acción esactividad, forma de trabajo y conveniente:métodos de conexión a Internet 1. Mantener al máximo el númerorequieren una medida diferente de recursos de red en modo dede aproximación al problema. En sólo lectura. De esta forma segeneral, las soluciones impide que computadorasdomésticas, donde únicamente infectadas los propaguen.hay un equipo expuesto, no sonlas mismas que las soluciones 2. Centralizar los datos. Deempresariales. forma que detectores de virus enVYRUS Y VACUNAS Página 13
  • 14. modo batch puedan trabajar Sin embargo los filtros dedurante la noche. correos con detectores de virus son imprescindibles, ya que de3. Realizar filtrados de firewall esta forma se asegurará unade red. Eliminar los programas reducción importante deque comparten datos, como decisiones de usuarios nopueden ser los P2P; Mantener entrenados que pueden poner enesta política de forma rigurosa, y riesgo la red.con el consentimiento de lagerencia. Los virus más comunes son los troyanos y gusanos, los cuales4. Reducir los permisos de los ocultan tu información, creandousuarios al mínimo, de modo que Accesos Directos.sólo permitan el trabajo diario. Firewalls5. Controlar y monitorizar elacceso a Internet. Para poder Artículo principal: Cortafuegosdetectar en fases de (informática).recuperación cómo se haintroducido el virus, y así Filtrar contenidos y puntos dedeterminar los pasos a seguir. acceso. Eliminar programas que no estén relacionados con laFormación: Del usuario actividad. Tener monitorizado los accesos de los usuarios a la red,Esta es la primera barrera de permite asimismo reducir laprotección de la red. instalación de software que no es necesario o que puede generarAntivirus riesgo para la continuidad delEs conveniente disponer de una negocio. Su significado eslicencia activa de antivirus. Dicha barrera de fuego y no permite quelicencia se empleará para la otra persona no autorizadageneración de discos de tenga acceso desde otro equiporecuperación y emergencia. Sin al tuyo.embargo no se recomienda en unared el uso continuo de antivirus.El motivo radica en la cantidadde recursos que dichosprogramas obtienen del sistema,reduciendo el valor de lasinversiones en hardwarerealizadas.Aunque si los recursos sonsuficientes, este extra deseguridad puede ser muy útil. Reemplazo de softwareVYRUS Y VACUNAS Página 14
  • 15. Los puntos de entrada en la red Empleo de sistemas operativosson generalmente el correo, las más segurospáginas WEB, y la entrada deficheros desde discos, o de PCque no están en la empresa(portátiles...)Muchas de estas computadorasemplean programas que puedenser reemplazados poralternativas más seguras.Es conveniente llevar unseguimiento de cómo distribuyen Para servir ficheros no esbancos, y externos el software, conveniente disponer de losvalorar su utilidad e instalarlo mismos sistemas operativos quesi son realmente imprescindibles. se emplean dentro de las estaciones de trabajo, ya queCentralización y Backup´s toda la red en este caso está expuesta a los mismos retos. UnaLa centralización de recursos y forma de prevenir problemas esgarantizar el backup de los disponer de sistemas operativosdatos es otra de las pautas con arquitecturas diferentes,fundamentales en la política de que permitan garantizar laseguridad recomendada. continuidad de negocio.La generación de inventarios de Temas acerca de la seguridadsoftware, centralización delmismo y la capacidad de generar Existen ideas instaladas porinstalaciones rápidas parte de las empresas deproporcionan métodos antivirus parte en la culturaadicionales de seguridad. popular que no ayudan a mantener la seguridad de losEs importante tener localizado sistemas de información.donde tenemos localizada lainformación en la empresa. De Mi sistema no es importante paraesta forma podemos realizar las un cracker. Este tema se basa encopias de seguridad de forma la idea de que no introduciradecuada. passwords seguras en una empresa no entraña riesgos puesControl o separación de la ¿Quién va a querer obtenerinformática móvil, dado que esta información mía? Sin embargoestá más expuesta a las dado que los métodos decontingencias de virus. contagio se realizan por medio de programas automáticos, desde unas máquinas a otras, estos no distinguen buenos de malos, interesantes de no interesantes...VYRUS Y VACUNAS Página 15
  • 16. Por tanto abrir sistemas y dicha aplicación puede permitirdejarlos sin claves es facilitar que el atacante abra una shell yla vida a los virus. por ende ejecutar comandos en el UNIX.Estoy protegido pues no abroarchivos que no conozco. Esto Sistemas operativos máses falso, pues existen múltiples atacadosformas de contagio, además losprogramas realizan acciones sin Las plataformas más atacadasla supervisión del usuario por virus informáticos son laponiendo en riesgo los sistemas. línea de sistemas operativos Windows de Microsoft. RespectoComo tengo antivirus estoy a los sistemas derivados de Unixprotegido. Únicamente estoy como GNU/Linux, BSD, Solaris,protegido mientras el antivirus Mac OS X, estos han corrido consepa a lo que se enfrenta y como mayor suerte debido en parte alcombatirlo. En general los sistema de permisos. No obstanteprogramas antivirus no son en las plataformas derivadas decapaces de detectar todas las Unix han existido algunosposibles formas de contagio intentos que más queexistentes, ni las nuevas que presentarse como amenazaspudieran aparecer conforme las reales no han logrado el gradocomputadoras aumenten las de daño que causa un virus encapacidades de comunicación. plataformas Windows.Como dispongo de un firewall nome contagio. Esto únicamenteproporciona una limitada Plataformas Unix, inmunes a loscapacidad de respuesta. Las virus de Windows.formas de infectarse en una redson múltiples. Unas provienendirectamente de accesos a misistema (de lo que protege unfirewall) y otras de conexionesque realizó (de las que no meprotege). Emplear usuarios conaltos privilegios para realizarconexiones tampoco ayuda.Tengo un servidor web cuyosistema operativo es un UNIXactualizado a la fecha. Puede queesté protegido contra ataquesdirectamente hacia el núcleo,pero si alguna de lasaplicaciones web (PHP, Perl,Cpanel, etc.) está desactualizada,un ataque sobre algún script deVYRUS Y VACUNAS Página 16
  • 17. ESTUDIOS REALIZADOS POR programación “a la antigua”. ElKARSPERKY LAB. enfoque de los creadores deDEMUESTRAN: Duqu suele darse en proyectos legítimos de programación, peroResumen de las actividades de casi nunca en los de programaslos virus informáticos, marzo de maliciosos. Existen más2012 evidencias de que Duqu (y Stuxnet) es un desarrollo único que sobresale entre otrosGlobal Research & Analysis Team programas maliciosos.(Great), Kaspersky Lab Después de invertir tanto dinero en proyectos como Duqu y Stuxnet, no resulta sencilloDUQU tirarlo todo por la borda. En marzo detectamos un nuevoLa investigación sobre el controlador circulando entroyano Duqu ha entrado en su Internet que era prácticamentesexto mes, y en marzo se vieron idéntico a los que se usaron ensignificativos avances, ya que se los principios de Duqu. Lospudo establecer el lenguaje que anteriores controladores sese usaba en su código crearon el 3 de noviembre deFramework. Este descubrimiento 2010 y el 17 de octubre de 2011,se realizó con la ayuda de la mientras que el nuevo es del 23comunidad informática de febrero de 2012. Al parecer,internacional, que nos los creadores de Duquproporcionó cientos de posibles retomaron sus actividadesexplicaciones e hipótesis. después de cuatro meses de descanso.El Framework de Duqu seescribió en lenguaje C y se El nuevo controlador de Duqucompiló con MSVC 2008 con las tiene las mismas funcionalidadesopciones “/O1” y “/Ob1”. Es muy que las anteriores versionesprobable que sus creadores conocidas. Aunque los cambioshayan utilizado la extensión en el código son insignificantes,orientada a objetos del lenguaje demuestran que los creadoresC, conocido como “OO C”. La han hecho su trabajo dearquitectura dirigida por eventos “corregir errores” para evitar suse desarrolló como parte del detección. Aún no hemosFramework o en la extensión OO detectado el módulo principal deC. El código de comunicación Duqu asociado con esteC&C pudo haber provenido de controlador.otro programa malicioso yadaptarse a las características Para conocer en más detalle lasde Duqu. Creemos que el código estadísticas de Kaspersky Labfue desarrollado por sobre las víctimas de Duqu, activaprofesionales que prefieren una el siguiente enlace. Este blogVYRUS Y VACUNAS Página 17
  • 18. también presenta las era el escenario que semodificaciones del troyano que presentaba en septiembre,hemos logrado detectar: El cuando se desmanteló la primeraMisterio de Duqu: Parte Diez red zombi Hlux/Kelihos. Se repitió en marzo.Lucha contra laciberdelincuencia La nueva (tercera) versión del bot, llamada Kelihos.C, llamóClausura de la segunda red zombi nuestra atención varios díasHlux/Kelihos después del inicio de la operación de drenaje. Al parecer, losKaspersky Lab, en colaboración dueños de la red temían sucon CrowdStrike Intelligence clausura en cualquier momento yTeam, Dell SecureWorks y siguieron adelante con su plan B.Honeynet Project, ha logrado Notamos que en Kelihos.C sedesmantelar la segunda red modificaron las llaves RSA, talzombi Hlux/Kelihos. (La nueva como sucedió con Kelihos.B. Lashistoria de la exitosa clausura de llaves RSA se usaron parauna red zombi - Desmantelamiento codificar algunas estructurasde la nueva red zombi en los mensajes (La botnetHlux/Kelihos). Kelihos/Hlux vuelve con nuevasLos investigadores bautizaron técnicas).esta red zombi con el nombre de Puesto que los dueños de la redKelihos.B para indicar que se zombi publicaron con prontitudcreó con la segunda variante otra actualización del bot,modificada de la red original. algunos investigadores siguenEl 21 de marzo, comenzamos a escépticos sobre la efectividadintroducir en la red zombi un del método de drenaje pararouter dedicado de drenaje. neutralizar las redes zombi. PorNuestro objetivo era que los nuestra parte, creemos que esteordenadores infectados se método resulta efectivo paracomunicaran sólo con este complicar la vida de los rufianesrouter. Durante una semana, más al forzarlos a desviar sude 116.000 de ellos lo hicieron, atención de la distribución de unlo que nos permitió controlar nuevo bot y de la infección delos bots de los dueños de la red nuevos ordenadores. Mientraszombi. las nuevas versiones del bot no implementen cambiosCuando se está implementando significativos en su arquitecturauna operación para controlar y en su protocolo deuna red zombi, sus dueños suelen comunicación, seguiremos confortificar sus posiciones este juego del gato y el ratón.publicando una nueva versión del Sin embargo, sólo podremosbot y lanzando una campaña de cantar victoria absoluta contrareclutamiento de nuevos la red zombi cuando se logreordenadores para su red. Este arrestar a sus dueños.VYRUS Y VACUNAS Página 18
  • 19. Ataque contra Zeus y sus hosts Arrestan a los responsables de CarberpA mediados de marzo, Microsoftunió fuerzas con la asociación de Las autoridades rusas, junto alpagos online NACHA y FS-ISAC, grupo analítico Group-IB,una ONG que representa los concluyeron su investigaciónintereses de los miembros de la sobre las actividades delictivasindustria de servicios financieros de un grupo que robaba dinerode los EE.UU., para lanzar otro mediante un notable troyanoataque contra los dueños de la bancario, llamado Carberp.red zombi. El ataqué se llamó Según información brindada por“operación b71”. Con el permiso Departamento K de Rusia, unajudicial, se capturaron varios unidad especializada en la luchaservidores y centros de control contra la delincuencia de altade las redes zombi más activas y tecnología, el grupo estabanumerosas basadas en Zeus. compuesto de ocho personas. Clientes de decenas de bancosMicrosoft también intentó rusos cayeron víctimas de estosdesenmascarar a los implicados ciberdelincuentes que lograronen el desarrollo y distribución robar unos 60 millones dede Zeus y otros troyanos rublos (unos dos millones desimilares, como SpyEye y Ice-IX dólares). Afortunadamente, la(este último basado en los investigación resultó en elcódigos fuente de Zeus que se arresto de esta banda delictiva.filtraron). En Rusia es muy raro el arrestoMicrosoft inició acciones de ciberdelincuentes, por lo quelegales contra 39 personas la noticia fue muy bien recibida.anónimas implicadas en la Sin embargo, la investigación secreación del código malicioso y centró en un solo grupo quelas redes que se basan en él. usaba un código “listo para usar”Esperamos que esta iniciativa de Carberp y recurría a losMicrosoft reciba el respaldo servicios de redes asociadas paralegal de las autoridades de su distribución. El comunicadoEE.UU. y, con el apoyo de la afirma que entre los arrestadoscomunidad internacional, se se encontraban los dueños de lalogre encarcelar a más red y las mulas de dinero queciderdelincuentes. retiraban los fondos robados de cajeros automáticos. SinDe hecho, estas son sólo embargo, el creador del troyanoalgunas medidas que pueden y sus redes asociadas siguen enayudar a neutralizar los libertad. El troyano Carberptroyanos bancarios, ya que según Trojan sigue vendiéndose enestimaciones de Microsoft, el foros especializados (Carberpdaño total ocasionado por Zeus, sigue vivo), lo que significa que seSpyEye y Ice-IX ya llega a sigue usando y que lo usaránquinientos millones de dólares. otros grupos. En particular, yVYRUS Y VACUNAS Página 19
  • 20. hasta la fecha, hemos estado remota, entonces el troyanosiguiendo las actividades de Lurk se instalaba en elvarias redes zombi Carberp. Lo ordenador infectado. Esteque aún no está claro es si troyano roba los datospertenecen a un solo grupo o a confidenciales del usuario paravarios. acceder a los servicios de banca online de varios bancos rusosAtaques a usuarios individuales importantes.Un bot “sin archivo” Este ataque estaba dirigido contra los usuarios rusos. SinA principios de marzo, los embargo, no podemos descartarexpertos de Kaspersky Lab que el mismo exploit y el mismodetectaron un singular ataque bot “sin archivo” vuelvan aque usaba un programa malicioso usarse contra usuarios en otrascapaz de operar sin crear partes del mundo: puedenarchivos en los sistemas propagarse a través de redesinfectados. similares de banners o teasers enEste código malicioso se otros países.propagaba por medio de una red Esta es la primera vez en años„teaser‟ que incluía algunos que nos encontramos con esterecursos noticiosos populares inusual tipo de programaen Rusia. Un script JavaScript malicioso “sin archivo”. Estospara uno de los teasers programas no existen comodescargados en el sitio incluía un archivos en el disco duro, sinoiframe que desviaba al usuario que operan sólo en la memoriahacia un sitio malicioso en el RAM del ordenador infectado, lodominio .EU y que contenía un que dificulta en gran medida suexploit Java. detección por parte de lasA diferencia de los conocidos soluciones antivirus.ataques drive-by, al paso, este Aunque los programasprograma malicioso no se maliciosos “sin archivo” sólodescargaba en el disco duro, funcionan hasta que el sistemasino que operaba exclusivamente operativo se reinicie, laen la memoria RAM. Al operar posibilidad de que el usuariocomo un bot, el programa vuelva a visitar el sitio infectadomalicioso enviaba peticiones que suele ser grande.incluían datos sobre historial denavegación tomados de los Los expertos de Kaspersky Labregistros del navegador del suelen enfatizar que el parcheusuario y los enviaba al servidor oportuno es el método másde los ciberdelincuentes. Si los confiable para protegersedatos enviados al servidor contra los programasmalicioso incluían información maliciosos que explotanque indicaba que el usuario había vulnerabilidades. En este caso,accedido a sistemas de banca recomendamos la instalación deVYRUS Y VACUNAS Página 20
  • 21. un parche provisto por Oracle inyectar un DLL malicioso a unque cierra la vulnerabilidad CVE- navegador de Internet. Si el2011-3544 en Java. Este parche usuario hace una petición en losse puede descargar desde: . motores de búsqueda Google, Yahoo o Bing, el troyano duplicaOtro robo de certificados todas las peticiones en el servidor del ciberbandido. ElNos hemos encontrado con más y servidor responde con enlacesmás programas maliciosos desde el sistema Search123 quefirmados. A mediados de marzo, funciona bajo el sistema pago-volvimos a detectar programas por-click (PPC). Los enlaces semaliciosos con firmas digitales activan sin que el usuario loválidas (troyanos Mediyes) así sepa; los ciberdelincuentescomo numerosos archivos tipo lucran con los falsos clicks.dropper que estaban firmados envarias fechas entre diciembre de2011 y el 7 de marzo de 2012. En Extensión maliciosa paratodos los casos se usó un Chromecertificado entregado por lacompañía suiza Conpavi AG. Esta A principios de marzo, loscompañía es conocida por su expertos de Kaspersky Labtrabajo con agencias detectaron una extensióngubernamentales suizas, como maliciosa para Google Chromelas municipales y cantonales. que apuntaba a los usuarios de Facebook en Brasil. Sin embargo,Los ciberdelincuentes pueden nada evitaría que losinfectar los ordenadores de la ciberdelincuentes lanzarancompañía y robar un certificado ataques similares contraque luego usarán para firmar usuarios en otros países.programas maliciosos. (Hayalgunos notorios programas Las extensiones maliciosas semaliciosos ZeuS que realizan esta propagaron en Facebook afunción: buscan los certificados través de los enlaces queen el ordenador infectado y, si parecían de aplicacioneslos encuentran los envían al legítimas. Estos ataques seciberdelincuentes). El hecho de valieron de varios temas, comoque las autoridades municipales “Cambia el color de tu perfil”,hayan podido estar involucradas “Descubre quién visitó tu perfil”,en este accidente es una noticia y “Aprende a eliminar los virus dede por sí muy mala, pues quién tu perfil de Facebook". Si elsabe a qué datos confidenciales usuario aceptaba instalar unade las oficinas municipales aplicación, se lo dirigía a latuvieron acceso los piratas tienda online oficial de Googlecibernéticos. Chrome, donde la extensión maliciosa para Chrome aparecíaMediyes guarda su propio como “Adobe Flash Player”.controlador en el directorio deunidades del sistema, para luegoVYRUS Y VACUNAS Página 21
  • 22. El usuario corriente no llega a En marzo, Microsoft publicó unentender todos los detalles que parche para reparar unarodean la publicación de vulnerabilidad crítica enaplicaciones en la tienda online Microsoft Terminal Servicesde Google Chrome. El usuario (también conocido como Remotesólo ve el sitio online oficial de Desktop). Esta vulnerabilidad tanGoogle y confía que está libre de problemática es del tipo use-riesgos. Sin embargo, cualquier after-free (Referencia no valida apersona puede usar esta tienda un puntero) y se encontraba en elonline para su extensión de código que ejecuta en el anillo 0,Chrome; sólo se necesita una es decir, el código que se ejecutacuenta de Google y la tienda con las autorizaciones delonline de Google Chrome ofrece sistema local.una sección especial para lasextensiones “caseras”. Luigi Auriemma descubrió esta vulnerabilidad y fue quien creóDespués de instalar la extensión un paquete de red que causaba elmaliciosa en el ordenador, los colapso de Remote Desktopciberpiratas lograban acceder a (Dos). Este investigador informóla cuenta de Facebook de la en detalle a Microsoft. No sevíctima. En el incidente descrito, sabe qué pasó con estala extensión descargaba un información, pero sabemos que sescript malicioso desde el centro filtró en Internet y llegó, comode comando del un regalo, a los potencialesciberdelincuentes. Cuando la atacantes sobre cómo explotarvíctima entraba a su página de esta vulnerabilidad de RemoteFacebook, el script se incrustaba Desktop, en lugar de laen el código HTML de la página. descripción general que suele hacer Microsoft.El objetivo del script era atraermás “Me gusta” para páginas de Inmediatamente apareció muchaFacebook que el ciberbandido gente interesada en encontrarelige. También enviaba un mensaje Exploits apropiados: algunosen nombre de la víctima, incitando querían un exploit que lanzaraa sus amigos a descargar la misma ataques, mientras que otrosextensión maliciosa. querían verificar la existencia de un exploit y alertar sobre losGoogle eliminó el programa peligros. Mientras tanto,malicioso tan pronto como se les algunos investigadores deinformó al respecto. Sin seguridad informática empezaronembargo, los ciberdelincuentes a prepararse para una epidemia deya han creado extensiones gusanos de red capaces desimilares y las han colocado en explotar esta vulnerabilidad.el mismo lugar: la tienda onlinede Google Chrome. Y no pasó mucho tiempo antes de que aparecieran los primerosEl exploit MS12-020 RDP Exploits, con versiones deVYRUS Y VACUNAS Página 22
  • 23. códigos maliciosos que ofrecían Comenzaron a aparecer una granacceso remoto no autorizado a cantidad de exploits, peroPCs con Windows a través de ninguna versión fue capaz deRemote Desktop. ejecutar el código de forma remota. Incluso apareció un sitioSin embargo, una versión tenía web dedicado, con el elocuentetodas las características de una nombrebroma: istherdpexploitoutyet.com. Aún no hemos encontrado ningún exploit que pueda ejecutar en modo remoto el código a través de Remote Desktop. La mayoría fracasa en su cometido o resulta en el temido BSOD. Sin embargo, recomendamos a todos los usuarios de Microsoft Windows que verifiquen sus PCs para ver si se están ejecutandoEl autor de este particular Remote Desktop. Si así fuera,exploit firmaba como el conocido deben instalar de inmediato elhacker de LulzSec, Sabu (sus parche de Microsoft. Tambiéncamaradas lo acusan de pasar vale la pena considerar si deinformación sobre otros verdad necesitamos ese serviciomiembros del grupo al FBI, lo que en nuestro sistema.condujo a su posterior arresto). Te mantendremos informado siEl código está escrito en Python aparece un exploit que pueday usa un módulo freerdp, como ejecutar el código de formapuede verse en el texto que remota, pero mientras tanto,aparece en la imagen de arriba. puedes verificar si tu servidor esSin embargo, no se conoce vulnerable a potencialesningún módulo freerdp para ataques RDP en este sitio:Python. Existe una http://rdpcheck.com.implementación gratuita decódigo abierto para Remote Amenazas para MacDesktop Protocol, conocidacomo FreeRDP En marzo pudimos evidenciar una(http://www.freerdp.com/), pero actividad sin precedentes ensus propios desarrolladores no cuanto a programas maliciosossaben nada sobre ningún soporte para Mac OS.para freerdp en la plataforma El caso más prominente fuePython. probablemente el de distribuciónEsto resultó ser un fraude, y no de spam a direcciones defue el único. organizaciones tibetanas. Este spam contenía enlaces al exploitVYRUS Y VACUNAS Página 23
  • 24. Exploit.Java.CVE-2011-3544.ms, que describimos en nuestrodetectado por Alien Vault Labs. informe de septiembre de 2011Este exploit está diseñado para (Informe sobre Spam: Septiembreinstalar programas maliciosos en de 2011). Los programaslos ordenadores de los maliciosos que pertenecen a estausuarios, según el tipo de sistema familia se propagan bajo laoperativo con que cuente el cobertura de archivos conordenador de la víctima. En este extensiones seguras. Durante elcaso en particular, se instaló ataque de marzo, losBackdoor.OSX.Lasyr.a en los ciberdelincuentes distribuyeronordenadores de los usuarios de spam con imágenes eróticas conMac OS, y extensión .JPG y archivosTrojan.Win32.Inject.djgs en los maliciosos ejecutablesde usuarios de Windows (el camuflados como imágenes.troyano estaba firmado por uncertificado vencido otorgado Pero había otra “novedad” quepor la compañía china “WoSign aguardaba en marzo: losCode Signing Authority”). programas maliciosos de laCuriosamente, los familia Trojan-ciberdelincuentes usaron los Downloader.OSX.Flashfake quemismos servidores para manejar ahora usan Twitter comoambos programas maliciosos servidores de administración.durante los ataques. Para distribuir estos programas maliciosos, los ciberpiratasEste ataque no fue un ejemplo usaron 200.000 blogsaislado de que China usa hackeados que funcionaban bajoprogramas maliciosos para WordPress.atacar organizaciones tibetanas.Apenas una semana después, Amenazas móvilesKaspersky Lab detectó un Troyano bancario para Androidarchivo DOC comoExploit.MSWord.CVE-2009- Hace unos 18 meses se descubrió0563.a en una distribución similar una versión móvil del infamede spam. Este exploit infectaba troyano ZeuS. Se la nombrólos ordenadores de los usuarios ZitMo (ZeuS-in-the-Mobile). Estede Mac OS con el programa troyano estaba diseñado paramalicioso robar números deBackdoor.OSX.MaControl.a. autentificación paraCuriosamente, este programa transacciones desde móvilesmalicioso recibía comandos para (mTAN) que los bancos envían aordenadores infectados desde el los móviles de sus clientes aservidor freetibet2012.xicp.net través de SMS. Aunque este tipolocalizado en China. de amenaza móvil tuvo algún desarrollo, no fue sino hastaTambién en marzo se detectó una marzo de 2012 que se detectó unnueva modificación del programa programa malicioso móvil quemalicioso Backdoor.OSX.Imuler, podía robar credencialesVYRUS Y VACUNAS Página 24
  • 25. (nombre de usuario y contraseña) dominio está ahora desactivado).para la autentificación de Además, resulta que el númerotransacciones bancarias. móvil al que se le envía la información es ruso y perteneceA mediados de marzo, se identificó a un operador de la región. Estoun programa malicioso que indica la posibilidad de queapuntaba no sólo a los mensajes autores rusos de programasSMS con mTANs, sino también a maliciosos estuvieran implicadoslas credenciales de banca online. en la creación de este programaKaspersky Lab detectó el en particular.programa como Trojan-SMS.AndroidOS.Stealer.a. Ataques contra corporaciones/gobiernos/orgaAl ejecutarse, esta aplicación nizacionesmaliciosa muestra una ventanaque se presenta como un diálogo Espionaje espacialpara la generación de tokens.Para que esta “generación” sea En marzo se detectaron variosposible, se le pide al usuario que ataques maliciosos contraentre la llave requerida para la agencias de investigaciónautorización inicial en el sistema espacial.de banca online. A continuación, Sobre todo hubo un informeel programa malicioso genera un sobre incidentes de la NASA quefalso token (un número resultó muy interesante. Fue elaleatorio) y la información que inspector general de estaingresa el usuario se envía al agencia quien lo presentó ante lamóvil y al servidor remoto del Comisión sobre ciencia, espacio yciberdelincuentes con los tecnología del Congreso de losnúmeros IMEI e IMSI. Además, este EE.UU.programa malicioso puede recibiruna cantidad de comandos desde Una auditoría de la NASA revelóel servidor remoto un incidente ocurrido en(generalmente relacionados con noviembre de 2011, cuando unosel robo de mTANs). atacantes (con direcciones IP chinas) lograron el accesoLa aparición de este tipo de completo a la red delprograma malicioso no fue una Laboratorio de propulsión jetsorpresa, pero hubo algunos (JPL, por sus ingás en inglés).detalles que llamaron nuestra Además, durante 2011, seatención. Todas las muestras detectaron 47 ataques dirigidosconocidas del programa contra la NASA, 13 de los cualesmalicioso apuntan a los clientes tuvieron éxito. Entre 2010 yde bancos españoles. Sin 2011, se supo de más de 5.400embargo, uno de los servidores incidentes de diversa gravedadremotos al que el programa relacionados con acceso nomalicioso trata de conectarse autorizado a las redes de laestaba en la zona .ru (esteVYRUS Y VACUNAS Página 25
  • 26. agencia, o con programas Un análisis posterior no revelómaliciosos. ningún uso de la información autorizada robada para accederAdemás de estos ataques de a otros sistemas de JAXA y NASA.hackers, la NASA sufre una La fuga de unos 1.000 correosconstante pérdida de de la agencia puede considerarseordenadores portátiles con como una pérdida sin importancia.información confidencial. Desde2009, se han perdido unos 50, Marzo en cifrasincluyendo un incidente en marzo,cuando desapareció una portátil Durante este mes, loscon información sobre ordenadores que tienenalgoritmos de gestión de la instalados productos deEstación espacial internacional. Kaspersky Lab detectaron:La Agencia japonesa de • y neutralizaron más de 370exploración aeroespacial (JAXA) millones de programastambién publicó los resultados maliciosos;de una investigación sobre un • 200 millones (55% de todasincidente que ocurrió en el las amenazas) de intentos deverano de 2011, que no fue infección originados en la web;detectado sino hasta enero de2012. • Más de 42 millones de URLs maliciosas.En julio de 2011, un empleado dela JAXA recibió un mensaje de Amenazas en Internet en marzo decorreo con un archivo malicioso. 2012La solución antivirus de suordenador no estaba Estas estadísticas representanactualizada, lo que posibilitó que veredictos detectados de losel programa maliciosos infectara módulos antivirus y fueronel sistema. Los atacantes proporcionados por lospudieron acceder a toda la usuarios de los productos deinformación almacenada en el Kaspersky Lab que aceptaronordenador y pudieron compartir sus datos locales.potencialmente monitorear deforma remota la información que Nuestros cálculos excluyenaparecía en la pantalla. Por aquellos países en los que la cantidad de usuarios defortuna, según informa laagencia, el ordenador no productos de Kaspersky Lab escontenía ninguna información relativamente reducida (menos deconfidencial. Aunque este 10.000).ordenador tenía acceso almonitoreo del trabajo en elcamión espacial (H-II TransferVehicle (HTV)), los atacantes nopudieron acceder al mismo.VYRUS Y VACUNAS Página 26
  • 27. Mapa de riesgo de infección al 3 Kazajistán 47.80% 1navegar en Internet 4 Bielorrusia 47.10% 1 5 Azerbaiyán 46.30% 1 6 Ucrania 43.30% 1 7 Sudán 41.00% Nuevo 8 Uzbequistán 40.30% Costa de 9 39.90% -7 Marfil 10 Bangladesh 39.40% - *Porcentaje de usuarios únicosLos 10 países en los que los en el país con ordenadores conusuarios se enfrentan al mayor productos de Kaspersky Labriesgo de infección a través de instalados que bloquearonInternet amenazas online. № País %* Cambios 1 Rusia 55.50% 0 Top 10 de zonas de dominios peligrosos 2 Armenia 49.30% 1 3 Kazajistán 47.80% 1 4 Bielorrusia 47.10% 1 5 Azerbaiyán 46.30% 1 6 Ucrania 43.30% 1 7 Sudán 41.00% Nuevo 8 Uzbequistán 40.30% Costa de 9 39.90% -7 Marfil 10 Bangladesh 39.40% - Fuente de ataques web por zona *Porcentaje de usuarios únicos de dominio* en el país con ordenadores con productos de Kaspersky Lab *cantidad de ataques desde instalados que bloquearon recursos web según el dominio amenazas online. detectado por el módulo antivirus web.Los 10 países en los que losusuarios se enfrentan al menorriesgo de infección a través deInternet № País %* Cambios 1 Rusia 55.50% 0 2 Armenia 49.30% 1VYRUS Y VACUNAS Página 27
  • 28. Top 10 de países en los que los Trojan-recursos web se infectaron con 5 Downloader.Script. 0.28% -1programas maliciosos Generic Trojan- 6 Downloader.JS.JSc 0.26% Nuevo ript.ag Trojan-(Distribución mundial de sitios 7 Downloader.JS.JSc 0.19% Nuevoinfectados y hosts maliciosos) ript.ai Trojan.JS.Popuppe 8 0.18% 2 r.aw 9 Trojan.JS.Iframe.zy 0.15% Nuevo Trojan- 1 Downloader.JS.JSc 0.14% Nuevo 0 ript.ax *El porcentaje de incidentes únicos detectados por el módulo antivirus web en los ordenadores de losFuentes de ataques web por país* usuarios.*Para poder determinar la fuentegeográfica de un ataque, secompara el nombre del dominiocon la dirección IP donde se sitúael dominio en cuestión, y sedetermina la localizacióngeográfica de la dirección IP(GEOIP).Top 10 de amenazas en Internet Exploits detectados por el módulo antivirus web en los % del ordenadores de los usuarios por Cambio total aplicación atacada* TOP 10 WAV s en la№ de March estadíst *Porcentaje de todos los ataqu ica ataques de exploits bloqueados es* 85.71 provenientes de la web.1 Malicious URL 0 % Trojan.Script.Iframe2 4.03% 0 r Trojan.Script.Gener3 2.74% 1 ic Trojan.Win32.Gene4 0.30% 1 ricVYRUS Y VACUNAS Página 28
  • 29. BIBLIOIGRIABLOGS.PROTEGERSE.COMWWW.TIPOSDE.ORGWWW.MONOGRAFIA.COMKARSPERKYLABhttp://www.sitiosargentina.com.ar/webmaster/cursos%20y%20tutoriales/que_es_un_antivirus.htmWWW.WIKIPEDIA.COMVYRUS Y VACUNAS Página 29
  • 30. CODIGO 201223658